CN107480553A - 一种数据探查系统、方法、设备及存储介质 - Google Patents
一种数据探查系统、方法、设备及存储介质 Download PDFInfo
- Publication number
- CN107480553A CN107480553A CN201710630781.6A CN201710630781A CN107480553A CN 107480553 A CN107480553 A CN 107480553A CN 201710630781 A CN201710630781 A CN 201710630781A CN 107480553 A CN107480553 A CN 107480553A
- Authority
- CN
- China
- Prior art keywords
- data
- information
- detected
- detect
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24564—Applying rules; Deductive queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供了一种数据探查系统、方法、电子设备方法及存储介质,涉及数据安全技术领域,该系统包括:探查模块、支撑引擎模块和探查管理模块;其中,探查模块,用于设置配置信息,并将配置信息发送给探查管理模块,配置信息包括依据业务需求确定的配置参数;探查管理模块,用于依据配置信息封装探查策略信息,并将探查策略信息发送给支撑引擎模块;支撑引擎模块,用于根据探查策略信息,对目标数据进行敏感数据探查,目标数据为依据配置参数确定的数据。本发明实施例的数据探查系统以独立的、专用的数据探查系统形式部署在数据网络中,能够为不同的数据安全管控系统中的各种敏感数据治理手段提供支撑,进而能够实现协同防御。
Description
技术领域
本发明涉及数据安全技术领域,特别是涉及一种数据探查系统、一种数据探查方法、一种电子设备以及一种可读存储介质。
背景技术
随着信息技术的发展与大数据时代的到来,数据流通成为释放数据红利与价值的主要手段和途径。
在数据流通过程中,敏感数据根据独有的价值,拥有“内部泄漏、外部窃取”的内在驱动力,处于容易泄漏和滥用的高风险状态。为了应对敏感数据面临的威胁,需要对敏感数据进行有效的保护。
对于敏感数据保护而言,只有透彻了解敏感数据的分布与状态,采用精准、有力的治理管控策略,才能对敏感数据提供高效、全面的保护。敏感数据探查是敏感数据保护的基础。
当前,敏感数据探查没有独立的系统,大多以功能模块形态集成在特定的数据安全管控系统中。具有代表性的是集成于数据脱敏系统中的敏感数据检测模块。
如图1所示,数据脱敏系统100由敏感数据检测模块101、数据脱敏模块102和其他定制模块103组成。数据脱敏系统对明确的敏感数据,通过特定的数据脱敏规则,进行数据脱敏处理,实现敏感数据的保护。
集成在特定的数据安全管控系统中的敏感数据检测模块,仅为本数据安全管控系统自身的敏感数据治理手段提供支撑,难以给其他数据安全管控系统中的其他敏感数据治理手段提供支撑,不能实现协同保护。
发明内容
鉴于上述问题,本发明实施例提供一种数据探查系统,以解决集成在特定的数据安全管控系统中的敏感数据检测模块所存在的缺陷问题。
相应的,本发明实施例还提供了一种数据探查方法、一种设备以及一种一种可读存储介质,用以保证上述系统的实现及应用。
为了解决上述问题,本发明实施例公开了一种数据探查系统,包括:探查模块、支撑引擎模块和探查管理模块;
其中,所述探查模块,用于设置配置信息,并将所述配置信息发送给探查管理模块,所述配置信息包括依据业务需求确定的配置参数;
所述探查管理模块,用于依据所述配置信息封装探查策略信息,并将所述探查策略信息发送给支撑引擎模块;
所述支撑引擎模块,用于根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
可选地,所述支撑引擎模块包括:发现引擎和展现引擎;
所述发现引擎,用于根据所述探查策略信息,对目标数据进行敏感数据探查,生成探查结果,并将所述探查结果发送给展现引擎;
所述展现引擎,用于对所述探查结果进行分析处理,生成分析处理结果,并将所述分析处理结果发给所述探查模块;
所述探查模块,还用于输出所述分析处理结果。
可选地,所述发现引擎,还用于将探查日志发送给所述探查管理模块,所述探查日志为探查过程中产生的日志信息;
所述探查管理模块,还用于依据所述探查日志对探查过程中的探查行为进行审计,形成探查审计报告,并将所述探查审计报告发送给所述探查模块;
所述探查模块,还用于展示和/或导出所述探查审计报告。
可选地,所述配置信息还包括预置的探查规则信息;
所述发现引擎,还用于在探查过程中生成所述探查规则信息对应的调整信息,并将所述调整信息发送给所述探查模块;
所述探查模块,还用于依据所述调整信息,对所述探查规则信息进行更新。
可选地,所述系统以旁路部署方式,部署在数据网络内部,用于主动探查所述数据网络的敏感数据。
可选地,所述数据网络包括一个或多个拥有敏感数据的主体,所述主体包括数据中心和/或用户终端;
其中,所述探查模块包括:中心探查模块和/或终端探查模块;
所述配置信息包括:第一配置信息和第二配置信息;所述第一配置信息为所述中心探查模块针对所述数据中心设置的;所述第二配置信息为所述终端探查模块针对所述用户终端设置的。
可选地,所述分析处理结果包括以下至少一项:治理建议信息、分布信息、分类分级信息。
本发明实施例还公开了一种数据探查方法,应用于数据探查系统,包括:
设置数据探查系统中的配置信息,所述配置信息包括依据业务需求确定的配置参数;依据所述配置信息封装探查策略信息;根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
可选地,所述方法还包括:在所述敏感数据探查后,生成对应的探查结果;对所述探查结果进行分析处理,生成分析处理结果;对所述分析处理结果进行输出。
可选地,还包括:在探查过程中生成对应的探查日志;依据所述探查日志,对探查过程中的探查行为进行审计,形成探查审计报告;展示和/或导出所述探查审计报告。
可选地,所述配置信息还包括预置的探查规则信息,所述方法还包括:在探查过程中生成所述探查规则信息对应的调整信息;依据所述调整信息,对所述探查规则信息进行更新。
可选地,所述设置数据探查系统中的配置信息,包括:针对拥有敏感数据的主体,设置所述配置信息。
可选地,所述针对拥有敏感数据的主体,设置所述配置信息,包括:针对数据中心,设置所述数据探查系统中的第一配置信息;和/或,针对用户终端,设置所述数据探查系统中的第二配置信息。
可选地,所述在探查过程中生成所述探查规则信息对应的调整信息,包括:在探查过程中,按照预设机器学习算法对所述探查规则信息进行优化,生成对应的调整信息。
可选地,依据所述调整信息,对所述探查规则信息进行更新,包括:对所述调整信息进行展示;当接收到所述调整信息对应的确认消息时,按照所述调整信息对所述探查规则信息进行更新。
本发明实施例还公开了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:设置数据探查系统中的配置信息,所述配置信息包括依据业务需求确定的配置参数;依据所述配置信息封装探查策略信息;根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
本发明实施例还公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例中数据探查方法的步骤。
本发明实施例包括以下优点:
首先,本发明实施例的数据探查系统可以以独立的、专用的数据探查系统形式部署在数据网络中,并且能够依据配置信息进行敏感数据探查,从而能够为不同的数据安全管控系统中的各种敏感数据治理手段提供支撑,如除数据脱敏外,还可以为其他敏感数据治理手段提供支撑,有利于构建全面的敏感数据保护体系,即克服了集成在特定的数据安全管控系统中的敏感数据检测模块仅为本数据安全管控系统自身的敏感数据治理手段提供支撑的缺陷,解决了现有技术基于集成在特定的数据安全管控系统中的敏感数据检测模块难以给其他数据安全管控系统中的其他敏感数据治理手段提供支撑的问题,进而能够实现协同防御。
其次,本发明实施例的数据探查系统可以围绕拥有敏感数据的不同主体,进行敏感数据探查,具体的探查范围可以根据业务需求定制,即探查范围不存在局限性。
再次,本发明实施例的数据探查系统针对拥有敏感数据的主体进行敏感数据探查,其探查行为属于主动探查,可以主动对全部数据资产中的敏感数据进行探查,进而能够为敏感数据提供高效、全面的保护。
附图说明
图1是现有技术的一种数据脱敏系统的结构框图;
图2是本发明的一种数据探查系统实施例的结构框图;
图3是本发明一个可选示例的一种数据探查系统的结构框图;
图4是本发明的一种数据探查系统可选实施例的结构框图;
图5是本发明一个示例的中心查探子系统部署的示意图;
图6是本发明一个示例的终端查探子系统部署的示意图;
图7是本发明一个示例的一种数据探查系统总体架构的示意图;
图8是本发明的一种数据探查方法实施例的流程图;
图9是本发明一个示例的数据探查系统部署的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
随着当前网络安全环境的持续变化,单纯的“防范”已经难以应对现有安全威胁,如“单点”、“局部”、“被动”的防护不能确保敏感数据安全。敏感数据保护正在从“单点保护”向“协同保护”、从“局部安全”向“全局安全”、从“被动防护”向“主动防护”转变。
需要说明的是,敏感数据,指不为大众知悉,具有实际和潜在利用价值,丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息,如个人隐私信息、业务经营信息、财务信息、人事信息、IT运维信息等。
数据脱敏,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感数据的可靠保护。
脱敏数据,指敏感数据经过数据脱敏处理后,不再包含某些敏感信息的数据。
本发明实施例的核心构思之一在于,构建一个独立的数据探查系统,以通过专用的数据探查系统进行敏感数据探查,解决集成在以数据脱敏系统为代表的特定的数据安全管控系统中的敏感数据检测模块所存在的缺陷。
参照图2,示出了本发明的一种数据探查系统实施例的结构框图,该数据探查系统200可以包括:探查模块210、支撑引擎模块220和探查管理模块230。
其中,所述探查模块210,用于设置配置信息,并将所述配置信息发送给探查管理模块,所述配置信息包括依据业务需求确定的配置参数;
所述探查管理模块220,用于依据所述配置信息封装探查策略信息,并将所述探查策略信息发送给支撑引擎模块;
所述支撑引擎模块230,用于根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
在具体实现中,可以基于应用场景,对数据探查系统进行部署。可选的,数据探查系统可以包括一个或多个探查子系统,本发明实施例对此不作限制。例如,可以针对应用场景中拥有敏感数据的主体,部署各主体对应的探查子系统,随即,可以采用各主体对应的数据探查子系统构建成数据探查系统,以及可分别采用不同的主体对应的探查子系统,对主体中的数据进行敏感数据探查。
一个可选示例中,如图3所示,数据探查系统200可以包括中心探查子系统201和终端探查子系统202。具体的,中心探查子系统与终端探查子系统可以是数据探查系统的两个子系统,也可以是数据探查系统的两种应用形态。在具体实现中,根据实际业务需求,可以同时部署使用中心探查子系统和终端探查子系统,也可以单独部署使用中心探查子系统或终端探查子系统,本发明实施例对此不作限制。
本发明实施例的数据探查系统可以以独立的、专用的数据探查系统形式部署在数据网络中,并且能够依据配置信息进行敏感数据探查,从而能够为不同的数据安全管控系统中的各种敏感数据治理手段提供支撑,如除数据脱敏外,还可以为其他敏感数据治理手段提供支撑,有利于构建全面的敏感数据保护体系,即克服了集成在特定的数据安全管控系统中的敏感数据检测模块仅为本数据安全管控系统自身的敏感数据治理手段提供支撑的缺陷,解决了现有技术基于集成在特定的数据安全管控系统中的敏感数据检测模块难以给其他数据安全管控系统中的其他敏感数据治理手段提供支撑的问题,进而能够实现协同防御。
此外,目前集成在特定的数据安全管控系统中的敏感数据检测模块,围绕敏感数据流通行为,进行敏感数据探查,探查范围面向流通中或即将流通的目标数据,探查范围存在局限性;而在本发明实施例中,数据探查系统可以围绕拥有敏感数据的不同主体,进行敏感数据探查,具体探查范围可以根据业务需求定制,即探查范围不存在局限性。进一步而言,目前集成在特定的数据安全管控系统中的敏感数据检测模块的探查行为由敏感数据流通行为决定,属于被动探查,即不能主动对全部数据资产中的敏感数据分布进行探查;而本发明实施例的数据探查系统针对拥有敏感数据的主体进行敏感数据探查,其探查行为属于主动探查,可以主动对全部数据资产中的敏感数据进行探查,进而能够为敏感数据提供高效、全面的保护。
在本发明的一个可选实施例中,数据探查系统可以以旁路部署方式,部署在数据网络内部,用于主动探查所述数据网络的敏感数据。所述数据网络可以包括一个或多个拥有敏感数据的主体,如具体可以包括数据中心和/或用户终端。所述探查模块可以包括:中心探查模块和/或终端探查模块。配置信息包括:第一配置信息和第二配置信息;所述第一配置信息为所述中心探查模块针对数据中心设置的;所述第二配置信息为所述终端探查模块针对所述用户终端设置的。
具体而言,数据网络通常可以包括用户终端和数据中心。部署在数据网络中的数据探查系统,可以将数据中心的数据和用户终端的数据作为目标数据,以探查出数据中心和用户终端中的敏感数据。其中,数据中心的数据通常是结构化数据;而用户终端中的数据通常是非结构化数据。
在本发明实施例中,中心探查模块可以针对数据中心,设置第一配置信息,使得数据探查系统可以依据该第一配置信息探查数据中心的敏感数据。例如,中心探查模块可以通过特定的探查规则,对数据中心的结构化数据进行敏感数据探查,为后续敏感数据治理提供依据。中心探查模块可以支持数据探查系统探查Oracle、SQL Server和MySQL数据库中的敏感数据,还可以根据业务需求定制支持其他数据库,本发明实施例对此不作限制。
终端探查模块可以针对用户终端,设置第二配置信息,使得数据探查系统可以依据该第二配置信息探查用户终端中的敏感数据。例如,终端探查模块可以通过特定的探查规则,对用户终端的本地文件智能扫描,即对用户终端的非结构化数据进行敏感数据探查,为后续敏感数据治理提供依据。
参照图4,示出了本发明的一种数据探查系统可选实施例的结构框图。
在本发明实施例中,可选地,探查模块210可以分为中心探查模块211和终端探查模块212。
其中,中心探查模块211可以与探查管理模块220、支撑引擎模块230,构成中心探查子系统。例如,如图5所示,中心探查子系统可以根据实际业务需求,采用软件形态部署于可以访问目标数据库的服务器;或者采用硬件形态部署于可以访问目标数据库的网络。其中,目标数据库可以用于存储数据,可以作为数据网络中的数据中心。该数据中心可以通过防火墙连接外部网络。
终端探查模块212可以与探查管理模块220、及支撑引擎模块230,构成终端探查子系统。具体的,终端探查子系统可以包括终端探查子系统服务端和终端探查子系统客户端。如图6所示,终端探查子系统服务端,可以采用软件形态部署于可以被用户终端访问的服务器中;终端探查子系统客户端,采用软件形态部署于用户终端。当终端探查子系统服务端和终端探查子系统客户端配套部署,终端探查子系统才可以正常工作。在保证终端探查子系统总体上具有完整的支撑引擎模块230、终端探查模块212与探查管理模块220的所有内部功能的前提下,可以根据实际业务需求,可以将支撑引擎模块230、终端探查模块212与探查管理模块220的内部功能,拆解分散于终端探查子系统服务端和终端探查子系统客户端。
在具体实现中,一个终端探查子系统服务端可以与一个或多个终端探查子系统客户端对应,即终端探查子系统服务端与终端探查子系统客户端之间的关系可以是一对一的对应关系,也可以是一对多的对应关系。当然,终端探查子系统服务端与终端探查子系统客户端之间的关系还可以是多对一的对应关系,即一个终端探查子系统客户端也可以与多个终端探查子系统服务端对应,本发明实施例对此不作限制。
在本发明的一个可选实施例中,支撑引擎模块230可以包括:发现引擎231和展现引擎232。其中,所述发现引擎231,可以用于根据所述探查策略信息,对目标数据进行敏感数据探查,生成探查结果,并将所述探查结果发送给展现引擎232;所述展现引擎232,可以用于对所述探查结果进行分析处理,生成分析处理结果,并将所述分析处理结果发给所述探查模块;所述探查模块,还可以用于输出所述分析处理结果。
在具体实现中,探查模块210可以用于设置预先设置的配置信息。该配置信息可以是用户自定义的,也可以是数据探查系统中预先定义的,本发明实施例对此不作限制。
作为本发明的一个具体示例,探查模块210可以包括:探查配置子模块,用于配置探查规则信息和各种配置参数。其中,探查规则信息可以用于确定预先设置的探查规则。例如,探查配置子模块在面向数据中心时,可提供扫描配置、凭证配置、任务配置和高级配置等功能,具体的,可以针对数据中心,设置第一配置信息;该第一配置信息可以包括用于探查数据中心的敏感数据的探查规则和配置参数,如可以包括诸如扫描对象、扫描范围、扫描数据类型、凭证信息、探查任务等参数信息。又如,在面向用户终端时,探查配置子模块可以提供扫描条件配置、扫描策略配置等功能,具体的,可针对数据网络中的用户终端设置第二配置信息;该第二配置信息可以包括探查用户终端的敏感数据的探查规则和配置参数,如可以包括诸如扫描条件、扫描策略等。
探查模块210可以设置探查配置子模块中的配置信息,并且可以将设置到的配置信息发送给探查管理模块220。
探查管理模块220在接收到探查模块210所发送的配置信息后,并且可以封装为探查策略信息,以及可将封装后的探查策略信息发送给支撑引擎模块230中的发现引擎231。可选的,该探查管理模块220还可以对探查策略信息进行确认,进而可以在探查策略信息满足预设的业务需求或目标条件时,将所述探查策略发布给支撑引擎模块230的发现引擎231。如果探查策略信息与业务需求偏离或不满足特定的自定义目标,则可修改探查策略,直至满足业务需求和特定的自定义目标,探查管理模块220发布探查策略信息到支撑引擎模块230的发现引擎231。
发现引擎231可以根据探查策略信息,对目标数据进行敏感数据探查,生成对应的探查结果。其中目标数据为依据配置参数确定的数据,如可以是依据配置的探查范围和/或探查对象确定的数据,本发明实施例对此不作限制。该探查结果可以包括探查到的各种敏感数据。
发现引擎231可以将探查结果发送给展现引擎232进行分析处理,以触发展现引擎232对该探查结果进行分析处理。展现引擎232在分析处理后,可以生成对应的分析处理结果,并且可以将该分析处理结果发送给探查模块210,以通过探查模块210对该分析处理结果进行输出。例如,探查模块可以采用导出形式或者展示形式对分析处理结果进行输出。当然,探查模块还可以采用其他形式对分析处理结果进行输出,本发明实施例对此不作限制。
作为本发明的一个示例,展示引擎可以针对探查到的敏感数据进行分析,得到敏感数据的分布信息、分级分类信息、治理建议信息等,并且可以基于分析得到的信息生成分析处理结果。可选的,该分析处理结果可以包括以下至少一项:治理建议信息、分布信息、分类分级信息。展示引擎在生成分析处理结果后,可以将该分析处理结果发送给探查模块,以通过探查模块对该分析处理结果中的信息进行集中可视化展示,从而能够帮助用户洞悉敏感数据状态,掌控敏感数据全局情况,为敏感数据分布现状研判与治理策略规划奠定基础。其中,治理建议信息可以表征数据探查系统提供的敏感数据治理建议;分布信息可用于展示数据探查系统探查到的敏感数据的分布情况,如可以确定敏感数据分布在哪些主体中、各主体分别拥有敏感数据的类型、数量等;分类分级信息可以表征探查到的敏感数据对应的类别和/或级别。
本发明实施例中,可选地,所述发现引擎231,还用于将探查日志发送给所述探查管理模块220,所述探查日志为探查过程中产生的日志信息。所述探查管理模块220,还用于依据所述探查日志对探查过程中的探查行为进行审计,形成探查审计报告,并将所述探查审计报告发送给所述探查模块210。所述探查模块210,还用于展示和/或导出所述探查审计报告。
具体而言,发现引擎231可以将探查过程产生的探查日志发送给探查管理模块220进行记录,如基于探查时间、探查结果及探查过程相关信息生成探查日志,并将该探查日志发送给探查管理模块220,以方便后续信息分析处理。例如,探查管理模块220,可以基于探查日志对探查过程进行全程审计,形成探查审计报告,并且可以将该探查审计报告发送给探查模块210进行展现和导出,从而能够为探查过程监管提供支撑。
在本发明的一个可选实施例中,所述配置信息还包括预置的探查规则信息;所述发现引擎231,还用于在探查过程中生成所述探查规则信息对应的调整信息,并将所述调整信息发送给所述探查模块210;所述探查模块210,还用于依据所述调整信息,对所述探查规则信息进行更新。
在具体实现中,发现引擎231在探查过程中,可以利用诸如自然语言处理、机器学习、数据挖掘等智能技术,智能梳理、学习、优化的探查规则,生成对应的调整信息,并可将该调整信息发送给探查模块210,以触发探查模块210依据该调整信息优化探查规则。其中,调整信息可以用于对探查规则进行优化,如可以用于调整预先设置的基础的探查规则。
可选地,该探查模块210还可以包括:数据探查子模块和智能展现与配置子模块。
其中,数据探查子模块,可以用于提供敏感数据分布、敏感数据概要、敏感数据占比、统计高级查询、统计报表导出和探查审计报告等功能。其中,敏感数据分布功能,可以用于展现存在敏感数据的数据库、表、字段。敏感数据概要功能,可以用于展现基于类型、存储、分布的存在敏感数据统计。敏感数据占比功能,可以同于展现敏感字段类型的占比、数量。统计高级查询功能,可以针对统计报表,根据需求自定义查询条件,支持将设置的查询条件设置为默认。统计报表导出功能,可以支持统计报表导出。探查审计报告功能,可以支持展现、导出探查审计报告。
智能展现与配置子模块,可以用于提供智能展现与智能配置功能。例如,智能展现功能,可以用于展现敏感数据的分类分级、趋势和治理建议。智能配置功能,可以用于选择机器学习模式,包括禁用模式、自动模式和人工模式等等。其中,禁用模式,禁用机器学习功能;自动模式,开启机器学习功能,即可以智能高速梳理、学习、优化出新的探查规则,人工不能干预,自动应用新的探查规则;人工模式,开启机器学习功能,可智能高速梳理、学习、优化出新的探查规则,需要人工进行审核、管控、调整和优化,确认后才可应用新的探查规则。
具体而言,在选中禁用模式后,数据探查系统不开启机器学习功能,可以始终使用预置的探查规则信息进行敏感数据探查。其中,预置的探查规则信息可以包括系统配置时的初始探查规则和/或人工定义探查规则,本发明实施例对此不作限制。
在选中自动模式或者人工模式后,数据探查系统开启了开启机器学习功能,可以利用预设机器学习算法对预置的探查规则信息进行优化,生成该探查规则信息对应的调整信息,以采用该调整信息对探查规则信息进行更新。其中,预设机器学习算法可以基于自然语言处理、机器学习、数据挖掘等智能技术进行设置,本发明实施例对此不作限制。例如,当探查模块的智能配置中为选择人工模式,发现引擎可以在探查过程中,可以采用自然语言处理、机器学习、数据挖掘等智能技术,在系统配置时初始规则和人工定义规则的基础上进行优化,生成对应的调整信息,并将该调整信息发送给探查模块,以通过该探查模块中的智能展现与配置子模块对该调整信息进行展示。该调整信息可以用于表征数据探查系统智能梳理、学习、优化出新的探查规则。用户可以对展示的调整信息进行审核、修改,如可以对数据探查系统在探查过程中智能学习到的新探查规则进行确认或调整。探查模块中的配置模块可以依据用户与确认或调整后的调整信息,更新配置信息中的探查规则信息,进而能够实现探查规则的动态持续优化,进一步提升敏感数据探查精度和效率。
可选的,该探查模块还可以包括一个探查数据库,用于记录实现探查模块功能的数据信息。
参照图7,示出本发明一个示例中的一种数据探查系统总体架构的示意图。
在本示例中,数据探查系统200可以以独立的、专用的数据探查系统形式部署在数据网络,并且可主动对目标数据进行敏感数据探查,从而能够为不同的数据安全管控系统300中的各种敏感数据治理手段提供支撑。
如图7所示,支撑引擎模块230可以由发现引擎231与展现引擎232组成。其中,发现引擎231可以基于预定义、自定义和/或智能学习的探查规则,探查目标数据中的敏感数据。目标数据可以用于表示在探查范围内中的待探查数据,如可以包括数据中心410的结构化数据、用户终端420的非结构化数据等等。具体的,数据中心410和用户终端420中的目标数据可以包括身份信息、财产信息、账户信息、信用信息、交易信息、衍生信息、服务信息;当然还可以包括其他信息,本发明实施例对此不作限制。
在具体实现中,可以根据诸如关键字、规则表达式、特征值等要素,构建基础的探查规则。发现引擎231可以根据探查规则中的关键字、规则表达式、特征值,主动对目标数据进行敏感数据探查。在保证稳定、便捷的基础上,发现引擎231可以采用自然语言处理、机器学习、数据挖掘等智能技术,进一步优化基础的探查规则,提升敏感数据探查精度和效率。
需要说明的是,自然语言处理,可以利用智能引擎和独有优化算法,精准理解数据内容,从而能够降低误报,保证敏感数据探查精确度。机器学习,遵循特定规范准则,智能优化、改进敏感数据探查规则,进而能够提升敏感数据探查性能。数据挖掘,采用聚类和分类等算法,可以保证海量数据处理过程高效稳定,并且可以梳理敏感数据现状,为恰当有效地保护重要数据资产提供支撑。
展现引擎232可以针对探查发现的敏感数据,形成可视化集中展现报告。该可视化集中展现报告可以涉及敏感数据的分布展现、数量展现、占比展现等等,实现了多视角、多纬度信息展现,并且可以提供敏感数据的分类分级、趋势展现和治理建议,帮助用户洞悉敏感数据状态,掌控敏感数据全局情况,为敏感数据分布现状研判与治理策略规划奠定基础。
在具体实现中,高价值的数据需要严格的保护机制。如果没有数据分类分级管控,可能会低估或高估数据集的价值,导致不准确的风险评估。对所有数据都施以最高级别的保护,将造成巨大浪费,高额成本也难以承受。分类分级可以梳理敏感数据现状,恰当、有效地保护重要数据资产。
其中,趋势展现,可以用于提供敏感数据保护现状报告,明确已保护和未保护的敏感数据边界,监控敏感信息保护态势;治理建议,可以根据预定义和自定义建议规则,提供对特定敏感数据的治理建议,为敏感数据保护决策提供支撑。
可选地,支撑引擎模块230还包括一个支撑引擎数据库,用于记录实现支撑引擎模块功能的数据信息。
探查管理模块220,可以用于提供探查策略封装、探查策略管控、探查日志记录和探查审计监管等功能。具体而言,探查策略封装,对于中心探查模块和终端探查模块,可将两者各自的探查配置子模块、智能展现与配置子模块中的配置信息封装为探查策略。探查策略管控,可将管理、修改、发布探查策略,控制探查过程。探查日志记录,可记录探查过程产生的日志。探查审计监管,可基于探查日志对探查过程全程审计,形成探查审计报告。可选地,探查管理模块220还可以包括一个探查管理数据库,用于记录实现探查管理模块功能的数据信息。
中心探查模块211可以包括:探查配置子模块、数据探查子模块和智能展示与配置子模块。其中,探查配置子模块,可以用于提供扫描配置、凭证配置、任务配置和高级配置等功能;数据探查子模块,可以用于提供敏感数据分布、敏感数据概要、敏感数据占比、统计高级查询、统计报表导出和探查审计报告等功能。智能展现与配置子模块,可以用于提供智能展现与智能配置功能。
在本示例中,扫描配置功能,可以用于设置扫描数据、扫描对象和扫描范围等。扫描数据设置,可按照扫描需求,选择预定义探查规则中的数据类型,如可以按照预定义的探查规则,针对身份信息进行设置,具体可以包括姓名、性别、国籍、民族、身份证件种类号码及有限期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等配置参数的设置。扫描对象设置,可按照扫描需求,选择按视图扫描和/或按数据库扫描,本发明实施例对此不作限制。扫描范围设置,可以通过添加数据库及数据库表,指定扫描范围,如可分为扫描时只扫指定范围或排除指定范围两种模式,本发明实施例对此不作限制。
凭证配置功能,可以用于添加扫描凭证,如用于添加凭证信息。例如,凭证信息可以用于限制数据探查系统在获取足够数据库权限后,才可进行敏感数据探查扫描。其中,凭证信息可以包括目标数据库的IP、端口、主机名、服务类型、服务ID、用户名和密码等,本发明实施对此不作限制。
任务配置功能,可以用于对扫描任务进行设置,如可以设置立即扫描或定时扫描,等等,本发明实施例对此不作限制。
高级配置功能,可以用于对探查规则进行管理,如可以通过添加关键字、正则表达式、特征值等来自定义的探查规则,并对预定义和自定义的探查规则进行增、删、改、查等管理操作。
可选地,中心探查模块还可以包括一个中心探查数据库,用于记录实现中心探查模块功能的数据信息。
当然,终端探查模块也可以包括:探查配置子模块、数据探查子模块和智能展示与配置子模块。其中,探查配置子模块,可以用于提供扫描条件配置、扫描策略配置等功能;数据探查子模块,可以用于提供敏感数据分布、敏感数据概要、敏感数据占比、统计高级查询、统计报表导出和探查审计报告等功能;智能展现与配置子模块,可以用于提供智能展现与智能配置功能。
其中,扫描条件配置功能,可以用于配置文件路径、例外路径、文件名关键字、文件类型、文件最小值、文件最大值、扫描启动条件、扫描持续条件、扫描时间条件等。如果没有配置扫描条件,则数据探查系统可以智能判断用户终端是否满足扫描条件,进而可以在用户终端达到指定条件时,启动扫描。扫描过程根据用户终端的性能自动停止,尽可能减少对终端用户操作的影响。
扫描策略配置功能,可以用于选择全量扫描或增量扫描,如支持文件增量扫描,可仅对未扫描或扫描后有变更的文件进行扫描。
可选地,终端探查模块还可以包括一个终端探查数据库,用于记录实现终端探查模块功能的数据信息。
综上,本发明实施例构建独立的数据探查系统,解决集成在数据脱敏系统中的敏感数据检测模块在支撑能力、探查能力、服务能力等方面存在的缺陷。
具体的,数据探查系统,围绕拥有敏感数据的不同主体进行敏感数据探查,探查范围可根据需求定制,解决了现有技术中探查范围存在局限性的问题;并且可针对探查发现的敏感数据,提供丰富的图形化展现,如可以对敏感数据进行分类分级、深度挖掘、分析关联形成可视化集中展现报告,为敏感数据分布状态研判与治理策略规划奠定基础;以及,在利用固定匹配方法保证稳定、便捷的基础上,可采用自然语言处理、机器学习、数据挖掘等智能技术,进一步提升敏感数据探查精度和效率。
本发明实施例的数据探查系统,对于探查行为全程审计,可形成探查审计报告,从而能够为探查行为有效监管提供支撑,有力保障探查行为合规开展;并可面向数据中心、用户终端等拥有敏感数据的主体,主动进行敏感数据探查,有利于围绕拥有敏感数据的主体,构建基于情报驱动、协同防御等主动防御理念的敏感数据保护体系;以及,对于拥有敏感数据的不同主体,可使用智能、定制的探查规则和探查流程,探查的针对性好、效率高,有利于实现敏感数据探查系统的产品化,对敏感数据治理提供有力支撑。
此外,本发明实施例的数据探查系统可以以旁路部署方式,部署在数据网络内部,如图5所示,数据探查系统的中心探查子系统可以以旁路部署方式部署在数据网络中,以面向数据中心进行敏感数据探查;又如图6所示,数据探查系统的终端探查子系统可以以旁路部署方式部署在数据网络中,以面向用户终端进行敏感数据探查。在数据探查系统发生故障时,能够不影响数据网络的业务连续性,即不影响数据网络中的数据流通,如不影响该数据中心和用户终端传输数据。
参照图8,示出了本发明的一种数据探查方法实施例的流程图,该方法应用于本发明实施例的数据探查系统中,具体可以包括以下步骤:
步骤801,设置数据探查系统中的配置信息,所述配置信息包括依据业务需求确定的配置参数。
本发明实施例中,数据探查系统在面向拥有敏感数据的不同主体时,可以使用不同的子系统进行敏感数据探查,如可以分为面向数据中心、面向用户终端和面向综合环境三种场景。其中,综合场景中,数据探查系统面向数据中心和用户终端,可采用中心探查子系统对数据中心进行敏感数据探查,同时可采用终端探查子系统对终端进行敏感数据探查。
在本发明的一个可选实施例中,上述步骤801可以包括:针对拥有敏感数据的主体,设置所述配置信息。具体的,数据探查系统以旁路部署方式部署在数据网络内部,可以针对该数据网络内部不同的主体,设置配置信息,从而可以依据该配置信息,主动对主体进行敏感数据探查。
在具体实现中,拥有敏感数据的主体可以包括数据中心和/用户终端。可选地,数据探查系统针对拥有敏感数据的主体,设置所述配置信息,可以包括:针对数据中心,设置所述数据探查系统中的第一配置信息;和/或,针对用户终端,设置所述数据探查系统中的第二配置信息。具体的,在面向数据中心时,数据探查系统可以设置第一配置信息,以依据该第一配置信息对该数据中心进行敏感数据探查;在面向用户终端时,数据探查系统可设置第二配置信息,以依据该第二配置信息对用户终端进行敏感数据探查。
作为本发明的一个示例,数据探查系统可以包括:中心数据探查子系统和/或终端数据探查子系统。在面向数据中心时,可以使用中心探查子系统,进行敏感数据探查。具体的,可以通过中心探查模块的探查配置子模块,进行扫描配置、凭证配置、任务配置和高级配置,从而生成对应的第一配置信息,并设置该第一配置信息,发送给探查管理模块,进而可以触发探查管理模块执行步骤802。在面向用户终端时,可以使用终端探查子系统,进行敏感数据探查。具体的,可通过终端探查模块的探查配置子模块,进行扫描条件配置和扫描策略配置,从而生成第二配置信息,并设置该第二配置信息,发送给探查管理模块,进而可以触发探查管理模块执行步骤802。
步骤802,依据所述配置信息封装探查策略信息。
具体的,探查管理模块在接收到配置信息后,可将配置信息封装为探查策略信息,并且对探查策略信息进行确认。如果探查策略信息与业务需求偏离或不满足特定的自定义目标,可以依据用户操作修改探查策略信息,直至满足业务需求和特定的自定义目标。当探查策略满足业务需求和特定的自定义目标,可以发布探查策略到支撑引擎模块的发现引擎,进而触发发现引擎执行步骤803。
步骤803,根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
在本发明的一个可选实施例中,所述方法还可以包括:在所述敏感数据探查后,生成对应的探查结果;对所述探查结果进行分析处理,生成分析处理结果;对所述分析处理结果进行展示。
具体的,发现引擎可以根据探查策略信息,对目标数据进行敏感数据探查,生成对应的探查结果,并且可以将该探查结果发送给展现引擎进行分析处理。展现引擎可以将分析处理后得到的分析处理结果发送发给探查模块进行可视化展示。例如,在面向数据中心时,展现引擎可以将分析处理结果发送给中心探查模块,以通过中心探查模块对该分析处理结果进行可视化展示;又如,在面向用户终端时,展现引擎可以将分析处理结果发送给终端探查模块,以通过终端探查模块对该分析处理结果进行可视化展示,等等。
在本发明的一个可选实施例中,所述方法还可以包括:在探查过程中生成对应的探查日志;依据所述探查日志,对探查过程中的探查行为进行审计,形成探查审计报告;展示和/或导出所述探查审计报告。具体的,发现引擎可以在探查过程产生的探查日志,并且可将该探查日志发送给探查管理模块进行记录。探查管理模块可以基于探查日志对探查过程全程审计,形成探查审计报告,并将该探查审计报告发送给终端探查模块进行展现和导出,为探查过程监管提供支撑。
在本发明的一个可选实施例中,所述配置信息还包括预置的探查规则信息,所述方法还包括:在探查过程中生成所述探查规则信息对应的调整信息;依据所述调整信息,对所述探查规则信息进行更新。其中,调整信息可以用于对探查规则信息进行更新,如可以用于优化配置信息中的基础探查规则。
可选地,在探查过程中生成所述探查规则信息对应的调整信息,可以包括:在探查过程中,按照预设机器学习算法对所述探查规则信息进行优化,生成对应的调整信息。具体而言,若在探查模块的智能配置中未选择禁用模式,则发现引擎可将探查过程中智能梳理、学习、优化的探查规则发送给探查模块。
在探查模块的智能配置中,可以人工对探查过程中智能梳理、学习、优化的探查规则进行审核、管控、调整和优化,实现探查规则的动态持续优化。可选地,依据所述调整信息,对所述探查规则信息进行更新,包括:对所述调整信息进行展示;当接收到所述调整信息对应的确认消息时,按照所述调整信息对所述探查规则信息进行更新。具体的,当在探查模块的智能配置中选择人工模式,数据探查系统可以通过探查模块,对生成的调整信息进行展示,从而使得用户可以对该调整信息进行审核、修改;并且可以基于用户审核、修改提交的操作,接收该调整信息对应的确认消息,进而可以基于该确认消息,按照调整信息对探查规则信息进行更新。其中,确认消息为依据用户提交的审核、修改操作生成的,可以用于,如可以用于调整信息进行确认、修改等,以对探查规则信息的优化进行管控。
作为本发明的一种应用,本发明实施例中的数据探查系统可以部署在金融机构的数据网络中。其中,数据探查系统面向金融机构的数据中心,可以使用中心探查子系统,进行敏感数据探查,如图9所示。具体的,可以采用软件形态,在金融机构内网中的服务器上,部署中心探查子系统;该服务器可以访问金融机构数据中心。金融机构内网可以通过防火墙,与外部网络连接。
金融机构的数据安全管理员可以通过中心探查模块的探查配置子模块,进行扫描配置、凭证配置、任务配置和高级配置,并且可通过中心探查模块的智能展现与配置子模块,进行智能配置。在完成配置后,中心探查模块可以将配置信息发送给探查管理模块。
探查管理模块可以接收配置信息,封装为探查策略信息。金融机构的数据安全管理员可以对探查策略信息进行确认。如果探查策略信息与业务需求偏离或不满足特定的自定义目标,可以修改探查策略信息,直至满足业务需求和特定的自定义目标。在探查策略信息满足业务需求和特定的自定义目标时,可以通过探查管理模块,发布探查策略信息到支撑引擎模块的发现引擎。
发现引擎可以根据探查策略信息,对探查目标进行敏感数据探查,并可将探查过程产生的日志发送给探查管理模块进行记录。从而探查管理模块,可以基于探查日志对探查过程全程审计,形成探查审计报告发送给中心探查模块进行展现和导出,为探查过程监管提供支撑。
发现引擎还可以将探查结果发送给展现引擎进行分析处理。展现引擎可以将分析处理结果发送给中心探查模块进行可视化展现。
若金融机构的数据安全管理员在中心探查模块的智能配置中,选择机器学习模式为人工模式,则发现引擎可以将探查过程中智能梳理、学习、优化的探查规则发送给中心探查模块。从而,在中心探查模块的智能配置中,金融机构的数据安全管理员可以人工对探查过程中智能梳理、学习、优化的探查规则进行审核、管控、调整和优化,实现探查规则的动态持续优化。
对于方法实施例而言,由于其与系统实施例基本相似,所以描述的比较简单,相关之处参见系统实施例的部分说明即可。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时可以实现以下步骤:
设置数据探查系统中的配置信息,所述配置信息包括依据业务需求确定的配置参数;
依据所述配置信息封装探查策略信息;
根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
可选地,所述处理器执行所述程序时还可以实现以下步骤:
在所述敏感数据探查后,生成对应的探查结果;
对所述探查结果进行分析处理,生成分析处理结果;
对所述分析处理结果进行输出。
可选地,所述处理器执行所述程序时还可以实现以下步骤:
在探查过程中生成对应的探查日志;
依据所述探查日志,对探查过程中的探查行为进行审计,形成探查审计报告;
展示和/或导出所述探查审计报告。
可选地,所述配置信息还包括预置的探查规则信息,所述处理器执行所述程序时还可以实现以下步骤:
在探查过程中生成所述探查规则信息对应的调整信息;
依据所述调整信息,对所述探查规则信息进行更新。
可选地,所述数据探查系统以旁路部署方式部署在数据网络内,包括:中心数据探查子系统和/或终端数据探查子系统;所述设置数据探查系统中的配置信息,包括:针对拥有敏感数据的主体,设置所述配置信息。
可选地,所述针对拥有敏感数据的主体,设置所述配置信息,包括:针对数据中心,设置所述数据探查系统中的第一配置信息;和/或针对用户终端,设置所述数据探查系统中的第二配置信息。
可选地,所述在探查过程中生成所述探查规则信息对应的调整信息,包括:在探查过程中,按照预设机器学习算法对所述探查规则信息进行优化,生成对应的调整信息。
可选地,依据所述调整信息,对所述探查规则信息进行更新,包括:对所述调整信息进行展示;当接收到所述调整信息对应的确认消息时,按照所述调整信息对所述探查规则信息进行更新。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可以实现本发明实施例中的数据探查方法的步骤。
对于电子设备、计算机可读存储介质实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种数据探查系统、方法、电子设备方法及存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (17)
1.一种数据探查系统,其特征在于,所述系统包括:探查模块、支撑引擎模块和探查管理模块;
其中,所述探查模块,用于设置配置信息,并将所述配置信息发送给探查管理模块,所述配置信息包括依据业务需求确定的配置参数;
所述探查管理模块,用于依据所述配置信息封装探查策略信息,并将所述探查策略信息发送给支撑引擎模块;
所述支撑引擎模块,用于根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
2.根据权利要求1所述的系统,其特征在于,所述支撑引擎模块包括:发现引擎和展现引擎;
所述发现引擎,用于根据所述探查策略信息,对目标数据进行敏感数据探查,生成探查结果,并将所述探查结果发送给展现引擎;
所述展现引擎,用于对所述探查结果进行分析处理,生成分析处理结果,并将所述分析处理结果发给所述探查模块;
所述探查模块,还用于输出所述分析处理结果。
3.根据权利要求2所述的系统,其特征在于,
所述发现引擎,还用于将探查日志发送给所述探查管理模块,所述探查日志为探查过程中产生的日志信息;
所述探查管理模块,还用于依据所述探查日志对探查过程中的探查行为进行审计,形成探查审计报告,并将所述探查审计报告发送给所述探查模块;
所述探查模块,还用于展示和/或导出所述探查审计报告。
4.根据权利要求2所述的系统,其特征在于,所述配置信息还包括预置的探查规则信息;
所述发现引擎,还用于在探查过程中生成所述探查规则信息对应的调整信息,并将所述调整信息发送给所述探查模块;
所述探查模块,还用于依据所述调整信息,对所述探查规则信息进行更新。
5.根据权利要求1至4任一所述的系统,其特征在于,所述系统以旁路部署方式,部署在数据网络内部,用于主动探查所述数据网络的敏感数据。
6.根据权利要求5所述的系统,其特征在于,所述数据网络包括一个或多个拥有敏感数据的主体,所述主体包括数据中心和/或用户终端;
其中,所述探查模块包括:中心探查模块和/或终端探查模块;
所述配置信息包括:第一配置信息和第二配置信息;所述第一配置信息为所述中心探查模块针对所述数据中心设置的;所述第二配置信息为所述终端探查模块针对所述用户终端设置的。
7.根据权利要求2所述的系统,其特征在于,所述分析处理结果包括以下至少一项:治理建议信息、分布信息、分类分级信息。
8.一种数据探查方法,其特征在于,应用于数据探查系统,所述系统包括权利要求1至7任一所述的数据探查系统,所述方法包括:
设置数据探查系统中的配置信息,所述配置信息包括依据业务需求确定的配置参数;
依据所述配置信息封装探查策略信息;
根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在所述敏感数据探查后,生成对应的探查结果;
对所述探查结果进行分析处理,生成分析处理结果;
对所述分析处理结果进行输出。
10.根据权利要求9所述的方法,其特征在于,还包括:
在探查过程中生成对应的探查日志;
依据所述探查日志,对探查过程中的探查行为进行审计,形成探查审计报告;
展示和/或导出所述探查审计报告。
11.根据权利要求9所述的方法,其特征在于,所述配置信息还包括预置的探查规则信息,所述方法还包括:
在探查过程中生成所述探查规则信息对应的调整信息;
依据所述调整信息,对所述探查规则信息进行更新。
12.根据权利要求8至11任一所述的方法,其特征在于,所述设置数据探查系统中的配置信息,包括:
针对拥有敏感数据的主体,设置所述配置信息。
13.根据权利要求12所述的方法,其特征在于,所述针对拥有敏感数据的主体,设置所述配置信息,包括:
针对数据中心,设置所述数据探查系统中的第一配置信息;和/或
针对用户终端,设置所述数据探查系统中的第二配置信息。
14.根据权利要求11所述的方法,其特征在于,所述在探查过程中生成所述探查规则信息对应的调整信息,包括:
在探查过程中,按照预设机器学习算法对所述探查规则信息进行优化,生成对应的调整信息。
15.根据权利要求11或14所述的方法,其特征在于,依据所述调整信息,对所述探查规则信息进行更新,包括:
对所述调整信息进行展示;
当接收到所述调整信息对应的确认消息时,按照所述调整信息对所述探查规则信息进行更新。
16.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
设置数据探查系统中的配置信息,所述配置信息包括依据业务需求确定的配置参数;
依据所述配置信息封装探查策略信息;
根据所述探查策略信息,对目标数据进行敏感数据探查,所述目标数据为依据所述配置参数确定的数据。
17.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求8至15任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710630781.6A CN107480553B (zh) | 2017-07-28 | 2017-07-28 | 一种数据探查系统、方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710630781.6A CN107480553B (zh) | 2017-07-28 | 2017-07-28 | 一种数据探查系统、方法、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107480553A true CN107480553A (zh) | 2017-12-15 |
| CN107480553B CN107480553B (zh) | 2020-11-06 |
Family
ID=60596827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710630781.6A Active CN107480553B (zh) | 2017-07-28 | 2017-07-28 | 一种数据探查系统、方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107480553B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108427890A (zh) * | 2018-03-02 | 2018-08-21 | 北京明朝万达科技股份有限公司 | 一种敏感数据动态检测方法及装置 |
| CN110990447A (zh) * | 2019-12-19 | 2020-04-10 | 北京锐安科技有限公司 | 一种数据探查方法、装置、设备及存储介质 |
| CN111581431A (zh) * | 2020-04-28 | 2020-08-25 | 厦门市美亚柏科信息股份有限公司 | 基于动态评估的数据探查方法和装置 |
| WO2020234682A1 (en) * | 2019-05-23 | 2020-11-26 | International Business Machines Corporation | Sensitive data management |
| CN113590647A (zh) * | 2021-07-29 | 2021-11-02 | 中国联合网络通信集团有限公司 | Sql语句优化方法、装置、设备、存储介质及产品 |
| CN114491179A (zh) * | 2022-04-02 | 2022-05-13 | 中电云数智科技有限公司 | 一种通过数据探查感知数据治理成效的方法 |
| CN114611127A (zh) * | 2022-03-15 | 2022-06-10 | 湖南致坤科技有限公司 | 一种数据库数据安全管理系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100063930A1 (en) * | 2008-09-10 | 2010-03-11 | Expanse Networks, Inc. | System for Secure Mobile Healthcare Selection |
| CN103051501A (zh) * | 2013-01-25 | 2013-04-17 | 四川神琥科技有限公司 | 一种根据网络数据恢复的方式识别网络数据的检测方法 |
| CN106529329A (zh) * | 2016-10-11 | 2017-03-22 | 中国电子科技网络信息安全有限公司 | 一种用于大数据的脱敏系统及脱敏方法 |
-
2017
- 2017-07-28 CN CN201710630781.6A patent/CN107480553B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100063930A1 (en) * | 2008-09-10 | 2010-03-11 | Expanse Networks, Inc. | System for Secure Mobile Healthcare Selection |
| CN103051501A (zh) * | 2013-01-25 | 2013-04-17 | 四川神琥科技有限公司 | 一种根据网络数据恢复的方式识别网络数据的检测方法 |
| CN106529329A (zh) * | 2016-10-11 | 2017-03-22 | 中国电子科技网络信息安全有限公司 | 一种用于大数据的脱敏系统及脱敏方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108427890B (zh) * | 2018-03-02 | 2020-05-08 | 北京明朝万达科技股份有限公司 | 一种敏感数据动态检测方法及装置 |
| CN108427890A (zh) * | 2018-03-02 | 2018-08-21 | 北京明朝万达科技股份有限公司 | 一种敏感数据动态检测方法及装置 |
| GB2597894A (en) * | 2019-05-23 | 2022-02-09 | Ibm | Sensitive data management |
| WO2020234682A1 (en) * | 2019-05-23 | 2020-11-26 | International Business Machines Corporation | Sensitive data management |
| US11182500B2 (en) | 2019-05-23 | 2021-11-23 | International Business Machines Corporation | Sensitive data management |
| CN110990447A (zh) * | 2019-12-19 | 2020-04-10 | 北京锐安科技有限公司 | 一种数据探查方法、装置、设备及存储介质 |
| CN110990447B (zh) * | 2019-12-19 | 2023-09-15 | 北京锐安科技有限公司 | 一种数据探查方法、装置、设备及存储介质 |
| CN111581431A (zh) * | 2020-04-28 | 2020-08-25 | 厦门市美亚柏科信息股份有限公司 | 基于动态评估的数据探查方法和装置 |
| CN111581431B (zh) * | 2020-04-28 | 2022-05-20 | 厦门市美亚柏科信息股份有限公司 | 基于动态评估的数据探查方法和装置 |
| CN113590647A (zh) * | 2021-07-29 | 2021-11-02 | 中国联合网络通信集团有限公司 | Sql语句优化方法、装置、设备、存储介质及产品 |
| CN113590647B (zh) * | 2021-07-29 | 2024-02-23 | 中国联合网络通信集团有限公司 | Sql语句优化方法、装置、设备、存储介质及产品 |
| CN114611127A (zh) * | 2022-03-15 | 2022-06-10 | 湖南致坤科技有限公司 | 一种数据库数据安全管理系统 |
| CN114491179A (zh) * | 2022-04-02 | 2022-05-13 | 中电云数智科技有限公司 | 一种通过数据探查感知数据治理成效的方法 |
| CN114491179B (zh) * | 2022-04-02 | 2022-07-01 | 中电云数智科技有限公司 | 一种通过数据探查感知数据治理成效的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107480553B (zh) | 2020-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107480553A (zh) | 一种数据探查系统、方法、设备及存储介质 | |
| US10437831B2 (en) | Identifying insider-threat security incidents via recursive anomaly detection of user behavior | |
| CN107958322A (zh) | 一种城市网络空间综合治理系统 | |
| CN109861995A (zh) | 一种网络空间安全大数据智能分析方法、计算机可读介质 | |
| US11455587B2 (en) | Continuous and anonymous risk evaluation | |
| CN109885562A (zh) | 一种基于网络空间安全的大数据智能分析系统 | |
| KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
| CN104484474A (zh) | 数据库安全审计方法 | |
| CN109034661A (zh) | 用户识别方法、装置、服务器以及存储介质 | |
| CN105681298A (zh) | 公共信息平台中的数据安全异常监测方法及系统 | |
| US11062004B2 (en) | Emotion-based database security | |
| CN109450882A (zh) | 一种融合人工智能与大数据的网上行为的安全管控系统及方法 | |
| CN107169499A (zh) | 一种风险识别方法及装置 | |
| CN110111202A (zh) | 一种贷后风险监控的方法和系统 | |
| CN105637522A (zh) | 使用受信证书的世界驱动访问控制 | |
| CN111507574B (zh) | 安保人员部署方法、装置、计算机设备和存储介质 | |
| CN109615256A (zh) | 智慧园区安防风险控制方法、存储介质、电子设备及系统 | |
| CN109388949B (zh) | 一种数据安全集中管控方法和系统 | |
| Zhu et al. | Ontology-based approach for the measurement of privacy disclosure | |
| CN106326769B (zh) | 一种野外监测信息处理装置 | |
| EP2571225B1 (en) | A method for detecting data misuse in an organization's network | |
| Santos et al. | Securing data warehouses from web-based intrusions | |
| Zytniewski et al. | Software agents supporting the security of IT systems handling personal information | |
| Anderson et al. | Insider attack and real-time data mining of user behavior | |
| CN108351940A (zh) | 用于信息安全事件的高频启发式数据获取与分析的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |