本申请提供一种数据访问控制方法、装置、设备及存储介质。该方法涉及数据安全技术领域,包括:接收数据访问控制请求,根据预设的基于属性的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作,并返回访问控制响应,访问控制响应用于指示或拒绝访问用户的第一数据操作。本实施例的策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文,执行策略包括允许和/或拒绝的数据操作。上述方案从多个维度对数据访问请求进行分析判断,提高了数据访问的安全性,降低数据泄露的风险。降低数据泄露的风险。降低数据泄露的风险。
【技术实现步骤摘要】
数据访问控制方法、装置、设备及存储介质
[0001]本申请涉及数据安全
,尤其涉及一种数据访问控制方法、装置、设备及存储介质。
技术介绍
[0002]传统的数据安全手段,包括数据加密及边界访问控制。其中边界访问控制仅强调限制未获授权的用户获取数据,但并不关注有合法授权的用户如何使用数据,有数据泄露的潜在风险。在实际应用中,企业内部需要广泛使用的业务过程数据,例如客户数据、实时的生产经营数据、企业财务数据等,这类数据广泛流转于各类业务场景中,如何应对传统数据加密及边界访问控制手段的缺陷给企业带来的安全威胁,实现数据细粒度的访问控制,是目前亟待解决的问题。
技术实现思路
[0003]本申请实施例提供一种数据访问控制方法、装置、设备及存储介质,提高了数据访问的安全性,降低数据泄露的风险。
[0004]本申请实施例的第一方面提供一种数据访问控制方法,包括:
[0005]接收数据访问控制请求,所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作;
[0006]根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作;所述策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文;
[0007]返回数据访问控制响应,所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。
[0008]在本申请第一方面的一个可选实施例中,所述根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作,包括:
[0009]获取所述数据访问请求中所述访问用户、所述目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项,以及目标业务的策略配置信息;
[0010]根据所述访问用户、所述目标业务数据、所述当前访问环境、所述当前业务上下文的属性信息的至少一项,以及所述目标业务的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行所述第一数据操作。
[0011]在本申请第一方面的一个可选实施例中,获取所述目标业务的策略配置信息,包括:
[0012]通过调用数据访问控制工具包获取所述目标业务的策略配置信息;不同的目标业务的策略配置信息对应不同的数据访问控制工具包。
[0013]在本申请第一方面的一个可选实施例中,所述目标业务数据存储于数据表,若确定所述访问用户有权限对所述目标业务数据进行第一数据操作,所述返回数据访问控制响
应,包括:
[0014]对所述数据表进行数据过滤,生成过滤后的数据表;
[0015]返回所述数据访问控制响应,所述数据访问控制响应包括所述过滤后的数据表;所述过滤后的数据表仅展示所述目标业务数据。
[0016]在本申请第一方面的一个可选实施例中,所述对所述数据表进行数据过滤,生成过滤后的数据表,包括:
[0017]对所述数据表采用逐行数据属性分析方法进行数据过滤,和/或,对所述数据表采用逐列数据属性分析方法进行数据过滤,和/或,对所述数据表采用逐单元格数据属性分析方法进行数据过滤,生成所述过滤后的数据表。
[0018]在本申请第一方面的一个可选实施例中,若调用数据访问控制工具包失败,所述方法还包括:
[0019]返回未经数据过滤的数据表,并在日志中记录与所述数据访问控制请求相关的所有信息。
[0020]在本申请第一方面的一个可选实施例中,所述方法还包括:
[0021]接收数据访问控制更新包,更新所述数据访问控制工具包;所述数据访问控制更新包包括对与执行策略相关的以下至少一项属性信息的更新:
[0022]对用户的属性信息的新增、修改或删除;
[0023]对数据的属性信息的新增、修改或删除;
[0024]对访问环境的属性信息的新增、修改或删除;
[0025]对业务环节的属性信息的新增、修改或删除。
[0026]本申请实施例的第二方面提供一种数据访问控制装置,包括:
[0027]接收模块,用于接收数据访问控制请求,所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作;
[0028]处理模块,用于根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作;所述策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文;
[0029]发送模块,用于返回数据访问控制响应,所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。
[0030]本申请实施例的第三方面提供一种电子设备,包括:
[0031]存储器;
[0032]处理器;以及
[0033]计算机程序;
[0034]其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面中任一项所述的方法。
[0035]本申请实施例的第四方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行以实现如第一方面中任一项所述的方法。
[0036]本申请实施例的第五方面提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面中任一项所述的方法。
[0037]本申请实施例提供一种数据访问控制方法、装置、设备及存储介质。其中,数据访
问控制方法包括:接收数据访问控制请求,根据预设的基于属性的策略配置信息,确定访问用户是否有权限对目标业务数据进行第一数据操作,并返回访问控制响应,访问控制响应用于指示或拒绝访问用户的第一数据操作。本实施例的策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文,执行策略包括允许和/或拒绝的数据操作。上述方案从多个维度对数据访问请求进行分析判断,提高了数据访问的安全性,降低数据泄露的风险。
附图说明
[0038]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0039]图1为本申请实施例提供的数据访问控制方法的场景示意图一;
[0040]图2为本申请实施例提供的数据访问控制方法的场景示意图二;
[0041]图3为本申请实施例提供的图1所示数据访问平台的架构示意图;
[0042]图4为本申请实施例提供的数据访问控制方法的流程示意图一;
[0043]图5为本申请实施例提供的数据访问控制方法的流程示意图二;
[0044]图6为本申请实施例提供的数据访问控制方法的流程示意图三;
[0045]图7为本申请实施例提供的数据访问控制装置的结构示意图;
[0046]图8为本申请实施例提供的电子设备的硬件结构图。
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据访问控制方法,其特征在于,包括:接收数据访问控制请求,所述数据访问控制请求用于访问用户请求对目标业务数据进行第一数据操作;根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作;所述策略配置信息包括与以下至少一项的属性信息相关的执行策略:用户、业务数据、访问环境、业务上下文;返回数据访问控制响应,所述数据访问控制响应用于指示允许或拒绝所述第一数据操作。2.根据权利要求1所述的方法,其特征在于,所述根据预设的基于属性的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行第一数据操作,包括:获取所述数据访问请求中所述访问用户、所述目标业务数据、当前访问环境、当前业务上下文的属性信息的至少一项,以及目标业务的策略配置信息;根据所述访问用户、所述目标业务数据、所述当前访问环境、所述当前业务上下文的属性信息的至少一项,以及所述目标业务的策略配置信息,确定所述访问用户是否有权限对所述目标业务数据进行所述第一数据操作。3.根据权利要求2所述的方法,其特征在于,获取所述目标业务的策略配置信息,包括:通过调用数据访问控制工具包获取所述目标业务的策略配置信息;不同的目标业务的策略配置信息对应不同的数据访问控制工具包。4.根据权利要求1
‑
3任一项所述的方法,其特征在于,所述目标业务数据存储于数据表,若确定所述访问用户有权限对所述目标业务数据进行第一数据操作,所述返回数据访问控制响应,包括:对所述数据表进行数据过滤,生成过滤后的数据表;返回所述数据访问控制响应,所述数据访问控制响应包括所述过滤后的数据表;所述过滤后的数据表仅展示所述目标业务数据。5.根据权利要求4所述的方法,其特征在于,所述对所述数据表进行数据过滤,生成过滤后的数据表,包括:对所述数据表采用逐行数据属性分析方法进行数据过滤,和/或,对所述数据表采用...
【专利技术属性】
技术研发人员:苏晨,冯吉禹,
申请(专利权)人:中国建设银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。