【技术实现步骤摘要】
本申请涉及网络安全领域,尤其涉及一种访问控制方法、装置、设备、存储介质及程序产品。
技术介绍
1、当前,零信任安全访问控制方案结合软件定义边界(software definedperimeter,sdp)技术、身份识别与访问管理(identity and access manag ement,iam)技术及微隔离技术代替了传统网络安全方案。
2、微隔离技术可以将一个网络(例如企业内网)虚拟地划分为多个小型的、相互隔离的微小网络节点,每个微小网络节点可以看作一个微隔离系统。当一个访问设备尝试访问某个微隔离系统时,首先需要通过运用iam技术的iam系统的身份认证,身份认证通过后,运用sdp技术的sdp系统可以向微隔离系统下发该访问设备的访问控制策略,微隔离系统可以根据sdp系统下发的访问控制策略对访问设备进行访问控制。
3、但是,目前的访问控制策略灵活性较差。
技术实现思路
1、本申请提供一种访问控制方法、装置、设备、存储介质及程序产品,能够依据访问设备的状态与行为信息对该访问设备的可访问范围进行动态更新,提高访问控制策略的灵活性。
2、第一方面,本申请提供一种访问控制方法,该方法应用于安全管控平台;安全管控平台与多个微隔离系统通信连接;该方法包括:获取目标访问设备的状态与行为信息;目标访问设备是通过身份验证后分配有可访问范围的访问设备;可访问范围包括多个微隔离系统中的至少一个微隔离系统;基于目标访问设备的状态与行为信息,对目标访问设备的可访问范围进
3、本申请提供的访问控制方法中,安全管控平台可以根据分配了可访问范围的目标访问设备的状态与行为信息,对目标访问设备的可访问范围进行更新,得到更新后的可访问范围,并向多个微隔离系统发送更新后的可访问范围,多个微隔离系统可以基于更新后的可访问范围对目标访问设备的访问进行控制,从而实现对访问设备的访问控制策略的动态更新,提高了访问控制策略的灵活性。
4、此外,灵活性较差的或者说静态的访问控制策略可能存在目标访问设备在得到较大的可访问范围的授权后受到攻击或控制,对较大的可访问范围内的微隔离系统造成破坏。目标访问设备在得到较大的可访问范围的授权后受到攻击或控制之后,其状态与行为信息会发生改变,本申请实施例提供的访问控制方法可以根据状态与行为信息对可访问范围进行动态更新,可以避免目标访问设备按照原有较大的可访问范围对较大的可访问范围内的微隔离系统造成破坏,从而提高网络防御过程中的安全性。
5、一种可能的实现方式,状态与行为信息包括以下至少一项:目标访问设备是否安装目标软件、目标访问设备所处的网络以及目标访问设备的访问行为记录。
6、另一种可能的实现方式,基于目标访问设备的状态与行为信息,对目标设备的可访问范围进行更新,得到更新后的可访问范围,包括:基于预设评分规则和目标访问设备的状态与行为信息,确定目标访问设备的安全状态评分;基于目标访问设备的安全状态评分,对目标设备的可访问范围进行更新,得到更新后的可访问范围。
7、又一种可能的实现方式,基于目标访问设备的安全状态评分,对目标访问设备的可访问范围进行更新,得到更新后的可访问范围,包括:基于分组对应关系和目标访问设备的安全评分,对目标访问设备所在的用户分组进行更新,得到目标访问设备更新后的用户分组;分组对应关系用于表示安全评分与用户分组之间的对应关系,每个用户分组各自对应一个可访问范围;基于目标访问设备更新后的用户分组,对目标设备的可访问范围进行更新,得到更新后的可访问范围。
8、又一种可能的实现方式,基于预设评分规则和目标访问设备的状态与行为信息,确定目标访问设备的安全状态评分,包括:获取目标访问设备的标准安全状态评分;在基于状态与行为信息确定目标访问设备存在异常行为的情况下,将标准安全状态评分扣除异常行为对应的参考评分,得到安全状态评分。
9、又一种可能的实现方式,异常行为包括:状态与行为信息指示目标访问设备未安装目标软件;状态与行为信息指示目标访问设备所处的网络为预设异常网络;状态与行为信息中的访问行为记录指示目标访问设备访问可访问范围以外的微隔离系统。
10、又一种可能的实现方式,该方法还包括:响应于目标访问设备登录状态变更事件,对应生成事件通知信息;登录状态变更事件的种类包括登录或退出登录;事件通知信息包括目标访问设备的身份标识、安全管控平台为目标访问设备分配的地址信息、目标访问设备的可访问范围以及登录状态变更事件的种类;向多个微隔离系统发送事件通知信息。
11、又一种可能的实现方式,该方法还包括:接收来自于微隔离系统的订阅请求信息;订阅请求信息包括微隔离系统的服务列表和请求订阅的事件类型;请求订阅的事件类型包括登录状态变更事件;响应于订阅请求信息,向微隔离系统发送接口配置信息;接收来自于微隔离系统的订阅确认信息,订阅确认信息是由微隔离系统基于接口配置信息完成内部监听器的配置之后生成的;内部监听器用于获取事件通知信息;响应于订阅确认信息,向微隔离系统发送订阅响应信息;订阅响应信息用于指示注册成功和/或订阅成功。
12、第二方面,本申请提供一种访问控制装置,应用于安全管控平台;安全管控平台与多个微隔离系统通信连接,该装置包括:获取模块、处理模块以及发送模块。
13、获取模块,用于获取目标访问设备的状态与行为信息;目标访问设备是通过身份验证后分配有可访问范围的访问设备;可访问范围包括多个微隔离系统中的至少一个微隔离系统。
14、处理模块,用于基于目标访问设备的状态与行为信息,对目标访问设备的可访问范围进行更新,得到更新后的可访问范围。
15、发送模块,用于向多个微隔离系统发送更新后的可访问范围,以使得多个微隔离系统基于更新后的可访问范围对目标访问设备的访问进行控制。
16、一种可能的实现方式,状态与行为信息包括以下至少一项:目标访问设备是否安装目标软件、目标访问设备所处的网络以及目标访问设备的访问行为记录。
17、另一种可能的实现方式,处理模块,具体用于基于预设评分规则和目标访问设备的状态与行为信息,确定目标访问设备的安全状态评分;基于目标访问设备的安全状态评分,对目标设备的可访问范围进行更新,得到更新后的可访问范围。
18、又一种可能的实现方式,处理模块,具体用于基于分组对应关系和目标访问设备的安全评分,对目标访问设备所在的用户分组进行更新,得到目标访问设备更新后的用户分组;分组对应关系用于表示安全评分与用户分组之间的对应关系,每个用户分组各自对应一个可访问范围;基于目标访问设备更新后的用户分组,对目标设备的可访问范围进行更新,得到更新后的可访问范围。
19、又一种可能的实现方式,处理模块,具体用于获取目标访问设备的标准安全状态评分;在基于状态本文档来自技高网...
【技术保护点】
1.一种访问控制方法,其特征在于,所述方法应用于安全管控平台;所述安全管控平台与多个微隔离系统通信连接;所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述状态与行为信息包括以下至少一项:所述目标访问设备是否安装目标软件、所述目标访问设备所处的网络以及所述目标访问设备的访问行为记录。
3.根据权利要求1所述的方法,其特征在于,所述基于所述目标访问设备的状态与行为信息,对所述目标设备的可访问范围进行更新,得到更新后的可访问范围,包括:
4.根据权利要求3所述的方法,其特征在于,所述基于所述目标访问设备的安全状态评分,对所述目标访问设备的可访问范围进行更新,得到更新后的可访问范围,包括:
5.根据权利要求3所述的方法,其特征在于,所述基于预设评分规则和所述目标访问设备的状态与行为信息,确定所述目标访问设备的安全状态评分,包括:
6.根据权利要求5所述的方法,其特征在于,所述异常行为包括:
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的方法,其特征在于,所
9.一种访问控制装置,其特征在于,所述装置应用于安全管控平台;所述安全管控平台与多个微隔离系统通信连接;所述装置包括:获取模块、处理模块以及发送模块;
10.一种电子设备,其特征在于,所述电子设备包括:处理器和存储器;
11.一种可读存储介质,其特征在于,所述可读存储介质包括:软件指令;
12.一种计算机程序产品,其特征在于,所述计算机程序产品包括:计算机指令;
...【技术特征摘要】
1.一种访问控制方法,其特征在于,所述方法应用于安全管控平台;所述安全管控平台与多个微隔离系统通信连接;所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述状态与行为信息包括以下至少一项:所述目标访问设备是否安装目标软件、所述目标访问设备所处的网络以及所述目标访问设备的访问行为记录。
3.根据权利要求1所述的方法,其特征在于,所述基于所述目标访问设备的状态与行为信息,对所述目标设备的可访问范围进行更新,得到更新后的可访问范围,包括:
4.根据权利要求3所述的方法,其特征在于,所述基于所述目标访问设备的安全状态评分,对所述目标访问设备的可访问范围进行更新,得到更新后的可访问范围,包括:
5.根据权利要求3所述的方法,其特征在于,所述基于预设评分规则...
【专利技术属性】
技术研发人员:李长连,刘青,蔺旋,王贺龙,徐宝辰,李欣欣,刘果,杨飞,郭翔乾,王新,赵培尧,史卓颖,高贯银,杨丽丽,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。