CN117216748A - 数据访问控制方法、装置、设备及存储介质 - Google Patents

数据访问控制方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117216748A
CN117216748A CN202311486735.5A CN202311486735A CN117216748A CN 117216748 A CN117216748 A CN 117216748A CN 202311486735 A CN202311486735 A CN 202311486735A CN 117216748 A CN117216748 A CN 117216748A
Authority
CN
China
Prior art keywords
data
user
classification
access
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311486735.5A
Other languages
English (en)
Inventor
赵志伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinhua San Network Information Security Software Co ltd
Original Assignee
Xinhua San Network Information Security Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinhua San Network Information Security Software Co ltd filed Critical Xinhua San Network Information Security Software Co ltd
Priority to CN202311486735.5A priority Critical patent/CN117216748A/zh
Publication of CN117216748A publication Critical patent/CN117216748A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本申请公开了一种数据访问控制方法、装置、设备及存储介质,所述方法包括:接收目标用户的数据访问请求,获得所述数据访问请求对应的待访问数据的数据分类分级信息以及所述目标用户对应的目标场景;获取所述目标场景下所述目标用户对应的目标用户分类分级信息;基于所述数据分类分级信息及所述目标用户分类分级信息,对所述数据访问请求进行访问控制处理。根据本申请实施例提供的数据访问控制方法,可以对数据进行分类分级,并结合数据应用场景对用户进行分类分级,基于划分的类别信息和级别信息进行访问控制,更加细粒度的对数据进行安全防护。

Description

数据访问控制方法、装置、设备及存储介质
技术领域
本申请涉及数据安全技术领域,具体而言,涉及一种数据访问控制方法、装置、设备及存储介质。
背景技术
随着数字化转型的不断深入,企业面临的数据安全形势严峻。一方面,数据安全合规要求越来越具体且严格,需要进行实际落实和监管审查。如果企业的数据安全要求没有得到合理的建设和运营,将会面临不仅财产损失和信誉破坏,还会收到有关部门的执法要求。另一方面,数据安全风险形势严峻,被暴露出来的数据安全泄露事件层出不穷,同时未被发现的数据泄露更是不可预估。数据安全威胁的广泛性和不确定性使得数据安全风险越发难以检测和预防。这些数据的安全问题也日益突出。
为了保障数据安全,需要控制数据访问权限。当前的权限访问控制基本是基于授权来进行的,即给用户授权访问某个应用。如果用户拥有授权,即可以访问,如果用户没有授权,则拒绝访问。这种访问控制粒度比较粗,没有考虑到用户对数据的权限级别,因此无法更加细粒度的对数据进行安全防护。
发明内容
本申请实施例提供了一种数据访问控制方法、装置、设备及存储介质,以至少解决相关技术中无法更加细粒度的对数据进行安全防护的技术问题。
根据本申请实施例的一个方面,提供了一种数据访问控制方法,包括:
接收目标用户的数据访问请求,获得所述数据访问请求对应的待访问数据的数据分类分级信息以及所述目标用户对应的目标场景;获取所述目标场景下所述目标用户对应的目标用户分类分级信息;基于所述数据分类分级信息及所述目标用户分类分级信息,对所述数据访问请求进行访问控制处理。
在一个可选地实施例中,获取所述目标用户对应的目标场景,包括:
从所述目标用户的数据访问请求中提取目标用户特征数据;
将所述目标用户特征数据输入预训练的场景识别模型,得到所述目标用户对应的目标场景。
在一个可选地实施例中,所述场景识别模型的训练方法为:
获取样本用户的历史访问行为日志;
对所述历史访问行为日志进行预处理,得到用户特征数据;
对所述用户特征数据添加场景标签;
根据所述用户特征数据以及对应的场景标签,训练所述场景识别模型。
在一个可选地实施例中,获取所述目标场景下所述目标用户对应的目标用户分类分级信息,包括:
从所述数据访问请求中提取所述目标用户的访问行为数据;
根据所述访问行为数据以及预训练的所述目标场景下的用户分类模型和用户分级模型,获得所述目标场景下所述目标用户对应的目标用户分类分级信息。
在一个可选地实施例中,所述根据所述访问行为数据以及预训练的所述目标场景下的用户分类模型和用户分级模型,获得所述目标场景下所述目标用户对应的目标用户分类分级信息,包括:
根据所述访问行为数据,分别通过预训练的所述目标场景下的用户分类模型和用户分级模型计算所述目标用户的分类异常度和分级异常度;
根据所述分类异常度确定所述目标用户有权访问的数据类别集合,以及根据所述分级异常度确定所述目标用户有权访问的数据最高级别;
根据所述数据类别集合以及所述数据最高级别,得到所述目标用户分类分级信息。
在一个可选地实施例中,所述用户分类模型和所述用户分级模块的训练过程分别为:
获取不同场景下的样本用户的历史访问行为日志;
根据不同场景下的用户历史访问行为日志,分别训练不同场景下的用户分类模型和用户分级模型。
在一个可选地实施例中,基于所述数据分类分级信息及所述目标用户分类分级信息,对所述数据访问请求进行访问控制处理,包括:
根据所述数据分类分级信息中的数据分类信息以及所述目标用户分类分级信息中的目标用户分类信息,若确定出所述待访问数据的数据类别不属于所述目标用户有权限访问的类别,阻断所述数据访问请求;
根据所述数据分类分级信息中的数据分级信息以及所述目标用户分类分级信息中的目标用户分级信息,若确定出所述待访问数据中含有不属于所述目标用户有权限访问的级别的数据,则对所述待访问数据中用户级别权限范围外的数据进行脱敏处理,将脱敏处理后的所述待访问数据发送给所述目标用户。
在一个可选地实施例中,还包括:
获取实时采集的用户访问日志;
获得所述用户访问日志对应的已访问数据的数据分类分级信息以及所述用户访问日志所属用户对应的目标场景;
获取所述目标场景下所述用户对应的用户分类分级信息;
基于所述数据分类分级信息及所述用户分类分级信息,检测所述用户访问日志所属用户是否有权限访问所述已访问数据;在确定该用户无权限访问所述已访问数据的情况下,记录所述用户访问日志对应的访问违规事件。
在一个可选地实施例中,记录所述用户访问日志对应的访问违规事件之后,还包括:
接收到所述数据访问请求,若查询到存在所述用户及所述待访问数据对应的访问违规事件,则阻断所述数据访问请求;
若未查询到所述用户及所述待访问数据对应的访问违规事件,则执行所述获取所述数据访问请求对应的待访问数据的数据分类分级信息以及所述用户对应的目标场景的步骤。
根据本申请实施例的又一方面,还提供了一种数据访问控制装置,包括:
接收模块,用于接收目标用户的数据访问请求,获得所述数据访问请求对应的待访问数据的数据分类分级信息以及所述目标用户对应的目标场景;识别模块,用于获取所述目标场景下所述目标用户对应的目标用户分类分级信息;访问控制模块,用于基于所述数据分类分级信息及所述目标用户分类分级信息,对所述数据访问请求进行访问控制处理。
根据本申请实施例的又一方面,还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为通过上述计算机程序执行上述的数据访问控制方法。
根据本申请实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述数据访问控制方法。
本申请实施例提供的技术方案可以包括以下有益效果:
本申请实施例提供的数据访问控制方法,在对数据进行访问控制时,可以对数据进行分类分级,还可以对用户进行分类分级,实现对访问者不同层次的访问权限的控制。且本申请实施例的方法,在对用户进行分类分级时,可以结合具体数据应用场景,为不同场景中的用户赋予不同的类别权限和级别权限,从而提高了数据访问权限的细粒度管理能力。当发现非法访问行为时,立即采取相应的安全风险管控措施,及时保护数据安全。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的数据访问控制方法的流程图;
图2是根据本申请实施例的另一种可选的数据访问控制方法的流程图;
图3是根据本申请实施例的另一种可选的数据访问控制方法的流程图;
图4是根据本申请实施例的一种水利数据的访问控制场景图;
图5是根据本申请实施例的一种可选的数据访问控制装置的结构图;
图6是根据本申请实施例的一种可选的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
分类和分级是一种有效的细粒度访问控制方式。在这种方法中,数据根据其敏感程度和重要性进行分类和分级,访问者的权限也根据这些分类和分级来限制。分类和分级可以使得访问控制更加细粒度,从而能够更好地保护数据的安全。本申请实施例提供了一种基于数据分类分级的访问控制方法,可以自动运行于数据安全管理平台中,该数据安全管理平台可以集成在网络安全设备或服务器中等等。
下面结合附图1对本申请实施例的数据访问控制方法进行详细介绍,如图1所示,该方法主要包括如下步骤:
S101接收目标用户的数据访问请求,获得数据访问请求对应的待访问数据的数据分类分级信息以及目标用户对应的目标场景。
在本申请实施例中,可以实时接收目标用户的数据访问请求,首先,获取数据访问请求对应的待访问数据的分类分级信息。
在一种可能的实现方式中,可以事先对数据进行分类分级,将添加类别标签和级别标签的数据存入数据库中。例如,根据指定行业的数据分类分级指南,对数据进行分类分级。可以人工对数据进行分类分级,也可以自动对数据进行分类分级,例如通过机器学习的算法自动对数据进行分类分级。使得数据具有分类的属性和分级的属性。
在一个示例性场景中,分类分级后的数据存储格式如下所示:
进一步地,获取发出数据访问请求的用户对应的目标场景。目标场景为数据应用场景。常见的一些场景包括开发运维测试场景、办公数据应用场景、数据共享交换场景、数据开放交易场景等。具体的场景信息可根据实际情况自行设定。
在数据安全中,相同的用户在不同的场景中,对数据分类和分级的访问需求存在差异。因此,通过分场景形成用户的分类分级标识具有意义。
具体地,获取用户对应的目标场景,包括:从用户的数据访问请求中提取用户特征数据。用户特征数据包括用户身份信息、使用设备ID信息、IP地址信息等。将用户特征数据输入预训练的场景识别模型,得到用户对应的目标场景。
在一种可能的实现方式中,根据用户的数据访问请求以及预训练的场景识别模型识别用户对应的目标场景之前,还包括:训练场景识别模型。
具体地,获取样本用户的历史访问行为日志。包括获取历史时段内的源IP、用户名、设备ID、访问的数据、数据所在IP、数据所在数据库、数据查询SQL语句、数据分级、数据分类、访问是否成功、影响的数据量、访问时间等信息。
对历史访问行为日志进行预处理,得到用户特征数据。包括对数据进行数据清洗、处理异常值、构建特征工程等处理,根据收集到的用户身份信息、使用设备ID信息、IP地址信息,从数据中提取有用的特征并进行变换。可以使用基本的数值和类别特征,也可以通过组合特征、聚类特征等方式构建更复杂的特征。特别是在IP地址方面,可以提取地理位置信息,如国家、城市等。得到用户特征数据。
进一步地,对用户特征数据添加场景标签。对收集到的数据进行标记,将其分类为不同的场景。可以根据业务需求和现有知识定义不同的场景类别。标记可以是人工标注,也可以通过一些规则或基于机器学习的分类器自动标记。
进一步地,根据用户特征数据以及对应的场景标签,训练场景识别模型。使用标记好的数据进行机器学习模型的训练。可以选择适合多类别分类任务的算法,如决策树、支持向量机、随机森林等。利用交叉验证等方法评估模型的性能,并进行调参和优化。得到训练好的场景识别模型。
根据本申请实施例的方法,可以基于训练的场景识别模型,自动识别访问用户所属的目标场景。为进一步分场景划分用户的类别和级别提供数据基础。
S102获取目标场景下目标用户对应的目标用户分类分级信息。
得到目标用户所属的目标场景之后,自动识别目标用户在目标场景下的分类分级信息,得到用户访问数据时的类别权限和级别权限。
在一个可选地实施例中,获取目标场景下目标用户对应的目标用户分类分级信息,包括:从数据访问请求中提取目标用户的访问行为数据。目标用户的访问行为数据包括:用户身份、行为频率、访问时间、访问的数据、访问数据的分类分级信息、访问数据所在数据库等。
进一步地,根据访问行为数据以及预训练的目标场景下的用户分类模型和用户分级模型,获得目标场景下用户对应的用户分类分级信息。
具体地,根据访问行为数据,分别通过预训练的目标场景下的用户分类模型和用户分级模型计算用户的分类异常度和分级异常度。根据分类异常度确定用户有权访问的数据类别集合,以及根据分级异常度确定用户有权访问的数据最高级别;根据数据类别集合以及数据最高级别,得到用户分类分级信息。
在一种可能的实现方式中,得到用户所属的目标场景之后,获取该场景对应的用户分类模型。将用户的访问行为数据输入目标场景下的分类模型,得到用户的分类异常度。本申请实施例的分类模型,是基于孤立森林算法实现的,孤立森林算法是一种无监督的异常检测方法,可以帮助识别异常或离群行为。通过计算每个用户的异常度,为用户配置不同的分类权限。
在本申请实施例中,根据用户的分类异常度确定用户有权访问的数据类别集合。例如,将算法输出的分类异常度与预先设定的阈值进行比较,超过阈值的用户将被限制在较低的分类权限。可以设定一个动态的权限分配模型,根据异常度的程度,逐步减少用户可访问的数据类别集合。例如,将异常度划分为[0-0.3)、[0.3-0.6)、[0.6-0.8)、[0.8-1),不同级别对应不同的可访问数据的类别标签集合。并且随着异常度的增加,用户可访问的数据类别集合越少。
进一步地,得到用户所属的目标场景之后,获取该场景对应的用户分级模型。将用户的访问行为数据输入目标场景下的分级模型,得到用户的分级异常度。本申请实施例的分级模型,是基于孤立森林算法实现的,孤立森林算法是一种无监督的异常检测方法,可以帮助识别异常或离群行为。通过计算每个用户的异常度,为用户配置不同的分级权限。
在本申请实施例中,根据用户的分级异常度确定用户有权访问的数据最高级别。例如,将算法输出的分级异常度与预先设定的阈值进行比较,超过阈值的用户将被限制在较低的分级权限。或者可以根据异常度的程度,逐步减少用户的最高级别。例如,将异常度划分为[0-0.3)、[0.3-0.6)、[0.6-0.8)、[0.8-1),[0-0.3)时用户可访问4级数据,[0.3-0.6)时用户可访问三级数据,[0.6-0.8)时用户可访问二级数据,[0.8-1)时用户可访问一级数据。不同级别对应不同的可访问数据的最高级别。并且随着异常度的增加,用户可访问的数据级别越低。具体的异常度与级别的对应关系可根据实际情况自行设定,本申请实施例不做具体限制。
最后,根据数据类别集合以及数据最高级别,得到用户分类分级信息。用户分类信息指的是用户可访问的数据类别集合,用户分级信息指的是用户可访问的数据最高级别。
在本申请实施例中,获取目标场景下用户对应的用户分类分级信息之前,还包括:获取不同场景下的用户历史访问行为日志。根据不同场景下的用户历史访问行为日志,分别训练不同场景下的用户分类模型和用户分级模型。
首先,要根据场景划分采集的历史访问行为日志。得到不同场景下的用户历史访问行为日志。然后基于不同场景下的用户历史访问行为日志,训练不同场景下的用户分类模型和用户分级模型。
具体地,收集用户历史访问数据的行为日志:
进一步地,将数据进行预处理,包括数据清洗、特征提取和标准化等。
具体地,进行去除缺失值的处理:检查数据中是否存在缺失值或空值,可以根据具体情况选择删除包含缺失值的数据点或使用插值等方法填补缺失值。进行处理异常值的操作:对于异常值,可以选择删除或使用统计方法、插值或平滑方法进行处理。进行特征提取操作:根据场景和需求,提取用户访问行为特征数据,这一步可以涉及对原始数据进行转换、聚合或组合以提取更有意义的特征。选择与访问数据权限相关的特征,例如用户身份、行为频率、访问时间等。进行数据标准化操作:对于数值型特征,使用标准化方法将其转换为具有零均值和单位方差的标准分布,例如将数据进行z-score标准化或最小-最大规范化。对于类别型特征,可以使用独热编码或其他编码方式将其转换为数值表示,便于算法处理。
得到预处理后的数据之后,将数据集划分为训练集和测试集。训练集用于构建孤立森林模型,而测试集用于评估和验证模型的性能,进行用户分类模型的训练和用户分级模型的训练。用户分类模型和用户分级模型都基于孤立森林算法,通过训练好的用户分类模型得到用户的分类异常度,通过训练好的分级模型得到用户的分级异常度。
根据本申请实施例的方法,可以自动获取目标用户在不同场景下的分类分级信息。得到自动标识的用户分类分级信息之后,还可以进行人工审核,对明显不符合的划分进行调整。还可以定期更新和维护用户分类模型和用户分级模型,以适应用户行为的变化。
S103基于数据分类分级信息及目标用户分类分级信息,对数据访问请求进行访问控制处理。
在一个可选地实施例中,基于数据分类分级信息及目标用户分类分级信息,对数据访问请求进行处理,包括:根据数据分类分级信息中的数据分类信息以及目标用户分类分级信息中的目标用户分类信息,若确定出待访问数据的数据类别不属于目标用户有权限访问的类别,阻断数据访问请求。
在一个可能的实现方式中,根据用户分类信息以及待访问数据的分类信息,判断待访问数据的类别是否属于用户有权限访问的类别,若访问者分类权限列表中没有访问的字段的分类,确定待访问数据的数据类别不属于用户有权限访问的类别,则阻断该数据访问请求。
在访问者访问的是一个API或者表等复杂数据类型的情况下,若被访问的表或者API的分类集合中至少出现一个分类不在访问者的分类权限中,则阻断该数据访问请求。
根据数据分类分级信息中的数据分级信息以及目标用户分类分级信息中的目标用户分级信息,若确定出待访问数据中含有不属于目标用户有权限访问的级别的数据,则对待访问数据中用户级别权限范围外的数据进行脱敏处理,将脱敏处理后的待访问数据发送给用户。
在一个可能的实现方式中,根据用户分级信息以及待访问数据的分级信息,判断待访问数据的级别是否属于用户有权限访问的级别,若访问者的分级权限低于字段的分级,确定待访问数据的数据级别不属于用户有权限访问的级别,则阻断该数据访问请求,或者对用户级别权限范围外的数据进行脱敏处理,将脱敏处理后的待访问数据发送给用户。
例如,在访问者访问的是一个API或者表等复杂数据类型的情况下,若访问者的分级权限低于表或者API的最高分级时,将表中或API中的高分级数据进行脱敏,将低分级数据保持输出。
根据本申请实施例的方法,系统实时监控访问请求,当发现非法访问行为时,立即采取相应的安全风险管控措施,从而能够及时发现和处理安全问题,及时保护数据安全。
根据本申请实施例的又一方面,还可以获取用户访问日志,包括采集实时发生的用户访问日志。对已发生的数据访问行为进行分析,检测用户的异常访问行为。
进一步地,获取用户访问日志对应的已访问数据的数据分类分级信息以及用户访问日志所属用户对应的目标场景。获取目标场景下用户对应的用户分类分级信息。
与上述实施例类似的,可以基于训练的场景识别模型,识别用户所属的目标场景,进一步地,基于训练的目标场景下的用户分类模型和用户分级模型,得到用户的分类分级信息。
基于数据分类分级信息及用户分类分级信息,检测用户访问日志所属用户是否有权限访问已访问数据;在确定该用户无权限访问已访问数据的情况下,记录用户访问日志对应的访问违规事件。
在一个示例性场景中,根据数据分类信息以及用户分类信息,判断是否发生分类违规,若访问者分类权限列表中没有访问的字段的分类,生成数据分类访问违规事件。根据数据分级信息以及用户分级信息,判断是否发生分级违规,若访问者的分级权限低于字段的分级时,生成数据分级访问违规事件。在访问者访问的是一个API或者表等复杂数据类型时,需要做特殊处理,若被访问的表或者API的分类集合中至少出现一个分类不在访问者的分类权限中,生成数据分类访问违规事件,若访问者的分级权限低于表或者API的最高分级时,生成数据分级访问违规事件。
根据该步骤,可以对已经发生的数据访问行为进一步检测,避免遗漏异常访问行为,提高检测准确率。
记录用户访问日志对应的访问违规事件之后,还包括:接收到数据访问请求,若查询到存在用户及待访问数据对应的访问违规事件,则阻断数据访问请求。根据该步骤,接收到新的数据访问请求时,可以基于已经记录的访问违规事件,直接对访问请求进行处理。
若未查询到用户及待访问数据对应的访问违规事件,则执行获取数据访问请求对应的待访问数据的数据分类分级信息以及用户对应的目标场景的步骤,进行实时检测。
为了便于理解本申请实施例提供的数据访问控制方法,下面结合附图2进一步描述。如图2所示,该方法包括:
接收用户的数据访问请求,获取待访问数据的类别和级别。基于预先训练的场景识别模型,识别用户所属的目标场景。然后,基于训练的目标场景下的用户分类模型和用户分级模型,智能识别用户在目标场景中的类别权限和级别权限。
最后,基于用户类别权限和级别权限,以及数据类别和级别,检测访问是否违规,若违规,根据相应的管控策略进行管控,若不违规,将待访问数据发送给用户。
为了便于理解本申请实施例提供的数据访问控制方法,下面结合附图3进一步描述。如图3所示,该方法包括:
获取用户访问日志,获取用户访问日志对应的已访问数据的数据分类分级信息。基于场景识别模型识别用户所属目标场景。
进一步地,根据用户所属目标场景,以及预先训练的目标场景下的用户分类模型和用户分级模型,智能识别用户在目标场景中的类别权限和级别权限。
最后,基于用户类别权限和级别权限,以及数据类别和级别,检测访问是否违规,若违规,记录用户访问日志对应的访问违规事件,针对分类违规和分级违规设置相应的管控策略下发设备。例如,若出现数据分类违规访问事件时,应生成对该访问者访问该数据的阻断策略,若出现数据分级违规访问事件时,对高分级数据进行脱敏策略生成。如果是复杂的表或者API,对针对特定高分级数据进行脱敏,对低分级数据保持输出。
如图4所示,在水利数据访问控制的一个示例性场景中,对水利数据进行分类分级,例如,水利数据包括水库类别和水文测站类别,水库类别的数据级别是2级,水文测站数据的级别是3级。将添加数据类别和级别信息的数据存入数据服务API。
在接收到用户的数据访问请求时,例如,访问用户包括水文局的用户、河湖长制工作处的用户,或者水资源管理处的用户。基于用户的访问数据以及训练的场景识别模型识别用户的数据应用场景,并根据用户分类模型和用户分级模型识别用户在相应场景下的分类信息和分级信息。
进一步地,基于用户类别权限和级别权限,以及数据类别和级别,检测访问是否违规,例如,水文局的用户不具有查询水库水情历史数据的类别权限,因此,对该用户的数据访问请求进行阻断处理。河湖长制工作处的用户的级别是2级,不具有查询所有雨量站的最新一条雨量数据的级别权限,因此,对访问级别权限外的特定高分级数据进行脱敏,对低分级数据保持输出。
本申请技术方案具有以下有益效果:
(1)提高数据访问权限的细粒度管理:通过对数据进行分类和分级,对用户自动进行不同场景下的分类分级,实现对访问者不同层次的分类访问权限的控制,从而提高了数据访问权限的细粒度管理能力。
(2)提高数据安全性和隐私保护:采用基于数据分类分级的访问控制方法,可以针对数据的敏感程度和重要性进行访问控制,从而保护敏感数据的安全性和隐私。
(3)提高数据访问效率和用户体验:通过利用大数据技术对历史访问数据进行分析和优化,可以提高数据访问的效率、避免不必要的访问操作,并在保障安全性的前提下提高用户的访问体验。
(4)实现风险管控:系统监控实际的访问流量,当发现非法访问行为时,立即采取相应的安全风险管控措施,从而能够及时发现和处理安全问题,及时保护数据安全。
根据本申请实施例的另一个方面,还提供了一种用于实施上述数据访问控制方法的数据访问控制装置。如图5所示,该装置包括:
接收模块501,用于接收目标用户的数据访问请求,获得数据访问请求对应的待访问数据的数据分类分级信息以及目标用户对应的目标场景;
识别模块502,用于获取目标场景下目标用户对应的目标用户分类分级信息;
访问控制模块503,用于基于数据分类分级信息及目标用户分类分级信息,对数据访问请求进行访问控制处理。
需要说明的是,上述实施例提供的数据访问控制装置在执行数据访问控制方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的数据访问控制装置与数据访问控制方法实施例属于同一构思,其体现实现过程详见方法实施例,这里不再赘述。
根据本申请实施例的又一个方面,还提供了一种与前述实施例所提供的数据访问控制方法对应的电子设备,以执行上述数据访问控制方法。
请参考图6,其示出了本申请的一些实施例所提供的一种电子设备的示意图。如图6所示,电子设备包括:处理器600,存储器601,总线602和通信接口603,处理器600、通信接口603和存储器601通过总线602连接;存储器601中存储有可在处理器600上运行的计算机程序,处理器600运行计算机程序时执行本申请前述任一实施例所提供的数据访问控制方法。
其中,存储器601可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口603(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线602可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。其中,存储器601用于存储程序,处理器600在接收到执行指令后,执行程序,前述本申请实施例任一实施方式揭示的数据访问控制方法可以应用于处理器600中,或者由处理器600实现。
处理器600可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器600中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器600可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器601,处理器600读取存储器601中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的数据访问控制方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
根据本申请实施例的又一个方面,还提供一种与前述实施例所提供的数据访问控制方法对应的计算机可读存储介质,其上存储有计算机程序(即程序产品),计算机程序在被处理器运行时,会执行前述任意实施例所提供的数据访问控制方法。
需要说明的是,计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的数据访问控制方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (12)

1.一种数据访问控制方法,其特征在于,包括:
接收目标用户的数据访问请求,获得所述数据访问请求对应的待访问数据的数据分类分级信息以及所述目标用户对应的目标场景;
获取所述目标场景下所述目标用户对应的目标用户分类分级信息;
基于所述数据分类分级信息及所述目标用户分类分级信息,对所述数据访问请求进行访问控制处理。
2.根据权利要求1所述的方法,其特征在于,获取所述目标用户对应的目标场景,包括:
从所述目标用户的数据访问请求中提取目标用户特征数据;
将所述目标用户特征数据输入预训练的场景识别模型,得到所述目标用户对应的目标场景。
3.根据权利要求2所述的方法,其特征在于,所述场景识别模型的训练方法为:
获取样本用户的历史访问行为日志;
对所述历史访问行为日志进行预处理,得到用户特征数据;
对所述用户特征数据添加场景标签;
根据所述用户特征数据以及对应的场景标签,训练所述场景识别模型。
4.根据权利要求1所述的方法,其特征在于,获取所述目标场景下所述目标用户对应的目标用户分类分级信息,包括:
从所述数据访问请求中提取所述目标用户的访问行为数据;
根据所述访问行为数据以及预训练的所述目标场景下的用户分类模型和用户分级模型,获得所述目标场景下所述目标用户对应的目标用户分类分级信息。
5.根据权利要求4所述的方法,其特征在于,所述根据所述访问行为数据以及预训练的所述目标场景下的用户分类模型和用户分级模型,获得所述目标场景下所述目标用户对应的目标用户分类分级信息,包括:
根据所述访问行为数据,分别通过预训练的所述目标场景下的用户分类模型和用户分级模型计算所述目标用户的分类异常度和分级异常度;
根据所述分类异常度确定所述目标用户有权访问的数据类别集合,以及根据所述分级异常度确定所述目标用户有权访问的数据最高级别;
根据所述数据类别集合以及所述数据最高级别,得到所述目标用户分类分级信息。
6.根据权利要求4或5所述的方法,其特征在于,所述用户分类模型和所述用户分级模块的训练过程分别为:
获取不同场景下的样本用户的历史访问行为日志;
根据不同场景下的用户历史访问行为日志,分别训练不同场景下的用户分类模型和用户分级模型。
7.根据权利要求1所述的方法,其特征在于,基于所述数据分类分级信息及所述目标用户分类分级信息,对所述数据访问请求进行访问控制处理,包括:
根据所述数据分类分级信息中的数据分类信息以及所述目标用户分类分级信息中的目标用户分类信息,若确定出所述待访问数据的数据类别不属于所述目标用户有权限访问的类别,阻断所述数据访问请求;
根据所述数据分类分级信息中的数据分级信息以及所述目标用户分类分级信息中的目标用户分级信息,若确定出所述待访问数据中含有不属于所述目标用户有权限访问的级别的数据,则对所述待访问数据中用户级别权限范围外的数据进行脱敏处理,将脱敏处理后的所述待访问数据发送给所述目标用户。
8.根据权利要求1所述的方法,其特征在于,还包括:
获取实时采集的用户访问日志;
获得所述用户访问日志对应的已访问数据的数据分类分级信息以及所述用户访问日志所属用户对应的目标场景;
获取所述目标场景下所述用户对应的用户分类分级信息;
基于所述数据分类分级信息及所述用户分类分级信息,检测所述用户访问日志所属用户是否有权限访问所述已访问数据;在确定该用户无权限访问所述已访问数据的情况下,记录所述用户访问日志对应的访问违规事件。
9.根据权利要求8所述的方法,其特征在于,记录所述用户访问日志对应的访问违规事件之后,还包括:
接收到所述数据访问请求,若查询到存在所述用户及所述待访问数据对应的访问违规事件,则阻断所述数据访问请求;
若未查询到所述用户及所述待访问数据对应的访问违规事件,则执行所述获取所述数据访问请求对应的待访问数据的数据分类分级信息以及所述用户对应的目标场景的步骤。
10.一种数据访问控制装置,其特征在于,包括:
接收模块,用于接收目标用户的数据访问请求,获得所述数据访问请求对应的待访问数据的数据分类分级信息以及所述目标用户对应的目标场景;
识别模块,用于获取所述目标场景下所述目标用户对应的目标用户分类分级信息;
访问控制模块,用于基于所述数据分类分级信息及所述目标用户分类分级信息,对所述数据访问请求进行访问控制处理。
11.一种电子设备,其特征在于,包括处理器和存储有程序指令的存储器,所述处理器被配置为在执行所述程序指令时,执行如权利要求1至9任一项所述的数据访问控制方法。
12.一种计算机存储介质,其特征在于,其上存储有计算机可读指令,所述计算机可读指令被处理器执行以实现如权利要求1至9任一项所述的一种数据访问控制方法。
CN202311486735.5A 2023-11-09 2023-11-09 数据访问控制方法、装置、设备及存储介质 Pending CN117216748A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311486735.5A CN117216748A (zh) 2023-11-09 2023-11-09 数据访问控制方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311486735.5A CN117216748A (zh) 2023-11-09 2023-11-09 数据访问控制方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117216748A true CN117216748A (zh) 2023-12-12

Family

ID=89041054

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311486735.5A Pending CN117216748A (zh) 2023-11-09 2023-11-09 数据访问控制方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117216748A (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227572A (zh) * 2015-10-19 2016-01-06 武汉大学 一种移动平台上基于情景感知的访问控制系统及方法
CN109873812A (zh) * 2019-01-28 2019-06-11 腾讯科技(深圳)有限公司 异常检测方法、装置及计算机设备
CN110765087A (zh) * 2019-10-14 2020-02-07 西安交通大学 一种基于网络安全设备日志数据的用户账户滥用审计方法和系统
CN111209417A (zh) * 2019-12-24 2020-05-29 北京达佳互联信息技术有限公司 一种信息展示方法、服务器、终端及存储介质
CN111209582A (zh) * 2020-01-03 2020-05-29 平安科技(深圳)有限公司 请求认证方法、装置、设备及存储介质
CN112926699A (zh) * 2021-04-25 2021-06-08 恒生电子股份有限公司 异常对象识别方法、装置、设备及存储介质
CN114218605A (zh) * 2021-12-14 2022-03-22 中国建设银行股份有限公司 数据访问控制方法、装置、设备及存储介质
CN115994377A (zh) * 2021-10-18 2023-04-21 中国移动通信集团湖南有限公司 隐私数据的访问方法和装置
CN116049884A (zh) * 2023-01-17 2023-05-02 三江学院 基于角色访问控制的数据脱敏方法、系统及介质
CN116308620A (zh) * 2023-01-13 2023-06-23 北京三快在线科技有限公司 一种模型训练和信息推荐的方法、装置、存储介质及设备
CN116776390A (zh) * 2023-08-15 2023-09-19 上海观安信息技术股份有限公司 一种数据泄漏行为的监测方法、装置、存储介质及设备

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105227572A (zh) * 2015-10-19 2016-01-06 武汉大学 一种移动平台上基于情景感知的访问控制系统及方法
CN109873812A (zh) * 2019-01-28 2019-06-11 腾讯科技(深圳)有限公司 异常检测方法、装置及计算机设备
CN110765087A (zh) * 2019-10-14 2020-02-07 西安交通大学 一种基于网络安全设备日志数据的用户账户滥用审计方法和系统
CN111209417A (zh) * 2019-12-24 2020-05-29 北京达佳互联信息技术有限公司 一种信息展示方法、服务器、终端及存储介质
CN111209582A (zh) * 2020-01-03 2020-05-29 平安科技(深圳)有限公司 请求认证方法、装置、设备及存储介质
CN112926699A (zh) * 2021-04-25 2021-06-08 恒生电子股份有限公司 异常对象识别方法、装置、设备及存储介质
CN115994377A (zh) * 2021-10-18 2023-04-21 中国移动通信集团湖南有限公司 隐私数据的访问方法和装置
CN114218605A (zh) * 2021-12-14 2022-03-22 中国建设银行股份有限公司 数据访问控制方法、装置、设备及存储介质
CN116308620A (zh) * 2023-01-13 2023-06-23 北京三快在线科技有限公司 一种模型训练和信息推荐的方法、装置、存储介质及设备
CN116049884A (zh) * 2023-01-17 2023-05-02 三江学院 基于角色访问控制的数据脱敏方法、系统及介质
CN116776390A (zh) * 2023-08-15 2023-09-19 上海观安信息技术股份有限公司 一种数据泄漏行为的监测方法、装置、存储介质及设备

Similar Documents

Publication Publication Date Title
US9813450B1 (en) Metadata-based verification of artifact quality policy compliance
CN106295349A (zh) 账号被盗的风险识别方法、识别装置及防控系统
CN110020553A (zh) 一种保护敏感数据的方法及系统
CN110929879A (zh) 基于决策引擎和模型平台的业务决策逻辑更新方法
CN110851872B (zh) 针对隐私数据泄漏的风险评估方法及装置
CN113132311B (zh) 异常访问检测方法、装置和设备
CN101951329A (zh) 一种网络安全态势评估方法及系统
CN113392426A (zh) 用于增强工业系统或电功率系统的数据隐私的方法及系统
CN116821750A (zh) 一种基于人工智能的数据安全风险监测追溯系统
CN114186275A (zh) 隐私保护方法、装置、计算机设备及存储介质
CN114357435A (zh) 一种异常检测方法、装置及计算机存储介质
CN111489166A (zh) 风险防控方法、装置、处理设备及系统
CN113487241A (zh) 企业环保信用等级的分类方法、装置、设备及存储介质
CN105825130B (zh) 一种信息安全预警方法及装置
CN110363381B (zh) 一种信息处理方法和装置
CN117807406B (zh) 支付平台的企业账户管理方法、系统、设备及存储介质
CN114399319A (zh) 基于预测模型的虚假企业识别方法、装置、设备和介质
CN112149112B (zh) 一种基于职权分离的企业信息安全管理方法
CN117009353B (zh) 一种基于云平台的金融大数据信息存储方法及设备
CN113392399A (zh) 一种恶意软件分类方法、装置、设备及介质
CN110990864B (zh) 一种报表权限管理方法、装置及设备
CN117216748A (zh) 数据访问控制方法、装置、设备及存储介质
CN116227862A (zh) 一种基于高效的预算项目全流程监管方法和系统
CN116263761A (zh) 一种操作日志审计方法、装置、计算设备和存储介质
CN110995465A (zh) 信通点位全景视图信息运维方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20231212

RJ01 Rejection of invention patent application after publication