CN110287710A - 安全管理方法及其相关设备 - Google Patents
安全管理方法及其相关设备 Download PDFInfo
- Publication number
- CN110287710A CN110287710A CN201910474806.7A CN201910474806A CN110287710A CN 110287710 A CN110287710 A CN 110287710A CN 201910474806 A CN201910474806 A CN 201910474806A CN 110287710 A CN110287710 A CN 110287710A
- Authority
- CN
- China
- Prior art keywords
- data
- audit
- characteristic
- module
- operator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种安全管理方法,其包括以下步骤:步骤S1、接收操作人员发出的对特征数据的处理请求;步骤S2、发起对该操作人员的身份认证请求,对该操作人员进行身份认证并记录该操作人员的身份特征值;步骤S3、根据身份特征值判断该操作人员是否具有访问权限,若是,则执行步骤S4,若否,则执行步骤S5;步骤S4、根据接收的处理请求对特征数据执行加解密处理;步骤S5、对本次操作的特征信息的原始数据进行审计记录,并形成审计数据。本发明还提供了应用该安全管理方法的相关设备。与相关技术相比,本发明的安全管理方法降低了信息泄漏的风险,提高了信息管理的安全性,当该安全管理方法应用于相关设备时,有效提高信息管理的安全性能。
Description
【技术领域】
本发明涉及信息管理领域,尤其涉及一种安全管理方法及相关系统。
【背景技术】
在当今社会中,信息的安全管理愈发重要,尤其是涉及到企业的核心利益的内部信息管理,譬如,与企业的发展战略和技术秘密相关的信息,一旦发生信息泄漏则给企业带来无法预估的经济损失。因此,内部信息的安全管理工作成为了每个企业的必不可少的一个环节,而基于信息安全管理的安全管理方法及其相关设备也应运而生。
相关技术的安全管理方法中,通常通过对待管理的数据进行加密处理,都会产生相应的密钥,通过密钥才能对已加密的数据进行解密,经过解密处理的数据才能变成可读的格式。
然而,相关技术中的安全管理方法缺乏认证操作人员的访问权限的过程,而操作人员只需拥有密钥,便能解密数据,使得无访问权限的人员也能操作数据且获得相关信息,存在极大的泄漏风险;同时,操作人员对数据操作的过程无法被记录,导致无法预防可能发生的信息泄漏,无法追踪数据的流向,使得信息管理的安全性低。
因此,实有必要提供一种新的安全管理方法及其相关设备解决上述技术问题。
【发明内容】
本发明的目的在于提供一种安全管理方法及其相关设备,该安全管理方法降低了信息泄漏的风险,提高了信息管理的安全性,当该安全管理方法应用于相关设备时,有效提高相关设备的信息管理的安全性能。
为达到上述目的,本发明提供一种安全管理方法,其包括以下步骤:
步骤S1、接收操作人员发出的对特征数据的处理请求;
步骤S2、发起对该操作人员的身份认证请求,对该操作人员进行身份认证并记录该操作人员的身份特征值;
步骤S3、根据所述身份特征值判断该操作人员是否具有访问权限,若是,则执行步骤S4,若否,则执行步骤S5;
步骤S4、根据接收的所述处理请求对所述特征数据执行加解密处理;
步骤S5、对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;其中,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种。
进一步地,所述步骤S1中:
所述处理请求包括查看请求、存储请求、删除请求、取出请求和办理业务请求中的一种或多种。
进一步地,所述步骤S5中,还包括对敏感数据的挖掘分析的步骤:
当本次操作的所述处理请求包括存储请求时,则挖掘抓取所述特征数据中的敏感数据;
对所述敏感数据进行分析处理,根据分析处理的结果确定所述特征数据的安全等级,并对所述特征数据实施与该安全等级对应的安全保障措施。
进一步地,所述步骤S4中:
所述加解密处理包括对所述特征数据的加解密、形成摘要、签名验签中的一种或者多种。
进一步地,所述加解密处理为加解密、形成摘要及签名验签中随机选取,或根据随机动态分配的安全处理机制确定。
进一步地,所述步骤S5中:
所述特征信息还包括业务系统特征值、传输方式特征值和数据流向特征值中的一种或多种。
进一步地,所述步骤S5中,审计记录本次操作的所述特征信息的记录方式为通过区块链算法进行记录;和/或,
通过预设记录算法进行记录;所述预设记录算法为:将需要审计记录的第i次操作的所述特征信息形成摘要后存储形成第i摘要;将第i+1次操作的所述特征信息加上所述第i摘要的值形成新摘要存储形成第i+1摘要;其中,i为大于等于1的整数。
进一步地,在所述步骤S5后,还包括对所述审计数据进行验证的步骤:
提取审计记录所述特征信息的所述原始数据和与该原始数据对应的所述审计数据;
将所述原始数据按该审计记录的计算方法进行逐步检验,重新生成新审计数据,并将所述新审计数据与所述审计数据进行对比,若该比对结果为不通过,则判断所述审计数据被篡改。
本发明还提供一种安全管理系统,其包括控制模块、分别与所述控制模块数据连接的存储模块、加解密模块、身份认证模块和行为审计模块;
所述存储模块,用于数据的存储和读取;
所述加解密模块,用于提供加解密算法、签名验签算法和摘要算法中的至少一种算法,并对数据进行加解密处理;
所述身份认证模块,用于对操作人员进行身份认证,并记录所述操作人员的身份特征值;
所述行为审计模块,用于对数据及信息审计记录,并形成审计数据;
所述控制模块,用于接收操作人员发出的对特征数据的处理请求,并发起对该操作人员的身份认证请求,调用所述身份认证模块对该操作人员进行身份认证并记录该操作人员的身份特征值;根据所述身份特征值判断该操作人员是否具有访问权限,若是,则根据接收的所述处理请求,并调用所述加解密模块对所述特征数据执行加解密处理,若否,则调用所述行为审计模块对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;
其中,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种。
进一步地,所述安全管理系统还包括数据分析模块;
所述数据分析模块,用于挖掘抓取数据并对数据进行数据处理;
其中,当所述处理请求包括存储请求时,所述控制模块调用所述数据分析模块对所述特征数据中的敏感数据进行挖掘抓取;
所数据分析模块对所述敏感数据进行分析处理,并根据分析处理的结果确定所述特征数据的安全等级,所述控制模块根据该安全等级对所述特征数据实施与该安全等级对应的安全保障措施。
进一步地,所述行为审计模块,用于对所述审计数据进行审计验证;
其中,所述控制模块提取审计记录所述特征信息的所述原始数据和与该原始数据对应的所述审计数据;
所述控制模块将所述原始数据按该审计记录的计算方法进行逐步检验,并调用所述行为审计模块以重新生成新审计数据,所述控制模块将所述新审计数据与所述审计数据进行对比,若该比对结果为不通过,则判断所述审计数据被篡改。
本发明还提供一种安全管理系统,其包括处理器以及存储器,所述存储器中存储有由所述处理器执行的计算机程序,其中,所述计算机程序被所述处理器执行时实现如本发明所述的安全管理方法的步骤。
本发明还提供一种计算机可读存储介质,其存储有计算机程序;所述计算机程序被处理器执行时实现如本发明所述的安全管理方法的步骤。
与相关技术相比,本发明的安全管理方法,该方法包括以下步骤:步骤S1、接收操作人员发出的对特征数据的处理请求;步骤S2、发起对该操作人员的身份认证请求,对该操作人员进行身份认证并记录该操作人员的身份特征值;步骤S3、根据所述身份特征值判断该操作人员是否具有访问权限,若是,则执行步骤S4,若否,则执行步骤S5;步骤S4、根据接收的所述处理请求对所述特征数据执行加解密处理;步骤S5、对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;其中,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种。上述方法中,通过审计记录每次被操作的数据、对该部分数据的操作过程及操作人员的相关信息的方式,有效地实现了对数据的流向的实时监测,为预防可能发生的信息泄漏提供条件,从而提高信息管理的安全性。本发明的安全管理方法应用于相关设备时,有效提高相关设备的信息管理的安全性能。
【附图说明】
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图,其中:
图1为本发明的安全管理方法的流程示意图;
图2为本发明的安全管理方法中对敏感数据的挖掘分析的流程示意图;
图3为本发明的安全管理方法中对所述审计数据进行验证的流程示意图;
图4为本发明的安全管理系统的结构示意图。
【具体实施方式】
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明提供一种安全管理方法,其包括以下步骤:
步骤S1、接收操作人员发出的对特征数据的处理请求;
步骤S2、发起对该操作人员的身份认证请求,对该操作人员进行身份认证并记录该操作人员的身份特征值;
步骤S3、根据所述身份特征值判断该操作人员是否具有访问权限,若是,则执行步骤S4,若否,则执行步骤S5;
步骤S4、根据接收的所述处理请求对所述特征数据执行加解密处理;
步骤S5、对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;其中,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种。
需要说明的是,在实际应用中,上述的各个步骤的执行可以按照一定的顺序进行,下面提供一个可选的实施方式进行说明:
作为一种可选的实施方式,请同时参阅图1-3所示,所述安全管理方法包括以下步骤:
步骤S1,接收操作人员发出的对特征数据的处理请求;其中,所述特征数据是指被操作人员所操作的数据,所述处理请求即操作人员对所述特征数据的操作行为。
进一步的,在所述步骤S1中,所述处理请求包括查看请求、存储请求、删除请求、取出请求和办理业务请求中的一种或多种。
步骤S2,发起对该操作人员的身份认证请求,采集并记录操作人员的身份特征值。
具体的,所述身份特征值为操作人员的身份信息,在该步骤S2中可以通过FIDO(Fast Identity Online Alliance,中文称线上快速身份认证)验证、人脸识别、证件认证、数字证书认证和生物特征识别中的一种或多种的认证方式采集操作人员的所述身份特征值,所述身份特征值用于安全管理系统对操作人员的身份及访问权限判断。值得一提的是,在应用该方法的安全管理系统中,需要预先设定具有访问权限的人员的名单及其身份特征值,访问权限与该部分人员的身份特征值对应,有效确保有访问权限的操作人员是以真实身份来进行数据操作,便于后续步骤中对操作人员的身份信息的记录。
步骤S3,根据所述身份特征值判断该操作人员是否具有访问权限,若是,则执行步骤S4,若否,则执行步骤S5。
步骤S4、根据接收的所述处理请求对所述特征数据执行加解密处理。
具体的,在所述步骤S4中,所述加解密处理包括对所述特征数据的加解密、形成摘要、签名验签中的一种或者多种;更进一步的,所述加解密处理为加解密、形成摘要及签名验签中随机选取,或根据随机动态分配的安全处理机制确定。
步骤S5、对本次操作的特征信息的原始数据进行审计记录,并形成审计数据。
具体的,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种,比如,在本实施方式中,所述特征信息包括所述特征数据、所述身份特征值和所述处理请求等三种,使得所述审计数据中涵盖了关于操作人员本次操作的基本信息。
为了使得所述审计数据涵盖的信息更加全面,更优的,所述特征信息还包括业务系统特征值、传输方式特征值和数据流向特征值中的一种或多种;其中,业务系统特征值是指操作人员所操作的外部业务系统的标识号,传输方式特征值是指数据传输的方式,譬如通过打印机、外部设备或即时通讯工具等进行传输或通过邮件进行传输,数据流向特征值是指数据流向的具体的外部业务系统或具体的对象。
进一步的,所述行为审计模块的审计记录即通过各种算法对所述特征信息的原始数据进行数据处理。审计记录本次操作的所述特征信息的记录方式可以为通过区块链算法进行记录,也可以为通过预设记录算法进行记录,当然,同时使用区块链算法和预设记录算法进行记录也是可行的。
比如,在本可选的实施方式中,通过所述预设记录算法记录所述特征信息的原始数据,即通过HASH(哈希)函数和/或SM3(消息摘要)算法形成关于所述特征信息的摘要,具体为:
将需要审计记录的第i次操作的所述特征信息形成摘要后存储形成第i摘要;将第i+1次操作的所述特征信息加上所述第i摘要的值形成新摘要存储形成第i+1摘要;其中,i为大于等于1的整数。在此过程中只要其中一次操作改变了审计数据,那该次形成的摘要的值与其他摘要中关于该次审计记录形成的摘要的值不一致,则可以通过判断各个摘要的值之间的对应关系来验证哪次操作的审计数据有被篡改。下面举例说明:
如果操作人员对数据进行了三次操作,将需要审计记录的第一次操作生成的特征信息形成摘要后存储在第一摘要;将第二次操作生成的特征信息加上所述第一摘要的值后形成新摘要存储形成第二摘要;将第三次操作生成的特征信息加上所述第二摘要的值形成新摘要存储形成第三摘要,此时,所述第三摘要包括了所述第一摘要的值和所述第二摘要的值。如果所述第二摘要的值与所述第三摘要中关于第二次次审计记录形成的摘要的值不一致,则操作人员在第二次操作时,对审计数据进行了修改。
上述方法中,通过审计记录每次被操作的数据、对该部分数据的操作过程及操作人员的相关信息的方式,有效地实现了对数据的流向的实时监测,为预防可能发生的信息泄漏提供条件,从而提高信息管理的安全性。
更进一步的,在所述步骤S5中还包括对敏感数据的挖掘分析的过程,该过程包括下面步骤:
步骤S61,当本次操作的所述处理请求包括存储请求时,则挖掘抓取所述特征数据中的敏感数据。具体的,所述敏感数据包括人员信息、金钱信息、个人隐私信息、企业信息、企业财务信息和企业隐私信息中的一种或多种。
步骤S62,对所述敏感数据进行分析处理,根据分析处理的结果确定所述特征数据的安全等级,并对所述特征数据实施与该安全等级对应的安全保障措施。
上述步骤中,需要说明的是,该过程通过机器学习算法对所述敏感数据进行挖掘和分析,该机器学习算法包括数据挖掘算法和数据属性分析算法中的一种或多种。在本实施方式中,通过所述数据挖掘算法挖掘抓取结构化或非结构化的所述敏感数据,另外,通过所述数据属性分析算法进行数据分析处理,并根据敏感信息的重要程度对敏感信息进行安全等级的分级。
值得一提的是,为了提高记录的所述特征信息的可靠性,还可以在所述S5步骤后,还包括对所述审计数据进行验证的过程,该过程包括以下子步骤:
步骤S71,提取审计记录所述特征信息的所述原始数据和与该原始数据对应的所述审计数据;
步骤S72,将所述原始数据按该审计记录的计算方法进行逐步检验,重新生成新审计数据,并将所述新审计数据与所述审计数据进行对比,若该比对结果为不通过,则判断所述审计数据被篡改。
通过上述的校验步骤,可以根据对所述特征信息校验判断的结果,确定操作人员在操作过程中的哪次操作篡改了,及时找到该次操作所涉及的特征数据,进而采取补救措施避免造成更进一步的损害,更有效地提高了信息管理的安全性。
请参阅图4所示,本发明还提供一种应用该方法的安全管理系统100,其包括控制模块1、分别与所述控制模块1连接的存储模块2、加解密模块3、身份认证模块4、行为审计模块5以及数据分析模块6。所述安全管理系统100通过所述控制模块1与外部的业务系统7实现通信连接。
所述业务系统7用于向所述控制模块1发送对特征数据的处理请求的信号;其中,所述特征数据是指被操作人员所操作的数据,所述处理请求即操作人员对所述特征数据的操作行为,即为操作人员在所述业务系统7中对所述特征数据的具体操作而生成的请求信号,所述处理请求包括查看请求、存储请求、删除请求、取出请求和办理业务请求中的一种或多种。
进一步的,所述控制模块1可以为但不限于单独的服务器或控制芯片。
所述加解密模块3,用于提供加解密算法、签名验签算法和摘要算法中的至少一种算法,并对数据进行加解密处理。
进一步的,所述加解密模块3可以为但不限于芯片、加密卡、加密机、UKEY和存储有加密算法的其他硬件模块中的其中一种;更进一步的,所述加解密算法可以基于国密算法、国际算法、对称算法、非对称算法和摘要算法中的一种或多种;更优的,当然所述加解密模块3也可以用于存放加解密密钥、签名验签证书。
所述身份认证模块4,用于对操作人员进行身份认证,并记录所述操作人员的身份特征值。
进一步的,所述身份认证模块4可以通过FIDO(Fast Identity Online Alliance,中文称线上快速身份认证)验证、人脸识别、证件认证、数字证书认证和生物特征识别中的一种或多种的认证方式采集操作人员的所述身份特征值,所述身份特征值用于安全管理系统对操作人员的身份及访问权限判断。值得一提的是,需要预先设定具有访问权的人员的名单及其身份特征值并存储在所述存储模块2,访问权限与该部分人员的身份特征值对应。
所述行为审计模块5,用于对数据及信息审计记录,并形成审计数据,且用于对所述审计数据进行审计验证。
进一步的,所述行为审计模块5存储有区块链算法和预设记录算法中的一种或多种,并通过所述区块链算法和/或所述预设记录算法对操作人员对操作行为、身份信息和所操作的数据进行审计记录。
所述数据分析模块6,用于挖掘抓取敏感数据并对所述敏感数据进行数据处理。
进一步的,所述数据分析模块6通过数据挖掘算法对数据中的敏感数据进行挖掘抓取,并通过数据属性分析算法对所述敏感数据进行数据分析,并确定该敏感数据的安全等级。
所述存储模块2,用于数据的存储和读取。
进一步的,所述存储模块2为但不限于Flash存储器(中文称快闪存储器)、RAM(Random Access Memory,中文称随机存取存储器)、ROM(Read-Only Memory,中文称只读存储器)、EEPROM(Electrically Erasable Programmable read only memory,中文称带电可擦可编程只读存储器)以及存储阵列中的一种或多种。
所述控制模块1,用于调用各个模块进行数据处理。
在实际信息管理的场景中,本发明的安全管理方法应用于所述安全管理系统100,请同时参阅图1-4所示,该安全管理系统100的工作流程为:
所述控制模块1接收操作人员发出的对特征数据的处理请求;
所述控制模块1发起对该操作人员的身份认证请求,并调用所述身份认证模块4对该操作人员进行身份认证并记录该操作人员的身份特征值;
所述控制模块1根据所述身份特征值判断该操作人员是否具有访问权限,若是,则根据接收的所述处理请求,并调用所述加解密模块3对所述特征数据执行加解密处理,加解密处理完后,调用所述行为审计模块对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;若否,则调用所述行为审计模块5对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;其中,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种。
更优的,当所述处理请求包括存储请求时,所述控制模块调用所述数据分析模块对所述特征数据中的敏感数据进行挖掘抓取;
所数据分析模块对所述敏感数据进行分析处理,并根据分析处理的结果确定所述特征数据的安全等级,所述控制模块根据该安全等级对所述特征数据实施与该安全等级对应的安全保障措施。
最优的,所述控制模块提取审计记录所述特征信息的所述原始数据和与该原始数据对应的所述审计数据;
所述控制模块将所述原始数据按该审计记录的计算方法进行逐步检验,并调用所述行为审计模块以重新生成新审计数据,所述控制模块将所述新审计数据与所述审计数据进行对比,若该比对结果为不通过,则判断所述审计数据被篡改。
上述的结构为本发明所述的安全管理方法的实施提供了硬件条件,当所述安全管理系统100实施所述安全管理方法时,该安全管理系统100的安全性能高。
当然,为了进一步提高所述安全管理系统100的安全性能,还可以增加所述安全管理系统100对数据进行比对校验的过程,确定数据是否被篡改及被篡改的内容。
所述安全管理系统100实现比对校验的过程为:所述控制模块1调用所述存储模块2为所述行为审计模块5提供所述特征数据以及与该特征数据对应的原始数据;所述控制模块1控制所述行为审计模块5将所述特征数据与所述原始数据进行比对,通过比对结果校验所述特征数据是否被篡改;其中,若所述比对结果为通过,则所述特征数据没有被篡改,若所述比对结果为不通过,则所述特征数据被篡改。
本发明还提供一种安全管理系统,其包括处理器以及存储器,所述存储器中存储有由所述处理器执行的计算机程序,其中,所述计算机程序被所述处理器执行时实现如本发明所述的安全管理方法的步骤。
本发明还提供一种计算机可读存储介质,其存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如本发明所述的安全管理方法的步骤。
与相关技术相比,本发明的安全管理方法,该方法包括以下步骤:步骤S1、接收操作人员发出的对特征数据的处理请求;步骤S2、发起对该操作人员的身份认证请求,对该操作人员进行身份认证并记录该操作人员的身份特征值;步骤S3、根据所述身份特征值判断该操作人员是否具有访问权限,若是,则执行步骤S4,若否,则执行步骤S5;步骤S4、根据接收的所述处理请求对所述特征数据执行加解密处理;步骤S5、对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;其中,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种。上述方法中,通过审计记录每次被操作的数据、对该部分数据的操作过程及操作人员的相关信息的方式,有效地实现了对数据的流向的实时监测,为预防可能发生的信息泄漏提供条件,从而提高信息管理的安全性。本发明的安全管理方法应用于相关设备时,有效提高相关设备的信息管理的安全性能。
以上所述的仅是本发明的实施方式,在此应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出改进,但这些均属于本发明的保护范围。
Claims (13)
1.一种,其特征在于,所述安全管理方法包括以下步骤:
步骤S1、接收操作人员发出的对特征数据的处理请求;
步骤S2、发起对该操作人员的身份认证请求,对该操作人员进行身份认证并记录该操作人员的身份特征值;
步骤S3、根据所述身份特征值判断该操作人员是否具有访问权限,若是,则执行步骤S4,若否,则执行步骤S5;
步骤S4、根据接收的所述处理请求对所述特征数据执行加解密处理;
步骤S5、对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;其中,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种。
2.根据权利要求1所述的安全管理方法,其特征在于,所述步骤S1中:
所述处理请求包括查看请求、存储请求、删除请求、取出请求和办理业务请求中的一种或多种。
3.根据权利要求1所述的安全管理方法,其特征在于,所述步骤S5中,还包括对敏感数据的挖掘分析的步骤:
当本次操作的所述处理请求包括存储请求时,则挖掘抓取所述特征数据中的敏感数据;
对该敏感数据进行分析处理,根据分析处理的结果确定所述特征数据的安全等级,并对所述特征数据实施与该安全等级对应的安全保障措施。
4.根据权利要求1所述的安全管理方法,其特征在于,所述步骤S4中:
所述加解密处理包括对所述特征数据的加解密、形成摘要、签名验签中的一种或者多种。
5.根据权利要求4所述的安全管理方法,其特征在于,所述加解密处理为加解密、形成摘要及签名验签中随机选取,或根据随机动态分配的安全处理机制确定。
6.根据权利要求1所述的安全管理方法,其特征在于,所述步骤S5中:
所述特征信息还包括业务系统特征值、传输方式特征值和数据流向特征值中的一种或多种。
7.根据权利要求6所述的安全管理方法,其特征在于,所述步骤S5中,
审计记录本次操作的所述特征信息的记录方式为通过区块链算法进行记录;和/或,
通过预设记录算法进行记录;所述预设记录算法为:将需要审计记录的第i次操作的所述特征信息形成摘要后存储形成第i摘要;将第i+1次操作的所述特征信息加上所述第i摘要的值形成新摘要存储形成第i+1摘要;其中,i为大于等于1的整数。
8.根据权利要求1-7任一项所述的安全管理方法,其特征在于,在所述步骤S5后,还包括对所述审计数据进行验证的步骤:
提取审计记录所述特征信息的所述原始数据和与该原始数据对应的所述审计数据;
将所述原始数据按该审计记录的计算方法进行逐步检验,重新生成新审计数据,并将所述新审计数据与所述审计数据进行对比,若该比对结果为不通过,则判断所述审计数据被篡改。
9.一种安全管理系统,其特征在于,所述安全管理系统包括控制模块、分别与所述控制模块数据连接的存储模块、加解密模块、身份认证模块和行为审计模块;
所述存储模块,用于数据的存储和读取;
所述加解密模块,用于提供加解密算法、签名验签算法和摘要算法中的至少一种算法,并对数据进行加解密处理;
所述身份认证模块,用于对操作人员进行身份认证,并记录所述操作人员的身份特征值;
所述行为审计模块,用于对数据及信息审计记录,并形成审计数据;
所述控制模块,用于接收操作人员发出的对特征数据的处理请求,并发起对该操作人员的身份认证请求,调用所述身份认证模块对该操作人员进行身份认证并记录该操作人员的身份特征值;根据所述身份特征值判断该操作人员是否具有访问权限,若是,则根据接收的所述处理请求,并调用所述加解密模块对所述特征数据执行加解密处理,加解密处理完后,调用所述行为审计模块对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;若否,则调用所述行为审计模块对本次操作的特征信息的原始数据进行审计记录,并形成审计数据;
其中,所述特征信息包括被操作的所述特征数据、所述身份特征值和所述处理请求中的一种或多种。
10.根据权利要求9所述的安全管理系统,其特征在于,所述安全管理系统还包括数据分析模块;
所述数据分析模块,用于挖掘抓取数据并对数据进行数据处理;
其中,当所述处理请求包括存储请求时,所述控制模块调用所述数据分析模块对所述特征数据中的敏感数据进行挖掘抓取;
所述数据分析模块对所述敏感数据进行分析处理,并根据分析处理的结果确定所述特征数据的安全等级,所述控制模块根据该安全等级对所述特征数据实施与该安全等级对应的安全保障措施。
11.根据权利要求9所述的安全管理系统,其特征在于,所述行为审计模块,用于对所述审计数据进行审计验证;
其中,所述控制模块提取审计记录所述特征信息的所述原始数据和与该原始数据对应的所述审计数据;
所述控制模块将所述原始数据按该审计记录的计算方法进行逐步检验,并调用所述行为审计模块以重新生成新审计数据,所述控制模块将所述新审计数据与所述审计数据进行对比,若该比对结果为不通过,则判断所述审计数据被篡改。
12.一种安全管理系统,其特征在于,所述安全管理系统包括处理器以及存储器,所述存储器中存储有由所述处理器执行的计算机程序,其中,所述计算机程序被所述处理器执行时实现如权利要求1至8中任一项所述的安全管理方法的步骤。
13.一种计算机可读存储介质,其存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的安全管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910474806.7A CN110287710A (zh) | 2019-06-03 | 2019-06-03 | 安全管理方法及其相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910474806.7A CN110287710A (zh) | 2019-06-03 | 2019-06-03 | 安全管理方法及其相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110287710A true CN110287710A (zh) | 2019-09-27 |
Family
ID=68003008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910474806.7A Pending CN110287710A (zh) | 2019-06-03 | 2019-06-03 | 安全管理方法及其相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110287710A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769784A (zh) * | 2020-12-29 | 2021-05-07 | 北京明朝万达科技股份有限公司 | 文本的处理方法和装置、计算机可读存储介质及处理器 |
| CN113111326A (zh) * | 2021-04-22 | 2021-07-13 | 环鸿电子(昆山)有限公司 | 生产管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553368A (zh) * | 2003-06-02 | 2004-12-08 | ��Ϊ��������˾ | 网络认证、授权和计帐系统及方法 |
| CN102223374A (zh) * | 2011-06-22 | 2011-10-19 | 熊志海 | 一种基于电子证据在线保全的第三方认证保全系统及方法 |
| CN102571874A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的在线审计方法及装置 |
| CN106713228A (zh) * | 2015-11-13 | 2017-05-24 | 航天信息股份有限公司 | 一种云平台密钥管理方法和系统 |
-
2019
- 2019-06-03 CN CN201910474806.7A patent/CN110287710A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553368A (zh) * | 2003-06-02 | 2004-12-08 | ��Ϊ��������˾ | 网络认证、授权和计帐系统及方法 |
| CN102571874A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的在线审计方法及装置 |
| CN102223374A (zh) * | 2011-06-22 | 2011-10-19 | 熊志海 | 一种基于电子证据在线保全的第三方认证保全系统及方法 |
| CN106713228A (zh) * | 2015-11-13 | 2017-05-24 | 航天信息股份有限公司 | 一种云平台密钥管理方法和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769784A (zh) * | 2020-12-29 | 2021-05-07 | 北京明朝万达科技股份有限公司 | 文本的处理方法和装置、计算机可读存储介质及处理器 |
| CN113111326A (zh) * | 2021-04-22 | 2021-07-13 | 环鸿电子(昆山)有限公司 | 生产管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9948624B2 (en) | Key downloading method, management method, downloading management method, device and system | |
| CN101419652B (zh) | 一种软硬件结合的保护程序的方法 | |
| CN112232814B (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| CN109448271A (zh) | 一种无卡取款方法、计算机可读存储介质及服务器 | |
| CN102930225A (zh) | 基于密级标识的电子文档访问控制方法 | |
| CN108496323B (zh) | 一种证书导入方法及终端 | |
| CN109412812A (zh) | 数据安全处理系统、方法、装置和存储介质 | |
| CN110932859A (zh) | 用户信息的处理方法、装置、设备及可读存储介质 | |
| CN105577639A (zh) | 可信装置控制消息 | |
| CN109379360A (zh) | 审计方法、电子装置及计算机可读存储介质 | |
| CN110287710A (zh) | 安全管理方法及其相关设备 | |
| CN111585995A (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
| CN111461731A (zh) | 一种应用于金融交易的区块链监管系统和监管方法 | |
| CN115795506A (zh) | 一种基于双向数据流转的防篡改系统和方法 | |
| CN115967528A (zh) | 一种分布式数据共享交换网络异常监测预警方法及系统 | |
| US11775677B2 (en) | Tokenization and encryption for secure data transfer | |
| JP6819146B2 (ja) | 認証システム、認証側装置及びセキュリティシステム | |
| CN112702354B (zh) | 一种基于区块链技术的数据资源共享追溯方法及装置 | |
| CN104866761B (zh) | 一种高安全性安卓智能终端 | |
| CN111953688A (zh) | 一种基于云计算的数据获取系统 | |
| CN114065302A (zh) | 数据处理方法、装置、设备、介质和区块链网络 | |
| CN117252599B (zh) | 智能pos机双重安全认证方法及系统 | |
| CN117034350A (zh) | 数据的安全保护方法、装置、计算机设备及存储介质 | |
| CN113065865A (zh) | 一种异常交易识别方法以及系统 | |
| EP1168138A2 (en) | System and method for producing log files for secured transactions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190927 |