姜良軍，王自亮，單俊明

（中國移動通信集團(tuán)山東有限公司，濟(jì)南 250001）

網(wǎng)元操作權(quán)限自動回收方法研究

姜良軍，王自亮，單俊明

（中國移動通信集團(tuán)山東有限公司，濟(jì)南 250001）

傳統(tǒng)用戶權(quán)限管理缺乏靈活性，未對所分配權(quán)限進(jìn)行閉環(huán)驗(yàn)證，從而易出現(xiàn)用戶權(quán)限過大的情況。本文基于用戶操作日志及網(wǎng)元操作權(quán)限分析，提出一種網(wǎng)元操作權(quán)限自動調(diào)整方案。利用本方案，實(shí)現(xiàn)了對用戶操作網(wǎng)元所需權(quán)限的客觀評估，并可自動回收不必要的高級權(quán)限，對于減少高危指令誤操作及重點(diǎn)網(wǎng)元操作權(quán)限被濫用造成的網(wǎng)絡(luò)安全事故具有重大的現(xiàn)實(shí)意義。

RBAC；權(quán)限管理；日志分析

1 概述

隨著IT系統(tǒng)的普及，用戶權(quán)限管理的模型和對象也變得越來越復(fù)雜。在權(quán)限安全管理方面，目前流行的訪問控制模型主要有自主訪問控制模型（DAC）、強(qiáng)制訪問控制模型（MAC）和基于角色的訪問控制模型（RBAC）。自主訪問控制模型允許合法用戶以用戶或用戶組的身份訪問控制策略規(guī)定的客體，阻止非授權(quán)用戶訪問客體。強(qiáng)制訪問控制模型為客體設(shè)置一定的安全級別，對主體授予一定的權(quán)限級別決定該主體可訪問何級別的資源。基于角色的訪問控制模型通過引入角色對用戶權(quán)限進(jìn)行解耦，簡化了授權(quán)和安全管理，根據(jù)用戶的責(zé)任和資格來指派相應(yīng)的角色。

現(xiàn)階段，對網(wǎng)元操作權(quán)限的授權(quán)，通常采取“常規(guī)角色權(quán)限+臨時申請權(quán)限”相結(jié)合的方式進(jìn)行管理。如圖1所示。

圖1 傳統(tǒng)的網(wǎng)元操作權(quán)限管理方式

常規(guī)角色權(quán)限授權(quán)方式中，系統(tǒng)管理人員首先創(chuàng)建一組用戶角色，每個角色有對應(yīng)的權(quán)限組，然后根據(jù)用戶權(quán)限需要，通過分級授權(quán)、流程審批，為每個用戶賬號均分配一組用戶角色。若用戶需要針對某些網(wǎng)元進(jìn)行一些超出當(dāng)前所具有權(quán)限的高級別操作，則提出申請，管理員根據(jù)實(shí)際工作需要，給用戶臨時申請授權(quán)，將某些網(wǎng)元、在某段時間內(nèi)的某些更高級別的操作權(quán)限授予該用戶賬號。

在用戶的實(shí)際操作運(yùn)維工作中，每個用戶賬號均對應(yīng)“常規(guī)角色權(quán)限+臨時申請權(quán)限”，因而對應(yīng)多組操作權(quán)限。此時，用戶賬號的權(quán)限是多組操作權(quán)限的并集或取權(quán)限集的最大值。雖然網(wǎng)絡(luò)安全管理技術(shù)日益完善，但目前的管理技術(shù)存在如下問題。

（1）網(wǎng)元操作維護(hù)權(quán)限長期存在“只增不減，極少回收”的粗放管理難題。多數(shù)維護(hù)人員基于操作便捷的考慮，很少主動要求降低操作權(quán)限。隨著時間的增長，賬號權(quán)限日益增多，高權(quán)限指令及重點(diǎn)網(wǎng)元操作權(quán)限的授權(quán)數(shù)量不斷增大。

（2）用戶操作網(wǎng)元所需的真實(shí)權(quán)限，缺乏客觀、精細(xì)的評估方法。用戶權(quán)限發(fā)放后，用戶是否真正使用了其所申請的操作權(quán)限，是否真正需要某些重點(diǎn)網(wǎng)元、高權(quán)限指令的操作權(quán)限，處于管理空白。雖然可通過操作日志事后審查發(fā)現(xiàn)操作問題，但難以提前規(guī)避賬號權(quán)限濫用造成的網(wǎng)絡(luò)安全事故。

（3）網(wǎng)元操作維護(hù)權(quán)限的收回，缺乏自動化的技術(shù)手段。在傳統(tǒng)賬號權(quán)限管理方式，發(fā)現(xiàn)權(quán)限閑置、濫用后，只能根據(jù)需要由系統(tǒng)管理員重新設(shè)置，缺乏維護(hù)權(quán)限自動化調(diào)整手段。

（4）“金庫模式”管理側(cè)重于運(yùn)行中的賬號權(quán)限控制與審核，不涉及操作前的權(quán)限申請、審核、分配與回收。為防范客戶信息泄露，中國移動通信集團(tuán)在全國范圍內(nèi)部署實(shí)施了“金庫模式”客戶信息保護(hù)手段，有效控制了賬號權(quán)限的濫用。但目前金庫模式只在涉及客戶信息的核心系統(tǒng)應(yīng)用，未全面部署，并且對于不發(fā)起操作的沉默賬號，不會觸發(fā)“金庫模式”操作，無法及時回收。

針對上述問題，本文提出一種網(wǎng)元操作權(quán)限自動回收方法，考慮強(qiáng)化網(wǎng)元操作權(quán)限管理的精細(xì)化、靈活性問題。

2 技術(shù)方案

2.1 方案總體架構(gòu)

為加強(qiáng)運(yùn)維操作安全管理，系統(tǒng)自身或第三方系統(tǒng)一般都將大量網(wǎng)元的操作會話日志數(shù)據(jù)進(jìn)行全量存儲，即所有網(wǎng)元的所有用戶操作指令及返回結(jié)果都被系統(tǒng)記錄到數(shù)據(jù)庫中，系統(tǒng)中積累了大量的操作維護(hù)日志數(shù)據(jù)。因此可基于這些數(shù)據(jù)對所有用戶的操作維護(hù)行為及其操作權(quán)限進(jìn)行數(shù)據(jù)分析，根據(jù)分析結(jié)果判斷網(wǎng)元操作權(quán)限是否被用戶真實(shí)使用、頻繁濫用或閑置無用，判斷該用戶賬號實(shí)際需要哪些操作權(quán)限。

如圖2所示，本方案將用戶實(shí)際需要的操作權(quán)限與高危指令集及重點(diǎn)網(wǎng)元集進(jìn)行比對，在滿足用戶日常操作維護(hù)工作的前提下，自動收回不必要的高級權(quán)限，從而避免用戶在誤操作或頻繁高危操作的情況下引發(fā)網(wǎng)元故障或網(wǎng)絡(luò)運(yùn)行事故，提高網(wǎng)元維護(hù)工作的安全性。

圖2 引入本方案后的網(wǎng)元操作權(quán)限管理方式

2.2 用戶權(quán)限調(diào)整流程

步驟1：根據(jù)用戶賬號，從用戶數(shù)據(jù)庫中提取用戶角色，分析該角色對應(yīng)的常規(guī)操作權(quán)限，及權(quán)限有效時限。

步驟2：根據(jù)用戶賬號，從流程審批數(shù)據(jù)庫中提取用戶臨時權(quán)限審批結(jié)果，分析網(wǎng)元操作權(quán)限，及權(quán)限有效時限。

步驟3：根據(jù)用戶賬號，從日志數(shù)據(jù)庫中提取用戶登錄網(wǎng)元的操作日志。

步驟4：根據(jù)用戶操作日志分析用戶所需操作權(quán)限。

步驟5：根據(jù)分析結(jié)果調(diào)整用戶操作權(quán)限。

2.3 用戶操作權(quán)限判斷方法

用戶操作維護(hù)的網(wǎng)元、所需的權(quán)限近似地用正態(tài)分布來描述。用戶操作權(quán)限具體判斷方法如下。

（1）根據(jù)網(wǎng)元操作維護(hù)的重要程度，將網(wǎng)元操作權(quán)限進(jìn)行安全分級，定義為A。例如可分為10級， A等于1～10之間的某一整數(shù)，1級權(quán)限最低=查看，10級最高。

（2）將網(wǎng)元操作權(quán)限與用戶操作權(quán)限分析結(jié)果、用戶臨時操作權(quán)限分析結(jié)果結(jié)合，按用戶賬號，分析每個用戶的操作維護(hù)日志記錄。將用戶登錄某網(wǎng)元一次的一組操作，定義為一條樣本數(shù)據(jù)，則能夠抽象出i（i=1，2，3……n）組樣本。

（3）將每組樣本中各項(xiàng)網(wǎng)元操作所需要的最高權(quán)限，視作本組操作需要的權(quán)限 （i=1，2，3……n）。

（4）統(tǒng)計(jì)各組樣本數(shù)據(jù)的操作權(quán)限 ，計(jì)算樣本均值和樣本標(biāo)準(zhǔn)差 。

（5）求權(quán)限置信區(qū)間。

置信區(qū)間下限：α＝μ-k×σ

置信區(qū)間上限：b＝μ+k×σ

求90%的置信區(qū)間時，k=1.645；求95%的置信區(qū)間時，k=1.96；求99%的置信區(qū)間時，k=2.576。

（6）為保證用戶正常開展運(yùn)維操作，應(yīng)賦予用戶的權(quán)限為置信區(qū)間上限b。若希望滿足至少之前90%的操作均能在新權(quán)限下滿足，則帶入k=1.645；若希望滿足至少之前95%的操作均能在新權(quán)限下滿足，則帶入k =1.96。

（7）對于樣本容量不足，如 n＜10的用戶，則根據(jù)管理嚴(yán)格程度，取其操作歷史中最高權(quán)限給予其權(quán)限設(shè)置或者只賦予最低權(quán)限，通過臨時權(quán)限授權(quán)的方式授予其它權(quán)限。

2.4 本方案技術(shù)特點(diǎn)

與現(xiàn)有方法相比，本方法的特點(diǎn)如下。

（1）對用戶權(quán)限管理不再僅僅依據(jù)用戶的要求分配，而是在權(quán)限分配后基于用戶的指令操作日志數(shù)據(jù)，運(yùn)用數(shù)學(xué)分析方法對用戶行為進(jìn)行分析，精確、客觀判定用戶實(shí)際所需權(quán)限，實(shí)現(xiàn)了網(wǎng)元操作權(quán)限的閉環(huán)管理。

（2）在滿足用戶日常操作維護(hù)工作的前提下，自動回收不必要的高級權(quán)限，對用戶權(quán)限進(jìn)行精細(xì)化調(diào)整，從而減小了因用戶操作失誤造成網(wǎng)元事故的可能性。

3 結(jié)束語

基于用戶操作日志及操作權(quán)限，利用本方案，突破性地實(shí)現(xiàn)了對用戶操作網(wǎng)元所需權(quán)限的客觀評估。在現(xiàn)網(wǎng)應(yīng)用后，發(fā)現(xiàn)沉默賬號23個，授權(quán)不合理賬號8個。通過有效識別網(wǎng)元操作權(quán)限被真實(shí)使用、頻繁濫用或閑置無用的真實(shí)情況，創(chuàng)新性地實(shí)現(xiàn)了網(wǎng)元操作高級權(quán)限的自動回收，解決了長期存在的操作權(quán)限“只增不減”的粗放管理難題，對于增強(qiáng)網(wǎng)絡(luò)安全、穩(wěn)定，減少高危指令及重點(diǎn)網(wǎng)元操作權(quán)限被濫用造成的網(wǎng)絡(luò)安全事故均具有重大的現(xiàn)實(shí)意義。

Study of automatic revoking of operation authorities

JIANG Liang-jun, WANG Zi-liang, SHAN Jun-ming
(China Mobile Group Shandong Co., Ltd., Ji’nan 250001, China)

Traditionally, operation authorities of net elements are lack of fl exibility. After an account is created, the authority will not be verif i ed by closed-loop tests. This paper introduces a scheme to adjust the authority according to the operation log and the operation authority. With the scheme, the authority needed will be objectively evaluated and the unnecessary authority will be revoked. Thus the misuse of operation authorities will be reduced. This has great practical signif i cance to prevent the occurrence of network security events.

RBAC; authority management; log analysis

TN915

A

1008-5599（2017）06-0086-03

2017-01-24