CN112165455A - 数据访问控制方法、装置、计算机设备和存储介质 - Google Patents
数据访问控制方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112165455A CN112165455A CN202010920830.1A CN202010920830A CN112165455A CN 112165455 A CN112165455 A CN 112165455A CN 202010920830 A CN202010920830 A CN 202010920830A CN 112165455 A CN112165455 A CN 112165455A
- Authority
- CN
- China
- Prior art keywords
- information
- access
- data
- data stream
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000000586 desensitisation Methods 0.000 claims description 37
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000005206 flow analysis Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本申请涉及一种数据访问控制方法、装置、计算机设备及存储介质,该方法包括:获取企业网络中网关的数据流;解析所述数据流获取数据流信息,所述数据流信息包括地址信息、用户信息以及访问信息;基于所述地址信息和用户信息确定对应用户的访问权限信息;基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制。本申请可根据实际需要定义保护规则进行数据流的访问控制,数据访问更加灵活、安全,提高了企业信息数据访问的安全性。
Description
技术领域
本申请涉及数据安全技术领域,特别是涉及一种数据访问控制方法、装置、计算机设备和存储介质。
背景技术
随着互联网的发展,互联网行为与数据越来越多样化。因此在共享的网络环境中,数据是资源核心,数据安全的意义已不仅仅限于数据本身,也直接影响到是否能够将数据提升为数据资产来服务于企业的业务发展和核心竞争力的提升。防止对任何数据资源进行未授权的访问,从而使共享数据在合法、合理的授权范围内使用,是首要任务。
然而,在信息化建设中,由于建设时间及建设需求的差异,数据访问安全需求也不一致,对系统进行改造成本较高,而目前的安全防护手段与技术无法满足企业网络信息环境下多样、海量的数据安全访问控制要求。
发明内容
本申请实施例提供了一种数据访问控制方法、装置、计算机设备和存储介质,以至少解决相关技术中无法满足数据安全访问控制的问题。
第一方面,本申请实施例提供了一种数据访问控制方法,包括:
获取企业网络中网关的数据流;
解析所述数据流获取数据流信息,所述数据流信息包括地址信息、用户信息以及访问信息;
基于所述地址信息和用户信息确定对应用户的访问权限信息;
基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制。
在其中一些实施例中,所述解析所述数据流获取数据流信息,包括:
对所述数据流进行流量解析,得到服务端流量和数据库端流量;
解析所述服务端流量得到服务端流量地址信息、服务端流量用户信息以及服务端流量访问信息;
解析所述数据库端流量得到数据库端流量地址信息、数据库端流量用户信息以及数据库端流量访问信息;
根据所述服务端流量地址信息、服务端流量访问信息、数据库端流量地址信息以及数据库端流量访问信息,将服务端流量和数据库端流量进行关联,得到数据流信息。
在其中一些实施例中,所述基于所述用户信息判断对应用户是否具有数据访问权限之前,还包括:
根据用户输入的配置信息,配置企业网络中各保护目标的访问权限;
根据用户输入的设置信息,配置各保护目标的预设保护规则。
在其中一些实施例中,所述保护目标包括:信息系统、数据库和服务端口。
在其中一些实施例中,所述基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制,包括:
当用户具有访问权限时,将所述数据流信息返回至用户;
当用户没有访问权限时,根据预设的保护规则对所述数据流信息进行保护处理后返回至用户。
在其中一些实施例中,所述保护规则包括:禁制删除、禁制修改、禁止访问、授权访问和/或脱敏处理。
在其中一些实施例中,所述脱敏处理包括:
配置数据流的脱敏位置、脱敏长度和脱敏方式。
第二方面,本申请实施例提供了一种数据访问控制装置,包括:
数据流获取单元,用于获取企业网络中网关的数据流;
解析单元,用于解析所述数据流获取数据流信息,所述数据流信息包括地址信息、用户信息以及访问信息;
访问权限获取单元,用于基于所述地址信息和用户信息确定对应用户的访问权限信息;
访问控制单元,用于基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的所述的数据访问控制方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的所述的数据访问控制方法。
相比于相关技术,本申请实施例提供的数据访问控制方法,通过获取企业网络中网关的数据流,解析所述数据流获取数据流信息,并基于数据流信息中的所述地址信息和用户信息确定对应用户的访问权限信息,基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制,可根据实际需要定义保护规则进行数据流的访问控制,数据访问更加灵活、安全,提高了企业信息数据访问的安全性。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请一个实施例中数据访问控制方法的流程图;
图2是根据本申请一个实施例中数据访问控制装置的结构框图;
图3是根据本申请一个实施例中计算机设备的结构图。
附图说明:201、数据流获取单元;202、解析单元;203、访问权限获取单元;204、访问控制单元;30、总线;31、处理器;32、存储器;33、通信接口。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请提供的数据访问控制方法可应用于企业网络环境中,特别地,可以应用于企业网络管理和维护工作中。随着计算机网络技术的广泛应用,企业信息化得到了很快地发展。与此同时,企业积累了大量的,以不同形式存储的、依赖于不同数据库管理的数据。对于企业数据资源,需要进行访问控制提高数据的安全性能。访问控制是指根据预先定义的保护规则对用户身份限制其使用数据资源能力的手段,通常用于控制用户对服务器、目录、文件等网络资源的访问。访问控制是企业信息系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
本实施例提供了一种数据访问控制方法,该方法可由计算机设备来执行,具体的,可由该设备内的一个或多个处理器来执行,图1是根据本申请实施例的数据访问控制方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,获取企业网络中网关的数据流。
在本实施例中,所述计算机设备可以是手机、PDA、个人计算机、工作站等,所述计算机设备通过有线或无线方式连接企业网络,以对所述企业网络中的服务端资产进行数据访问控制。其中,所述服务端可以是企业的信息系统如OA系统、办公系统、业务系统(ERP,HR,CRM等)、数据服务器、网络互联设备(网关、路由器等)、通信终端,也可以是信息、文件、访问记录等等,本申请不做具体限定。
在本实施例中,企业基于专用网络搭建自己网络系统,当访问主体通过公网访问企业网络时,企业网络中的数据流通过网关实现访问数据的接收、提取和转发。所述访问主体可以是用户,也可以是用户发起的进程、服务或外网设备等。其中,可以通过开源扫描工具扫描企业的网关获取网关的数据流,例如nmap、端口扫描程序等等。
步骤S102,解析所述数据流获取数据流信息,所述数据流信息包括地址信息、用户信息以及访问信息。
在本实施例中,解析所述数据流获取数据流信息,进而可以得到包括地址信息、用户信息以及访问信息的完整的用户访问记录。所述数据流信息包括:用户、用户数据、访问时间、会话信息、源IP地址、目的IP地址、端口号、协议、线程ID、线程上下文等等。
在一种具体的实施方式中,可以通过线程ID进行数据流关联得到数据流信息。具体的,当访问主体发起访问请求后,服务端会启动一个线程ID响应该请求,通过线程ID监督对应用户发起访问时的数据流,通过线程ID的跟踪和映射可以在数据传输时标识数据流,将地址信息、用户信息和访问信息关联起来。可以理解,在其他实施例中,也可以通过访问时间等进行数据关联得到数据流信息,本申请在此不做赘述。
步骤S103,基于所述地址信息和用户信息确定对应用户的访问权限信息。
在本实施例中,基于所述地址信息可以得到对应访问请求的源IP地址和目的IP地址,基于所述用户信息、源IP地址和目的IP地址可以确定用户的访问权限。
步骤S104,基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制。
具体的,在本实施例中,当用户具有访问权限时,不对数据流进行保护处理,将所述数据流信息返回至用户;当用户没有访问权限时,根据预设的保护规则对所述数据流信息进行保护处理后返回至用户。
在本实施例中,可根据所述访问信息中的数据属性、数据粒度、关键词、密级值、访问端口、访问操作(修改、删除)等过滤数据流,当所述数据流中涉及保护目标时,根据预设的保护规则对数据流进行过滤处理后返回至用户。其中,所述保护目标包括:信息系统、数据库和服务端口。
相比于相关技术,本申请实施例提供的数据访问控制方法,通过获取企业网络中网关的数据流,解析所述数据流获取数据流信息,并基于数据流信息中的所述地址信息和用户信息确定对应用户的访问权限信息,基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制,可根据实际需要定义保护规则进行数据流的访问控制,数据访问更加灵活、安全,提高了企业信息数据访问的安全性。
下面通过优选实施例对本申请实施例进行描述和说明。
示例性的,在其中一个实施例中,解析所述数据流获取数据流信息,包括:
步骤S1021,对所述数据流进行流量解析,得到服务端流量和数据库端流量;
步骤S1022,解析所述服务端流量得到服务端流量地址信息、服务端流量用户信息以及服务端流量访问信息;
步骤S1023,解析所述数据库端流量得到数据库端流量地址信息、数据库端流量用户信息以及数据库端流量访问信息;
步骤S1024,根据所述服务端流量地址信息、服务端流量访问信息、数据库端流量地址信息以及数据库端流量访问信息,将服务端流量和数据库端流量进行关联,得到数据流信息。
在本实施例中,根据所述访问信息中的访问端口过滤数据流,当所述访问信息中的访问端口包含数据库端口时,所述数据流包括服务端流量和数据库端流量。可根据所述服务端流量地址信息、服务端流量访问信息、数据库端流量地址信息以及数据库端流量访问信息,将服务端流量和数据库端流量进行关联,得到数据流信息。例如,可以通过线程ID进行数据流关联得到数据流信息:当访问主体发起访问请求后,服务端会启动一个线程A响应该请求并访问数据库,其中,线程A获取服务端流量地址信息、服务端流量访问信息。通过线程ID监督对应用户发起访问时的数据流,通过线程ID的跟踪和映射可以在数据传输时标识数据流,将服务端流量和数据库端流量进行关联,得到数据流信息。
在其中一个实施例中,所述基于所述用户信息判断对应用户是否具有数据访问权限之前,还包括:
S105,根据用户输入的配置信息,配置企业网络中各保护目标的访问权限;
S106,根据用户输入的设置信息,配置各保护目标的预设保护规则。
在本实施例中,可以预根据用户输入的配置信息,预先配置各保护目标的访问权限。具体的,可针对不同的访问主体设置各个保护目标的黑白名单,或根据保护目标中数据的类型、粒度、密级等为不同的保护主体分配不同的访问权限。
在本实施例中,可以预根据用户输入的配置信息,预先配置各保护目标的预设保护规则。其中,所述保护规则包括:禁制删除、禁制修改、禁止访问、授权访问和/或脱敏处理等。
在其中一个实施例中,企业信息系统等网络数据中涉及企业敏感数据,包括财产信息、健康信息、身份信息、行为标识信息等,对数据流进行脱敏处理可更好地保护数据的隐私性和安全性。脱敏处理是指对某些敏感信息通过脱敏方式进行数据的变形,实现敏感数据的可靠保护。具体的,可以预先配置数据流中的待脱敏数据,并预设脱敏字段、脱敏位置、脱敏长度和脱敏方式。其中,脱敏字段可以是文本或数字形式,如财产信息、手机号码等;脱敏位置即从哪一个位开始脱敏;脱敏长度即脱敏位数;所述脱敏方式可以是变形脱敏、掩码屏蔽、数据替换、无效化、随机脱敏、格式保留加密和数据加密等等。当然,也可以自定义脱敏方式,并根据预定义的脱敏方式进行数据流信息脱敏。
例如,在一种具体的实施方式中,待脱敏数据包括银行账户信息,则当所述数据流信息中包含16位银行账户信息时,可以通过设置脱敏位置为第5-12位,得到6214********6559;或设置脱敏长度为4位,得到621410095678****、6214100956****59等;或对脱敏位置进行数据替换,得到6214000000006559等等方式对该银行账户信息进行脱敏处理后返回至用户。
综上,本申请实施例提供的数据访问控制方法,通过获取企业网络中网关的数据流,解析所述数据流获取数据流信息,并基于数据流信息中的所述地址信息和用户信息确定对应用户的访问权限信息,基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制,可根据实际需要定义保护规则进行数据流的访问控制,数据访问更加灵活、安全。通过预先配置各保护目标的预设保护规则,并对企业网关的数据流中访问信息中的数据属性、数据粒度、关键词、密级值、访问端口、访问操作(修改、删除)等过滤数据流后返回至用户,实现了数据的产生、访问和安全传输管理,提高了企业信息数据访问的安全性。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种数据访问控制装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图2是根据本申请实施例的数据访问控制装置的结构框图,如图2所示,该装置包括:
数据流获取单元201,用于获取企业网络中网关的数据流;
解析单元202,用于解析所述数据流获取数据流信息,所述数据流信息包括地址信息、用户信息以及访问信息;
访问权限获取单元203,用于基于所述地址信息和用户信息确定对应用户的访问权限信息;
访问控制单元204,用于基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制。
解析单元202,包括:流量解析模块、服务端解析模块、数据库端解析模块和数据流信息获取模块。
流量解析模块,用于对所述数据流进行流量解析,得到服务端流量和数据库端流量;
服务端解析模块,用于解析所述服务端流量得到服务端流量地址信息、服务端流量用户信息以及服务端流量访问信息;
数据库端解析模块,用于解析所述数据库端流量得到数据库端流量地址信息、数据库端流量用户信息以及数据库端流量访问信息;
数据流信息获取模块,用于根据所述服务端流量地址信息、服务端流量访问信息、数据库端流量地址信息以及数据库端流量访问信息,将服务端流量和数据库端流量进行关联,得到数据流信息。
数据访问控制装置,还包括:访问权限配置单元和预设保护规则配置单元。
访问权限配置单元,用于根据用户输入的配置信息,配置企业网络中各保护目标的访问权限;
预设保护规则配置单元,用于股根据用户输入的设置信息,配置各保护目标的预设保护规则。
所述保护目标包括:信息系统、数据库和服务端口。
访问控制单元204,包括:第一访问控制模块和第二访问控制模块。
第一访问控制模块,用于当用户具有访问权限时,将所述数据流信息返回至用户;
第二访问控制模块,用于当用户没有访问权限时,根据预设的保护规则对所述数据流信息进行保护处理后返回至用户。
所述保护规则包括:禁制删除、禁制修改、禁止访问、授权访问和/或脱敏处理。
所述脱敏处理包括:配置数据流的脱敏位置、脱敏长度和脱敏方式。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例数据访问控制方法可以由计算机设备来实现。图3为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器31以及存储有计算机程序指令的存储器32。
具体地,上述处理器31可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器32可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器32可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器32可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器32可在数据处理装置的内部或外部。在特定实施例中,存储器32是非易失性(Non-Volatile)存储器。在特定实施例中,存储器32包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器32可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器31所执行的可能的计算机程序指令。
处理器31通过读取并执行存储器32中存储的计算机程序指令,以实现上述实施例中的任意一种数据访问控制方法。
在其中一些实施例中,计算机设备还可包括通信接口33和总线30。其中,如图3所示,处理器31、存储器32、通信接口33通过总线30连接并完成相互间的通信。
通信接口33用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口33还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线30包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线30包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线30可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线30可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的数据访问控制方法,执行本申请实施例中的数据访问控制方法,从而实现结合图1描述的数据访问控制方法。
另外,结合上述实施例中的数据访问控制方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种数据访问控制方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种数据访问控制方法,其特征在于,包括:
获取企业网络中网关的数据流;
解析所述数据流获取数据流信息,所述数据流信息包括地址信息、用户信息以及访问信息;
基于所述地址信息和用户信息确定对应用户的访问权限信息;
基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制。
2.根据权利要求1所述的数据访问控制方法,其特征在于,所述解析所述数据流获取数据流信息,包括:
对所述数据流进行流量解析,得到服务端流量和数据库端流量;
解析所述服务端流量得到服务端流量地址信息、服务端流量用户信息以及服务端流量访问信息;
解析所述数据库端流量得到数据库端流量地址信息、数据库端流量用户信息以及数据库端流量访问信息;
根据所述服务端流量地址信息、服务端流量访问信息、数据库端流量地址信息以及数据库端流量访问信息,将服务端流量和数据库端流量进行关联,得到数据流信息。
3.根据权利要求1所述的数据访问控制方法,其特征在于,所述基于所述用户信息判断对应用户是否具有数据访问权限之前,还包括:
根据用户输入的配置信息,配置企业网络中各保护目标的访问权限;
根据用户输入的设置信息,配置各保护目标的预设保护规则。
4.根据权利要求3所述的数据访问控制方法,其特征在于,所述保护目标包括:信息系统、数据库和服务端口。
5.根据权利要求1所述的数据访问控制方法,其特征在于,所述基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制,包括:
当用户具有访问权限时,将所述数据流信息返回至用户;
当用户没有访问权限时,根据预设的保护规则对所述数据流信息进行保护处理后返回至用户。
6.根据权利要求1所述的数据访问控制方法,其特征在于,所述保护规则包括:禁制删除、禁制修改、禁止访问、授权访问和/或脱敏处理。
7.根据权利要求6所述的数据访问控制方法,其特征在于,所述脱敏处理包括:
配置数据流的脱敏位置、脱敏长度和脱敏方式。
8.一种数据访问控制装置,其特征在于,包括:
数据流获取单元,用于获取企业网络中网关的数据流;
解析单元,用于解析所述数据流获取数据流信息,所述数据流信息包括地址信息、用户信息以及访问信息;
访问权限获取单元,用于基于所述地址信息和用户信息确定对应用户的访问权限信息;
访问控制单元,用于基于所述访问权限信息、访问信息和预设保护规则对所述数据流进行访问控制。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的数据访问控制方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的数据访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010920830.1A CN112165455A (zh) | 2020-09-04 | 2020-09-04 | 数据访问控制方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010920830.1A CN112165455A (zh) | 2020-09-04 | 2020-09-04 | 数据访问控制方法、装置、计算机设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112165455A true CN112165455A (zh) | 2021-01-01 |
Family
ID=73858654
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010920830.1A Pending CN112165455A (zh) | 2020-09-04 | 2020-09-04 | 数据访问控制方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112165455A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112910906A (zh) * | 2021-02-08 | 2021-06-04 | 北京小米移动软件有限公司 | 数据访问方法及装置、移动终端及存储介质 |
CN113111017A (zh) * | 2021-03-24 | 2021-07-13 | 联想(北京)有限公司 | 一种信息处理方法和电子设备 |
CN113282628A (zh) * | 2021-06-09 | 2021-08-20 | 支付宝(杭州)信息技术有限公司 | 大数据平台访问方法、装置及大数据平台、电子设备 |
CN113378225A (zh) * | 2021-06-24 | 2021-09-10 | 平安普惠企业管理有限公司 | 线上敏感数据获取方法、装置、电子设备及存储介质 |
CN113810484A (zh) * | 2021-09-10 | 2021-12-17 | 深圳云之家网络有限公司 | 文件请求处理方法、装置、计算机设备和存储介质 |
CN114301635A (zh) * | 2021-12-10 | 2022-04-08 | 中国联合网络通信集团有限公司 | 访问控制方法、装置和服务器 |
CN114826775A (zh) * | 2022-06-01 | 2022-07-29 | 北京东土军悦科技有限公司 | 数据包的过滤规则生成方法及装置、系统、设备和介质 |
CN115189943A (zh) * | 2022-07-08 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 一种基于网络地址的权限管理方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120117660A1 (en) * | 2010-11-09 | 2012-05-10 | International Business Machines Corporation | Access control for server applications |
CN108418676A (zh) * | 2018-01-26 | 2018-08-17 | 山东超越数控电子股份有限公司 | 一种基于权限的数据脱敏方法 |
CN109150908A (zh) * | 2018-10-08 | 2019-01-04 | 四川大学 | 一种部署于网关处的大数据平台保护装置及其保护方法 |
CN109981619A (zh) * | 2019-03-13 | 2019-07-05 | 泰康保险集团股份有限公司 | 数据获取方法、装置、介质及电子设备 |
CN111193771A (zh) * | 2019-12-03 | 2020-05-22 | 云深互联(北京)科技有限公司 | 基于移动端企业浏览器的访问方法和装置 |
-
2020
- 2020-09-04 CN CN202010920830.1A patent/CN112165455A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120117660A1 (en) * | 2010-11-09 | 2012-05-10 | International Business Machines Corporation | Access control for server applications |
CN108418676A (zh) * | 2018-01-26 | 2018-08-17 | 山东超越数控电子股份有限公司 | 一种基于权限的数据脱敏方法 |
CN109150908A (zh) * | 2018-10-08 | 2019-01-04 | 四川大学 | 一种部署于网关处的大数据平台保护装置及其保护方法 |
CN109981619A (zh) * | 2019-03-13 | 2019-07-05 | 泰康保险集团股份有限公司 | 数据获取方法、装置、介质及电子设备 |
CN111193771A (zh) * | 2019-12-03 | 2020-05-22 | 云深互联(北京)科技有限公司 | 基于移动端企业浏览器的访问方法和装置 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112910906A (zh) * | 2021-02-08 | 2021-06-04 | 北京小米移动软件有限公司 | 数据访问方法及装置、移动终端及存储介质 |
CN112910906B (zh) * | 2021-02-08 | 2022-10-14 | 北京小米移动软件有限公司 | 数据访问方法及装置、移动终端及存储介质 |
CN113111017A (zh) * | 2021-03-24 | 2021-07-13 | 联想(北京)有限公司 | 一种信息处理方法和电子设备 |
CN113282628A (zh) * | 2021-06-09 | 2021-08-20 | 支付宝(杭州)信息技术有限公司 | 大数据平台访问方法、装置及大数据平台、电子设备 |
CN113378225A (zh) * | 2021-06-24 | 2021-09-10 | 平安普惠企业管理有限公司 | 线上敏感数据获取方法、装置、电子设备及存储介质 |
CN113810484A (zh) * | 2021-09-10 | 2021-12-17 | 深圳云之家网络有限公司 | 文件请求处理方法、装置、计算机设备和存储介质 |
CN114301635A (zh) * | 2021-12-10 | 2022-04-08 | 中国联合网络通信集团有限公司 | 访问控制方法、装置和服务器 |
CN114301635B (zh) * | 2021-12-10 | 2024-02-23 | 中国联合网络通信集团有限公司 | 访问控制方法、装置和服务器 |
CN114826775A (zh) * | 2022-06-01 | 2022-07-29 | 北京东土军悦科技有限公司 | 数据包的过滤规则生成方法及装置、系统、设备和介质 |
CN114826775B (zh) * | 2022-06-01 | 2023-11-07 | 北京东土军悦科技有限公司 | 数据包的过滤规则生成方法及装置、系统、设备和介质 |
CN115189943A (zh) * | 2022-07-08 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 一种基于网络地址的权限管理方法及系统 |
CN115189943B (zh) * | 2022-07-08 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种基于网络地址的权限管理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112165455A (zh) | 数据访问控制方法、装置、计算机设备和存储介质 | |
US20180013747A1 (en) | Controlling Access to Resources on a Network | |
US9769266B2 (en) | Controlling access to resources on a network | |
US10749886B1 (en) | Analyzing diversely structured operational policies | |
CN110445769B (zh) | 业务系统的访问方法及装置 | |
CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
US20170155683A1 (en) | Remedial action for release of threat data | |
US10965677B2 (en) | Data leakage and information security using access control | |
US8255517B1 (en) | Method and apparatus to determine device mobility history | |
CN114138590A (zh) | Kubernetes集群的运维处理方法、装置及电子设备 | |
CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
Bhuiyan et al. | API vulnerabilities: Current status and dependencies | |
RU2601147C2 (ru) | Система и способ выявления целевых атак | |
US9143517B2 (en) | Threat exchange information protection | |
CN111181967B (zh) | 数据流识别方法、装置、电子设备及介质 | |
CN109740328B (zh) | 一种权限鉴定方法、装置、计算机设备和存储介质 | |
CN114244555B (zh) | 一种安全策略的调整方法 | |
RU2673711C1 (ru) | Способ обнаружения аномальных событий на основании набора сверток безопасных событий | |
US11263317B2 (en) | Understanding and mediating among diversely structured operational policies | |
US11392766B2 (en) | Understanding and mediating among diversely structured operational policies | |
CN111885063B (zh) | 开源系统访问管控方法、装置、设备及存储介质 | |
CN109145645B (zh) | 一种保护安卓手机中短信验证码的方法 | |
CN113347203B (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
KR101482868B1 (ko) | Dlp 성능 향상을 위한 분산 인덱싱 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210101 |
|
RJ01 | Rejection of invention patent application after publication |