本發明公開了一種特權賬號的權限控制管理方法，包括以下步驟：S1：通過用戶向管理平臺申請注冊特權賬號并登錄特權賬號；S2：通過用戶提升特權賬號的操作權限；S3：利用管理平臺對特權賬號進行權限檢查；S4：根據用戶需求，通過運維管理員分配用戶的賬號權限，完成特權賬號的權限控制管理流程。本發明的權限控制管理方法是一套安全便捷的賬號權限管理流程，進一步提高用戶的效率，使用戶不再被多次登錄困擾，也不需要記住多個ID和密碼。同時簡化管理，減輕運維管理員的管理負擔，方便運維管理員對不同用戶的賬號進行相應的權限分配，嚴格控制普通用戶賬號的權限，保護數據以及功能避免受到錯誤或惡意行為的破壞。

技術領域

本發明屬于特權賬號安全技術領域，具體涉及一種特權賬號的權限控制管理方法。

背景技術

當前網絡環境安全事件頻繁發生，按來源可分為外部攻擊與內部隱患兩類。在被統計的各類安全事件數據中，有85％以上的信息安全事故與內部人員有關。這些事故起因包含主動的惡意行為，如數據竊取與泄漏，不當的越權訪問和惡意破壞等；也包含各種非故意引起的災害，如權限分配不當而造成的資料誤刪和誤操作等；再則就是IT運維管理人員的特權賬號保管不當，無意間泄漏了帳號或密碼被有心人利用，從而造成巨大的損失。

當前某些企業的服務器、數據庫和業務系統眾多，特權賬號無處不在。但是大部分的特權賬號沒有遵循最小權限原則，在沒有規范管理流程和做出審計的情況下，root或管理員權限被大量發放，造成了安全隱患。部分特權賬號被多人共享，賬號授權平臺沒有根據授權憑證或申請人資質下發相應的授權；第三方運維人員更換頻繁，無法對運維管理特權賬號的交接有效管控，沒有定時對特權賬號的權限憑證進行有效審核，導致本該被刪除特權賬號仍被使用。因此對重要設備或重要系統的特權帳號的權限進行權限控制勢在必行。

發明內容

本發明的目的是為了解決特權賬號安全性的問題，提出了一種特權賬號的權限控制管理方法。

本發明的技術方案是：一種特權賬號的權限控制管理方法包括以下步驟：

S1：通過用戶向管理平臺申請注冊特權賬號并登錄特權賬號；

S2：通過用戶提升特權賬號的操作權限；

S3：利用管理平臺對提升操作權限后的特權賬號進行權限檢查，并生成審計信息；

S4：根據權限檢查通過的用戶的需求，通過運維管理員分配用戶的賬號權限，完成特權賬號的權限控制管理流程。

本發明的有益效果是：本發明的權限控制管理方法是一套安全便捷的賬號權限管理流程，包括對賬號初始權限的設置，同時根據用戶申請對其賬號的修改提權，并加載單點登錄功能，運維管理員可以根據用戶不同的身份設置其特權賬號在不同業務系統中的賬號權限，限制或方便其相關操作，進一步提高用戶的效率，使用戶不再被多次登錄困擾，也不需要記住多個ID和密碼。同時簡化管理，減輕運維管理員的管理負擔，方便運維管理員對不同用戶的賬號進行相應的權限分配。在滿足用戶基本需求的前提下，嚴格控制普通用戶賬號的權限，保護數據以及功能避免受到錯誤或惡意行為的破壞。

進一步地，步驟S1包括以下子步驟：

S11：通過用戶向管理平臺申請注冊特權賬號；

S12：利用管理平臺批準用戶的特權賬號申請，并獲取用戶屬性信息；

S13：將用戶屬性信息記錄到后臺數據庫中，并下發賬號登錄憑證給用戶；

S14：根據賬號登錄憑證，用戶登錄特權賬號。

上述進一步方案的有益效果是：在本發明中，用戶登錄特權賬號需要登錄憑證才能實現，保證了特權賬號登錄的安全性。

進一步地，步驟S12中，用戶屬性信息包括用戶的賬號名稱、賬號密碼和默認權限。