專利名稱:全局用戶安全組的自動移除的制作方法
全局用戶安全組的自動移除
相關(guān)申請交叉參考
參考于2010 年 5 月 27 日提交的��、題為 “AUTOMATING ENFORCEMENT OF IT WORKFLOWS”的美國臨時專利申請第61/348,806號����,其全部內(nèi)容結(jié)合于此作為參考并且根 據(jù)37CFR1.78 (a)和(5) (i)在此要求其優(yōu)先權(quán)�����。
參考于2010 年 8 月 23 日提交的���、題為“AUTOMATIC REMOVAL OF GLOBAL USER SE⑶RITY GROUPS”的美國專利申請第12/861�,059號�,其全部內(nèi)容結(jié)合于此作為參考并且根 據(jù)37CFR1.78 (a)和(5) (i)在此要求其優(yōu)先權(quán)。
還參考以下由受讓人擁有的專利和專利申請����,其全部內(nèi)容結(jié)合于此作為參考
美國專利第7,55��,4825號和7���,606�����,801號�����;以及
美國公開專利申請第2007/0244899����、2008/0271157、2009/0100058��、2009/0119298 和 2009/0265780 號����。技術(shù)領(lǐng)域
本發(fā)明大體上涉及數(shù)據(jù)管理系統(tǒng)和方法學,尤其涉及數(shù)據(jù)訪問權(quán)限管理系統(tǒng)和方 法學���。
背景技術(shù):
認為以下專利公開代表了本領(lǐng)域的當前狀況
美國專利第5����,465���,387 ;5,899,991 ;6���,338����,082 ;6�����,393�,468 ;6,928�,439 ; 7,031�����,984 ;7��,068���,592 ;7�,403�����,925 ;7,421����,740 ;7,555��,482 和 7���,606����,801 號;以及
美國公開專利申請第2003/0051026 ���;2004/0249847 �;2005/0108206 �����; 2005/0203881 ��; 2005/0120054 �����; 2005/0086529 �; 2006/0064313 ; 2006/0184530 �����; 2006/0184459 和 2007/0203872 號��。發(fā)明內(nèi)容
本發(fā)明旨在提供改進的數(shù)據(jù)訪問權(quán)限管理系統(tǒng)和方法學���。因此����,根據(jù)本發(fā)明的優(yōu) 選實施方式���,提供一種由至少部分地基于實際訪問的計算機安全策略來自動地替換基于用 戶安全組的計算機安全策略的企業(yè)系統(tǒng)�,該系統(tǒng)包括習得訪問權(quán)限子系統(tǒng)��,可操作地學習 企業(yè)中的用戶對于企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限��,并且提供哪些用戶是有 權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示���;習得實際訪問子系統(tǒng)�,可操作地學習企 業(yè)中的用戶對網(wǎng)絡(luò)對象的實際訪問歷史,并且提供哪些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象 的指示�;以及計算機安全策略管理子系統(tǒng),從習得訪問權(quán)限子系統(tǒng)和習得實際訪問子系統(tǒng) 接收指示�����,并且可操作地利用至少部分地基于實際訪問的訪問權(quán)限自動地替換預(yù)選的基于 用戶安全組的訪問權(quán)限����,而不中斷對網(wǎng)絡(luò)對象的用戶訪問。
根據(jù)本發(fā)明的優(yōu)選實施方式�,計算機安全策略管理子系統(tǒng)包括替換啟動功能,其 基于由人員管理員預(yù)先確定的調(diào)度自動地啟動利用至少部分地基于實際訪問的訪問權(quán)限對預(yù)選的基于用戶安全組的訪問權(quán)限的自動替換�����。
優(yōu)選地���,系統(tǒng)還包括替換前通知和授權(quán)子系統(tǒng)��,在執(zhí)行替換之前�,該子系統(tǒng)操 作地向預(yù)定風險承擔者通知作為該替換的結(jié)果預(yù)計會在網(wǎng)絡(luò)對象中的預(yù)定對象中發(fā)生 訪問權(quán)限變化��,請求他們的授權(quán),并且在沒有授權(quán)的情況下����,阻止對于網(wǎng)絡(luò)對象中的至 少一部分以及沒有收到其授權(quán)的用戶中的至少一部分執(zhí)行替換��。優(yōu)選地���,用戶安全組是 MIGROSiOFT EVERYONE GROUP��。
此外���,計算機安全策略管理子系統(tǒng)操作地利用部分地基于實際訪問以及部分地基 于預(yù)先存在的訪問權(quán)限(其不是預(yù)選的基于用戶安全組的訪問權(quán)限)的訪問權(quán)限來自動地 替換該預(yù)選的基于用戶安全組的訪問權(quán)限?���?商鎿Q地,計算機安全策略管理子系統(tǒng)操作地 利用至少部分地基于實際訪問以及至少部分地基于對于已實際訪問的用戶的用戶實際訪 問簡檔的相似性的訪問權(quán)限來自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限���??商鎿Q地�����, 計算機安全策略管理子系統(tǒng)操作地利用基于預(yù)先存在的訪問權(quán)限(其不是預(yù)選的基于用戶 安全組的訪問權(quán)限)自動地替換該預(yù)選的基于用戶安全組的訪問權(quán)限。
優(yōu)選地�,計算機安全策略管理子系統(tǒng)包括仿真啟動功能,其基于人員管理員預(yù)先 確定的調(diào)度自動地啟動利用至少部分地基于實際訪問的訪問權(quán)限來替換預(yù)選的基于用戶 安全組的訪問權(quán)限的仿真�����。
根據(jù)本發(fā)明的另一個優(yōu)選實施方式���,還提供一種企業(yè)系統(tǒng)��,用于對由計算機安全 策略替換基于用戶安全組的計算機安全策略進行仿真���,該系統(tǒng)包括習得訪問權(quán)限子系統(tǒng), 可操作地學習企業(yè)中的用戶對于企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限��,并且提供 哪些用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示�����;習得實際訪問子系統(tǒng)����,可 操作地學習企業(yè)中的用戶對網(wǎng)絡(luò)對象的實際訪問歷史,并且提供哪些用戶已經(jīng)實際訪問了 哪些網(wǎng)絡(luò)對象的指示;以及計算機安全策略仿真子系統(tǒng)���,從習得訪問權(quán)限子系統(tǒng)和習得實 際訪問子系統(tǒng)接收指示�,并且可操作地對利用至少部分地基于實際訪問的訪問權(quán)限替換預(yù) 選的基于用戶安全組的訪問權(quán)限進行自動仿真��,而不中斷對網(wǎng)絡(luò)對象的用戶訪問����。
根據(jù)本發(fā)明的優(yōu)選實施方式,該系統(tǒng)還包括替換前通知和授權(quán)子系統(tǒng)����,該子系統(tǒng) 自動操作地向預(yù)定風險承擔者通知作為該替換的結(jié)果預(yù)計會在網(wǎng)絡(luò)對象中的預(yù)定對象中 發(fā)生訪問權(quán)限變化����,請求他們的授權(quán)。優(yōu)選地����,用戶安全組是MICROSOFT EVERYONE GROUP。
根據(jù)本發(fā)明的再一個優(yōu)選實施方式�����,進一步提供一種方法�,用于由至少部分地基 于實際訪問的計算機安全策略來自動地替換基于用戶安全組的計算機安全策略�����,該方法包 括學習企業(yè)中的用戶對于企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限���,并且提供哪些 用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示;學習企業(yè)中的用戶對網(wǎng)絡(luò)對象 的實際訪問歷史��,并且提供哪些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象的指示��;以及接收指示���, 并且利用至少部分地基于實際訪問的訪問權(quán)限自動地替換預(yù)選的基于用戶安全組的訪問 權(quán)限�����,而不中斷對網(wǎng)絡(luò)對象的用戶訪問�。
根據(jù)本發(fā)明的優(yōu)選實施方式��,該方法包括基于由人員管理員預(yù)先確定的調(diào)度自動 地啟動利用至少部分地基于實際訪問的訪問權(quán)限對預(yù)選的基于用戶安全組的訪問權(quán)限的 自動替換����。
優(yōu)選地,該方法還包括在執(zhí)行替換之前,向預(yù)定風險承擔者通知作為該替換的結(jié)果預(yù)計會在網(wǎng)絡(luò)對象中的預(yù)定對象中發(fā)生訪問權(quán)限變化��,請求他們的授權(quán)�,并且在沒有授 權(quán)的情況下,阻止對于網(wǎng)絡(luò)對象中的至少一部分以及沒有收到其授權(quán)的用戶中的至少一部 分執(zhí)行替換�。優(yōu)選地,用戶安全組是MICROSOFT EVERYONE GROUP��。
此外��,該方法包括利用部分地基于實際訪問以及部分地基于預(yù)先存在的訪問權(quán) 限(其不是預(yù)選的基于用戶安全組的訪問權(quán)限)的訪問權(quán)限來自動地替換該預(yù)選的基于用 戶安全組的訪問權(quán)限��?��?商鎿Q地,該方法包括利用至少部分地基于實際訪問以及至少部分 地基于對于已實際訪問的用戶的用戶實際訪問簡檔的相似性的訪問權(quán)限來自動地替換預(yù) 選的基于用戶安全組的訪問權(quán)限����。可替換地���,該方法包括利用基于預(yù)先存在的訪問權(quán)限(其 不是預(yù)選的基于用戶安全組的訪問權(quán)限)的訪問權(quán)限自動地替換該預(yù)選的基于用戶安全組 的訪問權(quán)限�。
優(yōu)選地���,該方法包括基于人員管理員預(yù)先確定的調(diào)度自動地啟動利用至少部分 地基于實際訪問的訪問權(quán)限來替換預(yù)選的基于用戶安全組的訪問權(quán)限的仿真�����。
根據(jù)本發(fā)明的又一個優(yōu)選實施方式�,還提供一種方法,用于對由計算機安全策略 替換基于用戶安全組的計算機安全策略進行仿真�,該方法包括學習企業(yè)中的用戶對于企 業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限,并且提供哪些用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象 的用戶安全組的成員的指示����;學習企業(yè)中的用戶對網(wǎng)絡(luò)對象的實際訪問歷史,并且提供哪 些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象的指示�;以及接收指示,并且對利用至少部分地基于 實際訪問的訪問權(quán)限替換預(yù)選的基于用戶安全組的訪問權(quán)限進行自動仿真�,而不中斷對網(wǎng) 絡(luò)對象的用戶訪問。
根據(jù)本發(fā)明的優(yōu)選實施方式����,該方法還包括向預(yù)定風險承擔者通知作為該替換的 結(jié)果預(yù)計會在網(wǎng)絡(luò)對象中的預(yù)定對象中發(fā)生訪問權(quán)限變化,請求他們的授權(quán)���。優(yōu)選地���,用戶 安全組是]VOCROSOFT EVERYONE GROUP�����。
根據(jù)以下詳細描述并結(jié)合附圖����,將充分理解并認識本發(fā)明
圖1A�����、1B����、1C、1D和IE是根據(jù)本發(fā)明的優(yōu)選實施方式所構(gòu)造并操作地用于由至少 部分地基于實際訪問的計算機安全策略來替代基于用戶安全組的計算機安全策略的企業(yè) 系統(tǒng)的運行的簡化示圖�;以及
圖2是表示圖1中系統(tǒng)運行中的步驟的簡化流程圖。
具體實施方式
現(xiàn)在���,參考圖1A、1B���、1C����、1D和1E,其是根據(jù)本發(fā)明的優(yōu)選實施方式所構(gòu)造并操作 地用于由至少部分地基于實際訪問的計算機安全策略來替代基于用戶安全組的計算機安 全策略的企業(yè)系統(tǒng)的運行的簡化示圖����。
通常,如圖1A至IE所示�����,對于包括至少一個服務(wù)器102和多個客戶端104的計算 機網(wǎng)絡(luò)100來說�,網(wǎng)絡(luò)對象訪問權(quán)限管理系統(tǒng)是有用的。最好還提供一個或多個存儲裝置 106����。該系統(tǒng)最好駐留在至少一個服務(wù)器102內(nèi),并且最好包括
習得訪問權(quán)限子系統(tǒng)110����,操作地學習企業(yè)中的用戶對于駐留在企業(yè)計算機環(huán)境 中的網(wǎng)絡(luò)對象的當前訪問權(quán)限,并且提供哪些用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示���;
習得實際訪問子系統(tǒng)112����,操作地學習企業(yè)中的用戶對于網(wǎng)絡(luò)對象的實際訪問歷 史����,并且提供哪些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象的指示�����;以及
計算機安全策略管理子系統(tǒng)114���,從習得訪問權(quán)限子系統(tǒng)110和習得實際訪問子 系統(tǒng)112接收指示,并且操作地利用至少部分地基于實際訪問的訪問權(quán)限來自動地替換預(yù) 選的基于用戶安全組的訪問權(quán)限����,而不中斷對網(wǎng)絡(luò)對象的用戶訪問。
針對本申請的目的��,術(shù)語“網(wǎng)絡(luò)對象”被定義成包括在任何市售計算機操作系統(tǒng)上 的用戶生成企業(yè)計算機網(wǎng)絡(luò)資源����。網(wǎng)絡(luò)對象的例子包括結(jié)構(gòu)化以及非結(jié)構(gòu)化的計算機數(shù)據(jù) 資源(例如,文件和文件夾)以及用戶組��。
現(xiàn)在轉(zhuǎn)向圖1A�����,可以看到�����,IT經(jīng)理會驚慌地發(fā)現(xiàn)其網(wǎng)絡(luò)中的部分或全部網(wǎng)絡(luò)對 象能夠被該企業(yè)中所有或幾乎所有的用戶訪問���,這些用戶全部是M丨CROSOFT Bvery Group的成員��。應(yīng)理解的是,MICROSOFT Every Group并不包含其所有成員的顯式或 可搜索列表��。
如圖1B所示��,IT經(jīng)理安裝本發(fā)明的網(wǎng)絡(luò)對象訪問權(quán)限管理系統(tǒng)����,除了上述元件以 外��,該系統(tǒng)優(yōu)選地還包括訪問權(quán)限數(shù)據(jù)庫116和實際訪問數(shù)據(jù)庫118�。應(yīng)該理解的是,子系 統(tǒng)110和112以及數(shù)據(jù)庫116和118作為紐約的紐約Varonis有限公司的DATADVANTAGE 產(chǎn)品的一部分是市售的��。
圖1C示出了在學習期間(典型地可以延長至數(shù)周內(nèi))通過子系統(tǒng)110和112的 運行對數(shù)據(jù)庫116和118進行的自動填充(population)�����。在申請人/受讓人的美國專利 7,606,801中描述了該處理���。圖1C還顯示了計算機安全策略管理系統(tǒng)114的自動運行����,從 習得訪問權(quán)限子系統(tǒng)110和習得實際訪問子系統(tǒng)112接收指示,并自動地生成利用至少部 分地基于實際訪問的訪問權(quán)限來代替預(yù)選的基于用戶安全組的訪問權(quán)限的建議�,要經(jīng)歷操 作者確認。
正如在圖1D所看到的���,IT經(jīng)理獨自或可能與人力資源經(jīng)理或其它執(zhí)行者磋商來 決定是否同意該自動生成的建議����。如果同意該自動生成的建議�����,則它們被自動地執(zhí)行而不 中斷對駐留在企業(yè)計算機環(huán)境中網(wǎng)絡(luò)對象的必要的用戶訪問�����。
可替換地�����,正如在圖1E中所看到的,子系統(tǒng)114可以改為利用至少部分地基于實 際訪問的訪問權(quán)限來替換預(yù)選的基于用戶安全組的訪問權(quán)限���,而且無需中斷對駐留在企業(yè) 計算機環(huán)境中的網(wǎng)絡(luò)對象的必要用戶訪問。
現(xiàn)在�����,參考圖2���,其是表示圖1的系統(tǒng)運行中的步驟的簡化流程圖��。如圖2所示�����,習 得訪問權(quán)限子系統(tǒng)利用企業(yè)中的用戶對于駐留在企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪 問權(quán)限����,來連續(xù)自動地填充訪問權(quán)限數(shù)據(jù)庫���。并行地��,習得實際訪問子系統(tǒng)利用企業(yè)中的用 戶對于網(wǎng)絡(luò)對象的實際訪問歷史來填充實際訪問數(shù)據(jù)庫����。
如圖2所示,安全策略管理子系統(tǒng)基于由訪問權(quán)限子系統(tǒng)提供的以及來自實際訪 問子系統(tǒng)的信息����,自動生成訪問權(quán)限建議。IT經(jīng)理對這些建議進行評審����,并決定是否同意它 們針對由安全策略管理子系統(tǒng)的自動執(zhí)行?��?商鎿Q地���,該安全策略管理子系統(tǒng)可以自動地 執(zhí)行這些建議。
本領(lǐng)域技術(shù)人員將會理解的是����,本發(fā)明并不局限于上文中具體顯示和描述的內(nèi) 容。相反��,本發(fā)明的范圍包括通過閱讀前述描述對本領(lǐng)域技術(shù)人員而言存在的����、并且現(xiàn)有技術(shù)中所沒有的上文描述的各種特征的組合和再組合以及它們的修改。
權(quán)利要求
1.一種由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的企業(yè)系統(tǒng),所述系統(tǒng)包括 習得訪問權(quán)限子系統(tǒng)���,操作地學習企業(yè)中的用戶對于企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限���,并且提供哪些用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示; 習得實際訪問子系統(tǒng)�����,操作地學習企業(yè)中的所述用戶對所述網(wǎng)絡(luò)對象的實際訪問歷史�,并且提供哪些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象的指示���;以及 計算機安全策略管理子系統(tǒng)��,從所述習得訪問權(quán)限子系統(tǒng)和所述習得實際訪問子系統(tǒng)接收所述指示���,并且操作地利用至少部分地基于實際訪問的訪問權(quán)限自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限,而不中斷對所述網(wǎng)絡(luò)對象的用戶訪問����。
2.根據(jù)權(quán)利要求1所述的由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的企業(yè)系統(tǒng),其中���,所述計算機安全策略管理子系統(tǒng)包括替換啟動功能�,基于由人員管理員預(yù)先確定的調(diào)度自動地啟動利用至少部分地基于實際訪問的訪問權(quán)限對預(yù)選的基于用戶安全組的訪問權(quán)限的自動替換。
3.根據(jù)權(quán)利要求1所述的由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的企業(yè)系統(tǒng)���,還包括 替換前通知和授權(quán)子系統(tǒng)�����,在執(zhí)行所述替換之前�,向預(yù)定風險承擔者通知作為所述替換的結(jié)果預(yù)計會在所述網(wǎng)絡(luò)對象中的預(yù)定對象中發(fā)生訪問權(quán)限變化�����,請求他們的授權(quán)����,并且在沒有所述授權(quán)的情況下,阻止對于所述網(wǎng)絡(luò)對象中的至少一部分以及沒有收到授權(quán)的所述用戶中的至少一部分執(zhí)行所述替換�。
4.根據(jù)權(quán)利要求1所述的由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的企業(yè)系統(tǒng),其中����,所述用戶安全組是MICROSOFT EVERYONE GROUP。
5.根據(jù)權(quán)利要求1所述的由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的企業(yè)系統(tǒng)��,其中,所述計算機安全策略管理子系統(tǒng)操作地利用部分地基于實際訪問以及部分地基于預(yù)先存在的訪問權(quán)限的訪問權(quán)限來自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限��,其中���,所述預(yù)先存在的訪問權(quán)限不是所述預(yù)選的基于用戶安全組的訪問權(quán)限�。
6.根據(jù)權(quán)利要求1所述的由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的企業(yè)系統(tǒng)��,其中����,所述計算機安全策略管理子系統(tǒng)操作地利用至少部分地基于實際訪問以及至少部分地基于對于已實際訪問的用戶的用戶實際訪問簡檔的相似性的訪問權(quán)限自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限���。
7.根據(jù)權(quán)利要求1所述的由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的企業(yè)系統(tǒng)��,其中�����,所述計算機安全策略管理子系統(tǒng)操作地利用基于預(yù)先存在的訪問權(quán)限自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限���,其中,所述預(yù)先存在的訪問權(quán)限不是所述預(yù)選的基于用戶安全組的訪問權(quán)限�。
8.根據(jù)權(quán)利要求1所述的由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的企業(yè)系統(tǒng)�����,其中�����,所述計算機安全策略管理子系統(tǒng)包括仿真啟動功能���,基于人員管理員預(yù)先確定的調(diào)度自動地啟動利用至少部分地基于實際訪問的訪問權(quán)限來替換預(yù)選的基于用戶安全組的訪問權(quán)限的仿真。
9.一種用于對由計算機安全策略替換基于用戶安全組的計算機安全策略進行仿真的企業(yè)系統(tǒng)�,所述系統(tǒng)包括 習得訪問權(quán)限子系統(tǒng),操作地學習企業(yè)中的用戶對于企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限�,并且提供哪些用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示; 習得實際訪問子系統(tǒng)����,操作地學習企業(yè)中的所述用戶對所述網(wǎng)絡(luò)對象的實際訪問歷史,并且提供哪些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象的指示����;以及 計算機安全策略仿真子系統(tǒng),從所述習得訪問權(quán)限子系統(tǒng)和所述習得實際訪問子系統(tǒng)接收所述指示���,并且操作地對利用至少部分地基于實際訪問的訪問權(quán)限替換預(yù)選的基于用戶安全組的訪問權(quán)限進行自動仿真�����,而不中斷對所述網(wǎng)絡(luò)對象的用戶訪問�����。
10.根據(jù)權(quán)利要求9所述的用于對由計算機安全策略替換基于用戶安全組的計算機安全策略進行仿真的企業(yè)系統(tǒng)�,還包括 替換前通知和授權(quán)子系統(tǒng),自動操作地向預(yù)定風險承擔者通知作為所述替換的結(jié)果預(yù)計會在所述網(wǎng)絡(luò)對象中的預(yù)定對象中發(fā)生訪問權(quán)限變化�����,請求他們的授權(quán)����。
11.根據(jù)權(quán)利要求9所述的用于對由計算機安全策略替換基于用戶安全組的計算機安全策略進行仿真的企業(yè)系統(tǒng)��,其中�,所述用戶安全組是MICROSOFT EVERYONE GROUP。
12.一種用于由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的方法�����,所述方法包括 學習企業(yè)中的用戶對于企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限�,并且提供哪些用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示�; 學習企業(yè)中的所述用戶對所述網(wǎng)絡(luò)對象的實際訪問歷史�����,并且提供哪些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象的指示����;以及 接收所述指示,并且利用至少部分地基于實際訪問的訪問權(quán)限自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限�,而不中斷對所述網(wǎng)絡(luò)對象的用戶訪問。
13.根據(jù)權(quán)利要求12所述的用于由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的方法���,其中����,所述方法包括基于由人員管理員預(yù)先確定的調(diào)度自動地啟動利用至少部分地基于實際訪問的訪問權(quán)限對預(yù)選的基于用戶安全組的訪問權(quán)限的自動替換�。
14.根據(jù)權(quán)利要求12所述的用于由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的方法,還包括 在執(zhí)行所述替換之前����,向預(yù)定風險承擔者通知作為所述替換的結(jié)果預(yù)計會在所述網(wǎng)絡(luò)對象中的預(yù)定對象中發(fā)生訪問權(quán)限變化,請求他們的授權(quán)����,并且在沒有所述授權(quán)的情況下���,阻止對于所述網(wǎng)絡(luò)對象中的至少一部分以及沒有收到授權(quán)的所述用戶中的至少一部分執(zhí)行所述替換。
15.根據(jù)權(quán)利要求12所述的用于由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的方法�����,其中���,所述用戶安全組是MICROSOFT EVERYONE GROUP��。
16.根據(jù)權(quán)利要求12所述的用于由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的方法��,其中��,所述方法包括利用部分地基于實際訪問以及部分地基于預(yù)先存在的訪問權(quán)限的訪問權(quán)限來自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限�����,其中,所述預(yù)先存在的訪問權(quán)限不是所述預(yù)選的基于用戶安全組的訪問權(quán)限��。
17.根據(jù)權(quán)利要求12所述的用于由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的方法��,其中�����,所述方法包括利用至少部分地基于實際訪問以及至少部分地基于對于已實際訪問的用戶的用戶實際訪問簡檔的相似性的訪問權(quán)限來自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限。
18.根據(jù)權(quán)利要求12所述的用于由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的方法�����,其中����,所述方法包括利用基于預(yù)先存在的訪問權(quán)限的訪問權(quán)限自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限,其中��,所述預(yù)先存在的訪問權(quán)限不是所述預(yù)選的基于用戶安全組的訪問權(quán)限����。
19.根據(jù)權(quán)利要求12所述的用于由至少部分地基于實際訪問的計算機安全策略自動地替換基于用戶安全組的計算機安全策略的方法,其中��,所述方法包括基于人員管理員預(yù)先確定的調(diào)度自動地啟動利用至少部分地基于實際訪問的訪問權(quán)限來替換預(yù)選的基于用戶安全組的訪問權(quán)限的仿真����。
20.一種用于對由計算機安全策略替換基于用戶安全組的計算機安全策略進行仿真的方法,所述方法包括 學習企業(yè)中的用戶對于企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限��,并且提供哪些用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示; 學習企業(yè)中的所述用戶對所述網(wǎng)絡(luò)對象的實際訪問歷史��,并且提供哪些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象的指示�����;以及 接收所述指示�,并且對利用至少部分地基于實際訪問的訪問權(quán)限替換預(yù)選的基于用戶安全組的訪問權(quán)限進行自動仿真�,而不中斷對所述網(wǎng)絡(luò)對象的用戶訪問。
21.根據(jù)權(quán)利要求20所述的用于對由計算機安全策略替換基于用戶安全組的計算機安全策略進行仿真的方法�,還包括 向預(yù)定風險承擔者通知作為所述替換的結(jié)果預(yù)計會在所述網(wǎng)絡(luò)對象中的預(yù)定對象中發(fā)生訪問權(quán)限變化,請求他們的授權(quán)�����。
22.根據(jù)權(quán)利要求20所述的用于對由計算機安全策略替換基于用戶安全組的計算機安全策略進行仿真的方法��,其中��,所述用戶安全組是MICROSOFT EVERYONE GROUP���。
全文摘要
本發(fā)明涉及一種用于由至少部分地基于實際訪問的計算機安全策略來自動地替換基于用戶安全組的計算機安全策略的系統(tǒng),包括習得訪問權(quán)限子系統(tǒng)��,可操作地學習企業(yè)中的用戶對于企業(yè)計算機環(huán)境中的網(wǎng)絡(luò)對象的當前訪問權(quán)限�,并且提供哪些用戶是有權(quán)訪問哪些網(wǎng)絡(luò)對象的用戶安全組的成員的指示;習得實際訪問子系統(tǒng)�,可操作地學習企業(yè)中的用戶對網(wǎng)絡(luò)對象的實際訪問歷史,并且提供哪些用戶已經(jīng)實際訪問了哪些網(wǎng)絡(luò)對象的指示�����;以及計算機安全策略管理子系統(tǒng)����,從習得訪問權(quán)限子系統(tǒng)和習得實際訪問子系統(tǒng)接收指示,并且可操作地利用至少部分地基于實際訪問的訪問權(quán)限自動地替換預(yù)選的基于用戶安全組的訪問權(quán)限�����,而不中斷對網(wǎng)絡(luò)對象的用戶訪問���。
文檔編號G06F17/00GK103026352SQ201180036278
公開日2013年4月3日 申請日期2011年1月23日 優(yōu)先權(quán)日2010年5月27日
發(fā)明者雅各布·費特爾松, 奧哈德·科爾庫斯, 奧菲爾·克雷策-卡齊爾, 戴維·巴斯 申請人:瓦歐尼斯系統(tǒng)有限公司