CN108494797B - 基于虚拟化技术的数据监管方法、系统、设备及存储介质 - Google Patents

基于虚拟化技术的数据监管方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN108494797B
CN108494797B CN201810339881.8A CN201810339881A CN108494797B CN 108494797 B CN108494797 B CN 108494797B CN 201810339881 A CN201810339881 A CN 201810339881A CN 108494797 B CN108494797 B CN 108494797B
Authority
CN
China
Prior art keywords
data
outgoing
risk
data file
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810339881.8A
Other languages
English (en)
Other versions
CN108494797A (zh
Inventor
姜宇
叶升路
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201810339881.8A priority Critical patent/CN108494797B/zh
Publication of CN108494797A publication Critical patent/CN108494797A/zh
Application granted granted Critical
Publication of CN108494797B publication Critical patent/CN108494797B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种基于虚拟化技术的数据监管方法、系统、设备及存储介质,该方法包括:识别虚拟化平台的数字资产分布情况;根据所述数字资产分布情况,确定出所述虚拟化平台上待重点关注的风险数据以及风险用户;根据风险程度的不同,为不同的风险用户设置相应的数据外发权限。本申请利用识别到的虚拟化平台的数字资产分布情况,确定出虚拟化平台上待重点关注的风险数据以及相应的风险用户,然后基于风险程度的不同,为不同的风险用户设置相应的数据外发权限,由此可以避免风险用户拥有与其不匹配的数据外发权限,从而提升了数据安全性,减少了数据泄密情况的出现。

Description

基于虚拟化技术的数据监管方法、系统、设备及存储介质
技术领域
本发明涉及数据安全技术领域,特别涉及一种基于虚拟化技术的数据监管方法、系统、设备及存储介质。
背景技术
随着桌面虚拟化的普及,越来越多的用户摒弃了传统的PC,采用VDI(即VirtualDesktop Infrastructure,虚拟桌面基础架构)进行办公、教学、研发等。用户通过虚拟桌面进行办公等操作时,通常会有多桌面的使用场景,内网用于研发或者办公,外网用来上网查阅资料。但是在使用过程中,难免有一些文件需要从内网桌面拷贝到外网桌面(比如制造业要外发给供应商,或者在公司内部转发给生产车间。制药行业要外发给药监部门,研发部门需要将程序外发到客户处作调试等)。在现有的文件外发过程中,时常会出现数据泄密现象,如何减少数据泄密情况的出现,提高数据安全性是目前有待进一步解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种基于虚拟化技术的数据监管方法、系统、设备及存储介质,能够有效减少数据泄密情况的出现,提高数据安全性。其具体方案如下:
第一方面,本发明公开了一种基于虚拟化技术的数据监管方法,包括:
识别虚拟化平台的数字资产分布情况;
根据所述数字资产分布情况,确定出所述虚拟化平台上待重点关注的风险数据以及风险用户;
根据风险程度的不同,为不同的风险用户设置相应的数据外发权限。
可选的,所述识别虚拟化平台的数字资产分布情况的步骤,包括:
利用预设的数据识别策略,主动识别所述虚拟化平台上的数字资产分布情况;
其中,所述预设的数据识别策略为基于数据特征、相应的数据类型以及相应的数据风险等级进行数据识别的策略。
可选的,所述数据监管方法,还包括:
对数据外发过程中所依赖的预设数据通道进行监视,以获取经过所述预设数据通道的数据文件信息;
根据所述数据文件信息判断是否允许相应的数据文件被外发;
其中,所述数据文件信息包括数据文件类型、数据文件大小、数据文件数量和数据文件内容的特征信息中的任意一种或几种,所述预设数据通道包括剪切板、USB设备、文件导出工具和内部邮箱应用程序中的任意一种或几种。
可选的,所述根据所述数据文件信息判断是否允许相应的数据文件被外发的步骤之后,还包括:
如果是,则对所述数据文件信息和/或相应的数据文件和/或相应的用户信息进行备份。
可选的,所述根据所述数据文件信息判断是否允许相应的数据文件被外发的步骤之后,还包括:
如果是,则记录相应的数据外发出口和数据外发路径。
可选的,所述数据监管方法,还包括:
监视管理员为其他用户开通数据外发权限时相应的权限开通行为,以获取相应的权限开通行为数据;
根据所述管理员自身的管理权限确定所述权限开通行为的风险等级;
根据所述权限开通行为的风险等级,判断所述权限开通行为是否为违规行为,如果是,则禁止开通相应的数据外发权限。
可选的,所述数据监管方法,还包括:
根据预设的异常外发行为确定策略,确定相应的异常外发行为,并触发相应的告警信息;
其中,所述异常外发行为确定策略包括将在预设的非法时间段内进行的数据外发行为、在单位时间段内数据外发频率大于预设频率的数据外发行为或外发高风险文件的数据外发行为确定为异常外发行为的策略。
可选的,所述数据监管方法,还包括:
对获取到的各种类型的数据进行可视化显示。
可选的,所述对获取到的各种类型的数据进行可视化显示的步骤,包括:
将获取到的各种类型的数据通过可视化报表和/或图片来进行显示。
第二方面,本发明公开了一种基于虚拟化技术的数据监管系统,包括:
资产识别模块,用于识别虚拟化平台的数字资产分布情况;
信息确定模块,用于根据所述数字资产分布情况,确定出所述虚拟化平台上待重点关注的风险数据以及风险用户;
权限设置模块,用于根据风险程度的不同,为不同的风险用户设置相应的数据外发权限。
可选的,所述系统还包括:
通道监视模块,用于对数据外发过程中所依赖的预设数据通道进行监视,以获取经过所述预设数据通道的数据文件信息;
第一判断模块,用于根据所述数据文件信息判断是否允许相应的数据文件被外发;
其中,所述数据文件信息包括数据文件类型、数据文件大小、数据文件数量和数据文件内容的特征信息中的任意一种或几种,所述预设数据通道包括剪切板、USB设备、文件导出工具和内部邮箱应用程序中的任意一种或几种。
可选的,所述还包括:
备份模块,用于当所述第一判断模块根据所述数据文件信息判断出相应的目标数据文件允许被外发时,则对所述数据文件信息和/或相应的数据文件和/或相应的用户信息进行备份。
可选的,所述系统还包括:
信息记录模块,用于当所述第一判断模块根据所述数据文件信息判断出相应的目标数据文件允许被外发时,则记录相应的数据外发出口和数据外发路径。
可选的,所述系统还包括:
行为监视模块,用于监视管理员为其他用户开通数据外发权限时相应的权限开通行为,以获取相应的权限开通行为数据;
等级确定模块,用于根据所述管理员自身的管理权限确定所述权限开通行为的风险等级;
第二判断模块,用于根据所述权限开通行为的风险等级,判断所述权限开通行为是否为违规行为,如果是,则禁止开通相应的数据外发权限。
可选的,所述系统还包括:
异常外发行为确定模块,用于根据预设的异常外发行为确定策略,确定相应的异常外发行为,并触发相应的告警信息;
其中,所述异常外发行为确定策略包括将在预设的非法时间段内进行的数据外发行为、在单位时间段内数据外发频率大于预设频率的数据外发行为或外发高风险文件的数据外发行为确定为异常外发行为的策略。
第三方面,本发明公开了一种基于虚拟化技术的数据监管设备,包括处理器和存储器;其中,所述处理器执行所述存储器中存储的计算机程序时实现前述公开的数据监管方法。
第四方面,本发明公开了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序被处理器执行时实现前述公开的数据监管方法。
可见,本发明利用识别到的虚拟化平台的数字资产分布情况,确定出虚拟化平台上待重点关注的风险数据以及相应的风险用户,然后基于风险程度的不同,为不同的风险用户设置相应的数据外发权限,由此可以避免风险用户拥有与其不匹配的数据外发权限,从而提升了数据安全性,减少了数据泄密情况的出现。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种数据监管方法流程图;
图2为本发明实施例公开的一种数据监管方法子流程图;
图3为本发明实施例公开的一种数据监管系统结构示意图;
图4为本发明实施例公开的一种数据监管设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于虚拟化技术的数据监管方法,参见图1所示,该方法包括:
步骤S11:识别虚拟化平台的数字资产分布情况。
本实施例中,虚拟化平台具体可以是虚拟桌面,当然也可以是其他虚拟化使用场景下的虚拟化平台。
另外,上述虚拟化平台上的数字资产包括但不限于文档、图片、视频和字符。数字资产分布情况具体可以包括但不限于数字资产的资产信息以及保存该数字资产的用户终端的信息,资产信息具体可以包括但不限于数字资产的内容信息、数据类型、大小信息和数据风险等级等。保存该数字资产的用户终端的信息包括但不限于用户终端的位置信息和相应的用户信息。
本实施例中,所述识别虚拟化平台的数字资产分布情况的步骤,具体可以包括:利用预设的数据识别策略,主动识别所述虚拟化平台上的数字资产分布情况;
其中,所述预设的数据识别策略具体可以为基于数据特征、相应的数据类型以及相应的数据风险等级进行数据识别的策略。
例如,可以基于预设的数据特征关键词、数据内容类别、数据格式类型以及相应的数据风险等级来对数据资产进行数据识别,并记录相应的信息,从而得到包括数据资产的资产信息以及相应用户终端信息的数字资产分布情况。
步骤S12:根据所述数字资产分布情况,确定出所述虚拟化平台上待重点关注的风险数据以及风险用户。
本实施例中,根据上述步骤S11识别出的数字资产分布情况,可以判断出虚拟化平台上不同数字资产的风险性和重要性,由此可以确定出哪些数据资产是需要重点关注的风险数据,并根据与待重点关注的风险数据对应的用户终端,可以确定出相应的风险用户。
步骤S13:根据风险程度的不同,为不同的风险用户设置相应的数据外发权限。
具体的,在通过上述步骤S12确定出待重点关注的风险数据和相应的风险用户之后,可以比对风险数据对应的风险程度和相应风险用户的职务信息,确定出是否可以允许该风险用户对其个人终端中的风险数据进行外发操作,如果允许,则为该风险用户设置可以外发上述风险数据的权限,如果不允许,则禁止为该风险用户设置相应的外发权限。
另外需要指出的是,在将虚拟桌面等虚拟化平台上的数据外发至其他目的地时,上述目的地具体可以包括但不限于电脑本地桌面、其他虚拟桌面和USB外设。
当然,本发明实施例除了基于上述权限设置过程为用户设置数据外发权限,也可以进一步通过管理员来为用户设置数据外发权限。
可见,本发明实施例利用识别到的虚拟化平台的数字资产分布情况,确定出虚拟化平台上待重点关注的风险数据以及相应的风险用户,然后基于风险程度的不同,为不同的风险用户设置相应的数据外发权限,由此可以避免风险用户拥有与其不匹配的数据外发权限,从而提升了数据安全性,减少了数据泄密情况的出现。
在前述实施例的基础上,本发明实施例作了进一步的说明和优化,具体如下:
为了进一步强化数据安全性,减少数据泄密事件的发生,本实施例还可以包括:对数据外发过程中所依赖的预设数据通道进行监视,以获取经过所述预设数据通道的数据文件信息,根据所述数据文件信息判断是否允许相应的数据文件被外发;
其中,所述数据文件信息包括数据文件类型、数据文件大小、数据文件数量和数据文件内容的特征信息中的任意一种或几种,所述预设数据通道包括剪切板、USB设备、文件导出工具和内部邮箱应用程序中的任意一种或几种。本实施例中,上述数据文件内容的特征信息具体可以包括特征关键词,如特定的技术用语、项目名称、项目负责人姓名和联系方式等,另外,上述数据文件内容的特征信息还可以包括数据文件内容对应的ID信息。
为了在数据被外发之后方便后续对相应的数据外发行为进行追溯,本发明实施例还可以在所述根据所述数据文件信息判断是否允许相应的数据文件被外发的步骤之后,进一步包括:如果根据所述数据文件信息判断出相应的数据文件可以被外发,则可以对所述数据文件信息和/或相应的数据文件和/或相应的用户信息进行备份。这样,当后续发现有泄密情况,则可以从相应的备份数据库中查询出相应的备份信息,以追溯相应的泄密人信息以及相应的泄密内容。其中,本实施例具体可以根据MD5值来进行上述查询操作。
为了在数据被外发之后方便及时找出存在风险的数据外发接口和数据外发路径,本实施例还可以在所述根据所述数据文件信息判断是否允许相应的数据文件被外发的步骤之后,进一步包括:如果根据所述数据文件信息判断出相应的数据文件可以被外发,则记录相应的数据外发出口和数据外发路径。这样,当后续发现有泄密情况,则可以针对相应的数据外发出口和数据外发路径进行重点检测,以便及时发现存在安全问题的数据外发出口和数据外发路径,并通知相应的管理人员展开相应的出口和路径的维护操作。
参见图2所示,本发明实施例还可以进一步包括:
步骤S21:监视管理员为其他用户开通数据外发权限时相应的权限开通行为,以获取相应的权限开通行为数据。
本实施例中,可以通过多个管理员来对系统进行管理维护,每个管理员可以为其他用户开通数据外发权限,并且,可以根据管理员的职务等级,为不同的管理员分配不同的管理权限。
步骤S22:根据所述管理员自身的管理权限确定所述权限开通行为的风险等级。
可以理解的是,对于开通同一种数据外发权限,如果管理员的管理权限越高,则相应的权限开通行为的风险等级便越低,同理,如果管理员的管理权限越低,则相应的权限开通行为的风险等级便越高。
步骤S23:根据所述权限开通行为的风险等级,判断所述权限开通行为是否为违规行为,如果是,则禁止开通相应的数据外发权限。
具体的,可以将上述权限开通行为的风险等级与预设的风险等级阈值进行比较,以此来确定出相应的权限开通行为是否违规。
为了进一步提升数据安全性,降低泄密事件的发生率,本实施例中的数据监管方法还可以进一步包括:根据预设的异常外发行为确定策略,确定相应的异常外发行为,并触发相应的告警信息;
其中,所述异常外发行为确定策略包括将在预设的非法时间段内进行的数据外发行为、在单位时间段内数据外发频率大于预设频率的数据外发行为或外发高风险文件的数据外发行为确定为异常外发行为的策略。
本实施例中,上述高风险文件具体可以是指数据风险等级大于预先由系统或人工进行设定的风险等级阈值的文件。
进一步的,为了降低高风险数据外发行为的不良影响,本实施例还可以确定异常外发行为的风险程度,然后判断该异常外发行为的风险程度是否高于预设风险程度阈值,如果是,则关闭相应的数据外发权限,以禁止继续外发相应数据。其中,上述确定异常外发行为的风险程度的过程,具体可以包括但不限于根据数据外发时间段的敏感程度和/或数据外发频率的大小等级和/或数据风险等级来确定异常外发行为的风险程度。需要进一步说明的是,对于还未被设置数据外发权限的用户,本发明实施例可以对该用户的行为进行实时监测,一旦监测到该用户存在数据外发行为,则可以自动识别该用户的实时数据外发行为与该用户的身份是否相符,如果否,则立刻阻断当前该用户的实时数据外发行为,以进一步减少泄密情况的出现,提升了数据安全性。
另外,为了便于人们及时直观地浏览各种类型的数据,本实施例还可以进一步包括:对获取到的各种类型的数据进行可视化显示。具体的,可以对识别到的数据资产分布情况、待重点关注的风险数据以及风险用户、不同风险用户对应的数据外发权限信息、数据外发时相应的备份信息、数据外发出口和数据外发路径中的任意一种或多种信息进行可视化显示。其中,本实施例具体可以将获取到的各种类型的数据通过可视化报表和/或图片来进行显示。也即,本实施例可以将获取到的各种类型的数据转换成相应的表格、线条图、柱状图等,然后进行显示,这样可以便于用户更加直观地浏览数据。需要指出的是,上述图片具体可以是动态图片,也可以是静态图片。
相应的,本发明实施例还公开了一种基于虚拟化技术的数据监管系统,参见图3所示,该系统包括:
资产识别模块11,用于识别虚拟化平台的数字资产分布情况;
信息确定模块12,用于根据所述数字资产分布情况,确定出所述虚拟化平台上待重点关注的风险数据以及风险用户;
权限设置模块13,用于根据风险程度的不同,为不同的风险用户设置相应的数据外发权限。
为了进一步强化数据安全性,减少数据泄密事件的发生,本实施例中的数据监管系统还可以包括:
通道监视模块,用于对数据外发过程中所依赖的预设数据通道进行监视,以获取经过所述预设数据通道的数据文件信息;
第一判断模块,用于根据所述数据文件信息判断是否允许相应的数据文件被外发;
其中,所述数据文件信息包括数据文件类型、数据文件大小、数据文件数量和数据文件内容的特征信息中的任意一种或几种,所述预设数据通道包括剪切板、USB设备、文件导出工具和内部邮箱应用程序中的任意一种或几种。
为了在数据被外发之后方便后续对相应的数据外发行为进行追溯,本实施例中的数据监管系统还可以包括:
备份模块,用于当所述第一判断模块根据所述数据文件信息判断出相应的数据文件允许被外发时,则对所述数据文件信息和/或相应的数据文件和/或相应的用户信息进行备份。
为了在数据被外发之后方便及时找出存在风险的数据外发接口和数据外发路径,本实施例中的数据监管系统还可以包括:
信息记录模块,用于当所述第一判断模块根据所述数据文件信息判断出相应的数据文件允许被外发时,则记录相应的数据外发出口和数据外发路径。
进一步的,本实施例中的数据监管系统还可以包括:
行为监视模块,用于监视管理员为其他用户开通数据外发权限时相应的权限开通行为,以获取相应的权限开通行为数据;
等级确定模块,用于根据所述管理员自身的管理权限确定所述权限开通行为的风险等级;
第二判断模块,用于根据所述权限开通行为的风险等级,判断所述权限开通行为是否为违规行为,如果是,则禁止开通相应的数据外发权限。
为了进一步提升数据安全性,降低泄密事件的发生率,本实施例中的数据监管系统还可以包括:
异常外发行为确定模块,用于根据预设的异常外发行为确定策略,确定相应的异常外发行为,并触发相应的告警信息;
其中,所述异常外发行为确定策略包括将在预设的非法时间段内进行的数据外发行为、在单位时间段内数据外发频率大于预设频率的数据外发行为或外发高风险文件的数据外发行为确定为异常外发行为的策略。
另外,为了便于人们及时直观地浏览各种类型的数据,本实施例中的数据监管系统还可以包括:
可视化显示模块,用于对上述获取到的各种类型的数据进行可视化显示。
具体的,上述可视化显示模块可以将获取到的各种类型的数据通过可视化报表和/或图片来进行显示。
关于上述各个模块更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
相应的,本发明实施例还公开了一种基于虚拟化技术的数据监管设备,参见图4所示,该设备包括处理器21和存储器22;其中,所述处理器21执行所述存储器22中存储的计算机程序时实现前述实施例公开的数据监管方法。
关于上述数据监管方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,本发明还公开了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序被处理器执行时实现前述实施例公开的数据监管方法。
关于上述数据监管方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种基于虚拟化技术的数据监管方法、系统、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (17)

1.一种基于虚拟化技术的数据监管方法,其特征在于,包括:
识别虚拟化平台的数字资产分布情况;
根据所述数字资产分布情况,确定出所述虚拟化平台上待重点关注的风险数据以及风险用户;
根据风险程度的不同,为不同的风险用户设置相应的数据外发权限;
其中,所述数字资产分布情况包括数字资产的内容信息、数据类型、大小信息、数据风险等级。
2.根据权利要求1所述的基于虚拟化技术的数据监管方法,其特征在于,所述识别虚拟化平台的数字资产分布情况的步骤,包括:
利用预设的数据识别策略,主动识别所述虚拟化平台上的数字资产分布情况;
其中,所述预设的数据识别策略为基于数据特征、相应的数据类型以及相应的数据风险等级进行数据识别的策略。
3.根据权利要求1所述的基于虚拟化技术的数据监管方法,其特征在于,还包括:
对数据外发过程中所依赖的预设数据通道进行监视,以获取经过所述预设数据通道的数据文件信息;
根据所述数据文件信息判断是否允许相应的数据文件被外发;
其中,所述数据文件信息包括数据文件类型、数据文件大小、数据文件数量和数据文件内容的特征信息中的任意一种或几种,所述预设数据通道包括剪切板、USB设备、文件导出工具和内部邮箱应用程序中的任意一种或几种。
4.根据权利要求3所述的基于虚拟化技术的数据监管方法,其特征在于,所述根据所述数据文件信息判断是否允许相应的数据文件被外发的步骤之后,还包括:
如果是,则对所述数据文件信息和/或相应的数据文件和/或相应的用户信息进行备份。
5.根据权利要求3所述的基于虚拟化技术的数据监管方法,其特征在于,所述根据所述数据文件信息判断是否允许相应的数据文件被外发的步骤之后,还包括:
如果是,则记录相应的数据外发出口和数据外发路径。
6.根据权利要求1所述的基于虚拟化技术的数据监管方法,其特征在于,还包括:
监视管理员为其他用户开通数据外发权限时相应的权限开通行为,以获取相应的权限开通行为数据;
根据所述管理员自身的管理权限确定所述权限开通行为的风险等级;
根据所述权限开通行为的风险等级,判断所述权限开通行为是否为违规行为,如果是,则禁止开通相应的数据外发权限。
7.根据权利要求1所述的基于虚拟化技术的数据监管方法,其特征在于,还包括:
根据预设的异常外发行为确定策略,确定相应的异常外发行为,并触发相应的告警信息;
其中,所述异常外发行为确定策略包括将在预设的非法时间段内进行的数据外发行为、在单位时间段内数据外发频率大于预设频率的数据外发行为或外发高风险文件的数据外发行为确定为异常外发行为的策略。
8.根据权利要求1至7任一项所述的基于虚拟化技术的数据监管方法,其特征在于,还包括:
对获取到的各种类型的数据进行可视化显示。
9.根据权利要求8所述的基于虚拟化技术的数据监管方法,其特征在于,所述对获取到的各种类型的数据进行可视化显示的步骤,包括:
将获取到的各种类型的数据通过可视化报表和/或图片来进行显示。
10.一种基于虚拟化技术的数据监管系统,其特征在于,包括:
资产识别模块,用于识别虚拟化平台的数字资产分布情况;
信息确定模块,用于根据所述数字资产分布情况,确定出所述虚拟化平台上待重点关注的风险数据以及风险用户;
权限设置模块,用于根据风险程度的不同,为不同的风险用户设置相应的数据外发权限;
其中,所述数字资产分布情况包括数字资产的内容信息、数据类型、大小信息、数据风险等级。
11.根据权利要求10所述的基于虚拟化技术的数据监管系统,其特征在于,还包括:
通道监视模块,用于对数据外发过程中所依赖的预设数据通道进行监视,以获取经过所述预设数据通道的数据文件信息;
第一判断模块,用于根据所述数据文件信息判断是否允许相应的数据文件被外发;
其中,所述数据文件信息包括数据文件类型、数据文件大小、数据文件数量和数据文件内容的特征信息中的任意一种或几种,所述预设数据通道包括剪切板、USB设备、文件导出工具和内部邮箱应用程序中的任意一种或几种。
12.根据权利要求11所述的基于虚拟化技术的数据监管系统,其特征在于,还包括:
备份模块,用于当所述第一判断模块根据所述数据文件信息判断出相应的目标数据文件允许被外发时,则对所述数据文件信息和/或相应的数据文件和/或相应的用户信息进行备份。
13.根据权利要求11所述的基于虚拟化技术的数据监管系统,其特征在于,还包括:
信息记录模块,用于当所述第一判断模块根据所述数据文件信息判断出相应的目标数据文件允许被外发时,则记录相应的数据外发出口和数据外发路径。
14.根据权利要求10所述的基于虚拟化技术的数据监管系统,其特征在于,还包括:
行为监视模块,用于监视管理员为其他用户开通数据外发权限时相应的权限开通行为,以获取相应的权限开通行为数据;
等级确定模块,用于根据所述管理员自身的管理权限确定所述权限开通行为的风险等级;
第二判断模块,用于根据所述权限开通行为的风险等级,判断所述权限开通行为是否为违规行为,如果是,则禁止开通相应的数据外发权限。
15.根据权利要求10所述的基于虚拟化技术的数据监管系统,其特征在于,还包括:
异常外发行为确定模块,用于根据预设的异常外发行为确定策略,确定相应的异常外发行为,并触发相应的告警信息;
其中,所述异常外发行为确定策略包括将在预设的非法时间段内进行的数据外发行为、在单位时间段内数据外发频率大于预设频率的数据外发行为或外发高风险文件的数据外发行为确定为异常外发行为的策略。
16.一种基于虚拟化技术的数据监管设备,其特征在于,包括处理器和存储器;其中,所述处理器执行所述存储器中存储的计算机程序时实现如权利要求1至9任一项所述的数据监管方法。
17.一种计算机可读存储介质,其特征在于,用于存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述的数据监管方法。
CN201810339881.8A 2018-04-16 2018-04-16 基于虚拟化技术的数据监管方法、系统、设备及存储介质 Active CN108494797B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810339881.8A CN108494797B (zh) 2018-04-16 2018-04-16 基于虚拟化技术的数据监管方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810339881.8A CN108494797B (zh) 2018-04-16 2018-04-16 基于虚拟化技术的数据监管方法、系统、设备及存储介质

Publications (2)

Publication Number Publication Date
CN108494797A CN108494797A (zh) 2018-09-04
CN108494797B true CN108494797B (zh) 2021-09-17

Family

ID=63314584

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810339881.8A Active CN108494797B (zh) 2018-04-16 2018-04-16 基于虚拟化技术的数据监管方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN108494797B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110166473B (zh) * 2019-05-29 2021-08-27 中国移动通信集团江苏有限公司 网络数据传输检测方法、装置、设备和介质
CN111885023B (zh) * 2020-07-09 2022-11-01 安全能力生态聚合(北京)运营科技有限公司 一种自适应数字资产管理的方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105512565A (zh) * 2015-11-26 2016-04-20 浪潮电子信息产业股份有限公司 一种防止电子文件泄漏的方法及服务器
CN106161095A (zh) * 2016-07-15 2016-11-23 北京奇虎科技有限公司 数据泄露的预警方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103577771B (zh) * 2013-11-08 2016-09-07 中科信息安全共性技术国家工程研究中心有限公司 一种基于磁盘加密的虚拟桌面数据防泄漏保护方法
CN104778415B (zh) * 2015-02-06 2018-02-27 北京北信源软件股份有限公司 一种基于计算机行为的数据防泄露系统及方法
JP2017076303A (ja) * 2015-10-16 2017-04-20 株式会社フィールトラスト 情報処理システム
CN107483422B (zh) * 2017-08-03 2020-10-27 深信服科技股份有限公司 数据泄密追溯方法、设备及计算机可读存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105512565A (zh) * 2015-11-26 2016-04-20 浪潮电子信息产业股份有限公司 一种防止电子文件泄漏的方法及服务器
CN106161095A (zh) * 2016-07-15 2016-11-23 北京奇虎科技有限公司 数据泄露的预警方法及装置

Also Published As

Publication number Publication date
CN108494797A (zh) 2018-09-04

Similar Documents

Publication Publication Date Title
CN107888574B (zh) 检测数据库风险的方法、服务器及存储介质
Gavai et al. Detecting insider threat from enterprise social and online activity data
US8799462B2 (en) Insider threat correlation tool
AU2011209894B2 (en) Insider threat correlation tool
CN103632080B (zh) 一种基于USBKey的移动数据应用安全保护方法
US7200616B2 (en) Information management system, control method thereof, information management server and program for same
US20230367874A1 (en) Malicious behavior detection and mitigation in a document execution environment
US11297024B1 (en) Chat-based systems and methods for data loss prevention
CN107786551B (zh) 访问内网服务器的方法及控制访问内网服务器的装置
CN108494797B (zh) 基于虚拟化技术的数据监管方法、系统、设备及存储介质
CN109684863B (zh) 数据防泄漏方法、装置、设备及存储介质
CN108446543B (zh) 一种邮件处理方法、系统及邮件代理网关
CN112100041A (zh) 一种处理方法、装置及电子设备
US20190018751A1 (en) Digital Asset Tracking System And Method
CN114024734B (zh) 基于ueba的智能网络安全检测分析系统
DE102019209349A1 (de) Untersuchung von Web-Bedrohungen mithilfe von fortschrittlichem Web-Crawling
CN110955908A (zh) 一种涉密文件的预警评估方法、系统及智能终端
US20060190725A1 (en) Method and system for measuring productivity based on computer activities
CN116185785A (zh) 文件异常变更的预警方法及装置
CN110958236A (zh) 基于风险因子洞察的运维审计系统动态授权方法
CN114268481A (zh) 内网终端违规外联信息处理方法、装置、设备和介质
CN113141274A (zh) 基于网络全息图实时检测敏感数据泄露的方法、系统和存储介质
JP2005227866A (ja) 操作管理装置、操作内容判定方法、操作管理プログラム、操作管理システム、およびクライアント端末
Milo et al. A not so private world: protection of personal information law
KR20210081525A (ko) 로그 무결성 관리 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20180904

Assignee: Beijing Ruike Far East Technology Co.,Ltd.

Assignor: SANGFOR TECHNOLOGIES Inc.

Contract record no.: X2022980011164

Denomination of invention: Data supervision method, system, equipment and storage medium based on Virtualization Technology

Granted publication date: 20210917

License type: Common License

Record date: 20220725

EE01 Entry into force of recordation of patent licensing contract