(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111366813.9 (22)申请日 2021.11.17 (71)申请人 南方电网数字电网研究院有限公司 地址 510000 广东省广州市黄埔区中新广 州知识城 亿创街1号 406房之86 (72)发明人 张佳发　邹洪　冯国聪　陈锋　 周磊　农彩勤　胡健　 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/62(2013.01) (54)发明名称 基于数据安全法范畴的数据访问控制分析 方法 (57)摘要 本发明属于数据安全技术领域， 且公开了基 于数据安全法范畴的数据访问控制分析方法， 包 括以下步骤： 管理层对访问者身份进行认证， 确 定其访问权限， 访问控制层确定对用户的访问控 制策略， 对其访问授权， 并同时记录其访问轨迹 做好审计。 本发 明通过关键字识别数据类型以及 迅速判别是否为敏感数据， 对输出的数据敏感程 度较高采用相应的数据处理手段， 另外本发明还 制定了一种敏感数据访问处理规则， 当出现同一 账号在单位时间内连续对关联性较低的敏感数 据进行访问， 将会采取相应的风险规避性措施对 用户进行限制， 用户在被限制后可通过主动申请 进行身份洗白， 这样的措施可以有效防止敏感信 息泄漏， 相对提高了敏感数据的访问门槛。 权利要求书2页 说明书6页 附图2页 CN 114205118 A 2022.03.18 CN 114205118 A 1.基于数据安全法范畴的数据访问控制分析 方法， 其特 征在于： 包括以下步骤： 第一步： 管理层对访问者身份进行认证， 确定其访问权限， 访问控制层确定对用户的访 问控制策略， 对其访问授权， 并同时记录其访问轨 迹做好审计； 第二步： 通过加解密判定后， 向管理层获取数据加解密权限， 访问并加载数据加解密组 件对数据进行处 理， 从而获取 数据分析 条件； 第三步： 对数据进行整合归类， 提取数据中的关键字或者关键段， 分析其敏感程度 是否 在合理范围之内； 第四步： 如果数据的敏感程度较高， 访问者无相应权限获取， 则依照访问者身份分别对 数据进行 敏感数据剔除， 敏感数据变形， 敏感数据漂白和敏感数据遮蔽处 理； 第五步： 检验脱敏后的数据在输出后是否与用户意图获取的信 息保持一定的一致性或 者关联性， 检验出关联性和 一致性较高则输出， 检验出关联性较低则对事件审计和向管理 层报备。 2.根据权利要求1所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在于： 所述访问控制策略包括有行数访问控制、 访问控制频次、 角色访问控制、 属 性访问控制、 列 级访问控制和危险操作控制， 所述访问控制策略在用户访问的全过程中均可发生 实时变化 和多种策略并用的方式。 3.根据权利要求1所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在于： 所述审计的事件包括有 数据库名/实例、 主机名、 用户、 登录时间、 退出时间、 应用程序、 主机 名、 IP地址、 物理地址、 操作系统用户、 响应行为、 记录访问敏感数据和审计回溯， 所述审计 回溯指当前用户访问敏感数据时将根据该用户的身份回溯其历史访问的敏感数据， 发现其 历史访问的敏感数据和当前访问的敏感数据之间的关联性。 4.根据权利要求1所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在于： 关键字类型分为金融货币类、 证件类、 数字类、 姓名 和地址， 数据脱敏将会将依据用户想要 检索的关键字类型与数据进行类别比对， 对数据中的敏感数据进行脱敏， 同时需要对数据 中包含于其他的类别的敏感数据进行脱敏处 理。 5.根据权利要求1所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在于： 敏感数据剔除针对该数据中与用户检索关键字 关联性不大的敏感数据进 行剔除， 敏感数据 剔除后需检验整体数据与用户以图获取的数据之间的关联性， 关联性较低则对此事件进 行 审计和向管理层报备。 6.根据权利要求3所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在于： 检测出当前用户访问的关键词中含有敏感数据与其历史访问的敏感数据关联性较低， 则报 备管理层进行审 计， 若在单位时间段内频繁访问与其历史敏感数据关联性较低的其他敏感 数据， 则向管理层报备进行审计并且启用敏感数据访问处 理规则。 7.根据权利要求6所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在于： 所述敏感数据访问处理规则包括有限制用户单位时间段访问频次、 限制用户访问内容限 制、 对用户访问权限 限时锁定和对用户访问权限持续锁定 。 8.根据权利要求7所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在于： 用户在一个单位时间段内敏感数据进行 连续访问， 则限制用户在单位时间段访问频次； 用户在两个连续单位时间段内对敏感数据进行连续访问则对用户访问内容进行限制权　利　要　求　书 1/2 页 2 CN 114205118 A 2和限制用户在单位时间段访问频次； 用户在三个连续或不连续单位 时间段内对关联性不大的敏感数据进行连续访问， 则对 用户访问权限 限时锁定； 用户在四个连续或不连续单位 时间段内对关联性不大的敏感数据进行连续访问， 则对 该用户访问权限进行持续锁定 。 9.根据权利要求8所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在于： 所述单位时间段 取30‑60min之间。 10.根据权利要求8所述的基于数据安全法范畴的数据访问控制分析方法， 其特征在 于： 用户访问权限被持续锁定后可由管理层重新赋予访问权限。权　利　要　求　书 2/2 页 3 CN 114205118 A 3