海上油气勘探开发数据权限管控方案设计与实践
Design and Practice of Data Permission Control Scheme for Offshore Oil and Gas Exploration and Development
DOI: 10.12677/ag.2026.163030, PDF,    科研立项经费支持
作者: 张金波*, 封亚冬, 田 婧, 房甜甜, 戴天琪, 张翰羽:中海油研究总院有限责任公司,北京
关键词: 海上油气勘探开发数据权限RBACABACOffshore Oil and Gas Exploration and Development Data Permission RBAC ABAC
摘要: 油气勘探开发过程中会产生大量敏感数据,大型数据管理平台的建设对做好敏感数据安全管控提出了更高要求,数据权限管理是其中最基础,同时也是最复杂的部分。针对该问题,通过分析油气勘探开发数据业务特点和数据权限管理需求,在经典的基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)权限管理模型基础上,提出了一种融合式数据权限管理方案。该方案在数据安全分类分级基础上,将用户和数据的多维属性进行提炼、对齐,并建立了同类属性信息匹配、校验机制,进而实现了从组织、角色、个人三个层次对不同安全级别的数据集、数据项、作用对象进行权限管控,且具备进一步灵活扩展能力。研究成果在中国海油勘探开发数据湖平台中落地实施,取得了良好应用效果,也可为其他同类大型数据管理平台数据权限管控问题提供借鉴。
Abstract: A large volume of sensitive data is generated during the process of oil and gas exploration and development, and the construction of large-scale data management platforms has raised higher requirements for the security control of such sensitive data. Data permission management is the most fundamental yet also the most complex component of this work. To address this issue, by analyzing the business characteristics of oil and gas exploration and development data and the requirements for data permission management, a hybrid data permission management scheme is proposed based on the classic Role-Based Access Control (RBAC) and Attribute-Based Access Control (ABAC) models. On the basis of the classification and grading of data security, this scheme refines and aligns the multi-dimensional attributes of users and data, and establishes a matching and verification mechanism for homogeneous attribute information. Furthermore, it realizes permission control over data sets, data items and acting objects of different security levels from three dimensions: organization, role and individual, and features the capability for further flexible expansion. The research results have been implemented on the CNOOC Exploration and Development Data Lake Platform, achieving favorable application effects, and can also provide a reference for solving data permission control problems of other similar large-scale data management platforms.
文章引用:张金波, 封亚冬, 田婧, 房甜甜, 戴天琪, 张翰羽. 海上油气勘探开发数据权限管控方案设计与实践[J]. 地球科学前沿, 2026, 16(3): 321-329. https://doi.org/10.12677/ag.2026.163030

参考文献

[1] 黄阳华, 张津硕, 张钟文. 基于数据要素的数字经济增长与核算理论[J]. 中国人民大学学报, 2026(1): 37-47.
[2] 律红洲, 黄希彧. bp公司数字化转型经验与启示[J]. 世界石油工业, 2022, 29(6): 35-39.
[3] 曾涛, 刘晗光, 高坚. 斯伦贝谢公司数字化转型的经验与启示[J]. 国际石油经济, 2021, 29(1): 94-99.
[4] 夏聪, 刘凡, 梁远明. 石油行业信息化建设与需求的策略探讨[J]. 化工管理, 2023(17): 84-87.
[5] 蒋楠. 石化企业数据治理方法及应用[J]. 炼油技术与工程, 2024, 54(8): 46-50.
[6] 帅训波, 陈东, 董之光, 贾文清, 叶铭, 李青. 石油石化行业信息系统安全技术标准体系建设[J]. 石油与天然气化工, 2026, 55(1): 105-112.
[7] 袁康, 鄢浩宇. 数据分类分级保护的逻辑厘定与制度构建——以重要数据识别和管控为中心[J]. 中国科技论坛, 2022(7): 167-177.
[8] 商希雪, 韩海庭. 数据分类分级治理规范的体系化建构[J]. 电子政务, 2022(10): 75-87.
[9] 中华人民共和国数据安全法[EB/OL].
http://www.npc.gov.cn/npc/c2/c30834/202106/t20210610_311888.html, 2021-06-10.
[10] 中华人民共和国网络安全法[EB/OL].
https://www.cac.gov.cn/2025-12/29/c_1768735112911946.htm, 2016-11-07.
[11] 全国信息安全标准化技术委员会. 网络安全标准实践指南——网络数据分类分级指引[EB/OL].
https://www.tc260.org.cn/portal/article/303/7f3487831107464c99aa9d094eeeb995, 2021-12-01.
[12] 国家市场监督管理总局, 国家标准化管理委员会. GB/T22240-2020信息安全技术网络安全等级保护定级指南[S]. 北京: 中国标准出版社, 2020-04-28.
[13] 李凤华, 苏铓, 史国振, 马建峰. 访问控制模型研究进展及发展趋势[J]. 电子学报, 2012, 40(4): 805-813.
[14] 徐晨, 朱润酥, 吴振洲, 纪添, 李晨希. 访问控制安全模型研究[J]. 网络空间安全, 2024, 15(1): 97-102.
[15] Liu, Y.A. and Stoller, S.D. (2005) Role-Based Access Control: A Simplified Specification. Technical Report DAR 05-24, Computer Science Department, SUNY Stony Brook.
[16] Jha, S., Li, N., Tripunitara, M., et al. (2008) Towards Formal Verification of Role-Based Access Control Policies. IEEE Transactions on Dependable and Secure Computing, 5, 242-255. [Google Scholar] [CrossRef
[17] 李梁磊, 邵立嵩, 王传勇, 刘勇, 王坤. 面向泛在网络的CA-RBAC访问控制[J]. 网络空间安全, 2017, 8(Z2): 48-54.
[18] Rajpoot, Q.M., Jensen, C.D. and Krishnan, R. (2015) Integrating Attributes into Role-Based Access Control. In: Lecture Notes in Computer Science, Springer, 242-249. [Google Scholar] [CrossRef
[19] Fries, S., Falk, R. and Bisale, C. (2017) Role-Based Access Control in the Digital Grid—A Review of Requirements and Discussion of Solution Approaches. International Journal on Advances in Security, 10, 223-232.
[20] 丁睿, 陈浩, 马杰. 一种基于零信任的威胁感知访问控制方法[J]. 网络空间安全, 2021, 12(Z6): 43-48.
[21] 夏桐, 袁凌云, 谢天玉. 融合聚类和结构优化的属性访问控制策略评估[J]. 计算机工程与科学, 2025, 47(12): 2169-2180.
[22] Riad, K. and Cheng, J. (2021) Adaptive XACML Access Policies for Heterogeneous Distributed IoT Environments. Information Sciences, 548, 135-152. [Google Scholar] [CrossRef
[23] Deng, F., Yu, Z., Liu, W., Luo, X., Fu, Y., Qiang, B., et al. (2021) An Efficient Policy Evaluation Engine for XACML Policy Management. Information Sciences, 547, 1105-1121. [Google Scholar] [CrossRef
[24] 张焕, 侯明星, 刘光娜, 史颖. 基于动态数据敏感等级的大数据细粒度访问控制模型[J]. 计算机科学, 2026, 53(2): 187-195.
[25] 王小铁, 练斌. 一种基于属性的动态访问控制技术分析[J]. 集成电路应用, 2025, 42(3): 110-111.