本發(fā)明公開了一種細(xì)粒度的數(shù)據(jù)權(quán)限動(dòng)態(tài)控制的系統(tǒng)及方法，涉及計(jì)算機(jī)數(shù)據(jù)安全領(lǐng)域。所述方法：分析并獲取業(yè)務(wù)數(shù)據(jù)應(yīng)用信息，在業(yè)務(wù)數(shù)據(jù)應(yīng)用信息的基礎(chǔ)上，建立數(shù)據(jù)安全對(duì)象模型；根據(jù)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息，對(duì)登錄用戶分配資源的訪問(wèn)權(quán)限；在加載登錄用戶請(qǐng)求的目標(biāo)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息前，獲取目標(biāo)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息在數(shù)據(jù)安全對(duì)象模型中權(quán)限信息；根據(jù)所述權(quán)限信息，實(shí)時(shí)加載目標(biāo)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息。所述系統(tǒng)包括：數(shù)據(jù)庫(kù)單元、模型建立單元、用戶管理單元和權(quán)限控制模塊。本發(fā)明基于業(yè)務(wù)數(shù)據(jù)應(yīng)用信息，建立數(shù)據(jù)安全對(duì)象模型，通過(guò)對(duì)模型中元素或?qū)傩缘氖跈?quán)，實(shí)現(xiàn)對(duì)業(yè)務(wù)數(shù)據(jù)精細(xì)化、動(dòng)態(tài)變化的權(quán)限控制。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)安全領(lǐng)域，尤其涉及一種細(xì)粒度的數(shù)據(jù)權(quán)限動(dòng)態(tài)控制的系統(tǒng)及方法。

背景技術(shù)

業(yè)務(wù)數(shù)據(jù)作為重要資產(chǎn)貫穿于企業(yè)的生產(chǎn)經(jīng)營(yíng)，故業(yè)務(wù)數(shù)據(jù)的安全控制尤為重要，既要保證許可范圍內(nèi)的正常訪問(wèn)業(yè)務(wù)數(shù)據(jù)，也要防止未經(jīng)授權(quán)的數(shù)據(jù)操作。

信息系統(tǒng)中對(duì)數(shù)據(jù)權(quán)限的控制，通常采用兩種方式，一種是在提取數(shù)據(jù)的時(shí)候通過(guò)后臺(tái)算法過(guò)濾用戶無(wú)權(quán)訪問(wèn)的數(shù)據(jù)，另一種通過(guò)控制用戶對(duì)信息系統(tǒng)中應(yīng)用功能的訪問(wèn)，限制用戶對(duì)應(yīng)用功能中數(shù)據(jù)的訪問(wèn)。但是以上方法，只能將用戶的訪問(wèn)控制到一個(gè)完整的業(yè)務(wù)數(shù)據(jù)的級(jí)別，粒度較粗，對(duì)于數(shù)據(jù)中的某個(gè)字段、某條記錄無(wú)法實(shí)現(xiàn)。另外，用戶對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限是確定的，無(wú)法根據(jù)業(yè)務(wù)的變化、時(shí)間的變化實(shí)時(shí)變化，是靜態(tài)的，無(wú)法滿足企業(yè)對(duì)數(shù)據(jù)安全精細(xì)、靈活的管理需求。

因此，在數(shù)據(jù)安全領(lǐng)域內(nèi)，需要解決一個(gè)技術(shù)問(wèn)題：找到一種數(shù)據(jù)權(quán)限的控制方法，解決企業(yè)對(duì)業(yè)務(wù)數(shù)據(jù)安全精細(xì)、靈活的管理需求。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種細(xì)粒度的數(shù)據(jù)權(quán)限動(dòng)態(tài)控制的系統(tǒng)及方法，從而目前數(shù)據(jù)安全中，對(duì)于數(shù)據(jù)權(quán)限控制粒度較粗，無(wú)法動(dòng)態(tài)變化的問(wèn)題。

為了實(shí)現(xiàn)上述目的，本發(fā)明所述細(xì)粒度的數(shù)據(jù)權(quán)限動(dòng)態(tài)控制的方法，所述方法包括：

S1，分析并獲取業(yè)務(wù)數(shù)據(jù)應(yīng)用信息，在所述業(yè)務(wù)數(shù)據(jù)應(yīng)用信息的基礎(chǔ)上，建立數(shù)據(jù)安全對(duì)象模型；

S2，根據(jù)所述業(yè)務(wù)數(shù)據(jù)應(yīng)用信息，對(duì)登錄用戶分配資源的訪問(wèn)權(quán)限；

所述訪問(wèn)權(quán)限包括：查看業(yè)務(wù)數(shù)據(jù)應(yīng)用信息、新增業(yè)務(wù)數(shù)據(jù)應(yīng)用信息、修改業(yè)務(wù)數(shù)據(jù)應(yīng)用信息、刪除業(yè)務(wù)數(shù)據(jù)應(yīng)用信息；

S3，在加載登錄用戶請(qǐng)求的目標(biāo)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息前，獲取目標(biāo)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息在所述數(shù)據(jù)安全對(duì)象模型中權(quán)限信息；

S4，根據(jù)所述權(quán)限信息，實(shí)時(shí)加載目標(biāo)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息。

優(yōu)選地，步驟S1，具體按照下述步驟實(shí)現(xiàn)：

S11，獲取業(yè)務(wù)數(shù)據(jù)應(yīng)用信息，然后分析獲得每個(gè)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息的數(shù)據(jù)源及數(shù)據(jù)元素；

S12，賦予每種數(shù)據(jù)源唯一的數(shù)據(jù)源標(biāo)志，將所有的數(shù)據(jù)源標(biāo)志存儲(chǔ)在數(shù)據(jù)源標(biāo)志模塊中；

S13，賦予每個(gè)數(shù)據(jù)元素唯一的數(shù)據(jù)元素標(biāo)志，將所有的數(shù)據(jù)元素標(biāo)志存儲(chǔ)在資源標(biāo)志模塊中；

S14，獲取每個(gè)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息的動(dòng)態(tài)計(jì)算業(yè)務(wù)規(guī)則，然后去重、整理并存儲(chǔ)到業(yè)務(wù)規(guī)則模塊中；

S15，將每個(gè)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息作為一個(gè)數(shù)據(jù)體元素，存儲(chǔ)到元素集合模塊中，且對(duì)每個(gè)數(shù)據(jù)體元素進(jìn)行信息描述，所述描述包括數(shù)據(jù)體元素的數(shù)據(jù)項(xiàng)名、資源標(biāo)志、數(shù)據(jù)規(guī)范及約束、業(yè)務(wù)規(guī)則，至此，完成數(shù)據(jù)安全對(duì)象模型的建立。

更優(yōu)選地，所述動(dòng)態(tài)計(jì)算業(yè)務(wù)規(guī)則包括：正則表達(dá)式、條件表達(dá)式、業(yè)務(wù)邏輯算法。

更優(yōu)選地，步驟S3中，所述權(quán)限信息包括數(shù)據(jù)源權(quán)限信息和數(shù)據(jù)元素權(quán)限信息；

所述數(shù)據(jù)源權(quán)限信息，用于控制登錄用戶對(duì)目標(biāo)業(yè)務(wù)數(shù)據(jù)應(yīng)用信息中行記錄的操作權(quán)限；