本发明专利技术公开了一种数据访问管理方法、装置及计算机可读存储介质,其中,所述方法包括:获取外部终端对应的许可信息;基于所述许可信息设置数据库诱饵,并基于所述许可信息开放所述外部终端对应的访问权限;在监测到基于所述数据库诱饵的恶意事件时,终止所述外部终端的访问权限。本发明专利技术旨在提高外部终端访问内部资产数据的安全性。数据的安全性。数据的安全性。
【技术实现步骤摘要】
数据访问管理方法、装置及计算机可读存储介质
[0001]本专利技术涉及移动通信
,尤其涉及一种数据访问管理方法、装置及计算机可读存储介质。
技术介绍
[0002]零信任网络(ZTN,Zero Trust Network)在默认情况下不信任企业网络内部和外部的任何设备或应用,需要基于认证和授权重构访问控制的信任基础。在ZTN的架构中,有三个主要组成部分:SDP(Software Defined Perimeter软件定义边界,也称为零信任网络访问)、微隔离、IAM(身份访问控制管理)。
[0003]在相关技术中,会利用SDP保护企业的关键资产,使得企业的关键资产能够与不安全的网络隔离开来,但是在厂家人员与企业人员合作开展项目时,又面临需要访问关键资产的需求,因此出现了外部终端访问企业内部资产数据的安全性问题。
[0004]上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
[0005]本专利技术的主要目的在于提供一种数据访问管理方法、装置及计算机可读存储介质,旨在达成提高外部终端访问内部资产数据的安全性的效果。
[0006]为实现上述目的,本专利技术提供一种数据访问管理方法,所述数据访问管理方法包括:
[0007]获取外部终端对应的许可信息;
[0008]基于所述许可信息设置数据库诱饵,并基于所述许可信息开放所述外部终端对应的访问权限;
[0009]在监测到基于所述数据库诱饵的恶意事件时,终止所述外部终端的访问权限。
[0010]可选地,所述基于所述许可信息设置数据库诱饵,并基于所述许可信息开放所述外部终端对应的访问权限的步骤包括:
[0011]根据所述许可信息确定许可数据库和对应的有效访问时间;
[0012]根据所述有效访问时间确定所述数据库诱饵的激活状态保持时间;
[0013]根据所述激活状态保持时间针对所述许可数据库设置所述数据库诱饵。
[0014]可选地,所述根据所述有效访问时间确定所述数据库诱饵的激活状态保持时间的步骤包括:
[0015]确定所述许可数据库当前的可访问终端,以及各个可访问终端的剩余访问时间;
[0016]将所述有效访问时长和所述剩余访问时长的时间合集,作为所述激活状态保持时间。
[0017]可选地,所述获取外部终端对应的许可信息的步骤包括:
[0018]在接收到所述外部终端发送的资产访问请求时,向所述外部终端的担保终端发送
担保征询请求;
[0019]根据所述担保终端基于所述担保征询请求反馈的确认信息,确定所述许可信息。
[0020]可选地,所述终止所述外部终端的访问权限的步骤之后,还包括:
[0021]获取所述恶意事件对应的源IP地址、所述外部终端对应设备工作信息和所述担保终端的担保者信息;
[0022]根据所述源IP地址、所述设备工作信息和所述担保者信息生成所述恶意事件日志;
[0023]输出所述恶意事件日志。
[0024]可选地,所述向所述外部终端的担保终端发送担保征询请求的步骤之前,还包括:
[0025]在接收到外部终端发送的资产访问请求时,确定资产访问请求的访问目标;
[0026]在所述访问目标包括预设敏感数据时,确定所述资产访问请求是否具有访问所述预设敏感数据的访问签约信息;
[0027]当所述资产访问请求不具有所述访问签约信息时,获取所述外部终端发送的设备工作信息和所述担保终端的担保者信息;
[0028]在所述设备工作信息和所述担保者信息验证成功时,根据所述设备工作信息和所述访问目标生成所述担保征询请求,并执行所述向所述外部终端的担保终端发送担保征询请求的步骤。
[0029]可选地,所述根据所述担保终端基于所述担保征询请求反馈的确认信息,确定所述许可信息的步骤之后,还包括:
[0030]向所述担保终端发送数据访问征询页面,所述数据访问征询页面包括外部终端的数据库信息;
[0031]接收所述担保终端基于所述数据访问征询页面发送的选择信息,并根据所述选择信息确定所述担保终端需要访问的目标数据库;
[0032]基于所述目标数据库向所述外部终端对应的数据访问管理装置发送交叉访问请求,所述交叉访问请求包括所述担保者信息、所述设备工作信息中企业临时工作组的名称和预存的访问签信息,以便于所述担保终端访问所述目标数据库中的内部资产数据。
[0033]此外,为实现上述目的,本专利技术还提供一种数据访问管理装置,所述数据访问管理装置包括:
[0034]获取模块,所述获取模块用于获取外部终端对应的许可信息;
[0035]设置模块,所述设置模块用于基于所述许可信息设置数据库诱饵,并基于所述许可信息开放所述外部终端对应的访问权限;
[0036]监测模块,所述监测模块用于在监测到基于所述数据库诱饵的恶意事件时,终止所述外部终端的访问权限。
[0037]此外,为实现上述目的,本专利技术还提供一种数据访问管理装置,所述数据访问管理装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据访问管理程序,所述数据访问管理程序被所述处理器执行时实现如上所述的数据访问管理方法的步骤。
[0038]此外,为实现上述目的,本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有数据访问管理程序,所述数据访问管理程序被处理器执行时实现如上所
述的数据访问管理方法的步骤。
[0039]本专利技术实施例提出的一种数据访问管理方法、装置及计算机可读存储介质,获取模块用于获取外部终端对应的许可信息。这样在能够保证对于资产的必要访问能够正常进行的同时,又能基于数据库诱饵隔离不安全的访问,并在恶意事件发生时,及时断开外部终端的访问权限,实现了提高外部终端访问内部资产数据的安全性的效果。
附图说明
[0040]图1是本专利技术实施例方案涉及的硬件运行环境的终端结构示意图;
[0041]图2为本专利技术数据访问管理方法的一实施例的流程示意图;
[0042]图3为本专利技术数据访问管理方法的另一实施例的流程示意图;
[0043]图4为本专利技术数据访问管理方法的又一实施例的流程示意图;
[0044]图5为本专利技术实施例涉及的担保征询界面示意图;
[0045]图6为本专利技术实施例涉及的数据访问征询页面示意图;
[0046]图7为本专利技术实施例涉及的数据访问管理装置架构简图。
[0047]本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
[0048]应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。
[0049]由于在相关技术中,会利用SDP保护企业的关键资产,使得企业的关键资产能够与不安全的网络隔离开来,但是在厂家人员与企业人员合作开展项目时,又面临需要访问关键资产的需求,因此出现了外部终端访问本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据访问管理方法,其特征在于,所述数据访问管理方法包括:获取外部终端对应的许可信息;基于所述许可信息设置数据库诱饵,并基于所述许可信息开放所述外部终端对应的访问权限;在监测到基于所述数据库诱饵的恶意事件时,终止所述外部终端的访问权限。2.如权利要求1所述的数据访问管理方法,其特征在于,所述基于所述许可信息设置数据库诱饵,并基于所述许可信息开放所述外部终端对应的访问权限的步骤包括:根据所述许可信息确定所述外部终端的标识信息、许可数据库和对应的有效访问时间;根据所述有效访问时间确定所述数据库诱饵的激活状态保持时间;根据所述标识信息、所述激活状态保持时间针对所述许可数据库设置所述数据库诱饵。3.如权利要求2所述的数据访问管理方法,其特征在于,所述根据所述有效访问时间确定所述数据库诱饵的激活状态保持时间的步骤包括:确定所述许可数据库当前的可访问终端,以及各个可访问终端的剩余访问时间;将所述有效访问时长和所述剩余访问时长的时间合集,作为所述激活状态保持时间。4.如权利要求1所述的数据访问管理方法,其特征在于,所述获取外部终端对应的许可信息的步骤包括:在接收到所述外部终端发送的资产访问请求时,向所述外部终端的担保终端发送担保征询请求;根据所述担保终端基于所述担保征询请求反馈的确认信息,确定所述许可信息。5.如权利要求4所述的数据访问管理方法,其特征在于,所述终止所述外部终端的访问权限的步骤之后,还包括:获取所述恶意事件对应的源IP地址、所述外部终端对应设备工作信息和所述担保终端的担保者信息;根据所述源IP地址、所述设备工作信息和所述担保者信息生成所述恶意事件日志;输出所述恶意事件日志。6.如权利要求4所述的数据访问管理方法,其特征在于,所述向所述外部终端的担保终端发送担保征询请求的步骤之前,还包括:在接收到外部终端发送的资产访问请求时,确定资产访问请求的访问目标;在所述访问目标包括预设敏感数据时,确定所述资产...
【专利技术属性】
技术研发人员:陈若鹏,王阳,徐志成,曲大林,蒋小雨,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。