姜良军，王自亮，单俊明

（中国移动通信集团山东有限公司，济南 250001）

网元操作权限自动回收方法研究

姜良军，王自亮，单俊明

（中国移动通信集团山东有限公司，济南 250001）

传统用户权限管理缺乏灵活性，未对所分配权限进行闭环验证，从而易出现用户权限过大的情况。本文基于用户操作日志及网元操作权限分析，提出一种网元操作权限自动调整方案。利用本方案，实现了对用户操作网元所需权限的客观评估，并可自动回收不必要的高级权限，对于减少高危指令误操作及重点网元操作权限被滥用造成的网络安全事故具有重大的现实意义。

RBAC；权限管理；日志分析

1 概述

随着IT系统的普及，用户权限管理的模型和对象也变得越来越复杂。在权限安全管理方面，目前流行的访问控制模型主要有自主访问控制模型（DAC）、强制访问控制模型（MAC）和基于角色的访问控制模型（RBAC）。自主访问控制模型允许合法用户以用户或用户组的身份访问控制策略规定的客体，阻止非授权用户访问客体。强制访问控制模型为客体设置一定的安全级别，对主体授予一定的权限级别决定该主体可访问何级别的资源。基于角色的访问控制模型通过引入角色对用户权限进行解耦，简化了授权和安全管理，根据用户的责任和资格来指派相应的角色。

现阶段，对网元操作权限的授权，通常采取“常规角色权限+临时申请权限”相结合的方式进行管理。如图1所示。

图1 传统的网元操作权限管理方式

常规角色权限授权方式中，系统管理人员首先创建一组用户角色，每个角色有对应的权限组，然后根据用户权限需要，通过分级授权、流程审批，为每个用户账号均分配一组用户角色。若用户需要针对某些网元进行一些超出当前所具有权限的高级别操作，则提出申请，管理员根据实际工作需要，给用户临时申请授权，将某些网元、在某段时间内的某些更高级别的操作权限授予该用户账号。

在用户的实际操作运维工作中，每个用户账号均对应“常规角色权限+临时申请权限”，因而对应多组操作权限。此时，用户账号的权限是多组操作权限的并集或取权限集的最大值。虽然网络安全管理技术日益完善，但目前的管理技术存在如下问题。

（1）网元操作维护权限长期存在“只增不减，极少回收”的粗放管理难题。多数维护人员基于操作便捷的考虑，很少主动要求降低操作权限。随着时间的增长，账号权限日益增多，高权限指令及重点网元操作权限的授权数量不断增大。

（2）用户操作网元所需的真实权限，缺乏客观、精细的评估方法。用户权限发放后，用户是否真正使用了其所申请的操作权限，是否真正需要某些重点网元、高权限指令的操作权限，处于管理空白。虽然可通过操作日志事后审查发现操作问题，但难以提前规避账号权限滥用造成的网络安全事故。

（3）网元操作维护权限的收回，缺乏自动化的技术手段。在传统账号权限管理方式，发现权限闲置、滥用后，只能根据需要由系统管理员重新设置，缺乏维护权限自动化调整手段。

（4）“金库模式”管理侧重于运行中的账号权限控制与审核，不涉及操作前的权限申请、审核、分配与回收。为防范客户信息泄露，中国移动通信集团在全国范围内部署实施了“金库模式”客户信息保护手段，有效控制了账号权限的滥用。但目前金库模式只在涉及客户信息的核心系统应用，未全面部署，并且对于不发起操作的沉默账号，不会触发“金库模式”操作，无法及时回收。

针对上述问题，本文提出一种网元操作权限自动回收方法，考虑强化网元操作权限管理的精细化、灵活性问题。

2 技术方案

2.1 方案总体架构

为加强运维操作安全管理，系统自身或第三方系统一般都将大量网元的操作会话日志数据进行全量存储，即所有网元的所有用户操作指令及返回结果都被系统记录到数据库中，系统中积累了大量的操作维护日志数据。因此可基于这些数据对所有用户的操作维护行为及其操作权限进行数据分析，根据分析结果判断网元操作权限是否被用户真实使用、频繁滥用或闲置无用，判断该用户账号实际需要哪些操作权限。

如图2所示，本方案将用户实际需要的操作权限与高危指令集及重点网元集进行比对，在满足用户日常操作维护工作的前提下，自动收回不必要的高级权限，从而避免用户在误操作或频繁高危操作的情况下引发网元故障或网络运行事故，提高网元维护工作的安全性。

图2 引入本方案后的网元操作权限管理方式

2.2 用户权限调整流程

步骤1：根据用户账号，从用户数据库中提取用户角色，分析该角色对应的常规操作权限，及权限有效时限。

步骤2：根据用户账号，从流程审批数据库中提取用户临时权限审批结果，分析网元操作权限，及权限有效时限。

步骤3：根据用户账号，从日志数据库中提取用户登录网元的操作日志。

步骤4：根据用户操作日志分析用户所需操作权限。

步骤5：根据分析结果调整用户操作权限。

2.3 用户操作权限判断方法

用户操作维护的网元、所需的权限近似地用正态分布来描述。用户操作权限具体判断方法如下。

（1）根据网元操作维护的重要程度，将网元操作权限进行安全分级，定义为A。例如可分为10级， A等于1～10之间的某一整数，1级权限最低=查看，10级最高。

（2）将网元操作权限与用户操作权限分析结果、用户临时操作权限分析结果结合，按用户账号，分析每个用户的操作维护日志记录。将用户登录某网元一次的一组操作，定义为一条样本数据，则能够抽象出i（i=1，2，3……n）组样本。

（3）将每组样本中各项网元操作所需要的最高权限，视作本组操作需要的权限 （i=1，2，3……n）。

（4）统计各组样本数据的操作权限 ，计算样本均值和样本标准差 。

（5）求权限置信区间。

置信区间下限：α＝μ-k×σ

置信区间上限：b＝μ+k×σ

求90%的置信区间时，k=1.645；求95%的置信区间时，k=1.96；求99%的置信区间时，k=2.576。

（6）为保证用户正常开展运维操作，应赋予用户的权限为置信区间上限b。若希望满足至少之前90%的操作均能在新权限下满足，则带入k=1.645；若希望满足至少之前95%的操作均能在新权限下满足，则带入k =1.96。

（7）对于样本容量不足，如 n＜10的用户，则根据管理严格程度，取其操作历史中最高权限给予其权限设置或者只赋予最低权限，通过临时权限授权的方式授予其它权限。

2.4 本方案技术特点

与现有方法相比，本方法的特点如下。

（1）对用户权限管理不再仅仅依据用户的要求分配，而是在权限分配后基于用户的指令操作日志数据，运用数学分析方法对用户行为进行分析，精确、客观判定用户实际所需权限，实现了网元操作权限的闭环管理。

（2）在满足用户日常操作维护工作的前提下，自动回收不必要的高级权限，对用户权限进行精细化调整，从而减小了因用户操作失误造成网元事故的可能性。

3 结束语

基于用户操作日志及操作权限，利用本方案，突破性地实现了对用户操作网元所需权限的客观评估。在现网应用后，发现沉默账号23个，授权不合理账号8个。通过有效识别网元操作权限被真实使用、频繁滥用或闲置无用的真实情况，创新性地实现了网元操作高级权限的自动回收，解决了长期存在的操作权限“只增不减”的粗放管理难题，对于增强网络安全、稳定，减少高危指令及重点网元操作权限被滥用造成的网络安全事故均具有重大的现实意义。

Study of automatic revoking of operation authorities

JIANG Liang-jun, WANG Zi-liang, SHAN Jun-ming
(China Mobile Group Shandong Co., Ltd., Ji’nan 250001, China)

Traditionally, operation authorities of net elements are lack of fl exibility. After an account is created, the authority will not be verif i ed by closed-loop tests. This paper introduces a scheme to adjust the authority according to the operation log and the operation authority. With the scheme, the authority needed will be objectively evaluated and the unnecessary authority will be revoked. Thus the misuse of operation authorities will be reduced. This has great practical signif i cance to prevent the occurrence of network security events.

RBAC; authority management; log analysis

TN915

A

1008-5599（2017）06-0086-03

2017-01-24