一種控制權限的方法，所述方法包括：針對角色挖掘角色對應的日志，調整執行控制權限操作的權限；以角色中的個體對象為基準，周期性分析調整后的日志，更新執行控制權限操作的權限。本發明實施例還公開一種控制權限的裝置，能夠避免權限過剩，實現角色和人員的權限最小化控制。

技術領域

本發明涉及計算機領域，尤其涉及一種控制權限的方法和裝置。

背景技術

為了達到信息安全的目標，各種信息安全技術的使用必須遵守一些基本的原則。其中最基本，也是最重要的一項就是權限最小化原則。在法律和相關安全策略允許的前提下，為滿足工作需要，僅被授予訪問信息的適當權限，過度的權限申請或下放，都隱藏著很大的安全隱患。

由于需要管控的資源較多、用戶數量大且類別繁雜，傳統的主體、權限分配方式已經不再適用。為了便于更好且系統化的管理，當前被認可且采用最多的是基于角色的權限分配方法，即用戶對應角色，角色對應權限清單。

根據使用需求抽象出一系列的角色，再對各個角色進行權限劃分。授權操作時，直接對用戶進行角色劃分即可，這樣屬于同一角色的用戶群體，具有相同的權限列表。

然而，由于是人工規劃且對應的是各個群體，所以很難達到權限最小化要求；而且，有些權限的使用率較低。因此，存在比較嚴重的權限過剩情況。

發明內容

本發明實施例提供了一種控制權限的方法，能夠避免權限過剩，實現角色和人員的權限最小化控制。

本發明實施例還提供了一種控制權限的裝置，能夠避免權限過剩，實現角色和人員的權限最小化控制。

一種控制權限的方法，所述方法包括：

針對角色挖掘角色對應的日志，調整執行控制權限操作的權限；

以角色中的個體對象為基準，周期性分析調整后的日志，更新執行控制權限操作的權限。

可選的，所述挖掘角色對應的日志，包括：

通過Apriori算法挖掘角色對應的日志。

可選的，所述針對角色挖掘角色對應的日志，調整執行控制權限操作的權限，包括：

針對角色挖掘角色對應的日志得到頻繁項集集合；

移出受權限控制且存在于頻繁項集集合的權限。

可選的，所述針對角色挖掘角色對應的日志，調整執行控制權限操作的權限，包括：

針對角色挖掘角色對應的日志得到頻繁項集集合；

納入不受權限控制且不存在于頻繁項集集合的權限。

可選的，所述以角色中的個體對象為基準，周期性分析調整后的日志，更新執行控制權限操作的權限，包括：

以角色中的個體對象為基準，周期性分析調整后的日志得到控權列表；

移出受權限控制且不存在于控權列表的權限。

可選的，所述以角色中的個體對象為基準，周期性分析調整后的日志，更新執行控制權限操作的權限，包括：

以角色中的個體對象為基準，周期性分析調整后的日志得到控權列表；

納入不受權限控制且存在于控權列表的權限。

一種控制權限的裝置，所述裝置包括：

角色模塊，用于針對角色挖掘角色對應的日志，調整執行控制權限操作的權限；

對象模塊，用于以角色中的個體對象為基準，周期性分析調整后的日志，更新執行控制權限操作的權限。