一种安全访问控制方法、装置、电子设备及介质与流程

本公开涉及计算机，特别是涉及一种安全访问控制方法、装置、电子设备及介质。

背景技术：

1、随着信息技术的快速发展，企业和组织机构面临着在多系统、多平台及多样化应用场景下高效且灵活地实施访问控制的挑战。传统静态策略的访问控制机制在系统部署后难以适应快速变化的业务需求和安全威胁，修改访问规则往往需要复杂的配置过程，甚至系统停机维护，这不仅增加了运维成本，也影响了业务的连续性。

2、相关技术中，例如基于角色的访问控制(rbac)和基于属性的访问控制(abac)，虽然一定程度上提高了访问控制的灵活性，但是无法实现根据实时安全需求的快速响应和调整访问控制。

技术实现思路

1、为克服相关技术中存在的问题，本申请提供一种安全访问控制方法、装置、电子设备及介质。本申请的技术方案如下：

2、根据本申请实施例的第一方面，提供一种安全访问控制方法，所述方法包括：

3、获取用户发起的访问请求；

4、响应于所述访问请求，采集当前时刻的环境信息；

5、依据预定义的环境与策略映射模型，得到适应所述环境信息的安全策略集；

6、分析所述用户对应的用户行为档案，为所述安全策略集中的每项安全策略分配相应的权重；

7、通过为所述安全策略集中的每项所述安全策略分配相应的权重，确定为所述访问请求授权或拒绝授权。

8、可选地，所述分析用户行为档案，为安全策略集中的每项安全策略分配相应的权重，包括：

9、根据所述用户行为档案，确定所述用户的信用度评分；所述用户行为档案包括：

10、所述用户的历史访问记录和行为分析；

11、根据所述信用度评分，确定所述安全策略集中各个所述安全策略的权重；所述权重用于表征所述安全策略的优先级。

12、可选地，所述确定所述用户的信用度评分，包括：

13、获取系统的最新的风险等级；所述风险等级携带安全评估和已知威胁情报；

14、通过所述风险等级更新所述用户行为档案；

15、根据更新后的所述用户行为档案，确定所述用户的所述信用度评分。

16、可选地，所述确定为访问请求授权或拒绝授权，包括：

17、各个所述安全策略对应各自的安全需求和控制措施；

18、通过为所述安全策略集中的每项所述安全策略分配相应的权重，确定所述安全策略集中各个所述安全策略的执行顺序；

19、通过所述安全策略的执行顺序，确定为访问请求授权或拒绝授权；

20、其中，所述安全策略相互依赖；所述安全策略相互依赖表征靠前执行的所述安全策略的执行结果会影响靠后执行的所述安全策略的执行过程。

21、可选地，还包括：

22、根据所述用户行为档案，确定所述用户的信用度评分；所述用户行为档案包括：

23、所述用户的历史访问记录和行为分析；

24、获取信用度阈值；

25、针对任一所述安全策略，在所述信用度评分高于或等于所述信用度阈值的情况下，采用第一管理模式管理所述安全策略；

26、在所述信用度评分低于所述信用度阈值的情况下，采用第二管理模式管理所述安全策略；

27、其中，所述二管理模式比所述第一管理模式更严格。

28、可选地，所述确定为访问请求授权或拒绝授权之前，还包括：

29、获取风险评估参数；

30、对所述环境信息进行环境分析，确定潜在安全风险信息；所述环境信息包括：系统活动信息、用户行为模式以及外部威胁情报；

31、通过多维度信息，确定风险评分机制；所述多维度信息包括：所述风险评估参数、所述环境信息的分析结果以及所述用户的身份；

32、根据所述评分机制，确定当前时刻的风险等级；

33、获取风险阈值；

34、比较所述风险等级和所述风险阈值；

35、在所述风险等级大于或等于所述风险阈值的情况下，拒绝所有所述访问请求；所述通过为所述安全策略集中的每项所述安全策略分配相应的权重，确定为所述访问请求授权或拒绝授权，包括：

36、在所述风险等级小于所述风险阈值的情况下，通过为安全策略集中的每项所述安全策略分配相应的权重，确定为访问请求授权或拒绝授权。

37、可选地，还包括：

38、获取各个访问对象对应的策略模型；所述策略模型用于表征所述访问对象的访问规则；

39、通过界面操作或接口调用，对所述策略模型进行统一管理；

40、所述获取用户发起的访问请求，包括：

41、接收对任意所述访问对象的所述访问请求，根据所述访问对象对应的所述策略模型，确定所述策略模型对应的访问规则；

42、所述确定为所述访问请求授权或拒绝授权，包括：

43、通过所述访问规则执行所述安全策略。

44、根据本申请实施例的第二方面，提供一种安全访问控制装置，所述装置包括：获取模块，用于获取用户发起的访问请求；

45、采集模块，用于响应于所述访问请求，采集当前时刻的环境信息；

46、筛选模块，用于依据预定义的环境与策略映射模型，得到适应所述环境信息的安全策略集；

47、分配模块，用于分析所述用户对应的用户行为档案，为所述安全策略集中的每项安全策略分配相应的权重；

48、确定模块，用于通过为所述安全策略集中的每项所述安全策略分配相应的权重，确定为所述访问请求授权或拒绝授权。

49、根据本申请实施例的第三方面，提供一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时，实现如第一方面中所述的安全访问控制方法的步骤。

50、根据本公开实施例的第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现如第一方面中所述的安全访问控制方法的步骤。

51、根据本公开实施例的第五方面，提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现第一方面所述的安全访问控制方法的步骤。本公开通过获取当前环境信息并根据预定义的环境与策略映射模型适应性地调整安全策略，能够灵活响应外部环境变化和内部安全需求的变动。通过实时采集环境信息，如网络条件、时间、地理位置等，结合用户的行为档案，可以实现更为精细化和个性化的访问控制。自适应的访问控制方法减少了因环境变化或新的安全威胁而频繁修改访问规则的需要。通过将用户行为档案与环境信息相结合，可以更准确地评估风险并实施相应的安全措施。传统的访问控制系统在修改策略时可能需要系统停机或重启，这会影响业务的连续性，本公开提出的安全访问控制方法允许在不中断服务的情况下进行安全策略的调整，从而支持企业连续无间断的业务运行。

技术特征：

1.一种安全访问控制方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述分析用户行为档案，为安全策略集中的每项安全策略分配相应的权重，包括：

3.根据权利要求2所述的方法，其特征在于，所述确定所述用户的信用度评分，包括：

4.根据权利要求1所述的方法，其特征在于，所述确定为访问请求授权或拒绝授权，包括：

5.根据权利要求1所述的方法，其特征在于，还包括：

6.根据权利要求1所述的方法，其特征在于，所述确定为访问请求授权或拒绝授权之前，还包括：

7.根据权利要求1至6任一所述的方法，其特征在于，还包括：

8.一种安全访问控制装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时，实现如权利要求1-7中任一项所述的安全访问控制方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现如权利要求1-7中任一项所述的安全访问控制方法的步骤。

技术总结本公开提供一种安全访问控制方法、装置、电子设备及介质，属于访问控制技术领域，旨在解决相关技术中无法实现根据实时安全需求的快速响应和调整访问控制的问题。所述方法包括：获取用户发起的访问请求；响应于所述访问请求，采集当前时刻的环境信息；依据预定义的环境与策略映射模型，得到适应所述环境信息的安全策略集；分析所述用户对应的用户行为档案，为所述安全策略集中的每项安全策略分配相应的权重；通过为所述安全策略集中的每项所述安全策略分配相应的权重，确定为所述访问请求授权或拒绝授权。技术研发人员：孙良辰受保护的技术使用者：苏州元脑智能科技有限公司技术研发日：技术公布日：2024/9/26