数据访问控制方法、装置、设备及存储介质与流程

本申请涉及数据安全，具体而言，涉及一种数据访问控制方法、装置、设备及存储介质。

背景技术：

1、随着数字化转型的不断深入，企业面临的数据安全形势严峻。一方面，数据安全合规要求越来越具体且严格，需要进行实际落实和监管审查。如果企业的数据安全要求没有得到合理的建设和运营，将会面临不仅财产损失和信誉破坏，还会收到有关部门的执法要求。另一方面，数据安全风险形势严峻，被暴露出来的数据安全泄露事件层出不穷，同时未被发现的数据泄露更是不可预估。数据安全威胁的广泛性和不确定性使得数据安全风险越发难以检测和预防。这些数据的安全问题也日益突出。

2、为了保障数据安全，需要控制数据访问权限。当前的权限访问控制基本是基于授权来进行的，即给用户授权访问某个应用。如果用户拥有授权，即可以访问，如果用户没有授权，则拒绝访问。这种访问控制粒度比较粗，没有考虑到用户对数据的权限级别，因此无法更加细粒度的对数据进行安全防护。

技术实现思路

1、本申请实施例提供了一种数据访问控制方法、装置、设备及存储介质，以至少解决相关技术中无法更加细粒度的对数据进行安全防护的技术问题。

2、根据本申请实施例的一个方面，提供了一种数据访问控制方法，包括：

3、接收目标用户的数据访问请求，获得所述数据访问请求对应的待访问数据的数据分类分级信息以及所述目标用户对应的目标场景；获取所述目标场景下所述目标用户对应的目标用户分类分级信息；基于所述数据分类分级信息及所述目标用户分类分级信息，对所述数据访问请求进行访问控制处理。

4、在一个可选地实施例中，获取所述目标用户对应的目标场景，包括：

5、从所述目标用户的数据访问请求中提取目标用户特征数据；

6、将所述目标用户特征数据输入预训练的场景识别模型，得到所述目标用户对应的目标场景。

7、在一个可选地实施例中，所述场景识别模型的训练方法为：

8、获取样本用户的历史访问行为日志；

9、对所述历史访问行为日志进行预处理，得到用户特征数据；

10、对所述用户特征数据添加场景标签；

11、根据所述用户特征数据以及对应的场景标签，训练所述场景识别模型。

12、在一个可选地实施例中，获取所述目标场景下所述目标用户对应的目标用户分类分级信息，包括：

13、从所述数据访问请求中提取所述目标用户的访问行为数据；

14、根据所述访问行为数据以及预训练的所述目标场景下的用户分类模型和用户分级模型，获得所述目标场景下所述目标用户对应的目标用户分类分级信息。

15、在一个可选地实施例中，所述根据所述访问行为数据以及预训练的所述目标场景下的用户分类模型和用户分级模型，获得所述目标场景下所述目标用户对应的目标用户分类分级信息，包括：

16、根据所述访问行为数据，分别通过预训练的所述目标场景下的用户分类模型和用户分级模型计算所述目标用户的分类异常度和分级异常度；

17、根据所述分类异常度确定所述目标用户有权访问的数据类别集合，以及根据所述分级异常度确定所述目标用户有权访问的数据最高级别；

18、根据所述数据类别集合以及所述数据最高级别，得到所述目标用户分类分级信息。

19、在一个可选地实施例中，所述用户分类模型和所述用户分级模块的训练过程分别为：

20、获取不同场景下的样本用户的历史访问行为日志；

21、根据不同场景下的用户历史访问行为日志，分别训练不同场景下的用户分类模型和用户分级模型。

22、在一个可选地实施例中，基于所述数据分类分级信息及所述目标用户分类分级信息，对所述数据访问请求进行访问控制处理，包括：

23、根据所述数据分类分级信息中的数据分类信息以及所述目标用户分类分级信息中的目标用户分类信息，若确定出所述待访问数据的数据类别不属于所述目标用户有权限访问的类别，阻断所述数据访问请求；

24、根据所述数据分类分级信息中的数据分级信息以及所述目标用户分类分级信息中的目标用户分级信息，若确定出所述待访问数据中含有不属于所述目标用户有权限访问的级别的数据，则对所述待访问数据中用户级别权限范围外的数据进行脱敏处理，将脱敏处理后的所述待访问数据发送给所述目标用户。

25、在一个可选地实施例中，还包括：

26、获取实时采集的用户访问日志；

27、获得所述用户访问日志对应的已访问数据的数据分类分级信息以及所述用户访问日志所属用户对应的目标场景；

28、获取所述目标场景下所述用户对应的用户分类分级信息；

29、基于所述数据分类分级信息及所述用户分类分级信息，检测所述用户访问日志所属用户是否有权限访问所述已访问数据；在确定该用户无权限访问所述已访问数据的情况下，记录所述用户访问日志对应的访问违规事件。

30、在一个可选地实施例中，记录所述用户访问日志对应的访问违规事件之后，还包括：

31、接收到所述数据访问请求，若查询到存在所述用户及所述待访问数据对应的访问违规事件，则阻断所述数据访问请求；

32、若未查询到所述用户及所述待访问数据对应的访问违规事件，则执行所述获取所述数据访问请求对应的待访问数据的数据分类分级信息以及所述用户对应的目标场景的步骤。

33、根据本申请实施例的又一方面，还提供了一种数据访问控制装置，包括：

34、接收模块，用于接收目标用户的数据访问请求，获得所述数据访问请求对应的待访问数据的数据分类分级信息以及所述目标用户对应的目标场景；识别模块，用于获取所述目标场景下所述目标用户对应的目标用户分类分级信息；访问控制模块，用于基于所述数据分类分级信息及所述目标用户分类分级信息，对所述数据访问请求进行访问控制处理。

35、根据本申请实施例的又一方面，还提供了一种电子设备，包括存储器和处理器，上述存储器中存储有计算机程序，上述处理器被设置为通过上述计算机程序执行上述的数据访问控制方法。

36、根据本申请实施例的又一方面，还提供了一种计算机可读的存储介质，该计算机可读的存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述数据访问控制方法。

37、本申请实施例提供的技术方案可以包括以下有益效果：

38、本申请实施例提供的数据访问控制方法，在对数据进行访问控制时，可以对数据进行分类分级，还可以对用户进行分类分级，实现对访问者不同层次的访问权限的控制。且本申请实施例的方法，在对用户进行分类分级时，可以结合具体数据应用场景，为不同场景中的用户赋予不同的类别权限和级别权限，从而提高了数据访问权限的细粒度管理能力。当发现非法访问行为时，立即采取相应的安全风险管控措施，及时保护数据安全。

技术特征：

1.一种数据访问控制方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，获取所述目标用户对应的目标场景，包括：

3.根据权利要求2所述的方法，其特征在于，所述场景识别模型的训练方法为：

4.根据权利要求1所述的方法，其特征在于，获取所述目标场景下所述目标用户对应的目标用户分类分级信息，包括：

5.根据权利要求4所述的方法，其特征在于，所述根据所述访问行为数据以及预训练的所述目标场景下的用户分类模型和用户分级模型，获得所述目标场景下所述目标用户对应的目标用户分类分级信息，包括：

6.根据权利要求4或5所述的方法，其特征在于，所述用户分类模型和所述用户分级模块的训练过程分别为：

7.根据权利要求1所述的方法，其特征在于，基于所述数据分类分级信息及所述目标用户分类分级信息，对所述数据访问请求进行访问控制处理，包括：

8.根据权利要求1所述的方法，其特征在于，还包括：

9.根据权利要求8所述的方法，其特征在于，记录所述用户访问日志对应的访问违规事件之后，还包括：

10.一种数据访问控制装置，其特征在于，包括：

11.一种电子设备，其特征在于，包括处理器和存储有程序指令的存储器，所述处理器被配置为在执行所述程序指令时，执行如权利要求1至9任一项所述的数据访问控制方法。

12.一种计算机存储介质，其特征在于，其上存储有计算机可读指令，所述计算机可读指令被处理器执行以实现如权利要求1至9任一项所述的一种数据访问控制方法。

技术总结
本申请公开了一种数据访问控制方法、装置、设备及存储介质，所述方法包括：接收目标用户的数据访问请求，获得所述数据访问请求对应的待访问数据的数据分类分级信息以及所述目标用户对应的目标场景；获取所述目标场景下所述目标用户对应的目标用户分类分级信息；基于所述数据分类分级信息及所述目标用户分类分级信息，对所述数据访问请求进行访问控制处理。根据本申请实施例提供的数据访问控制方法，可以对数据进行分类分级，并结合数据应用场景对用户进行分类分级，基于划分的类别信息和级别信息进行访问控制，更加细粒度的对数据进行安全防护。

技术研发人员：赵志伟
受保护的技术使用者：新华三网络信息安全软件有限公司
技术研发日：
技术公布日：2024/1/15