CN104796290B - 一种数据安全管控方法及平台 - Google Patents

Abstract

本发明公开了一种数据安全管控方法及平台，所述方法包括：S1，根据数据类别和密级对数据进行划分；S2，根据数据划分结果对数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进行安全防护；S3，收集安全防护工具产生的日志信息，并进行归一化处理，建立数据的全生命周期的安全视图。本发明能够对大数据进行细粒度、差异化的、全生命周期的保护，提高安全防护工具的利用率，对大数据进行跟踪与取证。

Description

一种数据安全管控方法及平台

技术领域

本发明涉及一种数据安全管控方法及平台，属于数据安全技术领域。

背景技术

随着企业业务与信息化的发展，业务数据作为一种企业资产(数据资产)呈现出量大、多样性、高价值的特性，数据资产已进入大数据时代。数据安全的意义已不仅仅限于数据本身，也直接影响到是否能够将数据提升为数据资产来服务于企业的业务发展和核心竞争力的提升；2014年国家提出“信息安全关乎国家安全”，也说明了企业的数据安全关乎企业安全与国家安全。

然而，目前的安全防护手段与技术无法满足大数据环境下多样、海量的数据安全防护要求，其具体表现在以下几个方面：

(1)针对企业的海量、异构数据资产，缺乏差异化保护。企业的数据资产对象来源多样化，主要包括传统的业务系统(物资、基建、营销、人资、办公、财务)、数据资源管理平台以及基于大数据搭建的平台，还有日常办公使用的终端机等。针对不同结构、不同种类的数据，其数据本身的价值也不一样。目前对数据资产的防护策略粒度较粗，存在部分数据保护力度欠缺、部分数据保护过于苛刻，影响业务使用的不合理情况。

(2)企业的安全防护产品仅关注于其防护的设备本身，缺乏统一的安全视图。比如防火墙仅关注于网络层防护，终端桌管安全软件仅关注于终端机的防护，安全防护产品缺乏联动，安全视图分散割裂，缺乏对全网所有设备一个统一的安全管理视图，无法获知所有设备的一个总体的安全防护情况。

(3)在大数据场景下，数据在生命周期的各个阶段都面临着不同的安全风险，有不同的安全防护需求，但是目前缺乏对数据整个生命周期的安全防护，无法做到对数据产生、访问、传输、恢复与销毁完整生命周期的统一安全防护与管理，不能保障数据在存储、传输、使用、销毁等各个环节的安全。

(4)发生安全违规事件后，难以快速准确地定位到责任人。

发明内容

本发明的目的在于，提供一种数据安全管控方法及平台，能够对大数据进行细粒度、差异化的、全生命周期的安全管控，便于对大数据进行跟踪与取证。

为解决上述技术问题，本发明采用如下的技术方案：一种数据安全管控方法，包括以下步骤：

S1，根据数据类别和密级对数据进行划分；

S2，根据数据划分结果对数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进行安全防护；

S3，收集安全防护工具产生的日志信息，并进行归一化处理，建立数据的全生命周期的安全视图。

前述的数据安全管控方法中，所述步骤S1的数据类别按以下方法进行划分：根据数据本身的内容、类型、所属部门、业务活动或业务系统的关系，将数据分为数据大类、数据子类、数据小类和数据，数据大类、数据子类、数据小类和数据分别对应数据域、业务职能域、业务过程域和业务活动。

前述的数据安全管控方法中，所述步骤S1中，根据数据所属数据类别，按照CIA赋值和CIA权重进行数据的资产价值计算，再结合数据的涉密性对数据划分密级，按照密级将数据划分为高敏感数据、敏感数据、内部数据和公共数据。

前述的数据安全管控方法中，所述数据的资产价值V按照V＝Round1{Log2[(A×2^Conf+B×2^Int+C×2^Ava)/3]}计算，其中，A代表保密性的权值，B代表完整性的权值，C代表可用性的权值；Round函数是按制定位数，对数值四舍五入，Round1表示保留1位小数。

前述的数据安全管控方法中，所述步骤S2中根据数据划分结果对数据的身份认证、访问控制分配相应的安全防护工具并进行安全防护具体包括：

(1)初始化：假设信息系统中共有n+1个数据类，m个用户，建立加密密钥层次树，并计算索主密钥K_j和类密钥K_x，其中，1≤j≤t，t+1≤x≤n，t、j为主索引节点，t+1、x、n为主索引节点下的叶子节点；

(2)数据加密：加密器根据数据的密级生成数据类C_x的加密密钥K_x,s，利用该加密密钥K_x,s对数据类C_x进行加密，其中C_x表示位于主索引节点j下叶子节点的数据类；

(3)用户注册：可信中心验证访问数据的用户D_i是否满足注册系统的条件，若满足，则加密器计算用户主密钥可信中心颁发包含该用户主密钥及信息的系统身份证书给用户D_i作为访问系统的身份凭证，其中，为用户D_i的公钥；

(4)访问请求：可信中心验证用户D_i的系统身份证书，若通过验证，则为用户D_i颁发包含用户密级、授予的角色及授予的数据类标识信息的访问证书；

(5)解密：可信中心验证所述的访问证书，若存在偏序关系即实现用户D_i在密级权限内访问数据类C_k中的数据。

前述的数据安全管控方法中，所述安全防护工具包括数据防泄漏工具、数据加解密工具和数据审计工具；其中，所述结构化数据的防泄漏方法包括：

a1，数据库防护服务器生成系统根密钥、列密钥、密级值和各列高敏感数据、敏感数据、内部数据的加密密钥，并利用所述的加密密钥对数据库中的各列高敏感数据、敏感数据、内部数据进行加密；

b1，用户客户端通过应用服务器向数据库服务器发送访问结构化数据中某数据列的请求，数据库防护服务器根据用户的密级，将用于计算用户密级值的中间值以访问证书的形式分发给用户，用户客户端根据该中间值的访问证书计算出允许其访问的各个密级值；

c1，数据库防护服务器通过镜像的流量分析SQL语句，判断该访问请求中是否含有违规访问；

d1，若不含违规访问且被访问的数据列是公开数据，则返回访问请求数据；若不含违规访问且被访问的数据列是高敏感数据、敏感数据或内部数据，则用户客户端发送与高敏感数据、敏感数据或内部数据相应的密级值，数据库防护服务器根据该密级值及相应的列密钥，生成该数据列的解密密钥，利用解密密钥解密数据库服务器中的相应数据列，并返回访问请求数据。

前述的数据安全管控方法中，所述安全防护工具包括数据防泄漏工具、数据加解密工具和数据审计工具；其中，所述非结构化数据的防泄漏方法包括：

a2，受控终端对非结构化的数据资产进行分类分级，并根据敏感等级对相应种类的非结构化数据进行数字签名；

b2，当受控终端请求向Internet或者Extranet发送非结构化数据时，网络防护服务器通过镜像的流量和敏感关键词对该数据进行过滤处理；

c2，若所述的非结构化数据中包含敏感关键词，则采用相应敏感级的公钥对该非结构化数据的签名进行验证；

d2，若通过验证，则阻断该受控终端向Internet或者Extranet发送数据的请求。

前述的数据安全管控方法中，对于非结构化数据，所述步骤S3包括：

S31，记录非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的数据操作行为，并存储为日志审计记录；

S32，读取非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的日志审计记录，对违反安全策略的数据操作行为进行分析，生成分析报告；

S33，建立非结构化数据的全生命周期的安全管理视图。

前述的数据安全管控方法的所述步骤S3中，所述日志信息包括告警信息，当安全防护工具产生违规事件或者系统资源剩余量低于设定的临界值时，将产生告警信息；所述告警信息的归一化处理包括告警事件分类、告警事件分级、告警事件合并和告警事件标准化。

一种实现前述方法的数据安全管控平台，包括：

数据分类分级模块，用于根据数据类别和密级对数据进行划分；

安全防护工具分配模块，用于根据数据划分结果对数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进行安全防护；

日志收集处理模块，用于收集安全防护工具产生的日志信息，并进行归一化处理，建立数据的全生命周期的安全视图。

前述的数据安全管控平台中，所述数据分类分级模块包括数据分类模块，用于根据数据本身的内容、类型、所属部门、业务活动或业务系统的关系，将数据分为数据大类、数据子类、数据小类和数据，数据大类、数据子类、数据小类和数据分别对应数据域、业务职能域、业务过程域和业务活动。

前述的数据安全管控平台中，所述数据分类分级模块包括数据分级模块，用于根据数据所述分类，按照CIA赋值和CIA权重进行数据的资产价值的计算；再结合数据的涉密性对数据划分密级；按照密级将数据划分为高敏感数据、敏感数据、内部数据和公共数据。

前述的数据安全管控平台中，所述数据分级模块按照V＝Round1{Log2[(A×2^Conf+B×2^Int+C×2^Ava)/3]}计算数据的资产价值V，其中，A代表保密性的权值，B代表完整性的权值，C代表可用性的权值；Round函数是按制定位数，对数值四舍五入，Round1表示保留1位小数。

前述的数据安全管控平台中，所述安全防护工具分配模块包括：

数据防泄漏工具分配模块，用于根据数据的密级分配相应的数据防泄漏工具，对数据进行数据防泄漏保护；

数据加解密工具分配模块，用于根据数据的密级分配相应的数据加解密工具，对数据进行数据加解密保护；

数据审计工具分配模块，用于根据数据的密级分配相应的数据审计工具，对数据进行数据审计保护。

前述的数据安全管控平台中，所述日志收集处理模块包括：

审计日志记录模块，用于记录非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的数据操作行为，并存储为日志审计记录；

审计日志分析模块，用于读取非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的日志审计记录，对违反安全策略的数据操作行为进行分析，生成分析报告；

安全视图建立模块，用于建立非结构化数据的全生命周期的安全管理视图。

前述的数据安全管控平台中，所述审计日志分析模块包括告警信息收集处理模块，用于收集当安全防护工具产生违规事件或者系统资源剩余量低于设定的临界值时产生的告警信息，并对告警事件分类、告警事件分级、告警事件合并和告警事件标准化进行归一化处理。

与现有技术相比，本发明采用自然语言处理和文本分类算法，利用人工智能理论和机器学习技术，实现可根据数据内容的语义特征和格式，将数据与一个或多个预定义类别相关联，并根据数据分类自动分配指定数据级别，使细粒度权限控制成为可能；并根据ISO27001体系的数据安全的三个特性(机密性C、完整性I、可用性A)，对数据资产机密性、完整性和可用性的赋值，更好地反映数据资产的业务价值，并区分出各数据资产的价值等级，能提高安全防护工具的利用率；能够对大数据进行细粒度、差异化的、全生命周期的安全管控，实现对数据产生、访问、传输、恢复与销毁等完整生命周期的统一安全防护与管理，为管理者提供所有监管数据统一的安全视图；增加对大数据进行跟踪与取证，在发生安全违规事件后，可以快速准确地定位到责任人；从终端安全防护、安全传输模型到数据防泄漏机制、数据安全销毁与恢复，实现多层次、立体化的整体安全防护管理。

附图说明

图1是本发明的方法流程示意图；

图2是本发明的数据分级方法流程示意图；

图3是本发明的用户访问数据的授权管理方法示意图；

图4是本发明的安全管理视图生成流程示意图；

图5是本发明的平台结构示意图；

图6是本发明的平台架构图；

图7是本发明的平台系统应用模块示意图；

图8是本发明的平台内部集成示意图。

附图标记为：1-数据分类分级模块，11-数据分类模块，12-数据分级模块，2-安全防护工具分配模块，21-数据防泄漏工具分配模块，22-数据加解密工具分配模块，23-数据审计工具分配模块，3-日志收集处理模块，31-审计日志记录模块，32-审计日志分析模块，33-安全视图建立模块，321-告警信息收集处理模块。

下面结合附图和具体实施方式对本发明作进一步的说明。

具体实施方式

本发明实施例1：一种数据安全管控方法，如图1所示，包括以下步骤：

一、根据数据类别和密级对数据进行划分

所述数据类别按以下方法进行划分：根据数据本身的内容、类型、所属部门、业务活动或业务系统的关系，将数据分为数据大类、数据子类、数据小类和数据，数据大类、数据子类、数据小类和数据分别对应数据域、业务职能域、业务过程域和业务活动。

可采用自动分类分级技术，即采用自然语言处理和文本分类算法，实现可根据数据内容的语义特征和格式，将数据与一个或多个预定义类别相关联，并根据数据分类自动分配指定数据类别。

如图2所示，数据分级方法流程如下：

1、基于数据类别，对数据进行识别，确定具体的业务活动数据所对应的业务过程或者业务职能域甚至是数据域；

2、识别之后，按照所属分类，按照CIA赋值和CIA权重的参考建议，进行资产价值计算，在有充分原因的情况下可适当修改CIA建议赋值和权重，要确保数据资产价值得到合理估算；

3、根据数据资产的合理价值，参考数据资产的涉密性，给数据资产进行最终定级，一旦确定级别，即按照规范要求进行保护。

根据数据所属数据类别，按照CIA赋值和CIA权重进行数据的资产价值计算，再结合数据的涉密性对数据划分密级，按照密级将数据划分为高敏感数据、敏感数据、内部数据和公共数据。所述数据的资产价值V按照V＝Round1{Log2[(A×2^Conf+B×2^Int+C×2^Ava)/3]}计算，其中，A代表保密性的权值，B代表完整性的权值，C代表可用性的权值；Round函数是按制定位数，对数值四舍五入，Round1表示保留1位小数。

二、根据数据划分结果对数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进行安全防护

所述安全防护工具包括数据防泄漏工具、数据加解密工具和数据审计工具；其中：

1、所述结构化数据的防泄漏方法

(1)数据库防护服务器生成系统根密钥、列密钥、密级值和各列高敏感数据、敏感数据、内部数据的加密密钥，并利用所述的加密密钥对数据库中的各列高敏感数据、敏感数据、内部数据进行加密。

(2)用户客户端通过应用服务器向数据库服务器发送访问结构化数据中某数据列的请求，数据库防护服务器根据用户的密级，将用于计算用户密级值的中间值以访问证书的形式分发给用户，用户客户端根据该中间值的访问证书通过密级树计算出允许其访问的各个密级值。

(3)数据库防护服务器通过镜像的流量分析SQL语句，判断该访问请求中是否含有违规访问；

所述的判断该访问请求中是否含有违规访问具体包括：判断用户密级是否与其访问数据的敏感等级相匹配，同时判断该用户的身份及其对访问数据的操作是否合法，若非，则含有违规访问；

所述的判断用户密级是否与其访问数据的敏感等级相匹配包括以下步骤：

a，数据库防护服务器通过利用用户的身份信息过滤用户-密级表，或通过利用用户的电子密级证书，来获取用户的密级信息；

b，数据库防护服务器根据用户请求访问的数据列，获取该数据列的敏感等级信息；并将用户的密级与其访问数据列的敏感等级进行匹配。

所述的判断该用户的身份及其对访问数据的操作是否合法具体包括：判断用户是否为数据的创建者，同时判断用户的访问中是否包含修改、增加或删除操作；若该用户不是数据的创建者，且其对访问数据的操作包含修改、增加或删除，则该访问为非法操作。

(4)若不含违规访问且被访问的数据列是公开数据，则返回访问请求数据；若不含违规访问且被访问的数据列是高敏感数据、敏感数据或内部数据，则用户客户端发送与高敏感数据、敏感数据或内部数据相应的密级值，数据库防护服务器根据该密级值及相应的列密钥，生成该数据列的解密密钥，利用解密密钥解密数据库服务器中的相应数据列，并返回访问请求数据。

其中，所述的数据列的解密密钥按下式生成：K_x，s＝H_K(K_x‖V_B(s))；其中，K_x，s是数据列的解密密钥，H_k(·)是一个带密钥的HMAC，K是系统访问根密钥，K_x是列密钥，V_B(s)是密级值。

利用基于明文的结构化数据防泄漏方法，即根据数据的分类分级制定相应细粒度的防泄漏策略来实现结构化数据防泄漏，从而可以有效防止企业信息资产中的敏感结构化数据发生泄漏；此外，本发明还采用了基于密文的结构化数据防泄漏方法，即对高敏感数据、敏感数据和内部数据预先进行加密，访问时只有用户的密级和允许其访问的密级值都符合要求才能解密、访问相应的数据列，从而更进一步有效保护了高敏感数据、敏感数据和内部数据的安全性。另外，发明人经过大量的试验研究发现：本发明中采用基于密文的结构化数据防泄漏方法，若直接将各个数据列的加密密钥分配给所有能访问它的人员，那么一个高级涉密人员需要保存所有数据列的数据，且一个数据列的数据将会被分发给多个人员，这样很容易造成密钥泄露；因此本发明提出了一种新的密钥管理方法，即使得一个数据列的加密密钥K_x，s由列密钥K_x和密级值V_B(s)构成，所述的数据列的加密密钥通过以下公式生成：K_x，s＝H_K(K_x‖V_B(s))，且其中的密级值V_B(s)通过数据库防护服务器根据用户的密级下发的中间值，利用密级树计算得到，从而可以有效保证密钥的安全性和结构化数据的安全性。此外，本发明中的2种防泄露方法中，所有用户都只能访问与自己密级相等或低于自己密级的结构化数据，而不能访问高于自己密级的结构化数据，因而有效保证了敏感数据的安全性。

2、所述非结构化数据的防泄漏方法

(1)受控终端对非结构化的数据资产进行分类分级，将数据分为高敏感级数据、敏感级数据、内部数据和公开数据；对高敏感级数据、敏感级数据和内部数据分别预分配公私密钥对，并利用各个私钥对相应的数据进行ElGamal或DSA签名。

其中，采用ElGamal签名算法对非结构化数据进行数字签名以及对该签名进行验证具体包括以下步骤：

a，初始化

受控终端选择一个大素数p和Z_p中的一个生成元g，并公布p和g；再选择一个随机数sk∈Z_p-1，并计算出pk＝g^sk(mod p)，将pk作为公钥公开，sk作为密钥；

b，对文档m进行签名

选择一个随机数计算r＝g^k(mod p)；

求解方程：m≡skr+ks(mod p-1)，得到s，其中，m即需要加密的文档；加密后产生的(r，s)即文档m的签名，附在文档m的后面；

c，验证：

检测等式：g^m≡pk^r r^s(mod p)是否成立，若成立则通过验证。

(2)当受控终端发出HTTP、HTTPS、FTP或SMTP请求向Internet或者Extranet发送非结构化数据时，网络防护服务器进行判断——若源IP为企业内网IP，目的IP为企业外网IP，则通过镜像的流量和敏感关键词对该非结构化数据的封面、主题、正文和附件进行过滤处理，判断其是否包含敏感关键词。

(3)若所述的非结构化数据中包含敏感关键词，则采用相应敏感级的公钥对该非结构化数据的签名进行验证。

(4)若通过验证，则阻断该受控终端向Internet或者Extranet发送数据的请求。

通过采用关键词过滤和数据标签相结合的方法对企业分级分类数据资产中的非结构化数据进行防护，从而不但可以有效防止数据泄露，而且还可以大大降低信息防护过程中的误报现象(如将非敏感信息识别为敏感信息)，提高非结构化数据防护的准确率。此外，本发明人经过大量试验研究发现：若采用现有技术中的Hash算法来产生数字标签，那么只要知道使用的Hash算法，任何人都能产生和验证Hash值，且对于一个相同的文档，产生的Hash值是相同的，那么就不能保证具有敏感级的文档只能由与之密级相适应的人员产生，而且任何人都可以修改文档重新产生Hash值，不利于保证系统的安全性。而如果采用本发明中的ElGamal或DSA签名算法来产生数字标签，那么就可以保证只有拥有敏感级密钥的人员(即涉密人员)才能产生具有敏感级文档的标签，且其他人不能替换数字标签，同时网络防护服务器只需要使用相应的公钥验证签名即可，而不需要知道私钥，从而有效保证了系统的安全性。

3、根据数据划分结果对数据的身份认证、访问控制分配相应的安全防护工具并进行安全防护，如图3所示：

(1)初始化

假设信息系统中共有n+1个数据类，m个用户，建立加密密钥层次树，并计算索主密钥K_j和类密钥K_x，其中，1≤j≤t，t+1≤x≤n，t、j为主索引节点，t+1、x、n为主索引节点下的叶子节点；

加密器随机选择整数IV、两个带密钥的HMAC H_K(·)和运行多项式时间群生成算法产生群G，并选择一个抗碰撞哈希函数H′：{0，1}*→G，其中，K为系统访问主密钥，K_x为安全类C_x的类密钥；

其中，CID_j为主索引节点的类标识；CID_x为主索引节点j下叶子节点的类标识。

(2)数据加密

加密器根据数据的密级生成数据类C_x的加密密钥K_x,s，K_x,s＝H_K(K_x||V_B(s))，其中，K_x为类密钥，V_B(s)为密级s的值(由密级树获得)；利用该加密密钥K_x,s对数据类C_x进行加密，其中C_x表示位于主索引节点j下叶子节点的数据类。

(3)用户注册

可信中心验证访问数据的用户D_i是否满足注册系统的条件，若满足，则加密器计算用户主密钥可信中心颁发包含该用户主密钥及信息的系统身份证书给用户D_i作为访问系统的身份凭证，其中，为用户D_i的公钥；

其中，所述的计算用户主密钥包括以下步骤：

a，建立解密密钥层次树：动态的在加密密钥层次树中的根节点和第二层主索引节点之间增加用户节点，与用户节点相关联的密钥即用户主密钥

b，计算用户主密钥

(4)访问请求

a，可信中心验证用户D_i的系统身份证书，同时搜索访问控制策略，若用户D_i的访问请求符合任一项访问控制策略，则可信中心抽取相应叶子节点的标识集合其中为第r个被抽取的关于关键词I的索引节点；

b，加密器在密级树中寻找中间节点，并计算这些中间节点的密级值V^u；

c，可信中心为用户D_i颁发访问证书，所述的访问证书中包含附有可信中心签名的信息和其中s为数据的密级或用户的密级，{V^u}为满二叉子树根节点的密级值集合，为根据访问控制策略授予用户D_i访问的叶子节点数据类的标识的集合，为用户D_i的公钥。

(5)解密

a，用户D_i利用自己的私钥从访问证书中抽取值

b，用户D_i根据自己的密级，从访问证书抽取值V⁰,…,V^u和

c，计算密级值V_B(s)和解密密钥K_k,s，K_k,s＝H_K(K_k||V_B(s))，其中，所述的为用户主密钥；

d，用户D_i根据自己的密级s，利用解密密钥K_k,s解密属于数据类C_k中的数据。

表示数据类的密级，其中s0、s1、s2、s3分别为公共数据、内部数据、敏感数据、高敏感数据。采用国密SM1算法对高敏感数据进行加密，采用AES-128加密算法或国密SM4算法对敏感数据进行加密，采用轻量级PRESENT-80算法对内部数据进行加密。

可以有效解决现有技术中存在的问题，尤其是数据库数据和终端文件的明文存储导致敏感信息泄露、数据的明文传输导致数据在网络中传输时很容易被泄露以及弱身份认证容易导致未授权访问的问题。

三、收集安全防护工具产生的日志信息，并进行归一化处理，建立数据的全生命周期的安全视图。

由于结构化数据的产生、使用等均在数据库中，因此结构化数据的管理较为集中，一般直接查询数据库就可以得到结构化数据的所有信息。

而与结构化数据不同，非结构化数据分布广且难管控(流转于各终端和服务器之间)，其通过安全防护工具产生的日志信息通过以下方法进行收集，如图4所示：

1、记录非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的数据操作行为，并存储为日志审计记录；

2、读取非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的日志审计记录，对违反安全策略的数据操作行为进行分析，生成分析报告；

3、建立非结构化数据的全生命周期的安全管理视图。

所述日志信息包括告警信息，当安全防护工具产生违规事件或者系统资源剩余量低于设定的临界值时，将产生告警信息；所述告警信息的归一化处理包括告警事件分类、告警事件分级、告警事件合并和告警事件标准化。

安全审计是指在信息系统的运行过程中，对正常流程、异常状态和安全事件等进行记录和监管的安全控制手段，防止违反信息安全策略的情况发生，也可用于责任认定、性能调优和安全评估等目的。安全审计的载体和对象一般是系统中各类组件产生的日志，格式多样化的日志数据经规范化、清洗和分析后形成有意义的审计信息，辅助管理者形成对系统运行情况的有效认知。

本发明实施例2：一种实现前述方法的数据安全管控平台，如图5所示，包括：

数据分类分级模块1，用于根据数据类别和密级对数据进行划分；

安全防护工具分配模块2，用于根据数据划分结果对数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进行安全防护；

日志收集处理模块3，用于收集安全防护工具产生的日志信息，并进行归一化处理，建立数据的全生命周期的安全视图。

所述数据分类分级模块1包括数据分类模块11，用于根据数据本身的内容、类型、所属部门、业务活动或业务系统的关系，将数据分为数据大类、数据子类、数据小类和数据，数据大类、数据子类、数据小类和数据分别对应数据域、业务职能域、业务过程域和业务活动。

所述数据分类分级模块1包括数据分级模块12，用于根据数据所述分类，按照CIA赋值和CIA权重进行数据的资产价值的计算；再结合数据的涉密性对数据划分密级；按照密级将数据划分为高敏感数据、敏感数据、内部数据和公共数据。

所述数据分级模块12按照V＝Round1{Log2[(A×2^Conf+B×2^Int+C×2^Ava)/3]}计算数据的资产价值V，其中，A代表保密性的权值，B代表完整性的权值，C代表可用性的权值；Round函数是按制定位数，对数值四舍五入，Round1表示保留1位小数。

所述安全防护工具分配模块2包括：

数据防泄漏工具分配模块21，用于根据数据的密级分配相应的数据防泄漏工具，对数据进行数据防泄漏保护；

数据加解密工具分配模块22，用于根据数据的密级分配相应的数据加解密工具，对数据进行数据加解密保护；

数据审计工具分配模块23，用于根据数据的密级分配相应的数据审计工具，对数据进行数据审计保护。

所述日志收集处理模块3包括：

审计日志记录模块31，用于记录非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的数据操作行为，并存储为日志审计记录；

审计日志分析模块32，用于读取非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的日志审计记录，对违反安全策略的数据操作行为进行分析，生成分析报告；

安全视图建立模块33，用于建立非结构化数据的全生命周期的安全管理视图。

所述审计日志分析模块32包括告警信息收集处理模块321，用于收集当安全防护工具产生违规事件或者系统资源剩余量低于设定的临界值时产生的告警信息，并对告警事件分类、告警事件分级、告警事件合并和告警事件标准化进行归一化处理。

数据安全管控平台分成四个层次，自下而上分别是被管控对象层、工具层、功能模块层和用户界面层。数据安全管控平台架构图如图6所示：

被管控对象层是指数据安全管控平台需要监管的结构化以及非结构化数据。其中结构化数据包括但不限于业务系统产生的重要业务数据信息，而非结构数据包括日常办公系统产生的文件、图像、音像、影像等数据。这些数据对象来源于客户端、传统模式的文件服务器和数据库服务器、主流大数据平台，以及数据传输的关键节点。

工具层是指管控平台拟集成的数据安全管控工具。具体包括数据跟踪与取证软件，数据加解密软件和数据防泄漏软件。工具层集成现有的成熟设备或软件。

功能层是该平台的核心层，是在工具层之上进行的二次开发。负责实现该数据安全管控平台的安全防护功能、统计分析、平台管理的功能。功能层具体实现的功能有数据资产分类分级管理、策略管理、日志管理、告警管理等。

最上层界面层是管控平台为用户提供的界面友好的服务窗口，包括丰富的报表查询界面、告警提醒界面以及数据分类分级管理操作、平台管理操作、策略配置的入口。其中报表查询包括综合展示模块提供的数据资产地域分布、数据资产组织分布、数据资产告警分布以及数据资产热点分布情况。平台管理操作界面包括机构管理、角色管理、用户管理和平台日志管理等用户交互界面。策略配置界面包括对加解密工具、防泄漏工具、跟踪与取证工具的策略配置以及对加解密工具的密钥进行参数配置。

如图7所示，从应用功能划分主要分为四大模块，平台管理、数据资产分类分级管理、日志管理和策略管理。平台管理主要提供针对平台用户的行为和角色管理等，保证只有授权和合法用户才能访问系统，并进行合法的操作。数据资产分类分级管理主要将离线的数据资产分类分级结果映射到系统的数据资产的元信息中，从而为后续的防护策略提供识别不同级别资产的基础信息。日志管理分为日志收集和日志挖掘分析等过程，其根本目的是为数据资产的防护情况进行统计分析和对告警事件的事后追踪，以及挖掘与分析潜在的危害和风险。而策略管理主要负责为不同的防护工具下发策略，以便不同的防护工具识别相应级别的资产，并进行相应的防护和分析。

从部署角度考虑，防护工具主要部署在各大数据资产的边界出口处，以及主机运行环境中。而日志收集工具负责将各防护工具日志服务器的日志收集到统一的HDFS文件系统，进行存储和分析。而平台管理则部署在应用服务器上提供给用户进行访问。

在数据安全管控平台的具体实现上，基于SOA的多层架构，采用Spring框架，在前端的界面展现上采用B/S模式的瘦客户端，通过JSP+AJAX技术实现RIA(Rich InternetApplications，丰富互联网程序)；WEB层通过SERVLET响应前端的HTTP请求，调用后台服务完成业务逻辑操作；应用服务组件层采用混合模式，对开发语言不进行限制，针对不同的服务采用C或JAVA来进行开发，以充分利用C语言及JAVA语言的优势；数据存储层使用MySQL数据库和分布式平台HDFS，提高系统性能；服务接口层基于统一服务框架，通过WebService、JMS、HTTP等协议从4A平台和数据资源管理平台获取服务支持。

(1)前端

前端采用JSP技术在浏览器中进行展现，配合AJAX组件实现RIA；WEB层采用SERVLET技术响应前端请求，SERVLET实现对HTTP(S)数据到JAVA类的转换，然后调用后台服务，返回前端，前端和后台通讯采用HTTP协议，对于图形、图表的展现采用FLEX技术。前端主要实现了上图的界面层。

(2)后台

后台采用中间件构建业务模块，在需要高可靠服务和高性能计算等方面用C语言实现；对需要灵活业务处理和个性化需要等方面用JAVA语言实现。后台实现了接入层、服务组件层和数据存储层。

接入层，在大型应用中，尤其是大型实时业务系统，保证系统整体稳定高效的处理业务请求至关重要，接入层实现对终端接入进行综合管理，由接入层对终端发起的服务请求协议转换、服务路由、流量管控、安全管理及在线监测等功能。根据不同的部署需求，接入层可嵌套，实现多级接入以适应复杂的接入需求。

服务组件层，核心业务及数据处理被封装成具备独立事务的服务组件，分别部署到JAVA组件服务器或交易中间件，对外提供统一的调用接口，响应接入层的调用请求。组件层对各类服务组件进行部署及管理，为适应各种复杂应用及大并发的实时服务请求，服务组件层可根据实际运行情况实现按业务分类、并发量或响应速度进行服务器级别重组或服务器内动态重组，针对实时业务系统的高可靠特性，服务组件层支持动态在线增加服务器，或动态在线增减服务器内运行的服务组件，真正实现24*7的不间断服务。

数据存储层，数据存储层负责整个系统的全业务数据存储，是系统中数据量最大、IO最频繁，最影响系统性能的一层，通过良好的服务设计可实现服务组件层无数据表级别关联。采用MySQL数据库存储数据资产分类分级信息、策略数据、用户数据等，可以提供良好的结构化数据操作性能；采用Hadoop分布式文件系统HDFS存储数据安全管控平台收集的大量日志数据，可以提供海量的存储空间和高并发的处理性能，能够极大的提升日志存储和分析的效率。

依据需要集成的系统和设备类型，系统集成可分为内部系统集成、外部系统集成和设备类集成三类。系统的集成策略有以下三种类型：

内部系统集成(如图8所示)，对6+1范围内部应用系统通过企业信息集成平台来集成，范围外的优先考虑统一集成接口，特殊应用采用个性化集成方式。

外部系统集成，部分系统采用开发标准接口与外部系统集成，还有一部份对外部应用系统采用前置机方式集成，按照工作范围确定前置机的部署位置。

外部设备集成，对硬件设备优先考虑统一协议、接口，对特殊设备考虑个性化开发。

数据安全管控平台需要从数据资源管理平台获取用户及组织机构信息，需要和4A平台集成，获取用户认证、账号管理、授权、审计等服务。

数据安全管控平台从下层工具中收集海量的日志数据，并对这些日志信息进行归一化处理，进而从中挖掘分析告警事件的跟踪取证信息。如果这些海量的日志处理得不到有效的存储和处理，将极大地影响整个管控平台的性能。为了使管控平台更加快速、高效地存取和处理日志数据，我们在后端采用Hadoop分布式文件系统HDFS来存储日志数据。Hadoop具有高容错性的特点，能够部署在低廉的硬件上；它提供高吞吐量来访问应用程序的数据，适合那些有着超大数据集的应用程序；它放宽了POSIX的要求，可以以流的形式访问文件系统中的数据；它以并行的方式工作，通过并行处理加快数据的处理速度。并且，Hadoop在设计上假设计算元素和存储会失败，因此它维护多个工作数据副本，确保能够针对失败的节点重新分布处理，具有高可靠性。由此可知，Hadoop的这些优势恰好能够使数据安全管控平台具备高性能和高可靠性。

数据安全管控平台具备高安全性，一方面，根据广东电网公司对信息安全建设的总体规划，数据安全管控平台将以服务集成的方式接入4A平台的用户管理、认证、授权等服务，实现对管控平台用户的统一管理、认证和授权；另一方面，管控平台自身也实现用户身份鉴别、访问控制、日志审计等功能。在用户鉴别上，提供专用的登录控制模块对登录用户进行身份标识和鉴别；提供用户身份标识唯一和鉴别信息复杂度检查功能，保证平台中不存在重复用户身份标识，身份标识信息不易被冒用。在访问控制上，角色划分要遵循“三权分立”的原则，使不同管理员的权限相互制衡，避免因个人权限过大造成权限滥用的情况发生。在日志审计上，能够记录用户的所有操作，能够对日志进行查询，对平台重要安全事件进行实名审计，能够保护审计记录，避免受到未预期的删除、修改和覆盖。

数据安全管控平台采用标准化接口设计，服务数据模型遵循南方电网公司ECIM标准，接口实现符合《SOA应用技术规范第3部分：SOA信息集成技术规范》的要求，在服务实现的基础上进行服务化的封装和定义，以标准的接口技术协议Web Service提供服务调用或获取外部服务，对外屏蔽服务实现的技术细节，实现服务实现层与业务功能层之间的松耦合，具备易扩展性。

Claims (9)

1.一种数据安全管控方法，其特征在于，包括以下步骤：

S1，根据数据类别和密级对数据进行划分；

S2，根据数据划分结果对数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进行安全防护；

S3，收集安全防护工具产生的日志信息，并进行归一化处理，建立数据的全生命周期的安全视图；其中：

所述步骤S2中根据数据划分结果对数据的身份认证、访问控制分配相应的安全防护工具并进行安全防护具体包括：

(1)初始化：假设信息系统中共有n+1个数据类，m个用户，建立加密密钥层次树，并计算索主密钥K_j和类密钥K_x，其中，1≤j≤t，t+1≤x≤n，t、j为主索引节点，t+1、x、n为主索引节点下的叶子节点；

(2)数据加密：加密器根据数据的密级生成数据类C_x的加密密钥K_x,s，利用该加密密钥K_x,s对数据类C_x进行加密，其中C_x表示位于主索引节点j下叶子节点的数据类；

(3)用户注册：可信中心验证访问数据的用户D_i是否满足注册系统的条件，若满足，则加密器计算用户主密钥可信中心颁发包含该用户主密钥及信息的系统身份证书给用户D_i作为访问系统的身份凭证，其中，为用户D_i的公钥；

(4)访问请求：可信中心验证用户D_i的系统身份证书，若通过验证，则为用户D_i颁发包含用户密级、授予的角色及授予的数据类标识信息的访问证书；

(5)解密：可信中心验证所述的访问证书，若存在偏序关系即实现用户D_i在密级权限内访问数据类C_k中的数据；

其中，为用户D_i对应的数据类。

2.根据权利要求1所述的数据安全管控方法，其特征在于：所述步骤S1中，根据数据所属数据类别，按照CIA赋值和CIA权重进行数据的资产价值计算，再结合数据的涉密性对数据划分密级，按照密级将数据划分为高敏感数据、敏感数据、内部数据和公共数据；所述CIA为保密性Confidentiality、完整性Integrity、可用性Availability的简称。

3.根据权利要求2所述的数据安全管控方法，其特征在于：所述数据的资产价值V按照V＝Round1{Log₂[(A×2^Conf+B×2^Int+C×2^Ava)/3]}计算，其中，A代表保密性的权值，B代表完整性的权值，C代表可用性的权值，Conf代表保密性赋值、Int代表完整性赋值、Ava代表可用性赋值；Round函数是按制定位数，对数值四舍五入，Round1表示保留1位小数。

4.根据权利要求2所述的数据安全管控方法，其特征在于：所述安全防护工具包括数据防泄漏工具、数据加解密工具和数据审计工具；其中，结构化数据的防泄漏方法包括：

a1，数据库防护服务器生成系统根密钥、列密钥、密级值和各列高敏感数据、敏感数据、内部数据的加密密钥，并利用所述的加密密钥对数据库中的各列高敏感数据、敏感数据、内部数据进行加密；

b1，用户客户端通过应用服务器向数据库服务器发送访问结构化数据中某数据列的请求，数据库防护服务器根据用户的密级，将用于计算用户密级值的中间值以访问证书的形式分发给用户，用户客户端根据该中间值的访问证书计算出允许其访问的各个密级值；

c1，数据库防护服务器通过镜像的流量分析SQL语句，判断该访问请求中是否含有违规访问；

d1，若不含违规访问且被访问的数据列是公开数据，则返回访问请求数据；若不含违规访问且被访问的数据列是高敏感数据、敏感数据或内部数据，则用户客户端发送与高敏感数据、敏感数据或内部数据相应的密级值，数据库防护服务器根据该密级值及相应的列密钥，生成该数据列的解密密钥，利用解密密钥解密数据库服务器中的相应数据列，并返回访问请求数据。

5.根据权利要求2所述的数据安全管控方法，其特征在于：所述安全防护工具包括数据防泄漏工具、数据加解密工具和数据审计工具；其中，非结构化数据的防泄漏方法包括：

a2，受控终端对非结构化的数据资产进行分类分级，并根据敏感等级对相应种类的非结构化数据进行数字签名；

b2，当受控终端请求向Internet或者Extranet发送非结构化数据时，网络防护服务器通过镜像的流量和敏感关键词对该数据进行过滤处理；

c2，若所述的非结构化数据中包含敏感关键词，则采用相应敏感级的公钥对该非结构化数据的签名进行验证；

d2，若通过验证，则阻断该受控终端向Internet或者Extranet发送数据的请求。

6.根据权利要求1或5所述的数据安全管控方法，其特征在于，对于非结构化数据，所述步骤S3包括：

S31，记录非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的数据操作行为，并存储为日志审计记录；

S32，读取非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的日志审计记录，对违反安全策略的数据操作行为进行分析，生成分析报告；

S33，建立非结构化数据的全生命周期的安全管理视图。

7.一种实现权利要求1～6任意一项所述方法的数据安全管控平台，其特征在于，包括：

数据分类分级模块，用于根据数据类别和密级对数据进行划分；

安全防护工具分配模块，用于根据数据划分结果对数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进行安全防护；

日志收集处理模块，用于收集安全防护工具产生的日志信息，并进行归一化处理，建立数据的全生命周期的安全视图。

8.根据权利要求7所述的数据安全管控平台，其特征在于：所述安全防护工具分配模块包括：数据防泄漏工具分配模块，用于根据数据的密级分配相应的数据防泄漏工具，对数据进行数据防泄漏保护；

数据加解密工具分配模块，用于根据数据的密级分配相应的数据加解密工具，对数据进行数据加解密保护；

数据审计工具分配模块，用于根据数据的密级分配相应的数据审计工具，对数据进行数据审计保护。

9.根据权利要求7或8所述的数据安全管控平台，其特征在于：所述日志收集处理模块包括：审计日志记录模块，用于记录非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的数据操作行为，并存储为日志审计记录；

审计日志分析模块，用于读取非结构化数据文件在创建、存储、使用、传输、销毁与恢复各阶段的日志审计记录，对违反安全策略的数据操作行为进行分析，生成分析报告；

安全视图建立模块，用于建立非结构化数据的全生命周期的安全管理视图。