[发明专利]一种数据安全访问方法及系统

说明书

技术领域

本发明涉及数据安全技术领域，尤其涉及一种数据安全访问方法及系统。

背景技术

数据安全是指对数据的授权访问做区别对待，让最终用户只能看到被授权允许访问的数据。从安全保障的策略上可以分为数据库级的安全控制和应用系统的安全控制。数据库级的安全控制能力由数据库产品自身提供，一般数据库产品通过授权，建立数据库角色和数据的访问权限。应用系统安全控制，是将数据安全作为应用的系统的功能，逐一进行开发控制。

在实现本发明的过程中，发明人发现现有的导航方案存在如下缺点：

在现有的数据安全控制，基于数据库自身提供的安全控制，只能通过数据库角色进行授权，数据库角色都比较简单无法满足实际应用中的复杂安全控制规则。

应用安全控制，属于功能开发实现，可以实现复杂的安全控制，但存在以下问题：当安全规则发生变化时，需要修改大量的应用程序代码。在基于即席查询的应用场景中，安全控制变得非常困难。当只需要控制数据中某些属性的安全级别时，应用程序的功能很难被预定制。

现有技术中，尚没有一种应用程序透明度高、数据访问安全度高的方案。

发明内容

本发明的目的在于克服现有技术的缺点和不足，提供一种数据安全访问方法及系统。

一种数据安全访问方法，所述方法包括：

预先配置数据安全访问规则，包括但不限于表的安全规则、数据匹配规则、字段安全规则和用户属性规则；

探针获取用户的数据访问请求；

根据所述数据访问请求对应的用户属性和SQL语句，分析所需访问的所述表和字段，结合所述用户属性规则和数据匹配规则，调整所述SQL语句；

根据所述调整后的SQL语句对数据发起访问，根据所述表的安全规则和字段安全规则对访问结果过滤后，返回给所述用户。

所述数据安全访问规则，还包括：

表的安全级别，字段的安全级别，用户对表、字段的访问限制级别，表数据与用户属性的匹配规则。

所述探针通过动态注入到数据访问组件，当有用户的数据访问请求时，探针监测访问请求的SQL语句并记录。

所述根据所述数据访问请求对应的用户属性和SQL语句，分析所需访问的所述表和字段，结合所述用户属性规则和数据匹配规则，调整所述SQL语句，包括：

将所述探针传入的SQL语句进行解析，构建SQL分词；

根据所述SQL分词得到所需访问的所述表及表的相关字段；

从所述表的安全规则加载表的安全控制信息和所述字段安全规则，同时加载所述用户属性信息；

根据所述用户属性规则以及所述用户与所述表的数据匹配规则确定是否需要对数据访问进行过滤；

根据过滤结果，构建新的SQL语句。

所述方法还包括：

确定数据访问涉及的表是否需要安全审批，若是，进行安全审批请求，并在请求通过后进行数据访问；否则，直接进行数据访问。

所述根据所述表的安全规则和字段安全规则对访问结果过滤，包括：

判断所述数据访问针对的表和字段是否涉及到敏感字段，若是，将相应的字段置空；否则，直接返回数据访问结果。

一种数据安全访问系统，所述系统包括数据安全设置单元、探针单元、语句调整单元和过滤单元，其中，

所述安全设置单元，用于预先配置数据安全访问规则，包括但不限于表的安全规则、数据匹配规则、字段安全规则和用户属性规则；

所述探针单元，用于获取用户的数据访问请求；

所述语句调整单元，用于根据所述数据访问请求对应的用户属性和SQL语句，分析所需访问的所述表和字段，结合所述用户属性规则和数据匹配规则，调整所述SQL语句；

所述过滤单元，用于根据所述调整后的SQL语句对数据发起访问，根据所述表的安全规则和字段安全规则对访问结果过滤后，返回给所述用户。

所述系统还包括审计控制单元，用于根据所述表的安全级别对所述用户访问权限进行审批管理。

所述审计控制单元，还用于记录数据访问日志，并通过所述日志进行数据安全访问的审计分析。

所述语句调整单元具体包括分词子单元、表字段获取子单元、加载子单元、过滤子单元和构建子单元，其中，

所述分词子单元，用于将所述探针传入的SQL语句进行解析，构建SQL分词；

所述表字段获取子单元，用于根据所述SQL分词得到所需访问的所述表及表的相关字段；