CN111291409B - 一种数据监控方法及装置 - Google Patents
一种数据监控方法及装置 Download PDFInfo
- Publication number
- CN111291409B CN111291409B CN202010079149.9A CN202010079149A CN111291409B CN 111291409 B CN111291409 B CN 111291409B CN 202010079149 A CN202010079149 A CN 202010079149A CN 111291409 B CN111291409 B CN 111291409B
- Authority
- CN
- China
- Prior art keywords
- data interaction
- current data
- interaction behavior
- behavior
- private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/283—Multi-dimensional databases or data warehouses, e.g. MOLAP or ROLAP
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本说明书公开了一种数据监控方法及装置,所述方法包括:针对监控到的任一当前数据交互行为,根据当前数据交互行为的属性,判断当前数据交互行为是否跨区域;若确定当前数据交互行为跨区域,则确定当前数据交互行为中的私有字段,并进一步确定该私有字段对应的保护策略;在利用模型构建的历史数据交互行为记录中,查找与所述当前数据交互行为相匹配的记录;匹配规则为:针对至少一个指定属性,当前数据交互行为的指定属性值与历史数据交互行为的指定属性值相同;根据所述查找到的记录和当前数据交互行为,判断是否触发执行该私有字段对应的保护策略。通过本方案可以保护跨区域交互的私有数据。
Description
技术领域
本说明书实施例涉及数据安全技术领域,尤其涉及一种数据监控方法及装置。
背景技术
在数据安全技术领域,对于跨区域的数据交互,往往对安全性有更高的要求,尤其需要保护私有数据。这里的“区域”既包括基于地理位置划分的区域,(例如不同国家、不同地区等),也包括基于逻辑划分的区域(例如不同企业、公网与专网等等)。其中,私有数据可以包括国家、企业或个人私有的数据等,例如个人隐私信息、国家机密或者企业机密。
以跨国数据交互为例,相关法律中,对于不同类型的私有数据,受到“发出方”所在地的数据保护条例、隐私法规的限制。因此,对于数据发送方而言,在数据库中进行私有数据交互时,不仅需要制订不同的保护策略,例如不允许跨区域下载数据等,并且需要相应的技术手段确保所制订的策略能够有效实施。
发明内容
为了准确针对交互的数据进行监控,本说明书提供了一种数据监控方法及装置。技术方案如下:
一种数据监控方法,针对具有监控需求的至少一个私有字段,为每个私有字段分别配置对应的保护策略,每条保护策略的触发条件与当前数据交互行为和历史数据交互行为相关,所述方法包括:
针对监控到的任一当前数据交互行为,根据当前数据交互行为的属性,判断当前数据交互行为是否跨区域;
若确定当前数据交互行为跨区域,则确定当前数据交互行为中的私有字段,并进一步确定该私有字段对应的保护策略;
在历史数据交互行为记录中,查找与所述当前数据交互行为相匹配的记录;匹配规则为:针对至少一个指定属性,当前数据交互行为的指定属性值与历史数据交互行为的指定属性值相同;
根据所述查找到的记录和当前数据交互行为,判断是否触发执行该私有字段对应的保护策略。
一种数据监控装置,针对具有监控需求的至少一个私有字段,为每个私有字段分别配置对应的保护策略,每条保护策略的触发条件与当前数据交互行为和历史数据交互行为相关,所述装置包括:
第一判断单元,用于针对监控到的任一当前数据交互行为,根据当前数据交互行为的属性,判断当前数据交互行为是否跨区域;
确定单元,用于若确定当前数据交互行为跨区域,则确定当前数据交互行为中的私有字段,并进一步确定该私有字段对应的保护策略;
查找单元,用于在历史数据交互行为记录中,查找与所述当前数据交互行为相匹配的记录;匹配规则为:针对至少一个指定属性,当前数据交互行为的指定属性值与历史数据交互行为的指定属性值相同;
第二判断单元,用于根据所述查找到的记录和当前数据交互行为,判断是否触发执行该私有字段对应的保护策略。
通过上述技术方案,针对任一当前数据交互行为,若确定当前数据交互行为跨区域,则确定其中的私有数据,并查找匹配的历史数据交互行为。根据当前数据交互行为和查找到的历史数据交互行为,判断是否触发对应的保护策略,从而能够准确针对跨区域的数据交互行为进行监控,以使私有数据的跨区域符合国家法律规定。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书实施例提供的一种数据监控方法的流程示意图;
图2是本说明书实施例提供的一种星型模型的原理示意图;
图3是本说明书实施例提供的一种数据监控方法的原理示意图;
图4是本说明书实施例提供的一种数据监控装置的结构示意图;
图5是用于配置本说明书实施例方法的一种设备的结构示意图。
具体实施方式
在数据安全技术领域,在进行数据交互时往往需要许多检测和保护措施,而对于跨区域的数据交互,往往对安全性有更高的要求,尤其需要保护私有数据。这里的“区域”既包括基于地理位置划分的区域,(例如不同国家、不同地区等),也包括基于逻辑划分的区域(例如不同企业、公网与专网等等)。其中,私有数据可以包括国家、企业或个人私有的数据等,例如个人隐私信息、国家机密或者企业机密等。私有数据可以和其他数据一同存储在数据库中,可以根据字段名区分私有数据和其他数据。例如根据字段名中的身份证号,可以确定其字段值都属于个人的私有数据。
为了实现保护跨区域数据交互行为中私有数据的安全,本说明书提供了一种数据监控方法,针对需要监控的数据交互行为,先判断该数据交互行为是否跨区域,若跨区域,则根据该数据交互行为中包含的私有数据,执行预设的私有数据对应的保护策略。例如,停止数据交互,或者记录数据交互的信息,或者仅阻止私有数据跨区域交互等等。这些保护策略用于保护私有数据的安全。
为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。
由于私有数据存在不同类型,针对不同类型的私有数据可以制订不同的保护策略。以跨国数据交互为例,相关法律中,对于不同类型的私有数据,受到“发出方”所在地的数据保护条例、隐私法规的限制。因此,对于数据发送方而言,在数据库中进行私有数据交互时,不仅需要制订不同的保护策略,例如不允许跨区域下载数据等,并且需要相应的技术手段确保所制订的策略能够有效实施。
具体而言,每种类型的私有数据可以对应有一个保护策略,例如对于身份证号,对应的保护策略可以是直接停止跨区域数据交互行为。保护策略可以是直接执行的,也可以是满足条件后触发执行的,例如对于电话号码,对应的保护策略可以是,如果同一发起者通过以前的数据交互得到的全部电话号码数据量大于或等于预设阈值,则触发执行保护策略,停止当前的跨区域数据交互行为。
由于保护策略的触发条件可以与历史数据交互行为关联起来,历史数据交互行为需要保存下来。
这些触发条件是针对数据交互行为的属性,即数据交互行为的相关信息,数据交互主要有两种方式,一种是数据库之间的数据同步,另一种是利用SQL语句对数据库进行查询。因此,数据交互行为的属性可以包括数据同步的源表和目的表、数据同步的发起者、SQL语句查询的发起者、交互数据的字段名和字段值等等。这些数据交互行为的相关信息可以通过日志或其他信息渠道获取。
如图1所示,为本说明书实施例提供的一种数据监控方法的流程示意图,所述方法针对具有监控需求的至少一个私有字段,私有字段可以为预先设定的字段值包括私有数据的字段,为每个私有字段分别配置该私有字段包括的私有数据所对应的保护策略,其中每条保护策略的触发条件与当前数据交互行为和历史数据交互行为相关。
私有字段可以是被预先设定的,例如,字段名为电话号码的字段可以被预先设定为包含了“私人电话号码”类型私有数据的私有字段,可以为该字段配置对应于“私人电话号码”的保护策略,例如,限制单次数据交互的数据量。还可以预先设定一张私有字段表,至少记录私有字段名、是否需要监控、配置的保护策略和该保护策略的触发条件。该私有字段表可以用于确定数据交互行为中包含的具有监控需求的私有字段。
而确定一个私有字段是否具有监控需求可以取决于预先设定。例如可以针对字段名为电话号码的私有字段设置监控需求,而针对字段名为姓名的私有字段不设置监控需求。
所述方法可以包括以下步骤:
S101:针对监控到的任一当前数据交互行为,根据当前数据交互行为的属性,判断当前数据交互行为是否跨区域。
其中,数据交互行为可以是表同步行为,表同步行为可以是将源表的数据更新发送到目的表,以使源表和目的表的数据保持一致。因此,所述当前数据交互行为的属性中可以包括源表的归属区域和目的表的归属区域。若当前数据交互行为的属性中源表和目的表归属于不同区域,则确定当前数据交互行为跨区域;若归属于同一区域,则确定当前数据交互行为没有跨区域。
数据交互行为还可以是数据库查询行为,数据库查询行为可以是发起者向数据库发送SQL查询语句,从而获取查询到的数据。因此,当前数据交互行为的属性中可以包括数据库的归属区域和发起者的归属区域。若当前数据交互行为的属性中的发起者和数据库归属于不同区域,则确定当前数据交互行为跨区域;若归属于同一区域,则确定当前数据交互行为没有跨区域。
S102:若确定当前数据交互行为跨区域,则确定当前数据交互行为中的私有字段,并进一步确定该私有字段对应的保护策略。
其中,当前数据交互行为的属性中可以包括交互数据的每个字段名和对应的至少一个字段值。在确定私有字段时,可以根据字段名判断私有字段,也可以根据预设的私有字段表直接确定私有字段。预设的私有字段表记录了数据库中所有包含私有数据的字段名。利用私有字段表可以进一步针对包含私有数据,但仅通过字段名无法确定的私有字段,例如包含了隐私信息的备注字段。
在私有字段与保护策略的对应关系中,一个私有字段可以对应一个保护策略,多个私有字段可以对应同一个保护策略。保护策略可以包括停止当前数据交互行为、记录当前数据交互行为的信息、拦截私有字段中的私有数据、发起警告等等。
在当前数据交互行为的属性中,可能确定没有私有字段,则不执行保护策略;也可能只有一个私有字段,则执行对应的一个保护策略;也可能确定多个私有字段,但都对应一个保护策略,则执行该保护策略;也可能确定多个私有字段,对应不止一个保护策略,则可以只执行优先级较高的保护策略,也可以执行确定的每个保护策略;也可以只执行影响较大的保护策略,例如停止当前数据交互行为。
S103:在历史数据交互行为记录中,查找与所述当前数据交互行为相匹配的记录。
匹配规则可以为:针对至少一个指定属性,当前数据交互行为的指定属性值与历史数据交互行为的指定属性值相同。
其中,指定属性可以是当前数据交互行为的发起者,也可以是部门,应用,等等。在历史数据交互行为记录中,可能针对同一属性,只建立一条记录,将同一属性值的数据交互行为都存储在同一条记录中,也可能针对每个数据交互行为都建立一条历史数据交互行为记录。
例如,针对同一个发起者只建立一条记录,对于后续同一发起者发起的任一数据交互行为的属性值都会写入这一条记录中。针对同一应用只建立一条记录,对于后续同一应用上的数据交互行为的属性值都会写入这一条记录。
由于历史数据交互行为记录可能动态存储同一属性值的多个数据交互行为,历史数据交互行为记录的存储模型可以是表格或键值对。由于属性值还可以用于判断是否触发执行保护策略,因此历史数据交互行为记录的存储模型还可以是星型模型,便于更快查询和根据属性值进行计算。
如图2所示,为本说明书实施例提供的一种星型模型的原理示意图,其中星型模型包括一个事实表和至少一个维表,所述事实表的主键包括每个维表的主键,每个所述维表只包含一个主键,所述维表的主键可以包括发起者属性、数据属性、时间属性等等。其中以发起者属性为主键的维表中,记录多个发起者;以数据属性为主键的维表中,记录了交互数据的字段名和字段值,其中可以包含历史数据交互行为的交互数据字段名和字段值。
当指定属性为发起者属性时,匹配规则可以为:针对发起者属性,当前数据交互行为的发起者属性值与历史数据交互行为的发起者属性值相同。具体而言,当历史数据交互行为是以星型模型存储时,可以在以发起者属性为主键的维表中查找对应的记录。
S104:根据所述查找到的记录和当前数据交互行为,判断是否触发执行该私有字段对应的保护策略。
S103中可能查找到一条或至少一条记录,可以根据当前数据交互行为和查找到的记录判断是否触发执行保护策略。或者也可能没有查找到相匹配的记录,即查找到0条记录,可以仅根据当前数据交互行为判断是否触发执行保护策略。
保护策略是在S102中确定的。其中每条保护策略的触发条件与当前数据交互行为和历史数据交互行为相关
具体来说,根据查找到的记录和当前数据交互行为的属性去判断是否触发执行保护策略,可以是通过私有数据的总数据量,也可以是通过预设私有数据或预设发起者,也可以是通过私有数据的平均发送量等等。
例如,统计查找到的同一发起者发起的历史数据交互行为和当前数据交互行为中私有字段的总数据量,即同一发起者发送的跨区域私有数据总数据量,如果该总数据量大于预设的阈值,则可以触发执行保护策略。
或者,某一项私有数据属于非常重要的机密,如果某一个部门曾经或当前正在跨区域发送该项私有数据,则可以直接触发执行保护策略。具体可以是直接停止当前数据交互行为,即阻止该部门跨区域发送任何数据。
或者,统计查找到的同一应用发起的历史数据交互行为和当前数据交互行为中私有字段的总数据量,再除以该应用发起的数据交互行为次数,得到平均数据量,即同一应用发送的跨区域私有数据平均数据量,如果该平均数据量大于预设阈值,则可以触发执行保护策略。
或者,由于某一发起者被认证是间谍,如果当前数据交互行为的发起者属性值是该发起者,则可以触发执行保护策略。
或者,由于某个时间段可能没有检测机制,如果当前数据交互行为的时间属性值位于该时间段,则可以触发执行保护策略。
通过上述方法实施例,可以对数据交互行为进行监控,确定跨区域数据交互行为并确定其中的私有字段,根据当前数据交互行为和相匹配的历史数据交互行为判断是否触发执行私有字段对应的保护策略,从而能够实现对私有数据的精准保护,且针对不同类型的私有数据可以实现不同的保护策略,进一步贴合了针对性保护的需求,同时可以从多个角度实时监控数据交互行为。
例如,将某一发起者的数据交互行为传输的私有数据量记录下来,反映到管理者的屏幕上,从而实时监控该发起者是否传输私有数据或者是否超量传输私有数据。
如图3所示,为本说明书实施例提供的一种更为具体的数据监控方法的原理示意图。
步骤一:数据采集。
实时采集以下三种数据,用于动态监控。
数据①:任务日志,包含数据同步任务相关时间,库、表名称,发起者及执行历史记录等。
数据②:数据库信息,包含数据库归属区域、库表关系、表名、表数据量、分区数据量、字段名、字段值、字段数据量等。
数据③:查询日志,关键信息为发起者、时间、表名等。
步骤二:根据采集的数据构建数据模型。
构建一个OLAP类星形数据模型,即同步任务模型,将步骤一中的数据①添加进去;
构建另一个OLAP类星形数据模型,即查询行为模型,将步骤一中的数据③添加进去;
将步骤一中的数据②关联到同步任务模型的维表中和查询行为模型的维表中。
步骤三:根据数据模型确定私有数据。
根据数据模型的内容,结合预设的私有数据表判断交互数据中是否包含私有数据,并确定对应的保护策略,判断是否触发执行该私有字段对应的保护策略。
步骤四:显示数据交互情况。
基于数据模型,分析跨区域交互数据总量、数据历史趋势、激增点、涨幅、新增数据跨区域情况、私有数据跨区域情况等,并显示结果。
除了上述的方法实施例,本说明书还提供了装置实施例。
如图4所示,为本说明书实施例提供的一种数据监控装置的结构示意图,该装置针对具有监控需求的至少一个私有字段,为每个私有字段分别配置对应的保护策略,每条保护策略的触发条件与当前数据交互行为和历史数据交互行为相关,所述装置可以包括:
第一判断单元201,用于针对监控到的任一当前数据交互行为,根据当前数据交互行为的属性,判断当前数据交互行为是否跨区域。
当数据交互行为是表同步行为时,当前数据交互行为的属性中包括源表的归属区域和目的表的归属区域。第一判断单元可以具体用于,判断当前数据交互行为的属性中源表和目的表是否归属于不同区域;若归属于不同区域,则确定当前数据交互行为跨区域;若归属于同一区域,则确定当前数据交互行为没有跨区域。
当数据交互行为是数据库查询行为时,当前数据交互行为的属性中包括数据库的归属区域和发起者的归属区域。第一判断单元可以具体用于,判断当前数据交互行为的属性中的发起者和数据库是否归属于不同区域;若归属于不同区域,则确定当前数据交互行为跨区域;若归属于同一区域,则确定当前数据交互行为没有跨区域。
确定单元202,用于若确定当前数据交互行为跨区域,则确定当前数据交互行为中的私有字段,并进一步确定该私有字段对应的保护策略。
查找单元203,用于在历史数据交互行为记录中,查找与所述当前数据交互行为相匹配的记录;匹配规则为:针对至少一个指定属性,当前数据交互行为的指定属性值与历史数据交互行为的指定属性值相同。
历史数据交互行为记录的存储模型可以为星型模型,星型模型包括一个事实表和至少一个维表,事实表的主键包括每个维表的主键,每个维表只包含一个主键,维表的主键包括发起者属性。匹配规则具体为:针对发起者属性,当前数据交互行为的发起者属性值与历史数据交互行为的发起者属性值相同。
第二判断单元204,用于根据所述查找到的记录和当前数据交互行为,判断是否触发执行该私有字段对应的保护策略。
第二判断单元可以具体用于:
若所述查找到的记录和当前数据交互行为中,私有字段的总数据量大于预设阈值,则触发;
和/或
若所述查找到的记录和当前数据交互行为中,包含预设私有字段或预设发起者,则触发。
本说明书实施例还提供一种计算机设备,其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现前述的一种数据监控方法。
图5示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的一种数据监控方法。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本说明书实施例的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本说明书实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本说明书实施例的保护范围。
Claims (11)
1.一种数据监控方法,针对具有监控需求的至少一个私有字段,为每个私有字段分别配置对应的保护策略,每条保护策略的触发条件与当前数据交互行为和历史数据交互行为相关,所述方法包括:
针对监控到的任一当前数据交互行为,根据当前数据交互行为的属性,判断当前数据交互行为是否跨区域;
若确定当前数据交互行为跨区域,则确定当前数据交互行为中的私有字段,并进一步确定该私有字段对应的保护策略;
在历史数据交互行为记录中,查找与所述当前数据交互行为相匹配的记录;匹配规则为:针对至少一个指定属性,当前数据交互行为的指定属性值与历史数据交互行为的指定属性值相同;
根据所述查找到的记录和当前数据交互行为,判断是否触发执行该私有字段对应的保护策略,包括:若所述查找到的记录和当前数据交互行为中,私有字段的总数据量大于预设阈值,则触发执行该私有字段对应的保护策略。
2.根据权利要求1所述的方法,所述数据交互行为是:表同步行为,所述当前数据交互行为的属性中包括源表的归属区域和目的表的归属区域;
所述判断当前数据交互行为是否跨区域的方法具体包括:判断当前数据交互行为的属性中源表和目的表是否归属于不同区域;若归属于不同区域,则确定当前数据交互行为跨区域;若归属于同一区域,则确定当前数据交互行为没有跨区域。
3.根据权利要求1所述的方法,所述数据交互行为是:数据库查询行为,所述当前数据交互行为的属性中包括数据库的归属区域和发起者的归属区域;
所述判断当前数据交互行为是否跨区域的方法具体包括:判断当前数据交互行为的属性中的发起者和数据库是否归属于不同区域;若归属于不同区域,则确定当前数据交互行为跨区域;若归属于同一区域,则确定当前数据交互行为没有跨区域。
4.根据权利要求1所述的方法,所述根据所述查找到的记录和当前数据交互行为,判断是否触发,具体包括:
若所述查找到的记录和当前数据交互行为中,私有字段的总数据量大于预设阈值,则触发;
和/或
若所述查找到的记录和当前数据交互行为中,包含预设私有字段或预设发起者,则触发。
5.根据权利要求1所述的方法,所述历史数据交互行为记录的存储模型为星型模型,所述星型模型包括一个事实表和至少一个维表,所述事实表的主键包括每个维表的主键,每个所述维表只包含一个主键,所述维表的主键包括发起者属性;
所述匹配规则具体为:
针对发起者属性,当前数据交互行为的发起者属性值与历史数据交互行为的发起者属性值相同。
6.一种数据监控装置,针对具有监控需求的至少一个私有字段,为每个私有字段分别配置对应的保护策略,每条保护策略的触发条件与当前数据交互行为和历史数据交互行为相关,所述装置包括:
第一判断单元,用于针对监控到的任一当前数据交互行为,根据当前数据交互行为的属性,判断当前数据交互行为是否跨区域;
确定单元,用于若确定当前数据交互行为跨区域,则确定当前数据交互行为中的私有字段,并进一步确定该私有字段对应的保护策略;
查找单元,用于在历史数据交互行为记录中,查找与所述当前数据交互行为相匹配的记录;匹配规则为:针对至少一个指定属性,当前数据交互行为的指定属性值与历史数据交互行为的指定属性值相同;
第二判断单元,用于根据所述查找到的记录和当前数据交互行为,判断是否触发执行该私有字段对应的保护策略,包括:若所述查找到的记录和当前数据交互行为中,私有字段的总数据量大于预设阈值,则触发执行该私有字段对应的保护策略。
7.根据权利要求6所述的装置,所述数据交互行为是:表同步行为,所述当前数据交互行为的属性中包括源表的归属区域和目的表的归属区域;
所述第一判断单元具体用于,判断当前数据交互行为的属性中源表和目的表是否归属于不同区域;若归属于不同区域,则确定当前数据交互行为跨区域;若归属于同一区域,则确定当前数据交互行为没有跨区域。
8.根据权利要求6所述的装置,所述数据交互行为是:数据库查询行为,所述当前数据交互行为的属性中包括数据库的归属区域和发起者的归属区域;
所述第一判断单元具体用于,判断当前数据交互行为的属性中的发起者和数据库是否归属于不同区域;若归属于不同区域,则确定当前数据交互行为跨区域;若归属于同一区域,则确定当前数据交互行为没有跨区域。
9.根据权利要求6所述的装置,所述第二判断单元具体用于:
若所述查找到的记录和当前数据交互行为中,私有字段的总数据量大于预设阈值,则触发;
和/或
若所述查找到的记录和当前数据交互行为中,包含预设私有字段或预设发起者,则触发。
10.根据权利要求6所述的装置,所述历史数据交互行为记录的存储模型为星型模型,所述星型模型包括一个事实表和至少一个维表,所述事实表的主键包括每个维表的主键,每个所述维表只包含一个主键,所述维表的主键包括发起者属性;
所述匹配规则具体为:
针对发起者属性,当前数据交互行为的发起者属性值与历史数据交互行为的发起者属性值相同。
11.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1至5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010079149.9A CN111291409B (zh) | 2020-02-03 | 2020-02-03 | 一种数据监控方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010079149.9A CN111291409B (zh) | 2020-02-03 | 2020-02-03 | 一种数据监控方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111291409A CN111291409A (zh) | 2020-06-16 |
CN111291409B true CN111291409B (zh) | 2022-12-20 |
Family
ID=71024377
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010079149.9A Active CN111291409B (zh) | 2020-02-03 | 2020-02-03 | 一种数据监控方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111291409B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112861169B (zh) * | 2021-01-14 | 2022-06-14 | 支付宝(杭州)信息技术有限公司 | 一种基于隐私保护的数据处理方法、装置及设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1836218A (zh) * | 2003-08-28 | 2006-09-20 | 国际商业机器公司 | 数据库系统、允许/禁止信息采集的检查系统、信息采集方法和程序 |
CN103795726A (zh) * | 2014-02-14 | 2014-05-14 | 浪潮通信信息系统有限公司 | 一种虚拟数据安全访问的深度防护方法 |
CN105681276A (zh) * | 2015-12-25 | 2016-06-15 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
CN109787850A (zh) * | 2017-11-10 | 2019-05-21 | 阿里巴巴集团控股有限公司 | 监控系统、监控方法及计算节点 |
CN109902127A (zh) * | 2019-03-07 | 2019-06-18 | 腾讯科技(深圳)有限公司 | 历史态数据处理方法、装置、计算机设备及存储介质 |
CN110188121A (zh) * | 2019-04-24 | 2019-08-30 | 平安科技(深圳)有限公司 | 业务数据监控方法、装置、计算机设备及存储介质 |
CN111031035A (zh) * | 2019-12-12 | 2020-04-17 | 支付宝(杭州)信息技术有限公司 | 一种敏感数据访问行为监控方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9032544B2 (en) * | 2010-12-22 | 2015-05-12 | Private Access, Inc. | System and method for controlling communication of private information over a network |
US8904473B2 (en) * | 2011-04-11 | 2014-12-02 | NSS Lab Works LLC | Secure display system for prevention of information copying from any display screen system |
US10346635B2 (en) * | 2016-05-31 | 2019-07-09 | Genesys Telecommunications Laboratories, Inc. | System and method for data management and task routing based on data tagging |
-
2020
- 2020-02-03 CN CN202010079149.9A patent/CN111291409B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1836218A (zh) * | 2003-08-28 | 2006-09-20 | 国际商业机器公司 | 数据库系统、允许/禁止信息采集的检查系统、信息采集方法和程序 |
CN103795726A (zh) * | 2014-02-14 | 2014-05-14 | 浪潮通信信息系统有限公司 | 一种虚拟数据安全访问的深度防护方法 |
CN105681276A (zh) * | 2015-12-25 | 2016-06-15 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
CN109787850A (zh) * | 2017-11-10 | 2019-05-21 | 阿里巴巴集团控股有限公司 | 监控系统、监控方法及计算节点 |
CN109902127A (zh) * | 2019-03-07 | 2019-06-18 | 腾讯科技(深圳)有限公司 | 历史态数据处理方法、装置、计算机设备及存储介质 |
CN110188121A (zh) * | 2019-04-24 | 2019-08-30 | 平安科技(深圳)有限公司 | 业务数据监控方法、装置、计算机设备及存储介质 |
CN111031035A (zh) * | 2019-12-12 | 2020-04-17 | 支付宝(杭州)信息技术有限公司 | 一种敏感数据访问行为监控方法及装置 |
Non-Patent Citations (3)
Title |
---|
Purpose based access control of complex data for privacy protection;Ji-Won Byun;《SACMAT "05: Proceedings of the tenth ACM symposium on Access control models and technologies》;20050601;全文 * |
基于演化博弈的隐私风险自适应访问控制模型;丁红发等;《通信学报》;20191225(第12期);全文 * |
智能化大数据安全监管及系统实现;陈天莹等;《通信技术》;20170210(第02期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111291409A (zh) | 2020-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210160053A1 (en) | Merkle tree construction methods and apparatuses and simplified payment verification methods and apparatuses | |
US10178548B2 (en) | Method for protecting terminal location information and intelligent terminal | |
WO2021121244A1 (zh) | 一种告警信息生成方法、装置、电子设备及存储介质 | |
CN111031035B (zh) | 一种敏感数据访问行为监控方法及装置 | |
CN112069536A (zh) | 一种用于实现数据库数据脱敏访问的方法与设备 | |
CN104866770B (zh) | 敏感数据扫描方法和系统 | |
US11275814B2 (en) | Recording ledger data on a blockchain | |
CN109359118B (zh) | 一种数据写入方法及装置 | |
TWI661321B (zh) | Method and device for determining user relationship | |
CN105022815A (zh) | 信息拦截方法及装置 | |
US20160088151A1 (en) | Communication method, apparatus, and system | |
CN114374566B (zh) | 一种攻击检测方法及装置 | |
CN111506580B (zh) | 一种基于中心化块链式账本的交易存储方法 | |
CN111092880B (zh) | 一种网络流量数据提取方法及装置 | |
CN111046052B (zh) | 一种数据库中的操作记录存储方法、装置及设备 | |
CN111291409B (zh) | 一种数据监控方法及装置 | |
CN108920326B (zh) | 确定系统耗时异常的方法、装置及电子设备 | |
CN109271453A (zh) | 一种数据库容量的确定方法和装置 | |
CN114036564A (zh) | 一种隐私数据衍生图的构建方法 | |
US9813927B2 (en) | Mobile terminal flow identification method and apparatus | |
CN110764974B (zh) | 一种监控方法、装置及存储介质 | |
CN109377233B (zh) | 一种风险监测方法和装置 | |
CN115827589A (zh) | 一种权限验证方法、装置、电子设备及存储介质 | |
CN113836154B (zh) | 一种数据库切换方法及装置 | |
CN111506613A (zh) | 一种数据记录的关联关系的查询方法、系统、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |