CN114996746A - 基于多维度信息的数据权限管理方法及系统 - Google Patents

基于多维度信息的数据权限管理方法及系统 Download PDF

Info

Publication number
CN114996746A
CN114996746A CN202210913430.7A CN202210913430A CN114996746A CN 114996746 A CN114996746 A CN 114996746A CN 202210913430 A CN202210913430 A CN 202210913430A CN 114996746 A CN114996746 A CN 114996746A
Authority
CN
China
Prior art keywords
information
data
user
access
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210913430.7A
Other languages
English (en)
Other versions
CN114996746B (zh
Inventor
肖益
韩国权
吕灏
李庆
单晨
祁纲
黄海峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Taiji Computer Corp Ltd
Original Assignee
Taiji Computer Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Taiji Computer Corp Ltd filed Critical Taiji Computer Corp Ltd
Priority to CN202210913430.7A priority Critical patent/CN114996746B/zh
Publication of CN114996746A publication Critical patent/CN114996746A/zh
Application granted granted Critical
Publication of CN114996746B publication Critical patent/CN114996746B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Medical Informatics (AREA)
  • Quality & Reliability (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于多维度信息的数据权限管理方法及系统,包括:服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息;若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与所述角色对应表比对,得到相对应的数据权限信息;服务管理端根据所述数据权限信息生成相对应的数据管理插件,将数据管理插件发送至第一用户的第一终端;在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录;监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令。

Description

基于多维度信息的数据权限管理方法及系统
技术领域
本发明涉及数据处理技术领域,尤其涉及一种基于多维度信息的数据权限管理方法及系统。
背景技术
权限管理,一般指根据系统设置的安全规则或安全策略,用户可以访问、且只能访问自己被授权的资源。权限管理分为两大类,功能级权限控制和数据级权限控制。
在现有的智慧生产、智慧制造的过程中,对于某些设备、数据只有特定人员、在特定时间才能够进行操作,并且只有特定人员、在特定时间、处于特定空间内进行的某些操作,才能够认为是正常的、符合规定的操作。现有技术中,并无法结合时间、空间以及角色等多个维度,对用户的权限进行管理。
并且,在现有技术中,对于数据权限的验证大多采用密钥进行验证,导致用户在访问其所具有权限的数据时,也会操作较多,效率较低。
发明内容
本发明实施例提供一种基于多维度信息的数据权限管理方法及系统,结合物联网设备、第一时间信息以及数据权限信息,对用户进行时间、空间以及角色等多个维度的验证。通过数据权限插件对用户所访问的数据接口进行主动的、实时的监测,使得用户在访问某个数据接口时,无需在输入相应的密钥,数据权限插件直接根据其角色进行了验证,节省了用户的主动验证步骤,提高了用户的数据访问、调用效率。
本发明实施例的第一方面,提供一种基于多维度信息的数据权限管理方法,包括:
服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息;
若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与角色对应表比对,得到相对应的数据权限信息;
服务管理端根据所述数据权限信息生成相对应的数据管理插件,所述数据管理插件包括监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端;
数据权限插件用于对第一终端与服务管理端的数据接口进行监测,在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录;
监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令。
可选地,在第一方面的一种可能实现方式中,所述服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息,包括:
服务管理端实时获取每个物联网设备发送的设备连接表,所述设备连接表具有与物联网设备所连接的第一终端,所述物联网设备为近距离无线通讯模块;
确定设备连接表内与第一终端相对应的第一用户,确定与每一个第一用户对应的第一时间信息和第一角色信息。
可选地,在第一方面的一种可能实现方式中,所述若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与所述角色对应表比对,得到相对应的数据权限信息,包括:
提取第一时间信息中的时间段,若所述当前时刻位于所述时间段内,则判断当前时刻与所述第一时间信息相对应;
调取预先设置的角色对应表,遍历角色对应表中的所有预设角色,确定与第一角色信息对应的预设角色的数据权限信息。
可选地,在第一方面的一种可能实现方式中,所述服务管理端根据所述数据权限信息生成相对应的数据管理插件,所述数据管理插件包括监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端,包括:
提取所述数据权限信息中的目标数据,所述目标数据包括不可以访问的第一预设接口信息和/或限制性访问的第二预设接口信息;
初始化数据权限表,若判断提取到不可以访问的第一预设接口信息,则在所述初始化数据权限表中建立第一访问单元,以及在所述第一访问单元内建立第一名单格;
将每一个不可以访问的第一预设接口信息,存储于相应的第一名单格内。
可选地,在第一方面的一种可能实现方式中,还包括:
若判断提取到限制性访问的第二预设接口信息,则在所述初始化数据权限表中建立第二访问单元,以及在所述第二访问单元内建立第二名单格;
将每一个限制性访问的第二预设接口信息,存储于相应的第二名单格;
生成与所述第二名单格对应的限制格,获取限制性访问的第二预设接口信息的限制行为,将所述限制行为填充至相对应的限制格内;
在判断将目标数据中的所有接口信息分别填充至相应的第一访问单元或第二访问单元后,根据数据权限表在数据管理插件内构建监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端。
可选地,在第一方面的一种可能实现方式中,所述在判断将目标数据中的所有接口信息分别填充至相应的第一访问单元或第二访问单元后,根据数据权限表在数据管理插件内构建监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端,包括:
根据数据权限表生成所述监测单元的监测条件信息,以监测单元在判断用户行为达到所述监测条件信息时,则向服务管理端和第一终端发送无权访问指令;
在所述记录单元内构建行为记录表,在所述行为记录表中建立正常访问记载区域和异常访问记载区域;
将所述数据权限表中的不可以访问的第一预设接口信息、限制性访问的第二预设接口信息的限制行为分别作为记载条件信息;
记录单元根据所述记载条件信息将用户行为分别记载至正常访问记载区域和异常访问记载区域。
可选地,在第一方面的一种可能实现方式中,数据权限插件用于对第一终端与服务管理端的数据接口进行监测,在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录,包括:
获取第一用户的访问行为所对应数据接口的第一访问接口信息,若判断第一用户可以访问第一访问接口信息内的第一存储数据,则对所述第一访问接口信息在正常访问记载区域进行记录;
若判断所述第一访问接口信息与第一预设接口信息相对应,则对所述第一访问接口信息在异常访问记载区域进行记录;
若判断所述第一访问接口信息与第二预设接口信息相对应,且第一用户不具有与限制行为对应的用户行为,则对所述第二预设接口信息在正常访问记载区域进行记录;
若第一用户具有与限制行为对应的用户行为,则对所述第二预设接口信息在异常访问记载区域进行记录。
可选地,在第一方面的一种可能实现方式中,所述监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令,包括:
监测单元提取所访问的数据接口的第一访问接口信息,若判断所述第一访问接口信息与数据权限表的第一预设接口信息相对应,则判断用户行为达到所述监测条件信息,向服务管理端和第一终端发送无权访问指令;
若判断所述第一访问接口信息与数据权限表的第二预设接口信息相对应,则对用户的用户行为进行持续监测,若判断用户的用户行为与限制行为相对应时,则判断用户行为达到所述监测条件信息,向服务管理端和第一终端发送无权访问指令。
可选地,在第一方面的一种可能实现方式中,还包括:
选中任意一个第二角色,确定与所述第二角色对应的多个第二用户,对每一个第二用户在预设时间段内的行为记录表进行统计;
确定每个第二用户的行为记录表中,正常访问记载区域内第一访问接口信息和第二预设接口信息的数量得到第一正常子数量和第二正常子数量;
确定每个第二用户的行为记录表中,异常访问记载区域内第一预设接口信息和第二预设接口信息的数量得到第一异常子数量和第二异常子数量;
根据每个第二用户对应的第一正常子数量、第二正常子数量、第一异常子数量和第二异常子数量生成所述第二角色的操作评价系数,根据所述操作评价系数确定与所述第二用户对应的培训操作课程。
可选地,在第一方面的一种可能实现方式中,所述根据每个第二用户对应的第一正常子数量、第二正常子数量、第一异常子数量和第二异常子数量生成所述第二角色的操作评价系数,根据所述操作评价系数确定与所述第二用户对应的培训操作课程,包括:
分别对所述第二用户对应的第一正常子数量、第二正常子数量进行加权计算得到正常子系数,分别对所述第二用户对应的第一异常子数量、第二异常子数量进行加权计算得到异常子系数;
对所述正常子系数和异常子系数进行计算得到操作评价系数,若所述操作评价系数低于预设系数值,则根据所述操作评价系数、预设系数值得到相对应的时间偏移值;
根据所述时间偏移值、预设培训时间进行计算,得到与所述培训操作课程对应的实际培训时间,根据所述实际培训时间确定相对应的培训操作课程。
可选地,在第一方面的一种可能实现方式中,所述根据所述时间偏移值、预设培训时间进行计算,得到与所述培训操作课程对应的实际培训时间,根据所述实际培训时间确定相对应的培训操作课程,包括:
通过以下公式计算实际培训时间,
Figure 93855DEST_PATH_IMAGE001
其中,ydeviation为时间偏移值,a1为第一正常权重,ki为第i个第二用户对应的第一正常子数量,n为第二用户的上限值,a2为第二正常权重,oj为第j个第二用户对应的第二正常子数量,b1为第一异常权重,fp为第p个第二用户对应的第一异常子数量,b2为第二异常权重,be为第e个第二用户对应的第二异常子数量,t1为实际培训时间,ypreset为预设系数值,t2为预设培训时间,α为时间计算权重值。
本发明实施例的第二方面,提供一种基于多维度信息的数据权限管理系统,包括:
获取模块,用于使服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息;
比对模块,用于若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与角色对应表比对,得到相对应的数据权限信息;
生成模块,用于使服务管理端根据所述数据权限信息生成相对应的数据管理插件,所述数据管理插件包括监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端;
监测模块,用于使数据权限插件用于对第一终端与服务管理端的数据接口进行监测,在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录;
发送模块,用于使监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令。
本发明实施例的第三方面,提供一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现本发明第一方面及第一方面各种可能设计的所述方法。
本发明提供的一种基于多维度信息的数据权限管理方法及系统。服务管理端会结合物联网设备对第一用户在进行数据访问时所处的空间进行限定,通过第一时间信息可以对第一用户在进行数据访问时所处的时间进行限定,通过数据权限信息可以对第一用户在进行数据访问时的数据权限、角色进行限定。该种方式,使得本发明能够在用户进行数据访问时结合多个维度进行限定、验证,进而有效避免敏感数据的泄露。并且,本发明会通过数据权限插件对用户所访问的数据接口进行主动的、实时的监测,使得用户在访问某个数据接口时,无需在输入相应的密钥,数据权限插件直接根据其角色进行了验证,节省了用户的主动验证步骤,提高了用户的数据访问、调用效率。
本发明会根据数据管理插件的监测单元和记录单元,分别实现对用户的行为进行监测和记录,并且在进行监测和记录的过程中,本发明会结合不可以访问的第一预设接口信息和/或限制性访问的第二预设接口信息,采取不同的监测、记录形式,本发明会根据不同的第一用户的数据权限信息生成相对应的数据权限表,进而得到与其对应的数据管理插件,使得本发明能够针对不同的第一角色生成不同的数据管理插件,进而使得本发明能够对不同的第一角色的用户行为采取不同的监测、记录方式,根据其权限允许其进行数据的访问、下载等操作。相较于以往需要通过服务管理端进行角色计算、比对的步骤,本发明通过边缘计算的方式,不再需要第一用户主动输入密钥进行验证,大幅的提高了效率,降低了服务管理端的数据处理量。
并且,本发明能够对行为记录表进行分区域处理,在不同的区域记载不同的信息。本发明会对第二角色所对应不同的第二用户的行为记录表进行统计,并第一正常子数量、第二正常子数量、第一异常子数量和第二异常子数量得到相对应的操作评价系数,进而判断所有第二用户对工作技能的掌握情况,并且在操作评价系数低于预设系数值时,进行综合的计算得到实际培训时间,根据实际培训时间确定相对应的培训操作课程,对相应第二用户进行培训,使得本发明能够针对不同的第二用户、第二角色对技能的不同掌握情况,采取不同的培训时间,进而实现对多个不同第二角色内的第二用户进行差异化的培训。
附图说明
图1为本发明提供技术方案的应用场景示意图;
图2为基于多维度信息的数据权限管理方法的第一种实施方式的流程图;
图3为基于多维度信息的数据权限管理方法的第二种实施方式的流程图;
图4为基于多维度信息的数据权限管理系统的第一种实施方式的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本发明的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,在本发明中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本发明中,“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含,“包含A、B或C”是指包含A、B、C三者之一,“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。
应当理解,在本发明中,“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。A与B的匹配,是A与B的相似度大于或等于预设的阈值。
取决于语境,如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
如图1所示,为本发明提供技术方案的应用场景示意图,本发明会在目标区域预先设置相应的物联网设备,物联网设备例如近距离无线通讯模块(WiFi、ZigBee),当第一终端与近距离无线通讯模块连接时,则证明持有第一终端的第一用户处于目标区域内,目标区域可以是公司等区域。服务管理端分别与物联网设备和第一终端连接。
本发明提供一种基于多维度信息的数据权限管理方法,如图2所示,包括:
步骤S110、服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息。服务管理端可以是服务器,可以通过有线的方式与物联网设备建立连接。服务管理端会根据物联网设备得到位于第一空间信息内的所有第一用户,可以这样理解,只有位于目标区域内、能够与物联网设备建立连接的第一用户才能够取得相应的数据权限,该种方式能够避免其他用户不在公司等区域内,远程进行敏感数据的访问,进而有保障了数据的安全性。
服务管理端会确定与第一用户对应的第一时间信息和第一角色信息,不同的第一用户会预先设置相对应的第一时间信息和第一角色信息。
本发明提供的技术方案,在一个可能的实施方式中,如图3所示,步骤S110包括:
步骤S1101、服务管理端实时获取每个物联网设备发送的设备连接表,所述设备连接表具有与物联网设备所连接的第一终端,所述物联网设备为近距离无线通讯模块。本发明中的物联网设备会向服务管理端实时发送设备连接表,该设备连接表种具有与服务管理端实时连接的第一终端。
步骤S1102、确定设备连接表内与第一终端相对应的第一用户,确定与每一个第一用户对应的第一时间信息和第一角色信息。不同的第一终端会对应不同的第一用户,第一终端和第一用户的对应关系可以是预先设置的,例如第一终端的ID为10111,第一用户为张三,此时ID00111与张三即是对应存储的。
本发明会确定与第一用户对应的第一时间信息和第一角色信息,多个第一用户可以对应相同的第一时间信息和第一角色信息,第一时间信息可以是每个第一用户的工作时间段。例如销售部具有5个销售员,销售员即可以看作是第一角色,5个销售员对应的5个第一用户即具有相同的第一角色信息。5个销售员不在同一时间段工作,则此时5个销售员所对应的第一时间信息的时间段也是不同的。
步骤S120、若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与所述角色对应表比对,得到相对应的数据权限信息。通过该步骤,可以判断第一用户是否处于相应的工作时间段内,如果当前时刻与第一时间信息相对应,则此时认为相应的第一用户为工作需要,进行数据的访问,所以此时本发明会将第一角色信息与所述角色对应表比对,得到第一用户相对应的数据权限信息,不同的第一用户、第一角色会具有预先设置的数据权限信息。
本发明提供的技术方案,在一个可能的实施方式中,步骤S120包括:
提取第一时间信息中的时间段,若所述当前时刻位于所述时间段内,则判断当前时刻与所述第一时间信息相对应。在实际的工作场景下,工作人员的工作时间都是按照时间段来计算的,例如早八点至晚五点、早九点至晚六点等等。如果当前时刻位于所述时间段内,则认为当前时刻处于相应第一用户、第一角色的工作时间。
调取预先设置的角色对应表,遍历角色对应表中的所有预设角色,确定与第一角色信息对应的预设角色的数据权限信息。本发明会得到角色对应表,角色对应表中具有每个预设角色预先对应设置的数据权限信息。
步骤S130、服务管理端根据所述数据权限信息生成相对应的数据管理插件,所述数据管理插件包括监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端。服务管理端在得到相应第一用户、第一角色信息对应的数据权限信息后,会生成相应的数据管理插件,并且会结合数据权限信息得到相对应的监测单元和记录单元,通过监测单元和记录单元能够对第一用户在服务管理端处的行为进行监测、记录。
本发明提供的技术方案,在一个可能的实施方式中,步骤S130包括:
提取所述数据权限信息中的目标数据,所述目标数据包括不可以访问的第一预设接口信息和/或限制性访问的第二预设接口信息。可以这样理解,目标数据中的所有接口都是用户不能访问或者是限制访问的接口,第一用户可以访问的接口则不属于目标数据之内。本发明会将第一用户不可以访问的接口作为第一预设接口信息,将限制性访问的接口作为第二预设接口信息。
初始化数据权限表,若判断提取到不可以访问的第一预设接口信息,则在所述初始化数据权限表中建立第一访问单元,以及在所述第一访问单元内建立第一名单格。本发明首先会初始化数据权限表,此时的数据权限表内还没有存储相应的预设接口信息。
如果提取到不可以访问的第一预设接口信息,则认为此时相应的第一用户具有不能够访问的接口,所以此时会在初始化数据权限表中建立第一访问单元,并建立相应的第一名单格。
将每一个不可以访问的第一预设接口信息,存储于相应的第一名单格内。本发明会将第一预设接口信息存储至相应的第一名单格内,使得后续数据管理插件能够实时对第一用户的行为进行监测,判断是否存在调取相应第一预设接口信息的行为。
本发明提供的技术方案,在一个可能的实施方式中,还包括:
若判断提取到限制性访问的第二预设接口信息,则在所述初始化数据权限表中建立第二访问单元,以及在所述第二访问单元内建立第二名单格。
如果提取到限制性访问的第二预设接口信息,则认为此时相应的第一用户具有限制性访问的接口,所以此时会在初始化数据权限表中建立第二访问单元,并建立相应的第二名单格。
将每一个限制性访问的第二预设接口信息,存储于相应的第二名单格。本发明会将第二预设接口信息存储至相应的第二名单格内,使得后续数据管理插件能够实时对第二用户的行为进行监测,判断是否存在调取相应第二预设接口信息的行为。
生成与所述第二名单格对应的限制格,获取限制性访问的第二预设接口信息的限制行为,将所述限制行为填充至相对应的限制格内。由于第二预设接口信息并不是完全不可以访问,而是限制性访问,所以本发明会生成与第二名单格对应的限制格,通过限制格能够对限制行为进行存储。例如服务管理端内存储有数据存储单元A,第一用户调用服务管理端的第二预设接口信息,实现访问数据存储单元A的数据,此时第一用户只能够对数据存储单元A进行访问,但是并不能够对数据存储单元A内的数据进行下载,所以此时的限制行为即为下载,本发明会将限制下载填充至限制行为。
在判断将目标数据中的所有接口信息分别填充至相应的第一访问单元或第二访问单元后,根据数据权限表在数据管理插件内构建监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端。此时则证明目标数据中的所有接口信息都已经被记录,没有被记录的接口信息都是第一用户可以直接访问的、下载的,本发明中所说的访问包括调用。本发明会根据接口信息,使得数据管理插件根据数据权限表中的第一预设接口信息和第二预设接口信息对第一用户的第一终端进行监测、记录及管理。
本发明提供的技术方案,在一个可能的实施方式中,所述在判断将目标数据中的所有接口信息分别填充至相应的第一访问单元或第二访问单元后,根据数据权限表在数据管理插件内构建监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端,包括:
根据数据权限表生成所述监测单元的监测条件信息,以监测单元在判断用户行为达到所述监测条件信息时,则向服务管理端和第一终端发送无权访问指令。本发明会结合数据权限表得到监测条件信息,当用户行为达到监测条件信息时,则证明此时用户的行为已经超越了其角色的权限范围,所以此时数据管理插件会根据第一终端的通讯模块向服务管理端发送无权访问指令,以对服务管理端进行提醒。并且同时,数据管理插件会向第一终端发送无权访问指令,以对第一用户记性提醒。
在所述记录单元内构建行为记录表,在所述行为记录表中建立正常访问记载区域和异常访问记载区域。正常访问记载区域即可以看作是第一用户进行正常访问时进行记录的区域,异常访问记载区域即可以看作是第一用户进行异常访问时进行记录的区域。本发明可以通过行为记录表对第一用户的用户行为进行记录,并自动填充至相对应的正常访问记载区域和异常访问记载区域,便于后续对第一用户、第一角色的操作行为进行统计、分析。
将所述数据权限表中的不可以访问的第一预设接口信息、限制性访问的第二预设接口信息的限制行为分别作为记载条件信息。记载条件信息即可以看作是相应第一用户不可以进行操作的行为所对应的信息,此时的信息不仅包括了第一预设接口信息,还包括了第二预设接口信息的限制行为。
记录单元根据所述记载条件信息将用户行为分别记载至正常访问记载区域和异常访问记载区域。该种方式,使得本发明能够使用户想要访问不可以访问的区域、或者是对相应数据采取不可以操作的行为时,分区域进行记录。
步骤S140、数据权限插件用于对第一终端与服务管理端的数据接口进行监测,在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录。通过数据权限插件可以对第一终端与服务管理端的所有数据接口的访问、调用关系进行监测,记录单元会对第一用户所访问的每一个数据接口进行记录。
本发明提供的技术方案,在一个可能的实施方式中,步骤S140包括:
获取第一用户的访问行为所对应数据接口的第一访问接口信息,若判断第一用户可以访问第一访问接口信息内的第一存储数据,则对所述第一访问接口信息在正常访问记载区域进行记录。本发明会将用户所访问的接口作为第一访问接口信息,如果第一用户可以进行正常访问第一存储数据,则证明第一用户具有相应的访问权限,所以此时本发明会将第一访问接口信息在正常访问记载区域进行记录,即其正常访问了相应的第一访问接口信息。
若判断所述第一访问接口信息与第一预设接口信息相对应,则对所述第一访问接口信息在异常访问记载区域进行记录。此时则证明相应的第一用户不允许访问相应的第一预设接口信息,此时本发明会将第一访问接口信息在异常访问记载区域进行记录。
若判断所述第一访问接口信息与第二预设接口信息相对应,且第一用户不具有与限制行为对应的用户行为,则对所述第二预设接口信息在正常访问记载区域进行记录。此时第一用户可以限制性的进行访问,并且第一用户在进行限制性访问时,并没有采取限制行为,所以此时会将第二预设接口信息在正常访问记载区域进行记录。
例如第一用户访问作为限制性访问的数据接口B,通过数据接口B可以访问数据存储单元B,但是数据存储单元B对应的限制行为是不可下载,用户在访问、调用的过程中并没有下载数据存储单元B内数据的行为,所以此时即可以将数据接口B在正常访问记载区域进行记录。
若第一用户具有与限制行为对应的用户行为,则对所述第二预设接口信息在异常访问记载区域进行记录。用户在访问、调用的过程中如果有下载数据存储单元B内数据的行为,此时第一用户即存在了与与限制行为对应的用户行为,此时即对数据接口B在异常访问记载区域进行记录。
其中,第一预设接口信息和第二预设接口信息可以是相应第一预设接口和第二预设接口的名称。
步骤S150、监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令。此时,相应的第一角色信息则不可以对其想要访问的数据接口进行访问、调用,此时本发明会向服务管理端和第一终端发送无权访问指令。同时告知服务管理端和第一终端其无法对相应的数据接口进行访问,此时服务管理端会拒绝第一终端调用相应的数据接口。
本发明提供的技术方案,在一个可能的实施方式中,步骤S150包括:
监测单元提取所访问的数据接口的第一访问接口信息,若判断所述第一访问接口信息与数据权限表的第一预设接口信息相对应,则判断用户行为达到所述监测条件信息,向服务管理端和第一终端发送无权访问指令。此时,则证明第一用户访问、调用了其不具有权限的数据接口,此时其会通过第一终端的通讯模块向服务管理端和第一终端发送无权访问指令。
服务管理端在接收到第一终端发送的无权访问指令后,会拒绝第一终端对相应第一预设接口的访问,避免出现数据泄密的情况。
若判断所述第一访问接口信息与数据权限表的第二预设接口信息相对应,则对用户的用户行为进行持续监测,若判断用户的用户行为与限制行为相对应时,则判断用户行为达到所述监测条件信息,向服务管理端和第一终端发送无权访问指令。此时,第一用户可以对第二预设接口信息内存储的数据进行访问、调用,但是此时会具有对第一用户的限制行为,所以本发明会对用户行为进行持续监测,并且在用户行为与限制行为相对应时,则判断用户行为达到监测条件信息,此时即向第一终端发送无权访问指令。
服务管理端在接收到第一终端发送的无权访问指令后,会拒绝第二终端对相应限制行为,避免出现第一用户对数据违规操作的情况。
本发明提供的技术方案,在一个可能的实施方式中,还包括:
选中任意一个第二角色,确定与所述第二角色对应的多个第二用户,对每一个第二用户在预设时间段内的行为记录表进行统计。通过该种方式,使得本发明能够对具有同一个角色的所有用户的行为记录表进行统计,使得本发明能够对某一个具有相同角色的部门进行统一的分析。
确定每个第二用户的行为记录表中,正常访问记载区域内第一访问接口信息和第二预设接口信息的数量得到第一正常子数量和第二正常子数量。通过第一正常子数量和第二正常子数量,可以得到所有第二角色正常操作、访问、调用的数据次数。
确定每个第二用户的行为记录表中,异常访问记载区域内第一预设接口信息和第二预设接口信息的数量得到第一异常子数量和第二异常子数量。通过第一异常子数量和第二异常子数量,可以得到所有第二角色异常操作、访问、调用的数据次数。
根据每个第二用户对应的第一正常子数量、第二正常子数量、第一异常子数量和第二异常子数量生成所述第二角色的操作评价系数,根据所述操作评价系数确定与所述第二用户对应的培训操作课程。通过对第二角色分别在正常、异常操作、访问、调用的统计,可以体现出相应第二角色的业务掌握熟练程度,所以本发明会结合第一正常子数量、第二正常子数量、第一异常子数量和第二异常子数量等维度的数据,进行综合的计算,得到对第二角色的操作评价系数,并且根据操作评价系数确定与第二用户对应的培训操作课程,操作评价系数越低,则证明第二角色所对应的所有第二用户的操作违规情况越严重,所以此时越是需要加强培训、增加培训操作课程的时间。
本发明提供的技术方案,在一个可能的实施方式中,所述根据每个第二用户对应的第一正常子数量、第二正常子数量、第一异常子数量和第二异常子数量生成所述第二角色的操作评价系数,根据所述操作评价系数确定与所述第二用户对应的培训操作课程,包括:
分别对所述第二用户对应的第一正常子数量、第二正常子数量进行加权计算得到正常子系数,分别对所述第二用户对应的第一异常子数量、第二异常子数量进行加权计算得到异常子系数。正常子系数越大,则证明具有第二角色的第二用户的正常操作行为量就越多。异常子系数越大,则证明第二用户的异常操作行为量就越多。
对所述正常子系数和异常子系数进行计算得到操作评价系数,若所述操作评价系数低于预设系数值,则根据所述操作评价系数、预设系数值得到相对应的时间偏移值。本发明会对正常子系数和异常子系数进行综合的计算,得到相对应的操作评价系数,通过操作评价系数来判断所有第二用户所对应第二角色的错误操作情况。在实际的生产生活中,不同的部门人数、工作时间都是存在不同的,所以如果直接将多个部门的正常子系数和异常子系数进行横向比较则无法均匀的确定每个部门的正常操作比例、异常操作比例,所以本发明会将正常子系数和异常子系数做比的形式得到相应第二用户的正常操作比例,即操作评价系数。
在操作评价系数低于预设系数值时,则证明相应第二角色所对应的部门的第二用户操作违规较多,此时需要根据操作评价系数、预设系数值得到相对应的时间偏移值。如果操作评价系数、预设系数值之间的差值越大,则证明相应第二角色所对应的第二用户的操作违规越严重。
根据所述时间偏移值、预设培训时间进行计算,得到与所述培训操作课程对应的实际培训时间,根据所述实际培训时间确定相对应的培训操作课程。本发明会结合时间偏移值、预设培训时间进行计算,得到最终的培训操作课程。培训操作课程可以是管理员预先录制好的,不同的部门具有不同的培训操作课程。例如管理员为第二部门录制的课程总时间为100小时,则此时结合时间偏移值、预设培训时间进行计算,所得到的培训操作课程对应的实际培训时间可以是60小时、80小时等等。即此时在课程总时间的100小时内确定60小时或80小时的培训操作课程,培训操作课程可以是按照时间顺序进行确定的。
本发明提供的技术方案,在一个可能的实施方式中,所述根据所述时间偏移值、预设培训时间进行计算,得到与所述培训操作课程对应的实际培训时间,根据所述实际培训时间确定相对应的培训操作课程,包括:
通过以下公式计算实际培训时间,
Figure 335481DEST_PATH_IMAGE002
其中,ydeviation为时间偏移值,a1为第一正常权重,ki为第i个第二用户对应的第一正常子数量,n为第二用户的上限值,a2为第二正常权重,oj为第j个第二用户对应的第二正常子数量,b1为第一异常权重,fp为第p个第二用户对应的第一异常子数量,b2为第二异常权重,be为第e个第二用户对应的第二异常子数量,t1为实际培训时间,ypreset为预设系数值,t2为预设培训时间,α为时间计算权重值。通过
Figure 922189DEST_PATH_IMAGE003
可以得到所有第二用户的第一正常子数量之和,通过第一正常权重a1可以对
Figure 565660DEST_PATH_IMAGE004
进行加权处理,通过
Figure 963143DEST_PATH_IMAGE005
可以得到所有第二用户的第二正常子数量之和,通过第二正常权重a2可以对
Figure 692065DEST_PATH_IMAGE006
进行加权处理。通过
Figure 583928DEST_PATH_IMAGE007
可以得到所有第二用户的第一异常子数量之和,通过第一异常权重b1可以对
Figure 81906DEST_PATH_IMAGE007
进行加权处理。通过
Figure 853553DEST_PATH_IMAGE008
可以得到所有第二用户的第二异常子数量之和,通过第二异常权重b2可以对
Figure 866508DEST_PATH_IMAGE009
进行加权处理。
通过
Figure 749013DEST_PATH_IMAGE010
可以得到正常子系数;
通过
Figure 101497DEST_PATH_IMAGE011
可以得到异常子系数;
通过
Figure 355630DEST_PATH_IMAGE012
可以得到正常子系数和正常子系数之和;
如果
Figure 793565DEST_PATH_IMAGE013
越大,则
Figure 214182DEST_PATH_IMAGE014
可以看作是时间偏移值,如果
Figure 749068DEST_PATH_IMAGE015
越大,则
Figure 862518DEST_PATH_IMAGE016
越大,预设培训时间t2可以是预先设置的,例如10小时、20小时等等。α为用户根据实际场景预先设置的。
第一正常权重
Figure 787748DEST_PATH_IMAGE017
、第二正常权重
Figure 825106DEST_PATH_IMAGE019
可以是预先设置的,由于第二正常子数量所对应的第二预设接口信息是限制访问的,其相较于第一访问接口信息具有更严格的要求,所以第一正常权重
Figure 886603DEST_PATH_IMAGE017
优选小于第二正常权重
Figure 170953DEST_PATH_IMAGE019
。第一异常权重b1、第二异常权重b2可以是预先设置的由于第一异常子数量所对应的第一预设接口信息是不允许访问的,其相较于第二预设接口信息具有更严格的要求,所以第一异常权重b1优选大于第二异常权重b2。通过该种方式,使得本发明能够在进行加权时,针对不同场景的操作复杂度进行加权处理,使得所计算的正常子系数和异常子系数更符合相应的计算场景。
本发明在得到与实际培训时间相对应的培训操作课程后,会将相应的培训操作课程发送至所有第二用户对应的第二终端,使得所有第二用户能够对相应的培训操作课程进行查看。
为了实现本发明提供的一种基于多维度信息的数据权限管理方法,本发明还提供一种基于多维度信息的数据权限管理系统,如图4所示,包括:
获取模块,用于使服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息;
比对模块,用于若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与所述角色对应表比对,得到相对应的数据权限信息;
生成模块,用于使服务管理端根据所述数据权限信息生成相对应的数据管理插件,所述数据管理插件包括监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端;
监测模块,用于使数据权限插件用于对第一终端与服务管理端的数据接口进行监测,在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录;
发送模块,用于使监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令。
本发明还提供一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现上述的各种实施方式提供的方法。
其中,存储介质可以是计算机存储介质,也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如,存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,简称:ASIC)中。另外,该ASIC可以位于用户设备中。当然,处理器和存储介质也可以作为分立组件存在于通信设备中。存储介质可以是只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本发明还提供一种程序产品,该程序产品包括执行指令,该执行指令存储在存储介质中。设备的至少一个处理器可以从存储介质读取该执行指令,至少一个处理器执行该执行指令使得设备实施上述的各种实施方式提供的方法。
在上述终端或者服务器的实施例中,应理解,处理器可以是中央处理单元(英文:Central Processing Unit,简称:CPU),还可以是其他通用处理器、数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:Application SpecificIntegrated Circuit,简称:ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (12)

1.基于多维度信息的数据权限管理方法,其特征在于,包括:
服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息;
若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与角色对应表比对,得到相对应的数据权限信息;
服务管理端根据所述数据权限信息生成相对应的数据管理插件,所述数据管理插件包括监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端;
数据权限插件用于对第一终端与服务管理端的数据接口进行监测,在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录;
监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令。
2.根据权利要求1所述的基于多维度信息的数据权限管理方法,其特征在于,
所述服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息,包括:
服务管理端实时获取每个物联网设备发送的设备连接表,所述设备连接表具有与物联网设备所连接的第一终端,所述物联网设备为近距离无线通讯模块;
确定设备连接表内与第一终端相对应的第一用户,确定与每一个第一用户对应的第一时间信息和第一角色信息。
3.根据权利要求2所述的基于多维度信息的数据权限管理方法,其特征在于,
所述若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与所述角色对应表比对,得到相对应的数据权限信息,包括:
提取第一时间信息中的时间段,若所述当前时刻位于所述时间段内,则判断当前时刻与所述第一时间信息相对应;
调取预先设置的角色对应表,遍历角色对应表中的所有预设角色,确定与第一角色信息对应的预设角色的数据权限信息。
4.根据权利要求3所述的基于多维度信息的数据权限管理方法,其特征在于,
所述服务管理端根据所述数据权限信息生成相对应的数据管理插件,所述数据管理插件包括监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端,包括:
提取所述数据权限信息中的目标数据,所述目标数据包括不可以访问的第一预设接口信息和/或限制性访问的第二预设接口信息;
初始化数据权限表,若判断提取到不可以访问的第一预设接口信息,则在所述初始化数据权限表中建立第一访问单元,以及在所述第一访问单元内建立第一名单格;
将每一个不可以访问的第一预设接口信息,存储于相应的第一名单格内。
5.根据权利要求4所述的基于多维度信息的数据权限管理方法,其特征在于,还包括:
若判断提取到限制性访问的第二预设接口信息,则在所述初始化数据权限表中建立第二访问单元,以及在所述第二访问单元内建立第二名单格;
将每一个限制性访问的第二预设接口信息,存储于相应的第二名单格;
生成与所述第二名单格对应的限制格,获取限制性访问的第二预设接口信息的限制行为,将所述限制行为填充至相对应的限制格内;
在判断将目标数据中的所有接口信息分别填充至相应的第一访问单元或第二访问单元后,根据数据权限表在数据管理插件内构建监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端。
6.根据权利要求5所述的基于多维度信息的数据权限管理方法,其特征在于,
所述在判断将目标数据中的所有接口信息分别填充至相应的第一访问单元或第二访问单元后,根据数据权限表在数据管理插件内构建监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端,包括:
根据数据权限表生成所述监测单元的监测条件信息,以监测单元在判断用户行为达到所述监测条件信息时,则向服务管理端和第一终端发送无权访问指令;
在所述记录单元内构建行为记录表,在所述行为记录表中建立正常访问记载区域和异常访问记载区域;
将所述数据权限表中的不可以访问的第一预设接口信息、限制性访问的第二预设接口信息的限制行为分别作为记载条件信息;
记录单元根据所述记载条件信息将用户行为分别记载至正常访问记载区域和异常访问记载区域。
7.根据权利要求6所述的基于多维度信息的数据权限管理方法,其特征在于,
数据权限插件用于对第一终端与服务管理端的数据接口进行监测,在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录,包括:
获取第一用户的访问行为所对应数据接口的第一访问接口信息,若判断第一用户可以访问第一访问接口信息内的第一存储数据,则对所述第一访问接口信息在正常访问记载区域进行记录;
若判断所述第一访问接口信息与第一预设接口信息相对应,则对所述第一访问接口信息在异常访问记载区域进行记录;
若判断所述第一访问接口信息与第二预设接口信息相对应,且第一用户不具有与限制行为对应的用户行为,则对所述第二预设接口信息在正常访问记载区域进行记录;
若第一用户具有与限制行为对应的用户行为,则对所述第二预设接口信息在异常访问记载区域进行记录。
8.根据权利要求6所述的基于多维度信息的数据权限管理方法,其特征在于,
所述监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令,包括:
监测单元提取所访问的数据接口的第一访问接口信息,若判断所述第一访问接口信息与数据权限表的第一预设接口信息相对应,则判断用户行为达到所述监测条件信息,向服务管理端和第一终端发送无权访问指令;
若判断所述第一访问接口信息与数据权限表的第二预设接口信息相对应,则对用户的用户行为进行持续监测,若判断用户的用户行为与限制行为相对应时,则判断用户行为达到所述监测条件信息,向服务管理端和第一终端发送无权访问指令。
9.根据权利要求7所述的基于多维度信息的数据权限管理方法,其特征在于,还包括:
选中任意一个第二角色,确定与所述第二角色对应的多个第二用户,对每一个第二用户在预设时间段内的行为记录表进行统计;
确定每个第二用户的行为记录表中,正常访问记载区域内第一访问接口信息和第二预设接口信息的数量得到第一正常子数量和第二正常子数量;
确定每个第二用户的行为记录表中,异常访问记载区域内第一预设接口信息和第二预设接口信息的数量得到第一异常子数量和第二异常子数量;
根据每个第二用户对应的第一正常子数量、第二正常子数量、第一异常子数量和第二异常子数量生成所述第二角色的操作评价系数,根据所述操作评价系数确定与所述第二用户对应的培训操作课程。
10.根据权利要求9所述的基于多维度信息的数据权限管理方法,其特征在于,
所述根据每个第二用户对应的第一正常子数量、第二正常子数量、第一异常子数量和第二异常子数量生成所述第二角色的操作评价系数,根据所述操作评价系数确定与所述第二用户对应的培训操作课程,包括:
分别对所述第二用户对应的第一正常子数量、第二正常子数量进行加权计算得到正常子系数,分别对所述第二用户对应的第一异常子数量、第二异常子数量进行加权计算得到异常子系数;
对所述正常子系数和异常子系数进行计算得到操作评价系数,若所述操作评价系数低于预设系数值,则根据所述操作评价系数、预设系数值得到相对应的时间偏移值;
根据所述时间偏移值、预设培训时间进行计算,得到与所述培训操作课程对应的实际培训时间,根据所述实际培训时间确定相对应的培训操作课程。
11.根据权利要求10所述的基于多维度信息的数据权限管理方法,其特征在于,
所述根据所述时间偏移值、预设培训时间进行计算,得到与所述培训操作课程对应的实际培训时间,根据所述实际培训时间确定相对应的培训操作课程,包括:
通过以下公式计算实际培训时间,
Figure 483596DEST_PATH_IMAGE001
其中,ydeviation为时间偏移值,a1为第一正常权重,ki为第i个第二用户对应的第一正常子数量,n为第二用户的上限值,a2为第二正常权重,oj为第j个第二用户对应的第二正常子数量,b1为第一异常权重,fp为第p个第二用户对应的第一异常子数量,b2为第二异常权重,be为第e个第二用户对应的第二异常子数量,t1为实际培训时间,ypreset为预设系数值,t2为预设培训时间,α为时间计算权重值。
12.基于多维度信息的数据权限管理系统,其特征在于,包括:
获取模块,用于使服务管理端基于物联网设备获取位于第一空间信息内的所有第一用户,并确定与所述第一用户对应的第一时间信息和第一角色信息;
比对模块,用于若判断当前时刻与所述第一时间信息相对应,则将所述第一角色信息与角色对应表比对,得到相对应的数据权限信息;
生成模块,用于使服务管理端根据所述数据权限信息生成相对应的数据管理插件,所述数据管理插件包括监测单元和记录单元,将所述数据管理插件发送至第一用户的第一终端;
监测模块,用于使数据权限插件用于对第一终端与服务管理端的数据接口进行监测,在判断第一用户具有访问任意一个数据接口的访问行为时,记录单元对该访问行为进行记录;
发送模块,用于使监测单元若判断访问的数据接口与所述第一角色信息不对应,则向服务管理端和第一终端发送无权访问指令。
CN202210913430.7A 2022-08-01 2022-08-01 基于多维度信息的数据权限管理方法及系统 Active CN114996746B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210913430.7A CN114996746B (zh) 2022-08-01 2022-08-01 基于多维度信息的数据权限管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210913430.7A CN114996746B (zh) 2022-08-01 2022-08-01 基于多维度信息的数据权限管理方法及系统

Publications (2)

Publication Number Publication Date
CN114996746A true CN114996746A (zh) 2022-09-02
CN114996746B CN114996746B (zh) 2022-11-08

Family

ID=83020922

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210913430.7A Active CN114996746B (zh) 2022-08-01 2022-08-01 基于多维度信息的数据权限管理方法及系统

Country Status (1)

Country Link
CN (1) CN114996746B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116340928A (zh) * 2023-03-20 2023-06-27 东南大学 一种物联网智能设备的数据安全管理方法及系统
CN117492604A (zh) * 2023-11-02 2024-02-02 安徽省中易环保新材料有限公司 用于垃圾焚烧的烟气处理方法及净化系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111191210A (zh) * 2019-12-10 2020-05-22 未鲲(上海)科技服务有限公司 数据访问权限的控制方法、装置、计算机设备和存储介质
CN111343173A (zh) * 2020-02-21 2020-06-26 腾讯云计算(北京)有限责任公司 数据访问的异常监测方法及装置
CN111698228A (zh) * 2020-05-28 2020-09-22 中国平安财产保险股份有限公司 系统访问权限授予方法、装置、服务器及存储介质
CN112182619A (zh) * 2020-09-30 2021-01-05 澳优乳业(中国)有限公司 基于用户权限的业务处理方法、系统及电子设备和介质
CN112329031A (zh) * 2020-10-27 2021-02-05 国网福建省电力有限公司信息通信分公司 一种基于数据中台的数据权限控制系统
CN112350997A (zh) * 2020-10-16 2021-02-09 杭州安恒信息技术股份有限公司 数据库访问权限控制方法、装置、计算机设备和存储介质
US20220217156A1 (en) * 2021-01-04 2022-07-07 Saudi Arabian Oil Company Detecting suspicious user logins in private networks using machine learning

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111191210A (zh) * 2019-12-10 2020-05-22 未鲲(上海)科技服务有限公司 数据访问权限的控制方法、装置、计算机设备和存储介质
CN111343173A (zh) * 2020-02-21 2020-06-26 腾讯云计算(北京)有限责任公司 数据访问的异常监测方法及装置
CN111698228A (zh) * 2020-05-28 2020-09-22 中国平安财产保险股份有限公司 系统访问权限授予方法、装置、服务器及存储介质
CN112182619A (zh) * 2020-09-30 2021-01-05 澳优乳业(中国)有限公司 基于用户权限的业务处理方法、系统及电子设备和介质
CN112350997A (zh) * 2020-10-16 2021-02-09 杭州安恒信息技术股份有限公司 数据库访问权限控制方法、装置、计算机设备和存储介质
CN112329031A (zh) * 2020-10-27 2021-02-05 国网福建省电力有限公司信息通信分公司 一种基于数据中台的数据权限控制系统
US20220217156A1 (en) * 2021-01-04 2022-07-07 Saudi Arabian Oil Company Detecting suspicious user logins in private networks using machine learning

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116340928A (zh) * 2023-03-20 2023-06-27 东南大学 一种物联网智能设备的数据安全管理方法及系统
CN116340928B (zh) * 2023-03-20 2024-03-12 东南大学 一种物联网智能设备的数据安全管理方法及系统
CN117492604A (zh) * 2023-11-02 2024-02-02 安徽省中易环保新材料有限公司 用于垃圾焚烧的烟气处理方法及净化系统
CN117492604B (zh) * 2023-11-02 2024-04-19 安徽省中易环保新材料有限公司 用于垃圾焚烧的烟气处理方法及净化系统

Also Published As

Publication number Publication date
CN114996746B (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
CN114996746B (zh) 基于多维度信息的数据权限管理方法及系统
US7870598B2 (en) Policy specification framework for insider intrusions
CN112187792A (zh) 一种基于互联网的网络信息安全防护系统
CN110825757B (zh) 一种设备行为风险分析方法及系统
CN107122669B (zh) 一种评估数据泄露风险的方法和装置
CN109299135A (zh) 基于识别模型的异常查询识别方法、识别设备及介质
CN110851872B (zh) 针对隐私数据泄漏的风险评估方法及装置
CN113765881A (zh) 异常网络安全行为的检测方法、装置、电子设备及存储介质
CN106548342B (zh) 一种可信设备确定方法及装置
CN113516337A (zh) 数据安全运营的监控方法及装置
CN113630419B (zh) 一种基于api流量的数据分类分级及数据安全监测方法及系统
CN112364318B (zh) 一种运维大数据安全管理的方法、系统、终端和存储介质
CN103679028A (zh) 软件行为监控方法和终端
Celikel et al. A risk management approach to RBAC
CN106951779A (zh) 一种基于用户选择与设备行为分析的usb安全防护系统
CN117235797A (zh) 大数据资源访问智能管理方法及装置、设备、系统
CN117527430A (zh) 一种零信任网络安全动态评估系统及方法
CN114598556B (zh) It基础设施配置完整性保护方法及保护系统
CN106326769B (zh) 一种野外监测信息处理装置
CN116089970A (zh) 基于身份管理的配电运维用户动态访问控制系统与方法
CN115640581A (zh) 一种数据安全风险评估方法、装置、介质及电子设备
CN116846555A (zh) 数据的访问方法及装置
CN114037286A (zh) 一种基于大数据电力调度自动化敏感数据检测方法及系统
CN113240424A (zh) 支付业务的身份认证方法及装置、处理器和存储介质
CN106355089A (zh) 涉密信息的分析方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant