RPA自动化安全防护方法及装置

本发明涉及RPA安全防护领域，特别涉及一种RPA自动化安全防护方法及装置。

RPA(机器人流程自动化)是一种根据预先设定的程序，通过模拟并增强人类与计算机的交互过程，执行基于一定规则的大批量、可重复性任务，实现工作流程自动化的软件或平台。机器人在执行流程的过程中需要访问业务数据，其自动化流程中需要有对应权限的特权账号，账号密码明文写在自动化平台里面，特权账号没有被及时保护起来，对企业造成极大的特权管理安全隐患。

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种保证特权账号使用的合理合规、增加特权账号的安全性的RPA自动化安全防护方法及装置。

本发明解决其技术问题所采用的技术方案是：构造一种RPA自动化安全防护方法，包括如下步骤：

A)RPA自动化平台使用特权系统颁发的应用凭据向凭据管理模块申请使用特权账号；

B)所述凭据管理模块根据应用账户管理模块定义的应用凭据使用者的策略，校验所述RPA自动化平台的身份信息；

C)通过所述应用账户管理模块定义所述应用凭据使用者的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值；

D)日志审计模块记录所述RPA自动化平台申请特权账号的流程事件；

E)当所述RPA自动化平台通过校验获取到特权账号信息后，使用特权账号访问内部系统。

在本发明所述的RPA自动化安全防护方法中，所述步骤A)进一步包括：

A1)托管特权账号；

A2)所述应用账户管理模块根据所述RPA自动化平台的信息生成并颁发应用凭据；所述应用凭据包含所述RPA自动化平台的IP地址、执行自动化操作的OS用户、请求密码代码块的路径和哈希值，以校验所述RPA自动化平台的合法性；

A3)所述RPA自动化平台使用颁发的应用凭据向所述凭据管理模块申请使用特权账号，所述凭据管理模块校验所述应用凭据是否合法，如是，执行步骤A4)；否则，执行步骤A5)；

A4)所述凭据管理模块从所述RPA自动化平台获取需校验的信息；

A5)所述日志审计模块记录其失败信息。

在本发明所述的RPA自动化安全防护方法中，所述步骤B)进一步包括：

B1)所述凭据管理模块向所述应用账户管理模块寻所述应用凭据使用者的策略，与之前获取到的RPA自动化平台的信息进行身份信息校验，判断所述身份信息校验是否成功，如是，执行步骤B2)；否则，执行步骤B3)；所述身份校验的内容包括所述RPA自动化平台的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值；

B2)所述RPA自动化平台获取到特权账号信息；

B3)所述日志审计模块记录其失败信息。

本发明还涉及一种实现上述RPA自动化安全防护方法的装置，包括：

特权账号申请单元：用于RPA自动化平台使用特权系统颁发的应用凭据向凭据管理模块申请使用特权账号；

身份信息校验单元：用于所述凭据管理模块根据应用账户管理模块定义的应用凭据使用者的策略，校验所述RPA自动化平台的身份信息；

定义单元：用于通过所述应用账户管理模块定义所述应用凭据使用者的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值；

流程事件记录单元：用于日志审计模块记录所述RPA自动化平台申请特权账号的流程事件；

内部系统访问单元：用于当所述RPA自动化平台通过校验获取到特权账号信息后，使用特权账号访问内部系统。

在本发明所述的装置中，所述特权账号申请单元进一步包括：

特权账号托管模块：用于托管特权账号；

应用凭据生成颁发模块：用于所述应用账户管理模块根据所述RPA自动化平台的信息生成并颁发应用凭据；所述应用凭据包含所述RPA自动化平台的IP地址、执行自动化操作的OS用户、请求密码代码块的路径和哈希值，以校验所述RPA自动化平台的合法性；

应用凭据合法校验模块：用于所述RPA自动化平台使用颁发的应用凭据向所述凭据管理模块申请使用特权账号，所述凭据管理模块校验所述应用凭据是否合法；

校验信息获取模块：用于所述凭据管理模块从所述RPA自动化平台获取需校验的信息；

第一失败信息记录模块：用于所述日志审计模块记录其失败信息。

在本发明所述的装置中，所述身份信息校验单元进一步包括：

身份信息校验判断模块：用于所述凭据管理模块向所述应用账户管理模块寻所述应用凭据使用者的策略，与之前获取到的RPA自动化平台的信息进行身份信息校验，判断所述身份信息校验是否成功；所述身份校验的内容包括所述RPA自动化平台的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值；

特权账号信息获取模块：用于所述RPA自动化平台获取到特权账号信息；

第二失败信息记录模块：用于所述日志审计模块记录其失败信息。

实施本发明的RPA自动化安全防护方法及装置，具有以下有益效果：由于RPA自动化平台使用特权系统颁发的应用凭据向凭据管理模块申请使用特权账号；凭据管理模块根据应用账户管理模块定义的应用凭据使用者的策略，校验所述RPA自动化平台的身份信息；通过应用账户管理模块定义所述应用凭据使用者的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值；日志审计模块记录RPA自动化平台申请特权账号的流程事件；当RPA自动化平台通过校验获取到特权账号信息后，使用特权账号访问内部系统，本发明保证特权账号使用的合理合规、增加特权账号的安全性。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明RPA自动化安全防护方法及装置一个实施例中方法的流程图；

图2为所述实施例中RPA自动化平台使用特权系统颁发的应用凭据向凭据管理模块申请使用特权账号的具体流程图；

图3为所述实施例中凭据管理模块根据应用账户管理模块定义的应用凭据使用者的策略，校验RPA自动化平台的身份信息的具体流程图；

图4为所述实施例中装置的结构示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明RPA自动化安全防护方法及装置实施例中，其RPA自动化安全防护方法的流程图如图1所示。图1中，该RPA自动化安全防护方法包括如下步骤：

步骤S01RPA自动化平台使用特权系统颁发的应用凭据向凭据管理模块申请使用特权账号：本步骤中，RPA自动化平台使用特权系统颁发的应用凭据向凭据管理模块申请使用特权账号。

步骤S02凭据管理模块根据应用账户管理模块定义的应用凭据使用者的策略，校验RPA自动化平台的身份信息：本步骤中，凭据管理模块根据应用账户管理模块定义的应用凭据使用者的策略，校验RPA自动化平台的身份信息。

步骤S03通过应用账户管理模块定义应用凭据使用者的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值：本步骤中，通过应用账户管理模块定义应用凭据使用者的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值等信息，保证该应用凭据使用者的合法性。

步骤S04日志审计模块记录RPA自动化平台申请特权账号的流程事件：本步骤中，日志审计模块记录RPA自动化平台申请特权账号的流程事件。

步骤S05当RPA自动化平台通过校验获取到特权账号信息后，使用特权账号访问内部系统：本步骤中，当RPA自动化平台通过校验获取到特权账号信息后，才能使用特权账号访问内部系统。

本发明的RPA自动化安全防护方法采用了凭据管理模块及应用账号管理模块，实现了RPA自动化平台与特权账号的分离，避免特权账号信息落地到RPA自动化平台导致密码泄露的风险，并在RPA自动化平台申请特权账号时，对其IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值等信息进行校验，在修改自动化平台的关键代码时，也需由特权系统根据其哈希值重新颁发应用凭据，保证了特权账号使用的合理合规；日志审计模块则记录请求流程中每一项事件，以便在第一时间追踪到非法请求者，增加了特权账号的安全性。

对于本实施例而言，上述步骤S01还可进一步细化，其细化后的流程图如图2所示。图2中，上述步骤S01进一步包括如下步骤：

步骤S11托管特权账号：本步骤中，托管特权账号，包括密码等敏感信息。

步骤S12应用账户管理模块根据RPA自动化平台的信息生成并颁发应用凭据：本步骤中，应用账户管理模块根据RPA自动化平台的信息生成并颁发应用凭据，该应用凭据包含RPA自动化平台的IP地址、执行自动化操作的OS用户、请求密码代码块的路径和哈希值，以校验RPA自动化平台的合法性。

步骤S13RPA自动化平台使用颁发的应用凭据向凭据管理模块申请使用特权账号，凭据管理模块校验应用凭据是否合法：本步骤中，RPA自动化平台使用颁发的应用凭据向凭据管理模块申请使用特权账号，凭据管理模块校验应用凭据是否合法，确保应用凭据不被修改。

步骤S14凭据管理模块从RPA自动化平台获取需校验的信息：本步骤中，当应用凭据合法时，凭据管理模块从RPA自动化平台获取需校验的信息。

步骤S15日志审计模块记录其失败信息：本步骤中，当应用凭据不合法时，日志审计模块记录其失败信息。

对于本实施例而言，上述步骤S02还可进一步细化，其细化后的流程图如图3所示。图3中，上述步骤S02进一步包括如下步骤：

步骤S21凭据管理模块向应用账户管理模块寻应用凭据使用者的策略，与之前获取到的RPA自动化平台的信息进行身份信息校验，判断身份信息校验是否成功：本步骤中，凭据管理模块向应用账户管理模块寻应用凭据使用者的策略，与之前获取到的RPA自动化平台的信息进行身份信息校验，判断身份信息校验是否成功，身份校验的内容包括RPA自动化平台的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值，如果判断的结果为是，则执行步骤S22；否则，执行步骤S23。

步骤S22RPA自动化平台获取到特权账号信息：如果上述步骤S21的判断结果为是，则执行本步骤。本步骤中，当身份信息校验成功时，RPA自动化平台获取到特权账号信息。

步骤S23日志审计模块记录其失败信息：如果上述步骤S21的判断结果为否，则执行本步骤。本步骤中，当身份信息校验失败时，日志审计模块记录其失败信息。

本实施例还涉及一种实现上述RPA自动化安全防护方法的装置，该装置的结构示意图如图4所示。图4中，该装置包括特权账号申请单元1、身份信息校验单元2、定义单元3、流程事件记录单元4和内部系统访问单元5；特权账号申请单元1用于RPA自动化平台使用特权系统颁发的应用凭据向凭据管理模块申请使用特权账号；身份信息校验单元2用于凭据管理模块根据应用账户管理模块定义的应用凭据使用者的策略，校验RPA自动化平台的身份信息；定义单元3用于通过应用账户管理模块定义应用凭据使用者的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值；流程事件记录单元4用于日志审计模块记录RPA自动化平台申请特权账号的流程事件；内部系统访问单元5用于当RPA自动化平台通过校验获取到特权账号信息后，使用特权账号访问内部系统。

本发明的装置采用了凭据管理模块及应用账号管理模块，实现了RPA自动化平台与特权账号的分离，避免特权账号信息落地到RPA自动化平台导致密码泄露的风险，并在RPA自动化平台申请特权账号时，对其IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值等信息进行校验，在修改自动化平台的关键代码时，也需由特权系统根据其哈希值重新颁发应用凭据，保证了特权账号使用的合理合规；日志审计模块则记录请求流程中每一项事件，以便在第一时间追踪到非法请求者，增加了特权账号的安全性。

本实施例中，特权账号申请单元1进一步包括特权账号托管模块11、应用凭据生成颁发模块12、应用凭据合法校验模块13、校验信息获取模块14和第一失败信息记录模块15；特权账号托管模块11用于托管特权账号；应用凭据生成颁发模块12用于应用账户管理模块根据RPA自动化平台的信息生成并颁发应用凭据；应用凭据包含RPA自动化平台的IP地址、执行自动化操作的OS用户、请求密码代码块的路径和哈希值，以校验RPA自动化平台的合法性；应用凭据合法校验模块13用于RPA自动化平台使用颁发的应用凭据向凭据管理模块申请使用特权账号，凭据管理模块校验应用凭据是否合法；校验信息获取模块14用于凭据管理模块从RPA自动化平台获取需校验的信息；第一失败信息记录模块15用于日志审计模块记录其失败信息。

本实施例中，该身份信息校验单元2进一步包括身份信息校验判断模块21、特权账号信息获取模块22和第二失败信息记录模块23；其中，身份信息校验判断模块21用于凭据管理模块向应用账户管理模块寻应用凭据使用者的策略，与之前获取到的RPA自动化平台的信息进行身份信息校验，判断身份信息校验是否成功；身份校验的内容包括RPA自动化平台的IP地址、执行自动化操作的OS用户、请求密码代码块的路径及哈希值；特权账号信息获取模块22用于RPA自动化平台获取到特权账号信息；第二失败信息记录模块23用于日志审计模块记录其失败信息。

总之，为降低传统技术中存在的风险，RPA机器人使用对业务数据有访问权限的账号需要进行严格的管控，避免明文密码落地到RPA自动化平台，并在RPA自动化平台申请使用特权账号时，能够制定足够强的策略验证其身份的合法性，以此来增加特权账号的安全性。使自动化平台与特权账号相分离，并且制定足够强的身份认证策略，保证特权账号使用的合理化。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。