[发明专利]一种控制权限的方法和装置

说明书

一种控制权限的方法，所述方法包括：针对角色挖掘角色对应的日志，调整执行控制权限操作的权限；以角色中的个体对象为基准，周期性分析调整后的日志，更新执行控制权限操作的权限。本发明实施例还公开一种控制权限的装置，能够避免权限过剩，实现角色和人员的权限最小化控制。

技术领域

本发明涉及计算机领域，尤其涉及一种控制权限的方法和装置。

背景技术

为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本的原则。其中最基本，也是最重要的一项就是权限最小化原则。在法律和相关安全策略允许的前提下，为满足工作需要，仅被授予访问信息的适当权限，过度的权限申请或下放，都隐藏着很大的安全隐患。

由于需要管控的资源较多、用户数量大且类别繁杂，传统的主体、权限分配方式已经不再适用。为了便于更好且系统化的管理，当前被认可且采用最多的是基于角色的权限分配方法，即用户对应角色，角色对应权限清单。

根据使用需求抽象出一系列的角色，再对各个角色进行权限划分。授权操作时，直接对用户进行角色划分即可，这样属于同一角色的用户群体，具有相同的权限列表。

然而，由于是人工规划且对应的是各个群体，所以很难达到权限最小化要求；而且，有些权限的使用率较低。因此，存在比较严重的权限过剩情况。

发明内容

本发明实施例提供了一种控制权限的方法，能够避免权限过剩，实现角色和人员的权限最小化控制。

本发明实施例还提供了一种控制权限的装置，能够避免权限过剩，实现角色和人员的权限最小化控制。

一种控制权限的方法，所述方法包括：

针对角色挖掘角色对应的日志，调整执行控制权限操作的权限；

以角色中的个体对象为基准，周期性分析调整后的日志，更新执行控制权限操作的权限。

可选的，所述挖掘角色对应的日志，包括：

通过Apriori算法挖掘角色对应的日志。

可选的，所述针对角色挖掘角色对应的日志，调整执行控制权限操作的权限，包括：

针对角色挖掘角色对应的日志得到频繁项集集合；

移出受权限控制且存在于频繁项集集合的权限。

可选的，所述针对角色挖掘角色对应的日志，调整执行控制权限操作的权限，包括：

针对角色挖掘角色对应的日志得到频繁项集集合；

纳入不受权限控制且不存在于频繁项集集合的权限。

可选的，所述以角色中的个体对象为基准，周期性分析调整后的日志，更新执行控制权限操作的权限，包括：

以角色中的个体对象为基准，周期性分析调整后的日志得到控权列表；

移出受权限控制且不存在于控权列表的权限。

可选的，所述以角色中的个体对象为基准，周期性分析调整后的日志，更新执行控制权限操作的权限，包括：

以角色中的个体对象为基准，周期性分析调整后的日志得到控权列表；

纳入不受权限控制且存在于控权列表的权限。

一种控制权限的装置，所述装置包括：

角色模块，用于针对角色挖掘角色对应的日志，调整执行控制权限操作的权限；

对象模块，用于以角色中的个体对象为基准，周期性分析调整后的日志，更新执行控制权限操作的权限。