技術(shù)領(lǐng)域

本發(fā)明涉及大數(shù)據(jù)信息安全技術(shù)領(lǐng)域，更具體地，涉及一種數(shù)據(jù)權(quán)限分配與訪問控制的方法。

背景技術(shù)

隨著企業(yè)業(yè)務(wù)持續(xù)地增長、信息系統(tǒng)運(yùn)用不斷地深入，企業(yè)內(nèi)部部署的大量不同種類、形態(tài)各異的信息化系統(tǒng)與IT基礎(chǔ)設(shè)備產(chǎn)生大量結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)，數(shù)據(jù)量日益增加、數(shù)據(jù)也爆發(fā)式增長。因此信息安全數(shù)據(jù)分析平臺也由傳統(tǒng)數(shù)據(jù)分析平臺進(jìn)入了大數(shù)據(jù)分析平臺的時代，大數(shù)據(jù)安全分析平臺給企業(yè)帶來了海量數(shù)據(jù)的可擴(kuò)展存儲系統(tǒng)、快速的信息獲取、強(qiáng)有力的安全分析支撐；大數(shù)據(jù)分析平臺給企業(yè)創(chuàng)造出巨大的經(jīng)濟(jì)和社會價值的同時仍面臨著傳統(tǒng)數(shù)據(jù)分析平臺的數(shù)據(jù)權(quán)限分配問題，即大數(shù)據(jù)中數(shù)據(jù)的授權(quán)訪問問題。

當(dāng)前大數(shù)據(jù)分析平臺面臨著如下數(shù)據(jù)安全訪問問題：大數(shù)據(jù)分析平臺的用戶主要角色都是企業(yè)各個重要角色；各類信息系統(tǒng)、IT設(shè)備管理者推進(jìn)大數(shù)據(jù)平臺的建設(shè)；信息安全分析師參與大數(shù)據(jù)平臺直接建設(shè)比重增加；數(shù)據(jù)開發(fā)、數(shù)據(jù)模型角色都是數(shù)據(jù)平臺的建設(shè)者與使用者；大數(shù)據(jù)分析平臺面對是數(shù)據(jù)源多樣化，比如IT設(shè)備日志、數(shù)據(jù)庫日志、Web日志、信息系統(tǒng)日志、交易類日志和視頻/音頻等非結(jié)構(gòu)化數(shù)據(jù)；各類數(shù)據(jù)滿足大數(shù)據(jù)安全分析的同時，又要滿足按用戶角色訪問隔離，達(dá)到按授權(quán)訪問。

大數(shù)據(jù)安全分析平臺迫切解決以上問題，若平臺數(shù)據(jù)權(quán)限設(shè)計不當(dāng)或較重會導(dǎo)致數(shù)據(jù)處理速度較慢、影響安全分析效果；若設(shè)計較輕，可能會導(dǎo)致越權(quán)訪問，造成數(shù)據(jù)的泄漏，因此有必要提供一種數(shù)據(jù)權(quán)限分配與訪問控制的方法，解決大數(shù)據(jù)安全分析平臺的數(shù)據(jù)權(quán)限訪問控制問題。

發(fā)明內(nèi)容

本發(fā)明的目的是解決大數(shù)據(jù)安全分析平臺的數(shù)據(jù)權(quán)限訪問控制問題。

為了實現(xiàn)上述目的，本發(fā)明提供一種數(shù)據(jù)權(quán)限分配與訪問控制的方法，該方法包括如下步驟：基于平臺用戶擁有的IT設(shè)備和信息系統(tǒng)，構(gòu)建權(quán)限標(biāo)簽樹；基于RBAC模型，構(gòu)建基于所述權(quán)限標(biāo)簽樹的數(shù)據(jù)權(quán)限訪問控制模型；基于所述數(shù)據(jù)權(quán)限訪問控制模型，在業(yè)務(wù)訪問時依據(jù)權(quán)限標(biāo)簽進(jìn)行過濾，實現(xiàn)用戶訪問的權(quán)限控制。

優(yōu)選地，所述構(gòu)建權(quán)限標(biāo)簽樹是將所述IT設(shè)備和信息系統(tǒng)與所述權(quán)限標(biāo)簽樹節(jié)點進(jìn)行映射。

優(yōu)選地，所述權(quán)限標(biāo)簽樹的每個節(jié)點包含一個唯一的權(quán)限標(biāo)簽編號。

優(yōu)選地，所述權(quán)限標(biāo)簽樹包括父節(jié)點和子節(jié)點，當(dāng)擁有父節(jié)點權(quán)限時，代表擁有所有的子節(jié)點權(quán)限。

優(yōu)選地，所述數(shù)據(jù)權(quán)限訪問控制模型包括用戶，所述用戶擁有若干角色，所述角色擁有若干權(quán)限，所述權(quán)限對應(yīng)所述權(quán)限標(biāo)簽樹的若干權(quán)限節(jié)點，所述權(quán)限節(jié)點對應(yīng)相應(yīng)的所述IT設(shè)備和信息系統(tǒng)。

優(yōu)選地，所述權(quán)限標(biāo)簽樹、所述IT設(shè)備和信息系統(tǒng)、所述用戶、所述角色、所述權(quán)限及其之間的關(guān)系數(shù)據(jù)，在平臺啟動時全部加載到內(nèi)存并實時更新。

優(yōu)選地，所述IT設(shè)備和信息系統(tǒng)產(chǎn)生異構(gòu)數(shù)據(jù)，對所述異構(gòu)數(shù)據(jù)進(jìn)行數(shù)據(jù)增強(qiáng)后實時存儲到分布式系統(tǒng)。

優(yōu)選地，所述數(shù)據(jù)增強(qiáng)包括：對所述異構(gòu)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，得到標(biāo)準(zhǔn)化數(shù)據(jù)中的設(shè)備標(biāo)識；基于所述設(shè)備標(biāo)識，找到對應(yīng)的所述IT設(shè)備和信息系統(tǒng)；基于所述IT設(shè)備和信息系統(tǒng)，得到與之對應(yīng)的所述權(quán)限標(biāo)簽；基于所述權(quán)限標(biāo)簽，對所述標(biāo)準(zhǔn)化數(shù)據(jù)的權(quán)限標(biāo)志位進(jìn)行補(bǔ)充。

優(yōu)選地，所述存儲為分布式存儲。

優(yōu)選地，所述分布式存儲基于存儲集群節(jié)點的處理能力指標(biāo)，所述處理能力指標(biāo)表示為：

其中，x₁,…,x_k為存儲節(jié)點連通性、CPU利用率、內(nèi)存利用率、采集性能取值，f₁,…,f_k為存儲節(jié)點連通性、CPU利用率、內(nèi)存利用率、采集性能對應(yīng)的權(quán)重值，n為采集節(jié)點連通性、CPU利用率、內(nèi)存利用率、采集性能對應(yīng)的權(quán)重值求和；x₁f₁,…,x_kf_k為采集節(jié)點的連通性、CPU利用率、內(nèi)存利用率和采集性能的加權(quán)。

本發(fā)明的有益效果在于：將用戶擁有的IT設(shè)備和信息系統(tǒng)與權(quán)限標(biāo)簽樹的節(jié)點綁定，利用標(biāo)簽樹的結(jié)構(gòu)對采集的IT設(shè)備和信息系統(tǒng)中的數(shù)據(jù)進(jìn)行權(quán)限標(biāo)簽化，實現(xiàn)高速處理數(shù)據(jù)的同時，對采集的數(shù)據(jù)進(jìn)行細(xì)粒度授權(quán)；用戶按擁有的一個或多個角色獲得訪問權(quán)限標(biāo)簽樹相應(yīng)節(jié)點的授權(quán)，實現(xiàn)了用戶數(shù)據(jù)訪問的授權(quán)、認(rèn)證、隔離，避免了越權(quán)訪問而導(dǎo)致數(shù)據(jù)泄露,對用戶數(shù)據(jù)提供最安全的保障。

本發(fā)明的其它特征和優(yōu)點將在隨后的具體實施方式部分予以詳細(xì)說明。

附圖說明