【技术实现步骤摘要】
本申请涉及信息安全,特别是涉及一种数据访问控制权限的转换方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
1、随着信息安全技术的发展,为了更好地进行数据管控,保护数据隐私,避免数据泄密或被滥用等,大多数企业都采用了一些数据访问的管控方案。目前,大多数企业采用的管控方案都是基于数据库账户的权限控制方案,即通过为一个公司或企业分配一个数据库账户,公司或企业的人员通过所分配的数据库账户进行指定数据表的增删改查等操作。
2、然而,随着数据分析的发展,开通数据库账户的个人或企业不断增长,涉及的数据表的数量也随之不断增长,从而将会影响数据访问权限的管控效率。
技术实现思路
1、基于此,有必要针对上述数据访问权限的管控效率较低的技术问题,提供一种数据访问控制权限的转换方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
2、第一方面,本申请提供了一种数据访问控制权限的转换方法。所述方法包括:
3、从数据库中获取数据访问权限信息以及控制视图的视图定义语句;所述数据访问权限信息包括访问对象和被访问的数据表;所述控制视图用于控制对所述数据表的访问权限;
4、根据所述数据访问权限信息,确定所述访问对象对所述数据表的访问方式;以及,解析所述视图定义语句,基于解析结果提取访问所述数据表的控制条件;
5、根据所述访问方式和所述控制条件,构建基于控制组件的访问权限控制方案。
6、在其中一个实施例中,所述根据所述数据访问权
7、确定所述数据访问权限信息中的所述数据表的访问权限类型;
8、根据所述数据表的访问权限类型,确定所述访问对象对所述数据表的访问方式。
9、在其中一个实施例中,所述访问权限类型包括只读权限和读写权限;所述根据所述数据表的访问权限类型,确定所述访问对象对所述数据表的访问方式,包括:
10、对于访问权限类型为只读权限的第一类数据表,根据所述数据访问权限信息,创建用户、用户组、数据表组与所述第一类数据表之间的第一关联关系,将所述第一关联关系确定为所述访问对象对所述第一类数据表的访问方式;
11、对于访问权限类型为读写权限的第二类数据表,确定访问对象与所述第二类数据表之间的访问关系;基于所述访问关系确定所述访问对象对所述第二类数据表的访问方式。
12、在其中一个实施例中,所述访问关系包括跨机构访问和同机构访问;所述基于所述访问关系确定所述访问对象对所述第二类数据表的访问方式,包括:
13、若所述访问关系为同机构访问,则根据所述数据访问权限信息,创建用户、用户组、数据表组与所述第二类数据表之间的第三关联关系,将所述第三关联关系确定为同机构的访问对象对所述第二类数据表的访问方式;
14、若所述访问关系为跨机构访问,则创建跨机构的访问对象与所述第二类数据表之间的第四关联关系,将所述第四关联关系确定为所述跨机构的访问对象对所述第二类数据表的访问方式。
15、在其中一个实施例中,所述控制视图包括多个分支机构的控制视图;所述解析所述视图定义语句,基于解析结果提取访问所述数据表的控制条件,包括:
16、解析各个分支机构的控制视图的视图定义语句,得到所述各个分支机构的访问对象访问对应的分支结构内的数据表的隔离控制信息;
17、将所述隔离控制信息,确定为所述控制条件。
18、在其中一个实施例中,所述控制视图包括敏感脱敏视图;所述解析所述视图定义语句,基于解析结果提取访问所述数据表的控制条件,包括:
19、解析敏感脱敏视图的视图定义语句,获取目标字段和目标函数;
20、根据所述目标函数,查找预设的敏感类型对照表,得到所述目标字段的敏感类型;
21、根据所述敏感类型,生成对应的脱敏策略,将所述脱敏策略确定为访问所述数据表的控制条件。
22、第二方面,本申请还提供了一种数据访问控制权限的转换装置。所述装置包括:
23、获取模块,用于从数据库中获取数据访问权限信息以及控制视图的视图定义语句;所述数据访问权限信息包括访问对象和被访问的数据表;所述控制视图用于控制对所述数据表的访问权限;
24、处理模块,用于根据所述数据访问权限信息,确定所述访问对象对所述数据表的访问方式;以及,解析所述视图定义语句,基于解析结果提取访问所述数据表的控制条件;
25、构建模块,用于根据所述访问方式和所述控制条件,构建基于控制组件的访问权限控制方案。
26、在其中一个实施例中,所述处理模块,还用于确定数据访问权限信息中的数据表的访问权限类型;根据数据表的访问权限类型,确定访问对象对数据表的访问方式。
27、在其中一个实施例中,访问权限类型包括只读权限和读写权限;所述处理模块,还用于对于访问权限类型为只读权限的第一类数据表,根据数据访问权限信息,创建用户、用户组、数据表组与第一类数据表之间的第一关联关系,将第一关联关系确定为访问对象对第一类数据表的访问方式;对于访问权限类型为读写权限的第二类数据表,确定访问对象与第二类数据表之间的访问关系;基于访问关系确定访问对象对第二类数据表的访问方式。
28、在其中一个实施例中,访问关系包括跨机构访问和同机构访问;所述处理模块,还用于若访问关系为同机构访问,则根据数据访问权限信息,创建用户、用户组、数据表组与第二类数据表之间的第三关联关系,将第三关联关系确定为同机构的访问对象对第二类数据表的访问方式; 若访问关系为跨机构访问,则创建跨机构的访问对象与第二类数据表之间的第四关联关系,将第四关联关系确定为跨机构的访问对象对第二类数据表的访问方式。
29、在其中一个实施例中,控制视图包括多个分支机构的控制视图;所述处理模块,还用于解析各个分支机构的控制视图的视图定义语句,得到各个分支机构的访问对象访问对应的分支结构内的数据表的隔离控制信息;将隔离控制信息,确定为控制条件。
30、在其中一个实施例中,控制视图包括敏感脱敏视图;所述处理模块,还用于解析敏感脱敏视图的视图定义语句,获取目标字段和目标函数;根据目标函数,查找预设的敏感类型对照表,得到目标字段的敏感类型;根据敏感类型,生成对应的脱敏策略,将脱敏策略确定为访问数据表的控制条件。
31、第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
32、从数据库中获取数据访问权限信息以及控制视图的视图定义语句;所述数据访问权限信息包括访问对象和被访问的数据表;所述控制视图用于控制对所述数据表的访问权限;
33、根据所述数据访问权限信息,确定所述访问对象对所述数据表的访问方式;以及,解析所述视图定义语句,基于解析结果提取访问所述数据表的控制条件;...
【技术保护点】
1.一种数据访问控制权限的转换方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述数据访问权限信息,确定所述访问对象对所述数据表的访问方式,包括:
3.根据权利要求2所述的方法,其特征在于,所述访问权限类型包括只读权限和读写权限;所述根据所述数据表的访问权限类型,确定所述访问对象对所述数据表的访问方式,包括:
4.根据权利要求3所述的方法,其特征在于,所述访问关系包括跨机构访问和同机构访问;所述基于所述访问关系确定所述访问对象对所述第二类数据表的访问方式,包括:
5.根据权利要求1所述的方法,其特征在于,所述控制视图包括多个分支机构的控制视图;所述解析所述视图定义语句,基于解析结果提取访问所述数据表的控制条件,包括:
6.根据权利要求1所述的方法,其特征在于,所述控制视图包括敏感脱敏视图;所述解析所述视图定义语句,基于解析结果提取访问所述数据表的控制条件,包括:
7.一种数据访问控制权限的转换装置,其特征在于,所述装置包括:
8.一种计算机设备,包括存储器和处理
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的数据访问控制权限的转换方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的数据访问控制权限的转换方法的步骤。
...【技术特征摘要】
1.一种数据访问控制权限的转换方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述数据访问权限信息,确定所述访问对象对所述数据表的访问方式,包括:
3.根据权利要求2所述的方法,其特征在于,所述访问权限类型包括只读权限和读写权限;所述根据所述数据表的访问权限类型,确定所述访问对象对所述数据表的访问方式,包括:
4.根据权利要求3所述的方法,其特征在于,所述访问关系包括跨机构访问和同机构访问;所述基于所述访问关系确定所述访问对象对所述第二类数据表的访问方式,包括:
5.根据权利要求1所述的方法,其特征在于,所述控制视图包括多个分支机构的控制视图;所述解析所述视图定义语句,基于解析结果提取访问所述数据表的控制条件,包括:
6.根据权...
【专利技术属性】
技术研发人员:张文翰,冯洁,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。