【技术实现步骤摘要】
本申请涉及数据安全,特别是涉及一种数据访问控制方法、装置、电子设备及存储介质。
技术介绍
1、随着科学技术的快速发展和信息化建设的推进,信息技术时代逐渐向数据技术时代转变,数据的采集、存储、处理和传播的数量与日俱增,结构差异越来越大。而数据往往具有一定价值,容易被泄漏和被滥用,所以对数据的访问控制,尤其是对跨域的数据的访问控制受到的关注越来越多。
2、目前一种数据访问控制方法是:在用户注册时,为用户分配访问权限,在数据生成时,为数据配置访问等级,当用户的访问权限满足待访问数据的访问等级要求时,允许用户对待访问数据进行访问,否则不允许用户对待访问数据进行访问。
3、这种方法的管控粒度较粗,一旦用户的访问权限满足待访问数据的访问等级要求,就允许用户对待访问数据进行访问,可能存在安全风险,数据访问安全性较低。
技术实现思路
1、本申请的目的是提供一种数据访问控制方法、装置、电子设备及存储介质,以细化管控粒度,降低安全风险,提高数据访问安全性。
2、为解决上述技术问题,本申请提供如下技术方案:
3、第一方面,提供了一种数据访问控制方法,包括:
4、接收用户终端针对目标数据的访问请求;
5、确定所述用户终端的访问权限;
6、如果所述用户终端的访问权限满足所述目标数据的访问等级要求,则基于所述用户终端所在的第一域与所述目标数据所在的第二域,确定是否响应所述访问请求。
7、可选地,所述基于所述用户终端
8、如果所述用户终端所在的第一域与所述目标数据所在的第二域相同,则确定响应所述访问请求。
9、可选地,所述基于所述用户终端所在的第一域与所述目标数据所在的第二域,确定是否响应所述访问请求,包括:
10、如果所述用户终端所在的第一域与所述目标数据所在的第二域不相同,则确定所述目标数据的数据安全值;
11、根据所述数据安全值,确定是否响应所述访问请求。
12、可选地,所述确定所述目标数据的数据安全值,包括:
13、控制所述用户终端向所述目标数据所在的目标存储设备发送探测请求;
14、获得接收到所述探测请求的每个设备节点反馈的安全评估值以及反馈时间;
15、基于每个设备节点反馈的安全评估值以及反馈时间,确定所述目标数据的传输安全值;
16、如果所述传输安全值大于或等于第一阈值,则基于所述第二域对应的拓扑结构,确定从所述目标数据对应的数据表节点出发的有效链路;
17、确定每条有效链路的链路价值;
18、根据所述传输安全值和每条有效链路的链路价值,确定所述目标数据的数据安全值。
19、可选地,所述基于每个设备节点反馈的安全评估值以及反馈时间,确定所述目标数据的传输安全值,包括:
20、针对每个设备节点,如果当前设备节点的反馈时间小于或等于第二阈值,则将所述当前设备节点反馈的安全评估值确定为所述当前设备节点的安全确认值;
21、如果所述当前设备节点的反馈时间大于所述第二阈值,则将所述当前设备节点反馈的安全评估值与调整因子的乘积确定为所述当前设备节点的安全确认值,所述调整因子为所述第二阈值与所述当前设备节点的反馈时间的比值;
22、基于每个设备节点的安全确认值,确定所述目标数据的传输安全值。
23、可选地,所述基于所述第二域对应的拓扑结构,确定从所述目标数据对应的数据表节点出发的有效链路,包括:
24、基于所述第二域对应的拓扑结构,确定从所述目标数据对应的数据表节点出发的所有链路;
25、对确定出的所有链路进行去重处理,得到有效链路。
26、可选地,所述确定每条有效链路的链路价值,包括:
27、针对每条有效链路,基于当前有效链路中每个数据表节点的敏感字段占比以及每个数据表节点的边权重均值,确定所述当前有效链路的链路价值。
28、可选地,通过以下步骤确定每个数据表节点的敏感字段的数量:
29、针对每个数据表节点,如果当前数据表节点包含敏感字段,则将敏感字段的实际包含数量确定为所述当前数据表节点的敏感字段的数量;
30、如果所述当前数据表节点不包含敏感字段,则将预设的第一值确定为所述当前数据表节点的敏感字段的数量,所述第一值小于1。
31、可选地,通过以下步骤确定每个数据表节点的边权重:
32、针对每个数据表节点,基于当前数据表节点与相连数据表节点包含的字段总数量、相同字段数量、敏感字段总数量、相同敏感字段数量,确定所述当前数据表节点的边权重。
33、可选地,通过以下步骤构建所述第二域对应的拓扑结构::
34、确定所述第二域包括的数据表以及数据表信息;
35、根据主键和外键关系,确定所述第二域包括的数据表之间的关联关系;
36、将每个数据表作为一个数据表节点,将存在关联关系的数据表对应的数据表节点之间连接一条边,构建所述第二域对应的拓扑结构,所述拓扑结构中每个数据表节点对应的点属性包括所述数据表信息。
37、可选地,所述数据表信息包括以下至少一项:
38、数据表访问等级信息;
39、数据表结构信息;
40、数据表包含的敏感字段信息。
41、可选地,所述根据所述数据安全值,确定是否响应所述访问请求,包括:
42、如果所述数据安全值大于或等于第三阈值,则确定响应所述访问请求。
43、可选地,所述方法还包括:
44、如果所述数据安全值小于所述第三阈值,则拒绝响应所述访问请求,或者,在获得对所述访问请求的审批通过信息时,响应所述访问请求。
45、可选地,所述方法还包括:
46、如果所述用户终端的访问权限不满足所述目标数据的访问等级要求,则拒绝响应所述访问请求。
47、第二方面,提供了一种数据访问控制装置,包括:
48、接收模块,用于接收用户终端针对目标数据的访问请求;;
49、第一确定模块,用于确定所述用户终端的访问权限;
50、第二确定模块,用于在所述用户终端的访问权限满足所述目标数据的访问等级要求的情况下,基于所述用户终端所在的第一域与所述目标数据所在的第二域,确定是否响应所述访问请求。
51、第三方面,提供了一种电子设备,包括:
52、存储器,用于存储计算机程序;
53、处理器,用于执行所述计算机程序时实现如第一方面所述的数据访问控制方法的步骤。
54、第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的数据访问控制方法的步骤。
55、第本文档来自技高网...
【技术保护点】
1.一种数据访问控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述用户终端所在的第一域与所述目标数据所在的第二域,确定是否响应所述访问请求,包括:
3.根据权利要求1所述的方法,其特征在于,所述基于所述用户终端所在的第一域与所述目标数据所在的第二域,确定是否响应所述访问请求,包括:
4.根据权利要求3所述的方法,其特征在于,所述确定所述目标数据的数据安全值,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于每个设备节点反馈的安全评估值以及反馈时间,确定所述目标数据的传输安全值,包括:
6.根据权利要求4所述的方法,其特征在于,所述基于所述第二域对应的拓扑结构,确定从所述目标数据对应的数据表节点出发的有效链路,包括:
7.根据权利要求4所述的方法,其特征在于,所述确定每条有效链路的链路价值,包括:
8.根据权利要求7所述的方法,其特征在于,通过以下步骤确定每个数据表节点的敏感字段的数量:
9.根据权利要求7所述的方法,其特征在于,通过以下步骤确定
10.根据权利要求4所述的方法,其特征在于,通过以下步骤构建所述第二域对应的拓扑结构:
11.根据权利要求10所述的方法,其特征在于,所述数据表信息包括以下至少一项:
12.根据权利要求3所述的方法,其特征在于,所述根据所述数据安全值,确定是否响应所述访问请求,包括:
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
14.根据权利要求1至13之中任一项所述的方法,其特征在于,所述方法还包括:
15.一种数据访问控制装置,其特征在于,包括:
16.一种电子设备,其特征在于,包括:
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至14之中任一项所述的数据访问控制方法的步骤。
...【技术特征摘要】
1.一种数据访问控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述用户终端所在的第一域与所述目标数据所在的第二域,确定是否响应所述访问请求,包括:
3.根据权利要求1所述的方法,其特征在于,所述基于所述用户终端所在的第一域与所述目标数据所在的第二域,确定是否响应所述访问请求,包括:
4.根据权利要求3所述的方法,其特征在于,所述确定所述目标数据的数据安全值,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于每个设备节点反馈的安全评估值以及反馈时间,确定所述目标数据的传输安全值,包括:
6.根据权利要求4所述的方法,其特征在于,所述基于所述第二域对应的拓扑结构,确定从所述目标数据对应的数据表节点出发的有效链路,包括:
7.根据权利要求4所述的方法,其特征在于,所述确定每条有效链路的链路价值,包括:
8.根据权利要求7所述的方法,其特征在于,通过以下步骤确定每个数...
【专利技术属性】
技术研发人员:常青,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。