CN107944284B - 一种企业数据内部安全管控的方法及系统 - Google Patents
一种企业数据内部安全管控的方法及系统 Download PDFInfo
- Publication number
- CN107944284B CN107944284B CN201711181429.5A CN201711181429A CN107944284B CN 107944284 B CN107944284 B CN 107944284B CN 201711181429 A CN201711181429 A CN 201711181429A CN 107944284 B CN107944284 B CN 107944284B
- Authority
- CN
- China
- Prior art keywords
- data
- security
- access
- enterprise
- cloud platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 230000007246 mechanism Effects 0.000 claims abstract description 26
- 238000011217 control strategy Methods 0.000 claims abstract description 13
- 238000012502 risk assessment Methods 0.000 claims abstract description 7
- 230000000007 visual effect Effects 0.000 claims abstract description 7
- 238000007726 management method Methods 0.000 claims description 19
- 230000008859 change Effects 0.000 claims description 12
- 230000006399 behavior Effects 0.000 claims description 6
- 230000008676 import Effects 0.000 claims description 3
- 238000012559 user support system Methods 0.000 claims description 3
- 238000013523 data management Methods 0.000 abstract description 3
- 230000008569 process Effects 0.000 abstract description 3
- 239000013589 supplement Substances 0.000 description 4
- 230000004927 fusion Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种企业数据内部安全管控的方法及系统。本发明的方法基于企业云平台建成的全业务统一数据中心,所述的全业务统一数据中心包括统一视图区和数仓区中结构化数据,在对其进行实际运行环境风险分析后,从数据安全生命周期的角度制定整个数据保护的安全规范;以所述的安全规范为基础,在企业云平台开启LabelSecurity安全标签机制,安全标签将企业云平台的数据访问级别区分成公开数据、内部数据、保密数据、机密数据四个保密维度级别;并且通过LabelSecurity访问机制,实现对同一表数据的不同列做到不同的有效安全控制策略。本发明保证了业务数据在其生命周期内安全跟踪和管控;同时,在整个数据管控的过程中,保证了友好的可视化操作。
Description
技术领域
本发明属于信息系统数据安全领域,具体地说是一种企业数据内部安全管控的方法及系统。
背景技术
在企业内部,为了解决多源头数据源,打破企业内部之间的壁垒和部门之间数据不流通的现状,能便于企业决策者管理并且深入挖掘数据价值,建立企业部门之间的合作,提高数据资产的价值和利用率,实现数据的内部开放已是大势所趋。
为了实现企业数据价值最大化,目前,国网浙江电力各业务部门的数据已经实现了上云工作,基本建成了企业全业务统一数据中心,有效汇集了企业全量业务数据,并以此为基础,开展了大量的创业业务的建设。但是从技术的角度来看,要实现数据生态链的全面贯通,数据的安全性问题、数据的隐私性问题如果没有得到妥善解决,那么在实现数据融合的各个阶段都会存在阻碍,并伴随着数据泄露的巨大风险;同时,在保证数据的安全性方面实现良好的可视化操作也是具有很高的难度。
发明内容
本发明所要解决的技术问题是数据的安全性及隐私性问题,提供一种企业数据内部安全管控的方法,以保证业务数据在其生命周期内安全跟踪和管控;同时,在整个数据管控的过程中,保证友好的可视化操作。
为此,本发明采用如下的技术方案:一种企业数据内部安全管控的方法,其基于企业云平台建成的全业务统一数据中心,所述的全业务统一数据中心包括统一视图区和数仓区中结构化数据,在对其(统一视图区和数仓区中结构化数据)进行实际运行环境风险分析后,从数据安全生命周期的角度制定整个数据保护的安全规范;
以所述的安全规范为基础,在企业云平台开启LabelSecurity安全标签机制,安全标签将企业云平台的数据访问级别区分成公开数据、内部数据、保密数据、机密数据四个保密维度级别;并且通过LabelSecurity访问机制,实现对同一表数据的不同列做到不同的有效安全控制策略。
本发明针对企业内部涉及到结构化的业务数据,进行部门之间数据融合后,在整个数据生态链的全生命周期内,保障数据在创建、存储、使用、共享、存档、销毁的各个阶段终处在安全的形态中。
作为上述技术方案的补充,开启安全标签机制后,将统一视图区和数仓区中的表结构和用户信息通过接口展现在数据安全管控策略界面中,根据数据安全规范的原则,通过平台接口规范,可视化、按键式完成对表级别的安全级别设置。
作为上述技术方案的补充,为满足更灵活的业务现状和实际需要,单独对表中的特殊列级别进行单独的安全级别设置,以实现更细致严格的安全管控。
作为上述技术方案的补充,完成表和列的安全级别设置后,再对企业云平台访问用户设置数据访问权限,做到对应用户访问对应表、列数据,防止越级别的数据访问。
作为上述技术方案的补充,通过建立的第三方数据安全管控策略工具,对所有的表和列数据的访问安全级别的更改,用户的访问权限变更,都支持可视化界面操作,并且工具对所有用户的行为都做日志记录,以便追溯用户可能的高危行为。
本发明的另一目的是提供一种企业数据内部安全管控的系统,其包括:
全业务统一数据中心:基于企业云平台建成的全业务统一数据中心,包括统一视图区和数仓区中结构化数据;
安全标签机制启用单元:用于开启LabelSecurity安全标签机制;
安全规范制定单元:在对统一视图区和数仓区中结构化数据进行实际运行环境风险分析后,从数据安全生命周期的角度制定整个数据保护的安全规范;
数据安全管控单元:以所述的安全规范为基础,在企业云平台开启LabelSecurity安全标签机制,安全标签将企业云平台的数据访问级别区分成公开数据、内部数据、保密数据、机密数据四个保密维度级别;并且通过LabelSecurity访问机制,实现对同一表数据的不同列做到不同的有效安全控制策略;
数据安全访问等级设置单元:根据数据安全规范的原则,通过平台接口规范,可视化、按键式完成对表级别的访问安全级别设置。
作为上述企业数据内部安全管控系统的补充,所述的数据安全管控单元包括:
数据导入单元:通过接口导入统一视图区和数仓区中结构化数据的表和列信息;
数据安全等级设置单元:遵循数据安全规范设置数据表和列的安全等级;
用户访问权限设定单元:设定数据中心用户访问权限;
变更要素记录单元:记录变更要素信息,包括:变更的表和列名称、变更后的安全等级、变更的时间、操作人名称、操作者IP;变更用户的名称、变更后的访问权限等级、变更时间、操作人名称、操作人IP地址。
本发明具有的有益效果如下:通过本发明的应用,完成了企业云平台的全业务统一数据中心所承载业务数据的分级分类工作,对用户使用数据中心数据权限做到了严格的控制,并记录用户的权限更改,可追溯用户的异常行为,保证了业务数据在其生命周期内安全跟踪和管控;同时,在整个数据管控的过程中,保证了友好的可视化操作。
附图说明
图1为本发明应用时的示意图;
图2为本发明方法的流程图;
图3为本发明系统的框图。
具体实施方式
下面结合说明书附图和实施例对本发明作进一步说明。
实施例1
本实施例提供一种企业数据内部安全管控的方法,如图1-2所示,其基于企业云平台建成的全业务统一数据中心,所述的全业务统一数据中心包括统一视图区和数仓区中结构化数据,在对其进行实际运行环境风险分析后,从数据安全生命周期的角度制定整个数据保护的安全规范;
以所述的安全规范为基础,在企业云平台开启LabelSecurity安全标签机制,安全标签将企业云平台的数据访问级别区分成公开数据、内部数据、保密数据、机密数据四个保密维度级别;并且通过LabelSecurity访问机制,实现对同一表数据的不同列做到不同的有效安全控制策略。
开启安全标签机制后,将企业云平台里统一视图区和数仓区中的表结构和用户信息通过接口展现在数据安全管控策略界面中,根据数据安全规范的原则,通过平台接口规范,可视化、按键式完成对表级别的安全级别设置。
为满足更灵活的业务现状和实际需要,单独对表中的特殊列级别进行单独的安全级别设置,以实现更细致严格的安全管控。
完成表和列的安全级别设置后,再对企业云平台访问用户设置数据访问权限,做到对应用户访问对应表、列数据,严防严控越级别的数据访问。
通过建立的第三方数据安全管控策略工具,对所有的表和列数据的访问安全级别的更改,用户的访问权限变更,都支持可视化界面操作,并且工具对所有用户的行为都做日志记录,以便追溯用户可能的高危行为。
本发明针对企业内部涉及到结构化的业务数据,进行部门之间数据融合后,在整个数据生态链的全生命周期内,保障数据在创建、存储、使用、共享、存档、销毁的各个阶段终处在安全的形态中。
实施例2
本实施例提供一种企业数据内部安全管控的系统,如图3所示,其包括:
全业务统一数据中心:基于企业云平台建成的全业务统一数据中心,包括统一视图区和数仓区中结构化数据;
安全标签机制启用单元:用于开启LabelSecurity安全标签机制;
安全规范制定单元:在对统一视图区和数仓区中结构化数据进行实际运行环境风险分析后,从数据安全生命周期的角度制定整个数据保护的安全规范;
数据安全管控单元:以所述的安全规范为基础,在企业云平台开启LabelSecurity安全标签机制,安全标签将企业云平台的数据访问级别区分成公开数据、内部数据、保密数据、机密数据四个保密维度级别;并且通过LabelSecurity访问机制,实现对同一表数据的不同列做到不同的有效安全控制策略;
数据安全访问等级设置单元:根据数据安全规范的原则,通过平台接口规范,可视化、按键式完成对表级别的访问安全级别设置。
所述的数据安全管控单元包括:
数据导入单元:通过接口导入统一视图区和数仓区中结构化数据的表和列信息;
数据安全等级设置单元:遵循数据安全规范设置数据表和列的安全等级;
用户访问权限设定单元:设定数据中心用户访问权限;
变更要素记录单元:记录变更要素信息,包括:变更的表和列名称、变更后的安全等级、变更的时间、操作人名称、操作者IP;变更用户的名称、变更后的访问权限等级、变更时间、操作人名称、操作人IP地址。
应用例
本发明在“基于浙江电力云平台数据安全策略管控实施”中提出并应用。目前在企业全业务统一数据中心已完成覆盖生产、营销、ERP和调控等核心领域的业务系统全量数据接入,并完成对接入数据的清洗、转换和存储,实现数据同源,支撑数据应用,完成覆盖企业经营管理的人、财、物、生产、营销等10大业务领域的全业务统一数据模型梳理,共构建了1024个实体,2.5万个属性,数据表3.4万张,完成206TB的业务数据汇集,每天稳定运行2.5万数据同步任务,运行7千余个数据加工任务,已加工形成2万余数据标签供上层应用调用。此大规模的数据资源的运用,是建立在已经完成了90%数据表、85%数据列安全分级的基础上,保障了云平台数据的安全运营。
Claims (4)
1.一种企业数据内部安全管控的方法,其特征在于,基于企业云平台建成的全业务统一数据中心,所述的全业务统一数据中心包括统一视图区和数仓区中结构化数据,在对统一视图区和数仓区中结构化数据进行实际运行环境风险分析后,从数据安全生命周期的角度制定整个数据保护的安全规范;
以所述的安全规范为基础,在企业云平台开启LabelSecurity安全标签机制,安全标签将企业云平台的数据访问级别区分成公开数据、内部数据、保密数据和机密数据四个保密维度级别;并且通过LabelSecurity访问机制,实现对同一表数据的不同列做到不同的有效安全控制策略;
开启安全标签机制后,将统一视图区和数仓区中的表结构和用户信息通过接口展现在数据安全管控策略界面中,根据数据安全规范的原则,通过平台接口规范,可视化和按键式完成对表级别的安全级别设置;
通过建立的第三方数据安全管控策略工具,对所有的表和列数据的访问安全级别的更改,用户的访问权限变更,都支持可视化界面操作,并且工具对所有用户的行为都做日志记录。
2.根据权利要求1所述的企业数据内部安全管控的方法,其特征在于,为满足更灵活的业务现状和实际需要,单独对表中的特殊列级别进行单独的安全级别设置。
3.根据权利要求2所述的企业数据内部安全管控的方法,其特征在于,完成表和列的安全级别设置后,再对企业云平台访问用户设置数据访问权限,做到对应用户访问对应表和列数据,防止越级别的数据访问。
4.一种企业数据内部安全管控的系统,其特征在于,包括:
全业务统一数据中心:基于企业云平台建成的全业务统一数据中心,包括统一视图区和数仓区中结构化数据;
安全标签机制启用单元:用于开启LabelSecurity安全标签机制;
安全规范制定单元:在对统一视图区和数仓区中结构化数据进行实际运行环境风险分析后,从数据安全生命周期的角度制定整个数据保护的安全规范;
数据安全管控单元:以所述的安全规范为基础,在企业云平台开启LabelSecurity安全标签机制,安全标签将企业云平台的数据访问级别区分成公开数据、内部数据、保密数据和机密数据四个保密维度级别;并且通过LabelSecurity访问机制,实现对同一表数据的不同列做到不同的有效安全控制策略;
数据安全访问等级设置单元:根据数据安全规范的原则,通过平台接口规范,可视化和按键式完成对表级别的访问安全级别设置;
所述的数据安全管控单元包括:
数据导入单元:通过接口导入统一视图区和数仓区中结构化数据的表和列信息;
数据安全等级设置单元:遵循数据安全规范设置数据表和列的安全等级;
用户访问权限设定单元:设定数据中心用户访问权限;
变更要素记录单元:记录变更要素信息;
通过建立的第三方数据安全管控策略工具,对所有的表和列数据的访问安全级别的更改,用户的访问权限变更,都支持可视化界面操作,并且工具对所有用户的行为都做日志记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711181429.5A CN107944284B (zh) | 2017-11-23 | 2017-11-23 | 一种企业数据内部安全管控的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711181429.5A CN107944284B (zh) | 2017-11-23 | 2017-11-23 | 一种企业数据内部安全管控的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107944284A CN107944284A (zh) | 2018-04-20 |
| CN107944284B true CN107944284B (zh) | 2020-10-09 |
Family
ID=61930982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711181429.5A Active CN107944284B (zh) | 2017-11-23 | 2017-11-23 | 一种企业数据内部安全管控的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107944284B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109151000A (zh) * | 2018-08-01 | 2019-01-04 | 长沙拓扑陆川新材料科技有限公司 | 一种云平台并行通信的系统及方法 |
| CN109635587B (zh) * | 2018-12-17 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 实现数据自动分类分级保护的方法和装置 |
| CN110166451B (zh) * | 2019-05-20 | 2021-11-16 | 北京计算机技术及应用研究所 | 一种轻量级电子文档传递控制系统及方法 |
| CN110995657A (zh) * | 2019-11-11 | 2020-04-10 | 广州市品高软件股份有限公司 | 一种基于数据标签的数据访问方法、服务端及系统 |
| CN111523098A (zh) * | 2020-04-15 | 2020-08-11 | 支付宝(杭州)信息技术有限公司 | 数据权限管理方法及装置 |
| CN113297617A (zh) * | 2021-05-26 | 2021-08-24 | 杭州安恒信息技术股份有限公司 | 权限数据获取方法、装置、计算机设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905402A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种基于安全标签的保密安全管理方法 |
| CN104796290A (zh) * | 2015-04-24 | 2015-07-22 | 广东电网有限责任公司信息中心 | 一种数据安全管控方法及平台 |
| CN107180195A (zh) * | 2017-05-18 | 2017-09-19 | 北京计算机技术及应用研究所 | 基于安全标签的电子文档全生命周期安全防护方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7831570B2 (en) * | 2004-12-30 | 2010-11-09 | Oracle International Corporation | Mandatory access control label security |
-
2017
- 2017-11-23 CN CN201711181429.5A patent/CN107944284B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905402A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种基于安全标签的保密安全管理方法 |
| CN104796290A (zh) * | 2015-04-24 | 2015-07-22 | 广东电网有限责任公司信息中心 | 一种数据安全管控方法及平台 |
| CN107180195A (zh) * | 2017-05-18 | 2017-09-19 | 北京计算机技术及应用研究所 | 基于安全标签的电子文档全生命周期安全防护方法 |
Non-Patent Citations (2)
| Title |
|---|
| Oracle_Label_Security技术研究及其实现;郭明甫,余钢,朱莉;《电脑知识与技术》;20061015;第3,4,12页 * |
| 关于全业务统一数据中心云建设的思考;赵希超;《计算机科学与探索》;20170725;第455-458页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107944284A (zh) | 2018-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107944284B (zh) | 一种企业数据内部安全管控的方法及系统 | |
| CN102902767A (zh) | 一种表格快速搭建的方法及系统 | |
| CN104700227A (zh) | 一种县级供电企业供电所所务管理系统平台 | |
| CN102708466A (zh) | 项目管理系统 | |
| CN105069577A (zh) | 专利信息管理系统 | |
| CN111046421A (zh) | 一种基于app的企业管理共享方法 | |
| CN102495916A (zh) | 一种基于对象匹配的多应用系统全景建模方法 | |
| CN102467705A (zh) | 集装箱码头经营风险控制的预警机制及实现方法 | |
| Zhou et al. | Design and construction integration technology based on digital twin | |
| CN104484734A (zh) | 一种低碳城市能源优化配置数据中心架构 | |
| CN202422122U (zh) | 一种基于物联网的通用智能数据系统 | |
| CN103034930B (zh) | 自动化软件生存周期模型部署系统 | |
| CN204906437U (zh) | 大数据存储应用网络架构 | |
| CN103745298A (zh) | 基于岗位系统的报表用户权限设置方法及装置 | |
| CN104426695A (zh) | 一种异构类型设备账号管理方法及系统 | |
| CN104599018A (zh) | 一种办公信息管理方法 | |
| Nor et al. | Review on green data center frameworks | |
| CN101770369A (zh) | Ems系统应用信息总览面板可视化展示方法 | |
| CN106372769A (zh) | 一种保电监控系统 | |
| CN201126588Y (zh) | 统一采集工程进度数据的装置 | |
| CN105335808A (zh) | 企业标准化信息管理系统 | |
| CN204719916U (zh) | 机房监测系统 | |
| CN204926169U (zh) | 电网年度预算规划系统 | |
| CN103309934B (zh) | 中低压配网数据集成平台及方法 | |
| CN204145543U (zh) | 一种带有金融控制功能的集中控制系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |