[发明专利]一种用于机房托管管理的安全双控管理平台

权利要求书

1.一种用于机房托管管理的安全双控管理平台，包括运维及数据安全管控系统，其特征在于，所述运维及数据安全管控系统包括：

权限管理模块，用以对访问企业数据库的用户进行用户权限管理；

运维审计模块，其与所述权限管理模块连接，用以根据权限管理模块确定的用户权限对用户访问企业数据库的过程进行审计；

数据安全管控模块，其分别与权限管理模块和运维审计模块连接，用以根据所述用户权限和审计结果对所述用户访问的数据进行安全管控；

所述权限管理模块包括用以管理用户账户的账户管理单元，用以管理用户认证方式和认证策略的密码管理单元，以及用以对用户进行授权的授权管理单元；

所述运维审计模块包括用以监控用户访问企业数据库过程数据的监控单元和用以对用户访问过程数据进行分析的分析判定单元；

所述数据安全管控模块包括用以识别敏感数据的识别单元和用以将识别单元识别的敏感数据进行脱敏的脱敏单元；

所述授权管理单元在对用户授权时，获取账户管理单元中的用户账户信息，并根据用户账户信息确定用户的权限等级，所述授权管理单元根据所述用户等级确定用户访问所述企业数据库的限制级别；

所述监控单元对用户通过安全决策系统访问企业数据库过程进行监控包括监测用户单次访问的数据类型数量Q、用户访问各数据类型的数据量U、用户访问数据量中敏感数据比例B以及访问不符合用户等级数据的尝试次数C，所述分析判定单元根据所述数据类型数量Q与预设数据类型数量Q0的比对结果确定对用户的监控力度；

所述分析判定单元根据所述数据类型数量Q与预设数据类型数量Q0的比对结果确定对用户的监控力度时，所述监控单元设置有第一监控力度值W1和第二监控力度值W2，且W1＜W2，

若Q≤Q0，所述监控单元将对用户的监控力度设置为第一监控力度值W1；

若Q＞Q0，所述监控单元将对用户的监控力度设置为第一监控力度值W2；

所述分析判定单元还用以将监测的各所述数据类型的数据量U与预设数据量U0进行比对，并根据比对结果确定是否对用户的监控力度进行调节，

若U≤U0，所述分析判定单元判定不对用户的监控力度值进行调节；

若U＞U0，所述分析判定单元判定对用户的监控力度值进行调节；

所述分析判定单元还用以在获取用户访问数据量中敏感数据比例B和访问不符合用户权限等级数据的尝试次数C完成时，将所述数据比例B与预设数据比例B0和所述尝试次数C与预设尝试次数C0分别进行比对，并根据比对结果判定所述用户的访问过程是否合规，

若B≤B0或C≤C0，所述分析判定单元判定所述用户的访问过程不合规；

若B＞B0且C＞C0，所述分析判定单元判定所述用户的访问过程合规；

所述分析判定单元在判定所述用户访问过程不合规时，计算所述用户访问过程的合格率P，设定P=B/B0+C/C0，并将该合格率P与预设合格率进行比对，并根据比对结果对用户访问过程的监控力度值进行修正、对用户权限等级进行降级处理或禁止用户访问；

所述监控单元在所述分析判定单元判定所述对用户监控力度进行修正时，计算所述合格率P和第一预设合格率P1的第一合格率差值ΔPa，设定ΔPa=P-P1，并根据该合格率差值与预设合格率差值的比对结果选取对应的修正系数对监控力度值进行修正；

所述授权管理单元还用以在将禁止用户访问所述企业数据库的禁止时长设置为tz时，设定z=1，2，3，获取该用户历史访问企业数据库的合规次数F，并将该合规次数F与预设合规次数F0进行比对，若F≤F0，所述授权管理单元判定不对所述禁止时长进行调节，若F＞F0，所述授权管理单元判定对禁止时长进行调节；

所述授权管理单元还用以在判定对所述禁止时长进行调节时，计算所述合规次数F与预设合规次数F0的次数差值ΔF，设定ΔF=F-F0，并根据该次数差值与预设次数差值的比对结果选取对应的时长调节系数对所述禁止时长进行调节。