[发明专利]基于动态访问控制策略的大数据安全运维管控方法及系统

说明书

本发明提供了基于动态访问控制策略的大数据安全运维管控方法及系统，其中所述方法包括：接收来自用户的针对大数据平台的访问请求；响应于接收到的访问请求，匹配已有的固定访问控制策略，并给出固定策略处置结果；响应于所述固定策略处置结果为放行，对所述访问请求进行动态访问控制策略处置，并给出动态策略处置结果；以及根据所述动态策略处置结果，放行或阻止所述访问请求。

技术领域

本发明涉及网络技术与安全领域，更具体地，涉及一种基于动态访问控制策略的大数据安全运维管控方法及系统。

背景技术

目前的大数据平台的运维操作控制主要是通过“接口机-代理服务-平台组件”方式进行的，因大数据接口机是公用的平台，通常同一类角色人员都拥有同样的权限账号，这就会造成多人共享账号无法追责的问题。此外，当数据从大数据平台下载/导出时，会落到接口机上，数据将无法被知晓其后续的流转，很有可能被直接下载到用户终端上，极大地造成了数据泄漏风险。当前的技术在进行大数据组件运维时，无法跟踪定位具体的操作人，在实时运维操作时无法进行管控，数据落到接口机后无法进行后续跟踪及管控。

随着业务系统对大数据平台的依赖，大数据平台运维及内部用户的安全和数据安全的管控力度已经无法满足要求，因此希望提供一种新的大数据安全运维管控方法及系统来克服现有技术中的以下问题：

1)无法精准定位操作人员的操作：仅通过接口机的账号授权管理，存在多个责任人使用同一大数据平台账号访问大数据集群的情况，导致追责时无法追踪到单个责任人；

2)无法实时进行操作管控：接口机连接大数据平台组件是通过代理的方式进行的，操作命令无法在代理服务调用之前进行实时管控；以及

3)存在数据泄露风险：数据到接口机后，这些数据将无法被知晓其后续的流转，很有可能被直接下载到用户终端上，极大地造成了数据泄漏风险。

发明内容

提供本发明内容以便以简化形式介绍将在以下具体实施方式中进一步的描述一些概念。本发明内容并非旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。

针对以上问题，本发明旨在通过多模块的虚拟终端以及访问控制策略的动态调整，实现对大数据运维人员账号的身份识别以及数据流转到接口机后的精确追踪以及相应数据的实时闭环管控。

根据本发明的一个方面，提供了一种用于大数据平台的安全运维管控的方法，所述方法包括：

接收来自用户的针对大数据平台的访问请求；

响应于接收到的访问请求，匹配已有的固定访问控制策略，并给出固定策略处置结果；

响应于所述固定策略处置结果为放行，对所述访问请求进行动态访问控制策略处置，并给出动态策略处置结果；以及

根据所述动态策略处置结果，放行或阻止所述访问请求。

根据本发明的进一步实施例，对所述访问请求进行动态访问控制策略处置进一步包括：

将所述访问请求的行为与和所述用户相关联的行为基线相比较；以及

如果与所述行为基线的偏离超过预定阈值，则给出阻止所述访问请求的动态策略处置结果。

根据本发明的进一步实施例，所述行为基线是通过记录并学习用户在一定时间范围内的历史行为记录而得到的。

根据本发明的进一步实施例，所述方法还包括：

接收来自用户的数据文件下载请求；

从所述大数据平台下载所请求的数据文件；

对下载的数据文件添加追踪信息；以及

将添加了追踪信息的数据文件返回给用户。