本申請(qǐng)涉及風(fēng)險(xiǎn)管控技術(shù)領(lǐng)域，揭示了一種用戶權(quán)限的風(fēng)險(xiǎn)評(píng)估方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)，其中方法包括：獲取各用戶權(quán)限在歷史使用中產(chǎn)生的損失事件及損失事件造成的損失值，將各用戶權(quán)限下?lián)p失事件產(chǎn)生的損失值進(jìn)行累加，得到累計(jì)損失值，并生成各用戶權(quán)限與對(duì)應(yīng)累計(jì)損失值的對(duì)照表；響應(yīng)于目標(biāo)用戶的授權(quán)請(qǐng)求，獲取目標(biāo)用戶的用戶信息以及申請(qǐng)的目標(biāo)用戶權(quán)限，根據(jù)用戶信息調(diào)取目標(biāo)用戶的損失系數(shù)，根據(jù)目標(biāo)用戶權(quán)限從對(duì)照表中查詢得到目標(biāo)用戶權(quán)限對(duì)應(yīng)的標(biāo)準(zhǔn)損失值；根據(jù)損失系數(shù)及標(biāo)準(zhǔn)損失值預(yù)估目標(biāo)用戶使用目標(biāo)用戶權(quán)限所造成的期望損失值，并生成風(fēng)險(xiǎn)評(píng)估結(jié)果，使風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性較高，且直觀性較好。

技術(shù)領(lǐng)域

本申請(qǐng)涉及到風(fēng)險(xiǎn)管控技術(shù)領(lǐng)域，特別是涉及到一種用戶權(quán)限的風(fēng)險(xiǎn)評(píng)估方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)。

背景技術(shù)

現(xiàn)有信息安全系統(tǒng)在審核員工終端特權(quán)的授權(quán)管理時(shí)，評(píng)估開(kāi)通用戶權(quán)限所帶來(lái)的風(fēng)險(xiǎn)的方法主要通過(guò)了解行業(yè)內(nèi)其他公司、或者根據(jù)安全咨詢公司提供的最佳實(shí)踐安全方案進(jìn)行用戶權(quán)限管理，受限于各公司的具體情況不同，此類方案容易脫離公司實(shí)際情況，造成用戶權(quán)限管控策略與業(yè)務(wù)實(shí)際需求脫鉤。

此外，現(xiàn)有采用用戶權(quán)限的風(fēng)險(xiǎn)評(píng)估方法無(wú)法量化，使風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性較低，直觀性較差，審核用戶難以直接根據(jù)評(píng)估結(jié)果作出決策。

發(fā)明內(nèi)容

本申請(qǐng)的主要目的為提供一種用戶權(quán)限的風(fēng)險(xiǎn)評(píng)估方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)，旨在解決目前風(fēng)險(xiǎn)評(píng)估方法無(wú)法量化，使風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性較低，直觀性較差的技術(shù)問(wèn)題。

為了實(shí)現(xiàn)上述發(fā)明目的，本申請(qǐng)?zhí)岢鲆环N用戶權(quán)限的風(fēng)險(xiǎn)評(píng)估方法，包括：

獲取各用戶權(quán)限在歷史使用中產(chǎn)生的損失事件及所述損失事件造成的損失值，將各用戶權(quán)限下?lián)p失事件產(chǎn)生的損失值進(jìn)行累加，得到累計(jì)損失值，并生成各用戶權(quán)限與對(duì)應(yīng)累計(jì)損失值的對(duì)照表；

響應(yīng)于目標(biāo)用戶的授權(quán)請(qǐng)求，獲取目標(biāo)用戶的用戶信息以及申請(qǐng)的目標(biāo)用戶權(quán)限，根據(jù)所述用戶信息調(diào)取目標(biāo)用戶的損失系數(shù)，根據(jù)所述目標(biāo)用戶權(quán)限從所述對(duì)照表中查詢得到所述目標(biāo)用戶權(quán)限對(duì)應(yīng)的標(biāo)準(zhǔn)損失值；其中，所述損失系數(shù)根據(jù)目標(biāo)用戶的歷史損失事件及各歷史損失事件造成的歷史損失值計(jì)算得到；

根據(jù)所述損失系數(shù)及標(biāo)準(zhǔn)損失值預(yù)估所述目標(biāo)用戶使用所述目標(biāo)用戶權(quán)限所造成的期望損失值，根據(jù)所述期望損失值生成風(fēng)險(xiǎn)評(píng)估結(jié)果。

可選地，所述損失值包括安全入侵事件、信息泄露事件或法律風(fēng)險(xiǎn)事件造成的損失值；所述獲取各用戶權(quán)限在歷史使用中產(chǎn)生的損失事件及所述損失事件造成的損失值的步驟之前，還包括：

收集各用戶權(quán)限在歷史使用中產(chǎn)生的安全入侵事件，根據(jù)所述安全入侵事件的入侵次數(shù)計(jì)算所述損失值；或

收集各用戶權(quán)限在歷史使用中產(chǎn)生的信息泄露事件，根據(jù)所述信息泄露事件的信息轉(zhuǎn)發(fā)量及瀏覽量計(jì)算所述損失值；或

收集各用戶權(quán)限在歷史使用中產(chǎn)生的法律風(fēng)險(xiǎn)事件，根據(jù)所述法律風(fēng)險(xiǎn)事件產(chǎn)生的法律費(fèi)用計(jì)算所述損失值。

可選地，所述根據(jù)所述損失系數(shù)及標(biāo)準(zhǔn)損失值預(yù)估所述目標(biāo)用戶使用所述目標(biāo)用戶權(quán)限所造成的期望損失值，根據(jù)所述期望損失值生成風(fēng)險(xiǎn)評(píng)估結(jié)果的步驟，包括：

根據(jù)所述目標(biāo)用戶的損失系數(shù)及標(biāo)準(zhǔn)損失值預(yù)估所述目標(biāo)用戶使用所述目標(biāo)用戶權(quán)限所產(chǎn)生的安全入侵事件、信息泄露事件及法律風(fēng)險(xiǎn)事件分別造成的期望損失值；

根據(jù)所述安全入侵事件、信息泄露事件及法律風(fēng)險(xiǎn)事件，分類對(duì)所述期望損失值進(jìn)行統(tǒng)計(jì)并生成對(duì)應(yīng)圖標(biāo)。

進(jìn)一步地，所述根據(jù)所述損失系數(shù)及標(biāo)準(zhǔn)損失值預(yù)估所述目標(biāo)用戶使用所述目標(biāo)用戶權(quán)限所造成的期望損失值的步驟之后，還包括：