CN114036549A - 一种基于数据标签的数据库访问控制方法及装置 - Google Patents
一种基于数据标签的数据库访问控制方法及装置 Download PDFInfo
- Publication number
- CN114036549A CN114036549A CN202111426395.8A CN202111426395A CN114036549A CN 114036549 A CN114036549 A CN 114036549A CN 202111426395 A CN202111426395 A CN 202111426395A CN 114036549 A CN114036549 A CN 114036549A
- Authority
- CN
- China
- Prior art keywords
- sensitive data
- database
- data
- visitor
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Artificial Intelligence (AREA)
- Automation & Control Theory (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种基于数据标签的数据库访问控制方法及装置,涉及数据库技术领域。该方法包括:根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。根据敏感等级制定访问控制规则。若访问者访问数据库,则获取访问者身份和访问请求。若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。针对访问者身份和访问请求,根据分类分级标签控制访问者访问,针对性地对不同的第一敏感数据进行分类保护,进而更好地对数据库进行防护。
Description
技术领域
本发明涉及数据库技术领域,具体而言,涉及一种基于数据标签的数据库访问控制方法及装置。
背景技术
现有数据库的访问控制技术在控制粒度、配置复杂度以及安全性等方面存在很大的缺点:
在控制粒度方面,数据库自身的访问控制机制主要基于用户身份进行访问控制,仅支持实例和表名的控制,无法基于详细的SQL指令以及分类分级结果进行控制。
在配置复杂度方面,数据库自身访问控制机制主要有DBA人员通过命令行进行设置,复杂度高。
在安全性方面,数据库自身访问控制机制有DBA进行配置,DBA权限无法进行有效控制,存在DBA恶意删除策略执行违规操作的风险。
由此看出,现数据库访问控制技术仅能根据静态配置或动态学习的策略进行防护,粒度粗、精准度差、配置复杂度高且安全性低,无法基于数据分类分级标签对数据库进行防护。
发明内容
本发明的目的在于提供一种基于数据标签的数据库访问控制方法及装置,用以改善现有技术中数据库访问控制技术仅能根据静态配置或动态学习的策略进行防护,粒度粗、精准度差、配置复杂度高且安全性低,无法基于数据分类分级标签对数据库进行防护的问题。
本发明的实施例是这样实现的:
第一方面,本申请实施例提供一种基于数据标签的数据库访问控制方法,其包括如下步骤:根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。根据敏感等级制定访问控制规则。若访问者访问数据库,则获取访问者身份和访问请求。若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。
在本发明的一些实施例中,上述按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签的步骤包括:利用正则表达式对数据库进行逐行扫描,以对所有第一敏感数据进行分类分级。
在本发明的一些实施例中,上述若访问者访问数据库,则获取访问者身份和访问请求的步骤之后,该方法还包括:若访问者身份和访问请求不符合访问控制规则,则拒绝访问请求,并进行告警提醒。
在本发明的一些实施例中,上述对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级的步骤包括:根据用户业务需求,将分类分级标签按照敏感等级从高到低依次划分为一级、二级、三级及四级。
在本发明的一些实施例中,上述对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级的步骤之后,该方法还包括:根据敏感等级,对对应第一敏感数据进行加密得到加密数据。利用加密数据替换对应第一敏感数据,保存至数据库。
在本发明的一些实施例中,上述按照预设敏感数据子项,对第一敏感数据进行分类分级的步骤之前,该方法还包括:预先获取多个第二敏感数据。对第二敏感数据进行分析,以得到预设敏感数据子项。
在本发明的一些实施例中,上述预先获取多个第二敏感数据的步骤之后,该方法还包括:分析第二敏感数据,得到敏感数据特征。根据敏感数据特征建立敏感数据特征库,利用敏感数据特征库查找数据库中的第一敏感数据。
第二方面,本申请实施例提供一种基于数据标签的数据库访问控制装置,其包括:数据库扫描模块,用于根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。分类分级模块,用于按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。敏感等级划分模块,用于对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。访问控制规则制定模块,用于根据敏感等级制定访问控制规则。访问请求获取模块,用于若访问者访问数据库,则获取访问者身份和访问请求。访问请求允许模块,用于若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。
在本发明的一些实施例中,上述分类分级模块包括:敏感数据分类单元,用于利用正则表达式对数据库进行逐行扫描,以对所有第一敏感数据进行分类分级。
在本发明的一些实施例中,上述基于数据标签的数据库访问控制装置还包括:告警提醒模块,用于若访问者身份和访问请求不符合访问控制规则,则拒绝访问请求,并进行告警提醒。
在本发明的一些实施例中,上述敏感等级划分模块包括:等级划分单元,用于根据用户业务需求,将分类分级标签按照敏感等级从高到低依次划分为一级、二级、三级及四级。
在本发明的一些实施例中,上述基于数据标签的数据库访问控制装置还包括:加密数据模块,用于根据敏感等级,对对应第一敏感数据进行加密得到加密数据。替换保存模块,用于利用加密数据替换对应第一敏感数据,保存至数据库。
在本发明的一些实施例中,上述基于数据标签的数据库访问控制装置还包括:第二敏感数据获取模块,用于预先获取多个第二敏感数据。预设敏感数据子项得到模块,用于对第二敏感数据进行分析,以得到预设敏感数据子项。
在本发明的一些实施例中,上述基于数据标签的数据库访问控制装置还包括:敏感数据特征得到模块,用于分析第二敏感数据,得到敏感数据特征。第一敏感数据查找模块,用于根据敏感数据特征建立敏感数据特征库,利用敏感数据特征库查找数据库中的第一敏感数据。
第三方面,本申请实施例提供一种电子设备,其包括存储器,用于存储一个或多个程序;处理器。当一个或多个程序被处理器执行时,实现如上述第一方面中任一项的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面中任一项的方法。
相对于现有技术,本发明的实施例至少具有如下优点或有益效果:
本发明提供一种基于数据标签的数据库访问控制方法及装置,其包括如下步骤:根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。根据敏感等级制定访问控制规则。若访问者访问数据库,则获取访问者身份和访问请求。若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。该方法及装置可以对数据库中的第一敏感数据进行分类分级,得到分类分级标签。并针对访问者身份和访问请求,根据分类分级标签控制访问者访问,针对性地对不同的第一敏感数据进行分类保护,进而更好地对数据库进行防护,不仅保证了较细的粒度和访问控制的精准度,还避免了DBA人员通过命令行进行设置而导致配置复杂度高的问题,保障了数据库访问的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种基于数据标签的数据库访问控制方法的流程图;
图2为本发明实施例提供的一种基于数据标签的数据库访问控制装置的结构框图;
图3为本发明实施例提供的一种电子设备的示意性结构框图。
图标:100-基于数据标签的数据库访问控制装置;110-数据库扫描模块;120-分类分级模块;130-敏感等级划分模块;140-访问控制规则制定模块;150-访问请求获取模块;160-访问请求允许模块;101-存储器;102-处理器;103-通信接口。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,若出现术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,若出现由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本申请的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该申请产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,若出现术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的各个实施例及实施例中的各个特征可以相互组合。
实施例
请参阅图1,图1所示为本申请实施例提供的一种基于数据标签的数据库访问控制方法的流程图。一种基于数据标签的数据库访问控制方法,其包括如下步骤:
S110:根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据;
具体的,根据预置数据特征,通过主动扫描机制对数据库内部的数据进行特征匹配,以得到数据库中的第一敏感数据。
其中,第一敏感数据可以包括客户编号、增值税注册地址、联系电话、居民身份证号、车牌号和银行卡号。
详细的,例如身份证号码的特征:由18位数字组成,前6位为行政区划分代码。第7位至14位为出生日期码,代表编码对象出生的年、月、日。第15位至17位为顺序码,代表在同一地址码所标识的区域范围内,对同年、同月、同日出生的人编定的顺序号,一般顺序码的奇数为男性,偶数分配为女性。第18位为校验码,当检验码为“10”时,用X代替。当通过正则表达式对数据库内部前100行数据进行扫描后,前100行数据均与身份证号码的特征匹配,则说明数据库该字段存储的数据为身份证号码。
再例如手机号码的特征:由11位数字组成,前3位为网络识别号,第4位至第7位为地区编码,第8位至11位为用户号码。而固定电话号码编码方式为:前3位至4位为本地固定电话的交换局号码,后4位为用户编码。当通过正则表达式对数据库内部前100行数据进行扫描后,前100行数据均与手机号码的特征匹配,则说明数据库该字段存储的数据为手机号码。
S120:按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签;
具体的,按照预设敏感数据子项,将第一敏感数据分为名称、地址、联系方式、证件、资产、金融六大类,并对每个第一敏感数据附上对应的分类分级标签。
其中,身份证号码归属证件类,而手机号码归属联系方式类。
S130:对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级;
具体的,分析各分类分级标签中的第一敏感数据的信息重要度,根据信息重要度,将分类分级标签划分为一级、二级、三级及四级,从一级至四级,敏感等级依次降低。
S140:根据敏感等级制定访问控制规则;
示例性的,将证件类信息的敏感等级划分为二级,则仅允许应用系统访问该证件类信息。从而控制了DBA的访问权限,有效降低了DBA恶意删除策略、执行违规操作的风险。
S150:若访问者访问数据库,则获取访问者身份和访问请求;
具体的,当访问者进入数据库时,可以通过命令行或者登陆界面输入访问者身份和访问请求。
S160:若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。
具体的,针对访问者身份,对访问请求进行不同的访问控制操作。若访问者身份和访问请求符合访问控制规则,则允许访问者的该访问请求,且该访问者可以查询对应敏感等级的分类分级标签中的第一敏感数据。该方法通过对数据库中的敏感数据进行分类分级,根据分类分级标签控制访问者访问,针对性地对不同的第一敏感数据进行分类保护,进而更好地对数据库进行防护,不仅保证了较细的粒度和访问控制的精准度,还避免了DBA人员通过命令行进行设置而导致配置复杂度高的问题,保障了数据库访问的安全性。
在本实施例的一些实施方式中,上述按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签的步骤包括:利用正则表达式对数据库进行逐行扫描,以对所有第一敏感数据进行分类分级。示例性的,利用正则表达式对数据库内部前100行数据进行扫描后,若前100行数据均与手机号码的特征匹配,则说明数据库该字段存储的数据为手机号码,手机号码归属联系方式类。
在本实施例的一些实施方式中,上述若访问者访问数据库,则获取访问者身份和访问请求的步骤之后,该方法还包括:若访问者身份和访问请求不符合访问控制规则,则拒绝访问请求,并进行告警提醒。具体的,拒绝访问请求和访问者身份不符合访问控制规则的访问者进入数据库访问第一敏感信息,可以有效对数据库进行防护。
在本实施例的一些实施方式中,上述对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级的步骤包括:根据用户业务需求,将分类分级标签按照敏感等级从高到低依次划分为一级、二级、三级及四级。具体的,根据用户业务需求分析各分类分级标签中的第一敏感数据的信息重要度,按照信息重要程度对分类分级标签进行敏感等级划分可以更好控制访问不同敏感等级的分类分级标签。
在本实施例的一些实施方式中,上述对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级的步骤之后,该方法还包括:根据敏感等级,对对应第一敏感数据进行加密得到加密数据。利用加密数据替换对应第一敏感数据,保存至数据库。具体的,敏感等级越高的第一敏感数据,其加密算法越复杂。利用加密数据替换数据库中对应第一敏感数据,从而进一步防止了第一敏感数据的外泄。
在本实施例的一些实施方式中,上述按照预设敏感数据子项,对第一敏感数据进行分类分级的步骤之前,该方法还包括:预先获取多个第二敏感数据。对第二敏感数据进行分析,以得到预设敏感数据子项。具体的,分析预先获取的第二敏感数据的数据特征,根据其数据特征可以确定预设敏感数据子项。
其中,预设敏感数据子项包含客户编号、增值税注册地址、联系电话、居民身份证号、车牌号和银行卡号等敏感信息。
在本实施例的一些实施方式中,上述预先获取多个第二敏感数据的步骤之后,该方法还包括:分析第二敏感数据,得到敏感数据特征。根据敏感数据特征建立敏感数据特征库,利用敏感数据特征库查找数据库中的第一敏感数据。具体的,利用敏感数据特征库可以快速比对查找到第一敏感数据,加快了后续分类分级操作。
请参照图2,图2所示为本发明实施例提供的一种基于数据标签的数据库访问控制装置100的结构框图。本申请实施例提供一种基于数据标签的数据库访问控制装置100,其包括:数据库扫描模块110,用于根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。分类分级模块120,用于按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。敏感等级划分模块130,用于对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。访问控制规则制定模块140,用于根据敏感等级制定访问控制规则。访问请求获取模块150,用于若访问者访问数据库,则获取访问者身份和访问请求。访问请求允许模块160,用于若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。
具体的,该装置可以对数据库中的第一敏感数据进行分类分级,得到分类分级标签。并针对访问者身份和访问请求,根据分类分级标签控制访问者访问,针对性地对不同的第一敏感数据进行分类保护,进而更好地对数据库进行防护,不仅保证了较细的粒度和访问控制的精准度,还避免了DBA人员通过命令行进行设置而导致配置复杂度高的问题,保障了数据库访问的安全性。
在本实施例的一些实施方式中,上述分类分级模块120包括:敏感数据分类单元,用于利用正则表达式对数据库进行逐行扫描,以对所有第一敏感数据进行分类分级。示例性的,利用正则表达式对数据库内部前100行数据进行扫描后,若前100行数据均与手机号码的特征匹配,则说明数据库该字段存储的数据为手机号码,手机号码归属联系方式类。
在本实施例的一些实施方式中,上述基于数据标签的数据库访问控制装置100还包括:告警提醒模块,用于若访问者身份和访问请求不符合访问控制规则,则拒绝访问请求,并进行告警提醒。具体的,拒绝访问请求和访问者身份不符合访问控制规则的访问者进入数据库访问第一敏感信息,可以有效对数据库进行防护。
在本实施例的一些实施方式中,上述敏感等级划分模块130包括:等级划分单元,用于根据用户业务需求,将分类分级标签按照敏感等级从高到低依次划分为一级、二级、三级及四级。具体的,根据用户业务需求分析各分类分级标签中的第一敏感数据的信息重要度,按照信息重要程度对分类分级标签进行敏感等级划分可以更好控制访问不同敏感等级的分类分级标签。
在本实施例的一些实施方式中,上述基于数据标签的数据库访问控制装置100还包括:加密数据模块,用于根据敏感等级,对对应第一敏感数据进行加密得到加密数据。替换保存模块,用于利用加密数据替换对应第一敏感数据,保存至数据库。具体的,敏感等级越高的第一敏感数据,其加密算法越复杂。利用加密数据替换数据库中对应第一敏感数据,从而进一步防止了第一敏感数据的外泄。
在本实施例的一些实施方式中,上述基于数据标签的数据库访问控制装置100还包括:第二敏感数据获取模块,用于预先获取多个第二敏感数据。预设敏感数据子项得到模块,用于对第二敏感数据进行分析,以得到预设敏感数据子项。具体的,分析预先获取的第二敏感数据的数据特征,根据其数据特征可以确定预设敏感数据子项。
在本实施例的一些实施方式中,上述基于数据标签的数据库访问控制装置100还包括:敏感数据特征得到模块,用于分析第二敏感数据,得到敏感数据特征。第一敏感数据查找模块,用于根据敏感数据特征建立敏感数据特征库,利用敏感数据特征库查找数据库中的第一敏感数据。具体的,利用敏感数据特征库可以快速比对查找到第一敏感数据,加快了后续分类分级操作。
请参阅图3,图3为本申请实施例提供的电子设备的一种示意性结构框图。电子设备包括存储器101、处理器102和通信接口103,该存储器101、处理器102和通信接口103相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器101可用于存储软件程序及模块,如本申请实施例所提供的一种基于数据标签的数据库访问控制装置100对应的程序指令/模块,处理器102通过执行存储在存储器101内的软件程序及模块,从而执行各种功能应用以及数据处理。该通信接口103可用于与其他节点设备进行信令或数据的通信。
其中,存储器101可以是但不限于,随机存取存储器101(Random Access Memory,RAM),只读存储器101(Read Only Memory,ROM),可编程只读存储器101(ProgrammableRead-Only Memory,PROM),可擦除只读存储器101(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器101(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。
处理器102可以是一种集成电路芯片,具有信号处理能力。该处理器102可以是通用处理器102,包括中央处理器102(Central Processing Unit,CPU)、网络处理器102(Network Processor,NP)等;还可以是数字信号处理器102(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器101(ROM,Read-Only Memory)、随机存取存储器101(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
综上所述,本申请实施例提供的一种基于数据标签的数据库访问控制方法及装置,其包括如下步骤:根据预置数据特征扫描数据库中的数据,以得到数据库中的第一敏感数据。按照预设敏感数据子项,对第一敏感数据进行分类分级,以得到分类分级标签。对各分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级。根据敏感等级制定访问控制规则。若访问者访问数据库,则获取访问者身份和访问请求。若访问者身份和访问请求符合访问控制规则,则允许访问者进入数据库。该方法及装置可以对数据库中的第一敏感数据进行分类分级,得到分类分级标签。并针对访问者身份和访问请求,根据分类分级标签控制访问者访问,针对性地对不同的第一敏感数据进行分类保护,进而更好地对数据库进行防护,不仅保证了较细的粒度和访问控制的精准度,还避免了DBA人员通过命令行进行设置而导致配置复杂度高的问题,保障了数据库访问的安全性。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种基于数据标签的数据库访问控制方法,其特征在于,包括如下步骤:
根据预置数据特征扫描数据库中的数据,以得到所述数据库中的第一敏感数据;
按照预设敏感数据子项,对所述第一敏感数据进行分类分级,以得到分类分级标签;
对各所述分类分级标签中的第一敏感数据进行分析,以划分每个所述分类分级标签的敏感等级;
根据所述敏感等级制定访问控制规则;
若访问者访问数据库,则获取访问者身份和访问请求;
若所述访问者身份和所述访问请求符合所述访问控制规则,则允许所述访问者进入数据库。
2.根据权利要求1所述的基于数据标签的数据库访问控制方法,其特征在于,按照预设敏感数据子项,对所述第一敏感数据进行分类分级,以得到分类分级标签的步骤包括:
利用正则表达式对数据库进行逐行扫描,以对所有所述第一敏感数据进行分类分级。
3.根据权利要求1所述的基于数据标签的数据库访问控制方法,其特征在于,若访问者访问数据库,则获取访问者身份和访问请求的步骤之后,还包括:
若所述访问者身份和所述访问请求不符合所述访问控制规则,则拒绝所述访问请求,并进行告警提醒。
4.根据权利要求1所述的基于数据标签的数据库访问控制方法,对各所述分类分级标签中的第一敏感数据进行分析,以划分每个分类分级标签的敏感等级的步骤包括:
根据用户业务需求,将所述分类分级标签按照敏感等级从高到低依次划分为一级、二级、三级及四级。
5.根据权利要求1所述的基于数据标签的数据库访问控制方法,对各所述分类分级标签中的第一敏感数据进行分析,以划分每个所述分类分级标签的敏感等级的步骤之后,还包括:
根据所述敏感等级,对对应所述第一敏感数据进行加密得到加密数据;
利用所述加密数据替换对应所述第一敏感数据,保存至数据库。
6.根据权利要求1所述的基于数据标签的数据库访问控制方法,按照预设敏感数据子项,对所述第一敏感数据进行分类分级的步骤之前,还包括:
预先获取多个第二敏感数据;
对所述第二敏感数据进行分析,以得到预设敏感数据子项。
7.根据权利要求6所述的基于数据标签的数据库访问控制方法,预先获取多个第二敏感数据的步骤之后,还包括:
分析所述第二敏感数据,得到敏感数据特征;
根据所述敏感数据特征建立敏感数据特征库,利用所述敏感数据特征库查找数据库中的第一敏感数据。
8.一种基于数据标签的数据库访问控制装置,其特征在于,包括:
数据库扫描模块,用于根据预置数据特征扫描数据库中的数据,以得到所述数据库中的第一敏感数据;
分类分级模块,用于按照预设敏感数据子项,对所述第一敏感数据进行分类分级,以得到分类分级标签;
敏感等级划分模块,用于对各所述分类分级标签中的第一敏感数据进行分析,以划分每个所述分类分级标签的敏感等级;
访问控制规则制定模块,用于根据所述敏感等级制定访问控制规则;
访问请求获取模块,用于若访问者访问数据库,则获取访问者身份和访问请求;
访问请求允许模块,用于若所述访问者身份和所述访问请求符合所述访问控制规则,则允许所述访问者进入数据库。
9.一种电子设备,其特征在于,包括:
存储器,用于存储一个或多个程序;
处理器;
当所述一个或多个程序被所述处理器执行时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111426395.8A CN114036549A (zh) | 2021-11-27 | 2021-11-27 | 一种基于数据标签的数据库访问控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111426395.8A CN114036549A (zh) | 2021-11-27 | 2021-11-27 | 一种基于数据标签的数据库访问控制方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114036549A true CN114036549A (zh) | 2022-02-11 |
Family
ID=80145829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111426395.8A Pending CN114036549A (zh) | 2021-11-27 | 2021-11-27 | 一种基于数据标签的数据库访问控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114036549A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115859345A (zh) * | 2022-11-10 | 2023-03-28 | 广州益涛网络科技有限公司 | 一种基于区块链的数据访问管理方法和系统 |
CN116723042A (zh) * | 2023-07-12 | 2023-09-08 | 北汽蓝谷信息技术有限公司 | 一种数据包的安全保护方法及系统 |
-
2021
- 2021-11-27 CN CN202111426395.8A patent/CN114036549A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115859345A (zh) * | 2022-11-10 | 2023-03-28 | 广州益涛网络科技有限公司 | 一种基于区块链的数据访问管理方法和系统 |
CN115859345B (zh) * | 2022-11-10 | 2023-09-22 | 湖北华中电力科技开发有限责任公司 | 一种基于区块链的数据访问管理方法和系统 |
CN116723042A (zh) * | 2023-07-12 | 2023-09-08 | 北汽蓝谷信息技术有限公司 | 一种数据包的安全保护方法及系统 |
CN116723042B (zh) * | 2023-07-12 | 2024-01-26 | 北汽蓝谷信息技术有限公司 | 一种数据包的安全保护方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11630918B2 (en) | Systems and methods of determining compromised identity information | |
US9971898B2 (en) | Method and system for providing anonymized data from a database | |
US11386224B2 (en) | Method and system for managing personal digital identifiers of a user in a plurality of data elements | |
US10482280B2 (en) | Structured text and pattern matching for data loss prevention in object-specific image domain | |
CN114036549A (zh) | 一种基于数据标签的数据库访问控制方法及装置 | |
CN110532799B (zh) | 数据脱敏控制方法、电子装置及计算机可读存储介质 | |
CN102947819A (zh) | 信息追踪系统和方法 | |
US11755768B2 (en) | Methods, apparatuses, and systems for data rights tracking | |
US20150170036A1 (en) | Determining document classification probabilistically through classification rule analysis | |
CN115238286A (zh) | 一种数据防护方法、装置、计算机设备及存储介质 | |
CN114186275A (zh) | 隐私保护方法、装置、计算机设备及存储介质 | |
CN110826105B (zh) | 一种分布式银行数据脱敏方法及系统 | |
WO2005031523A2 (en) | Systems and methods for sharing data between entities | |
CN111092880A (zh) | 一种网络流量数据提取方法及装置 | |
CN111950033A (zh) | 一种基于公民隐私保护用大数据安全平台的脱敏系统 | |
US11429714B2 (en) | Centralized privacy management system for automatic monitoring and handling of personal data across data system platforms | |
CN108959910B (zh) | 参数设置方法及装置 | |
CN114254350A (zh) | 多维度细粒度分级分类管理系统及方法、数据访问方法 | |
CN112346938B (zh) | 操作审计方法、装置及服务器和计算机可读存储介质 | |
CN114186277A (zh) | 一种信息保护方法及系统 | |
CN112269974A (zh) | 一种数据管控的方法及系统 | |
CN116562826B (zh) | 一种基于用户需求的客户erp系统管理方法、系统及介质 | |
US11886608B2 (en) | Subject logging | |
CN117195256B (zh) | 一种财务数据处理方法及系统 | |
CN112257116A (zh) | 一种用户账户数据校验入库方法、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |