[发明专利]数据权限分配与访问控制的方法

说明书

技术领域

本发明涉及大数据信息安全技术领域，更具体地，涉及一种数据权限分配与访问控制的方法。

背景技术

随着企业业务持续地增长、信息系统运用不断地深入，企业内部部署的大量不同种类、形态各异的信息化系统与IT基础设备产生大量结构化和非结构化的数据，数据量日益增加、数据也爆发式增长。因此信息安全数据分析平台也由传统数据分析平台进入了大数据分析平台的时代，大数据安全分析平台给企业带来了海量数据的可扩展存储系统、快速的信息获取、强有力的安全分析支撑；大数据分析平台给企业创造出巨大的经济和社会价值的同时仍面临着传统数据分析平台的数据权限分配问题，即大数据中数据的授权访问问题。

当前大数据分析平台面临着如下数据安全访问问题：大数据分析平台的用户主要角色都是企业各个重要角色；各类信息系统、IT设备管理者推进大数据平台的建设；信息安全分析师参与大数据平台直接建设比重增加；数据开发、数据模型角色都是数据平台的建设者与使用者；大数据分析平台面对是数据源多样化，比如IT设备日志、数据库日志、Web日志、信息系统日志、交易类日志和视频/音频等非结构化数据；各类数据满足大数据安全分析的同时，又要满足按用户角色访问隔离，达到按授权访问。

大数据安全分析平台迫切解决以上问题，若平台数据权限设计不当或较重会导致数据处理速度较慢、影响安全分析效果；若设计较轻，可能会导致越权访问，造成数据的泄漏，因此有必要提供一种数据权限分配与访问控制的方法，解决大数据安全分析平台的数据权限访问控制问题。

发明内容

本发明的目的是解决大数据安全分析平台的数据权限访问控制问题。

为了实现上述目的，本发明提供一种数据权限分配与访问控制的方法，该方法包括如下步骤：基于平台用户拥有的IT设备和信息系统，构建权限标签树；基于RBAC模型，构建基于所述权限标签树的数据权限访问控制模型；基于所述数据权限访问控制模型，在业务访问时依据权限标签进行过滤，实现用户访问的权限控制。

优选地，所述构建权限标签树是将所述IT设备和信息系统与所述权限标签树节点进行映射。

优选地，所述权限标签树的每个节点包含一个唯一的权限标签编号。

优选地，所述权限标签树包括父节点和子节点，当拥有父节点权限时，代表拥有所有的子节点权限。

优选地，所述数据权限访问控制模型包括用户，所述用户拥有若干角色，所述角色拥有若干权限，所述权限对应所述权限标签树的若干权限节点，所述权限节点对应相应的所述IT设备和信息系统。

优选地，所述权限标签树、所述IT设备和信息系统、所述用户、所述角色、所述权限及其之间的关系数据，在平台启动时全部加载到内存并实时更新。

优选地，所述IT设备和信息系统产生异构数据，对所述异构数据进行数据增强后实时存储到分布式系统。

优选地，所述数据增强包括：对所述异构数据进行标准化，得到标准化数据中的设备标识；基于所述设备标识，找到对应的所述IT设备和信息系统；基于所述IT设备和信息系统，得到与之对应的所述权限标签；基于所述权限标签，对所述标准化数据的权限标志位进行补充。

优选地，所述存储为分布式存储。

优选地，所述分布式存储基于存储集群节点的处理能力指标，所述处理能力指标表示为：

其中，x₁,…,x_k为存储节点连通性、CPU利用率、内存利用率、采集性能取值，f₁,…,f_k为存储节点连通性、CPU利用率、内存利用率、采集性能对应的权重值，n为采集节点连通性、CPU利用率、内存利用率、采集性能对应的权重值求和；x₁f₁,…,x_kf_k为采集节点的连通性、CPU利用率、内存利用率和采集性能的加权。

本发明的有益效果在于：将用户拥有的IT设备和信息系统与权限标签树的节点绑定，利用标签树的结构对采集的IT设备和信息系统中的数据进行权限标签化，实现高速处理数据的同时，对采集的数据进行细粒度授权；用户按拥有的一个或多个角色获得访问权限标签树相应节点的授权，实现了用户数据访问的授权、认证、隔离，避免了越权访问而导致数据泄露,对用户数据提供最安全的保障。

本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明