CN110233859B - 一种新型风控方法及风控系统 - Google Patents
一种新型风控方法及风控系统 Download PDFInfo
- Publication number
- CN110233859B CN110233859B CN201910586630.4A CN201910586630A CN110233859B CN 110233859 B CN110233859 B CN 110233859B CN 201910586630 A CN201910586630 A CN 201910586630A CN 110233859 B CN110233859 B CN 110233859B
- Authority
- CN
- China
- Prior art keywords
- data
- data request
- environment
- preset
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种新型风控方法及风控系统,其中方法包括:设置至少一个局域网环境和安全环境,安全环境设置独立的安全服务器执行操作;局域网环境通过预设端口向安全环境发送数据请求,安全环境通过预设端口接收数据请求,判断数据请求是否满足输出条件,如果满足输出条件,则安全环境根据数据请求,确定第一预设出口,通过第一预设出口访问与其连接的第一外部网络,将数据请求发送至第一外部网络;安全环境接收第一外部网络根据数据请求生成的反馈数据,并将反馈数据发送至局域网环境,局域网环境接收反馈数据,对反馈数据进行解密,得到反馈信息。
Description
技术领域
本发明涉及风控技术领域,尤其涉及一种新型风控方法及风控系统。
背景技术
风控系统需要使用用户的敏感数据进行相关风控的操作,包括用户的姓名、身份证、手机号以及提交的其他信息。
传统上的风控业务流程设计如图1,将获取数据、清洗数据、规则校验、评分耦合在一个复杂且大的系统中。这样很容易受到外部的攻击。同时,流转在系统内部的客户敏感数据也容易被泄露。这样非但不利于数据的监控,而且系统大而冗杂,十分不利于新功能的迭代。
以一个简单的模型服务为例:业务流程为:用户表单请求-获取外部数据-模型计算-返回风控数据。其中,所有功能耦合在一个系统当中,获取外部的数据的出口有多个,且数据流转以明文传输。
而这些敏感数据在网络的传输中是未经加密且不可见的,有被泄露的风险。且由于传统风控系统将数据获取,规则校验,模型计算耦合在一起,不利于数据监控和更新迭代。同时,系统与系统之间请求的数据未经过加密,随意流转,当数据发生了泄露时,不能很快的定位到漏洞位置。
发明内容
本发明旨在提供一种克服上述问题之一或者至少部分地解决上述任一问题的新型风控方法及风控系统。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明的一个方面提供了一种新型风控方法,包括:设置至少一个局域网环境和安全环境,安全环境设置独立的安全服务器执行操作;其中:每个局域网环境,用于仅与预设端口进行通信;安全环境,用于设置局域网环境白名单,仅接收局域网环境白名单中的局域网环境通过预设端口进行的访问,设置出口白名单,仅通过预设出口访问出口白名单中的外部网络;局域网环境通过预设端口向安全环境发送数据请求,其中,数据请求中至少包括加密的用户信息;安全环境通过预设端口接收数据请求,判断数据请求是否满足输出条件,如果满足输出条件,则安全环境根据数据请求,确定第一预设出口,通过第一预设出口访问与其连接的第一外部网络,将数据请求发送至第一外部网络;安全环境接收第一外部网络根据数据请求生成的反馈数据,并将反馈数据发送至局域网环境,其中,反馈数据为第一外部网络接收数据请求,对数据请求进行解密,得到用户信息,根据用户信息生成反馈信息,并将反馈信息进行加密得到的;局域网环境接收反馈数据,对反馈数据进行解密,得到反馈信息。
其中,安全环境通过预设端口接收数据请求之前,方法还包括:安全环境判断预设端口是否属于局域网环境白名单,如果属于,则执行通过预设端口接收数据请求的操作;在确定第一预设出口之前,方法还包括:安全环境判断第一预设出口是否属于出口白名单中,如果属于,则执行确定第一预设出口的操作。
其中,安全环境判断数据请求是否满足输出条包括:安全环境判断数据请求是否包含符合敏感用户信息规则的数据,如果不包含符合敏感用户信息规则的数据,则判断数据请求满足输出条件,如果包含符合敏感用户信息规则的数据,则停止服务,并进行记录。
其中,判断数据请求是否包含符合敏感用户信息规则的数据包括:采用正则表达式判断数据请求是否包含符合敏感用户信息规则的数据。
其中,每个局域网环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改;安全环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改。
本发明另一方面提供了一种新型风控系统,包括:至少一个局域网环境和安全环境,安全环境设置独立的安全服务器执行操作;其中:每个局域网环境,用于仅与预设端口进行通信;安全环境,用于设置局域网环境白名单,仅接收局域网环境白名单中的局域网环境通过预设端口进行的访问,设置出口白名单,仅通过预设出口访问出口白名单中的外部网络;局域网环境,还用于通过预设端口向安全环境发送数据请求,其中,数据请求中至少包括加密的用户信息;安全环境,还用于通过预设端口接收数据请求,判断数据请求是否满足输出条件,如果满足输出条件,则安全环境根据数据请求,确定第一预设出口,通过第一预设出口访问与其连接的第一外部网络,将数据请求发送至第一外部网络;接收第一外部网络根据数据请求生成的反馈数据,并将反馈数据发送至局域网环境,其中,反馈数据为第一外部网络接收数据请求,对数据请求进行解密,得到用户信息,根据用户信息生成反馈信息,并将反馈信息进行加密得到的;局域网环境,还用于接收反馈数据,对反馈数据进行解密,得到反馈信息。
其中,安全环境,还用于通过预设端口接收数据请求之前,判断预设端口是否属于局域网环境白名单,如果属于,则执行通过预设端口接收数据请求的操作;安全环境,还用于在确定第一预设出口之前,判断第一预设出口是否属于出口白名单中,如果属于,则执行确定第一预设出口的操作。
其中,安全环境通过如下方式对数据请求进行监控,判断数据请求是否满足输出条件:安全环境,具体用于判断数据请求是否包含符合敏感用户信息规则的数据,如果不包含符合敏感用户信息规则的数据,则判断数据请求满足输出条件,如果包含符合敏感用户信息规则的数据,则停止服务,并进行记录。
其中,安全环境通过如下方式判断数据请求是否包含符合敏感用户信息规则的数据:安全环境,具体用于采用正则表达式判断数据请求是否包含符合敏感用户信息规则的数据。
其中,每个局域网环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改;安全环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改。
由此可见,本发明实施例提供的新型风控方法及风控系统,涉及到敏感数据的模块组件与系统抽离出来,单独部署到特殊的安全服务器上,再针对该安全服务器做相应的数据脱敏加密、流量监控、白名单访问拦截,从而实现风控数据的核心防御,从数据的加密、监控、隔离出发,针对传统风控系统的弊病,点对点的解决数据易泄露、易被攻击、冗杂的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为现有技术中风控系统的风控业务流程示意图;
图2为本发明实施例提供的新型风控方法的流程图;
图3为本发明实施例提供的新型风控方法的一种具体实例的结构图;
图4为本发明实施例提供的新型风控方法的一种具体实例的流程图;
图5为本发明实施例提供的新型风控系统的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图2示出了本发明实施例提供的新型风控方法的流程图,参见图2,本发明实施例提供的新型风控方法,包括:
S1,设置至少一个局域网环境和安全环境,安全环境设置独立的安全服务器执行操作;其中:
每个局域网环境,用于仅与预设端口进行通信;
安全环境,用于设置局域网环境白名单,仅接收局域网环境白名单中的局域网环境通过预设端口进行的访问,设置出口白名单,仅通过预设出口访问出口白名单中的外部网络。
具体地,在实际应用中,部署在局域网的应用可以称为模型应用(Model),部署在安全环境的应用称为数据应用(Data)。本发明提供了如下具体方案:
1、服务耦合拆分:
本发明将请求外部数据的模块从原来冗杂的风控系统中抽离出来,单独部署在一个安全的环境中。这样如果外部数据有任何改动,只需要更改Data应用即可,Model应用不需要变动。
2、数据加密:
由于Model应用和Data应用都是部署在局域网中,区别在于Data应用可以访问互联网,而Model是一个封闭的盒子,不能访问任何外部网络,只可以和Data应用通信。Model应用请求Data的数据可以经过不可逆的MD5加密方式的。这样即使数据遭到了泄密,得到的也是加密后的数据,无法获取真实的数据。
3、敏感数据监控隔断:
针对从Model应用来的数据请求中发送给外部数据源的数据,具体可以以日志的形式做了数据落地。并针对日志文件做了监控机制,监控程序会对于不满足输出条件的数据进行检查,例如:符合身份证号码规则和手机号码规则的数据。如果发现有不满足输出条件的数据,及时的预警通知并停止应用,等待核查后再次启动。
4、敏感数据隔离:
由于Data应用打通了和互联网的通路,所以是最有可能发生数据泄露的模块,于是针对Data应用,建立了一套白名单访问机制。对于请求方,只允许Model应用所在服务器的IP访问,其他IP一概会拒绝数据进入Data应用中。对于发送方,只允许Data应用访问互联网中外部数据源的IP,其他的IP会隔断,拒绝Data应用的访问。
因此,建立本发明实施例提供的新型风控系统,针对数据的流入、流出、内部的数据存储进行了全流程的防控措施方案。把敏感数据泄露的概率降到最低。对于数据泄露后的警报和止损,也有一套监控隔离机制,为的就是把风险降低到最小的可控范围内。这种用于风控系统的敏感数据加密、监控、隔离的方案可以大大提高本发明实施例提供的风控系统的信息安全性。
S2,局域网环境通过预设端口向安全环境发送数据请求,其中,数据请求中至少包括加密的用户信息。
具体地,本发明局域网环境向外部请求数据的时候,需要对敏感数据进行加密,例如身份证号手机号等,因此,在数据请求中需要携带的是加密的敏感数据。一旦数据请求中携带的敏感数据没有被加密,则会被步骤S3检测出来,从而进行停止服务,报警或者记录等操作,及时止损。
作为本发明实施例的一个可选实施方式,安全环境通过预设端口接收数据请求之前,本发明实施例提供的新型风控方法还包括:安全环境判断预设端口是否属于局域网环境白名单,如果属于,则执行通过预设端口接收数据请求的操作。因此,安全环境可以确定局域网环境是白名单的安全环境,才允许后续操作,保证信息传输的安全性。
S3,安全环境通过预设端口接收数据请求,判断数据请求是否满足输出条件,如果满足输出条件,则安全环境根据数据请求,确定第一预设出口,通过第一预设出口访问与其连接的第一外部网络,将数据请求发送至第一外部网络。
具体地,由于本发明实施例设置了本步骤的监控机制,可以及时发现敏感数据明文传输,防止敏感数据泄露。
作为本发明实施例的一个可选实施方式,安全环境判断数据请求是否满足输出条包括:安全环境判断数据请求是否包含符合敏感用户信息规则的数据,如果不包含符合敏感用户信息规则的数据,则判断数据请求满足输出条件,如果包含符合敏感用户信息规则的数据,则停止服务,并进行记录。其中,作为本发明实施例的一个可选实施方式,判断数据请求是否包含符合敏感用户信息规则的数据包括:采用正则表达式判断数据请求是否包含符合敏感用户信息规则的数据。
实际应用中,在部署Data服务的服务器上,配置该敏感数据监控服务,这个服务的基本逻辑是对敏感用户信息(身份证、手机号、姓名)进行监控。对每一条从Model服务接受来的数据和每一条发送给源的数据进行一次过滤,过滤的规则采用正则表达式,如果发现了符合敏感用户信息规则的数据,则立即停止Data服务,并记录具体的情况,等待服务器管理员处理。
作为本发明实施例的一个可选实施方式,在确定第一预设出口之前,本发明实施例提供的新型风控方法还包括:安全环境判断第一预设出口是否属于出口白名单中,如果属于,则执行确定第一预设出口的操作。
S4,安全环境接收第一外部网络根据数据请求生成的反馈数据,并将反馈数据发送至局域网环境,其中,反馈数据为第一外部网络接收数据请求,对数据请求进行解密,得到用户信息,根据用户信息生成反馈信息,并将反馈信息进行加密得到的;
S5,局域网环境接收反馈数据,对反馈数据进行解密,得到反馈信息。
具体地,外部网络向安全环境发送针对数据请求进行的反馈信息时,同样采用加密方式进行传输,保证数据传输的安全性。
作为本发明实施例的一个可选实施方式,每个局域网环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改;安全环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改。以此提高系统的安全性。
由此可见,通过本发明实施例提供的新型风控方法,把与互联网有交互的模块给抽离出来,单独作为一个服务部署,称为Data服务,如果这个服务有问题的话,可以只修改该服务的程序,而不用对其他的模型服务进行修改,提高系统的解耦能力;同时,对Data服务的服务器做了限制,只能够访问设置了白名单的数据接口ip,并对每一个出口ip的数据进行监控,将用户的敏感信息进行加密,数据的请求方和接收方使用同一种密钥,在网络传输中密文很难被第三方破解,这样即使泄露也很难获取到真实的用户信息;Data服务已经做了身份证和其他敏感信息的加密,所以为了防止受到恶意攻击,导致敏感数据泄露,针对明文的身份证号进行监控,针对身份证号的特殊格式,对每一条发送的数据进行判断,如果符合身份证号的格式,触发预警机制。实时告警,并切断服务器的网络,及时止损。
以下,结合图3和图4,说明本发明实施例提供的新型风控方法的一种具体流程,参见图3和图4,本发明实施例提供的新型风控方法,对各个功能模块进行部署:
一、局域网环境部署的服务:
1、网络访问限制,只可以与安全环境部署的Data服务的特定端口进行通信,不可以访问外网,不可以接受其他数据请求。
NFS访问限制、Inetd设置、防止DDOS攻击、只设置一个出口IP白名单,就是安全环境的IP。
2、登陆限制访问,只能够通过特定的非ROOT用户进行登陆操作。
3、系统文件限制修改
二、安全环境部署的服务:
1、网络访问限制,设置局域网环境的白名单,只可以接受来自局域网环境的访问,设置出口白名单,只可以访问特定外部数据源的IP。不可以访问其他外网地址。
NFS访问限制、Inetd设置、防止DDOS攻击、只设置对应数据源的出口IP,只设置局域网环境的入口IP。
2、登陆限制访问,只能够通过特定的非ROOT用户进行登陆操作。
3、系统文件限制修改。
具体地,部署服务之前需要根据实际情况,为每个服务器配置对应的出入口IP。保证只访问到正确的服务器上。
在部署Data服务的服务器上,配置敏感数据监控服务,这个服务的基本逻辑是对敏感用户信息(身份证、手机号、姓名)进行监控。对每一条从Model服务接受来的数据和每一条发送给源的数据进行一次过滤,过滤的规则采用正则表达式,如果发现了符合敏感用户信息规则的数据,则立即停止Data服务,并记录具体的情况,等待服务器管理员处理。
由此可见,通过本发明实施例提供的新型风控方法,通过如下手段可以达到如下效果:
1、敏感服务耦合拆分:把与互联网有交互的模块给抽离出来,单独作为一个服务部署,称为Data服务,如果这个服务有问题的话,可以只修改该服务的程序,而不用对其他的模型服务进行修改,提高系统的解耦能力,对Data服务的服务器做了限制,只能够访问设置了白名单的数据接口ip。并对每一个出口ip的数据进行监控。
2、数据加密:将用户的敏感信息进行加密,例如采用AES的对称加密算法,AES是美国联邦政府采用的一种区块加密标准,加密和解密用到的密钥是相同的,这种加密方式加密速度非常快,适合经常发送数据的场合,数据的请求方和接收方使用同一种密钥,在网络传输中密文很难被第三方破解。这样即使泄露也很难获取到真实的用户信息。
3、敏感数据监控隔断:针对身份证号等敏感数据的特殊格式,对每一条发送的数据进行判断,如果符合身份证号的格式,触发预警机制。实时告警,并切断服务器的网络,及时止损。
4、敏感服务隔离:Data服务对身份证和其他敏感信息进行加密,为了防止受到恶意攻击,导致敏感数据泄露,针对明文的身份证号进行监控。
图5示出了本发明实施例提供的新型风控系统的结构示意图,该新型风控系统应用于上述新型风控方法,以下仅对新型风控系统的结构进行简要说明,其他未尽事宜,请参照上述新型风控方法的相关说明,在此不再赘述。参见图5,本发明实施例提供的新型风控系统,包括:
至少一个局域网环境和安全环境,安全环境设置独立的安全服务器执行操作;其中:
每个局域网环境,用于仅与预设端口进行通信;
安全环境,用于设置局域网环境白名单,仅接收局域网环境白名单中的局域网环境通过预设端口进行的访问,设置出口白名单,仅通过预设出口访问出口白名单中的外部网络;
局域网环境,还用于通过预设端口向安全环境发送数据请求,其中,数据请求中至少包括加密的用户信息;
安全环境,还用于通过预设端口接收数据请求,判断数据请求是否满足输出条件,如果满足输出条件,则安全环境根据数据请求,确定第一预设出口,通过第一预设出口访问与其连接的第一外部网络,将数据请求发送至第一外部网络;接收第一外部网络根据数据请求生成的反馈数据,并将反馈数据发送至局域网环境,其中,反馈数据为第一外部网络接收数据请求,对数据请求进行解密,得到用户信息,根据用户信息生成反馈信息,并将反馈信息进行加密得到的;
局域网环境,还用于接收反馈数据,对反馈数据进行解密,得到反馈信息。
作为本发明实施例的一个可选实施方式,安全环境,还用于通过预设端口接收数据请求之前,判断预设端口是否属于局域网环境白名单,如果属于,则执行通过预设端口接收数据请求的操作;安全环境,还用于在确定第一预设出口之前,判断第一预设出口是否属于出口白名单中,如果属于,则执行确定第一预设出口的操作。
作为本发明实施例的一个可选实施方式,安全环境通过如下方式对数据请求进行监控,判断数据请求是否满足输出条件:安全环境,具体用于判断数据请求是否包含符合敏感用户信息规则的数据,如果不包含符合敏感用户信息规则的数据,则判断数据请求满足输出条件,如果包含符合敏感用户信息规则的数据,则停止服务,并进行记录。
作为本发明实施例的一个可选实施方式,安全环境通过如下方式判断数据请求是否包含符合敏感用户信息规则的数据:安全环境,具体用于采用正则表达式判断数据请求是否包含符合敏感用户信息规则的数据。
作为本发明实施例的一个可选实施方式,每个局域网环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改;安全环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改。
由此可见,通过本发明实施例提供的新型风控系统,把与互联网有交互的模块给抽离出来,单独作为一个服务部署,称为Data服务,如果这个服务有问题的话,可以只修改该服务的程序,而不用对其他的模型服务进行修改,提高系统的解耦能力;同时,对Data服务的服务器做了限制,只能够访问设置了白名单的数据接口ip,并对每一个出口ip的数据进行监控,将用户的敏感信息进行加密,数据的请求方和接收方使用同一种密钥,在网络传输中密文很难被第三方破解,这样即使泄露也很难获取到真实的用户信息;Data服务已经做了身份证和其他敏感信息的加密,所以为了防止受到恶意攻击,导致敏感数据泄露,针对明文的身份证号进行监控,针对身份证号的特殊格式,对每一条发送的数据进行判断,如果符合身份证号的格式,触发预警机制。实时告警,并切断服务器的网络,及时止损。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (4)
1.一种新型风控方法,其特征在于,包括:
设置至少一个局域网环境和安全环境,所述安全环境设置独立的安全服务器执行操作;其中:
每个所述局域网环境,用于仅与预设端口进行通信;
所述安全环境,用于设置局域网环境白名单,仅接收所述局域网环境白名单中的局域网环境通过所述预设端口进行的访问,设置出口白名单,仅通过预设出口访问所述出口白名单中的外部网络;
所述局域网环境通过所述预设端口向所述安全环境发送数据请求,其中,所述数据请求中至少包括加密的用户信息;
所述安全环境通过所述预设端口接收所述数据请求,判断所述数据请求是否满足输出条件,如果满足输出条件,则所述安全环境根据所述数据请求,确定第一预设出口,通过所述第一预设出口访问与其连接的第一外部网络,将所述数据请求发送至所述第一外部网络;
所述安全环境接收所述第一外部网络根据所述数据请求生成的反馈数据,并将所述反馈数据发送至所述局域网环境,其中,所述反馈数据为所述第一外部网络接收所述数据请求,对所述数据请求进行解密,得到所述用户信息,根据所述用户信息生成反馈信息,并将所述反馈信息进行加密得到的;
所述局域网环境接收所述反馈数据,对所述反馈数据进行解密,得到所述反馈信息;
其中,
所述安全环境通过所述预设端口接收所述数据请求之前,还包括:所述安全环境判断所述预设端口是否属于局域网环境白名单,如果属于,则执行通过所述预设端口接收所述数据请求的操作;在确定第一预设出口之前,还包括:所述安全环境判断所述第一预设出口是否属于所述出口白名单中,如果属于,则执行确定所述第一预设出口的操作;
所述安全环境判断所述数据请求是否满足输出条包括:所述安全环境判断所述数据请求是否包含符合敏感用户信息规则的数据,如果不包含符合敏感用户信息规则的数据,则判断所述数据请求满足输出条件,如果包含符合敏感用户信息规则的数据,则停止服务,并进行记录;所述判断所述数据请求是否包含符合敏感用户信息规则的数据包括:采用正则表达式判断所述数据请求是否包含符合敏感用户信息规则的数据。
2.根据权利要求1所述的方法,其特征在于,所述每个局域网环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改;所述安全环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改。
3.一种新型风控系统,其特征在于,包括:
至少一个局域网环境和安全环境,所述安全环境设置独立的安全服务器执行操作;其中:
每个所述局域网环境,用于仅与预设端口进行通信;
所述安全环境,用于设置局域网环境白名单,仅接收所述局域网环境白名单中的局域网环境通过所述预设端口进行的访问,设置出口白名单,仅通过预设出口访问所述出口白名单中的外部网络;
所述局域网环境,还用于通过所述预设端口向所述安全环境发送数据请求,其中,所述数据请求中至少包括加密的用户信息;
所述安全环境,还用于通过所述预设端口接收所述数据请求,判断所述数据请求是否满足输出条件,如果满足输出条件,则所述安全环境根据所述数据请求,确定第一预设出口,通过所述第一预设出口访问与其连接的第一外部网络,将所述数据请求发送至所述第一外部网络;接收所述第一外部网络根据所述数据请求生成的反馈数据,并将所述反馈数据发送至所述局域网环境,其中,所述反馈数据为所述第一外部网络接收所述数据请求,对所述数据请求进行解密,得到所述用户信息,根据所述用户信息生成反馈信息,并将所述反馈信息进行加密得到的;
所述局域网环境,还用于接收所述反馈数据,对所述反馈数据进行解密,得到所述反馈信息;
其中,
所述安全环境,还用于通过所述预设端口接收所述数据请求之前,判断所述预设端口是否属于局域网环境白名单,如果属于,则执行通过所述预设端口接收所述数据请求的操作;所述安全环境,还用于在确定第一预设出口之前,判断所述第一预设出口是否属于所述出口白名单中,如果属于,则执行确定所述第一预设出口的操作;
所述安全环境通过如下方式对所述数据请求进行监控,判断所述数据请求是否满足输出条件:所述安全环境,具体用于判断所述数据请求是否包含符合敏感用户信息规则的数据,如果不包含符合敏感用户信息规则的数据,则判断所述数据请求满足输出条件,如果包含符合敏感用户信息规则的数据,则停止服务,并进行记录;所述安全环境通过如下方式判断所述数据请求是否包含符合敏感用户信息规则的数据:所述安全环境,具体用于采用正则表达式判断所述数据请求是否包含符合敏感用户信息规则的数据。
4.根据权利要求3所述的系统,其特征在于,所述每个局域网环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改;所述安全环境,还用于仅允许预设用户进行登录操作,仅允许预设文件的修改。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910586630.4A CN110233859B (zh) | 2019-07-01 | 2019-07-01 | 一种新型风控方法及风控系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910586630.4A CN110233859B (zh) | 2019-07-01 | 2019-07-01 | 一种新型风控方法及风控系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110233859A CN110233859A (zh) | 2019-09-13 |
CN110233859B true CN110233859B (zh) | 2021-03-12 |
Family
ID=67857677
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910586630.4A Active CN110233859B (zh) | 2019-07-01 | 2019-07-01 | 一种新型风控方法及风控系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110233859B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112560089B (zh) * | 2020-12-15 | 2024-03-01 | 泰康保险集团股份有限公司 | 接口服务的敏感信息预警装置及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108364132A (zh) * | 2018-02-11 | 2018-08-03 | 深圳市快付通金融网络科技服务有限公司 | 一种风控方法、装置、计算机装置及计算机可读存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9210128B2 (en) * | 2012-10-25 | 2015-12-08 | Check Point Software Technologies Ltd. | Filtering of applications for access to an enterprise network |
CN103927485A (zh) * | 2014-04-24 | 2014-07-16 | 东南大学 | 基于动态监控的Android应用程序风险评估方法 |
CN104618427B (zh) * | 2014-12-17 | 2016-08-24 | 百度在线网络技术(北京)有限公司 | 一种用于通过网络来进行文件监控的方法和装置 |
CN106846145A (zh) * | 2017-01-19 | 2017-06-13 | 上海冰鉴信息科技有限公司 | 一种构建及验证信用评分方程过程中的元变量设计方法 |
CN107172020A (zh) * | 2017-04-28 | 2017-09-15 | 湖北微源卓越科技有限公司 | 一种网络数据安全交换方法及系统 |
CN108765092A (zh) * | 2018-06-04 | 2018-11-06 | 贵州数据宝网络科技有限公司 | 一种交易安全风控方法及系统 |
-
2019
- 2019-07-01 CN CN201910586630.4A patent/CN110233859B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108364132A (zh) * | 2018-02-11 | 2018-08-03 | 深圳市快付通金融网络科技服务有限公司 | 一种风控方法、装置、计算机装置及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110233859A (zh) | 2019-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190356661A1 (en) | Proxy manager using replica authentication information | |
US9917817B1 (en) | Selective encryption of outgoing data | |
CN110489996B (zh) | 一种数据库数据安全管理方法及系统 | |
US10341350B2 (en) | Actively identifying and neutralizing network hot spots | |
US9692759B1 (en) | Control of cloud application access for enterprise customers | |
CN113557703B (zh) | 网络摄像机的认证方法和装置 | |
CN109409045A (zh) | 浏览器自动登录账号安全保护方法和装置 | |
CN114553540A (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
CN107563221A (zh) | 一种用于加密数据库的认证解码安全管理系统 | |
CN111046405B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
CN110233859B (zh) | 一种新型风控方法及风控系统 | |
KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
US20220300656A1 (en) | Elastic enclaves for security object management | |
CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
CN106576050A (zh) | 三层安全和计算架构 | |
CN113438242A (zh) | 服务鉴权方法、装置与存储介质 | |
CN112906027A (zh) | 一种云计算数据中心访问管理方法 | |
CN113742740A (zh) | 设备行为监督方法、装置及存储介质 | |
Novakovic et al. | Detection of URL-based Phishing Attacks Using Neural Networks | |
CN116318899B (zh) | 数据加密解密的处理方法、系统、设备及介质 | |
Bwalya et al. | A Security Framework for Mobile Application Systems: Case of Android Applications. | |
US20230246818A1 (en) | Secure data migration | |
CN117768237A (zh) | 一种基于零信任架构的数据处理方法、网关系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |