[发明专利]用户权限的风险评估方法、装置、计算机设备和存储介质

说明书

本申请涉及风险管控技术领域，揭示了一种用户权限的风险评估方法、装置、计算机设备和存储介质，其中方法包括：获取各用户权限在历史使用中产生的损失事件及损失事件造成的损失值，将各用户权限下损失事件产生的损失值进行累加，得到累计损失值，并生成各用户权限与对应累计损失值的对照表；响应于目标用户的授权请求，获取目标用户的用户信息以及申请的目标用户权限，根据用户信息调取目标用户的损失系数，根据目标用户权限从对照表中查询得到目标用户权限对应的标准损失值；根据损失系数及标准损失值预估目标用户使用目标用户权限所造成的期望损失值，并生成风险评估结果，使风险评估结果的准确性较高，且直观性较好。

技术领域

本申请涉及到风险管控技术领域，特别是涉及到一种用户权限的风险评估方法、装置、计算机设备和存储介质。

背景技术

现有信息安全系统在审核员工终端特权的授权管理时，评估开通用户权限所带来的风险的方法主要通过了解行业内其他公司、或者根据安全咨询公司提供的最佳实践安全方案进行用户权限管理，受限于各公司的具体情况不同，此类方案容易脱离公司实际情况，造成用户权限管控策略与业务实际需求脱钩。

此外，现有采用用户权限的风险评估方法无法量化，使风险评估结果的准确性较低，直观性较差，审核用户难以直接根据评估结果作出决策。

发明内容

本申请的主要目的为提供一种用户权限的风险评估方法、装置、计算机设备和存储介质，旨在解决目前风险评估方法无法量化，使风险评估结果的准确性较低，直观性较差的技术问题。

为了实现上述发明目的，本申请提出一种用户权限的风险评估方法，包括：

获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值，将各用户权限下损失事件产生的损失值进行累加，得到累计损失值，并生成各用户权限与对应累计损失值的对照表；

响应于目标用户的授权请求，获取目标用户的用户信息以及申请的目标用户权限，根据所述用户信息调取目标用户的损失系数，根据所述目标用户权限从所述对照表中查询得到所述目标用户权限对应的标准损失值；其中，所述损失系数根据目标用户的历史损失事件及各历史损失事件造成的历史损失值计算得到；

根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果。

可选地，所述损失值包括安全入侵事件、信息泄露事件或法律风险事件造成的损失值；所述获取各用户权限在历史使用中产生的损失事件及所述损失事件造成的损失值的步骤之前，还包括：

收集各用户权限在历史使用中产生的安全入侵事件，根据所述安全入侵事件的入侵次数计算所述损失值；或

收集各用户权限在历史使用中产生的信息泄露事件，根据所述信息泄露事件的信息转发量及浏览量计算所述损失值；或

收集各用户权限在历史使用中产生的法律风险事件，根据所述法律风险事件产生的法律费用计算所述损失值。

可选地，所述根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值，根据所述期望损失值生成风险评估结果的步骤，包括：

根据所述目标用户的损失系数及标准损失值预估所述目标用户使用所述目标用户权限所产生的安全入侵事件、信息泄露事件及法律风险事件分别造成的期望损失值；

根据所述安全入侵事件、信息泄露事件及法律风险事件，分类对所述期望损失值进行统计并生成对应图标。

进一步地，所述根据所述损失系数及标准损失值预估所述目标用户使用所述目标用户权限所造成的期望损失值的步骤之后，还包括：