[发明专利]多维度细粒度分级分类管理系统及方法、数据访问方法

说明书

本发明提供了一种多维度细粒度分级分类管理系统及方法、数据访问方法，其中，系统包括：元数据管理模块，用于对待管理的数据资源按照相应的类别属性进行管理；数据分类管理模块，用于将元数据管理模块管理的数据资源按照预设类别进行分类存放；数据分级管理模块，用于将元数据管理模块管理的数据资源按照预设级别进行分级存放；预设级别为元数据的敏感级别；用户标识服务模块，用于基于数据分类管理模块和数据分级管理模块对元数据资源的存放对不同用户进行标识，限定其访问数据类别或级别的权限。有效解决现有数据分级分类管控方法粒度不够细、面向业务时考察维度不够全面、安全不够灵活等技术问题。

技术领域

本发明涉及数据安全共享服务领域，尤指一种多维度细粒度分级分类管理系统及方法、数据访问方法。

背景技术

数据治理是数据组织中涉及数据使用的一整套管理行为，其由企业数据治理部门发起并推行，内容包括如何制定和实施针对整个企业内部数据的商业应用和技术管理的一系列政策和流程。数据治理的最终目标是提升数据的价值，是企业实现数字战略的基础，是一个管理体系，包括标准、组织、制度、方法、流程、工具等。

在海量数据治理中，为解决数据在共享服务过程中的安全管理确保某些数据或者某类数据不被泄密，尤其是解决数据开放过程中缺乏数据敏感度衡量标准等问题时，一般采用数据分级分类管控并根据不同类别的分类和分级结合用户权限进行安全管控的实施方法，防止敏感信息扩散、杜绝数据滥用风险。其中，数据分级是根据数据内容的敏感程度对数据资源进行定级，按照数据级别控制数据资源的使用范围。数据分类是从数据来源、数据资源类别、字段含义等多个维度对数据资源进行分类，按照数据类别控制数据资源的使用范围。通过数据分类与数据分级，结合用户权限来控制数据访问权限，保障数据在共享过程中的安全性。

在海量存储介质中，现有常见的方案或者技术手段是通过安全框架结合安全控制规则实现数据安全共享，这些解决方案主要有Kerberos、Apache Sentry、 Apache Ranger等，控制范围主要是文件级别或者表级别，粒度不够细，面向业务时考察维度不够全面，且面对业务级别的安全不够灵活。具体来说，

1)Kerberos是一种基于对称密钥的身份认证协议，它作为一个独立的第三方的身份认证服务，可以为其它服务提供身份认证功能，且支持SSO(客户端身份认证后，可以访问多个服务如HBase/HDFS等)。但是只能控制访问或者拒绝访问一个服务，不能控制到很细的粒度，比如HDFS的某一个路径，Hive 的某一个表，需要LDAP配合才能实现用户级别上的认证。

2)Apache Sentry是Cloudera公司发布的一个Hadoop安全开源组件，它提供了细粒度级、基于角色的授权。但是只支持Hive、HDFS、Impala，在数据存储介质方面有局限性。

3)Apache Ranger只支持Hive数据库列级别，其他数据库组件不支持。虽然安全粒度达到了列级别，但是不够灵活，面对业务时还需要进行定制，存储介质方面同样有局限性。

发明内容

本发明的目的是提供一种多维度细粒度分级分类管理系统及方法、数据访问方法，有效解决现有数据分级分类管控方法粒度不够细、面向业务时考察维度不够全面、安全不够灵活等技术问题。

本发明提供的技术方案如下：

一方面，本发明提供了一种面向数据服务的多维度细粒度分级分类管理系统，包括：

元数据管理模块，用于对待管理的数据资源按照相应的类别属性进行管理；

数据分类管理模块，用于将所述元数据管理模块管理的数据资源按照预设类别进行分类存放；

数据分级管理模块，用于将所述元数据管理模块管理的数据资源按照预设级别进行分级存放；所述预设级别为元数据的敏感级别；