CN107483483A - 一种金融业信息系统的客户信息访问控制方法及装置 - Google Patents

Abstract

本公开提供了一种金融业信息系统的客户信息访问控制方法，包括：建立访问规则矩阵；在所述金融业信息系统的一功能申请访问客户信息时，获取该功能申请对应的访问控制变量的取值；将所述访问控制变量的取值与所述规则矩阵进行匹配，获取访问判定结果，根据访问判定结果进行访问控制。本公开还提供了一种金融业信息系统的客户信息访问控制装置。本公开金融业信息系统的客户信息访问控制方法及装置，通过分析需要访问的客户信息种类、系统所在网络条件、功能的访问时间、导出(打印)属性、使用者权限等关键要素，分析是否满足访问条件，从而实现客户信息的合理、规范使用，降低客户信息泄露风险。

Description

一种金融业信息系统的客户信息访问控制方法及装置

技术领域

本公开涉及于信息安全及信息访问控制技术领域，具体涉及一种金融业信息系统的客户信息访问控制方法及装置。

背景技术

大型金融信息系统中，往往存在海量的客户信息，客户信息一旦泄露，将会带来不良社会影响。如何有效保护客户信息，一直是金融信息系统领域的研究重点。

现有的技术方案主要是通过使用者权限、角色等系统内赋予的用户属性，对用户访问某些功能进行控制，从而控制用户访问这些功能下的客户信息。

然而，现有技术存在以下几方面缺陷：

1、控制访问的变量单一，仅从使用者权限、角色等方面进行考虑，未考虑系统所在的网络环境、功能的访问时间等其他访问控制变量，不具备有效性。

2、每个系统权限、角色的访问控制一般集成在系统内部，每个系统单独规定自己的访问规则，其它系统无法继承使用，不具备兼容性。

3、金融信息系统如果进行优化升级，改变某一功能客户信息访问种类，现有方法需要人工判断是否需要调整使用者访问控制策略，不具备高效性。

发明内容

(一)要解决的技术问题

鉴于上述技术问题，本公开提供了一种金融业信息系统的客户信息访问控制方法及装置，其为功能级别的客户信息访问控制方法和装置。通过分析该功能需要访问的客户信息种类、系统所在网络条件、功能的访问时间、导出(打印)属性、使用者权限等关键要素，分析是否满足访问条件。不满足条件的访问将被拒绝，从而实现客户信息的合理、规范使用，降低客户信息泄露风险。

(二)技术方案

根据本公开的一个方面，提供了一种金融业信息系统的客户信息访问控制方法，包括：建立访问规则矩阵；在所述金融业信息系统的一功能申请访问客户信息时，获取该功能申请对应的访问控制变量的取值；以及将所述访问控制变量的取值与所述规则矩阵进行匹配，获取访问判定结果，根据访问判定结果进行访问控制。

在本公开的一些实施例中，所述访问控制变量包括客户信息要素、访问时间、网络属性、导出属性及使用者权限属性。

在本公开的一些实施例中，所述规则矩阵为访问控制变量与访问判定结果的关系矩阵二维数组。

在本公开的一些实施例中，所述访问规则矩阵，包括：访问控制变量的取值集合，包括多个元素；在同一功能申请条件下，所述客户信息要素、访问时间、网络属性、导出属性及使用者权限属性分别对应一取值，这些取值为一元素；以及访问判定结果集合，包括Y允许访问及N拒绝访问两类元素；其中，所述访问控制变量的取值集合的一元素组对应访问判定结果集合中的一类元素。

在本公开的一些实施例中，所述客户信息要素包括三类：一类通用客户信息，即在多个行业通用的客户信息；二类客户金融类信息，即在金融行业多个系统通用的客户信息；三类客户在金融系统内的标识类信息，即在当前金融系统对客户定义的标识类信息。

在本公开的一些实施例中，所述访问规则矩阵共8列，第1至7列为5种控制变量的取值，第8列为访问判定结果；其中第1至3列分别为三类客户信息要素的取值。

在本公开的一些实施例中，所述访问时间包括两类：正常时间及非正常时间；所述网络属性包括三类：专线网络、混合网络及公网。

在本公开的一些实施例中，获取该功能申请对应的访问控制变量的取值，包括：获取客户信息要素的取值：将申请访问的客户信息拆分为多个客户信息要素；将所述多个客户信息要素在客户信息要素分类表中比对，获取各客户信息要素的类型；判断当前功能是否包含三类客户信息要素，对于每一类客户信息要素，若包括，取值为1，否则取值为0，完成对客户信息要素的取值。

在本公开的一些实施例中，获取该功能申请对应的访问控制变量的取值，包括：获取访问时间的取值：当一功能申请访问客户信息时，抓取当前系统时间，在访问时间分类表中，查询访问时间类型，根据时间类型对其进行赋值。

根据本公开的另一个方面，还提供了一种金融业信息系统的客户信息访问控制装置，包括：存储模块，用于建立并存储访问规则矩阵；处理模块，用于在金融业信息系统的一功能申请访问客户信息时，获取该功能申请对应的访问控制变量的取值；以及控制模块，用于将所述访问控制变量的取值与所述规则矩阵进行匹配，获取访问判定结果，根据访问判定结果进行访问控制。

(三)有益效果

从上述技术方案可以看出，本公开金融业信息系统的客户信息访问控制方法及装置至少具有以下有益效果其中之一：

(1)通过将所述访问控制变量的取值与所述规则矩阵进行匹配，获取访问判定结果，根据访问判定结果进行访问控制，由此降低了客户信息泄露风险。

(2)有效性，对某一功能访问客户信息的情况进行综合考虑，包括客户信息要素种类、访问时间、网络属性、导出属性、使用者权限等因素，综合判断可访问性。

(3)稳定性，参数(访问控制变量的设置及取值)相同的情况下结果一致，以应对同一系统多次使用。

(4)兼容性，本公开可以调整参数，适用于不同金融业信息系统。

(5)高效性，本公开方法参数一旦建立，相对保持稳定，后续如果系统进行优化增加或减少某一功能客户信息访问种类，无需调整参数。

附图说明

通过附图所示，本公开的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的装置。并未刻意按实际尺寸等比例缩放绘制附图，重点在于示出本公开的主旨。

图1为依据本公开实施例客户信息表初始化流程图。

图2为依据本公开实施例金融业信息系统的客户信息访问控制方法流程图。

图3为依据本公开实施例金融业信息系统的客户信息访问控制装置模块示意图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，在附图或说明书描述中，相似或相同的部分都使用相同的图号。附图中未绘示或描述的实现方式，为所属技术领域中普通技术人员所知的形式。另外，虽然本文可提供包含特定值的参数的示范，但应了解，参数无需确切等于相应的值，而是可在可接受的误差容限或设计约束内近似于相应的值。实施例中提到的方向用语，例如“上”、“下”、“前”、“后”、“左”、“右”等，仅是参考附图的方向。因此，使用的方向用语是用来说明并非用来限制本公开的保护范围。

本公开提供了一种金融业信息系统的客户信息访问控制方法及装置，本公开金融业信息系统的客户信息访问控制方法，包括：

建立访问规则矩阵；

在所述金融业信息系统的一功能申请访问客户信息时，获取该功能申请对应的访问控制变量的取值；以及

将所述访问控制变量的取值与所述规则矩阵进行匹配，获取访问判定结果，根据访问判定结果进行访问控制。

在本公开的一个具体实施例中，采用5种访问控制变量：客户信息要素种类、访问时间、网络属性、导出(打印)属性、系统使用者权限。以下将对5种访问控制变量的分类方法、取值进行详细说明。

1、客户信息要素种类。一条客户信息通常包含若干客户信息要素。例如，一条关于张三的客户信息，可能包含姓名(张三)、手机号、性别、年龄等多个客户信息要素。本公开将金融信息系统所有可能出现的客户信息要素主要分成三大类：第一类：客户基本信息，即客户自身属性，在各行各业都可以使用的客户信息要素，具有很高价值，例如：身份证号、手机号码等，此类客户信息要素记为1。第二类：客户金融类信息，即客户在金融行业的客户信息，在其它行业没有显著价值，例如：账户号、金融交易类型、账户余额等等。此类客户信息要素记为2。第三类：客户在金融系统内的标识类信息，即当前系统对客户定义的一些标识类信息，脱离当前系统，不具备可读性和价值。如：客户标识码、交易日志号等。此类客户信息要素记为3，如表1所示。

表1客户信息要素分类及标记

相应的，客户信息要素分类的装置为三个独立的顺序表，表中存储客户信息要素的名称，依据客户信息要素名称拼音(英文)的首字母升序排序存储。客户信息要素分类装置需要在本方法应用到具体系统时，进行初始化。具体方法是：顺序选取一个功能，分析其所展现给使用者的客户信息，逐个分析客户信息要素，按照分类标准(第一类：客户基本信息；第二类：客户金融类信息；第三类：客户在金融系统内的标识类信息)人工分类、存储到对应的顺序表中。重复该方法，直到遍历系统所有的功能。采用这种方法，可将系统中所有客户信息要素进行分类，如图1所示。

2、访问时间。访问时间是指在本公开应用到具体系统时，系统中某一功能访问客户信息的时间点。分为两类：第一类为正常时间，此类时间取值为1。第二类为非正常时间，此类时间取值为2，如表2所示。访问时间的分类装置为两个独立的顺序表，表中存储时间段，多个时间段按照时间先后进行排序。两个顺序表中时间段的并集应覆盖一天24小时，且无交集。访问时间的分类装置需要在本公开应用到具体系统时，进行初始化。具体方法是，设定正常时间和非正常时间的时间段，并存储到对应的顺序表中。

表2访问时间分类及取值

3、网络属性。网络属性是指本公开应用到具体系统时，系统所在网络线路情况。按照系统使用的网络线路不同，分为三类：第一类为专线网络，是指系统所在的网络为金融行业内的专用线路，不与互联网网络环境联通，此类网络属性取值为1。第二类为混合网络。是指系统所在网络既可以访问金融行业的内部网络，又可以访问互联网，此类网络属性取值为2。第三类为公网。即系统所在网络为互联网，无法访问金融行业内部网络，此类网络属性取值为3。网络属性无需预先申请存储区不需要初始化。

4、导出(打印)属性。导出(打印)属性是指在本公开应用到具体系统时，系统中需要访问客户信息的功能是否具有导出、打印等功能。分为两类：第一类为不可导出，此类导出(打印)属性取值为1。第二类为可以导出，此类导出(打印)属性取值为2。导出(打印)属性无需预先申请存储区，不需要初始化。

5、使用者权限。使用者权限是指在本公开应用到具体系统时，系统某一功能需要访问客户信息时的用户权限。分为四类：第一类为最高权限，拥有该权限的用户少、权限大，如系统管理员等，此类使用者权限取值为1。第二类为较高权限，是指系统权限较高的少数用户，如：高级主管，部门主任等，此类使用者权限取值为2。第三类为一般权限，是指系统多数用户的使用权限，系统的主体使用者应包含在本类权限中，此类使用者权限取值为3。第四类为较低权限，是指低于一般用户的权限，此类权限操作受限，如：临时用户、匿名用户等，此类使用者权限取值为4。

与客户信息要素分类的装置类似，使用者权限分类装置为四个独立的顺序表，依据使用者角色名称拼音(英文)的首字母升序排序存储。使用者权限分类装置需要在本公开应用到具体系统时，进行初始化。具体方法是，顺序选取一个使用者权限，按照分类标准人工分类、存储到对应的顺序表中。重复该方法，直到遍历系统所有的使用者权限。采用这种方法，可将系统中使用者权限进行分类。

如图2所示，在将本公开金融业信息系统的客户信息访问控制方法及装置应用到一金融业信息系统时，首先在内存申请一块存储区，为待访问客户信息功能的5类访问控制变量进行赋值，如表3所示。

表3 5类控制变量赋值

各访问控制变量的赋值方法如下：

1、客户信息要素：首先，分析要访问客户信息的功能(金融业信息系统的具有访问客户信息需要的功能)，将执行该功能所需展示的客户信息拆分出客户信息要素，逐个要素在要素分类顺序表中进行比对，在缓存中标识每一个客户信息的要素所属种类；其次，为客户信息要素种类分配三个存储单元，分别标识当前功能是否包含三类客户信息要素，包含取值为1，不包含取值为0；最后，遍历缓存中客户信息要素种类取值情况，如有1，则一类客户信息存储单元格为1，否则取值为0，二类、三类客户信息存储单元格取值方式同上。

2、访问时间：当某功能申请访问客户信息时，抓取当前系统时间。在访问时间分类表中，查询访问时间取值。在内存中为访问时间变量分配一个存储单元，存储查询时间取值，1或2。

3、网络属性：当某功能申请访问客户信息时，从系统中抓取当前的网络属性，如自动抓取困难，可以在本公开每次应用到系统，初始化时人工输入。在内存中为网络属性变量分配一个存储单元，根据系统抓取结果取值，1、2或3。

4、导出(打印)属性：当某功能申请访问客户信息时，从系统中抓取当前功能的导出(打印)属性，明确是否具备相关功能。如自动抓取困难，可以人工建立本系统交易的导出(打印)属性表，按照功能名称查询是否具备导出功能。在内存中为导出(打印)变量分配一个存储单元，根据结果取值1或2。

5、使用者权限：当某功能申请访问客户信息时，从系统中抓取当前使用者角色名称，在使用者权限分类表中查询，获得变量取值。在内存中为使用者权限变量分配一存储单元，根据查询结果取值1、2、3或4。

通过这种方法，可以在系统某一功能访问客户信息时，获得5种访问控制变量的取值。

为了实现精细化访问控制，每个系统建立一套访问的规则矩阵。该访问规则矩阵，包括：访问控制变量的取值集合，其包括多个元素；在同一功能申请条件下，各访问控制变量分别对应一取值(多个取值构成一取值组合)，这些取值为一元素；以及访问判定结果集合，其包括Y允许访问及N拒绝访问两类元素；其中，所述访问控制变量的取值集合的一元素组对应访问判定结果集合中的一类元素。所述规则矩阵为二维数组，其包含所有访问控制变量的全部可能取值组合。

表4规则矩阵

如表4所示，规则矩阵共有8列，其中，前7列为5种控制变量的取值；第1-3列对应第1种控制变量客户信息要素所包括的三类客户信息的取值，每列对应一类客户信息的取值，第4-7列中各列分别对应其余4种控制变量的其中1种的取值，最后1列为访问判定结果Y/N。由上述所获得的5种访问控制变量的取值，在规则矩阵中查询判定结果，根据所述判定结果进行访问控制。

另外，如图3所示，本公开还提供了一种金融业信息系统的客户信息访问控制装置，包括：

存储模块，用于建立并存储访问规则矩阵；

处理模块，用于在金融业信息系统的一功能申请访问客户信息时，获取该功能申请对应的访问控制变量的取值；

控制模块，用于将所述访问控制变量的取值与所述规则矩阵进行匹配，获取访问判定结果，根据访问判定结果进行访问控制。

在实际使用时，通过将内存中的存储变量取值与规则矩阵进行匹配，得到访问控制结果，从而判定某交易是否有访问权限。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

需要说明的是，在附图或说明书正文中，未绘示或描述的实现方式，均为所属技术领域中普通技术人员所知的形式，并未进行详细说明。此外，上述对各元件和方法的定义并不仅限于实施例中提到的各种具体结构、形状或方式，本领域普通技术人员可对其进行更改或替换：

本公开访问控制变量的种类根据访问控制的不同要求也可以不限于5种；客户信息要素的分类也可以不限于3类。

以上所述的具体实施例，对本公开的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本公开的具体实施例而已，并不用于限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims (10)

1.一种金融业信息系统的客户信息访问控制方法，包括：

建立访问规则矩阵；

在所述金融业信息系统的一功能申请访问客户信息时，获取该功能申请对应的访问控制变量的取值；以及

将所述访问控制变量的取值与所述规则矩阵进行匹配，获取访问判定结果，根据访问判定结果进行访问控制。

2.根据权利要求1所述的金融业信息系统的客户信息访问控制方法，其中，所述访问控制变量包括客户信息要素、访问时间、网络属性、导出属性及使用者权限属性。

3.根据权利要求2所述的金融业信息系统的客户信息访问控制方法，其中，所述规则矩阵为访问控制变量与访问判定结果的关系矩阵二维数组。

4.根据权利要求3所述的金融业信息系统的客户信息访问控制方法，其中，所述访问规则矩阵，包括：

访问控制变量的取值集合，包括多个元素；在同一功能申请条件下，所述客户信息要素、访问时间、网络属性、导出属性及使用者权限属性分别对应一取值，这些取值为一元素；以及

访问判定结果集合，包括Y允许访问及N拒绝访问两类元素；其中，

所述访问控制变量的取值集合的一元素组对应访问判定结果集合中的一类元素。

5.根据权利要求4所述的金融业信息系统的客户信息访问控制方法，其中，所述客户信息要素包括三类：一类通用客户信息，即在多个行业通用的客户信息；二类客户金融类信息，即在金融行业多个系统通用的客户信息；三类客户在金融系统内的标识类信息，即在当前金融系统对客户定义的标识类信息。

6.根据权利要求5所述的金融业信息系统的客户信息访问控制方法，其中，所述访问规则矩阵共8列，第1至7列为5种控制变量的取值，第8列为访问判定结果；其中第1至3列分别为三类客户信息要素的取值。

7.根据权利要求2所述的金融业信息系统的客户信息访问控制方法，其中，所述访问时间包括两类：正常时间及非正常时间；所述网络属性包括三类：专线网络、混合网络及公网。

8.根据权利要求1所述的金融业信息系统的客户信息访问控制方法，其中，获取该功能申请对应的访问控制变量的取值，包括：

获取客户信息要素的取值：

将申请访问的客户信息拆分为多个客户信息要素；

将所述多个客户信息要素在客户信息要素分类表中比对，获取各客户信息要素的类型；

判断当前功能是否包含三类客户信息要素，对于每一类客户信息要素，若包括，取值为1，否则取值为0，完成对客户信息要素的取值。

9.根据权利要求1所述的金融业信息系统的客户信息访问控制方法，其中，获取该功能申请对应的访问控制变量的取值，包括：

获取访问时间的取值：当一功能申请访问客户信息时，抓取当前系统时间，在访问时间分类表中，查询访问时间类型，根据时间类型对其进行赋值。

10.一种金融业信息系统的客户信息访问控制装置，包括：

存储模块，用于建立并存储访问规则矩阵；

处理模块，用于在金融业信息系统的一功能申请访问客户信息时，获取该功能申请对应的访问控制变量的取值；以及

控制模块，用于将所述访问控制变量的取值与所述规则矩阵进行匹配，获取访问判定结果，根据访问判定结果进行访问控制。