CN111046405A - 一种数据处理方法、装置、设备及存储介质 - Google Patents
一种数据处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111046405A CN111046405A CN201911272695.8A CN201911272695A CN111046405A CN 111046405 A CN111046405 A CN 111046405A CN 201911272695 A CN201911272695 A CN 201911272695A CN 111046405 A CN111046405 A CN 111046405A
- Authority
- CN
- China
- Prior art keywords
- data
- transmission
- stored
- storage
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
Abstract
本发明实施例公开了一种数据处理方法、装置、设备及存储介质。其中,该方法包括:对获取的原始数据进行保密数据标记处理,得到存储数据;当检测到数据传输事件时,启动安全模式传输所述数据传输事件对应的存储数据。本发明的技术方案能够有效的防止数据泄露、数据篡改等风险,提高数据的安全性和可靠性。
Description
技术领域
本发明实施例涉及数据处理技术,尤其涉及一种数据处理方法、装置、设备及存储介质。
背景技术
随着互联网技术的蓬勃兴起和信息技术的广泛应用,互联互通、共享开放的数据资源在促进经济与社会发展的同时,也带来了一定的风险与挑战。目前,在保证数据安全性时,通常采用的是针对外部入侵的传统防御体系,但是该传统的防御体系无法防护因系统内部窃取、滥用、疏忽等原因导致的数据安全问题。从造成数据泄露、数据篡改等风险,严重影响了数据的安全性和可靠性。
发明内容
本发明实施例提供了一种数据处理方法、装置、设备及存储介质,能够有效的防止数据泄露、数据篡改等风险,提高数据的安全性和可靠性。
第一方面,本发明实施例提供了一种数据处理方法,该方法包括:
对获取的原始数据进行保密数据标记处理,得到存储数据;
当检测到数据传输事件时,启动安全模式传输所述数据传输事件对应的存储数据。
第二方面,本发明实施例还提供了一种数据处理装置,该装置包括:
数据标记模块,用于对获取的原始数据进行保密数据标记处理,得到存储数据;
数据传输模块,用于当检测到数据传输事件时,启动安全模式传输所述数据传输事件对应的存储数据。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现第一方面所述的数据处理方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面所述的数据处理方法。
本发明实施例提供的数据处理方法、装置、设备及存储介质,通过对获取的原始数据进行保密数据的标记后得到存储数据,实现了将获取数据的处理存储阶段落地到保密数据标记的防护措施中。在检测到数据传输事件时,启动安全模式传输对应的存储数据,实现了将存储数据的传输阶段落地到安全传输的防护措施中,实现对数据全生命周期中的保密数据进行全面管控,防止保密数据的泄露,从而形成一个闭环数据安全防护体系,有效的防止数据泄露、数据篡改等风险,提高数据的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本发明实施例一中的一种数据处理方法的流程图;
图2是本发明实施例二中的一种数据处理方法的流程图;
图3A-3C是本发明实施例三中的数据处理方法的流程图;
图4是本发明实施例四中的一种数据处理装置的结构示意图;
图5是本发明实施例五中的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例一
图1是本发明实施例一提供的一种数据处理方法的流程图,本实施例适用于对获取的原始数据进行处理的情况。尤其适用于从高并发分布式系统获取原始数据进行保密数据标记以及向外部设备传输的情况。该方法可以由本发明实施例的数据处理装置或电子设备执行,该数据处理装置可采用软件和/或硬件的方式实现。如图1所示,该方法具体包括如下步骤:
S101,对获取的原始数据进行保密数据标记处理,得到存储数据。
其中,原始数据可以是指数据处理装置本地系统或外部系统产生的,需要进行存储或提供给外部设备的数据。优选的,本发明实施例的原始数据可以是从高并发分布式存数据系统中获取的数据。保密数据可以是指原始数据中包含的具有隐私信息的数据,例如,可以包括用户的身份信息、系统的私密数据信息以及其他不便于公开的数据信息等。可选的,该原始数据可以是结构化数据也可以是非结构化数据。
可选的,由于原始数据中包含的数据不但有保密数据,还有一般的非保密数据,所以本步骤在对获取的原始数据进行保密数据标记处理时,需要先从获取的原始数据中找到保密数据,然后才可以对保密数据进行标记处理,具体的可以包括如下三个子步骤:
S1011,基于保密信息规则,从获取的原始数据中提取保密数据。
其中,保密信息规则可以是预先设置好的记录保密数据判断方法的规则。该保密信息规则可以是针对各种类型的保密数据设置一个总的保密信息规则,可以是为每种类型的保密数据设置一个对应的保密信息规则。具体的规则内容本实施例不进行限定。例如,可以是通过数据字段内容来判断一个数据是否为保密数据。具体的,本子步骤可以是自动扫描原始数据,针对每一个原始数据,都采用预先设置好的保密信息规则来判断该原始数据是否满足保密信息规则对应的保密数据的判断要求,若满足,则说明该原始数据为保密数据,否则说明该原始数据为非保密数据。这样设置的好处在于,可以高效且全面的从原始数据中提取到保密数据。
S1012,对提取的保密数据进行保密标记。
具体的,本子步骤对S1011提取的保密数据进行保密标记的方法有很多,对此本实施例不进行限定。例如,可以是在保密数据的数据属性信息中添加保密标识符;还可以是采用水印标记的方式对保密数据进行保密标记;也可以是采用数据隐加密的方式对保密数据进行保密标记等等。本发明实施例为保密数据添加保密标记的好处在于,便于根据为保密数据添加的保密标记,从大量数据中快速准确的跟踪以及识别保密数据。可选的,当S1011提取的保密数据较多时,为了提高保密标记效率,本子步骤可以是由多个标记进程并发执行对保密数据进行保密标记。具体的,可以是按照数据的多维特征和/或逻辑关联进行保密标记。其中,按照多维特征对保密数据进行保密标记时,可以是向为多个标记进程均分配至少一个保密数据,后续哪个标记进程处理完对分配的保密数据的保密标记,就继续为哪个进程分配待标记的保密数据;按照逻辑关联对保密数据进行保密标记时,可以是基于各标记进程之间相互客观存在的处理优先级,先为优先级高的标记进程分配待标记的保密数据。
S1013,将标记后的保密数据和原始数据中的非保密数据作为存储数据。
具体的,在对所有保密数据都标记完成后,本子步骤可以是将S1012标记后的保密数据以及原始数据中剩余的非保密数据一并作为存储数据。
可选的,本步骤在得到存储数据后,可以执行对该存储数据的存储操作。具体的,本实施例可以是直接将存储数据存储在对应的存储空间。可选的,当存储数据的数据量较多时,本实施例可以是对存储数据按照一定的规则(例如,按照业务类型、数据类型等)分类后再存储到对应的存储空间。可选的,为了保证存储数据的安全性,本实施例还可以是对存储数据进行加密处理后直接存储或分类存储在对应的存储空间。其中,所述存储空间可以是数据库、应用服务器、大数据存储器、云存储器等。需要说明的是,本实施例如何对存储数据进行加密、对数据进行分类存储的过程将在后续实施例进行详细介绍。
S102,当检测到数据传输事件时,启动安全模式传输数据传输事件对应的存储数据。
其中,数据传输事件可是触发传输存储数据的事件。可选的,本实施例检测到数据传输事件可以是指检测到任何需要将系统内的存储数据向外部设备传输时触发的事件。具体的,可以包括但不限于:接收到外部设备发送的与传输系统内的存储数据相关的数据请求,例如,可以包括:数据获取请求、远程访问请求、数据库访问请求等。还可以是检测到有外部设备(如U盘、光盘、打印机等)连接到本地或本地数据传输模块(如邮箱模块、截屏模块等)启动。安全模式可以是指保证数据传输过程中,保密数据不被篡改或窃取的数据传输模式,该安全模式可以包括但不限于以下三种:第一种、传输数据传输事件对应的存储数据,并在传输过程中检测是否存在保密数据,若存在,则阻断所述存储数据的传输;第二种、对所述数据传输事件对应的存储数据进行保密预处理后传输;第三种、对数据请求方进行身份验证后传输所述数据传输事件对应的存储数据。具体的,如何采用上述介绍的三种安全模式传输检测到的数据传输事件对应的存储数据的方法将在后续实施例进行详细介绍,在此不进行赘述。
可选的,在检测到数据传输事件时,可以是启动上述介绍的三种安全模式中的任意一种,来响应该数据传输事件,执行对应的存储数据的传输操作。具体采用哪种方式可以是根据实际需求进行确定,对此本实施例不进行限定。可以是不同的传输事件对应不同的安全模式,还可以是不同的数据请求方对应不同的安全模式;还可以是不同的类型的传输数据对应不同的安全模式等。
可选的,本发明实施例的方案还可以对数据处理过程进行分析,确定出容易出现安全隐患的特殊处理环节,并对特殊处理环节进行监控,从而有利于进一步发现数据处理过程中的安全隐患。优选的,存储数据的数据库是需要着重关注保护的区域,因此本发明实施例为了防止数据库账户密码因传播导致的安全隐患,可以是为数据库账户设置复杂的密码,以及定期更换密码,全面加强数据库准入安全。还可以在检测到某一数据库账户首次登录、使用非常用互联网协议(Internet Protocol,IP)地址登录或该账户距离上次登录间隔时长超过预设时长,则向后台系统或相关管理人员发送风险警告,在接收到后台系统或相关管理人员返回的确定执行消息后,再完成该数据库账户的登录。这样设置的好处在于,可以第一时间发现潜在的数据库入侵行为,保证了数据库的数据安全。
可选的,在有些情况下,安全数据是需要在安全模式下传输给外部设备的,此时安全数据在网络中传输时,可能会面临被攻击、窃听或身份伪造等安全威胁,此时为了保证安全数据在网络中传输的安全性。本发明实施例可以是采用专线进行数据传输。具体的,可以是为系统内部的数据传输设置第一专线,采用第一网络进行第一专线的数据传输。为系统向外部的数据传输设置第二专线,采用第二网络进行第二专线的数据传输。例如,系统内部的数据中心与系统内部的第一业务系统和第二业务系统之间可以采用第一专线和内部专用网络进行数据传输;而系统内部的数据中心与外部的第三方设备进行数据传输时,可以采用第二专线,通过虚拟专用网络(Virtual Private Network,VPN)或全球广域网(WorldWide Web,WEB)进行访问。
需要说明的是,本发明实施例的数据传输包括但不限于:常规的将数据传输给外部设备,还包括将数据分享给外部设备,以及在将数据传输或分享给外部设备前的数据隔离。且本发明实施例的数据处理方法可适用于任何数据存储及传输系统,尤其适用于高并发分布式存储数据的安全沙箱防护系统。可以保证在高并发分布式系统下也可以很好的保证数据的安全性和可靠性。
本发明实施例提供的数据处理方法,通过对获取的原始数据进行保密数据的标记后得到存储数据,实现了将获取数据的处理存储阶段落地到保密数据标记的防护措施中。在检测到数据传输事件时,启动安全模式传输对应的存储数据,实现了将存储数据的传输阶段落地到安全传输的防护措施中,实现对数据全生命周期中的保密数据进行全面管控,防止保密数据的泄露,从而形成一个闭环数据安全防护体系,有效的防止数据泄露、数据篡改等风险,提高数据的安全性和可靠性。
可选的,为了保证保密数据的完整性和可追溯性,本发明实施例可以是在启动安全模式传输所述数据传输事件对应的存储数据时,记录传输的存储数据的数据标识和传输起止时间。具体的,存储数据的数据标识可以是为该存储数据生成的唯一性标识,例如,可以是该存储数据的电子标签。该电子标签可以是基于公钥基础设施(Public KeyInfrastructure,PKI)和消息摘要技术生成。可选的,每个存储数据的数据标识可以是预先生成,并记录在数据的属性信息中。存储数据的传输起止时间中的起始时间可以是响应启动传输该存储数据的时间,终止时间可以是该存储数据传输完成的时间。需要说明的是,当前传输的存储数据的终止时间为下一传输的存储数据的起始时间。本发明实施例在启动安全模式传输存储数据时,从存储数据的属性信息中获取该存储数据的数据标识,然后根据传输该存储数据的开始和结束时刻,记录该存储数据的传输起止时间。这样设置的好处在于,通过存储数据的数据标识和该存储数据传输起止时间,能够保障数据本身的完整性,且后续可以根据记录的存储数据的数据标识和传输起止时间来对本次发送的数据进行追溯查询,提高了相关业务操作的抗抵赖。
可选的,为了进一步提高数据的安全性,本发明实施例还可以在启动安全模式传输数据传输事件对应的存储数据之后,还包括:若检测到存储数据传输完成,则删除传输过程中缓存的存储数据。具体的,本发明实施例在传输存储数据时,需要实时检测本次存储数据是否传输完成,若传输完成,则对本次数据传输过程中,在对应缓存区中缓存的存储数据进行删除,防止因缓存区中的数据被泄露或窃取导致保密数据被泄露或窃取的风险。例如,若本次数据传输是通过邮箱发送邮件将存储数据发送给外部设备,则在邮箱邮件发送成功后,将邮箱中的发送记录进行删除。其中,检测本次存储数据是否传输完成的方法可以包括但不限于:检测到本地传输模块停止工作;还可以是接收到数据请求方针对本次数据传输发送的回执消息。可选的,为了进一步提高数据的安全性,可以是在删除传输过程中缓存的存储数据后,再进行一次保密数据检测操作,确认缓存中是否还有遗漏的保密数据没有被删除。从而彻底消除数据传输过程带来的安全隐患。提高数据的安全性和可靠性。
实施例二
图2是本发明实施例二中的一种数据处理方法的流程图,本实施例以上述实施例为基础,进行了进一步的优化,增加了对存储数据进行存储的具体情况介绍。如图2所示,本实施例的方法具体包括如下步骤:
S201,对获取的原始数据进行保密数据标记处理,得到存储数据。
S202,对存储数据进行加密处理。
可选的,为了防止以明文的形式存储数据导致数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取、及绕开合法应用系统直接访问数据库等问题。本发明实施例可以对得到的存储数据进行加密处理。具体的,对存储数据进行加密的手段有很多,对此本实施例不进行限定。可以包括但不限于:透明加解密、动态加解密、细粒度加密控制、密文索引加密以及加密算法与密钥加密等等。
可选的,透明加密算法不需要太多的额外管理,主要体现在以下两个方面:第一方面,应用程序透明,不需要对应用程序做任何改造;第二方面,加解密透明,对于具备密文访问权限的用户自动进行加解密,对于缺乏密文访问权限的用户拒绝访问。动态加解密对存储在数据库中的数据进行实时灵活的自动化动态加密解密,不需要人为干涉,完全实现对数据的安全存储、安全使用,防止信息泄密。这样既节省用户时间,也达到了保护文件的目的。只要用户有对加密数据的操作,那么加密数据就会被自动加密或是解密,用户感觉不到加解密过程的存在。细粒度加密控制中,数据库加密级别可灵活配置为整库加密、表加密、行加密、列加密、基于特定条件加密等多种方式。用户可以根据实际需求灵活选择加密方式,系统在数据的安全性与数据库性能之间找到最佳平衡点,在保证保密数据安全的同时,最大程度的保证了数据库的性能。密文索引中,数据加密后明文索引将失去作用,导致即使只查询一条数据也需要将所有数据进行一次解密,这无疑增加了查询的时间。系统采用密文索引,使查询操作可以不必对所有数据进行解密即可以查询到相应数据,大大提高密文查询速度。加密算法与密钥技术中,可灵活选择三重数据加密算法、高级加密标准(Advanced Encryption Standard,AES)、非对称加密算法等。系统采用多级密钥技术。每一个字段拥有不同的、独立的、唯一的列密钥,对字段进行加密解密控制。所有的列密钥是由主密钥生成,控制列密钥的加密解密。主密钥存放在硬件中,保证不会被窃取和破坏,列密钥存放在被加密的数据库当中。通过双重密钥技术保证加密数据不会被破解,增加安全性。
S203,将加密处理后的存储数据进行分类存储。
可选的,本步骤可以是先对加密处理后的存储数据进行分类,然后将分类后的数据进行存储。具体的,本步骤在对加密后的存储数据进行分类时,可以是按照业务类型进行分类。例如,若当前系统有三个主要业务,也可以是将加密处理后的存储数据按照其所属业务类型进行分类。还可以是按照数据类型进行分类,如将用户身份信息的数据分为一类;将系统文件数据分类一类等。还可以按照其他规则进行分类,在此不进行限定。
具体的,当加密处理后的存储数据较多时,为了提高分类效率,本步骤可以是由多个分类进程并发执行对加密处理后的存储数据的分类操作。如可以按照数据的多维特征和/或逻辑关联对加密后的存储数据进行分类。具体的如何按照数据的多维特征和/或逻辑关联对加密后的存储数据进行分类的过程与对上述介绍的按照数据的多维特征和/或逻辑关联对保密数据进行保密标记的过程类似,在此不进行赘述。
可选的,本发明实施例在对加密且分类后的存储数据进行存储时,可以是将存储数据存储在数据库、应用服务器、大数据存储器、云存储器等位置处。为了确保保密数据存储合规性,防止数据被篡改或泄露,可以实时对存储的数据进行监控。具体的,可以是将存储数据存储在网络数据泄露防护(DataLeakage(Loss)Prevention,DLP)网关上,所述网络DLP网关主要用于旁路(或串联)安装在网络出口处,通过简单邮件传输协议(Simple MailTransfer Protocol,SMTP)和交互邮件访问协议(Interactive Mail Access Protocol,IMAP)监听电子邮件;通过超文本传输协议(Hyper Text Transfer Protocol,HTTP)监听全球广域网;通过文件传输协议(File Transfer Protocol,FTP协议)监听文件传输;通过微软和英特尔制定的协议(Server Message Block,SMB协议)监听网络共享传输,监控网络数据,识别保密数据形成风险事件并上传至系统,对数据泄露操作实施阻断,从而有利于保障数据存储安全。
可选的,本发明实施例对加密后的存储数据进行分类时,为了阻止不同类别之间的存储数据共享,可以是为分类后的不同类别的存储数据采取不同的防范措施,例如,可以是为不同类别的存储数据设置防火墙,从而提高系统整体安全防护能力和数据的安全。
S204,当检测到数据传输事件时,启动安全模式传输数据传输事件对应的存储数据。
本发明实施例提供的数据处理方法,通过对获取的原始数据进行保密数据的标记后得到存储数据,对得到的存储数据进行加密处理后分类进行存储,加密后的存储数据更好的保证了数据的安全性。在检测到数据传输事件时,启动安全模式传输对应的存储数据,实现对数据全生命周期中的保密数据进行全面管控,防止保密数据的泄露,从而形成一个闭环数据安全防护体系,有效的防止数据泄露、数据篡改等风险,提高数据的安全性和可靠性。
实施例三
图3A-3C是本发明实施例三中的数据处理方法的流程图,本实施例以上述实施例为基础,进行了进一步的优化,给出了如何启动安全模式传输所述传输事件对应的存储数据的三种情况介绍。
可选的,图3A给出的情况对应的安全模式为:传输数据传输事件对应的存储数据,并在传输过程中检测是否存在保密数据,若存在,则阻断所述存储数据的传输。具体的,如图3A所示,该情况对应的数据处理方法具体包括如下步骤:
S301,对获取的原始数据进行保密数据标记处理,得到存储数据。
S302,当检测到数据传输事件时,传输该数据传输事件对应的存储数据。
可选的,本情况在接收到外部设备发送的与数据传输相关的数据请求,或检测到有外部设备连接或本地数据传输模块启动等数据传输事件时,正常启动数据传输模块进行该数据传输事件对应存储数据的传输操作。该过程与现有技术检测到数据传输事件后进行数据传输过程类似,在此不进行赘述。
S303,在存储数据传输过程中检测是否存在保密数据,若否,则继续执行S303,若是,则执行S304。
可选的,本情况在响应数据传输事件进行存储数据传输的过程中,与现有技术不同的是,本情况需要实时检测当前的数据传输过程中是否向外部设备传输保密数据,如果传输保密数据,就执行S304,阻断当前执行的存储数据的传输操作,从而实现对保密数据的保护。如果没有传输保密数据,就继续正常进行数据的传输,并继续执行本步骤检测存储数据传输过程中是否向外部设备传输保密数据。
可选的,本步骤从传输的存储数据中检测是否存在保密数据时,由于S301已经对保密数据进行了保密标记,所以此时可以是识别传输的存储数据中存在保密标记的存储数据作为保密数据。例如,可以是识别传输的存储数据中是否包含水印标记,将存在水印标记的存储数据作为保密数据。具体的,可以是将保密数据标记识别算法嵌入到系统内的设备中,例如可以包括网关设备和各类检查工具中。
S304,阻断存储数据的传输。
可选的,图3B给出的情况对应的安全模式为:对所述数据传输事件对应的存储数据进行保密预处理后传输。具体的,如图3B所示,该情况下对应的数据处理方法具体包括如下步骤:
S305,对获取的原始数据进行保密数据标记处理,得到存储数据。
S306,当检测到数据传输事件时,对数据传输事件对应的存储数据进行保密预处理后传输。
其中,保密预处理可以是指对保密数据进行处理,使得处理后的保密数据中的保密信息被模糊化或隐藏化。可选的,可以是对保密的敏感数据进行脱敏处理的过程。例如,若保密数据为姓名、手机号、身份证号码等个人隐私数据,此时对个人隐私数据进行保密预处理可以是将姓名、手机号、身份证号码中的全部字符或部分字符用星号表示,从而隐藏了具体的个人隐私数据。可选的,本步骤对存储数据中保密数据执行保密预处理时,可以是执行本发明实施例的数据处理装置本身就具备执行保密预处理的功能,还可以该数据处理装置中嵌入专门的保密预处理技术的相关工具。通过保密预处理操作实现对数值和文本类型的数据进行保密信息隐藏。可选的,本步骤支持多种保密预处理方式,例如可以包括但不限于:不可逆加密、区间随机、掩码替换等。
可选的,本情况在接收到外部设备发送的与数据传输相关的数据请求,或检测到有外部设备连接或本地数据传输模块启动等数据传输事件时,先根据检测到的数据传输事件,确定本次需要传输的存储数据,然后对确定出的本次需要传输的存储数据进行保密数据检测,其中具体的检测方法上述过程已经介绍,在此不进行赘述。在检测出保密数据后,对本次需要传输的存储数据中的保密数据进行保密预处理操作,隐藏或模糊保密数据中的保密信息,然后在启动相关的数据传输模块将保密预处理后的存储数据(其中包括保密处理后的保密数据和未处理的非保密数据)传输给外部设备。
可选的,若外部设备接收到保密预处理后的存储数据后,仍然想要获取保密数据,可以再次发送保密数据查询请求,此时数据处理装置在接收到该保密数据查询请求后,可以对数据请求方的身份(即外部设备的设备信息以及操作该设备的用户身份信息)进行验证来确定是否向其发送未经保密预处理的保密数据。具体的,本情况对数据请求方的身份进行验证的方法与下一情况对数据请求方身份进行验证的方法类似,具体过程将在下一情况进行介绍。
可选的,图3C给出的情况对应的安全模式为:对数据请求方进行身份验证后传输所述数据传输事件对应的存储数据。具体的,如图3C所示,该情况对应的数据处理方法具体包括如下步骤:
S307,对获取的原始数据进行保密数据标记处理,得到存储数据。
S308,当检测到数据传输事件时,根据数据请求方信息和预设的应用服务权限,对数据请求方进行身份验证。
其中,数据请求方信息可以是请求获取存储数据的请求方的用户身份信息和设备信息,用户身份信息可以是用户的账号、手机号、邮箱等;设备信息可以是用户使用设备的唯一性标识。应用服务权限可以是系统预先规定的第三方外接应用设备对应的服务权限,例如,应用服务权限中规定了每一类别的存储数据允许访问的请求方信息,如允许访问的用户身份信息和用户接收存储数据的设备信息。
可选的,本实施例在数据传输阶段,建立了完整的身份鉴权规则有利于形成信息安全防御,该鉴权规则位于鉴权机制架构上。具体地,鉴权机制架构设置在系统内各设备与外部第三方设备之间的数据安全网关上,控制各设备间的相互访问。可选的,本步骤检测到的数据传输事件是指接收到外部设备发送的与数据传输相关的数据请求。通常情况下,数据请求中包含有数据请求方的信息,所以本情况可以在接收到与数据传输相关的数据请求后,从数据请求中获取请求方信息,然后调用预设的应用服务权限,判断请求方信息是否为待请求数据所允许访问的请求方。例如,判断请求方信息是否与应用服务权限中规定的待请求数据的允许请求方信息匹配。
S309,根据身份验证结果,确定数据传输事件对应的传输响应方式。
其中,传输响应方式包括:直接传输、筛选处理后传输、保密预处理后传输、加密后传输和阻断传输中的至少一个。
可选的,S308对数据请求方进行身份验证的结果可以包括:身份验证通过,和身份验证不通过。若身份验证通过,则根据本次待请求的存储数据的安全级别类别,按预先规定的安全级别类别和传输响应方式的对应关系,确定传输事件对应的传输响应方式,若身份验证不通过,则确定传输事件对应的传输响应方式为阻断传输。
S310,基于传输响应方式传输数据传输事件对应的存储数据。
可选的,若S309确定的传输响应方式为直接传输,则本步骤可以是直接获取数据请求对应的存储数据传输给数据请求方。若S309确定的传输响应方式为筛选处理后传输,则本步骤可以是对获取的数据请求对应的存储数据进行筛选(例如,去除保密数据)后传输给数据请求方。若S309确定的传输响应方式为保密预处理后传输,则本步骤可以是对获取的数据请求对应的存储数据进行保密预处理操作后传输给数据请求方。若S309确定的传输响应方式为加密后传输,则本步骤可以是对获取的数据请求对应的存储数据进行加密处理后传输给数据请求方。若S309确定的传输响应方式为阻断传输,则本步骤可以是直接拒绝本次数据传输操作,并向数据请求方返回阻断传输消息。
需要说明的是,本情况在进行身份验证时,从数据请求人员、请求设备、以及访问数据安全级别等多维度进行精确权限控制,进一步的保证了数据传输过程中的安全性。
本发明实施例提供的数据处理方法,给出了三种不同的安全模式下对应的存储数据传输方法,三种方法都可以很好的防止保密数据的泄露,有效的防止数据泄露、数据篡改等风险,提高数据的安全性和可靠性。为数据保密传输提供了新思路。
实施例四
图4为本发明实施例四提供的一种数据处理装置的结构示意图。该装置可执行本发明任意实施例所提供的数据处理方法,具备执行方法相应的功能模块和有益效果。如图4所示,该装置具体包括:
数据标记模块401,用于对获取的原始数据进行保密数据标记处理,得到存储数据;
数据传输模块402,用于当检测到数据传输事件时,启动安全模式传输所述数据传输事件对应的存储数据。
本发明实施例提供的数据处理装置,通过对获取的原始数据进行保密数据的标记后得到存储数据,实现了将获取数据的处理存储阶段落地到保密数据标记的防护措施中。在检测到数据传输事件时,启动安全模式传输对应的存储数据,实现了将存储数据的传输阶段落地到安全传输的防护措施中,实现对数据全生命周期中的保密数据进行全面管控,防止保密数据的泄露,从而形成一个闭环数据安全防护体系,有效的防止数据泄露、数据篡改等风险,提高数据的安全性和可靠性。
进一步的,所述数据标记模块401具体用于:
基于保密信息规则,从获取的原始数据中提取保密数据;
对提取的所述保密数据进行保密标记;
将标记后的保密数据和原始数据中的非保密数据作为存储数据。
进一步的,所述装置还包括:
加密处理模块,用于对所述存储数据进行加密处理;
分类存储模块,用于将加密处理后的存储数据进行分类存储。
进一步的,所述数据传输模块402具体用于执行以下任意一种操作:
传输数据传输事件对应的存储数据,并在传输过程中检测是否存在保密数据,若存在,则阻断所述存储数据的传输;
对所述数据传输事件对应的存储数据进行保密预处理后传输;
对数据请求方进行身份验证后传输所述数据传输事件对应的存储数据。
进一步的,所述数据传输模块402执行对数据请求方进行身份验证后传输所述数据传输事件对应的存储数据时,具体用于:
根据数据请求方信息和预设的应用服务权限,对数据请求方进行身份验证;
根据身份验证结果,确定所述数据传输事件对应的传输响应方式;
基于所述传输响应方式传输所述数据传输事件对应的存储数据;
其中,所述传输响应方式包括:直接传输、筛选处理后传输、保密预处理后传输、加密后传输和阻断传输中的至少一个。
进一步的,所述装置还包括:
标识及时间记录模块,用于在启动安全模式传输所述数据传输事件对应的存储数据时,记录传输的存储数据的数据标识和传输起止时间。
进一步的,所述装置还包括:
数据删除模块,用于若检测到存储数据传输完成,则删除传输过程中缓存的存储数据。
实施例五
图5为本发明实施例五提供的一种电子设备的结构示意图。图5示出了适于用来实现本发明实施方式的示例性电子设备50的框图。图5显示的电子设备50仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。如图5所示,该电子设备50以通用计算设备的形式表现。该电子设备50的组件可以包括但不限于:一个或者多个处理器501,存储装置502,连接不同系统组件(包括系统存储装置502和处理器501)的总线503。
总线503表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备50典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备50访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储装置502可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)504和/或高速缓存存储器505。电子设备50可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统506可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线503相连。存储装置502可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块507的程序/实用工具508,可以存储在例如存储装置502中,这样的程序模块507包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块507通常执行本发明所描述的实施例中的功能和/或方法。
电子设备50也可以与一个或多个外部设备509(例如键盘、指向设备、显示器510等)通信,还可与一个或者多个使得用户能与该设备交互的设备通信,和/或与使得该电子设备50能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口511进行。并且,电子设备50还可以通过网络适配器512与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图5所示,网络适配器512通过总线503与电子设备50的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备50使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器501通过运行存储在存储装置502中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的数据处理方法。
实施例六
本发明实施例六还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可实现上述实施例所述的数据处理方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于:电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
上述实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员应该明白,上述的本发明实施例的各模块或各操作可以用通用的计算装置来实现,它们可以集中在单个计算装置上,或者分布在多个计算装置所组成的网络上,可选的,他们可以用计算机装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或操作制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件的结合。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间的相同或相似的部分互相参见即可。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种数据处理方法,其特征在于,包括:
对获取的原始数据进行保密数据标记处理,得到存储数据;
当检测到数据传输事件时,启动安全模式传输所述数据传输事件对应的存储数据。
2.根据权利要求1所述的方法,其特征在于,对获取的原始数据进行保密数据标记处理,得到存储数据,包括:
基于保密信息规则,从获取的原始数据中提取保密数据;
对提取的所述保密数据进行保密标记;
将标记后的保密数据和原始数据中的非保密数据作为存储数据。
3.根据权利要求1所述的方法,其特征在于,对获取的原始数据进行保密数据标记处理,得到存储数据之后,还包括:
对所述存储数据进行加密处理;
将加密处理后的存储数据进行分类存储。
4.根据权利要求1所述的方法,其特征在于,启动安全模式传输所述数据传输事件对应的存储数据,包括以下任意一种:
传输数据传输事件对应的存储数据,并在传输过程中检测是否存在保密数据,若存在,则阻断所述存储数据的传输;
对所述数据传输事件对应的存储数据进行保密预处理后传输;
对数据请求方进行身份验证后传输所述数据传输事件对应的存储数据。
5.根据权利要求4所述的方法,其特征在于,对数据请求方进行身份验证后传输所述数据传输事件对应的存储数据,包括:
根据数据请求方信息和预设的应用服务权限,对数据请求方进行身份验证;
根据身份验证结果,确定所述数据传输事件对应的传输响应方式;
基于所述传输响应方式传输所述数据传输事件对应的存储数据;
其中,所述传输响应方式包括:直接传输、筛选处理后传输、保密预处理后传输、加密后传输和阻断传输中的至少一个。
6.根据权利要求1所述的方法,其特征在于,在启动安全模式传输所述数据传输事件对应的存储数据时,还包括:
记录传输的存储数据的数据标识和传输起止时间。
7.根据权利要求1所述的方法,其特征在于,在启动安全模式传输所述数据传输事件对应的存储数据之后,还包括:
若检测到存储数据传输完成,则删除传输过程中缓存的存储数据。
8.一种数据处理装置,其特征在于,包括:
数据标记模块,用于对获取的原始数据进行保密数据标记处理,得到存储数据;
数据传输模块,用于当检测到数据传输事件时,启动安全模式传输所述数据传输事件对应的存储数据。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的数据处理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的数据处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911272695.8A CN111046405B (zh) | 2019-12-12 | 2019-12-12 | 一种数据处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911272695.8A CN111046405B (zh) | 2019-12-12 | 2019-12-12 | 一种数据处理方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111046405A true CN111046405A (zh) | 2020-04-21 |
CN111046405B CN111046405B (zh) | 2023-07-07 |
Family
ID=70236019
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911272695.8A Active CN111046405B (zh) | 2019-12-12 | 2019-12-12 | 一种数据处理方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111046405B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111639355A (zh) * | 2020-06-02 | 2020-09-08 | 南方电网科学研究院有限责任公司 | 一种数据安全管理方法和系统 |
CN116070205A (zh) * | 2023-03-07 | 2023-05-05 | 北京和升达信息安全技术有限公司 | 一种数据清除方法、装置、电子设备及存储介质 |
CN116248406A (zh) * | 2023-03-08 | 2023-06-09 | 深圳市亿特宝科技有限公司 | 信息安全存储方法及其信息安全设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106612247A (zh) * | 2015-10-21 | 2017-05-03 | 中兴通讯股份有限公司 | 一种数据处理方法及存储网关 |
CN107623679A (zh) * | 2017-08-16 | 2018-01-23 | 北京奇安信科技有限公司 | 一种数据标记化处理方法及装置 |
US20190130123A1 (en) * | 2017-10-30 | 2019-05-02 | International Business Machines Corporation | Monitoring and preventing unauthorized data access |
CN109977690A (zh) * | 2017-12-28 | 2019-07-05 | 中国移动通信集团陕西有限公司 | 一种数据处理方法、装置和介质 |
CN110049021A (zh) * | 2019-03-27 | 2019-07-23 | 中国电力科学研究院有限公司 | 信息系统数据安全防护方法及系统 |
CN110519309A (zh) * | 2019-10-15 | 2019-11-29 | 中国建设银行股份有限公司 | 数据传输方法、装置、终端、服务器及存储介质 |
-
2019
- 2019-12-12 CN CN201911272695.8A patent/CN111046405B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106612247A (zh) * | 2015-10-21 | 2017-05-03 | 中兴通讯股份有限公司 | 一种数据处理方法及存储网关 |
CN107623679A (zh) * | 2017-08-16 | 2018-01-23 | 北京奇安信科技有限公司 | 一种数据标记化处理方法及装置 |
US20190130123A1 (en) * | 2017-10-30 | 2019-05-02 | International Business Machines Corporation | Monitoring and preventing unauthorized data access |
CN109977690A (zh) * | 2017-12-28 | 2019-07-05 | 中国移动通信集团陕西有限公司 | 一种数据处理方法、装置和介质 |
CN110049021A (zh) * | 2019-03-27 | 2019-07-23 | 中国电力科学研究院有限公司 | 信息系统数据安全防护方法及系统 |
CN110519309A (zh) * | 2019-10-15 | 2019-11-29 | 中国建设银行股份有限公司 | 数据传输方法、装置、终端、服务器及存储介质 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111639355A (zh) * | 2020-06-02 | 2020-09-08 | 南方电网科学研究院有限责任公司 | 一种数据安全管理方法和系统 |
CN111639355B (zh) * | 2020-06-02 | 2023-06-13 | 南方电网科学研究院有限责任公司 | 一种数据安全管理方法和系统 |
CN116070205A (zh) * | 2023-03-07 | 2023-05-05 | 北京和升达信息安全技术有限公司 | 一种数据清除方法、装置、电子设备及存储介质 |
CN116248406A (zh) * | 2023-03-08 | 2023-06-09 | 深圳市亿特宝科技有限公司 | 信息安全存储方法及其信息安全设备 |
CN116248406B (zh) * | 2023-03-08 | 2023-09-01 | 深圳市亿特宝科技有限公司 | 信息安全存储方法及其信息安全设备 |
Also Published As
Publication number | Publication date |
---|---|
CN111046405B (zh) | 2023-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10375116B2 (en) | System and method to provide server control for access to mobile client data | |
US8245042B2 (en) | Shielding a sensitive file | |
US8141159B2 (en) | Method and system for protecting confidential information | |
CN101512490B (zh) | 在网络化环境中保护数据安全 | |
AU2008341026C1 (en) | System and method for securing data | |
CN107563213B (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
US9917817B1 (en) | Selective encryption of outgoing data | |
CN111046405B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
US11693981B2 (en) | Methods and systems for data self-protection | |
CN105740725A (zh) | 一种文件保护方法与系统 | |
WO2020186457A1 (zh) | 网络摄像机的认证方法和装置 | |
CN109936555A (zh) | 一种基于云平台的数据存储方法、装置及系统 | |
KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
KR20150073567A (ko) | 보안영역을 포함하는 단말을 이용한 보안문자 송수신 방법 | |
Raisian et al. | Security issues model on cloud computing: A case of Malaysia | |
CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
CN106130968A (zh) | 一种身份认证方法、及系统 | |
CN105791233A (zh) | 一种防病毒扫描方法及装置 | |
KR102055888B1 (ko) | 정보 보호를 위한 파일 암복호화 방법 | |
KR20090048020A (ko) | 이동식 저장장치에 저장된 데이터의 임의복제 방지 방법 및이에 적합한 시스템 | |
CN113961970B (zh) | 跨网段网盘登录身份验证方法、装置、网盘及存储介质 | |
CN111695958A (zh) | 一种汽车租赁平台信息安全管理系统 | |
CN113557703B (zh) | 网络摄像机的认证方法和装置 | |
CN102467625A (zh) | 一种数据保护方法、装置及系统 | |
JP5361850B2 (ja) | アクセス管理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |