数据处理方法、装置、计算设备和介质与流程

本公开涉及计算机技术领域，更具体地，涉及一种数据处理方法、装置、一种计算设备以及一种计算机存储介质。

背景技术：

近几年来，随着银行业务的快速发展，银行数据中心所接入的第三方机构日益增多。同时，基于安全角度考虑，针对第三方机构的访问控制策略也日趋复杂。因此，如何高效且便捷地对第三方机构的访问策略进行管理，已成为网络专业研究的一项重要课题。

技术实现要素：

本公开的一个方面提供了一种数据处理方法，包括：获取多个网络设备的设备配置信息；根据所述设备配置信息，确定结构化配置数据；获取多个第三方机构的专线接入信息；从所述结构化配置数据中确定与每个专线接入信息关联的目标数据；以及输出所述目标数据。

可选地，所述多个网络设备包括网络地址转换设备、防火墙设备和路由设备，所述设备配置信息包括地址转换关系、防火墙策略和路由信息；所述获取网络设备的设备配置信息包括：从所述网络地址转换设备中采集所述地址转换关系；从所述防火墙设备上采集所述防火墙策略；以及从所述路由设备上采集所述路由信息。

可选地，所述根据所述设备配置信息，确定结构化配置数据包括：获取数据模板；以及根据数据模板，对所述设备配置信息进行解析，并将所述设备配置信息转化为结构化配置数据。

可选地，所述获取多个第三方机构的专线接入信息包括：获取所述多个第三方机构的机构信息；以及从数据库中查找与所述机构信息关联的专线接入信息。

可选地，所述专线接入信息包括至少一个第三方业务ip地址；所述目标数据包括第三方机构的目标地址转换关系、目标防火墙策略和目标路由信息；所述从所述结构化配置数据中确定与每个专线接入信息对应的目标数据包括：从结构化配置数据中确定与每个所述专线接入信息中第三方业务ip地址对应的目标地址转换关系、目标防火墙策略和目标路由信息。

可选地，所述的方法，还包括：获取针对访问关系的查询请求；从多个目标数据中确定与所述访问关系匹配的目标数据；以及展示与所述访问关系匹配的目标数据。

本公开的另一个方面提供了一种数据处理装置，包括：基础信息获取模块，用于获取多个网络设备的设备配置信息；基础信息解析模块，用于根据所述设备配置信息，确定结构化配置数据；专线信息获取模块，用于获取多个第三方机构的专线接入信息；设备数据关联模块，用于从所述结构化配置数据中确定与每个专线接入信息关联的目标数据；以及输出模块，用于输出所述目标数据。

可选地，所述装置还包括：查询请求获取模块，用于获取针对访问关系的查询请求；匹配模块，用于从多个目标数据中确定与所述访问关系匹配的目标数据；以及展示模块，用于展示与所述访问关系匹配的目标数据。

本公开的另一个方面提供了一种计算设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上所述的方法。

本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

根据本公开的实施例，通过收集不同网络的设备配置信息，将配置信息转化为结构化配置数据，并将结构化配置数据与各第三方机构与进行关联，从而实现了对第三方机构的访问策略的精准管理。

附图说明

为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：

图1示意性示出了根据本公开的实施例的数据处理方法和数据处理装置的应用场景；

图2示意性示出了根据本公开的实施例的数据处理方法的流程图；

图3示意性示出了根据本公开另一实施例的数据处理方法的流程图；

图4示意性示出了根据本公开的实施例的数据处理装置的框图；

图5示意性示出了根据本公开另一实施例的数据处理装置的框图；以及

图6示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的方框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。

附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。

本公开的实施例提供了一种数据处理方法以及能够应用该方法的数据处理装置。该方法包括获取多个网络设备的设备配置信息；根据设备配置信息，确定结构化配置数据；获取多个第三方机构的专线接入信息；从结构化配置数据中确定与每个专线接入信息关联的目标数据；以及输出目标数据。

图1示意性示出了根据本公开的实施例的数据处理方法和数据处理装置的应用场景。需要注意的是，图1所示仅为可以应用本公开实施例的场景的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

如图1所示，根据该实施例的系统架构100可以包括第三方机构服务器10、接入路由器21、核心交换机22、防火墙23、防火墙25、nat(networkaddresstranslation，网络地址转换)设备24、应用服务器26和第三方互联通讯管理系统30。

其中，接入路由器21、核心交换机22、防火墙23、防火墙25、nat设备24、应用服务器26和第三方互联通讯管理系统30位于银行数据中心的内网中。接入路由器21用于连接内网与外网。第三方机构服务器10可以通过外网向接入路由器21发送数据，例如可以发送针对应用服务器26的访问请求。接入路由器21可以将接收到的数据转发给相应的网络设备，例如来自第三方机构服务器10的访问请求转发给核心交换机22。核心交换机22可以用于对数据设置路由路线，例如为访问请求设置路由路线。防火墙23、25可以用于对流经的数据应用相应的防火墙策略进行处理。nat设备24可以用于将数据的外网ip地址转为内网ip地址，或者将内网ip地址转为外网ip地址。第三方互联通讯管理系统30可以用于采集接入路由器21、核心交换机22、防火墙23、防火墙25、nat设备24等网络设备的配置信息，并将这些配置信息与第三方机构进行关联，方便进行管理。

应该理解，图1中的第三方机构服务器、接入路由器、核心交换机、防火墙、防火墙、nat设备、应用服务器和第三方互联通讯管理系统的数目仅仅是示意性的。根据实现需要，可以具有任意数目的第三方机构服务器、接入路由器、核心交换机、防火墙、防火墙、nat设备、应用服务器和第三方互联通讯管理系统。

需要说明的是，本公开的数据处理方法和装置可用于金融领域，也可用于除金融领域之外的任意领域，本公开对数据处理方法和装置的应用领域不做限定。

图2示意性示出了根据本公开的实施例的数据处理方法的流程图。

如图2所示，该方法包括操作s210～s250。

在操作s210，获取多个网络设备的设备配置信息。

根据本公开的实施例，网络设备例如可以包括网络地址转换(nat)设备、防火墙设备和路由设备等。其中nat设备例如可以包括nat服务器，防火墙设备例如可以包括防火墙服务器，路由设备例如包括接入路由器、核心交换机等。设备配置信息例如可以包括地址转换关系、防火墙策略和路由信息等。其中，地址转换关系例如包括一个或多个外网ip地址，以及与每个外网ip地址对应的内网ip地址。防火墙策略例如可以包括一个或多个ip地址，以及与每个ip地址对应的安全策略。路由信息例如可以包括一个或多个ip地址，以及与每个ip地址对应的路由路线。

基于此，操作s210例如可以包括：从网络地址转换设备中采集地址转换关系，从防火墙设备上采集防火墙策略，并从路由设备上采集路由信息。

在操作s220，根据设备配置信息，确定结构化配置数据。

操作s220例如可以包括获取数据模板，根据数据模板，将设备配置信息转化为结构化配置数据。

根据本公开的实施例，不同网络设备的设备配置信息的格式可能不同。例如地址转换关系、防火墙策略和路由信息中ip地址、端口或者时间范围等配置参数的格式可能不同。因此，为了统一各网络设备的配置参数，本实施例中，可以对不同网络的设备配置信息使用对应数据模板进行解析，将配置信息转化为结构化配置数据。每个结构化配置数据对应一个网络设备的设备配置信息。

在操作s230，获取多个第三方机构的专线接入信息。

根据本公开的实施例，操作s230例如可以包括获取多个第三方机构的机构信息，从数据库中查找与机构信息关联的专线接入信息。其中，第三方机构的机构信息例如可以包括第三方机构的标识等信息。专线接入信息例如可以包括第三方业务ip地址等信息。

示例性地，本实施例中，专线接入信息预先存储在数据库中。可以根据第三方机构的机构信息，从数据库中查找与该机构信息相匹配的专线接入信息。

在操作s240，从结构化配置数据中确定与每个专线接入信息关联的目标数据。

根据本公开的实施例，操作s240例如可以包括根据第三方业务ip地址，从结构化配置数据中确定目标数据。

示例性地，本实施例中，目标数据包括第三方机构的目标地址转换关系、目标防火墙策略和目标路由信息。可以在结构化的地址转换关系中，确定与第三方业务ip地址对应的地址转换关系，即目标地址转换关系。然后根据该目标地址转换关系，确定第三方业务ip地址所对应的内网ip地址。从结构化的防火墙策略中，确定该内网ip地址所对应的防火墙策略，即目标防火墙策略。并且，根据第三方业务ip地址，确定其对应的路由器设备，例如接入路由器、核心交换机等，从结构化的路由信息中确定这些路由器设备所对应的路由信息，即目标路由信息。

在操作s250，输出目标数据。

根据本公开的实施例，还可以根据目标数据形成日常报表，以对第三方机构日常访问情况予以统计，方便用户进行分析。

根据本公开的实施例，通过收集不同网络的设备配置信息，将配置信息转化为结构化配置数据，并将结构化配置数据与各第三方机构与进行关联，从而实现了对第三方机构的访问策略的精准管理。

另外，传统的第三方访问管理方式在第三方机构的网络访问出现故障时，需要技术人员针对实际数据流逐台登录各个网络设备，对各个网络设备进行配置确认以定位故障。这种方式对技术人员的经验及技术水平有较高的要求。

根据本公开的实施例，通过上述操作，使得每个第三方机构的专线接入信息、地址转换关系、防火墙策略和路由信息关联在一起，从而在第三方机构的访问发生故障时，方便进行问题排查，提高了问题排查的效率。

图3示意性示出了根据本公开另一实施例的数据处理方法的流程图。

如图3所示，除了操作s210～s250，该方法还包括操作s310～s330。操作s310～s330例如可以在操作s250之后执行。

在操作s310，获取针对访问关系的查询请求。

根据本公开的实施例，访问关系的查询请求指示了该访问关系中的源ip地址和目标ip地址。

在操作s320，从多个目标数据中确定与访问关系匹配的目标数据。

根据本公开的实施例，可以从各专线接入信息关联的目标数据中，查找与源ip地址和目标ip地址对应的地址转换关系。该地址转换关系指示了访问方的外网ip地址和内网ip地址，以及被访问方的外网ip地址和内网ip地址。然后根据访问方的外网ip地址和内网ip地址，以及被访问方的外网ip地址和内网ip地址，确定与访问关系对应的防火墙设备、防火墙策略、路由设备以及路由信息。

操作s330，展示与访问关系匹配的目标数据。

根据本公开的实施例，可以通过视图将以上确定的地址转换关系、防火墙设备、防火墙策略、路由设备以及路由信息等数据向用户直观展示。如未匹配到以上任一内容，则告知用户当前访问关系不存在。

根据本公开的实施例，当第三方机构的访问出现故障时，可以根据访问关系进行查询，得到与该访问关系相关联的各网络设备的配置信息，从而方便技术人员进行问题排查。

图4示意性示出了根据本公开的实施例的数据处理装置的框图。

如图4所示，数据处理装置400包括基础信息获取模块410、基础信息解析模块420、专线信息获取模块430、设备数据关联模块440和输出模块450。该数据处理装置400可以执行上面参考图2描述的方法。

具体地，基础信息获取模块410，例如可以用于获取多个网络设备的设备配置信息。

基础信息解析模块420，例如可以用于根据设备配置信息，确定结构化配置数据。

专线信息获取模块430，例如可以用于获取多个第三方机构的专线接入信息。

设备数据关联模块440，例如可以用于从结构化配置数据中确定与每个专线接入信息关联的目标数据。

输出模块450，例如可以用于输出目标数据。

根据本公开的实施例，通过收集不同网络的设备配置信息，将配置信息转化为结构化配置数据，并将结构化配置数据与各第三方机构与进行关联，从而实现了对第三方机构的访问策略的精准管理。

图5示意性示出了根据本公开另一实施例的数据处理装置的框图。

如图5所示，除了基础信息获取模块410、基础信息解析模块420、专线信息获取模块430、设备数据关联模块440和输出模块450，该数据处理装置500还可以包括查询请求获取模块510、匹配模块520和展示模块530。该数据处理装置500可以执行上面参考图3描述的方法。

查询请求获取模块510，例如可以用于获取针对访问关系的查询请求；

匹配模块520，例如可以用于从多个目标数据中确定与访问关系匹配的目标数据；以及

展示模块530，例如可以用于展示与访问关系匹配的目标数据。

根据本公开的实施例，当第三方机构的访问出现故障时，可以根据访问关系进行查询，得到与该访问关系相关联的各网络设备的配置信息，从而方便技术人员进行问题排查。

根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

例如，基础信息获取模块410、基础信息解析模块420、专线信息获取模块430、设备数据关联模块440、输出模块450、查询请求获取模块510、匹配模块520和展示模块530中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，基础信息获取模块410、基础信息解析模块420、专线信息获取模块430、设备数据关联模块440、输出模块450、查询请求获取模块510、匹配模块520和展示模块530中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，基础信息获取模块410、基础信息解析模块420、专线信息获取模块430、设备数据关联模块440、输出模块450、查询请求获取模块510、匹配模块520和展示模块530中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图6示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的方框图。图6示出的计算机系统仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图6所示，计算机系统600包括处理器610以及计算机可读存储介质620。该计算机系统600可以执行根据本公开实施例的方法。

具体地，处理器610例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器610还可以包括用于缓存用途的板载存储器。处理器610可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

计算机可读存储介质620，例如可以是非易失性的计算机可读存储介质，具体示例包括但不限于：磁存储装置，如磁带或硬盘(hdd)；光存储装置，如光盘(cd-rom)；存储器，如随机存取存储器(ram)或闪存；等等。

计算机可读存储介质620可以包括计算机程序621，该计算机程序621可以包括代码/计算机可执行指令，其在由处理器610执行时使得处理器610执行根据本公开实施例的方法或其任何变形。

计算机程序621可被配置为具有例如包括计算机程序模块的计算机程序代码。例如，在示例实施例中，计算机程序621中的代码可以包括一个或多个程序模块，例如包括621a、模块621b、……。应当注意，模块的划分方式和个数并不是固定的，本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合，当这些程序模块组合被处理器610执行时，使得处理器610可以执行根据本公开实施例的方法或其任何变形。

根据本发明的实施例，基础信息获取模块410、基础信息解析模块420、专线信息获取模块430、设备数据关联模块440、输出模块450、查询请求获取模块510、匹配模块520和展示模块530中的至少一个可以实现为参考图6描述的计算机程序模块，其在被处理器610执行时，可以实现上面描述的相应操作。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

尽管已经参照本公开的特定示例性实施例示出并描述了本公开，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以对本公开进行形式和细节上的多种改变。因此，本公开的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。