CN117454415A - 一种基础信息平台安全性控制方法、系统、设备和介质 - Google Patents
一种基础信息平台安全性控制方法、系统、设备和介质 Download PDFInfo
- Publication number
- CN117454415A CN117454415A CN202311312973.4A CN202311312973A CN117454415A CN 117454415 A CN117454415 A CN 117454415A CN 202311312973 A CN202311312973 A CN 202311312973A CN 117454415 A CN117454415 A CN 117454415A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- access
- target
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000008520 organization Effects 0.000 claims description 50
- 230000006399 behavior Effects 0.000 claims description 38
- 238000012502 risk assessment Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 15
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 229910052500 inorganic mineral Inorganic materials 0.000 description 3
- 239000011707 mineral Substances 0.000 description 3
- 238000013439 planning Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 239000002689 soil Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009435 building construction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及安全性控制的技术领域,尤其涉及一种基础信息平台安全性控制方法、系统、设备和介质。本申请通过在用户访问数据时,获取用户标识以及数据标识,根据数据标识确定出数据的目标业务类别和目标安全等级,然后根据用户标识确定用户对该目标业务类别数据的访问权限,以及用户对该目标安全等级数据的访问权限,从而在用户满足访问权限时允许用户对所需数据进行访问,通过双重访问权限进行安全性控制,提高对基础信息的安全性保护,且对不同目标业务类别数据根据用户标识确定访问权限,不需要进行单独设置,便于进行访问安全性控制。
Description
技术领域
本申请涉及安全性控制的技术领域,尤其是涉及一种基础信息平台安全性控制方法、系统、设备和介质。
背景技术
当今社会进入大数据时代,越来越多的数据共享开放,交叉使用,针对关键基础信息缺乏保护、敏感数据泄露严重、信息访问权限混乱等问题,急需通过加强网络空间安全保障、做好关键信息基础设施保护、加强数据加密等手段,保障大数据背景下的数据安全。
基础信息平台建设的主要目标是服务社会,为社会提供各种信息服务,所以在建设中需要保持对公众的开放性,同时为了提高安全性,需要对用户的访问行为和数据操作进行控制,传统的方式主要基于角色进行访问控制,需要管理人员定义各种角色,并设置合适的访问权限。然而针对各个业务类别数据的管理灵活性较差,对此情况有待进一步改善。
发明内容
为了解决现有的访问控制的灵活性较差的问题,本申请提供一种基础信息平台安全性控制方法、系统、设备和介质,采用如下的技术方案:
第一方面,本申请提供一种基础信息平台安全性控制方法,包括如下步骤:
在用户访问数据时,获取用户标识以及所需数据的数据标识;
根据所述数据标识确定所述所需数据的目标业务类别和目标安全等级;
根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限,及所述用户对所述目标安全等级数据的访问权限;
在所述用户具有对所述目标业务类别数据的访问权限,且所述用户具有对所述目标安全等级数据的访问权限时,允许所述用户对所述所需数据进行访问。
通过采用上述技术方案,本申请在用户访问数据时,获取用户标识以及数据标识,根据数据标识确定出数据的目标业务类别和目标安全等级,然后根据用户标识确定用户对该目标业务类别数据的访问权限,以及用户对该目标安全等级数据的访问权限,从而在用户满足访问权限时允许用户对所需数据进行访问,通过双重访问权限进行安全性控制,提高对基础信息的安全性保护,且对不同目标业务类别数据根据用户标识确定访问权限,不需要进行单独设置,便于进行访问安全性控制。
可选的,所述根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限,及所述用户对所述目标安全等级数据的访问权限,包括如下步骤:
确定所述用户标识所对应的用户业务线和用户级别;
在所述用户业务线具备对所述目标业务类别数据的访问权限时,确定所述用户具备对所述目标业务类别数据的访问权限;
在所述用户级别大于等于所述目标安全等级数据对应的用户所需级别时,确定所述用户具备对所述目标安全等级数据的访问权限。
通过采用上述技术方案,本申请通过确定用户标识所对应的用户业务线和用户几杯,在用户业务线具备对所需数据的目标业务类别的访问权限时,确定用户具备对所需数据的目标业务类别的访问权限,然后在用户级别大于等于目标安全等级数据对应的用户所需级别时,确定用户具备对目标安全等级数据的访问权限,从而对用户的访问权限进行确认。
可选的,所述在所述用户级别大于等于所述目标安全等级数据对应的用户所需级别时,确定所述用户具备对所述目标安全等级数据的访问权限之前,包括如下步骤:
获取对所述目标安全等级数据的允许访问用户集合;
在预设的组织结构树中获取所述允许访问用户集合对应的组织层级集合以及所述用户对应的组织层级;
在所述组织层级大于等于所述组织层级集合中的最低层级时,确定所述用户级别大于等于所述目标安全等级数据对应的用户所需级别。
通过采用上述技术方案,本申请通过获取预设的对目标安全等级数据的允许访问用户集合,然后根据预设的组织结构树中获取允许访问用户集合对应的组织层级集合以及用户的组织层级,然后在组织层级大于等于组织层级集合的最低层级时,确定用户级别大于等于目标安全等级数据对应的用户所需级别,从而使安全管理人员不需要设置太多用户的角色访问权限,通过预设组织结构树以及允许访问用户集合,然后进行组织层级对比,即可快速确定其他用户的级别,提高权限管理效率。
可选的,所述获取对所述目标安全等级数据的允许访问用户集合的过程中,包括如下步骤:
监听和获取所述目标安全等级数据的允许访问用户变更指令;
根据所述变更指令确定需要添加或删除的用户;
根据所述变更指令对所述允许访问用户集合进行更新操作;
通知与所述变更指令相关的用户和部门;
记录所述变更指令和所述更新操作。
通过采用上述技术方案,本申请通过获取允许访问用户变更指令,根据变更指令更新允许访问用户集合,从而对目标安全等级数据的可访问用户所需级别进行更新。
可选的,所述允许所述用户对所述所需数据进行访问之前,包括如下步骤:
获取所述用户的历史访问记录,根据所述历史访问记录预测所述用户的正常访问行为;
在所述用户的当前访问行为不匹配所述正常访问行为时,对所述用户的当前访问行为进行风险评估,得到风险评估结果;
根据所述风险评估结果采取对应的控制措施。
通过采用上述技术方案,本申请通过用户的历史访问记录预测用户的正常访问行为,在用户的当前访问行为不匹配正常访问行为时,对用户的当前访问行为进行风险评估,得到风险评估结果,根据风险评估结果采取对应的控制措施,从而避免非正常访问造成重要数据丢失。
可选的,所述在所述用户的当前访问行为不匹配所述正常访问行为时,对所述用户的当前访问行为进行风险评估的过程中,包括如下步骤:
获取所述用户当前访问数据的目标安全等级;
在所述当前访问数据的目标安全等级高于预设目标安全等级阈值,且所述用户当前访问数据的频率高于预设频率阈值时,确定所述用户的当前访问行为存在风险。
通过采用上述技术方案,本申请获取当前访问数据的目标安全等级,在目标安全等级高于预设目标安全等级阈值时,且用户当前访问数据的频率高于预设频率阈值时,确定用户的当前访问行为存在风险,从而采取对应的控制措施。
可选的,所述控制措施包括提示所述用户确认操作的合法性、要求所述用户提供额外的身份验证信息、限制所述用户访问次数、拒绝所述用户访问。
第二方面,本申请提供一种基础信息平台安全性控制系统,包括:
标识获取模块,用于在用户访问数据时,获取用户标识以及所需数据的数据标识;
目标业务类别和目标安全等级确定模块,用于根据所述数据标识确定所述所需数据的目标业务类别和目标安全等级;
访问权限确定模块,用于根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限,及所述用户对所述目标安全等级数据的访问权限;
访问控制模块,用于在所述用户具有对所述目标业务类别数据的访问权限,且所述用户具有对所述目标安全等级数据的访问权限时,允许所述用户对所述所需数据进行访问。
第三方面,本申请提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述基础信息平台安全性控制方法的步骤。
第四方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述基础信息平台安全性控制方法的步骤。
综上所述,本申请包括以下至少一种有益技术效果:
1.本申请在用户访问数据时,获取用户标识以及数据标识,根据数据标识确定出数据的目标业务类别和目标安全等级,然后根据用户标识确定用户对该目标业务类别数据的访问权限,以及用户对该目标安全等级数据的访问权限,从而在用户满足访问权限时允许用户对所需数据进行访问,通过双重访问权限进行安全性控制,提高对基础信息的安全性保护,且对不同目标业务类别数据根据用户标识确定访问权限,不需要进行单独设置,便于进行访问安全性控制;
2.本申请通过获取预设的对目标安全等级数据的允许访问用户集合,然后根据预设的组织结构树中获取允许访问用户集合对应的组织层级集合以及用户的组织层级,然后在组织层级大于等于组织层级集合的最低层级时,确定用户级别大于等于目标安全等级数据对应的用户所需级别,从而使安全管理人员不需要设置太多用户的角色访问权限,通过预设组织结构树以及允许访问用户集合,然后进行组织层级对比,即可快速确定其他用户的级别,提高权限管理效率;
3.本申请通过用户的历史访问记录预测用户的正常访问行为,在用户的当前访问行为不匹配正常访问行为时,对用户的当前访问行为进行风险评估,得到风险评估结果,根据风险评估结果采取对应的控制措施,从而避免非正常访问造成重要数据丢失。
附图说明
图1是是本申请一种基础信息平台安全性控制方法的一个示例性流程图;
图2是本申请确定用户对目标安全等级数据的访问权限的示例性流程图;
图3是本申请对用户当前访问行为进行风险评估的示例性流程图;
图4是本申请实施例一种基础信息平台安全性控制系统的模块示意图;
图5是本申请实施例计算机的内部结构图。
具体实施方式
本申请以下实施例中所使用的术语只是为了描述特定实施例的目的,而并非旨在作为对本申请的限制。如在本申请的说明书和所附权利要求书中所使用的那样,单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括复数表达形式,除非其上下文中明确地有相反指示。还应当理解,本申请中使用的术语“和/或”是指包含一个或多个所列出项目的任何或所有可能组合。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征,在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
为了提高基础信息平台数据的安全性,需要对用户的访问行为和数据操作进行控制,传统的方式主要基于角色进行访问控制,针对各个目标业务类别数据的管理灵活性较差。
本申请提供一种基础信息平台安全性控制方法、系统、设备和介质,在用户访问数据时,获取用户标识以及数据标识,根据数据标识确定出数据的目标业务类别和目标安全等级,然后根据用户标识确定用户对该目标业务类别数据的访问权限,以及用户对该目标安全等级数据的访问权限,从而在用户满足访问权限时允许用户对所需数据进行访问,从而对不同目标业务类别数据根据用户标识确定访问权限,不需要进行单独设置,且对不同目标安全等级的数据也设置了不同的访问权限,从而便于进行访问安全性控制。
下面结合说明书附图对本申请实施例做进一步详细描述。
本申请实施例提供一种方法,由电子设备执行,该电子设备可以为服务器也可以为终端设备,其中,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云计算服务的云服务器。本实施例中,终端设备是服务器,但并不局限于此,也可以是智能平板、电脑等,该终端设备以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请实施例在此不做限制。
本申请的方法应用于国土空间基础信息平台,国土空间基础信息平台部署在政务云平台,政务云平台由各级地方信息化服务中心负责专门运维。
基础信息平台采用前后端分离的Docker容器化微服务架构,在平台安全方面,通过系统登录、权限控制、安全认证、攻击拦截、安全审计等各个手段进行安全性控制。在数据安全方面,通过数据访问控制、数据加密脱敏处理、数据服务监控、数据备份等手段进行安全性控制。其中,在对数据访问控制方面,通过采用本申请的方法,实现对国土空间基础信息平台中数据的安全性控制,同时对国土空间基础信息平台中各个业务类别数据进行灵活管理,以便于各级地方信息化服务中心进行安全管理操作。
参照图1,图1是本申请一种基础信息平台安全性控制方法的一个示例性流程图。
一种基础信息平台安全性控制方法,包括如下步骤:
S110、在用户访问数据时,获取用户标识以及所需数据的数据标识。
其中,用户标识是能够表征用户身份的信息,如身份证号、手机号或用户基于业务一个能用的注册账号等,数据标识是能够唯一标识用户期望访问的目标数据的信息,具体可以是数据编号、基于数据标题或内容生成的哈希值等。
具体的,系统监听用户访问数据的操作,然后获取用户标识,以及用户所访问的所需数据的数据标识。
S120、根据数据标识确定所需数据的目标业务类别和目标安全等级。
其中,目标业务类别和目标安全等级是与所需数据对应的业务类别和安全等级。各个数据根据业务属性的不同,可以被提前归类为不同的业务数据,来满足不同业务部门的数据需求,因此可以根据业务类别对所需数据进行分类;同时,根据各个数据的重要性不同,可以设置不同的安全等级。
具体的,根据数据的属性将数据分为基础地理数据、土地资源数据、矿产资源数据、地质环境与地质灾害数据、自然资源产权数据、社会经济数据、空间规划数据、空间管理数据、统计数据、发改数据、生态环境数据、住建数据、交通数据、水利数据、农业农村数据、气象数据、互联网、物联网数据等目标业务类别。根据数据的价值、法律要求及数据敏感程度和关键程度,将数据分成不同的目标安全等级,如公共基础数据、专业基础数据、业务管理数据等,并且对数据的业务类别和安全等级预先进行标识。
S130、根据用户标识确定用户对目标业务类别数据的访问权限,及用户对目标安全等级数据的访问权限。
其中,步骤S130包括如下步骤:
S131、确定用户标识所对应的用户业务线和用户级别。
其中,用户包括公众用户和相关部门用户,相关部门用户包括统计局用户、发改局用户、生态环境局用户、住建局用户、交通局用户等等。根据用户标识可以在数据库中进行查找,确定用户所对应的业务线,以及用户在业务线对应的级别。其中,公众用户属于最低级别的用户,只能够访问公共基础数据。部门用户的级别在各自部门对应的组织架构树中获取,其中,组织架构树可以根据整个国土空间管理各部门的组织架构构建得到,组织架构树包括多个组织层级。
具体的,当用户注册登录时,需要注册用户信息并保存到数据库中,若是部门用户则需要部门管理员操作加入或同意,并在部门组织架构树中添加用户的组织节点。然后在得到用户标识后,可以确定用户对应的用户业务线和用户级别。若用户不属于部门用户,则归类为公众用户。
S132、在用户业务线具备对目标业务类别数据的访问权限时,确定用户具备对目标业务类别数据的访问权限。
其中,目标业务类别数据指该用户所需数据所对应的业务类别的数据,每个用户业务线预先设置了对各个业务类别数据的访问权限。
具体的,水利局可访问水利数据,以及基础地理数据、土地资源数据、矿产资源数据、地质环境与地质灾害数据、自然资源产权数据、社会经济数据、空间规划数据、空间管理数据以及其他部门数据的公共基础数据部分以及水利局需要使用的数据部分,交通局可访问交通数据,以及基础地理数据、土地资源数据、矿产资源数据、地质环境与地质灾害数据、自然资源产权数据、社会经济数据、空间规划数据、空间管理数据以及其他部门数据的公共基础数据部分以及交通局需要使用的数据部分,以此类推。
S133、在用户级别大于等于目标安全等级数据对应的用户所需级别时,确定用户具备对目标安全等级数据的访问权限。
其中,目标安全等级数据指该用户所需数据所对应的安全等级的数据。
S140、在用户具有对目标业务类别数据的访问权限,且用户具有对目标安全等级数据的访问权限时,允许用户对所需数据进行访问。
在步骤S133之前,方法包括如下步骤:
参照图2,图2是本申请确定用户对目标安全等级数据的访问权限的示例性流程图。
S210、获取对目标安全等级数据的允许访问用户集合。
其中,允许访问用户集合中的用户可以访问所需数据对应的目标安全等级的数据。
具体的,安全管理人员在对用户进行权限设置时,预先设置了部分部门用户的访问授权,例如对特定服务的数据的授权类别,包括查询数据或编辑数据,对特定服务的数据的授权期限,包括一个月、三个月等,根据该目标安全等级数据对应设置的允许访问用户,得到允许访问用户集合。
其中,步骤S210包括如下子步骤;
S211、监听和获取目标安全等级数据的允许访问用户变更指令。
S212、根据变更指令确定需要添加或删除的用户。
其中,安全管理人员在对用户进行权限设置时,系统监听并获取允许访问用户变更指令,然后根据指令确定需要添加或删除的用户。
可以理解的是,在安全管理人员对用户的访问权限设置了访问期限时,在访问期限到期时,系统同样会监控到变更指令,然后变更为不可访问状态。
S213、根据变更指令对允许访问用户集合进行更新操作。
通过此,使允许访问用户集合保持最新状态,从而对目标安全等级数据的可访问用户所需级别进行更新。
S214、通知与变更指令相关的用户和部门。
S215、记录变更指令和更新操作。
通过此,通知受影响的用户和部门,以确保他们了解最新的访问权限信息,同时记录变更指令和更新操作,确保系统的安全性和可追溯性,并进行定期审计。
S220、在预设的组织结构树中获取允许访问用户集合对应的组织层级集合,以及用户对应的组织层级。
其中,组织结构树根据整个国土空间管理各部门的组织架构构建得到,包括多个层级,基于允许访问用户集合获取对应的组织层级集合,以及获取当前访问用户对应的组织层级,从而可以进行对比,以确定用户是否具有对目标安全等级数据的访问权限。
S230、在组织层级大于等于组织层级集合中的最低层级时,确定用户级别大于等于目标安全等级数据对应的用户所需级别。
其中,通过遍历组织层级集合中的各个组织层级,确定出最低层级,然后将用户的组织层级与最低层级进行比较,当组织层级处于用户的同级或者处于用户下级的其他用户具有访问该目标安全等级数据的权限时,则确定用户也具有访问该目标安全等级数据的权限。
可以理解的是,若当前用户属于水利局用户,其在系统中没有被安全管理人员设置了对水利工程数据的访问权限,但在该水利部门的组织结构树中存在被设置了访问权限的第二用户,该第二用户在组织结构树中属于当前用户的同一层级,则表示当前用户的组织层级具备对该水利工程数据的访问权限,则允许该当前用户对该水利工程数据进行访问。
通过此,使安全管理人员不需要设置太多用户的角色访问权限,通过预设组织结构树以及允许访问用户集合,然后进行组织层级对比,即可快速确定其他用户的级别,提高权限管理效率。
在一些实施例中,在允许用户对所需数据进行访问之前,还包括如下步骤:
参照图3,图3是本申请对用户当前访问行为进行风险评估的示例性流程图。
S310、获取用户的历史访问记录,根据历史访问记录预测用户的正常访问行为。
其中,用户的历史访问记录包括用户标识、访问时间、访问页面等信息,通过对用户历史访问记录进行数据挖掘,得到用户访问页面的频繁序列,从而可以预测用户的正常访问行为。
S320、在用户的当前访问行为不匹配正常访问行为时,对用户的当前访问行为进行风险评估,得到风险评估结果。
其中,不匹配正常访问行为包括访问的数据安全等级及数据业务类别差异较大,访问的频率较高,访问的时间点差异较大等。
具体的,在不匹配正常访问行为时,获取用户当前访问数据的目标安全等级,获取用户当前访问数据的频率,在当前访问数据的目标安全等级高于预设目标安全等级阈值,且当前访问数据的频率高于预设频率阈值时,确定当前访问行为存在风险,从而采取对应的控制措施。
S330、根据风险评估结果采取对应的控制措施。
值得注意的是,根据用户当前访问数据的目标安全等级,以及用户当前访问数据的频率高低,可以确定出风险等级,并根据风险等级采取对应的控制措施,控制措施包括提示用户确认操作的合法性、要求用户提供额外的身份验证信息、限制用户访问次数、拒绝用户访问等等。
通过此,对有风险的访问行为采取对应的控制措施,从而提高基础信息数据的安全性。
本申请实施例一种基础信息平台安全性控制方法的实施原理为:本申请在用户访问数据时,获取用户标识以及数据标识,根据数据标识确定出数据的目标业务类别和目标安全等级,然后根据用户标识确定用户对该目标业务类别数据的访问权限,以及用户对该目标安全等级数据的访问权限,从而在用户满足访问权限时允许用户对所需数据进行访问,从而对不同目标业务类别数据根据用户标识确定访问权限,不需要进行单独设置,便于进行访问安全性控制。
第二方面,本申请提供了一种基础信息平台安全性控制系统,下面结合上述基础信息平台安全性控制方法,对本申请的基础信息平台安全性控制系统进行描述。请参阅图4,图4是本申请实施例一种基础信息平台安全性控制系统的模块示意图。
一种基础信息平台安全性控制系统,包括:
标识获取模块410,用于在用户访问数据时,获取用户标识以及所需数据的数据标识;
目标业务类别和目标安全等级确定模块420,用于根据所述数据标识确定所述所需数据的目标业务类别和目标安全等级;
访问权限确定模块430,用于根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限,及所述用户对所述目标安全等级数据的访问权限;
访问控制模块440,用于在所述用户具有对所述目标业务类别数据的访问权限,且所述用户具有对所述目标安全等级数据的访问权限时,允许所述用户对所述所需数据进行访问。
在一个实施例中,本申请提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基础信息平台安全性控制方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。
Claims (10)
1.一种基础信息平台安全性控制方法,其特征在于,包括如下步骤:
在用户访问数据时,获取用户标识以及所需数据的数据标识;
根据所述数据标识确定所述所需数据对应的目标业务类别和目标安全等级;
根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限,及所述用户对所述目标安全等级数据的访问权限;
在所述用户具有对所述目标业务类别数据的访问权限,且所述用户具有对所述目标安全等级数据的访问权限时,允许所述用户对所述所需数据进行访问。
2.根据权利要求1所述的基础信息平台安全性控制方法,其特征在于,所述根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限,及所述用户对所述目标安全等级数据的访问权限,包括如下步骤:
确定所述用户标识所对应的用户业务线和用户级别;
在所述用户业务线具备对所述目标业务类别数据的访问权限时,确定所述用户具备对所述目标业务类别数据的访问权限;
在所述用户级别大于等于所述目标安全等级数据对应的用户所需级别时,确定所述用户具备对所述目标安全等级数据的访问权限。
3.根据权利要求2所述的基础信息平台安全性控制方法,其特征在于,所述在所述用户级别大于等于所述目标安全等级数据对应的用户所需级别时,确定所述用户具备对所述目标安全等级数据的访问权限之前,包括如下步骤:
获取对所述目标安全等级数据的允许访问用户集合;
在预设的组织结构树中获取所述允许访问用户集合对应的组织层级集合,以及所述用户对应的组织层级;
在所述组织层级大于等于所述组织层级集合中的最低层级时,确定所述用户级别大于等于所述目标安全等级数据对应的用户所需级别。
4.根据权利要求3所述的基础信息平台安全性控制方法,其特征在于,所述获取对所述目标安全等级数据的允许访问用户集合的过程中,包括如下步骤:
监听和获取所述目标安全等级数据的允许访问用户变更指令;
根据所述变更指令确定需要添加或删除的用户;
根据所述变更指令对所述允许访问用户集合进行更新操作;
通知与所述变更指令相关的用户和部门;
记录所述变更指令和所述更新操作。
5.根据权利要求1所述的基础信息平台安全性控制方法,其特征在于,所述允许所述用户对所述所需数据进行访问之前,包括如下步骤:
获取所述用户的历史访问记录,根据所述历史访问记录预测所述用户的正常访问行为;
在所述用户的当前访问行为不匹配所述正常访问行为时,对所述用户的当前访问行为进行风险评估,得到风险评估结果;
根据所述风险评估结果采取对应的控制措施。
6.根据权利要求5所述的基础信息平台安全性控制方法,其特征在于,所述在所述用户的当前访问行为不匹配所述正常访问行为时,对所述用户的当前访问行为进行风险评估的过程中,包括如下步骤:
获取所述用户当前访问数据的目标安全等级;
在所述当前访问数据的目标安全等级高于预设目标安全等级阈值,且所述用户当前访问数据的频率高于预设频率阈值时,确定所述用户的当前访问行为存在风险。
7.根据权利要求5所述的基础信息平台安全性控制方法,其特征在于,所述控制措施包括提示所述用户确认操作的合法性、要求所述用户提供额外的身份验证信息、限制所述用户访问次数、拒绝所述用户访问。
8.一种基础信息平台安全性控制系统,其特征在于,包括:
标识获取模块,用于在用户访问数据时,获取用户标识以及所需数据的数据标识;
目标业务类别和目标安全等级确定模块,用于根据所述数据标识确定所述所需数据对应的目标业务类别和目标安全等级;
访问权限确定模块,用于根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限,及所述用户对所述目标安全等级数据的访问权限;
访问控制模块,用于在所述用户具有对所述目标业务类别数据的访问权限,且所述用户具有对所述目标安全等级数据的访问权限时,允许所述用户对所述所需数据进行访问。
9.一种计算机设备,其特征在于,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1-7中任一项所述的基础信息平台安全性控制方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7中任一项所述的基础信息平台安全性控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311312973.4A CN117454415A (zh) | 2023-10-11 | 2023-10-11 | 一种基础信息平台安全性控制方法、系统、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311312973.4A CN117454415A (zh) | 2023-10-11 | 2023-10-11 | 一种基础信息平台安全性控制方法、系统、设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117454415A true CN117454415A (zh) | 2024-01-26 |
Family
ID=89580749
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311312973.4A Pending CN117454415A (zh) | 2023-10-11 | 2023-10-11 | 一种基础信息平台安全性控制方法、系统、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117454415A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117407042A (zh) * | 2023-11-01 | 2024-01-16 | 广州国测规划信息技术有限公司 | 一种国土空间基础信息平台的扩展设计方法和系统 |
-
2023
- 2023-10-11 CN CN202311312973.4A patent/CN117454415A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117407042A (zh) * | 2023-11-01 | 2024-01-16 | 广州国测规划信息技术有限公司 | 一种国土空间基础信息平台的扩展设计方法和系统 |
CN117407042B (zh) * | 2023-11-01 | 2024-04-05 | 广州国测规划信息技术有限公司 | 一种国土空间基础信息平台的扩展设计方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102577139B1 (ko) | 스마트 계약 기반 데이터 처리 방법, 기기 및 저장 매체 | |
US9336400B2 (en) | Information asset placer | |
US8819009B2 (en) | Automatic social graph calculation | |
CN117454415A (zh) | 一种基础信息平台安全性控制方法、系统、设备和介质 | |
US20130013787A1 (en) | Replicating selected secrets to local domain controllers | |
US20210056229A1 (en) | Data processing systems for processing and managing data subject access in a distributed environment | |
CN113946875B (zh) | 一种基于区块链的身份认证方法及系统 | |
CN111885153B (zh) | 基于区块链的数据获取方法、装置、计算机设备和存储介质 | |
CN104462982A (zh) | 跨应用共享的授权策略对象、目标定义和决策合并算法 | |
CN113285960A (zh) | 一种服务数据共享云平台的数据加密方法及系统 | |
US20230161750A1 (en) | System and method for improving data validation and synchronization across disparate parties | |
CN108965317B (zh) | 一种网络数据防护系统 | |
KR20120007841A (ko) | Query에 대한 데이터베이스 응답값 분석 및 이상 징후 탐지를 이용한 개인정보 유출 방지 시스템 및 유출 방지 방법 | |
Zhang et al. | Research on access control scheme of system wide information management based on attribute association | |
Panda et al. | Securing database integrity in intelligent government systems that employ fog computing technology | |
JP5541215B2 (ja) | 不正利用検知システム | |
CN112769806A (zh) | 终端设备上的操作行为管控方法、装置及电子设备 | |
CN111881119B (zh) | 一种承包地分库数据管理系统 | |
CN110706052A (zh) | 智慧公租房综合管理系统 | |
CN109190342A (zh) | 智慧社区的业主身份验证方法及社区服务器 | |
CN110781531B (zh) | 防篡改的粮库数据安全存储系统及方法 | |
CN113542245B (zh) | 数据流量监控方法、装置、计算机设备及存储介质 | |
US20240037004A1 (en) | Preserving Enterprise Artifacts Using Digital Twin Technology And Intelligent Smart Contracts | |
CN113407626B (zh) | 一种基于区块链的规划管控方法、存储介质及终端设备 | |
Long et al. | Information Privacy |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |