本公开涉及信息安全,尤其涉及一种面向信息管理系统的防越权系统、方法、设备及存储介质。
背景技术:
1、信息管理系统(mis,management information system)是指为组织中的管理层提供信息支持和决策支持的系统。mis作为管理信息的核心系统,在设计和落地中更关注信息和数据的获取、处理、利用,随着日益严峻的网络安全形式以及各类组织中对信息保护的不断增长的需求,传统的mis极大可能造成信息泄露,即数据越权。
2、相关技术中,在针对mis系统防越权时,聚焦于多次接口交互,增加加密等机制,预先在系统内置一定量的加密规则,但设计流程繁琐复杂,多次交互均存在中间人攻击可能性,即使有加密机制,加密前的明文存在被篡改的可能性,反而成为系统重大漏洞。
技术实现思路
1、本公开旨在至少在一定程度上解决相关技术中的技术问题之一。
2、本公开第一方面实施例提出了一种面向信息管理系统的防越权系统,包括:
3、信息管理系统mis、信息存储模块、查询处理模块、越权模块适配器和至少一个微服务模块;其中,所述mis用于从不同的数据源中收集数据,并将所述数据存储到所述信息存储模块,以及对所述数据进行处理;
4、所述查询处理模块用于根据用户的查询请求,从所述信息存储模块中获取目标所需数据;
5、所述越权模块适配器用于:进行越权检测以识别越权访问请求;以及,基于预设的越权控制策略,对所述越权访问请求进行处理;
6、所述越权模块适配器还用于:根据对所述查询请求的校验结果,将所述查询请求传递至对应的所述微服务模块进行鉴权。
7、可选的,所述信息存储模块包括基本信息数据模块和控制信息数据模块,其中,
8、所述基本信息数据模块用于存储与实际业务关联的基本信息;
9、所述控制信息数据模块用于存储与系统运行和安全管理相关的关键信息,其中,所述关键信息至少包括访问控制规则、权限配置和安全策略。
10、可选的,所述信息存储模块用于:
11、将数据库和文件系统存储在存储介质中;
12、接收所述查询请求,并根据所述查询请求中的索引信息,获取用于支持所述实际业务的所述目标所需数据。
13、可选的,所述多个微服务模块中含有ip校验模块,所述ip校验模块具体用于:
14、根据预定的规则,检查ip地址;
15、在所述ip地址为合法地址的情况下,确定所述ip地址可访问所述mis系统,其中,所述预定的规则包括以下一种或者多种:ip网段、是否内网、是否日常访问ip、ip是否公有云资源池、白名单、黑名单。
16、可选的,所述多个微服务模块中含有用户行为习惯模块,所述用户行为习惯模块具体用于:
17、收集所述用户的行为数据,所述行为数据包含访问时间段、操作习惯以及使用频率;
18、根据所述行为数据,生成所述用户的行为画像;
19、判断所述越权访问请求是否符合所述行为画像,以得到判断结果;
20、根据所述判断结果,判断是否存在越权行为。
21、可选的,所述多个微服务模块中含有可访问范围校验模块,所述可访问范围校验模块具体用于:
22、判断所述用户是否有权访问指定信息或者执行指定操作;
23、根据预定义的访问控制规则,判断是否授权用户请求;
24、若授权用户请求,则确定授权用户可访问的所述指定信息和可使用的功能。
25、可选的,所述越权模块适配器具体用于:
26、根据所述用户的查询请求,确定待校验信息;
27、基于所述待校验信息,从多个微服务模块中确定目标微服务模块,其中,所述目标微服务模块为一个或者多个;
28、将所述查询请求路由至所述目标微服务模块进行用户鉴权。
29、可选的,所述越权模块适配器还用于:
30、作为微服务注册中心非重启式注册并接入第一微服务模块。
31、可选的,所述越权模块适配器还用于:
32、根据所述用户的查询请求,确定待校验信息;
33、确定与所述待校验信息对应的访问权限和第一访问范围;
34、根据所述访问权限,确定所述用户对应的第二访问范围;
35、根据所述第一访问范围和所述第二访问范围,判断所述查询请求是否为越权访问请求。
36、可选的,所述mis还用于:
37、在对所述用户鉴权通过的情况下,将所述目标所需数据发布给所述用户。
38、本公开第二方面实施例提出了一种面向信息管理系统的防越权方法,包括:
39、接收用户的查询请求;
40、根据所述查询请求,确定待校验信息;
41、基于所述待校验信息,从多个微服务模块中确定目标微服务模块,其中,所述目标微服务模块为一个或者多个;
42、根据所述目标微服务模块的鉴权结果,判断所述查询请求是否为越权访问请求;
43、根据对所述查询请求的判断结果,获取目标所需数据以提供给用户。
44、可选的,所述根据所述目标微服务模块的鉴权结果,判断所述查询请求是否为越权访问请求,包括:
45、在所述目标微服务模块为ip校验模块的情况下,根据预定的规则,检查ip地址;
46、在所述ip地址为合法地址的情况下,确定所述ip地址可访问所述mis系统,其中,所述预定的规则包括以下一种或者多种:ip网段、是否内网、是否日常访问ip、ip是否公有云资源池、白名单、黑名单。
47、可选的,所述根据所述目标微服务模块的鉴权结果,判断所述查询请求是否为越权访问请求,包括:
48、在所述目标微服务模块为用户行为习惯模块的情况下,收集所述用户的行为数据,所述行为数据包含访问时间段、操作习惯以及使用频率;
49、根据所述行为数据,生成所述用户的行为画像;
50、判断所述越权访问请求是否符合所述行为画像,以得到判断结果;
51、根据所述判断结果,判断是否存在越权行为。
52、可选的,所述根据所述目标微服务模块的鉴权结果,判断所述查询请求是否为越权访问请求,包括:
53、在所述目标微服务模块为可访问范围校验模块的情况下,判断所述用户是否有权访问指定信息或者执行指定操作;
54、根据预定义的访问控制规则,判断是否授权用户请求;
55、若授权用户请求,则确定授权用户可访问的所述指定信息和可使用的功能。
56、本公开第三方面实施例提出了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本公开实施例的面向信息管理系统的防越权方法。
57、本公开第四方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行本公开实施例公开的面向信息管理系统的防越权方法。
58、本公开第五方面实施例提出了一种计算机程序产品,所述计算机程序被处理器执行时执行本公开实施例公开的面向信息管理系统的防越权方法。
59、本公开实施例引入了装配式逻辑,无需中断mis系统的运行和重新启动服务。对于大型组织和关键业务系统非常重要,可以保持连续的服务。通过微服务注册的方式引入防越权模块,系统可以实现动态扩展,同时保证高可用性和扩展性。这样,mis系统可以在保持高度安全性的同时,提供更稳定的服务。
60、本公开附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本公开的实践了解到。
1.一种面向信息管理系统的防越权系统,其特征在于,包括:
2.根据权利要求1所述的防越权系统,其特征在于,所述信息存储模块包括基本信息数据模块和控制信息数据模块,其中,
3.根据权利要求2所述的防越权系统,其特征在于,所述信息存储模块用于:
4.根据权利要求1所述的防越权系统,其特征在于,所述至少一个微服务模块中含有ip校验模块,所述ip校验模块具体用于:
5.根据权利要求1所述的防越权系统,其特征在于,所述至少一个微服务模块中含有用户行为习惯模块,所述用户行为习惯模块具体用于:
6.根据权利要求1所述的防越权系统,其特征在于,所述至少一个微服务模块中含有可访问范围校验模块,所述可访问范围校验模块具体用于:
7.根据权利要求1所述的防越权系统,其特征在于,所述越权模块适配器具体用于:
8.根据权利要求1所述的防越权系统,其特征在于,所述越权模块适配器还用于:
9.根据权利要求1所述的防越权系统,其特征在于,所述越权模块适配器还用于:
10.根据权利要要求1所述的防越权系统,其特征在于,所述mis还用于:
11.一种面向信息管理系统的防越权方法,其特征在于,包括:
12.根据权利要求11所述的方法,其特征在于,所述根据所述目标微服务模块的鉴权结果,判断所述查询请求是否为越权访问请求,包括:
13.根据权利要求11所述的方法,其特征在于,所述根据所述目标微服务模块的鉴权结果,判断所述查询请求是否为越权访问请求,包括:
14.根据权利要求11所述的方法,其特征在于,所述根据所述目标微服务模块的鉴权结果,判断所述查询请求是否为越权访问请求,包括:
15.一种电子设备,包括:
16.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求11-14中任一项所述的方法。
17.一种计算机程序产品,其特征在于,包括计算机程序,该计算机程序被处理器执行时实现权利要求11-14中任一项所述的方法。
