一种基于操作行为反馈的细粒度动态权限管控方法

技术领域

本发明涉及一种基于操作行为反馈的细粒度动态权限管控方法，属于工控安全领域。

背景技术

近年来，工业控制系统与工业互联网呈现出深度融合的态势，大幅提升了工业生产的智能化程度，但也同时带来了新的安全挑战。

传统封闭式工控系统平台很少考虑其安全防护能力，缺少保护重要过程数据的功能，而对于跨域跨网工控系统平台，在没有数据管控的情况下，不同的操作员都可以通过该平台无差别访问到其他操作主机上的数据，严重影响该平台的安全性。因此，本任务基于此需求，研制开发一套可以集成于跨域跨网工控系统平台的应用层细粒度管控软件，通过结合角色安全阈值、用户信任度等多维安全策略，并通过综合考量操作者的行为及访问文件属性，对其权限进行实时动态调控，解决工控系统跨域用户接入引入安全风险问题。

在工控编程平台实际运行过程当中，会存在工程文件、执行标准、操作规范、关键技术共享文档等工控过程中的相关数据，目前的工控系统平台缺乏对此类数据的细粒度安全管控。因此，针对工控系统平台工控过程中产生的相关数据，从引发数据风险的行为出发研究应用层细粒度管控机制，研制应用层细粒度管控软件是一个急需解决的问题。

目前，工控系统平台正处于从传统封闭式单主机版本向跨域跨网模式转变过程中，大多数管控系统只根据用户的身份信息，对登录人员进行相关操作权限的管控，尚无可适配于跨域跨网工控系统平台的实时动态权限管控系统。通过综合考量操作者的操作特征和行为，实时动态地细粒度管控用户的权限。

发明内容

针对上述技术不足，本发明的目的提供一种基于操作行为反馈的细粒度动态权限管控方法，通过建立用户操作权限映射，利用对不同用户从内容敏感和操作敏感两个方面识别到的敏感访问，动态调整不同用户的操作权限，保障跨域工控系统运行中的数据安全。本发明能够在跨域工控系统不同用户的操作过程中，通过分析用户的操作行为，动态调整用户的操作权限，从而防止数据安全问题的发生，实现跨域工控系统的安全稳定运行。

本发明为实现上述目的所采用的技术方案是：

一种基于操作行为反馈的细粒度动态权限管控方法，包括以下步骤：

1)定义访问控制策略，根据跨域工控系统中文件及操作的实际情况，对不同的文件设定不同的访问权限等级；

2)基于角色的访问控制策略，利用授权主体的对不同用户角色分配操作权限；

3)从内容敏感和操作敏感两个方面识别敏感访问，并基于识别到的敏感访问信息，根据不同的敏感等级，动态调整不同用户的操作权限。

所述步骤1)具体为：

对于不同的文件从文件本身等级属性和文件包含敏感信息数量定义访问权限等级，并且，选择两者间较高的等级作为该文件的最终访问权限等级。

从文件本身等级属性定义访问权限等级，具体为：

超级管理员根据文件来源、用途方面因素设置该文件的访问权限等级。

从文件包含敏感信息数量定义访问权限等级，具体为：

将文件中与敏感词库进行匹配，获得文件中敏感词的数量，将其与阈值区间进行比较，所在区间即为该文件的访问权限等级。

所述步骤2)包括以下步骤：

2.1)定义n个用户角色，将资源分配给对应角色，使资源与角色进行绑定；

2.2)为角色配置敏感词匹配阈值，当某个文件的敏感词匹配数量超过该阈值时，则不可访问；

2.3)将角色绑定权限等级，将其与文件的访问权限等级进行匹配，若匹配失败，则不可访问。

所述步骤3)包括以下步骤：

3.1)内容敏感：根据文件的访问权限等级进行识别，当操作者短时间内对某文件的访问次数超过设定阈值时，则将该操作者标记为内容敏感，同时向管理中心报警并进行权限调整；

3.2)操作敏感：根据操作者的操作行为进行识别，当操作者有超越权限的行为尝试或者在非工作时段进行了合规操作时，则将该操作者标记为操作敏感，同时向管理中心报警并进行权限调整。

一种基于操作行为反馈的细粒度动态权限管控系统，包括存储器和处理器；所述存储器，用于存储计算机程序；所述处理器，用于当执行所述计算机程序时，实现所述的一种基于操作行为反馈的细粒度动态权限管控方法。

一种计算机可读存储介质，所述存储介质上存储有计算机程序，当所述计算机程序被处理器执行时，实现所述的一种基于操作行为反馈的细粒度动态权限管控方法。

本发明具有以下有益效果及优点：

1.本发明建立了工控系统平台中的细粒度权限管控方法，为工控系统平台安全防御提供了工具。

2.本发明区别于现有的较为固定式基于身份认证的权限管控方法，通过对用户的行为及用户操作的文件属性，动态调整不同用户对应的操作权限，在构建原理方面研究了动态权限管控方法。

3.本发明为满足工业系统由封闭式向多域开放式转变，利用基于角色的阈值和信任度量等方法，实现自适应动态权限调整方法。

附图说明

图1是基于操作行为反馈的细粒度动态权限管控方法流程图；

图2是敏感标记示意图；

图3是敏感识别示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

本发明涉及一种一种基于操作行为反馈的细粒度动态权限管控方法，方法为针对跨域跨网工控系统平台中数据文件的安全性，设计了一个动态权限管控方法，基于角色的阈值和信任度量等方法，通过对文件属性定义和用户操作敏感行为定义，从系统实现方法层面对跨域工控系统平台数据文件权限管控进行分析研究。具体包括：定义访问控制机制，对不同的文件和操作行为设定不同的访问权限等级；基于角色的访问控制策略，利用授权主体(指部分角色，如超级管理员)将访问许可权分配给一定的角色；从内容敏感和操作敏感两个方面识别敏感访问；基于识别到的敏感访问信息，根据不同的敏感等级，动态调整不同用户的操作权限。本发明方法能够区别于现有的静态权限管控方法，利用对用户操作行为的分析，识别用户执行命令过程中的敏感行为，并进行动态权限调整，在理论和软件设计层面研究细粒度权限管控方法。

如图1所示，本发明提出了一种基于操作行为反馈的细粒度动态权限管控方法，通过将工控系统平台需要管控的数据进行敏感标记，并将用户根据不同角色对应不同操作权限，基于对操作日志的分析，动态调整不同操作者的权限，区别于传统的封闭式固定式的的权限管控方法研究，通过自适应权限调整，可以从理论及实现方式层面，对跨域工控系统平台中的数据安全管控方法进行分析研究。

定义访问控制机制，根据跨域工控系统中文件及操作的实际情况，对不同的文件和操作行为设定不同的访问权限等级，具体为：

统一将访问权限等级定义为[1,2,3,4,5]这5个等级，访问权限等级包括文件本身等级属性和文件包含敏感信息数量。

由文件本身等级属性定义的访问权限等级可以通过超级管理员根据文件来源、用途等方面因素设置文件本身等级为1～5级：例如可定义能够影响系统生产作业的工控执行文件的等级为5级、涉及生产参数的过程文件的等级为4级生产流程标准文件的等级为3级、工控数据的存储文件的等级为2级、其他工控系统产生的数据的等级为1级；

由文件包含敏感信息数量定义的访问权限等级可以通过与超级管理员提前导入的敏感词库比对得到敏感词数量，并根据敏感词数量所在阈值设置文件本身等级为1～5级：例如设文件i的访问权限等级为Grade(i)，该文件所包含的敏感词数量为n，则

值得注意的是，对于同一个文件，按照文件本身等级属性和文件包含敏感信息数量两个角度分别对该文件的访问权限等级定义可能是不同的，这里我们取这两个不同访问权限等级中最高的等级作为该文件的最终等级，即：

Grade_final(i)＝max(Grade_self(i),Grade(i))

其中Grade_final(i)表示文件i的最终访问权限等级，Grade_self(i)和Grade(i)分别代表文件i的文件本身等级属性和文件包含敏感信息数量下的访问权限等级。

在对文件进行访问权限等级定义之后，基于角色的访问控制策略为定义多个用户角色，并对不同人员分配相应角色账号：

系统内定义n个用户角色，将相应资源分配到对应角色上，实现资源与角色绑定，同时角色需要配置敏感词匹配阈值，当某个文件敏感词匹配数量超过该阈值时不可访问。需要将角色绑定权限等级，资源等级与角色权限等级相符才可访问。角色权限等级是两个维度：一是校验该角色敏感词阈值与文件敏感词数量；二是校验文件等级与角色等级是否相符合。针对所有系统内编程平台数据文件资源人员分配账号，同时绑定对应角色，实现用户—角色—资源的联动。

本方法中将用户角色分为具有不同访问权限等级的类别，例如可包括：超级管理员、管理员、工程师、操作员等。

在用户绑定为不同角色后，本方法将根据操作日志分析该用户不同行为中的敏感操作，

从内容敏感和操作敏感两个方面识别敏感访问，如图2所示，包括以下两个方面：

(1)内容敏感：根据文件的安全等级进行识别，即文件本身的敏感等级和文件所包含敏感词的数量大小，高安全等级类的文件正常情况下是不会经常被访问的。因此，即使当某个操作者的角色权限能够满足访问此类文件，但是如果该操作者短时间内对该文件进行频繁访问，该操作者将被标记为内容敏感，向管理中心报警并进行相应的权限调整。

假设操作者A的角色为工程师，其访问权限等级为3，当A在10分钟之内超过5次打开某个访问权限等级为2的文件行为时，将被标记为内容敏感操作，并重新对该文件进行扫描。

(2)操作敏感：根据操作者的操作行为进行识别，即如果操作员有超越权限的行为尝试或者在非工作时段进行了合规操作等，都会被标记为操作敏感，向管理中心报警并进行相应的权限调整。

假设操作者A的角色为工程师，其访问权限等级为3，当A有尝试打开某个访问权限等级为4或者5的文件行为时，将被标记为敏感操作；假设操作者A的工作时段为早8时至晚5时，当操作者A在某一天的晚9时访问某个等级为2的文件时，则也会被标记为敏感操作。

当出现敏感标记时，系统将向管理者进行电子邮件提醒，并将该用户的访问权限等级将为1级。

从内容敏感和操作敏感两个方面识别敏感访问，如图3所示，

(1)敏感识别间隔：通过设置敏感识别间隔，调整读取并分析系统操作日志的时间间隔，以提高或者降低权限动态调整的频率。例如，可设置每隔10分钟对操作日志进行读取分析。

(2)内容敏感识别间隔：内容敏感识别过程需要扫描系统中的文件内容，并将内容与预先输入的敏感词库进行比对。当某个操作者访问文件超过一定次数阈值时，重新进行内容敏感扫描。例如，假设系统中共包含文件数量为m个，当系统中被访问的文件数量达到

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本申请实施例的方法流程图来描述的。应理解可由计算机程序指令实现流程图中的每一流程。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。