所公開的用于控制對存儲在信息保持系統中的信息的訪問的計算機實現的方法可包括：(1)在計算設備處接收與相應對象的對象類型相關聯的元數據，其中相應對象中的至少兩個對象在不同域中，(2)從元數據中確定至少兩個對象的相應的對象類型，(3)基于相應的對象類型的相對特征形成至少兩個對象的分級結構，以及(4)執行安全動作，該安全動作包括(A)接收至少一個訪問規則，該至少一個訪問規則控制至少一個用戶對至少兩個對象的訪問，以及(B)在信息保持系統中的至少一個存儲設備中存儲至少一個訪問規則、對象的分級結構和至少兩個對象。本發明還公開了各種其他方法、系統和計算機可讀介質。

背景技術

備份信息是可在信息系統上的惡意攻擊之后加快恢復工作的預防性安全措施。備份信息可能是具有挑戰性、復雜且重要的操作。一些復雜性包括定義和控制對備份信息的訪問。例如，如果多年前只允許兩位員工訪問重要的信息備份，并且這兩位員工已經離開公司，那么應該允許誰訪問備份信息？一些其他復雜性包括類似的備份應用程序可具有不同的訪問模型、不同的對象、不同的對象放置和/或不同的訪問規則。此外，一些信息存儲系統可涉及可實現不兼容的訪問管理服務的第三方服務提供方，諸如云服務提供方。此外，隨著時間的變化，用戶、用戶角色、應用程序、應用程序角色、計算技術、訪問控制技術和/或存儲技術可能改變，而存儲在信息保持系統中的備份數據自存儲以來保持不變。

發明內容

如將在下文更詳細地描述的，本公開描述了用于控制對存儲在信息保持系統中的信息的訪問的各種系統和方法。

在一個實施方案中，一種用于控制對存儲在信息保持系統中的信息的訪問的方法可包括：(1)在計算設備處接收與多個對象中的相應對象的對象類型相關聯的元數據，其中相應對象中的至少兩個對象在不同域中，(2)從元數據中確定多個對象中的至少兩個對象的相應的對象類型，(3)基于相應的對象類型的相對特征形成至少兩個對象的分級結構，以及(4)執行安全動作。該安全動作可包括：(A)接收至少一個訪問規則，該至少一個訪問規則控制至少一個用戶對多個對象中的至少兩個對象的訪問，以及(B)在信息保持系統中的至少一個存儲設備中存儲至少一個訪問規則、對象的分級結構和多個對象中的至少兩個對象。

在一個示例中，多個對象中的對象可描述變量、函數和數據結構中的至少一者。在一個實施方案中，多個對象中的對象可包括數據庫表、文件、文件夾、數據庫或它們的組合。在一些實施方案中，多個對象中的至少兩個對象可與不同的應用程序相關聯。

在一些示例中，確定相應的對象類型還可包括將至少兩個對象的元數據與元數據和對象類型的交叉引用進行比較。在一個示例中，確定相應的對象類型還可包括從元數據讀取相應的對象類型。

在一個實施方案中，至少一個訪問規則可以使得至少一個用戶能夠訪問分級結構的至少一個相應部分。在一些實施方案中，使得至少一個用戶能夠訪問分級結構的至少一個相應部分可以包括使得能夠訪問分級結構的低于分級結構的至少一個相應部分的所有級別。

在一些示例中，至少一個訪問規則可以拒絕至少一個用戶訪問分級結構的至少一個相應部分。在一個示例中，拒絕至少一個用戶訪問分級結構的至少一個相應部分可以取代使得至少一個用戶能夠訪問分級結構的至少一個相應部分的至少一部分。在一個實施方案中，拒絕至少一個用戶訪問分級結構的至少一個相應部分可以包括拒絕在分級結構的至少一個相應部分中讀取、寫入、刪除和恢復至少一個對象。

在一些實施方案中，至少一個訪問規則可使得至少一個用戶能夠訪問多個對象中的至少一個對象。在一些示例中，至少一個訪問規則可拒絕至少一個用戶訪問多個對象中的至少一個對象。

在一個示例中，執行安全動作可包括：(1)接收附加訪問規則，該附加訪問規則控制至少一個用戶對多個對象中的至少一個相應對象的訪問，以及(2)將所接收的訪問規則的至少一部分組合成至少一個組合訪問規則。