账号权限安全控制方法、装置、设备及存储介质与流程

1.本发明涉及互联网安全技术领域，尤其涉及一种账号权限安全控制方法、装置、设备及存储介质。


背景技术：

2.出现供应链安全攻击时，企业的系统与数据安全受到威胁，往往采用常规的人工处置，通常会将所有涉事企业员工账号封停，专线断网等手段，这种手段属于“一刀切”粗放模式，其中部分员工可能并未受到攻击，但也同样被禁止访问系统资源，无法对生产系统进行日常的生产维护相关工作，进而影响企业的整体运行，甚至损失一定的经济效益，并且，处置操作通常只针对发生供应链攻击的涉事企业及员工，但往往存在多供应商共用资源情况，可能会出现风险处置不完整，导致风险蔓延的情况，引发更加严重的安全事件与影响。


技术实现要素：

3.本发明的主要目的在于提供一种账号权限安全控制方法、装置、设备及存储介质，旨在解决现有技术中出现供应链安全攻击时，传统处置方式通常一刀切停用涉事企业的所有员工账号，容易影响企业整体运行，且容易造成风险扩散的技术问题。
4.为实现上述目的，本发明提供了一种账号权限安全控制方法，所述方法包括以下步骤：
5.在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的风险等级系数；
6.根据所述风险等级系数，确定所述员工账号的安全码等级；
7.根据所述员工账号的安全码等级，确定所述员工账号的权限范围，并在所述员工账号中确定风险员工账号；
8.获取所述风险员工账号对应的扩散账号，根据所述扩散账号的安全码等级，确定所述扩散账号的权限范围，并在所述扩散账号中确定风险扩散账号；
9.对所述风险员工账号与所述风险扩散账号进行风险扫描，得到扫描结果；
10.根据所述扫描结果，对所述风险员工账号与所述扩散风险账号的权限范围进行调整。
11.可选地，所述预设风险规则包括时空风险规则、区域风险规则、文件风险规则以及操作风险规则，所述风险等级系数包括时空风险系数、区域风险系数、文件风险系数以及操作风险系数，所述基于预设风险规则，确定目标企业中员工账号的风险等级系数，包括：
12.根据所述员工账号的账号系统数据，确定资源访问时间、登录地点、登出地点、上传文件类型、上传文件内容、操作命令以及操作习惯；
13.根据资源攻击时间与所述资源访问时间，确定所述员工账号的时空重合度，根据所述时空风险规则，确定所述时空重合度对应的时空风险系数；
14.根据攻击登录地点与所述登录地点，确定登录重合情况，根据攻击登出地点与所
述登出地点，确定登出重合情况，根据所述登录重合情况与所述登出重合情况，确定所述员工账号的区域重合度，根据所述区域风险规则，确定所述区域重合度对应的区域风险系数；
15.根据所述上传文件类型与文件风险规则，确定所述上传文件类型对应的文件风险系数，在所述文件风险系数大于文件风险阈值时，对所述员工账号的上传文件内容进行恶意检测，根据恶意检测结果调整所述文件风险系数；
16.在所述员工账号的操作命令与预设高危操作命令不符合时，根据所述操作习惯与操作命令，确定操作习惯匹配度，根据所述操作风险规则，确定所述操作习惯匹配度对应的操作风险系数。
17.可选地，所述根据所述风险等级系数，确定所述员工账号的安全码等级，包括：
18.获取所述预设风险规则对应的信息增益；
19.基于所述预设风险规则对应的信息增益，建立等级决策模型；
20.基于所述等级决策模型与员工账号的风险等级系数，确定所述员工账号的安全码等级。
21.可选地，所述获取所述预设风险规则对应的信息增益，包括：
22.根据所述预设风险规则中的预设风险等级，确定模拟样本数据，所述模拟样本数据包括预设风险等级组合以及所述预设风险等级组合对应的预设安全码等级；
23.根据所述模拟样本数据，确定所述预设风险等级对应的安全码等级比例；
24.获取安全码等级比例、安全码等级数量与根节点值之间的第一对应关系；
25.根据所述第一对应关系、所述安全码等级比例以及安全码等级数量，确定所述预设风险等级对应的根节点值；
26.获取根节点值与信息增益之间的第二对应关系；
27.根据所述第二对应关系以及所述根节点值，确定所述预设风险规则对应的信息增益。
28.可选地，所述安全码等级至少包括第一安全等级、第二安全等级以及第三安全等级，所述根据所述员工账号的安全码等级，确定所述员工账号的权限范围，包括：
29.在所述员工账号的安全码等级为所述第一安全等级时，确定所述员工账号无认证权限；
30.在所述员工账号的安全码等级为所述第二安全等级时，确定所述员工账号有预设级别认证权限，所述第二安全等级高于所述第一安全等级；
31.在所述员工账号的安全码等级为所述第三安全等级时，确定所述员工账号有完整认证权限，所述第三安全等级高于所述第二安全等级。
32.可选地，所述扫描结果至少包括风险特征的扫描结果与接入环境的扫描结果，所述根据所述扫描结果，对所述风险员工账号与所述扩散风险账号的权限范围进行调整，包括：
33.根据所述风险特征的扫描结果以及所述接入环境的扫描结果，确定所述风险员工账号与所述风险扩散账号的风险程度，所述风险特征至少包括恶意文件特征、异常进程特征、后门程序特征、漏洞利用痕迹特征以及被攻击资源特征；
34.根据所述风险程度，在所述风险员工账号与所述风险扩散账号中确定低风险账号；
35.对所述低风险账号的安全码等级进行降级，并根据降级后的安全码等级，确定所述低风险账号的权限范围。
36.可选地，所述账号权限安全控制，还包括：
37.对预设监控对象进行监控，在所述预设监控对象出现预设攻击关键词时，确定供应链受到安全攻击，所述监控对象至少包括媒体、目标供应商官网、目标供应商联系人邮件以及消息软件；
38.在供应链受到安全攻击后，获取攻击元素数据，所述攻击元素数据至少包括攻击时间、攻击资源、事件类型、影响程度、影响范围、紧急程度以及企业名称；
39.根据所述攻击元素数据，确定所述目标企业，并提取所述目标企业中员工账号对应的账号系统数据，所述账号系统数据至少包括账号信息、登录日志以及操作日志。
40.此外，为实现上述目的，本发明还提出一种账号权限安全控制装置，所述账号权限安全控制装置包括：
41.分析模块，用于在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的风险等级系数；
42.所述分析模块，还用于根据所述风险等级系数，确定所述员工账号的安全码等级；
43.调度模块，用于根据所述员工账号的安全码等级，确定所述员工账号的权限范围，并在所述员工账号中确定风险员工账号；
44.所述调度模块，还用于获取所述风险员工账号对应的扩散账号，根据所述扩散账号的安全码等级，确定所述扩散账号的权限范围，并在所述扩散账号中确定风险扩散账号；
45.扫描模块，用于对所述风险员工账号与所述风险扩散账号进行风险扫描，得到扫描结果；
46.决策模块，用于根据所述扫描结果，对所述风险员工账号与所述扩散风险账号的权限范围进行调整。
47.此外，为实现上述目的，本发明还提出一种账号权限安全控制设备，所述账号权限安全控制设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的账号权限安全控制程序，所述账号权限安全控制程序配置为实现如上文所述的账号权限安全控制方法的步骤。
48.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有账号权限安全控制程序，所述账号权限安全控制程序被处理器执行时实现如上文所述的账号权限安全控制方法的步骤。
49.在本发明中，在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的风险等级系数，根据风险等级系数，确定员工账号的安全码等级，根据员工账号的安全码等级，确定员工账号的权限范围，并在员工账号中确定风险员工账号，获取风险员工账号对应的扩散账号，根据扩散账号的安全码等级，确定扩散账号的权限范围，并在扩散账号中确定风险扩散账号，对风险员工账号与风险扩散账号进行风险扫描，得到扫描结果，根据所述扫描结果，对风险员工账号与所述扩散风险账号的权限范围进行调整。相较于传统处置方式采用一刀切停用涉事企业的所有员工账号，容易影响企业整体运行，本发明从多个维度对账号安全风险评估，可快速识别账号风险，并根据风险定义安全码，分层分级，实现权限动态调整，保证企业整体运行的同时避免企业进一步受到损失，相较于传统处置方式
响应时间长，易造成风险扩散，本发明可迅速确定跨企业风险账号，方便风险排查、抑制与根除，避免安全风险蔓延。
附图说明
50.图1是本发明实施例方案涉及的硬件运行环境的账号权限安全控制设备的结构示意图；
51.图2为本发明账号权限安全控制方法第一实施例的流程示意图；
52.图3为本发明账号权限安全控制方法一实施例的整体流程示意图；
53.图4为本发明账号权限安全控制方法第二实施例的流程示意图；
54.图5为本发明账号权限安全控制方法第三实施例的流程示意图；
55.图6为本发明账号权限安全控制方法一实施例的模拟样本数据示意图；
56.图7为本发明账号权限安全控制装置第一实施例的结构框图。
57.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
58.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
59.参照图1，图1为本发明实施例方案涉及的硬件运行环境的账号权限安全控制设备结构示意图。
60.如图1所示，该账号权限安全控制设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)存储器，也可以是稳定的非易失性存储器(non-volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
61.本领域技术人员可以理解，图1中示出的结构并不构成对账号权限安全控制设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
62.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及账号权限安全控制程序。
63.在图1所示的账号权限安全控制设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明账号权限安全控制设备中的处理器1001、存储器1005可以设置在账号权限安全控制设备中，所述账号权限安全控制设备通过处理器1001调用存储器1005中存储的账号权限安全控制程序，并执行本发明实施例提供的账号权限安全控制方法。
64.本发明实施例提供了一种账号权限安全控制方法，参照图2，图2为本发明一种账号权限安全控制方法第一实施例的流程示意图。
65.本实施例中，所述账号权限安全控制方法包括以下步骤：
66.步骤s10：在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账
号的风险等级系数。
67.需要说明的是，本实施例的执行主体为智能终端，例如：计算机，所述智能终端中设有账号权限安全控制程序，在供应链受到安全攻击后，可以对风险账号的权限进行动态控制。
68.可以理解的是，预设风险规则为本实施例制定的风险等级系数计算方式预设风险规则，包括时空风险规则、区域风险规则、文件风险规则以及操作风险规则，风险等级系数至少包括时空风险系数、区域风险系数、文件风险系数以及操作风险系数，即时空风险值、区域风险值、文件风险值以及操作风险值。预设风险规则与风险等级系数是对应的，时空风险规则用于计算时空风险系数，区域风险规则用于计算区域风险系数，文件风险规则用于计算文件风险系数，操作风险规则用于计算操作风险系数。
69.应当理解的是，一般来说，当供应链受到攻击后，有资源(终端/服务器/网络设备等)会被锁定，即该资源中存在一定被攻击的特征(比如新增账号、后门/异常文件、异常进程等)，该资源被定义为“0号病人”，由此确定对应的企业遭受到安全攻击。目标企业即为遭受到安全攻击的企业，员工账号即目标企业的it(information technology，信息技术)相关系统的账号，可以是所有员工的账号，也可以是从中选取的与攻击相关性较强的账号。
70.在具体实现中，在供应链受到安全攻击后，分别计算目标企业中员工账号的时空风险系数、区域风险系数、文件风险系数以及操作风险系数。
71.进一步地，在所述步骤s10之前，还包括：对预设监控对象进行监控，在所述预设监控对象出现预设攻击关键词时，确定供应链受到安全攻击；在供应链受到安全攻击后，获取攻击元素数据；根据所述攻击元素数据，确定所述目标企业，并提取所述目标企业中员工账号对应的账号系统数据。
72.需要说明的是，预设监控对象为预先设定的监控对象，至少包括媒体、目标供应商官网、目标供应商联系人邮件以及消息软件，其中，媒体可以是微博、安全社区等，本实施例对此不做限制。预设攻击关键词为设定的与供应链攻击相关的关键词，例如：安全攻击、供应链安全、漏洞、挂码、账号泄露等，本实施例对此不做限制，一旦预设监控对象出现了这些关键词，则认为发生供应链攻击。攻击元素数据指的是供应链攻击的相关信息，至少包括攻击时间、攻击资源、事件类型、影响程度、影响范围、紧急程度以及企业名称。
73.可以理解的是，账号系统数据指的是系统中各个员工账号的相关数据，至少包括账号信息、登录日志以及操作日志，其中，账号信息包括账号归属组织机构、账号清单以及账号状态等相关信息，登录日志包括登录时间、登出时间、登录地点、登出地点以及源ip等相关信息，操作日志包括访问目标主机/数据库/终端ip、操作执行时间、操作命令、上传文件类型以及账号权限等相关信息。
74.在具体实现中，账号系统数据提取完成后，根据“0号病人”所属账号的相关行为数据，按照预设风险规则进行风险等级系数的计算。
75.步骤s20：根据所述风险等级系数，确定所述员工账号的安全码等级。
76.应当理解的是，由于不同数值的风险等级系数组合可能会产生不同的账号风险值，可能会存在与0号病例近似的情况，本实施例通过引入笛卡尔积和决策树算法来判定各个员工账号的风险等级系数所对应的安全码等级，防止可能存在的误报。
77.可以理解的是，安全码等级可以分为多级，本实施例中的安全码等级包括三个等
级，分别是第一安全等级、第二安全等级以及第三安全等级，第二安全等级高于所述第一安全等级，第三安全等级高于所述第二安全等级，第一安全等级为r级(red)，第二安全等级为y级(yellow)，第三安全等级为g级(green)。
78.步骤s30：根据所述员工账号的安全码等级，确定所述员工账号的权限范围，并在所述员工账号中确定风险员工账号。
79.进一步地，所述步骤s30包括：在所述员工账号的安全码等级为所述第一安全等级时，确定所述员工账号无认证权限；在所述员工账号的安全码等级为所述第二安全等级时，确定所述员工账号有预设级别认证权限，所述第二安全等级高于所述第一安全等级；在所述员工账号的安全码等级为所述第三安全等级时，确定所述员工账号有完整认证权限，所述第三安全等级高于所述第二安全等级。
80.应当理解的是，不同的安全码等级对应的预设权限范围不同，预设权限范围即预先设定的权限范围，权限范围即员工账号的权限。第一安全等级对应的预设权限范围为无认证权限，无认证权限即没有认证权限，员工账号呈锁定状态，拒绝所有认证；第二安全等级对应的预设权限范围为预设级别认证权限，预设级别认证权限指的是员工账号具有部分认证权限，通常预设级别为查询级别，也就是说，账号允许认证，但权限默认被限定为查询级别，对于涉及其他级别操作需授权；第三安全等级对应的预设权限范围为完整认证权限，完整认证权限指的是全部的认证权限，账号允许认证，权限正常使用。本实施例中的认证包括网络准入认证、4a(帐号account、认证authentication、授权authorization和审计audit)访问认证、云桌面登录认证等。
81.在具体实现中，根据安全码等级以及预设权限范围，对进行各个员工账号进行自动收缩执行与记录，对于安全码等级为r级的员工账号默认锁定3天；对于安全码等级为y级的员工账号，默认具有查询权限，其他级别操作需授权；对于安全码等级为g级的员工账号，认证与使用不受影响。
82.需要说明的是，风险员工账号指的是员工账号中风险较大的账号，通常将安全码等级为第一安全等级的员工账号认为是风险员工账号。
83.步骤s40：获取所述风险员工账号对应的扩散账号，根据所述扩散账号的安全码等级，确定所述扩散账号的权限范围，并在所述扩散账号中确定风险扩散账号。
84.可以理解的是，本实施例在找出风险员工账号后，还会进行二次调度，将受到攻击的账号由“0号病人”扩大为安全码等级为r级的“病人”，得到的风险账号的范围将扩大，会包含其他企业的账号信息，实现多层扩散风险分析。
85.应当理解的是，扩散账号指的是与安全码等级为r级的员工账号相关的其他账号，例如其他企业的账号(非目标企业的账号)，扩散账号的安全码等级的确定方式与员工账号的安全码等级的确定方式相同，可参考步骤s10至步骤s20，本实施例在此不再赘述，相应的，扩散账号的权限范围的确定方式，同样与员工账号的权限范围的确定方式相同，可参考步骤s30，本实施例在此不再赘述。
86.需要说明的是，风险扩散账号即为其他企业的风险账号，方便风险排查、抑制与根除，防止风险蔓延，风险扩散账号可以是扩散账号中安全码级别为第一安全等级的账号，也可根据实际需求设定，本实施例对此不做限制。
87.步骤s50：对所述风险员工账号与所述风险扩散账号进行风险扫描，得到扫描结
果。
88.可以理解的是，扫描结果即风险扫描得到结果，至少包括风险特征的扫描结果与接入环境的扫描结果，风险特征的扫描结果指的是对风险特征的扫描结果，用于判断账号是否存在风险特征，风险特征至少包括恶意文件特征、异常进程特征、后门程序特征、漏洞利用痕迹特征以及被攻击资源特征，即需要判断账号是否存在恶意文件、异常进程、后门程序、漏洞利用痕迹以及被攻击资源，接入环境的扫描结果指的是对接入环境的扫描结果，接入环境即账号所属接入的终端环境。
89.步骤s60：根据所述扫描结果，对所述风险员工账号与所述扩散风险账号的权限范围进行调整。
90.进一步地，所述步骤s60包括：根据风险特征的扫描结果以及接入环境的扫描结果，确定所述风险员工账号与所述风险扩散账号的风险程度；根据所述风险程度，在所述风险员工账号与所述风险扩散账号中确定低风险账号；对所述低风险账号的安全码等级进行降级，并根据降级后的安全码等级，确定所述低风险账号的权限范围。
91.应当理解的是，风险程度通常包括两个级别，即高风险与低风险，根据扫描结果，判断风险员工账号与风险扩散账号是高风险还是低风险，风险员工账号与风险扩散账号中风险程度为低风险的账号即为低风险账号。若低风险账号的安全码等级是r级，则对其进行降级，即将安全码等级由r级降为y级，账号所属权限范围同步进行放大/恢复，若低风险账号的安全码等级是y级，则对其进行降级，即将安全码等级由y级降为g级，账号所属权限范围同步进行放大/恢复，实现权限动态调整。风险员工账号与风险扩散账号中风险程度为高风险的账号，其安全码等级不变，相应的权限范围也不变。
92.如图3所示的整体流程示意图，监控媒体(微博、安全社区等)、目标供应商官网、目标供应商联系人邮件、即时消息软件等的安全事件，分别计算员工账号的时空风险系数、区域风险系数、文件风险系数以及操作风险系数，引入笛卡尔乘积和决策树算法，确定员工账号的安全码等级，根据安全码等级设置权限范围，对于安全码等级为r级的员工账号默认锁定3天；对于安全码等级为y级的员工账号，默认具有查询权限，其他级别操作需授权；对于安全码等级为g级的员工账号，认证与使用不受影响，扫描风险账号是否包含恶意文件、异常进程、后门程序、漏洞利用痕迹以及被攻击资源，以及被接入终端环境，得到扫描结果，依据扫描结果调整安全码等级，从而调整权限范围。
93.在本实施例中，在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的风险等级系数，根据风险等级系数，确定员工账号的安全码等级，根据员工账号的安全码等级，确定员工账号的权限范围，并在员工账号中确定风险员工账号，获取风险员工账号对应的扩散账号，根据扩散账号的安全码等级，确定扩散账号的权限范围，并在扩散账号中确定风险扩散账号，对风险员工账号与风险扩散账号进行风险扫描，得到扫描结果，根据所述扫描结果，对风险员工账号与所述扩散风险账号的权限范围进行调整。相较于传统处置方式采用一刀切停用涉事企业的所有员工账号，容易影响企业整体运行，本实施例从多个维度对账号安全风险评估，可快速识别账号风险，并根据风险定义安全码，分层分级，实现权限动态调整，保证企业整体运行的同时避免企业进一步受到损失，相较于传统处置方式响应时间长，易造成风险扩散，本实施例可迅速确定跨企业风险账号，方便风险排查、抑制与根除，避免安全风险蔓延。
94.参照图4，图4为本发明一种账号权限安全控制方法第二实施例的流程示意图。
95.基于上述第一实施例，所述步骤s10包括：
96.步骤s101：根据所述员工账号的账号系统数据，确定资源访问时间、登录地点、登出地点、上传文件类型、上传文件内容、操作命令以及操作习惯。
97.需要说明的是，为了计算风险等级系数，需要从账号系统数据中获取相关数据，例如：资源访问时间、登录地点、登出地点、上传文件类型、上传文件内容、操作命令以及操作习惯，还可以根据实际情况调整需求的数据，本实施例对此不做限制。
98.步骤s102：根据资源攻击时间与所述资源访问时间，确定所述员工账号的时空重合度，根据所述时空风险规则，确定所述时空重合度对应的时空风险系数。
99.可以理解的是，资源攻击时间指的是在本次供应链安全攻击下，资源受到攻击的时间，资源访问时间即各员工账号对该受到攻击的资源进行访问的时间，时空重合度即为员工账号的访问时间与资源受到攻击时间之间的重合度。时空风险规则包含预设时空风险等级，以及预设时空风险等级对应的预设时空重合度与预设时空风险系数，时空风险规则中设置了多个风险等级，即预设时空风险等级，每个风险等级都有对应的时空重合度和时空风险系数，即每个预设时空风险等级对应一个预设时空重合度与预设时空风险系数。
100.应当理解的是，本实施例中预设时空风险等级分为k1、k2、k3以及k4，预设时空重合度分为3小时内重合、12小时内重合、24小时内重合以及48小时内重合，分别对应k1、k2、k3以及k4等级，其中，重合包括在资源攻击时间前设定时间内重合，以及在资源攻击时间后设定时间内重合，也就是说3小时内重合指的是在资源攻击时间前3小时内重合或在资源攻击时间后3小时内重合，12小时内重合、24小时内重合以及48小时内重合依此类推，在此不再赘述。预设时空风险系数按照k1、k2、k3以及k4等级，分别设定为1.0、0.7、0.4以及0.1，例如：若主机a1于2022年9月7日15:31-16:42被攻击，员工账号d在9月7日14:21-15:42访问了主机a1，员工账号d满足k1等级，员工账号d的时空风险系数将被赋值为1.0。预设时空风险等级的等级划分、预设时空重合度的具体设置以及预设时空风险系数的具体数值，可根据实际需求进行调整，本实施例对此不做限制。
101.在具体实现中，根据资源攻击时间与资源访问时间，确定员工账号对应的时空重合度，进而找到该时空重合度对应的时空风险等级。
102.步骤s103：根据攻击登录地点与所述登录地点，确定登录重合情况，根据攻击登出地点与所述登出地点，确定登出重合情况，根据所述登录重合情况与所述登出重合情况，确定所述员工账号的区域重合度，根据所述区域风险规则，确定所述区域重合度对应的区域风险系数。
103.需要说明的是，攻击登录地点指的是本次供应链安全攻击的登录地点，攻击登出地点指的是本次供应链安全攻击的登出地点，登录重合情况指的是员工账号的登录地点与攻击的登录地点之间的重合情况，登出重合情况指的是员工账号的登出地点与攻击的登出地点之间的重合情况，登录/登出的地点具有两个层次，物理位置与源ip(internet protocol address，互联网协议地址)。区域重合度指的是员工账号的登录/登出地点与攻击的登录/登出地点之间的重合情况，根据登录重合情况与登出重合情况综合判断。区域风险规则包含预设区域风险等级，以及预设区域风险等级对应的预设区域重合度与预设区域风险系数，区域风险规则中设置了多个风险等级，即预设区域风险等级，每个风险等级都有
对应的区域重合度和区域风险系数，即每个预设区域风险等级对应一个预设区域重合度与预设区域风险系数。
104.可以理解的是，本实施例中预设区域风险等级分为m1、m2、m3以及m4，预设区域重合度分为登录/登出相同、登录相同且登出不相同、登录不相同且登出相同、登录/登出不相同，分别对应m1、m2、m3以及m4等级，预设区域风险系数按照m1、m2、m3以及m4等级，分别设定为0.1、0.05、0.02以及0.0，例如：若员工账号d的登录地点与攻击的登录地点相同，且员工账号d的登出地点与攻击的登出地点也相同，则员工账号d的区域风险系数将被赋值为1.0。预设区域风险等级的等级划分、预设区域重合度的具体设置以及预设区域风险系数的具体数值，可根据实际需求进行调整，本实施例对此不做限制。
105.在具体实现中，根据攻击的登录/登出地点与员工账号的登录/登出地点，确定登录/登出的重合情况，从而确定区域重合度，进而找到该区域重合度对应的区域风险系数。
106.步骤s104：根据所述上传文件类型与文件风险规则，确定所述上传文件类型对应的文件风险系数，在所述文件风险系数大于文件风险阈值时，对所述员工账号的上传文件内容进行恶意检测，根据恶意检测结果调整所述文件风险系数。
107.应当理解的是，上传文件类型指的是员工账号在设定时间范围内上传的文件的类型，上传文件内容指的是员工账号在设定时间范围内上传的文件的内容，设定时间范围可以是发生攻击的前后7天，可根据实际情况灵活调整，本实施例对此不做限制。文件风险规则包含预设文件风险等级，以及预设文件风险等级对应的预设文件类型与预设文件风险系数，文件风险规则中设置了多个风险等级，即预设文件风险等级，每个风险等级都有对应的文件类型和文件风险系数，即每个预设文件风险等级对应一个预设文件类型与预设文件风险系数，其中，各预设文件类型可设置多个不同的文件类型，对于不同的文件类型设定不同的风险系数。
108.需要说明的是，本实施例中预设文件风险等级分为n1、n2、n3以及n4，预设文件类型分为jsp/exe/asp、sql/war、doc/xls、txt，分别对应n1、n2、n3以及n4，预设文件风险系数按照n1、n2、n3以及n4等级，分别设定为0.5、0.3、0.1以及0.0。预设区域风险等级的等级划分、预设区域重合度的具体设置以及预设区域风险系数的具体数值，可根据实际需求进行调整，本实施例对此不做限制。
109.可以理解的是，恶意检测结果即恶意检测得到的结果，文件风险阈值为设定的文件风险系数的阈值，文件风险系数大于该阈值时认为员工账号上传了高风险文件，需要同步至沙箱对文件内容进行恶意检测，并根据检测结果进行风险值二次调整，若检测到恶意后门特征，将该员工账号的文件风险系数将被赋值为0.5。
110.在具体实现中，在限定时间范围内，对员工账号的上传文件类型及内容进行识别与分析，对于高风险文件，将同步至沙箱进行恶意检测。
111.步骤s105：在所述员工账号的操作命令与预设高危操作命令不符合时，根据所述操作习惯与操作命令，确定操作习惯匹配度，根据所述操作风险规则，确定所述操作习惯匹配度对应的操作风险系数。
112.应当理解的是，操作命令即员工账号操作时使用的相关命令，预设高危操作命令即设定的高风险的操作命令，包含常用的恶意攻击命令，例如：fscan/httpscan/lcx-listen等，可根据实际需求设定，本实施例对此不做限制。操作习惯即各个员工账号的操作
规律，根据记录的员工账号的历史操作记录，通过长时间机器学习，可以得到各个员工账号的操作习惯，其中历史操作记录包括用户操作命令集、用户操作时间段、用户操作命令与下一条命令的时间间隔、用户操作命令上一条与下一条关系等。操作习惯匹配度指的是员工账号的操作与操作习惯之间的匹配情况。
113.需要说明的是，操作风险规则包含预设操作风险等级，以及预设操作风险等级对应的预设操作匹配度与预设操作风险系数，操作风险规则中设置了多个风险等级，即预设操作风险等级，每个风险等级都有对应的操作习惯匹配度和操作风险系数，即每个预设操作风险等级对应一个预设操作匹配度与预设操作风险系数。本实施例中预设操作风险等级可分为r1、r2、r3以及r4，预设操作匹配度包括90％、80％、70％、40％，分别对应r1、r2、r3以及r4等级，预设操作风险系数按照r1、r2、r3以及r4等级，分别设定为0.0、0.3、0.4以及1.0。预设操作风险等级的等级划分、预设操作匹配度的具体设置以及预设操作风险系数的具体数值，可根据实际需求进行调整，本实施例对此不做限制。
114.在具体实现中，首先将操作命令与预设高危操作命令比对，一旦匹配上预设高危操作命令，直接将操作风险系数赋值为最高值1.0，若未匹配上预设高危操作命令，则根据操作习惯匹配度，确定操作风险系数。
115.在本实施例中，根据资源攻击时间与资源访问时间，确定员工账号的时空重合度，根据时空风险规则，确定时空重合度对应的时空风险系数，根据攻击登录地点与登录地点，确定登录重合情况，根据攻击登出地点与登出地点，确定登出重合情况，根据登录重合情况与登出重合情况，确定员工账号的区域重合度，根据区域风险规则，确定区域重合度对应的区域风险系数，根据上传文件类型与文件风险规则，确定上传文件类型对应的文件风险系数，在文件风险系数大于文件风险阈值时，对员工账号的上传文件内容进行恶意检测，根据恶意检测结果调整文件风险系数，在员工账号的操作命令与预设高危操作命令不符合时，根据操作习惯与操作命令，确定操作习惯匹配度，根据操作风险规则，确定操作习惯匹配度对应的操作风险系数。本实施例从时空、区域、文件以及操作多个维度对账号安全风险评估，可快速识别账号风险，以便后续根据风险定义安全码，分层分级，实现权限动态调整，保证企业整体运行的同时避免企业进一步受到损失。
116.参照图5，图5为本发明一种账号权限安全控制方法第三实施例的流程示意图。
117.基于上述第一实施例，所述步骤s20包括：
118.步骤s201：获取所述预设风险规则对应的信息增益。
119.进一步地，所述步骤s201包括：根据所述预设风险规则中的预设风险等级，确定模拟样本数据，所述模拟样本数据包括预设风险等级组合以及所述预设风险等级组合对应的预设安全码等级；根据所述模拟样本数据，确定所述预设风险等级对应的安全码等级比例；获取安全码等级比例、安全码等级数量与根节点值之间的第一对应关系；根据所述第一对应关系、所述安全码等级比例以及安全码等级数量，确定所述预设风险等级对应的根节点值；获取根节点值与信息增益之间的第二对应关系；根据所述第二对应关系以及所述根节点值，确定所述预设风险规则对应的信息增益。
120.需要说明的是，预设风险等级即为预设风险规则中设置的风险等级，每个预设风险规则都有其对应的预设风险等级。模拟样本数据即模拟的数据，包括预设风险等级组合以及预设风险等级组合对应的预设安全码等级，即可能出现的风险等级的组合及其对应的
安全码等级，预设风险等级组合对应的预设安全码等级根据实际情况确定。本实施例中的预设风险等级组合通过笛卡尔积计算得到，可用如下集合进行表示：
121.{(k1,m1,n1,r1),(k1,m1,n1,r2),(k1,m1,n1,r3),(k1,m1,n1,r4)，(k1,m1,n1,r1),
122.其中，k1、k2、k3以及k4为时空风险规则中的风险等级，m1、m2、m3以及m4为区域风险规则中的风险等级，n1、n2、n3以及n4为文件风险规则中的风险等级，r1、r2、r3以及r4为操作风险规则中的风险等级。
123.如图6所示，展示了部分模拟样本数据。
124.可以理解的是，安全码等级比例指的是不同级别的安全码等级所占的比例，若安全码等级分为第一安全等级(r等级)、第二安全等级(y等级)以及第三安全等级(g等级)，则对应的安全码等级比例为第一安全等级比例、第二安全等级比例以及第三安全等级比例，例如：模拟样本数据中有17个样本，安全码等级为r等级的共7个，安全码等级为y等级的共6个，安全码等级为g等级的共4个，第一安全等级比例为7/17，第二安全等级比例为6/17，第三安全等级比例为4/17。安全码等级数量即为安全码等级划分的等级数量，在若安全码等级分为r等级、y等级以及g等级的情况下，安全码等级数量为3。
125.应当理解的是，第一对应关系为根节点值的计算关系式，如下所示：
[0126][0127]
式中，ent(dv)表示第v级别风险等级系数的根节点值，dv表示第v级别风险等级系数，||表示安全码等级数量，pk表示第k级别的安全码等级比例，将相关数值代入，即可计算出每个级别风险等级系数对应的根节点值。
[0128]
需要说明的是，第二对应关系即为信息增益的计算关系式，如下所示：
[0129][0130]
式中，gain()表示信息增益，ent(d)表示风险等级系数的根节点值，dv表示第v级别风险等级系数，d表示风险等级系数，||表示安全码等级数量，pk表示第k级别的安全码等级比例。将相关数据代入，计算出时空风险系数、区域风险系数、文件风险系数以及操作风险系数对应的信息增益。本实施例通过信息增益来消除风险规则中具有不确定性信息的度量，以及可能存在未知事件可能含有的信息，从而可以用来度量数据的真实性。
[0131]
步骤s202：基于所述预设风险规则对应的信息增益，建立等级决策模型。
[0132]
可以理解的是，将时空风险系数、区域风险系数、文件风险系数以及操作风险系数对应的信息增益作为决策树算法模型的参数，建立等级决策模型。
[0133]
步骤s203：基于所述等级决策模型与员工账号的风险等级系数，确定所述员工账号的安全码等级。
[0134]
在具体实现中，将员工账号的四个风险等级系数输入等级决策模型，模型输出的即为员工账号的安全码等级。
[0135]
在本实施例中，获取所述预设风险规则对应的信息增益，基于预设风险规则对应
的信息增益，建立等级决策模型，基于等级决策模型与员工账号的风险等级系数，确定员工账号的安全码等级。本实施例从多个维度对账号进行安全风险评估，可快速识别账号风险，并根据风险定义安全码，分层分级，实现权限动态调整，保证企业整体运行的同时避免企业进一步受到损失。
[0136]
此外，本发明实施例还提出一种存储介质，所述存储介质上存储有账号权限安全控制程序，所述账号权限安全控制程序被处理器执行时实现如上文所述的账号权限安全控制方法的步骤。
[0137]
参照图7，图7为本发明账号权限安全控制装置第一实施例的结构框图。
[0138]
如图7所示，本发明实施例提出的账号权限安全控制装置包括：
[0139]
分析模块10，用于在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的风险等级系数。
[0140]
所述分析模块10，还用于根据所述风险等级系数，确定所述员工账号的安全码等级。
[0141]
调度模块20，用于根据所述员工账号的安全码等级，确定所述员工账号的权限范围，并在所述员工账号中确定风险员工账号。
[0142]
所述调度模块20，还用于获取所述风险员工账号对应的扩散账号，根据所述扩散账号的安全码等级，确定所述扩散账号的权限范围，并在所述扩散账号中确定风险扩散账号。
[0143]
扫描模块30，用于对所述风险员工账号与所述风险扩散账号进行风险扫描，得到扫描结果。
[0144]
决策模块40，用于根据所述扫描结果，对所述风险员工账号与所述扩散风险账号的权限范围进行调整。
[0145]
在本实施例中，在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的风险等级系数，根据风险等级系数，确定员工账号的安全码等级，根据员工账号的安全码等级，确定员工账号的权限范围，并在员工账号中确定风险员工账号，获取风险员工账号对应的扩散账号，根据扩散账号的安全码等级，确定扩散账号的权限范围，并在扩散账号中确定风险扩散账号，对风险员工账号与风险扩散账号进行风险扫描，得到扫描结果，根据所述扫描结果，对风险员工账号与所述扩散风险账号的权限范围进行调整。相较于传统处置方式采用一刀切停用所有涉事账号，容易引发不良影响，本实施例从多个维度对账号安全风险评估，可快速识别账号风险，并根据风险定义安全码，分层分级，实现权限动态调整，保证企业整体运行的同时避免企业进一步受到损失，相较于传统处置方式响应时间长，易造成风险扩散，本实施例可迅速确定跨企业风险账号，方便风险排查、抑制与根除，避免安全风险蔓延。
[0146]
在一实施例中，所述预设风险规则包括时空风险规则、区域风险规则、文件风险规则以及操作风险规则，所述风险等级系数包括时空风险系数、区域风险系数、文件风险系数以及操作风险系数，所述基于预设风险规则，确定目标企业中员工账号的风险等级系数，所述分析模块10，还用于根据所述员工账号的账号系统数据，确定资源访问时间、登录地点、登出地点、上传文件类型、上传文件内容、操作命令以及操作习惯；
[0147]
根据资源攻击时间与所述资源访问时间，确定所述员工账号的时空重合度，根据
所述时空风险规则，确定所述时空重合度对应的时空风险系数；
[0148]
根据攻击登录地点与所述登录地点，确定登录重合情况，根据攻击登出地点与所述登出地点，确定登出重合情况，根据所述登录重合情况与所述登出重合情况，确定所述员工账号的区域重合度，根据所述区域风险规则，确定所述区域重合度对应的区域风险系数；
[0149]
根据所述上传文件类型与文件风险规则，确定所述上传文件类型对应的文件风险系数，在所述文件风险系数大于文件风险阈值时，对所述员工账号的上传文件内容进行恶意检测，根据恶意检测结果调整所述文件风险系数；
[0150]
在所述员工账号的操作命令与预设高危操作命令不符合时，根据所述操作习惯与操作命令，确定操作习惯匹配度，根据所述操作风险规则，确定所述操作习惯匹配度对应的操作风险系数。
[0151]
在一实施例中，所述分析模块10，还用于获取所述预设风险规则对应的信息增益；
[0152]
基于所述预设风险规则对应的信息增益，建立等级决策模型；
[0153]
基于所述等级决策模型与员工账号的风险等级系数，确定所述员工账号的安全码等级。
[0154]
在一实施例中，所述分析模块10，还用于根据所述预设风险规则中的预设风险等级，确定模拟样本数据，所述模拟样本数据包括预设风险等级组合以及所述预设风险等级组合对应的预设安全码等级；
[0155]
根据所述模拟样本数据，确定所述预设风险等级对应的安全码等级比例；
[0156]
获取安全码等级比例、安全码等级数量与根节点值之间的第一对应关系；
[0157]
根据所述第一对应关系、所述安全码等级比例以及安全码等级数量，确定所述预设风险等级对应的根节点值；
[0158]
获取根节点值与信息增益之间的第二对应关系；
[0159]
根据所述第二对应关系以及所述根节点值，确定所述预设风险规则对应的信息增益。
[0160]
在一实施例中，所述安全码等级至少包括第一安全等级、第二安全等级以及第三安全等级，所述调度模块20，还用于在所述员工账号的安全码等级为所述第一安全等级时，确定所述员工账号无认证权限；
[0161]
在所述员工账号的安全码等级为所述第二安全等级时，确定所述员工账号有预设级别认证权限，所述第二安全等级高于所述第一安全等级；
[0162]
在所述员工账号的安全码等级为所述第三安全等级时，确定所述员工账号有完整认证权限，所述第三安全等级高于所述第二安全等级。
[0163]
在一实施例中，所述扫描结果至少包括风险特征的扫描结果与接入环境的扫描结果，所述根据所述扫描结果，所述决策模块40，还用于根据所述风险特征的扫描结果以及所述接入环境的扫描结果，确定所述风险员工账号与所述风险扩散账号的风险程度，所述风险特征至少包括恶意文件特征、异常进程特征、后门程序特征、漏洞利用痕迹特征以及被攻击资源特征；
[0164]
根据所述风险程度，在所述风险员工账号与所述风险扩散账号中确定低风险账号；
[0165]
对所述低风险账号的安全码等级进行降级，并根据降级后的安全码等级，确定所
述低风险账号的权限范围。
[0166]
在一实施例中，所述账号权限安全控制装置还包括：
[0167]
扫描模块50，用于对预设监控对象进行监控，在所述预设监控对象出现预设攻击关键词时，确定供应链受到安全攻击，所述监控对象至少包括媒体、目标供应商官网、目标供应商联系人邮件以及消息软件；
[0168]
在供应链受到安全攻击后，获取攻击元素数据，所述攻击元素数据至少包括攻击时间、攻击资源、事件类型、影响程度、影响范围、紧急程度以及企业名称；
[0169]
根据所述攻击元素数据，确定所述目标企业，并提取所述目标企业中员工账号对应的账号系统数据，所述账号系统数据至少包括账号信息、登录日志以及操作日志。
[0170]
应当理解的是，以上仅为举例说明，对本发明的技术方案并不构成任何限定，在具体应用中，本领域的技术人员可以根据需要进行设置，本发明对此不做限制。
[0171]
需要说明的是，以上所描述的工作流程仅仅是示意性的，并不对本发明的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的，此处不做限制。
[0172]
另外，未在本实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的账号权限安全控制方法，此处不再赘述。
[0173]
此外，需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
[0174]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0175]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器(read only memory，rom)/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
[0176]
以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

技术特征：
1.一种账号权限安全控制方法，其特征在于，所述账号权限安全控制方法，包括：在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的风险等级系数；根据所述风险等级系数，确定所述员工账号的安全码等级；根据所述员工账号的安全码等级，确定所述员工账号的权限范围，并在所述员工账号中确定风险员工账号；获取所述风险员工账号对应的扩散账号，根据所述扩散账号的安全码等级，确定所述扩散账号的权限范围，并在所述扩散账号中确定风险扩散账号；对所述风险员工账号与所述风险扩散账号进行风险扫描，得到扫描结果；根据所述扫描结果，对所述风险员工账号与所述扩散风险账号的权限范围进行调整。2.如权利要求1所述的方法，其特征在于，所述预设风险规则包括时空风险规则、区域风险规则、文件风险规则以及操作风险规则，所述风险等级系数包括时空风险系数、区域风险系数、文件风险系数以及操作风险系数，所述基于预设风险规则，确定目标企业中员工账号的风险等级系数，包括：根据所述员工账号的账号系统数据，确定资源访问时间、登录地点、登出地点、上传文件类型、上传文件内容、操作命令以及操作习惯；根据资源攻击时间与所述资源访问时间，确定所述员工账号的时空重合度，根据所述时空风险规则，确定所述时空重合度对应的时空风险系数；根据攻击登录地点与所述登录地点，确定登录重合情况，根据攻击登出地点与所述登出地点，确定登出重合情况，根据所述登录重合情况与所述登出重合情况，确定所述员工账号的区域重合度，根据所述区域风险规则，确定所述区域重合度对应的区域风险系数；根据所述上传文件类型与文件风险规则，确定所述上传文件类型对应的文件风险系数，在所述文件风险系数大于文件风险阈值时，对所述员工账号的上传文件内容进行恶意检测，根据恶意检测结果调整所述文件风险系数；在所述员工账号的操作命令与预设高危操作命令不符合时，根据所述操作习惯与操作命令，确定操作习惯匹配度，根据所述操作风险规则，确定所述操作习惯匹配度对应的操作风险系数。3.如权利要求1所述的方法，其特征在于，所述根据所述风险等级系数，确定所述员工账号的安全码等级，包括：获取所述预设风险规则对应的信息增益；基于所述预设风险规则对应的信息增益，建立等级决策模型；基于所述等级决策模型与员工账号的风险等级系数，确定所述员工账号的安全码等级。4.如权利要求3所述的方法，其特征在于，所述获取所述预设风险规则对应的信息增益，包括：根据所述预设风险规则中的预设风险等级，确定模拟样本数据，所述模拟样本数据包括预设风险等级组合以及所述预设风险等级组合对应的预设安全码等级；根据所述模拟样本数据，确定所述预设风险等级对应的安全码等级比例；获取安全码等级比例、安全码等级数量与根节点值之间的第一对应关系；
根据所述第一对应关系、所述安全码等级比例以及安全码等级数量，确定所述预设风险等级对应的根节点值；获取根节点值与信息增益之间的第二对应关系；根据所述第二对应关系以及所述根节点值，确定所述预设风险规则对应的信息增益。5.如权利要求1所述的方法，其特征在于，所述安全码等级至少包括第一安全等级、第二安全等级以及第三安全等级，所述根据所述员工账号的安全码等级，确定所述员工账号的权限范围，包括：在所述员工账号的安全码等级为所述第一安全等级时，确定所述员工账号无认证权限；在所述员工账号的安全码等级为所述第二安全等级时，确定所述员工账号有预设级别认证权限，所述第二安全等级高于所述第一安全等级；在所述员工账号的安全码等级为所述第三安全等级时，确定所述员工账号有完整认证权限，所述第三安全等级高于所述第二安全等级。6.如权利要求1所述的方法，其特征在于，所述扫描结果至少包括风险特征的扫描结果与接入环境的扫描结果，所述根据所述扫描结果，对所述风险员工账号与所述扩散风险账号的权限范围进行调整，包括：根据所述风险特征的扫描结果以及所述接入环境的扫描结果，确定所述风险员工账号与所述风险扩散账号的风险程度，所述风险特征至少包括恶意文件特征、异常进程特征、后门程序特征、漏洞利用痕迹特征以及被攻击资源特征；根据所述风险程度，在所述风险员工账号与所述风险扩散账号中确定低风险账号；对所述低风险账号的安全码等级进行降级，并根据降级后的安全码等级，确定所述低风险账号的权限范围。7.如权利要求1至6任一项所述的方法，其特征在于，所述账号权限安全控制，还包括：对预设监控对象进行监控，在所述预设监控对象出现预设攻击关键词时，确定供应链受到安全攻击，所述监控对象至少包括媒体、目标供应商官网、目标供应商联系人邮件以及消息软件；在供应链受到安全攻击后，获取攻击元素数据，所述攻击元素数据至少包括攻击时间、攻击资源、事件类型、影响程度、影响范围、紧急程度以及企业名称；根据所述攻击元素数据，确定所述目标企业，并提取所述目标企业中员工账号对应的账号系统数据，所述账号系统数据至少包括账号信息、登录日志以及操作日志。8.一种账号权限安全控制装置，其特征在于，所述账号权限安全控制装置包括：分析模块，用于在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的风险等级系数；所述分析模块，还用于根据所述风险等级系数，确定所述员工账号的安全码等级；调度模块，用于根据所述员工账号的安全码等级，确定所述员工账号的权限范围，并在所述员工账号中确定风险员工账号；所述调度模块，还用于获取所述风险员工账号对应的扩散账号，根据所述扩散账号的安全码等级，确定所述扩散账号的权限范围，并在所述扩散账号中确定风险扩散账号；扫描模块，用于对所述风险员工账号与所述风险扩散账号进行风险扫描，得到扫描结
果；决策模块，用于根据所述扫描结果，对所述风险员工账号与所述扩散风险账号的权限范围进行调整。9.一种账号权限安全控制设备，其特征在于，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的账号权限安全控制程序，所述账号权限安全控制程序配置为实现如权利要求1至7中任一项所述的账号权限安全控制方法的步骤。10.一种存储介质，其特征在于，所述存储介质上存储有账号权限安全控制程序，所述账号权限安全控制程序被处理器执行时实现如权利要求1至7任一项所述的账号权限安全控制方法的步骤。

技术总结
本发明属于互联网安全技术领域，公开了一种账号权限安全控制方法、装置、设备及存储介质。该方法包括：在供应链受到安全攻击后，基于预设风险规则，确定目标企业中员工账号的安全码等级；根据员工账号的安全码等级，确定员工账号的权限范围，在员工账号中确定风险员工账号；获取风险员工账号对应的扩散账号，根据扩散账号的安全码等级，确定扩散账号的权限范围，在扩散账号中确定风险扩散账号；对风险员工账号与风险扩散账号进行风险扫描，得到扫描结果；根据扫描结果，对所述风险员工账号与扩散风险账号的权限范围进行调整。通过上述方式，精准获取当前风险账号信息，分层分级，实现权限动态调整，快速识别跨企业风险账号，避免安全风险蔓延。安全风险蔓延。安全风险蔓延。


技术研发人员：陆浩 韩志峰 王姣 蒋小雨 徐志成
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2023.07.21
技术公布日：2023/10/5