本发明专利技术提供了一种企业网络访问权限的控制方法及装置,该方法包括:从申请终端接收企业网络访问权限申请信息;根据企业网络访问控制平台的工单内容规则,解析访问权限申请信息中的多个关键组成要素,将多个关键组成要素添加至一个工单中,生成网络访问权限申请信息对应的网络访问权限控制工单;将网络访问权限控制工单提供至审核终端,获取审核终端针对网络访问权限控制工单的操作,操作包括下列至少一项:展示、查询、允许和/或禁止;根据审核终端的操作执行网络访问权限的控制。采用本发明专利技术提供的方法,实现了工单的线上流程化处理。
【技术实现步骤摘要】
本专利技术涉及网络应用
,特别是涉及一种企业网络访问权限的控制方法及装置。
技术介绍
信息点间通信和内外网络的通信是企业网络中必不可少的业务需求,为了保证企业内部资源和重要信息的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。访问控制列表(Access Control List,简称ACL)可以过滤网络中的流量,是控制访问的一种网络技术手段。配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用文件传输协议(File Transfer Protocol,简称FTP)服务。现有技术中关于ACL访问控制的处理模式是由人工操作处理。人工操作管理的模式使得ACL访问控制配置复杂且管理混乱,进一步使得ACL访问控制的管理无法实现合规可控,经常出现业务申请用户和网络管理人员之间沟通不顺畅,无法按需访问,以及网络安全管理人员操作不当引起的严格受限的权限放开,致使企业内部资源外泄的问题。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的企业网络访问权限的控制方法及装置。基于本专利技术的一个方面,提供了一种企业网络访问权限的控制方法,包括:从申请终端接收企业网络访问权限申请信息,其中,所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项;根据企业网络访问控制平台的工单内容规则,解析获取所述访问权限申请信息中的多个关键组成要素,将所述多个关键组成要素添加至一个工单中,生成所述网络访问权限申请信息对应的网络访问权限控制工单;将所述网络访问权限控制工单提供至审核终端,获取所述审核终端针对所述网络访问权限控制工单的操作,所述操作包括下列至少一项:展示、查询、允许和/或禁止;根据所述审核终端的操作执行网络访问权限的控制。将所述网络访问权限控制工单提供至审核终端,获取所述审核终端针对所述网络访问权限控制工单的操作,包括:根据所述审核终端预设的安全策略确定针对所述网络访问权限控制工单的审批结果;根据所述审批结果获取针对所述网络访问权限控制工单的操作。可选地,根据所述审批结果获取针对所述网络访问权限控制工单的操作,包括:若所述网络访问权限控制工单符合所述审核终端预设的安全策略,则所述审核终端针对所述网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作;若所述网络访问权限控制工单不符合所述审核终端预设的安全策略,则所述审核终端针对所述网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。可选地,从申请终端获取企业网络访问权限申请信息之前,还包括:对所述申请终端进行身份认证。可选地,还包括:若获取到多个申请终端的企业网络访问权限申请信息时,针对所述多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单;以及将所述多个网络访问权限控制工单以审批列表的形式在所述企业网络访问控制平台中呈现。可选地,还包括:若所述网络访问权限控制工单符合所述审核终端预设的安全策略,则由所述企业网络访问控制平台通知相应设备为所述申请终端开启所述企业网络访问权限;若所述网络访问权限控制工单不符合所述审核终端预设的安全策略,则将禁止消息提供给所述申请终端。可选地,将禁止消息提供给所述申请终端之后,还包括:接收所述申请终端再次发起的、修改后的企业网络访问权限申请信息,并对其进行后续处理。可选地,对所述企业网络访问权限申请信息的修改至少包括:修改所述企业网络访问权限申请信息中的目的IP地址;修改所述企业网络访问权限申请信息中的申请理由;修改所述企业网络访问权限申请信息中的目的端口;修改所述企业网络访问权限申请信息中的访问权限有效时间。可选地,对所述企业网络访问权限申请信息进行的审批包括至少两层的审批操作。可选地,所述方法适用于交换机、路由器以及防火墙间的访问操作。基于本专利技术的另一方面,还提供了一种企业网络访问权限的控制装置,包括:接收模块,适于从申请终端接收企业网络访问权限申请信息,其中,所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项;生成模块,适于根据企业网络访问控制平台的工单内容规则,解析获取所述访问权限申请信息中的多个关键组成要素,将所述多个关键组成要素添加至一个工单中,生成所述网络访问权限申请信息对应的网络访问权限控制工单;获取模块,适于将所述网络访问权限控制工单提供至审核终端,获取所述审核终端针对所述网络访问权限控制工单的操作,所述操作包括:展示、查询、允许和/或禁止;执行模块,适于根据所述审核终端的操作执行网络访问权限的控制。可选地,所述获取模块还适于:根据所述审核终端预设的安全策略确定针对所述网络访问权限控制工单的审批结果;根据所述审批结果获取针对所述网络访问权限控制工单的操作。可选地,所述获取模块还适于:若所述网络访问权限控制工单符合所述审核终端预设的安全策略,则所述审核终端针对所述网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作若所述网络访问权限控制工单不符合所述审核终端预设的安全策略,则所述审核终端针对所述网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。可选地,还包括:认证模块,适于从申请终端获取企业网络访问权限申请信息之前,对所述申请终端进行身份认证。可选地,所述接收模块,还适于若获取到多个申请终端的企业网络访问权限申请信息时,针对所述多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单;以及所述生成模块,还适于将所述多个网络访问权限控制工单以审批列表的形式在所述企业网络访问控制平台中呈现。可选地,还包括:通知模块,适于若所述网络访问权限控制工单符合所述审核终端预设的安全策略,则由所述企业网络访问控制平台通知相应设备为所述申请终端开启所述企业网络访问权限;若所述网络访问权限控制工单不符合所述审核终端预设的安全策略,则将禁止消息提供给所述申请终端。可选地,所述接收模块还适于:将禁止消息提供给所述申请终端之后,接收所述申请终端再次发起的、修改后的企业网络访问权限申请信息,并对其进行后续处理。可选地,对所述企业网络访问权限申请信息的修改至少包括:修改所述企业网络访问权限申请信息中的目的IP地址;修改所述企业网络访问权限申请信息中的申请理由;修改所述企业网络访问权限申请信息中的目的端口;修改所述企业网络访问权限申请信息中的访问权限有效时间。可选地,对所述企业网络访问权限申请信息进行的审批包括至少两层的审批操作。可选地,所述装置适用于交换机、路由器以及防火墙间的访问操作。本专利技术实施例中,将申请终端的企业网络访问权限的申请信息按照工单内容规则,自动生成对应的网络访问权限控制工单,现有技术中关于申请终端的企业网络访问权限的申请信息的处理模式是由人工操作处理,而自动生成工单不需要人工操作,直接根据配置好的工单内容规则生成一个具备各项关键信息的工单,这一步骤相对于现有技术,提升网络安全管理人员的效率,简化网络权限管理复杂度,避免人工操本文档来自技高网...
【技术保护点】
一种企业网络访问权限的控制方法,包括:从申请终端接收企业网络访问权限申请信息,其中,所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项;根据企业网络访问控制平台的工单内容规则,解析所述访问权限申请信息中的多个关键组成要素,将所述多个关键组成要素添加至一个工单中,生成所述网络访问权限申请信息对应的网络访问权限控制工单;将所述网络访问权限控制工单提供至审核终端,获取所述审核终端针对所述网络访问权限控制工单的操作,所述操作包括下列至少一项:展示、查询、允许和/或禁止;根据所述审核终端的操作执行网络访问权限的控制。
【技术特征摘要】
1.一种企业网络访问权限的控制方法,包括:从申请终端接收企业网络访问权限申请信息,其中,所述访问权限申请信息中包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间、申请理由中的一项或多项;根据企业网络访问控制平台的工单内容规则,解析所述访问权限申请信息中的多个关键组成要素,将所述多个关键组成要素添加至一个工单中,生成所述网络访问权限申请信息对应的网络访问权限控制工单;将所述网络访问权限控制工单提供至审核终端,获取所述审核终端针对所述网络访问权限控制工单的操作,所述操作包括下列至少一项:展示、查询、允许和/或禁止;根据所述审核终端的操作执行网络访问权限的控制。2.根据权利要求1所述的方法,其中,将所述网络访问权限控制工单提供至审核终端,获取所述审核终端针对所述网络访问权限控制工单的操作,包括:根据所述审核终端预设的安全策略确定针对所述网络访问权限控制工单的审批结果;根据所述审批结果获取针对所述网络访问权限控制工单的操作。3.根据权利要求2所述的方法,其中,根据所述审批结果获取针对所述网络访问权限控制工单的操作,包括:若所述网络访问权限控制工单符合所述审核终端预设的安全策略,则所述审核终端针对所述网络访问权限控制工单进行展示、查询、允许操作中的至少一项操作;若所述网络访问权限控制工单不符合所述审核终端预设的安全策略,则所述审核终端针对所述网络访问权限控制工单进行展示、查询、禁止操作中的至少一项操作。4.根据权利要求1-3任一项所述的方法,其中,从申请终端获取企业网络访问权限申请信息之前,还包括:对所述申请终端进行身份认证。5.根据权利要求1-4任一项所述的方法,其中,还包括:若获取到多个申请终端的企业网络访问权限申请信息时,针对所述多个申请终端的企业网络访问权限申请信息生成对应的多个网络访问权限控制工单;...
【专利技术属性】
技术研发人员:张睿,童文,裴越峰,江亚辉,金迪颖,刘小雄,
申请(专利权)人:北京琵琶行科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。