技術領域

?本發明涉及運維審計資源授權領域，尤其是一種應用于運維審計系統的自動收集授權關系的方法。

背景技術

隨著信息技術的不斷進步和信息化的顯著發展，信息安全已日益受到更多的關注。內部信息不但受到外部因素的威脅，內部用戶的違規操作和誤操作也會對其造成嚴重的數據安全問題。因此，運維安全審計產品（以下稱“運維審計系統”）被運用到越來越多的網絡環境中，用以防范內部信息安全問題，記錄網絡資源訪問日志以便事后審計。大部分此類產品都提供帳號管理、身份認證、資源授權、單點登錄(指用戶通過運維審計系統訪問資源)、訪問控制和操作審計等功能，以幫助使用者實現運維安全管理和內控審計的目的。

運維審計系統保存用戶信息、資源信息等基礎數據。用戶是指運維審計系統自身的合法用戶，用戶有用戶名、登錄密碼、電子郵箱地址等信息。資源指受運維審計系統保護的信息資源，如主機、服務器、網絡設備、操作系統、數據庫等。資源有所屬部門、IP地址、帳號和登錄密碼等信息。某用戶有權以某一資源帳號訪問該資源，則稱該資源和帳號被授權給該用戶，該用戶與該資源之間存在授權關系，該授權關系關聯了用戶、資源和帳號。在部署有運維審計系統的網絡環境中，用戶只能通過運維審計系統提供的功能訪問資源。將哪些用戶有權以哪些帳號訪問哪些資源這些授權關系收集起來，添加到運維審計系統中，并設置用戶只能訪問在運維審計系統中與之存在授權關系的資源，就能實現資源授權訪問的目的，控制用戶對資源的訪問。

?如何收集哪些用戶與哪些資源之間存在授權關系，并將這些授權關系添加到運維審計系統中，是需要解決的一大問題。目前，對用戶與資源之間授權關系的收集工作，需要使用者手動進行收集，工作難度大，耗費人力和時間，還可能收集到錯誤數據和重復數據，難以保障收集到的信息的質量，并且收集到的授權關系需要手動添加到系統中，操作重復繁瑣，效率低下。

發明內容

本發明的目的在于提供一種應用于運維審計系統的自動收集授權關系的方法，用來在實際使用過程中，自動收集運維審計用戶與運維審計系統所保護資源之間的授權關系，省去了人為手動進行收集所做的大量重復繁瑣的工作，還能避免因不可控因素而收集到錯誤的數據。其使用簡便靈活，節省人力和大量時間，能夠提高工作效率。

?本發明通過下述技術方案實現：

?????一種應用于運維審計系統的自動收集授權關系的方法，包括以下步驟：

????（1）用戶登錄運維審計系統，系統獲取到用戶信息；

????（2）用戶通過運維審計系統訪問資源，系統獲取到資源信息；

（3）系統判斷是否存在該用戶與該資源的授權關系，若已存在，則不添加重復數據；若不存在，則在系統中自動添加該用戶與該資源的授權關系。

通過上述方法，當用戶通過所述運維審計系統訪問在系統中與之不存在授權關系的資源時，系統就會自動添加該用戶與該資源的授權關系，達到自動收集授權關系的目的。

所述用戶是指運維審計系統自身的合法用戶，用戶包含用戶名、登錄密碼、電子郵箱地址等用戶信息；資源指受運維審計系統保護的信息資源，如主機、服務器、網絡設備、操作系統、數據庫，資源包含所屬部門、IP地址、帳號和登錄密碼等資源信息。

所述運維審計系統包含一配置項“允許未授權登錄”，該配置項可以開啟或關閉，當關閉這一配置項時，即不允許未授權登錄，表示用戶登錄運維審計系統后，只能訪問在系統中與之存在授權關系的資源。當開啟這一配置項時，表示用戶登錄運維審計系統后，不僅能訪問在系統中與之存在授權關系的資源，還能訪問在系統中與之不存在授權關系的資源，只要用戶知道該資源的身份認證信息（帳號和密碼等）。

????所述運維審計系統包含一配置項“收集授權關系”，該配置項可以開啟或關閉，當開啟“允許未授權登錄”配置項，并且開啟“收集授權關系”配置項時，當用戶通過運維審計系統訪問資源時，系統就會自動收集授權關系。

當用戶有權以某一資源帳號訪問該資源，則稱該資源和帳號被授權給該用戶，該用戶與該資源之間存在授權關系，該授權關系關聯了用戶、資源和帳號。

本發明與現有技術相比，具有的有益效果為：本發明實現了運維審計系統自動收集用戶與資源之間授權關系的功能，通過自動集中地收集授權關系，省去了人為手動進行收集所做的大量重復繁瑣的工作，還能避免因不可控因素而收集到錯誤的數據。其使用簡便靈活，節省人力和大量時間，能夠提高工作效率。

附圖說明

圖1為本發明的流程圖。

具體實施方式