[发明专利]一种基于数据隔离模型的数据访问方法

说明书

本发明提供了一种基于数据隔离模型的数据访问方法，其利用数据隔离模型区分隔离了各不同层级组织的业务数据库范围，且针对不同数据业务建立相应数据访问权限的访问角色、针对不同操作任务建立相应数据访问权限的子角色，并利用子角色与访问角色之间的归属关系来构建子角色所具备的数据访问权限，在满足多层级的组织层级结构中各不同层级组织之间对数据业务管理的不同需求的同时，不仅确保了不同层级组织的业务数据库范围之间的数据隔离性，而且还能够确保不同层级组织的业务数据库范围之间的访问权限授权安全性，进而达到了对访问权限设计简化和访问权限控制安全性要求的兼顾，为不同于数据业务下的操作任务执行提供更好的安全保障。

技术领域

本发明涉及大数据信息安全管理技术领域，具体涉及一种基于数据隔离模型的数据访问方法。

背景技术

当前，新一代信息技术与制造业深度融合，正引发新一轮产业变革。我国制造业要以基于“互联网+制造业”的智能制造为主攻方向，提高综合集成水平，走生态文明的发展道路。基于互联网的信息技术迅速发展大大加快了制造业企业的信息化进程。建筑垃圾资源化旨在将建筑垃圾及其他废弃资源通过定向无害化处置转化为可再生资源，并深加工成多种终端产品，创造一种新的循环经济模式。建筑垃圾资源化涉及建筑全产业链、供应链和价值链，同样需要“互联网+”来提升资源再生、循环利用的智能化水平，为建筑垃圾资源化项目推广提供了重要的契机和发展空间。通过实施集团化的ERP系统，从建筑垃圾的产生、运输、处置、资源化到终端再生产品的质量监督，对全产业链进行数字化管理，实行对区域内建筑垃圾资源量预测分析，实时调配与监控，以准确判断和把握产业发展状态，实行精准配置、动态管理，提高全产业链的综合竞争力。随着建筑垃圾资源化产业智能化发展的加快和互联网信息技术的发展，基于Web的信息管理系统成为了企业信息管理系统开发的主流，其信息安全问题也成为了关注的焦点，而对用户权限进行管理则是保障信息系统安全的一个重要手段。访问控制是针对越权使用系统资源的防御措施，它通过限制系统内用户的行为和操作，保证系统资源被受控地、合法地使用，是保障企业信息安全的一种关键技术。

基于角色的访问控制（Role-based Access Control，RBAC）模型是目前在大型商业系统成熟应用的安全访问控制方法。它通过分配和取消角色完成用户权限的授予和取消，并且提供角色分配规则。安全管理人员根据需要定义各种角色，并设置合适的访问权限，而用户根据其责任和资历再被指派为不同的角色。由于 RBAC 模型的授权方式及授权模型的维护方便高效，因此成为开放式环境下权限管理模型的理想选择。

然而，对于集团化公司对于数据业务管理的需求而言，现有的基于角色的访问控制模型（即RBAC模型）却不能具备很好的适用性。由于集团化公司往往具备多层级的组织层级结构，其组织层级结构中各不同层级组织之间，不仅具有上下层级的归属关系，而且不同层级组织之间既强调独立性又强调关联性，因此不同层级组织的业务数据库范围之间也存在着归属、交叉的关系，但又需要具备独立、隔离的访问权限限制要求，使得ERP系统（Enterprise Resource Planning，企业资源计划）的权限管理具有复杂性和动态性；而现有的RBAC模型中对于访问权限的控制都是静态的，即每个角色在业务数据库范围中的访问权限是被静态设定的，若直接将现有的RBAC模型应用在集团化公司的ERP系统下，就容易导致问权限被静态控制的角色难以适应不同层级组织的业务数据库范围的访问权限需求，导致访问机制出现僵化或权限粒度不够（即反问权限最小范围不够）；而如果要满足各不同层级组织之间对数据业务管理的不同需求，在现有的RBAC模型下就需要构建大量的角色，且会导致很多角色的数据访问权限存在交叉，不仅使得角色建立的工作量巨大，而且容易因不同角色间数据访问权限的交叉问题而导致角色分配出错、引发数据访问权限分配不当的问题，不利于对数据隔离性和访问权限授权安全性的有效控制。

因此，如何针对集团化公司对数据业务管理的需求提供适用的数据访问权限控制方案，并确保不同层级组织的业务数据库范围之间的数据隔离性和访问权限授权安全性，是有待解决的问题。

发明内容