CN109033882A - 一种可追溯的大数据安全发布方法及系统 - Google Patents
一种可追溯的大数据安全发布方法及系统 Download PDFInfo
- Publication number
- CN109033882A CN109033882A CN201810945255.3A CN201810945255A CN109033882A CN 109033882 A CN109033882 A CN 109033882A CN 201810945255 A CN201810945255 A CN 201810945255A CN 109033882 A CN109033882 A CN 109033882A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- security level
- security
- identity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Abstract
本发明公开了一种可追溯的大数据安全发布方法及系统,包括:依据数据的维度指标设定数据的安全级别描述;依据用户的身份信息生成对应的访问标签,访问标签包括依据用户的身份信息设定的用户的安全级别描述以及建立的用户的安全级别描述和数据的安全级别描述的比对关系,比对关系包括:当用户的安全类型和数据的安全类型一致且用户的安全级别大于或等于数据的安全级别时,授予用户访问数据的权利,其它比对情况阻止用户访问数据;建立访问标签和待访问数据之间的映射关系;以集中数据操作的方式将访问标签和待访问数据发布至安全共享平台;实时监控安全共享平台的数据操作,以可视化的形式对数据操作进行记录,并以操作重放的形式提供可追溯性。
Description
技术领域
本发明涉及信息安全技术领域,具体来说,涉及一种可追溯的大数据安全发布方法及系统。
背景技术
在大数据时代,各个行业、机构都累积了海量的业务数据,这些数据中蕴含了大量有用的信息。作为一种社会财富,大数据对业务创新、业务应用、行业能力和效率提升都有极大的促进作用。大数据能够在推广、市场决策、政策制定等领域发挥强大的作用,不开发、利用大数据则是对社会财富的巨大浪费。
但是大数据中蕴含的安全问题是阻碍大数据得到进一步开发和利用的障碍。大数据中的财富,如果缺乏相应的安全保障措施,一旦被滥用,也会带来巨大的影响和危害。迄今为止,大数据已经成为许多黑产和灰产经济的重要猎取目标,攻击者使用病毒和木马等恶意软件窃取数据以谋取私利,同时也存在内部或第三方人员主动盗取数据或无意中泄露数据,造成数据的滥用。究其根源,在于数据的所有权和使用权不分,数据转让责任不清,导致数据在被使用时(包括正常的数据共享和数据非法使用如数据盗取),数据的所有权随着数据的转让而丢失,而数据所有者的安全责任并不会完全转换到数据的使用者。尽管当前采取了一些传统的安全措施如访问控制、加密、分级保护等试图保护数据在使用过程中出现的安全问题,但效果均不尽如人意。
发明内容
本发明的目的在于提出一种可追溯的大数据安全发布方法及系统,以克服现有技术中存在的上述不足。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种可追溯的大数据安全发布方法,所述发布方法包括以下步骤:
依据数据的维度指标设定数据的安全级别描述,所述安全级别描述包括数据的安全类型和安全级别;
依据用户的身份信息生成对应的访问标签,所述访问标签包括依据用户的身份信息设定的用户的安全级别描述以及建立的用户的安全级别描述和数据的安全级别描述的比对关系,所述比对关系包括:当用户的安全类型和数据的安全类型一致且用户的安全级别大于或等于数据的安全级别时,授予用户访问数据的权利,其它比对情况阻止用户访问数据;
建立所述访问标签和待访问数据之间的映射关系;
以集中数据操作的方式将所述访问标签和待访问数据发布至安全共享平台;
实时监控安全共享平台的数据操作,以可视化的形式对数据操作进行记录,并以操作重放的形式提供可追溯性。
进一步的,还包括对数据执行脱敏操作。
进一步的,所述脱敏操作包括直接删除敏感数据、对敏感数据进行摘要处理或者对敏感数据加密。
进一步的,所述数据的维度指标包括数据的信息量、数据的重要性和数据的敏感度中的一种或多种。
进一步的,在数据操作的可视化记录中,添加带有用户身份信息的标识符。
一种可追溯的大数据安全发布系统,所述发布系统包括:
数据设定模块,依据数据的维度指标设定数据的安全级别描述,所述安全级别描述包括数据的安全类型和安全级别;
标签建立模块,依据用户的身份信息生成对应的访问标签,所述访问标签包括依据用户的身份信息设定的用户的安全级别描述以及建立的用户的安全级别描述和数据的安全级别描述的比对关系,所述比对关系包括:当用户的安全类型和数据的安全类型一致且用户的安全级别大于或等于数据的安全级别时,授予用户访问数据的权利,其它比对情况阻止用户访问数据;
访问关系建立模块,用于建立所述访问标签和待访问数据之间的映射关系;
数据发布模块,用于以集中数据操作的方式将所述访问标签和待访问数据发布至安全共享平台;
监控模块,实时监控安全共享平台的数据操作,并以可视化的形式对数据操作进行记录,并以操作重放的形式提供可追溯性。
进一步的,还包括:
数据脱敏模块,用于对数据执行脱敏操作。
进一步的,所述脱敏操作包括直接删除敏感数据、对敏感数据进行摘要处理或者对敏感数据加密。
进一步的,所述数据的维度指标包括数据的信息量、数据的重要性和数据的敏感度中的一种或多种。
进一步的,在数据操作的可视化记录中,添加带有用户身份信息的标识符。
本发明的有益效果:本发明通过对数据拥有者发布数据的过程进行控制,实现数据的所有权和使用权分离,防止数据泄露,进而通过细粒度的数据访问控制机制,防范数据的越权访问。另外,使用者访问数据的所有过程都会被记录下来,并且会在这些记录中添加带有用户身份信息的标识符,以确保可视化记录的不可否认性。
附图说明
图1是本发明所述的发布方法的流程图;
图2是本发明的数据发布和访问的作用结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
如图1所示,根据本发明的实施例所述的一种可追溯的大数据安全发布方法,所述发布方法包括以下步骤:
S1:依据数据的维度指标设定数据的安全级别描述,所述安全级别描述包括数据的安全类型和安全级别。具体的,数据的维度指标指的是对数据共享可能带来影响的一些数据属性,本实例中数据的维度指标包括但不限于数据的信息量、数据的重要性和数据的敏感度,这些维度组成了数据的安全类型;进一步针对每个维度进行级别的评定,最终组合成数据的整体安全级别。
S2:依据用户的身份信息生成对应的访问标签,所述访问标签包括依据用户的身份信息设定的用户的安全级别描述以及建立的用户的安全级别描述和数据的安全级别描述的比对关系,所述比对关系包括:当用户的安全类型和数据的安全类型一致且用户的安全级别大于或等于数据的安全级别时,授予用户访问数据的权利,其它比对情况阻止用户访问数据。具体的,用户的安全类型包括将用户分为低级用户、中级用户和高级用户,或者将用户分为直接用户和间接用户,针对每一种类型的用户再设定不同的用户级别。
S3:建立所述访问标签和待访问数据之间的映射关系。即遍历当前所有的用户和数据资源,逐一检查用户的访问标签和数据的安全级别描述,当用户的安全级别大于或等于数据的安全级别时,即建立一条允许该用户访问该数据的映射关系。这一遍历过程应当在系统初始化阶段完成,同时当产生新用户或新数据时,自动检查相应的访问标签和安全级别描述,并依据检查结果添加或不添加新的映射关系。
S4:以集中数据操作的方式将所述访问标签和待访问数据发布至安全共享平台。数据的集中操作是指数据的使用者不能使用自己的终端设备直接访问发布的数据,而是使用专门的访问设备,经过身份认证后才能访问数据安全共享平台中存储的数据。作为一种优选,用于访问数据安全共享平台的专门访问设桌面、虚拟主机、瘦客户端等,该专门设备应当具有相应的安全确保,如强制身份认证、抗渗透、抗恶意代码等,数据使用者使用自己的设备,首先登录到该专门设备后,进而在该专门设备上完成所有的数据操作。
S5:实时监控安全共享平台的数据操作,并以可视化的形式对数据操作进行记录。具体的,本发明所述发布方法具有可追溯性,可追溯性是指从数据的使用者登陆到数据访问专门设备后,会话保持期间所有的操作都会被以可视化的形式记录,在有审计、取证的需求时,该可视化记录可以被重放。作为一种优选,可视化记录中,会添加带有用户身份信息的标识符如数字水印,以确保可视化记录的不可否认性。
在本实时例中,还包括对数据执行脱敏操作。具体的,所述脱敏操作包括直接删除敏感数据、计算敏感数据的散列值或者对敏感数据加密。删除处理,即直接删除数据中的敏感信息。摘要处理,即使用哈希算法,计算数据中敏感信息的摘要值,并使用摘要值替换数据中的原始敏感信息。加密处理,即使用加密算法将数据中的敏感信息加密,并使用密文替换数据中的原始敏感信息。上述脱敏操作处理的区别在于,删除处理和摘要处理是不可逆的操作,数据发布完成后,数据使用者无法接触到原始数据中的敏感信息,而加密处理则是可逆的操作,数据发布完成后,在有合法授权的情况下,数据使用者仍然可以解密并访问原始数据中的敏感信息。
如图2所示,本发明还公开了一种可追溯的大数据安全发布系统,所述发布系统包括:
数据设定模块10,依据数据的维度指标设定数据的安全级别描述,所述安全级别描述包括数据的安全类型和安全级别;
标签建立模块9,依据用户的身份信息生成对应的访问标签,所述访问标签包括依据用户的身份信息设定的用户的安全级别描述以及建立的用户的安全级别描述和数据的安全级别描述的比对关系,所述比对关系包括:当用户的安全类型和数据的安全类型一致且用户的安全级别大于或等于数据的安全级别时,授予用户访问数据的权利,其它比对情况阻止用户访问数据;
访问关系建立模块8,用于建立所述访问标签和待访问数据之间的映射关系;
数据发布模块7,用于以集中数据操作的方式将所述访问标签和待访问数据发布至安全共享平台;
监控模块3,实时监控安全共享平台的数据操作,并以可视化的形式对数据操作进行记录,此监控记录可以被重放,用于追溯历史操作。
进一步的,还包括:
数据脱敏模块6,用于对数据执行脱敏操作。
进一步的,所述脱敏操作包括直接删除敏感数据、对敏感数据进行摘要处理或者对敏感数据加密。
进一步的,所述数据的维度指标包括数据的信息量、数据的重要性和数据的敏感度中的一种或多种。
进一步的,在数据操作的可视化记录中,添加带有用户身份信息的标识符。
本发明实施例所述的可追溯的大数据安全发布系统的上述各个功能模块,分别对应本发明的可追溯的大数据安全发布方法的各个操作步骤,这里不再赘述。
具体使用时,数据拥有者通过上述数据发布方法将数据发布到大数据安全共享平台5进行存储,存储所使用的基础设施可采用云计算方式实现。当数据使用者需要访问大数据安全共享平台5上的数据时,操作流程如下:首先数据使用者使用自有的用户终端1经过身份认证后登录到大数据安全共享平台5提供的集中数据操作专门设备4,在集中数据操作专门设备4上发出数据访问请求;然后与大数据安全共享平台5作用的大数据安全访问控制模块4会依据数据访问请求的用户信息生成用户的安全类别和安全级别,比对数据使用者预设的安全级别描述和所请求的数据所拥有的安全级别描述,如果数据使用者的安全类型和数据的安全类型一致且其安全级别大于或等于数据的安全级别时,批准这次数据访问。整个数据访问过程都会被以可视化的形式记录,并在可视化记录中添加带有用户身份信息的标识符确保可视化记录的不可否认性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种可追溯的大数据安全发布方法,其特征在于,所述发布方法包括以下步骤:
依据数据的维度指标设定数据的安全级别描述,所述安全级别描述包括数据的安全类型和安全级别;
依据用户的身份信息生成对应的访问标签,所述访问标签包括依据用户的身份信息设定的用户的安全级别描述以及建立的用户的安全级别描述和数据的安全级别描述的比对关系,所述比对关系包括:当用户的安全类型和数据的安全类型一致且用户的安全级别大于或等于数据的安全级别时,授予用户访问数据的权利,其它比对情况阻止用户访问数据;
建立所述访问标签和待访问数据之间的映射关系;
以集中数据操作的方式将所述访问标签和待访问数据发布至安全共享平台;
实时监控安全共享平台的数据操作,以可视化的形式对数据操作进行记录,并以操作重放的形式提供可追溯性。
2.根据权利要求1所述的发布方法,其特征在于,还包括对数据执行脱敏操作。
3.根据权利要求2所述的发布方法,其特征在于,所述脱敏操作包括直接删除敏感数据、对敏感数据进行摘要处理或者对敏感数据加密。
4.根据权利要求1所述的发布方法,其特征在于,所述数据的维度指标包括数据的信息量、数据的重要性和数据的敏感度中的一种或多种。
5.根据权利要求1所述的发布方法,其特征在于,在数据操作的可视化记录中,添加带有用户身份信息的标识符。
6.一种可追溯的大数据安全发布系统,其特征在于,所述发布系统包括:
数据设定模块,依据数据的维度指标设定数据的安全级别描述,所述安全级别描述包括数据的安全类型和安全级别;
标签建立模块,依据用户的身份信息生成对应的访问标签,所述访问标签包括依据用户的身份信息设定的用户的安全级别描述以及建立的用户的安全级别描述和数据的安全级别描述的比对关系,所述比对关系包括:当用户的安全类型和数据的安全类型一致且用户的安全级别大于或等于数据的安全级别时,授予用户访问数据的权利,其它比对情况阻止用户访问数据;
访问关系建立模块,用于建立所述访问标签和待访问数据之间的映射关系;
数据发布模块,用于以集中数据操作的方式将所述访问标签和待访问数据发布至安全共享平台;
监控模块,实时监控安全共享平台的数据操作,并以可视化的形式对数据操作进行记录,并以操作重放的形式提供可追溯性。
7.根据权利要求6所述的发布系统,其特征在于,还包括:
数据脱敏模块,用于对数据执行脱敏操作。
8.根据权利要求7所述的发布系统,其特征在于,所述脱敏操作包括直接删除敏感数据、对敏感数据进行摘要处理或者对敏感数据加密。
9.根据权利要求6所述的发布系统,其特征在于,所述数据的维度指标包括数据的信息量、数据的重要性和数据的敏感度中的一种或多种。
10.根据权利要求6所述的发布系统,其特征在于,在数据操作的可视化记录中,添加带有用户身份信息的标识符。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810945255.3A CN109033882A (zh) | 2018-08-20 | 2018-08-20 | 一种可追溯的大数据安全发布方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810945255.3A CN109033882A (zh) | 2018-08-20 | 2018-08-20 | 一种可追溯的大数据安全发布方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109033882A true CN109033882A (zh) | 2018-12-18 |
Family
ID=64631998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810945255.3A Pending CN109033882A (zh) | 2018-08-20 | 2018-08-20 | 一种可追溯的大数据安全发布方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109033882A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111914271A (zh) * | 2020-07-09 | 2020-11-10 | 清远职业技术学院 | 一种面向于大数据发布的隐私保护系统及方法 |
CN115001856A (zh) * | 2022-07-18 | 2022-09-02 | 国网浙江省电力有限公司杭州供电公司 | 基于数据处理的网络安全画像及攻击预测方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014072374A1 (en) * | 2012-11-09 | 2014-05-15 | Siemens Aktiengesellschaft | Method for transmitting messages in an industrial communication network of an industrial automation system and communication device for an industrial communication network |
CN105046146A (zh) * | 2015-06-30 | 2015-11-11 | 中标软件有限公司 | 一种安卓系统的资源访问方法 |
CN105827645A (zh) * | 2016-05-17 | 2016-08-03 | 北京优炫软件股份有限公司 | 一种用于访问控制的方法、设备与系统 |
CN106650478A (zh) * | 2016-12-28 | 2017-05-10 | 上海优刻得信息科技有限公司 | 一种数据操作的管理装置及方法 |
-
2018
- 2018-08-20 CN CN201810945255.3A patent/CN109033882A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014072374A1 (en) * | 2012-11-09 | 2014-05-15 | Siemens Aktiengesellschaft | Method for transmitting messages in an industrial communication network of an industrial automation system and communication device for an industrial communication network |
CN105046146A (zh) * | 2015-06-30 | 2015-11-11 | 中标软件有限公司 | 一种安卓系统的资源访问方法 |
CN105827645A (zh) * | 2016-05-17 | 2016-08-03 | 北京优炫软件股份有限公司 | 一种用于访问控制的方法、设备与系统 |
CN106650478A (zh) * | 2016-12-28 | 2017-05-10 | 上海优刻得信息科技有限公司 | 一种数据操作的管理装置及方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111914271A (zh) * | 2020-07-09 | 2020-11-10 | 清远职业技术学院 | 一种面向于大数据发布的隐私保护系统及方法 |
CN115001856A (zh) * | 2022-07-18 | 2022-09-02 | 国网浙江省电力有限公司杭州供电公司 | 基于数据处理的网络安全画像及攻击预测方法 |
CN115001856B (zh) * | 2022-07-18 | 2022-10-21 | 国网浙江省电力有限公司杭州供电公司 | 基于数据处理的网络安全画像及攻击预测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2018361246B2 (en) | Data protection via aggregation-based obfuscation | |
US20180219687A1 (en) | Secure sharing | |
CN110535833B (zh) | 一种基于区块链的数据共享控制方法 | |
US8689015B2 (en) | Portable secure data files | |
KR102008885B1 (ko) | 데이터 관리 및 큐레이션 시스템 | |
RU2500075C2 (ru) | Создание и проверка достоверности документов, защищенных криптографически | |
US10666647B2 (en) | Access to data stored in a cloud | |
CN109923548A (zh) | 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品 | |
US8601553B1 (en) | Techniques of imposing access control policies | |
CN104216907A (zh) | 一种用于提供数据库访问控制的方法、装置与系统 | |
CN110268406B (zh) | 密码安全性 | |
WO2014209416A1 (en) | Process authentication and resource permissions | |
US20230195877A1 (en) | Project-based permission system | |
CA3083722C (en) | Re-encrypting data on a hash chain | |
CN113542214B (zh) | 一种访问控制方法、装置、设备及机器可读存储介质 | |
CN107370604A (zh) | 一种大数据环境下的多粒度访问控制方法 | |
CN115277143B (zh) | 一种数据安全传输方法、装置、设备及存储介质 | |
CN115033919A (zh) | 一种基于可信设备的数据获取方法、装置及设备 | |
US10754979B2 (en) | Information management terminal device | |
CN112364305A (zh) | 基于区块链平台的数字内容版权保护方法和装置 | |
CN109033882A (zh) | 一种可追溯的大数据安全发布方法及系统 | |
CN110851851B (zh) | 一种块链式账本中的权限管理方法、装置及设备 | |
Behera et al. | Big data security threats and prevention measures in cloud and Hadoop | |
CN113901507A (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
US10116438B1 (en) | Managing use of security keys |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181218 |