一种数据访问控制方法及系统技术方案

本发明专利技术实施例提供的数据访问控制方法及系统，接收用户的数据访问请求；调用预先存储的数据安全策略和数据安全标签映射规则表；基于数据访问请求中携带的用于指示防护场景类型的参数信息，确定防护场景类型；在确定的防护场景类型下，根据数据安全策略、数据安全标签映射规则表和数据访问请求，输出数据访问结果或防护操作信号。在本方案中，在进行数据访问控制过程中，利用预先设置的数据安全标签映射规则表进行数据识别，以提高数据识别的准确性，进一步通过预先设置的数据安全策略进行访问控制，从而实现数据访问过程中，无误差、精确的数据安全防护的目的。

【技术实现步骤摘要】
一种数据访问控制方法及系统
本专利技术涉及数据处理
，更具体地说，涉及一种数据访问控制方法及系统。
技术介绍
随着互联网技术的迅猛发展，信息化应用已逐渐深入到人们生产、生活中的各个领域。例如，通过学籍管理系统管理学校或者班级的学生学籍数据，通过航空公司订单管理系统管理旅客的航旅订单数据等等，这些数据通常涉及个人隐私，因而如何保障这些数据的安全性也就显得尤为重要。目前，通常采用对数据访问进行控制的手段来防止数据泄露以保证数据的安全性，即在进行数据访问时，先对要访问的数据进行识别，再根据识别的结果决定是否允许访问数据。现有技术中，主要通过正则表达式和关键字匹配等方式对要访问的数据进行识别，然而，这些方式存在识别错误率较高，不能准确识别数据的缺陷，例如，若将重要数据识别成普通数据等，会致使重要数据泄露从而引发数据安全性的问题。
技术实现思路
有鉴于此，本专利技术实施例提供一种数据访问控制方法及系统，以解决现有技术中不能准确识别数据，致使数据泄露从而引发数据安全性的问题。为实现上述目的，本专利技术实施例提供如下技术方案：一方面，本专利技术实施例提供一种数据访问控制方法，包括：接收用户的数据访问请求，所述数据访问请求中携带有用于指示防护场景类型的参数信息；调用预先存储的数据安全策略和数据安全标签映射规则表；基于所述参数信息，确定防护场景类型，所述防护场景类型至少包括数据库防护和出口防护；在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果或者防护操作信号。可选的，所述基于所述参数信息，确定防护场景类型，包括：分析所述参数信息，获取所述参数信息所指示的数据访问路径；若所述数据访问路径为访问数据库的路径，确定当前的防护场景类型为数据库防护；若所述数据访问路径为返回数据给用户的路径，确定当前的防护场景类型为出口防护。可选的，若所述防护场景类型为数据库防护，在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果，包括：基于所述数据访问请求获取所述用户的用户属性；基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签；将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对所述访问语句进行防护操作；根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。可选的，所述基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签，包括：解析所述数据访问请求，得到所述数据访问请求中包含的以表及字段格式表示访问语句的集合；基于所述数据安全标签映射规则表，将所述集合中的每个以表及字段格式表示的访问语句映射至数据安全标签，得到所述数据安全标签。可选的，所述将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配，包括：将所述用户属性与各个数据安全策略中的用户属性条件进行匹配；将所述数据安全标签与各个数据安全策略中的数据安全标签条件进行匹配。可选的，若所述防护场景类型为数据库防护，所述防护操作包括：行防护操作和列防护操作；所述行防护操作包括：在所述访问语句中增加条件指令，所述条件指令用于指示对基于所述访问语句获取到的数据以行为单位进行过滤处理，或者，对基于所述访问语句获取到的数据以行为单位进行禁止处理，使部分行数据禁止输出；所述列防护操作包括：在所述访问语句中增加处理方式指令，所述处理方式指令用于指示对基于所述访问语句获取到的数据以字段为单位，按照所述处理方式指令中携带的处理方式对各字段数据进行处理。可选的，若所述防护场景类型为出口防护，在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出防护操作信号，包括：基于所述数据访问请求获取所述用户的用户属性；基于所述数据访问请求获取数据安全标签，所述数据安全标签由应用系统输入；将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，将匹配的数据安全策略对应的防护操作添加至待执行防护操作集合，所述防护操作包括拒绝操作和允许操作；确定所述防护操作集合中所对应的最终防护操作信号，并输出；其中，当所述防护操作集合中存在拒绝操作时，所述最终防护操作信号是拒绝信号；当所述防护操作集合中仅存在允许操作时，所述最终防护操作信号是允许信号；当所述防护操作集合中不存在任何防护操作时，所述最终防护操作信号是警示信号。另一方面，本专利技术实施例提供一种数据访问控制系统，包括：接收模块，用于接收用户的数据访问请求，所述数据访问请求中携带有用于指示防护场景类型的参数信息；防护场景类型确定模块，用于基于所述参数信息，确定防护场景类型，所述防护场景类型至少包括数据库防护和出口防护；数据访问执行模块，用于调用预先存储的数据安全策略和数据安全标签映射规则表；在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果或者防护操作信号。可选的，所述数据访问执行模块，包括：第一获取单元，用于若所述防护场景类型确定模块确定所述防护场景类型为数据库防护，基于所述数据访问请求获取所述用户的用户属性；映射单元，用于基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签；第一匹配单元，用于将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；数据访问执行单元，用于获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对所述访问语句进行防护操作；根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。可选的，所述数据访问执行模块，包括：第二获取单元，用于若所述防护场景类型确定模块确定所述防护场景类型为出口防护，基于所述数据访问请求获取所述用户的用户属性；基于所述数据访问请求获取数据安全标签，所述数据安全标签由应用系统输入；第二匹配单元，用于将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；防护操作添加单元，用于获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，将匹配的数据安全策略对应的防护操作添加至待执行防护操作集合，所述防护操作包括拒绝操作和允许操作；防护操作集合处理单元，用于确定所述防护操作集合中所对应的最终防护操作信号，并输出；其中，当所述防护操作集合中存在拒绝操作时，所述最终防护操作信号是拒绝信号；当所述防护操作集合中仅存在允许操作时，所述最本文档来自技高网...

【技术保护点】
1.一种数据访问控制方法，其特征在于，包括：/n接收用户的数据访问请求，所述数据访问请求中携带有用于指示防护场景类型的参数信息；/n调用预先存储的数据安全策略和数据安全标签映射规则表；/n基于所述参数信息，确定防护场景类型，所述防护场景类型至少包括数据库防护和出口防护；/n在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果或者防护操作信号。/n

【技术特征摘要】
1.一种数据访问控制方法，其特征在于，包括：
接收用户的数据访问请求，所述数据访问请求中携带有用于指示防护场景类型的参数信息；
调用预先存储的数据安全策略和数据安全标签映射规则表；
基于所述参数信息，确定防护场景类型，所述防护场景类型至少包括数据库防护和出口防护；
在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果或者防护操作信号。


2.根据权利要求1所述的方法，其特征在于，所述基于所述参数信息，确定防护场景类型，包括：
分析所述参数信息，获取所述参数信息所指示的数据访问路径；
若所述数据访问路径为访问数据库的路径，确定当前的防护场景类型为数据库防护；
若所述数据访问路径为返回数据给用户的路径，确定当前的防护场景类型为出口防护。


3.根据权利要求1所述的方法，其特征在于，若所述防护场景类型为数据库防护，在确定的防护场景类型下，根据所述数据安全策略、所述数据安全标签映射规则表和所述数据访问请求，输出数据访问结果，包括：
基于所述数据访问请求获取所述用户的用户属性；
基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签；
将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配；
获取同时与所述用户属性和所述数据安全标签匹配的数据安全策略，基于匹配的数据安全策略对所述访问语句进行防护操作；
根据执行防护操作后的访问语句访问数据库，将得到的访问数据反馈给用户。


4.根据权利要求3所述的方法，其特征在于，所述基于所述数据安全标签映射规则表对所述数据访问请求中的访问语句进行映射，得到数据安全标签，包括：
解析所述数据访问请求，得到所述数据访问请求中包含的以表及字段格式表示访问语句的集合；
基于所述数据安全标签映射规则表，将所述集合中的每个以表及字段格式表示的访问语句映射至数据安全标签，得到所述数据安全标签。


5.根据权利要求3所述的方法，其特征在于，所述将所述数据安全策略逐个与所述用户属性、所述数据安全标签进行匹配，包括：
将所述用户属性与各个数据安全策略中的用户属性条件进行匹配；
将所述数据安全标签与各个数据安全策略中的数据安全标签条件进行匹配。


6.根据权利要求1至5中任一项所述的方法，其特征在于，若所述防护场景类型为数据库防护，所述防护操作包括：行防护操作和列防护操作；
所述行防护操作包括：
在所述访问语句中增加条件指令，所述条件指令用于指示对基于所述访问语句获取到的数据以行为单位进行过滤处理，或者，对基于所述访问语句获取到的数据以行为单位进行禁止处理，使部分行数据禁止输出；
所述列防护操作包括：
在所述访问语句中增加处理方式指令，所述处理方式指令用于指示对基于所述访问语句获取到的数据以字段为单位，按照所述处理方式指令中携带的处理方式对各字段数据进行处理。


7.根据权利要求1所述的方法，其特征在于，若所述防护场景类型为出口防护，在确定的防护场景类型下，根据所述数据安...

【专利技术属性】
技术研发人员：张磊，高健媛，李永进，江涛，孟祥，
申请(专利权)人：中国民航信息网络股份有限公司，
类型：发明
国别省市：北京;11