(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111659584.X (22)申请日 2021.12.31 (65)同一申请的已公布的文献号 申请公布号 CN 114003943 A (43)申请公布日 2022.02.01 (73)专利权人 北京国信网联科技有限公司 地址 100041 北京市石景山区实兴大街3 0 号院17号楼4层67号 (72)发明人 詹越　王龙华　苗棋江　张倚榕　 付斌　李先峰　陈杰皓　 (74)专利代理 机构 北京翔石知识产权代理事务 所(普通合伙) 11816 专利代理师 刘翔 (51)Int.Cl. G06F 21/60(2013.01)G06F 21/62(2013.01) G06F 21/30(2013.01) (56)对比文件 CN 104506542 A,2015.04.08 CN 112115512 A,2020.12.2 2 CN 107423198 A,2017.12.01 US 2017272472 A1,2017.09.21 US 20202 93681 A1,2020.09.17 审查员 于淼 (54)发明名称 一种用于机房托管管理的安全双控管理平 台 (57)摘要 本发明涉及一种用于机房托管管理的安全 双控管理平台， 涉及数据库安全技术领域， 其包 括用以对访问企业数据库的用户进行用户权限 管理的权限管理模块， 用以根据权限管理模块确 定的用户权限对用户访问企业数据库的过程进 行审计的运维审计模块， 以及用以根据所述用户 权限和审计结果对所述用户访问的数据进行安 全管控数据安全 管控模块， 本发 明通过设置第三 方机房部署安全决策平台， 该安全双控 管理平台 在用户访问时通过对用户进行全程监控， 根据用 户的访问过程确定用户访问的合规性， 提高对用 户访问过程的监控力度， 降低非法人员操作、 下 载和进入管 理区域的几率， 从而保证对企业数据 库的防护效果。 权利要求书3页 说明书14页 附图1页 CN 114003943 B 2022.11.08 CN 114003943 B 1.一种用于机房托管管理的安全双控管理平台， 包括运维及数据安全管控系统， 其特 征在于， 所述 运维及数据安全管控系统包括： 权限管理模块， 用以对访问企业数据库的用户进行用户权限管理； 运维审计模块， 其与所述权限管理模块连接， 用以根据权限管理模块确定的用户权限 对用户访问企业数据库的过程进行审计； 数据安全管控模块， 其分别与权限管理模块和运维审计模块连接， 用以根据所述用户 权限和审计结果对所述用户访问的数据进行安全管控； 所述权限管理模块包括用以管理用户账户的账户管理单元， 用以管理用户认证方式和 认证策略的密码管理单 元， 以及用以对用户进行授权的授权管理单 元； 所述运维审计模块包括用以监控用户访问企业数据库过程数据的监控单元和用以对 用户访问过程数据进行分析的分析判定单 元； 所述数据安全管控模块包括用以识别敏感数据的识别单元和用以将识别单元识别的 敏感数据进行脱敏的脱敏 单元； 所述授权管理单元在对用户授权时， 获取账户管理单元中的用户账户信息， 并根据用 户账户信息确定用户的权限等级， 所述授权管理单元根据所述用户等级确定用户访问所述 企业数据库的限制级别； 所述监控单元对用户通过安全决策系统访问企业数据库过程进行监控包括监测用户 单次访问的数据类型数量Q、 用户访问各数据类型的数据量U、 用户访问数据量中敏感数据 比例B以及访问不符合用户等级 数据的尝试次数C， 所述分析判定单元根据所述数据类型数 量Q与预设数据类型 数量Q0的比对结果确定对用户的监控力度； 所述分析判定单元根据 所述数据类型数量Q与预设数据类型数量Q0的比对结果确定对 用户的监控力度时， 所述监控单元设置有第一监控力度值W1和第二监控力度值W2， 且W1＜ W2， 若Q≤Q0， 所述 监控单元将对用户的监控力度设置为第一 监控力度值 W1； 若Q＞Q0， 所述 监控单元将对用户的监控力度设置为第一 监控力度值 W2； 所述分析判定单元还用以将监测的各所述数据类型的数据量U与预设数据量U0进行比 对， 并根据比对结果确定是否对用户的监控力度进行调节， 若U≤U0， 所述分析判定单 元判定不对用户的监控力度值进行调节； 若U＞U0， 所述分析判定单 元判定对用户的监控力度值进行调节； 所述分析判定单元还用以在获取用户访问数据量中敏感数据比例B和访问不符合用户 权限等级数据的尝试次数C完成时， 将所述数据比例B与预设数据比例B0和所述尝试次数C 与预设尝试次数C 0分别进行比对， 并根据比对结果判定所述用户的访问过程是否合 规， 若B≤B0或C ≤C0， 所述分析判定单 元判定所述用户的访问过程 不合规； 若B＞B0且C＞C 0， 所述分析判定单 元判定所述用户的访问过程 合规； 所述分析判定单元在判定所述用户访问过程不合规 时， 计算所述用户访问过程的合格 率P， 设定P=B/B0+C/C0， 并将该合格率P与预设合格率进行比对， 并根据比对结果对用户访 问过程的监控力度值进行修 正、 对用户权限等级 进行降级处 理或禁止用户访问； 所述监控单元在所述分析判定单元判定所述对用户监控力度进行修正 时， 计算所述合 格率P和第一预设合格率P1的第一合格率差值ΔPa， 设定ΔPa=P ‑P1， 并根据该合格率差值权　利　要　求　书 1/3 页 2 CN 114003943 B 2与预设合格率差值的比对结果选取对应的修 正系数对监控力度值进行修 正； 所述授权管理单元还用以在将禁止用户访问所述企业数据库的禁止时长设置为tz时， 设定z=1， 2， 3， 获取该用户历史访问企业数据库的合规次数F， 并将该合规次数F与预设合规 次数F0进行比对， 若F≤F0， 所述授权管理单元判定不对所述禁止时长进行调节， 若F＞F0， 所述授权管理单 元判定对禁止时长进行调节； 所述授权管理单元还用以在判定对所述禁止时长进行调节时， 计算所述合规次数F与 预设合规次数F0的次数差值ΔF， 设定ΔF=F ‑F0， 并根据该次数差值与预设次数差值的比对 结果选取对应的时长调节系数对所述禁止时长进行调节。 2.根据权利要求1所述的用于机房 托管管理 的安全双控管理平台， 其特征在于， 所述监 控单元还用以在所述分析判定单元判定对用户的监控力度值进行调节时， 计算所述数据类 型的数据量U和预设数据量U0的数据量差值ΔU， 设定ΔU=U ‑U0， 并根据该数据量差值与预 设数据量差值的比对结果选取对应的调节系数对监控力度值进行调节， 其中， 所述监控单元还设有第一预设数据量差值ΔU1、 第二预设数据量差值ΔU2、 第三 预设数据量差值ΔU3、 第一力度值调节系数K1、 第二力度值调节系数K2以及第三力度值调 节系数K3， 其中ΔU1＜ΔU2＜ΔU3， 设定1＜K1＜K2＜K3＜1.5, 当ΔU≤ΔU1时， 所述 监控单元选取第一力度值调节系数 K1对监控力度进行调节； 当ΔU1＜ΔU≤ΔU2时， 所述监控单元选取第二力度值调节系数K2对监控力度进行调 节； 当ΔU2＜ΔU≤ΔU3时， 所述监控单元选取第三力度值调节系数K3对监控力度进行调 节； 当所述监控单元选取第i力度值调节系数Ki对监控力度进行调节时， 设定i=1， 2， 3， 所 述监控单元将调节后的监控力度值设置为 Wk， 设定Wk=Wn×Ki， n=1， 2。 3.根据权利要求2所述用于机房 托管管理的安全双控管理平台， 其特征在于， 所述分析 判定单元还设有第一预设合格率P1、 第二预设合格率P2以及第三预设合格率P3， P1＞P2＞ P3， 当P≥P1时， 所述分析判定单 元判定对用户的监控力度进行修 正； 当P1＞P≥P2时， 所述分析判定单 元判定对用户进行降低权限等级处 理； 当P2＞P≥P3时， 所述分析判定单元判定禁止用户访问所述企业数据库并设置禁止时 长； 所述授权管理单元还用以在所述分析判定单元判定对用户进行降低权限等级处理时， 将所述用户权限等级降低一个级别。 4.根据权利要求3所述用于机房 托管管理的安全双控管理平台， 其特征在于， 所述监控 单元还设有第一预设合格率差值ΔP1、 第二预设合格率差值ΔP2、 第三预设合格率差值Δ P3、 第一力度值修正系数X1、 第二力度值修正系数X2以及第三力度值修正系数X3， 其中ΔP1 ＜ΔP2＜ΔP3， 设定1＜X1＜X2＜X3＜1.5， 当ΔPa≤ΔP1时， 所述监控单元选取第一力度值修正系数X1对用户监控力度值进行修 正； 当ΔP1＜ΔPa≤ΔP2时， 所述监控单元选取第二力度值修正系数X2对用户监控力度值 进行修正；权　利　要　求　书 2/3 页 3 CN 114003943 B 3