一种安全级别确定方法、装置、设备及存储介质与流程

1.本技术涉及信息安全技术领域，尤其涉及一种安全级别确定方法、装置、设备及存储介质。


背景技术：

2.大数据技术推进了各个行业向数字化、网络化以及智能化发展，数据和信息作为一种特殊的资源，在各行业的业务系统共享和使用过程中发挥着重要的作用，创造着新的价值，因此，数据和信息的安全至关重要。在相关技术中，通常通过监控数据操作者对数据执行的实际操作，确定业务系统的安全性，然而，这样的数据安全监控方式不够全面。


技术实现要素：

3.基于以上问题，本技术实施例提供了一种安全级别确定方法、装置、设备及电子设备。本技术实施例提供的安全级别确定方法，在安全级别的确定过程中，考虑了对第一数据访问的权限审核请求、以及对第一数据操作而产生的操作日志对安全因素的影响，从而使得对安全级别的监控方式更加全面。
4.本技术实施例提供的技术方案是这样的：
5.本技术实施例提供了一种安全级别确定方法，所述方法包括：
6.获取权限审核请求；其中，所述权限审核请求，包括申请对第一数据访问权限的审核请求；
7.在所述权限审核请求满足指定条件的情况下，确定第二数据；其中，所述指定条件，包括所述权限审核请求中未携带指定数据、且所述权限审核请求的审核结果为允许对所述第一数据进行访问；所述第二数据，包括对所述第一数据访问而产生的操作日志数据；所述指定数据，包括权限申请理由数据；
8.对所述第二数据进行处理，确定所述权限审核请求对应的安全级别。
9.在一些实施例中，所述确定第二数据，包括：
10.获取所述权限审核请求的请求标识以及数据访问日志；其中，所述数据访问日志，包括对任意数据访问而产生的操作日志数据；
11.基于所述请求标识对所述数据访问日志进行筛选，确定所述第二数据。
12.在一些实施例中，所述对所述第二数据进行处理，确定所述权限审核请求对应的安全级别，包括：
13.从所述第二数据中获取至少一种访问行为数据；其中，所述访问行为数据，至少包括对目标数据的访问行为对应的数据；所述第一数据，包括所述目标数据；
14.对至少一种所述访问行为数据进行处理，确定所述安全级别。
15.在一些实施例中，所述对至少一个所述访问行为数据进行处理，确定所述安全级别，包括：
16.确定至少一个所述访问行为数据中每一访问行为数据对应的级别数据；
17.对所述级别数据进行处理，确定所述安全级别。
18.在一些实施例中，所述确定至少一个所述访问行为数据中每一访问行为数据对应的级别数据，包括：
19.基于每一所述访问行为数据，至少确定第三数据以及第四数据；其中，所述第三数据，包括所述访问行为对应的级别信息；所述第四数据，包括所述目标数据对应的级别信息；
20.对第三数据以及所述第四数据进行乘法处理，确定每一所述访问行为数据对应的级别数据。
21.在一些实施例中，基于每一所述访问行为数据，获取第三数据，包括：
22.基于每一所述访问行为数据，至少获取访问行为类型和/或访问行为频率；
23.基于所述访问行为类型和/或所述访问行为频率，确定所述第三数据。
24.在一些实施例中，所述对至少一个所述级别数据进行处理，确定所述安全级别，包括：
25.在所述级别数据的数量为至少两个的情况下，对至少两个所述级别数据进行求和处理，得到求和结果；
26.确定第一阈值；
27.在所述求和结果大于所述第一阈值的情况下，确定所述安全级别为第一级别；
28.在所述求和结果小于或等于所述第一阈值的情况下，确定所述安全级别为第二级别；其中，所述第一级别的风险等级高于所述第二级别的风险等级。
29.在一些实施例中，所述确定第一阈值，包括：
30.对所述第一数据进行分析，确定第一信息；其中，所述第一信息，至少包括所述第一数据的业务类型信息；
31.对所述第二数据进行分析，确定第二信息；其中，所述第二信息，至少包括对所述第一数据执行的访问行为的频率；
32.基于所述第一信息以及所述第二信息，确定所述第一阈值。
33.在一些实施例中，所述方法还包括：
34.在所述求和结果小于第二阈值的情况下，确定所述安全级别为无风险级别；其中，所述第二阈值小于所述第一阈值。
35.在一些实施例中，所述获取权限审核请求之后，还包括：
36.通过字符卷积神经网络(char convolutional neural networks，char-cnn)对所述权限审核请求进行分析，确定所述权限审核请求是否满足所述指定条件。
37.本技术实施例还提供了一种安全级别确定装置，所述装置包括获取模块以及确定模块；其中：
38.所述获取模块，用于获取权限审核请求；其中，所述权限审核请求，包括申请对第一数据访问权限的审核请求；
39.所述确定模块，用于在所述权限审核请求满足指定条件的情况下，确定第二数据；其中，所述指定条件，包括所述权限审核请求中未携带指定数据、且所述权限审核请求的审核结果为允许对所述第一数据进行访问；所述第二数据，包括对所述第一数据访问而产生的操作日志数据；所述指定数据，包括权限申请理由数据；
40.所述确定模块，还用于对所述第二数据进行处理，确定所述权限审核请求对应的安全级别。
41.本技术实施例还提供了一种安全级别确定设备，所述设备包括处理器和存储器；其中：所述存储器中存储有计算机程序；所述处理器用于执行所述存储器中存储的计算机程序，以实现如前任一所述的安全级别确定方法。
42.本技术实施例还提供了一种计算机可读存储介质，所述可读存储介质能够被处理器执行，以实现如前任一所述的安全级别确定方法。
43.在本技术实施例中，权限审核请求对应的安全级别，并不仅仅是通过对第一数据的操作而产生的操作日志即第二数据而确定的，而是在权限审核请求中未携带指定数据、且权限审核请求的审核结果为允许对第一数据进行访问的情况下，才对第二数据进行处理而确定的。也就是说，在本技术实施例提供的安全级别确定方法中，权限审核请求对应的安全级别是同时基于权限审核请求以及对第一数据操作的操作日志数据两个维度的因素确定的，因此，本技术实施例提供的安全级别确定方法，覆盖了权限审核以及数据操作两个环节，所以，本技术实施例提供的安全级别确定过程更加严谨、也更全面。
附图说明
44.图1为本技术实施例提供的第一种安全级别确定方法的流程示意图；
45.图2为本技术实施例提供的第二种安全级别确定方法的流程示意图；
46.图3为本技术实施例提供的安全级别确定方法实现的结构示意图；
47.图4为本技术实施例提供的安全级别确定装置的结构示意图；
48.图5为本技术实施例提供的安全级别确定设备的结构示意图。
具体实施方式
49.以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处所提供的实施例仅仅用以解释本技术，并不用于限定本技术。另外，以下所提供的实施例是用于实施本技术的部分实施例，而非提供实施本技术的全部实施例，在不冲突的情况下，本技术实施例记载的技术方案可以任意组合的方式实施。
50.需要说明的是，在本技术实施例中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素，而且还包括没有明确列出的其他要素，或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元，例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
51.例如，本技术实施例提供的安全级别确定方法包含了一系列的步骤，但是本技术实施例提供的安全级别确定方法不限于所记载的步骤，同样地，本技术实施例提供的安全级别确定装置包括了一系列模块，但是本技术实施例提供的装置不限于包括所明确记载的模块，还可以包括为获取相关信息、或基于信息进行处理时所需要设置的模块。
52.大数据技术推进了各个行业向数据字化、网络化以及智能化发展，数据和信息作为一种特殊的资源，在各行业的业务系统共享和使用过程中发挥着越来越重要的作用。然
而，在更加开放融合的业务生态下，数据安全的安全形式也日益严峻，数据安全所以面临的威胁除了来自外部攻击，也来自内部员工违反安全管理规范对数据进行的非法访问比如篡改操作等。为了防止数据被滥用或泄露，大部分的企业通常通过数据访问授权管理、以及对数据访问操作的安全审计等方式，构建数据安全防护体系。
53.在实际应用中，企业的数据安全防护体系对关键业务系统以及敏感数据安全的监控，通常是采用“事中管控、事后审计”的方式进行的。其中，“事中管控”即建立对各类数据访问控制权限的授权管理，例如，操作人员在访问关键系统或敏感数据的过程中，系统会自动触发安全认证、申请、审批环节，从而监督和制衡操作人员的操作行为。而“事后审计”即周期性的对系统日志进行审计，从而挖掘系统运行过程中存在的各类潜在风险和隐患。
54.在相关技术中，在“事后审计”阶段，通常会对系统日志进行标准化处理，再采用预设的审计规则和分析策略，结合大数据安全规范的要求，对大数据平台中标准化之后的日志进行自动审计分析，当标准化日志中的日志内容不符合预设的审计策略时，可以生成相应的预警信息；或者，通过解析各个系统的登录操作的原始日志，定位操作人员、设备和操作重要级别，建立以操作人员为视角的操作审计视图，然后对比预设的可以根据操作命令被执行频率而动态更新的知识库，从而实现自动监控以及报警。
55.然而，上述任意一种监控以及报警方案执行过程中，仅覆盖了数据操作人员对数据操作过程这一单一环节，因此，上述方案的覆盖环节不够全面，存在严重的安全隐患。
56.基于以上问题，本技术实施例提供了一种安全级别确定方法，该方法可以通过安全级别确定设备的处理器实现。需要说明的是，上述处理器可以为特定用途集成电路(application specific integrated circuit，asic)、数字信号处理器(digital signal processor，dsp)、数字信号处理装置(digital signal processing device，dspd)、可编程逻辑装置(programmable logic device，pld)、现场可编程逻辑门阵列(field programmable gate array，fpga)、中央处理器(central processing unit，cpu)、控制器、微控制器、微处理器中的至少一种。上述处理器还可以为其它元件，本技术实施例对此不做限定。
57.图1为本技术实施例提供的第一种安全级别确定方法的流程示意图。如图1所示，该方法可以包括步骤101至步骤103：
58.步骤101、获取权限审核请求。
59.其中，权限审核请求，包括申请对第一数据访问权限的审核请求。
60.在本技术实施例中，第一数据，可以包括任一格式的文件中所记载的数据。示例性的，任一格式，可以包括可执行文件格式、压缩文件格式、音频文件格式、视频文件格式、代码文件格式、脚本文件格式、数据库文件格式、动态链接库文件格式、配置文件格式等中的任一种。
61.在本技术实施例中，第一数据可以为独立的文件、也可以为文件中存储的部分数据；在一些实施例中，第一数据，还可以包括至少一个路径下存储的所有文件。
62.在本技术实施例中，第一数据，可以为安全级别较高的数据，比如第一数据为重要项目中的数据；或者可以为一般重要项目中的重要数据。示例性的，第一数据，可以为较为敏感的数据，比如核心项目的配置数据、核心项目的历史版本状态数据、参与核心项目的开发人员信息数据等；示例性的，第一数据还可以为与企业员工相关的敏感数据，比如员工的
薪酬数据等。
63.在本技术实施例中，访问权限，可以包括阅读权限、查询权限、复制权限、以及修改权限中的至少一种操作权限。
64.在本技术实施例中，对第一数据的不同访问权限，可以分别申请，比如对第一数据的阅读权限与修改权限，可以分别申请；示例性的，对第一数据的不同访问权限，可以通过一次申请统一开放。
65.在本技术实施例中，权限审核请求，可以包括需要访问的目标数据即第一数据、需要对目标数据执行的操作、对目标数据执行操作的原因、对目标数据执行操作的人员、发起对目标数据的操作的时间范围中的至少一种信息。
66.在本技术实施例中，权限审核请求的数量，可以有多个，也就是说，可以有多个操作人员同时发起对第一数据的访问请求。
67.在本技术实施例中，权限审核请求，可以是通过监控项目管理系统的权限审核相关的接口而获取的，还可以是通过项目管理系统的消息管理机制而获取的。示例性的，权限审核请求的获取，可以是实时的，也就是说，一旦有任何操作人员发出权限审核请求，安全级别确定设备的处理器就可以立即捕获该请求。
68.在本技术实施例中，权限审核请求，可以是从权限审核日志中获取的。示例性的，项目管理系统也可以获取权限审核日志。权限审核日志中，可以包括至少一种权限审核请求及其审核结果，还可以包括至少一种权限审核请求的请求信息、操作人员信息、审核人员信息等。
69.步骤102、在权限审核请求满足指定条件的情况下，确定第二数据。
70.其中，指定条件，包括权限审核请求中未携带指定数据、且权限审核请求的审核结果为允许对第一数据进行访问；第二数据，包括对第一数据访问而产生的操作日志数据；指定数据，包括权限申请理由数据。
71.在本技术实施例中，指定数据，可以是包含指定类型信息的数据；示例性的，指定类型信息，可以包括时间类型信息；指定类型信息，还可以包括指定长度的字符串信息。
72.在一些实施例中，指定数据，可以包括指定结构的数据；示例性的，指定结构，可以是以结构体的形式体现的；示例性的，指定数据中的每一数据，可以是按照结构体中每种数据的类型定义以及数据位置排列存储的。
73.在一些实施例中，指定数据，可以包括权限审核规则中规定的关键字或关键词。示例性的，关键词或关键词，可以为权限申请理由。
74.在本技术实施例中，权限申请理由数据，可以包括时间信息、发起权限审核请求的设备的标识信息、权限申请的具体理由、以及权限申请针对的数据范围等至少一种数据。示例性的，上述时间信息，可以包括发起权限审核请求的时间，也可以包括所申请的权限的持续时间信息。
75.在本技术实施例中，允许对第一数据进行访问，可以为允许权限审核请求中的所有对第一数据的访问请求，也可以为允许权限审核请求中的部分对第一数据的访问请求。
76.在本技术实施例中，第二数据，可以包括对第一数据执行的任何访问而产生的操作日志数据；还可以仅包括对第一数据执行的指定访问操作而产生的操作日志数据；还可以仅包括在指定时间段内对第一数据访问而产生的操作日志数据。
77.在本技术实施例中，操作日志数据，可以包含有对第一数据执行的任一类型访问操作的操作轨迹、对第一数据执行的任一访问操作的执行时间、对第一数据发起执行操作的设备的标识信息、对第一数据执行操作的操作人员的标识信息等。
78.在本技术实施例中，第二数据，可以是从项目管理平台中获取的。
79.步骤103、对第二数据进行处理，确定权限审核请求对应的安全级别。
80.在本技术实施例中，权限审核请求对应的安全级别，可以用于表示权限审核请求对应的访问操作，对第一数据所在的项目数据产生威胁的程度级别；示例性的，安全级别较高，可以用于表示权限审核请求对应的访问操作的威胁程度级别较低；安全级别较低，可以用于表示权限审核请求对应的访问操作的威胁程度较高。
81.在本技术实施例中，若权限审核请求的审核结果为允许对第一数据进行访问、且操作人员在获得对第一数据的操作权限的条件下，操作人员并未执行对第一数据的访问操作，那么，权限审核请求对应的安全级别可以是较高的。
82.在一些实施方式中，若第一数据为核心数据或关键数据，那么，即使权限审核请求的审核结果为允许对第一数据进行访问、但操作人员在获得对第一数据的操作权限而未执行对第一数据的任何操作，那么，该权限审核请求对应的安全级别，也可以是较高的。
83.在本技术实施例中，权限审核请求对应的安全级别中的高级别，可以表示在第二数据中并未包含有对第一数据执行的高风险操作。
84.由以上可知，在本技术实施例中，权限审核请求对应的安全级别，并不仅仅是通过对第一数据的操作而产生的操作日志即第二数据而确定的，而是在权限审核请求中未携带指定数据、且权限审核请求的审核结果为允许对第一数据进行访问的情况下，才对第二数据进行处理而确定的。也就是说，在本技术实施例提供的安全级别确定方法中，权限审核请求对应的安全级别是同时基于权限审核请求以及对第一数据操作的操作日志数据两个维度的因素而确定的，因此，本技术实施例提供的安全级别确定方法，覆盖了权限审核以及数据操作两个环节，所以，本技术实施例提供的安全级别确定过程更加严谨、也更全面。
85.基于前述实施例，本技术实施例还提供了第二种安全级别确定方法。图2为本技术实施例提供的第二种安全级别确定方法的流程示意图，如图2所示，该方法可以包括步骤201至步骤204：
86.步骤201、获取权限审核请求。
87.其中，权限审核请求，包括申请对第一数据访问权限的审核请求。
88.在本技术实施例中，在获取权限审核请求之后，还可以执行以下操作：
89.通过char-cnn对权限审核请求进行分析，确定权限审核请求是否满足指定条件。
90.char-cnn为基于字符的文本分类模型，其通过卷积神经网络(convolutional neural networks，cnn)进行序列化预测，相比常见的朴素贝叶斯分类器或支持向量机分类器，char-cnn不需要语言的语法句法结构等信息，就可以从文本序列中获得非常好的分类效果，对于没有经过特殊预处理例如文本分词、去除停用词的文本，char-cnn也能取得良好的分类效果。在本技术实施例中，权限审核申请对应的文本信息通常较为简洁，语法结构性较弱，且通常携带有权限审核申请单号、权限申请的目标数据等，因此，char-cnn非常适用于解析权限审核请求的文本信息。
91.在本技术实施例中，通过char-cnn对权限审核请求的文本信息进行解析的步骤如
下所示：
92.首先，构建规模为m的字符表，该字符表中可以包含中文字符、数字字符、英文字符以及特殊字符等。其中，m可以为一个较大的正整数。
93.其次，根据字符表，将权限审核请求的文本信息中的每一字符都转化为维度为m的one-hot编码向量。
94.再次，将权限审核请求的文本信息转化为字符one-hot向量构成的字符序列。
95.最后，将转化后得到的字符序列输入至char-cnn，经过char-cnn的卷基层、池化层以及全连接层的特征提取操作，以确定权限审核请求的文本信息中是否携带有指定数据。
96.在本技术实施例中，还可以通过char-cnn对权限审核请求对应的请求回复消息进行解析，以确定权限审核请求的审核结果是否为允许对第一数据进行访问。
97.由以上可知，在本技术实施例中，采用了char-cnn对权限审核请求的文本信息进行分析，这样就可以降低对权限审核请求的语法结构的要求，且能够高效精确的实现对权限审核请求的文本信息的解析，从而能够提高确定权限审核请求是否满足指定条件的准确率，从而为后续确定安全级别提供保障。
98.步骤202、在权限审核请求满足指定条件的情况下，获取权限审核请求的请求标识以及数据访问日志。
99.其中，数据访问日志，包括对任意数据访问而产生的操作日志数据。
100.在本技术实施例中，权限审核请求的请求标识，包括发起权限审核请求的操作人员的标识、以及发送权限审核请求的电子设备的标识中的至少之一。示例性的，操作人员的标识以及电子设备的标识，可以以字符串、数字编号、字符串与数字编号组合等任一种形式体现。示例性的，电子设备的标识，可以是电子设备的物理地址、网络协议(internet protocol，ip)地址、以及国际移动设备识别码(international mobile equipment identity，imei)中的至少一种。示例性的，操作人员的标识，可以包括操作人员的工号、操作人员的姓名、以及操作人员所属部门编号中的至少一种。
101.在本技术实施例中，权限审核请求的请求标识，还可以包括权限审核请求发起的第一时间信息；示例性的，还可以包括收到允许对第一数据访问的权限审核结果的第二时间信息。
102.在本技术实施例中，数据访问日志，可以包括对包含第一数据在内的项目数据的访问而产生的日志。示例性的，数据访问日志中，可以包含对多个项目数据的访问而产生的日志。示例性的，数据访问日志，可以是按照系统时间存储的。
103.步骤203、基于请求标识对数据访问日志进行筛选，确定第二数据。
104.在本技术实施例中，第二数据，可以是基于请求标识，对数据访问日志进行层层筛选而得到的；示例性的，可以先根据时间信息，对数据访问日志进行筛选，得到第一日志；然后再根据设备标识对第一日志进行筛选，得到第二日志；再根据操作人员标识对第二日志进行筛选，从而确定第二数据。
105.在一些实施方式中，第二数据，可以是基于请求标识，同时确定多种筛选条件，并设定多个筛选条件之间的关系，得到最终的筛选条件，然后根据最终的筛选条件，对数据访问日志进行筛选而得到的。
106.步骤204、对第二数据进行处理，确定权限审核请求对应的安全级别。
107.在本技术实施例中，对第二数据进行处理，确定权限审核请求对应的安全级别，可以通过步骤a1至步骤a2实现：
108.步骤a1、从第二数据中获取至少一种访问行为数据。
109.其中，访问行为数据，至少包括对目标数据的访问行为对应的数据；第一数据，包括目标数据。
110.在本技术实施例中，目标数据，可以为第一数据中敏感程度较高的数据；示例性的，目标数据，可以为第一数据中实现核心功能的数据；示例性的，目标数据，可以为第一数据中被访问频率较高的数据，比如，目标数据可以为第一数据中被修改频率较高的数据。
111.在一些实施例中，对目标数据的访问行为，可以包括对目标数据的查询、复制、修改、备份等至少一种操作；相应的，访问行为数据，可以包括操作人员对目标数据执行的每一访问行为产生的日志数据；示例性的，访问行为数据，可以包括操作人员对目标数据执行的指定操作的日志数据。
112.步骤a2、对至少一个访问行为数据进行处理，确定安全级别。
113.在本技术实施例中，安全级别，可以是通过以下方式确定的：
114.对至少一种访问行为数据进行分析，确定操作人员对目标数据是否执行了包括删除、复制等敏感操作，若执行了上述敏感操作，则可以确定安全级别为较低安全级别。
115.对至少一种访问行为数据进行分析，确定操作人员对目标数据执行的敏感词操作的次数，若操作人员执行敏感操作的次数超过预设次数，则可以确定安全级别为较低安全级别。
116.由以上可知，在本技术实施例中，在确定权限审核请求对应的安全级别时，对第一数据中目标数据的访问行为数据进行了充分的分析处理，从而使得安全级别更能贴合操作人员的实际操作状况。
117.在本技术实施例中，步骤a2可以通过步骤b1至步骤b2确定：
118.步骤b1、确定至少一个访问行为数据中每一访问行为数据对应的级别数据。
119.在本技术实施例中，每一访问行为数据，可以包括访问行为本身以及访问行为针对的数据。
120.在一些实施例中，每一访问行为数据对应的级别数据，可以是根据项目数据而预先确定的，也可以根据访问行为发生的时间、频率、发起访问行为的环境、访问行为关联的数据量等而调整。示例性的，在办公时段对第一数据发起的访问行为对应的第一级别，与法定假日对第一数据的访问行为对应的第二级别可以不同；在安全网络环境中对第一数据发起的访问行为对应的第三级别，与存在潜在威胁的网络环境中对第一数据发起访问行为对应的第四级别，也可以不同。
121.在本技术实施例中，确定至少一个访问行为数据中每一访问行为数据对应的级别数据，可以通过步骤c1至步骤c2实现：
122.步骤c1、基于每一访问行为数据，至少确定第三数据以及第四数据。
123.其中，第三数据，包括访问行为对应的级别信息；第四数据，包括目标数据对应的级别信息。
124.在本技术实施例中，访问行为对应的级别信息，可以是根据访问行为对应的操作类型而确定的，示例性的，访问行为对应的操作类型可以包括查询、修改、导入以及导出等
操作类型；示例性的，修改还可以包括编辑、删除以及新增等操作类型。
125.在一些实施例中，访问行为对应的级别信息，可以与访问行为可能的风险相关，比如，查询行为可能产生的风险程度可以较低，那么，相应的，查询行为对应的级别信息可以较低；编辑行为可能产生的风险程度可以较高，那么相应的，编辑行为对应的级别信息可以较高。
126.在一些实施例中，访问行为对应的级别信息，还可以是根据访问行为对应的类型操作以及访问行为针对的数据共同确定的，比如，在访问行为针对的数据为核心数据或关键数据的情况下，即使只是执行了查询操作，该查询行为可能产生的风险也可以较高。
127.在本技术实施例中，第三数据，不仅可以包括访问行为对应的级别信息，还可以包括在单位时间内访问行为执行的次数。
128.在本技术实施例中，目标数据对应的级别信息，可以用于表示目标数据在至少一个项目数据中所处的地位。示例性的，目标数据在项目数据中所处的地位，可以通过目标数据在项目数据中实现的功能、稳定程度、以及被调用的次数等中的至少一种确定的，比如，对于第一目标数据而言，在第一项目数据中的重要程度为第一级别，而在第二项目数据中的重要程度可以为第二级别。
129.在一些实施例中，目标数据对应的级别信息，可以是根据目标数据所在的业务系统的重要程度而确定的，示例性的，业务系统的重要程度可以分为极其重要、非常重要、一般重要、低程度重要、非重要五个级别。示例性的，还可以将上述五个重要程度依次量化为5、4、3、2、1。
130.在一些实施例中，目标数据对应的级别信息，可以是根据目标数据的敏感程度而确定的，示例性的，目标数据的敏感程度可以包括极其敏感、非常敏感、一般敏感、低程度敏感、非敏感五个级别。示例性的，还可以将上述五个敏感程度依次量化为5、4、3、2、1。
131.在一些实施例中，访问行为对应的级别信息以及目标数据对应的级别信息，可以是在访问行为发生之前就确定的。
132.在一些实施例中，访问行为对应的级别信息以及目标数据对应的级别信息，可以根据访问行为发生的时间、访问行为发生的网络环境、访问行为执行的次数、目标数据所属的项目数据的状态、以及执行访问行为的操作人员的标识信息等至少一种因素而确定的。也就是说，访问行为对应的级别信息以及目标数据对应的级别信息，可以根据实际的访问行为发生的状况而灵活的调整。
133.在本技术实施例中，访问行为数据，不仅可以包含访问行为对应的操作行为，还可以包括操作行为针对的目标数据，因此，可以基于访问行为数据，至少获取第三数据以及第四数据。
134.在本技术实施例中，基于访问行为数据，获取第三数据，可以通过以下方式实现：
135.基于访问行为数据，至少获取访问行为类型和/或访问行为频率；基于访问行为类型和/或访问行为频率，确定第三数据。
136.在本技术实施例中，访问行为类型，可以包括查询、修改、复制、上传、下载、导入、导出、登陆、退出、以及增加文件中的至少一种；其中，删除、修改、下载、以及导出操作，可以属于危险级别较高的操作。示例性的，每种访问行为对应的危险级别，可以是通过统计访问行为的具体操作对目标数据产生的影响而确定的。
137.在本技术实施例中，访问行为频率，可以包括在单位时间内对相同的目标数据执行访问的次数。示例性的，在单位时间内，针对相同的目标数据，访问行为执行的次数越多，则该访问行为可能产生的风险可以越高，相应的，该访问行为对应的级别信息也可以较高。示例性的，单位时间，可以根据访问行为发生的时段和/或网络环境而调整，示例性的，在正常办公时段范围内，单位时间可以为较长的时间段；而在非办公时段范围内，单位时间可以较短，比如一个小时。
138.在本技术实施例中，第三数据，可以是通过以下任一方式确定的：
139.在访问行为为较低危险级别的操作类型的情况下，则可以根据访问行为频率确定第三数据。示例性的，此时的访问行为类型可以为查询、阅读等操作类型。
140.在访问行为为较高危险级别的操作类型的情况下，则可以根据访问行为类型确定第三数据。示例性的，此时的访问行为类型可以为编辑、复制等操作类型。
141.在访问行为为中等危险级别的操作类型的情况下，则可以根据访问行为类型以及访问行为频率确定第三数据。
142.由以上可知，在本技术实施例中，访问行为对应的级别信息，并不是单纯的依靠访问行为本身的属性确定的，而是可以根据访问行为类型和/或访问行为频率综合确定，如此，访问行为对应的级别信息，就能够全面而客观的包含访问行为执行时的多种情形，从而能够使得访问行为对应的级别信息更客观。
143.步骤c2、对第三数据以及第四数据进行乘法处理，确定每一访问行为数据对应的级别数据。
144.在本技术实施例中，第三数据以及第四数据，可以是在权限审核请求的审核结果为允许对第一数据进行访问的条件下，针对权限审核请求中允许对第一数据执行的至少一种操作行为进行统计而获取的。
145.在本技术实施例中，对第三数据以及所述第四数据进行乘法处理，可以是通过以下任一方式实现的：
146.在确定权限审核请求的审核结果为允许对第一数据进行访问之后的时间段内的、任一访问行为对应的所有第三数据以及第四数据进行乘法处理。
147.对指定时段内的任一访问行为对应的第三数据以及第四数据进行乘法处理。
148.确定目标访问行为，对指定时段内的、目标访问行为对应的第三数据以及第四数据进行乘法处理。
149.由以上可知，在本技术实施例中，每一访问行为数据对应的级别数据，是根据访问行为对应的级别信息、以及访问行为访问的目标数据对应的级别信息共同确定的，由此，每一访问行为数据对应的级别数据中，涵盖了每一访问行为的实际执行情况，从而能够更贴合实际的行为风险概率。在此基础上确定的权限审核请求的安全级别，能够从整体上评估权限审核请求对项目数据产生的客观风险。
150.步骤b2、对至少一个级别数据进行处理，确定安全级别。
151.在本技术实施例中，对至少一个级别数据进行处理，确定安全级别，可以通过以下任意一种方式实现：
152.对至少一个级别数据进行统计处理，得到统计结果，根据统计结果，确定安全级别。
153.对至少一个级别数据进行筛选处理，得到对第一数据中敏感数据或核心数据的访问操作信息，并根据筛选处理结果，确定安全级别。
154.在本技术实施例中，对至少一个级别数据进行处理，确定安全级别，可以是通过步骤d1至步骤d3实现的：
155.步骤d1、在级别数据的数量为至少两个的情况下，对至少两个级别数据进行求和处理，得到求和结果。
156.在本技术实施例中，级别数据的数量，可以与权限审核请求对应的访问行为的类型的数量相同。示例性的，级别数据的数量，还可以小于权限审核请求对应的访问行为的数量。
157.在一些实施例中，求和结果，可以通过式(1)计算得到：
[0158][0159]
在式(1)中，t表示权上述求和结果；n为大于或等于2的整数，用于表示权限审核请求对应的访问行为的种类；mi表示第i种访问行为访问的业务系统的重要程度的量化结果；si表示第i种访问行为访问的数据的敏感程度的量化结果；di为第i种访问行为的危险程度的量化结果；示例性的，mi、si以及di可以均为大于或等于1。
[0160]
由式(1)可以看出，在si以及di保持不变的情况下，t会随着mi的增大而增大；在mi以及di保持不变的情况下，t会随着si的增大而增大；在mi以及si保持不变的情况下，t会随着di的增大而增大；并且，t也会随着n的增大而增大。
[0161]
步骤d2、确定第一阈值。
[0162]
在本技术实施例中，第一阈值，可以是根据第一数据确定的。示例性的，在第一数据为敏感数据或核心数据的情况下，第一阈值可以较小。
[0163]
在一些实施例中，第一阈值，可以是根据第二数据确定的。示例性的，若第二数据仅包括修改、编辑、复制等高风险级别操作的情况下，第一阈值可以设置为较大的数值。
[0164]
在一些实施例中，第一阈值，可以根据第一数据以及第二数据确定的。示例性的，第一数据为核心数据，但第二数据中并未包含对第一数据的修改、编辑、复制等高风险操作，则第一阈值可以设置为较大的数值；若第二数据中包含对第一数据的修改、编辑、复制等高风险操作，则第一阈值可以设置为较小的数值。
[0165]
在一些实施例中，第一阈值，还可以根据访问行为类型和/或访问行为频率等确定。
[0166]
在本技术实施例中，第一阈值，可以是通过以下方式确定的：
[0167]
对第一数据进行分析，确定第一信息；对第二数据进行分析，确定第二信息；基于第一信息以及第二信息，确定第一阈值。
[0168]
其中，第一信息，至少包括第一数据的业务类型信息；第二信息，至少包括对第一数据执行的访问行为的频率。
[0169]
在本技术实施例中，第一数据的业务类型信息，可以包括第一数据所能够实现的业务功能的类型信息，比如，第一数据运行之后可以执行页面显示、数据上传、以及数据校验中的至少一种操作。
[0170]
在一些实施例中，第一数据的业务类型信息，还可以包括第一数据所能够实现的
业务的宏观分类，比如，第一数据能够实现无线网络相关的业务。
[0171]
在一些实施例中，第一数据的业务类型信息，还可以包括第一数据所在的项目数据对应的业务的级别信息。
[0172]
在本技术实施例中，第一信息，可以是通过对实际使用第一数据的项目数据的上下文环境进行分析而确定的。
[0173]
在本技术实施例中，第二信息，可以包括第一数据中任一数据执行的访问行为的频率。
[0174]
在一些实施例中，第二信息，可以包括在指定条件下，对第一数据执行的访问行为的频率。示例性的，指定条件，可以包括指定时段、指定网络环境、以及指定设备参数中的至少一种。
[0175]
在本技术实施例中，第二信息，可以是通过设定检索筛选条件，并根据检索筛选条件对第二数据进行检索筛选而确定的。
[0176]
在本技术实施例中，第一阈值，可以是通过以下方式确定的：
[0177]
获取第一信息所包含的业务类型信息，获取第二信息中所包含的至少一种访问行为的频率，然后基于业务类型信息，确定对应业务类型的访问规则，并基于该访问规则对至少一种访问行为的频率进行分析，确定第一阈值。
[0178]
由以上可知，在本技术实施例中，用于判断安全级别的第一阈值，并不是根据项目专家的项目经验确定的，而是根据实际的业务类型信息、以及实际发生的访问行为的频率共同确定的，因此，通过上述方式确定的第一阈值，能够贴合项目数据的实际访问状态。
[0179]
步骤d3、在求和结果大于第一阈值的情况下，确定安全级别为第一级别；在求和结果小于或等于第一阈值的情况下，确定安全级别为第二级别。
[0180]
其中，第一级别的风险等级高于第二级别的风险等级。
[0181]
在本技术实施例中，还可以设定多个阈值，并根据求和结果与多个阈值之间的大小关系，确定多个安全级别。
[0182]
在本技术实施例中，在确定求和结果之后，还可以执行以下操作：
[0183]
在求和结果小于第二阈值的情况下，确定安全级别为无风险级别。
[0184]
其中，第二阈值小于第一阈值。
[0185]
在本技术实施例中，第二阈值，也可以是根据第一数据和/或第二数据确定的；在一些实施例中，第二阈值，还可以是根据访问行为类型和/或访问行为频率确定的。
[0186]
在一些实施例中，第二阈值，可以是根据项目数据实际的业务背景而确定的。示例性的，第二阈值，可以为0。
[0187]
示例性的，即使在权限审核请求对应的至少两种访问行为数据包括高风险级别的访问行为的条件下，只要高风险级别的访问行为并未执行或发生，那么，该权限审核请求对应的安全级别，仍然可以为无风险级别。
[0188]
由以上可知，在本技术实施例中，在权限审核请求对应的访问行为数据的数量为至少两个的情况下，还能够确定至少两个访问行为数据对应的安全级别，并且，为了客观的划分上述安全级别，还设置有第一阈值以及第二阈值，从而可以设定权限审核请求的多种情况下的安全级别，从而能够更加全面的实现对权限审核请求的安全状态的判定。
[0189]
通过以上实施例可知，在本技术实施例中，获取权限审核请求之后，在权限审核请
的审批日志，即允许操作人员对第一数据进行访问的审批日志。
[0202]
示例性的，处理审批日志，可以包括从筛选后的审批日志中去除空格等字符。
[0203]
步骤3013、识别审批日志。
[0204]
示例性的，对审批日志的识别，可以包括识别审批日志中的申请理由是否为空或者null。示例性的，若申请理由为空或者null，则可以将该审批日志对应的权限审核请求的审核过程标记为不合规审批记录，并将审核结果输入至风险评估模块303进行进一步的处理；反之，提取剩余的审批日志的申请理由，作为审批日志分类模块302的输入数据进行进一步的处理。
[0205]
由以上可知，审批日志预处理模块301，主要用于对审批日志进行预处理，以识别出不合规的审批日志。
[0206]
审批日志分类模块302，主要用于使用自然语言处理技术进行文本分类，以识别不符合规范的审批日志。其可以包括步骤3021：
[0207]
步骤3021、通过文本分类算法分析审批日志。
[0208]
示例性的，此处的文本分类算法，可以是前述实施例所述的char-cnn。就推分析过程此处不再赘述。
[0209]
风险评估模块303，用于基于构建好的风险量化模型，确定风险等级。
[0210]
在实际应用中，若对审批日志分类模块302筛选出的每一条不合规审批日志都进行分析排查，则必然会产生庞大的工作量，并且，并不是所有不符合规范的权限审批请求通过后，都能够给项目数据带来高危级别的风险，比如，在操作人员获得对第一数据的访问授权之后，其并未对第一数据执行任何敏感程度较高的访问或操作，则该权限审批请求的风险可以较低。因此，在风险评估模块303中，可以结合系统操作日志构建风险量化模型，以评估不合规的权限审批请求对系统产生的风险，示例性的，可以选择对高风险级别的不合规的权限审批请求进行排查，从而能够平衡风险评估与成本。
[0211]
风险评估模块303，主要用于实现以下步骤：
[0212]
步骤3031、关联操作日志。
[0213]
示例性的，关联操作日志，可以是基于权限审批请求的请求标识，对数据访问日志进行筛选而实现的。
[0214]
步骤3032、计算风险值。
[0215]
示例性的，此处的风险值，可以为前述实施例中的访问行为数据对应的级别数据。这里的风险值，是对风险程度的量化，其通常取决于数据资产的价值。在实际应用中，数据资产价值的评估较为复杂，需要根据业务背景进行评估与衡量。
[0216]
示例性的，此处计算风险值，需要基于构建好的风险量化模型实现。在本技术实施例中，风险量化模型中影响风险值的要素包括：
[0217]
被访问业务系统的重要性及范围，被访问的业务系统重要性越高，数量越多，累加的风险越高。
[0218]
被访问数据的敏感级别及范围，被访问数据的敏感级别越高，范围越广，访问这些数据所产生的风险就越高。
[0219]
操作人员执行的操作类型，包括对敏感数据执行的删除、批量导出等高危险级别的操作，相比于对敏感数据执行的查询操作所带来的风险级别要高。
[0220]
示例性的，通过步骤3032，可以对审批日志以及操作日志进行统计分析，从而计算出权限审核请求对应的访问操作涵盖的业务系统、被访问数据的敏感级别、操作人员执行的操作类型等信息，并根据以上各种信息确定风险值。
[0221]
步骤3033、确定风险等级。
[0222]
示例性的，此处的风险等级，可以是前述实施例所述的安全级别，其可以是基于前述实施例中式(1)计算得到的t、第一阈值以及第二阈值而确定的。
[0223]
示例性的，风险等级可以包括高风险等级、低风险等级和无风险等级。示例性的，设定第一阈值为在的情况下，可以确定风险等级为高风险等级；在的情况下，可以确定风险等级为低风险等级；在t＝0的情况下，可以确定风险等级为无风险等级。
[0224]
由以上可知，本技术实施例提供的安全级别确定方法，通过三个相互独立又相互协作的模块，对审批日志、操作日志进行全方位的审批，从而使得风险等级的确定过程更加全面。
[0225]
基于前述实施例，本技术实施例还提供了一种安全级别确定装置4，图4为本技术实施例提供的安全级别确定装置4的结构示意图。如图4所示，该装置可以包括获取模块401以及确定模块402；其中：
[0226]
获取模块401，用于获取权限审核请求；其中，权限审核请求，包括申请对第一数据访问权限的审核请求；
[0227]
确定模块402，用于在权限审核请求满足指定条件的情况下，确定第二数据；其中，指定条件，包括权限审核请求中未携带指定数据、且权限审核请求的审核结果为允许对第一数据进行访问；第二数据，包括对第一数据访问而产生的操作日志数据；指定数据，包括权限申请理由数据；
[0228]
确定模块402，还用于对第二数据进行处理，确定权限审核请求对应的安全级别。
[0229]
在一些实施例中，获取模块401，用于获取权限审核请求的请求标识以及数据访问日志；数据访问日志，包括对任意数据访问而产生的操作日志数据
[0230]
确定模块402，用于基于请求标识对数据访问日志进行筛选，确定第二数据；其中。
[0231]
在一些实施例中，获取模块401，用于从第二数据中获取至少一种访问行为数据；其中，访问行为数据，至少包括对目标数据的访问行为对应的数据；第一数据，包括目标数据；
[0232]
确定模块402，用于对至少一种访问行为数据进行处理，确定安全级别。
[0233]
在一些实施例中，确定模块402，用于确定至少一个访问行为数据中每一访问行为数据对应的级别数据；对级别数据进行处理，确定安全级别。
[0234]
在一些实施例中，确定模块402，用于基于每一访问行为数据，至少确定第三数据以及第四数据；其中，第三数据，包括访问行为对应的级别信息；第四数据，包括目标数据对应的级别信息；
[0235]
确定模块402，还用于对第三数据以及第四数据进行乘法处理，确定每一访问行为数据对应的级别数据。
[0236]
在一些实施例中，获取模块401，用于基于每一访问行为数据，至少获取访问行为类型和/或访问行为频率；
[0237]
确定模块402，用于基于访问行为类型和/或访问行为频率，确定第三数据。
[0238]
在一些实施例中，确定模块402，用于在级别数据的数量为至少两个的情况下，对至少两个级别数据进行求和处理，得到求和结果；确定第一阈值；在求和结果大于第一阈值的情况下，确定安全级别为第一级别；在求和结果小于或等于第一阈值的情况下，确定安全级别为第二级别；其中，第一级别的风险等级高于第二级别的风险等级。
[0239]
在一些实施例中，确定模块402，用于对第一数据进行分析，确定第一信息；其中，第一信息，至少包括第一数据的业务类型信息；
[0240]
确定模块402，还用于对第二数据进行分析，确定第二信息；其中，第二信息，至少包括对第一数据执行的访问行为的频率；
[0241]
确定模块402，还用于基于第一信息以及第二信息，确定第一阈值。
[0242]
在一些实施例中，确定模块402，用于在求和结果小于第二阈值的情况下，确定安全级别为无风险级别；其中，第二阈值小于第一阈值。
[0243]
在一些实施例中，确定模块402，用于通过字符卷积神经网络char-cnn对权限审核申请进行分析，确定权限审核申请是否满足指定条件。
[0244]
需要说明的是，实际应用中，获取模块401以及处理模块402，可以利用安全级别确定设备中的处理器实现，上述处理器可以为asic、dsp、dspd、pld、fpga、cpu、控制器、微控制器、微处理器中的至少一种。
[0245]
基于前述实施例，本技术实施例还提供了一种安全级别确定设备5。图5为本技术实施例提供的安全级别确定设备5的结构示意图。如图5所示，该设备可以包括：处理器501和存储器502；其中：存储器502中存储有计算机程序；处理器501用于执行存储器502中存储的计算机程序，以实现如前一的安全级别确定方法。
[0246]
其中，上述处理器501可以为特定用途集成电路asic、dsp、dspd、pld、fpga、cpu、控制器、微控制器、微处理器中的至少一种。可以理解地，用于实现上述处理器功能的电子器件还可以为其它，本发明实施例不作具体限定。
[0247]
上述存储器502，可以是易失性存储器(volatile memory)，例如ram；或者非易失性存储器(non-volatile memory)，例如rom，快闪存储器(flash memory，硬盘(hard disk drive，hdd)或固态硬盘(solid-state drive，ssd)；或者上述种类的存储器的组合，并向处理器提供指令和数据。
[0248]
基于前述实施例，本技术实施例还提供了一种计算机可读存储介质，其特征在于，可读存储介质能够被处理器执行，以实现如前任一的安全级别确定方法。
[0249]
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处，其相同或相似之处可以互相参考，为了简洁，本文不再赘述。
[0250]
本技术所提供的各方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。
[0251]
本技术所提供的各产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。
[0252]
本技术所提供的各方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。
[0253]
需要说明的是，上述计算机可读存储介质可以是只读存储器(read only memory，
rom)、可编程只读存储器(programmable read-only memory，prom)、可擦除可编程只读存储器(erasable programmable read-only memory，eprom)、电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性随机存取存储器(ferromagnetic random access memory，fram)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(compact disc read-only memory，cd-rom)等存储器；也可以是包括上述存储器之一或任意组合的各种电子设备，如移动电话、计算机、平板设备、个人数字助理等。
[0254]
需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
[0255]
上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
[0256]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件节点的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所描述的方法。
[0257]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0258]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0259]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0260]
以上仅为本技术的优选实施例，并非因此限制本技术的专利范围，凡是利用本技术说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本技术的专利保护范围内。