用于分析企业访问管理策略集合的安全覆盖的方法和系统技术方案

在一些示例中，公开了用于标识跨多个访问控制策略的安全漏洞的方法、系统和机器可读介质。计算资源的管理员可以被提醒注意这些漏洞，来允许管理员制定策略或修改现有策略，以弥补这些安全间隔。在其它示例中，系统可以自动建议和/或将修改应用于弥补安全间隔的新的访问控制策略或现有策略。漏洞可以基于先前设置的访问控制策略中的访问控制策略准则与访问控制信号的可能值的集合的比较来确定，以确定未被访问控制策略覆盖的访问场景。定未被访问控制策略覆盖的访问场景。定未被访问控制策略覆盖的访问场景。

【技术实现步骤摘要】
【国外来华专利技术】用于分析企业访问管理策略集合的安全覆盖的方法和系统


[0001]实施例涉及对计算机资源的访问控制。一些实施例涉及检测和防止潜在的访问控制间隔。

技术介绍

[0002]计算资源，诸如电子邮件托管服务、通信服务、文件共享服务、存储服务及其它此类服务，必须被保护以防止未经授权的访问。通常，这些计算资源具有包括至少两个概念步骤的访问控制过程。第一步是验证，即系统校验用户的身份。这可能包括校验用户的用户名和密码。第二步是访问控制，其中系统确定所标识的用户是否有权访问计算资源。例如，所标识的用户可能具有用户账户，但可能无权访问某个计算资源。
附图说明
[0003]在附图中，不一定是按比例绘制的，类似的数字可以在不同的视图中描述相似的部件。具有不同字母后缀的类似的数字可以表示相似组件的不同实例。附图以示例的方式而非限制的方式概括地示出了本申请中讨论的各种实施例。
[0004]图1示出了根据本公开的一些示例的示例访问环境。
[0005]图2示出了根据本公开的一些示例的用于创建访问控制策略的GUI。
[0006]图3示出了在从图2的页面上进一步向下滚动的图2的GUI。
[0007]图4示出了根据本公开的一些示例的显示了访问控制策略间隔的推荐屏幕的GUI。
[0008]图5示出了根据本公开的一些示例的未保护位置屏幕。
[0009]图6示出了根据本公开的一些示例的图1的间隔标识器的逻辑图。
[0010]图7示出了根据本公开的一些示例的标识一个或多个访问控制漏洞的方法的流程图。
[0011]图8示出了根据本公开的一些示例的示例机器学习模块。
[0012]图9示出了可以在其上实现一个或多个实施例的机器的示例的框图。
具体实施方式
[0013]计算机化资源通常具有访问控制策略集合，这些访问控制策略集合指定应用于各种访问场景的访问控制。访问控制策略通过指定访问控制策略准则来指定应用该策略的访问场景。访问控制策略准则通过指定一个或多个访问控制信号的值或范围来标识应用访问控制策略的特定访问场景。访问控制信号可以是用户的属性、用户在访问尝试中使用的设备、访问尝试时用户的环境、事件发生时计算机资源的环境或与访问尝试相对应的其它上下文信息。
[0014]在接收到对访问计算机资源的请求后，控制访问的计算设备(下文称为访问控制计算设备)确定一个或多个访问控制策略是否应用于访问尝试。访问控制计算设备针对每个特定的访问控制策略，对照该特定访问控制策略中的访问控制策略准则的集合来评估访
问尝试的访问控制信号的值，以确定该特定访问控制策略是否应用于该特定访问尝试。在找到一个或多个应用的策略后，这些策略指示控制是否授权访问的访问控制，以及应用于访问的任何条件。
[0015]这些访问控制策略为管理员提供了非常精细的控制，以确定计算机化资源是如何被访问的。组织花费大量时间、精力和资源为其计算资源创建和自定义访问控制策略。制定这些策略所花费的时间和精力是为了确保适当的访问控制到位，从而使这些资源得到适当的保护。随着访问控制策略变得更复杂且更多，管理员忘记适当地设置策略来覆盖某些访问场景的可能性增加。这为针对给定场景的访问控制策略过于宽松或不存在的安全漏洞创造了机会。
[0016]在一些示例中，公开了用于标识跨多个访问控制策略的安全漏洞的方法、系统以及机器可读介质。计算资源的管理员可以被提醒注意这些漏洞，来允许管理员制定策略或修改现有策略，以弥补这些安全间隔。在其它示例中，系统可以自动建议和/或将修改应用于弥补安全间隔的新的访问控制策略或现有策略。漏洞可以基于先前设置的访问控制策略中的访问控制策略准则与访问控制信号的可能值的集合的比较来确定，以确定没有由访问控制策略覆盖的访问场景。
[0017]在一些示例中，访问控制信号的可能值的集合可以是访问控制信号的所有合法值的集合。在其它示例中，访问控制信号的所有可能值的集合可以是访问控制信号所有合法值的子集。该子集可以通过过滤掉表征不太重要的访问场景的访问控制信号的值来产生。该过滤可以由知识渊博的安全专家来完成，该专家可以标识重要的访问场景和表征这些场景的访问控制信号。例如，覆盖涉及各种版本的移动设备操作系统的访问场景的访问控制策略对于不允许移动设备访问的计算机化资源来说可能不是很重要。在该示例中，覆盖移动访问场景的访问控制信号的值可以被排除(除了可能拒绝所有访问)。
[0018]在其它示例中，过滤可以基于使用各种数据的自动分析来完成。例如，对特定计算机资源或其它类似计算资源的过去访问模式的自动分析。例如，系统可以自动确定大多数访问发生在特定的地理区域内，因此，该区域内的访问尝试的安全间隔可能非常重要。其它区域的安全间隔可以被忽略、被聚合(如下所述)或被显示为不那么重要。
[0019]在其它示例中，所标识的安全间隔可以跨多个标识的安全间隔中的常见间隔被自动聚合，而不是过滤访问控制信号的可能值的集合。例如，当前设置的访问控制策略可以阻止运行Android 4.4及以下版本的用户的访问，但对iOS设备没有任何限制或策略。系统可以标识Android版本5.0、6.0、7.0、8.0、9、10或11不存在策略；并且iOS版本1、2、3、4、5、6、7、8、9、10、11、12、13和14也不存在策略。系统可以聚合结果来呈现两个建议，一个是为Android版本5
‑
11设置策略，另一个是为iOS(所有版本)设置策略，而非呈现22个不同的场景。在其它示例中，一个单独的建议可以被做出来为Android版本5
‑
11和iOS(所有版本)设置策略。
[0020]在一些示例中，系统可以过滤结果并聚合未被过滤的多个场景。例如，与前面的示例一样，系统可以具有表明iOS版本6
‑
12非常安全的过滤规则的集合，因此，该建议可以仅是针对版本1、2、3和4设置策略。然而，该建议将聚合结果来为所有的版本1
‑
4提供一个单一的未覆盖的场景。
[0021]如前所述，系统还可以自动建议和/或实施一个或多个策略来解决这些安全问题。
这可以基于由安全专家(诸如系统设计师)制定的最佳访问控制策略的集合。覆盖将弥补安全间隔的场景的访问控制策略可以被自动选择，并被显示给管理员用于审批(有或没有定制)或自动实现。例如，每个最佳访问控制策略的访问控制策略准则可以利用与间隔相对应的一个或多个访问控制信号的一个或者多个值来评估，以确定一个或多个最佳访问控制策略是否将应用于当前策略未覆盖的访问场景。
[0022]在找到这些最佳访问控制策略中的一个后，其中的一个或多个就可以被应用。在一些示例中，由管理员设置的配置设置可以确定在应用超过一个最优访问控制策略的情况下应用哪些最优访问控制策略。例如，具有最少限制性访问控制的最佳访问控制策略，或者在替代方案中，具有最多限制性访问控制的最优访问控制策略。
[0023]因此，本公开通过执行访问控制策略的自动分析的技术解决本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于增强对计算机化资源的访问控制的计算机实现的方法，所述方法包括：使用一个或多个硬件处理器：从存储设备获取组织的一个或多个先前配置的访问控制策略描述符数据结构的集合，所述访问控制策略描述符数据结构描述适用于对所述计算机化资源授权访问的访问控制策略，每个特定访问控制策略描述符数据结构定义访问控制和访问控制准则，所述访问控制准则定义所述特定访问控制策略适用的一个或多个访问控制信号的集合的值；针对多个访问控制信号标识一个或多个合法值的集合；基于标识所述先前配置的访问控制策略描述符数据结构的集合与针对所述访问控制信号的所述合法值的集合之间的间隔来确定访问控制漏洞；以及使得描述所述访问控制漏洞的信息呈现在图形用户界面内。2.根据权利要求1所述的方法，其中所述访问控制信号包括以下中的一项或多项：请求访问的计算设备的地理位置、请求访问的所述计算设备的设备标识符、请求访问的所述计算机设备的类型、访问请求在一天中的时间、或用户特权级别。3.根据权利要求1所述的方法，还包括：基于所述访问控制漏洞生成新的访问控制策略描述符数据结构，所述新的访问控制策略描述符数据结构适用于对解决所述访问控制漏洞的所述计算机化资源授权访问；以及使得推荐被传输，以采用由所述新的访问控制策略描述符数据结构描述的新的访问控制策略。4.根据权利要求1所述的方法，还包括：基于所述访问控制漏洞生成新的访问控制策略描述符数据结构，所述新的访问控制策略描述符数据结构适用于对解决所述访问控制漏洞的所述计算机化资源授权访问；以及通过将所述新的访问控制策略添加到所述先前配置的访问控制策略描述符数据结构的集合，来自动应用由所述新的访问控制策略描述符数据结构描述的新的访问控制策略，而无需用户输入批准所述新的访问控制策略的应用。5.根据权利要求1所述的方法，还包括：从计算设备接收针对所述计算机化资源的访问请求；确定与所述访问请求相对应的访问控制信号；基于所述访问控制信号，使用所述访问控制信号从一个或多个先前配置的访问控制策略描述符数据结构的所述集合中所描述的访问策略中确定一个或多个适用的访问控制策略的集合；在一个或多个适用的访问控制策略的所述集合内应用由所述访问控制指定的访问过程，以确定是否允许访问所述计算机化资源；以及响应于基于所述访问过程确定所述计算设备被允许访问所述计算机化资源，使得授权所述计算设备对所述计算机资源的访问。6.根据权利要求1所述的方法，其中所述多个访问控制信号的所述合法值的集合包括针对全部合法访问控制信号的全部允许的访问信号的全部组合。7.一种用于增强对计算机化资源的访问控制的计算设备，所述计算设备包括：一个或多个硬件处理器；存储器设备，所述存储器设备存储指令，所述指令在由所述一个或多个硬件处理器执
行时使所述计算设备执行操作，所述操作包括：从存储设备获取组织的一个或多个先前配置的访问控制策略描述符数据结构的集合，所述访问控制策略描述符数据结构描述适用于对所述计算机化资源授权访问的访问控制策略，每个...

【专利技术属性】
技术研发人员：D，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：