一种基础信息平台安全性控制方法、系统、设备和介质与流程

本技术涉及安全性控制的，尤其是涉及一种基础信息平台安全性控制方法、系统、设备和介质。

背景技术：

1、当今社会进入大数据时代，越来越多的数据共享开放，交叉使用，针对关键基础信息缺乏保护、敏感数据泄露严重、信息访问权限混乱等问题，急需通过加强网络空间安全保障、做好关键信息基础设施保护、加强数据加密等手段，保障大数据背景下的数据安全。

2、基础信息平台建设的主要目标是服务社会，为社会提供各种信息服务，所以在建设中需要保持对公众的开放性，同时为了提高安全性，需要对用户的访问行为和数据操作进行控制，传统的方式主要基于角色进行访问控制，需要管理人员定义各种角色，并设置合适的访问权限。然而针对各个业务类别数据的管理灵活性较差，对此情况有待进一步改善。

技术实现思路

1、为了解决现有的访问控制的灵活性较差的问题，本技术提供一种基础信息平台安全性控制方法、系统、设备和介质，采用如下的技术方案：

2、第一方面，本技术提供一种基础信息平台安全性控制方法，包括如下步骤：

3、在用户访问数据时，获取用户标识以及所需数据的数据标识；

4、根据所述数据标识确定所述所需数据的目标业务类别和目标安全等级；

5、根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限，及所述用户对所述目标安全等级数据的访问权限；

6、在所述用户具有对所述目标业务类别数据的访问权限，且所述用户具有对所述目标安全等级数据的访问权限时，允许所述用户对所述所需数据进行访问。

7、通过采用上述技术方案，本技术在用户访问数据时，获取用户标识以及数据标识，根据数据标识确定出数据的目标业务类别和目标安全等级，然后根据用户标识确定用户对该目标业务类别数据的访问权限，以及用户对该目标安全等级数据的访问权限，从而在用户满足访问权限时允许用户对所需数据进行访问，通过双重访问权限进行安全性控制，提高对基础信息的安全性保护，且对不同目标业务类别数据根据用户标识确定访问权限，不需要进行单独设置，便于进行访问安全性控制。

8、可选的，所述根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限，及所述用户对所述目标安全等级数据的访问权限，包括如下步骤：

9、确定所述用户标识所对应的用户业务线和用户级别；

10、在所述用户业务线具备对所述目标业务类别数据的访问权限时，确定所述用户具备对所述目标业务类别数据的访问权限；

11、在所述用户级别大于等于所述目标安全等级数据对应的用户所需级别时，确定所述用户具备对所述目标安全等级数据的访问权限。

12、通过采用上述技术方案，本技术通过确定用户标识所对应的用户业务线和用户几杯，在用户业务线具备对所需数据的目标业务类别的访问权限时，确定用户具备对所需数据的目标业务类别的访问权限，然后在用户级别大于等于目标安全等级数据对应的用户所需级别时，确定用户具备对目标安全等级数据的访问权限，从而对用户的访问权限进行确认。

13、可选的，所述在所述用户级别大于等于所述目标安全等级数据对应的用户所需级别时，确定所述用户具备对所述目标安全等级数据的访问权限之前，包括如下步骤：

14、获取对所述目标安全等级数据的允许访问用户集合；

15、在预设的组织结构树中获取所述允许访问用户集合对应的组织层级集合以及所述用户对应的组织层级；

16、在所述组织层级大于等于所述组织层级集合中的最低层级时，确定所述用户级别大于等于所述目标安全等级数据对应的用户所需级别。

17、通过采用上述技术方案，本技术通过获取预设的对目标安全等级数据的允许访问用户集合，然后根据预设的组织结构树中获取允许访问用户集合对应的组织层级集合以及用户的组织层级，然后在组织层级大于等于组织层级集合的最低层级时，确定用户级别大于等于目标安全等级数据对应的用户所需级别，从而使安全管理人员不需要设置太多用户的角色访问权限，通过预设组织结构树以及允许访问用户集合，然后进行组织层级对比，即可快速确定其他用户的级别，提高权限管理效率。

18、可选的，所述获取对所述目标安全等级数据的允许访问用户集合的过程中，包括如下步骤：

19、监听和获取所述目标安全等级数据的允许访问用户变更指令；

20、根据所述变更指令确定需要添加或删除的用户；

21、根据所述变更指令对所述允许访问用户集合进行更新操作；

22、通知与所述变更指令相关的用户和部门；

23、记录所述变更指令和所述更新操作。

24、通过采用上述技术方案，本技术通过获取允许访问用户变更指令，根据变更指令更新允许访问用户集合，从而对目标安全等级数据的可访问用户所需级别进行更新。

25、可选的，所述允许所述用户对所述所需数据进行访问之前，包括如下步骤：

26、获取所述用户的历史访问记录，根据所述历史访问记录预测所述用户的正常访问行为；

27、在所述用户的当前访问行为不匹配所述正常访问行为时，对所述用户的当前访问行为进行风险评估，得到风险评估结果；

28、根据所述风险评估结果采取对应的控制措施。

29、通过采用上述技术方案，本技术通过用户的历史访问记录预测用户的正常访问行为，在用户的当前访问行为不匹配正常访问行为时，对用户的当前访问行为进行风险评估，得到风险评估结果，根据风险评估结果采取对应的控制措施，从而避免非正常访问造成重要数据丢失。

30、可选的，所述在所述用户的当前访问行为不匹配所述正常访问行为时，对所述用户的当前访问行为进行风险评估的过程中，包括如下步骤：

31、获取所述用户当前访问数据的目标安全等级；

32、在所述当前访问数据的目标安全等级高于预设目标安全等级阈值，且所述用户当前访问数据的频率高于预设频率阈值时，确定所述用户的当前访问行为存在风险。

33、通过采用上述技术方案，本技术获取当前访问数据的目标安全等级，在目标安全等级高于预设目标安全等级阈值时，且用户当前访问数据的频率高于预设频率阈值时，确定用户的当前访问行为存在风险，从而采取对应的控制措施。

34、可选的，所述控制措施包括提示所述用户确认操作的合法性、要求所述用户提供额外的身份验证信息、限制所述用户访问次数、拒绝所述用户访问。

35、第二方面，本技术提供一种基础信息平台安全性控制系统，包括：

36、标识获取模块，用于在用户访问数据时，获取用户标识以及所需数据的数据标识；

37、目标业务类别和目标安全等级确定模块，用于根据所述数据标识确定所述所需数据的目标业务类别和目标安全等级；

38、访问权限确定模块，用于根据所述用户标识确定所述用户对所述目标业务类别数据的访问权限，及所述用户对所述目标安全等级数据的访问权限；

39、访问控制模块，用于在所述用户具有对所述目标业务类别数据的访问权限，且所述用户具有对所述目标安全等级数据的访问权限时，允许所述用户对所述所需数据进行访问。

40、第三方面，本技术提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述基础信息平台安全性控制方法的步骤。

41、第四方面，本技术提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述基础信息平台安全性控制方法的步骤。

42、综上所述，本技术包括以下至少一种有益技术效果：

43、1.本技术在用户访问数据时，获取用户标识以及数据标识，根据数据标识确定出数据的目标业务类别和目标安全等级，然后根据用户标识确定用户对该目标业务类别数据的访问权限，以及用户对该目标安全等级数据的访问权限，从而在用户满足访问权限时允许用户对所需数据进行访问，通过双重访问权限进行安全性控制，提高对基础信息的安全性保护，且对不同目标业务类别数据根据用户标识确定访问权限，不需要进行单独设置，便于进行访问安全性控制；

44、2.本技术通过获取预设的对目标安全等级数据的允许访问用户集合，然后根据预设的组织结构树中获取允许访问用户集合对应的组织层级集合以及用户的组织层级，然后在组织层级大于等于组织层级集合的最低层级时，确定用户级别大于等于目标安全等级数据对应的用户所需级别，从而使安全管理人员不需要设置太多用户的角色访问权限，通过预设组织结构树以及允许访问用户集合，然后进行组织层级对比，即可快速确定其他用户的级别，提高权限管理效率；

45、3.本技术通过用户的历史访问记录预测用户的正常访问行为，在用户的当前访问行为不匹配正常访问行为时，对用户的当前访问行为进行风险评估，得到风险评估结果，根据风险评估结果采取对应的控制措施，从而避免非正常访问造成重要数据丢失。