CN111756732B - 数据扫描、管控方法及装置、电子设备、可读存储介质 - Google Patents

数据扫描、管控方法及装置、电子设备、可读存储介质 Download PDF

Info

Publication number
CN111756732B
CN111756732B CN202010583290.2A CN202010583290A CN111756732B CN 111756732 B CN111756732 B CN 111756732B CN 202010583290 A CN202010583290 A CN 202010583290A CN 111756732 B CN111756732 B CN 111756732B
Authority
CN
China
Prior art keywords
scanning
data
metadata
terminal
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010583290.2A
Other languages
English (en)
Other versions
CN111756732A (zh
Inventor
李静华
王志华
喻波
王志海
秦凯
安鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wondersoft Technology Co Ltd
Original Assignee
Beijing Wondersoft Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wondersoft Technology Co Ltd filed Critical Beijing Wondersoft Technology Co Ltd
Priority to CN202010583290.2A priority Critical patent/CN111756732B/zh
Publication of CN111756732A publication Critical patent/CN111756732A/zh
Application granted granted Critical
Publication of CN111756732B publication Critical patent/CN111756732B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种数据扫描、管控方法及装置、电子设备、可读存储介质,数据扫描方法应用于数据扫描组件,数据扫描组件、终端和前置网关之间互相通信连接,该方法包括:接收终端发送的本地元数据和前置网关发送的网络元数据;对本地元数据和网络元数据进行敏感数据扫描,获取与本地元数据对应的第一扫描结果和与网络元数据对应的第二扫描结果;将第一扫描结果发送至终端、第二扫描结果发送至前置网关,以使终端对本地元数据管控、前置网关拦截网络元数据中的敏感数据并输送非敏感数据。本发明降低了敏感数据的混沌性,实现了低延时的网关敏感数据扫描能力,降低了无效流量的带宽占用,提高了扫描准确性以及终端的可用性。

Description

数据扫描、管控方法及装置、电子设备、可读存储介质
技术领域
本发明涉及信息安全技术领域,特别是涉及一种数据扫描、管控方法及装置、电子设备、可读存储介质。
背景技术
近年来,信息化应用的建设与开展已在各行各业获得重点关注与大力推动,众多生产内容与元素已实现数据化存储与传输。但这也带来了相当严重的数据安全问题,数据泄漏事件对信息化建设的推进造成了较大的伤害。数据防泄漏系统,作为相对成熟的数据安全防护技术,也逐渐随着市场需求的变化,分化为终端数据防泄漏系统与网关数据防泄漏系统。
终端数据防泄漏系统主要面向计算机终端,侧重于计算机终端本地数据的防护,通过各类安全技术限制数据的传输与分享,从而构建数据防泄漏的第一道屏障,达到保护数据的目的。网关数据防泄漏系统通过单一化网关的检测与管控,实现对数据输出的统一管理,侧重于数据输出流转的安全问题管控,从而以外围能力形成数据防泄漏功能,实现数据防泄漏目的。
两者侧重点不同,应用技术也不尽相同,已逐渐形成两种风格与目的的数据安全防护工具。两者的重合点主要在于:无论是终端还是网关系统,均需对敏感数据的扫描能力存在需求与一定的要求(例如扫描速度、可扫描对象广泛性等)。
就目前实际情况而言,由于终端数据防泄漏系统与网关数据防泄漏系统整体技术架构有较大差异,同厂商不同产品线实现不同,造成终端与网关系统中的敏感数据扫描组件基本不通用,均处于各自为战的情况。这种情况不仅极大浪费了研发资源,更严重的是,限制了敏感数据定义与扫描机制的通用与融合,会屡屡产生二义性描述,终端与网关对同一份数据的扫描结果可能完全不同。这种情况严重影响了终端与网关数据防泄漏系统的有效融合与协同工作,最终导致不同类型系统的不同表现。其中,现有终端数据防泄漏系统与网关数据防泄漏系统的敏感数据扫描流程如图1所示。
此外,网关数据防泄漏系统往往会按照既有的网关模式进行部署与运行,即一般部署在企业网络出口处,从而实现统一的网络数据与邮件数据管控。但这种方式不利于各类存在较多异地分支机构的大型机构客户,由于网络延迟,可能导致异地数据被判定为敏感数据,无法进行数据输出,但此时较为有限的机构间带宽已被占用,造成了实际无效的流量。另外,现有网关数据防泄漏系统均以文件为单位进行整体敏感数据扫描,未考虑部分重复数据的算力浪费;负载均衡粒度也相对比较粗糙,可能造成部分网关算力限制,其他网关高负载的情况,最终影响外传数据的扫描速度,进而导致网关数据防泄漏系统工作能力不高。
而终端数据防泄漏系统对敏感数据扫描能力也存在较高要求,但更对扫描操作占用的资源较为敏感,无法提供类似于网关数据防泄漏系统的服务器级别计算能力。此外,扫描延迟也可能对终端系统造成影响。
综上所述,现有终端数据防泄漏系统与网关数据防泄漏系统部分核心功能与组件分离的现状(敏感数据扫描能力)导致敏感数据扫描标准与结果出现二义性,判定标准造成一定困惑;另外,面向大型机构的网关系统造成了一定程度的异地流量占用;同时,网关系统没有实现细粒度的扫描能力调度;且终端系统的敏感数据扫描需求没有得到很好地满足,在一定程度上影响了终端数据防泄漏系统的数据防护能力。
发明内容
本发明提供了一种数据扫描、管控方法及装置、电子设备、可读存储介质,以解决现有技术中终端与网关敏感数据扫描标准与结果出现二义性、现有的扫描方式易造成资源占用影响数据防护能力的问题。
为了解决上述问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种数据扫描方法,应用于数据扫描组件,所述数据扫描组件分别与终端和前置网关通信连接,所述终端与所述前置网关通信连接,所述方法包括:
接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,所述网络元数据由所述终端发送至所述前置网关;
对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果;
将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关,以使所述终端对所述本地元数据管控、所述前置网关拦截所述网络元数据中的敏感数据并输送非敏感数据。
可选的,所述接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,包括:
接收所述终端发送的经过分类后的所述本地元数据,所述本地元数据对应于至少一个第一分类类别,每个所述第一分类类别分别携带对应的第一分类标识以及扫描次序;
接收所述前置网关发送的经过分类后的所述网络元数据,所述网络元数据对应于至少一个第二分类类别,每个所述第二分类类别分别携带对应的第二分类标识以及扫描次序。
可选的,所述对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果,包括:
根据每个所述第一分类类别对应的扫描次序、每个所述第二分类类别对应的扫描次序,确定各所述第一分类类别和各所述第二分类类别所对应的优先级次序;
根据所述优先级次序,对各所述第一分类类别和各所述第二分类类别的数据进行敏感数据扫描;
将各所述第一分类类别和各所述第二分类类别的数据所对应的扫描结果进行聚合,在聚合结果中确定所述第一扫描结果和所述第二扫描结果。
可选的,在接收所述终端发送的本地元数据和所述前置网关发送的网络元数据之后,还包括:
对所述本地元数据设置第一标识、对所述网络元数据设置第二标识;
所述在聚合结果中确定所述第一扫描结果和所述第二扫描结果,包括:
根据所述第一标识在所述聚合结果中确定所述第一扫描结果;
根据所述第二标识在所述聚合结果中确定所述第二扫描结果。
可选的,所述对所述本地元数据和所述网络元数据进行敏感数据扫描之前,还包括:
将所述本地元数据和所述网络元数据中的聚合元数据进行分拆;
在分拆完成后,针对所述本地元数据和所述网络元数据中的各原始数据生成数据扫描列表;
去除所述数据扫描列表中已确定扫描结果的第一数据;
将所述数据扫描列表中的剩余数据转换为可识别待扫描数据;
其中,对所述本地元数据和所述网络元数据进行敏感数据扫描,具体为:对可识别待扫描数据进行敏感数据扫描。
第二方面,本发明实施例提供了一种数据管控方法,应用于终端,所述终端分别与数据扫描组件和前置网关通信连接,所述前置网关与所述数据扫描组件通信连接,所述方法包括:
向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,以使所述前置网关发送所述网络元数据至所述数据扫描组件;
获取所述数据扫描组件对所述本地元数据进行敏感数据扫描后发送的第一扫描结果;
根据所述第一扫描结果对所述本地元数据进行数据管控;
其中,所述数据扫描组件对所述网络元数据进行敏感数据扫描获取第二扫描结果,所述前置网关根据所述第二扫描结果拦截所述网络元数据中的敏感数据并输送非敏感数据。
可选的,所述向所述数据扫描组件发送本地元数据,包括:
根据用户行为确定第一敏感数据扫描需求,并根据所述第一敏感数据扫描需求将所述本地元数据划分为至少一个第一分类类别,设置每个所述第一分类类别对应的第一分类标识以及扫描次序;
向所述数据扫描组件发送经过分类后的所述本地元数据,每个所述第一分类类别均携带对应的第一分类标识以及扫描次序。
可选的,所述向所述前置网关发送网络元数据,包括:
向所述前置网关发送携带第二敏感数据扫描需求的所述网络元数据,以使所述前置网关根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,并设置每个所述第二分类类别对应的第二分类标识以及扫描次序。
可选的,所述根据所述第一扫描结果对所述本地元数据进行数据管控,包括:
根据所述第一扫描结果,控制所述本地元数据中的敏感数据不支持复制至外部设备、控制所述本地元数据中的非敏感数据支持复制至外部设备。
第三方面,本发明实施例提供一种数据管控方法,应用于前置网关,所述前置网关分别与数据扫描组件和终端通信连接,所述终端与所述数据扫描组件通信连接,所述方法包括:
接收所述终端发送的网络元数据并发送至所述数据扫描组件;
获取所述数据扫描组件对所述网络元数据进行敏感数据扫描后发送的与所述网络元数据对应的第二扫描结果;
根据所述第二扫描结果对所述网络元数据进行数据管控。
可选的,所述接收所述终端发送的网络元数据并发送至所述数据扫描组件,包括:
接收所述终端发送的携带第二敏感数据扫描需求的所述网络元数据;
根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,设置每个所述第二分类类别对应的第二分类标识以及扫描次序;
向所述数据扫描组件发送经过分类后的所述网络元数据,每个所述第二分类类别均携带对应的第二分类标识以及扫描次序。
可选的,所述根据所述第二扫描结果对所述网络元数据进行数据管控,包括:
根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据。
第四方面,本发明实施例一种数据扫描装置,应用于数据扫描组件,所述数据扫描组件分别与终端和前置网关通信连接,所述终端与所述前置网关通信连接,所述装置包括:
接收模块,用于接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,所述网络元数据由所述终端发送至所述前置网关;
第一处理模块,用于对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果;
第一发送模块,用于将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关,以使所述终端对所述本地元数据管控、所述前置网关拦截所述网络元数据中的敏感数据并输送非敏感数据。
可选的,所述接收模块包括:
第一接收子模块,用于接收所述终端发送的经过分类后的所述本地元数据,所述本地元数据对应于至少一个第一分类类别,每个所述第一分类类别分别携带对应的第一分类标识以及扫描次序;
第二接收子模块,用于接收所述前置网关发送的经过分类后的所述网络元数据,所述网络元数据对应于至少一个第二分类类别,每个所述第二分类类别分别携带对应的第二分类标识以及扫描次序。
可选的,所述第一处理模块包括:
第一确定子模块,用于根据每个所述第一分类类别对应的扫描次序、每个所述第二分类类别对应的扫描次序,确定各所述第一分类类别和各所述第二分类类别所对应的优先级次序;
扫描子模块,用于根据所述优先级次序,对各所述第一分类类别和各所述第二分类类别的数据进行敏感数据扫描;
第二确定子模块,用于将各所述第一分类类别和各所述第二分类类别的数据所对应的扫描结果进行聚合,在聚合结果中确定所述第一扫描结果和所述第二扫描结果。
可选的,该装置还包括:
设置模块,用于在所述接收模块接收所述终端发送的本地元数据和所述前置网关发送的网络元数据之后,对所述本地元数据设置第一标识、对所述网络元数据设置第二标识;
所述第二确定子模块进一步用于:
根据所述第一标识在所述聚合结果中确定所述第一扫描结果;
根据所述第二标识在所述聚合结果中确定所述第二扫描结果。
可选的,该装置还包括:
分拆模块,用于在所述第一处理模块对所述本地元数据和所述网络元数据进行敏感数据扫描之前,将所述本地元数据和所述网络元数据中的聚合元数据进行分拆;
生成模块,用于在分拆完成后,针对所述本地元数据和所述网络元数据中的各原始数据生成数据扫描列表;
去除模块,用于去除所述数据扫描列表中已确定扫描结果的第一数据;
转换模块,用于将所述数据扫描列表中的剩余数据转换为可识别待扫描数据;
其中,所述处理模块对所述本地元数据和所述网络元数据进行敏感数据扫描时,具体用于:对可识别待扫描数据进行敏感数据扫描。
第五方面,本发明实施例提供一种数据管控装置,应用于终端,所述终端分别与数据扫描组件和前置网关通信连接,所述前置网关与所述数据扫描组件通信连接,所述装置包括:
第二发送模块,用于向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,以使所述前置网关发送所述网络元数据至所述数据扫描组件;
第一获取模块,用于获取所述数据扫描组件对所述本地元数据进行敏感数据扫描后发送的第一扫描结果;
第一管控模块,用于根据所述第一扫描结果对所述本地元数据进行数据管控;
其中,所述数据扫描组件对所述网络元数据进行敏感数据扫描获取第二扫描结果,所述前置网关根据所述第二扫描结果拦截所述网络元数据中的敏感数据并输送非敏感数据。
可选的,所述第二发送模块包括:
第一处理子模块,用于根据用户行为确定第一敏感数据扫描需求,并根据所述第一敏感数据扫描需求将所述本地元数据划分为至少一个第一分类类别,设置每个所述第一分类类别对应的第一分类标识以及扫描次序;
第一发送子模块,用于向所述数据扫描组件发送经过分类后的所述本地元数据,每个所述第一分类类别均携带对应的第一分类标识以及扫描次序。
可选的,所述第二发送模块进一步用于:
向所述前置网关发送携带第二敏感数据扫描需求的所述网络元数据,以使所述前置网关根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,并设置每个所述第二分类类别对应的第二分类标识以及扫描次序。
可选的,所述第一管控模块进一步用于:
根据所述第一扫描结果,控制所述本地元数据中的敏感数据不支持复制至外部设备、控制所述本地元数据中的非敏感数据支持复制至外部设备。
第六方面,本发明实施例提供一种数据管控装置,应用于前置网关,所述前置网关分别与数据扫描组件和终端通信连接,所述终端与所述数据扫描组件通信连接,所述装置包括:
第二处理模块,用于接收所述终端发送的网络元数据并发送至所述数据扫描组件;
第二获取模块,用于获取所述数据扫描组件对所述网络元数据进行敏感数据扫描后发送的与所述网络元数据对应的第二扫描结果;
第二管控模块,用于根据所述第二扫描结果对所述网络元数据进行数据管控。
可选的,所述第二处理模块包括:
第二处理子模块,用于接收所述终端发送的携带第二敏感数据扫描需求的所述网络元数据;
第三处理子模块,用于根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,设置每个所述第二分类类别对应的第二分类标识以及扫描次序;
第二发送子模块,用于向所述数据扫描组件发送经过分类后的所述网络元数据,每个所述第二分类类别均携带对应的第二分类标识以及扫描次序。
可选的,所述第二管控模块进一步用于:
根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据。
第七方面,本发明实施例提供一种数据扫描系统,包括:数据扫描组件,与所述数据扫描组件通信连接的终端和前置网关,所述终端与所述前置网关通信连接;
所述终端向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,所述前置网关发送所述网络元数据至所述数据扫描组件;
所述数据扫描组件对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果,将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关;
所述终端根据所述第一扫描结果,控制所述本地元数据中的敏感数据不支持复制至外部设备、控制所述本地元数据中的非敏感数据支持复制至外部设备;所述前置网关根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据。
第八方面,本发明实施例提供了一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述任一项所述的数据扫描方法的步骤或者实现上述终端侧任一项所述的数据管控方法的步骤或者实现上述前置网关侧任一项所述的数据管控方法的步骤。
第九方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的数据扫描方法的步骤或者实现上述终端侧任一项所述的数据管控方法的步骤或者实现上述前置网关侧任一项所述的数据管控方法的步骤。
与现有技术相比,本发明包括以下优点:
在本发明实施例中,通过部署终端与前置网关共用的数据扫描组件,可以实现敏感数据扫描功能的共用与判定标准一致性,有效降低了敏感数据的混沌性,通过前置网关拦截敏感网络数据,实现了低延时的网关敏感数据扫描能力,并一定程度降低了无效流量的带宽占用,终端也避免了敏感数据扫描的资源占用,一定程度提高了扫描准确性,提高了终端系统的可用性。
附图说明
图1示出了现有技术终端数据防泄漏系统与网关数据防泄漏系统的敏感数据扫描流程图;
图2示出了本发明实施例提供的一种数据扫描方法示意图;
图3示出了数据扫描组件的调度节点和工作节点对应的功能图示意图;
图4示出了本发明实施例提供的一种数据管控方法示意图;
图5示出了本发明实施例提供的终端侧的数据管控的实施流程图;
图6示出了本发明实施例提供的另一种数据管控方法示意图;
图7示出了本发明实施例提供的前置网关侧的数据管控的实施流程图;
图8示出了本发明实施例提供的数据扫描的具体实例的框图;
图9示出了本发明实施例提供的数据扫描装置示意图;
图10示出了本发明实施例提供的数据管控装置示意图之一;
图11示出了本发明实施例提供的数据管控装置示意图之二;
图12示出了本发明实施例提供的数据扫描系统示意图;
图13示出了本发明实施例提供的敏感数据扫描对应的架构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例提供一种数据扫描方法,应用于数据扫描组件,所述数据扫描组件分别与终端和前置网关通信连接,所述终端与所述前置网关通信连接,如图2所示,所述方法包括:
步骤201、接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,所述网络元数据由所述终端发送至所述前置网关。
本发明实施例提供的数据扫描方法应用于数据扫描组件,其中数据扫描组件为一独立组件,且分别与终端和前置网关连接,一个前置网关可对应于至少一个终端,实现终端与前置网关共用数据扫描组件。通过部署与终端和前置网关连接的数据扫描组件,可以实现敏感数据扫描功能的共用与判定标准一致性,有效降低了敏感数据的混沌性。
终端包括两部分数据,分别为本地元数据和网络元数据。数据扫描组件可以接收终端发送的本地元数据以及前置网关发送的网络元数据,前置网关与终端通信连接,且前置网关所发送的网络元数据由终端提供,即终端将网络元数据发送至前置网管,前置网管将接收到的网络元数据发送至数据扫描组件进行扫描。其中,前置网关为数据防泄漏网关,在接收到终端发送的网络元数据后,首先对其进行阻滞,限制网络元数据的输出,然后将其发送至数据扫描组件。
本地元数据和网络元数据均可以包括文件数据、文件关联数据,针对本地元数据而言,文件数据和文件关联数据可以为终端信息、用户信息、任务信息,针对网络元数据而言,文件数据和文件关联数据可以为终端信息、用户信息、网络流量信息,如网络流量信息可以为邮件流量信息、网页流量信息等。
步骤202、对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果。
在接收到终端发送的本地元数据以及前置网关发送的网络元数据之后,可以针对本地元数据和网络元数据分别进行敏感数据扫描,以确定本地元数据和网络元数据中是否包含敏感数据,获取与本地元数据对应的第一扫描结果以及与网络元数据对应的第二扫描结果。其中,第一扫描结果以及第二扫描结果中可包括文件哈希值、命中关键字、命中次数、快照等。
步骤203、将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关,以使所述终端对所述本地元数据管控、所述前置网关拦截所述网络元数据中的敏感数据并输送非敏感数据。
在获取第一扫描结果和第二扫描结果之后,可以将第一扫描结果发送至终端,将第二扫描结果发送至前置网关,使得终端根据第一扫描结果对本地元数据进行数据管控、前置网关对网络元数据进行数据管控。
终端对本地元数据进行数据管控,具体为:控制本地元数据中的敏感数据不支持复制至外部设备、控制本地元数据中的非敏感数据支持复制至外部设备。前置网管对网络元数据进行数据管控,具体为:拦截网络元数据中的敏感数据并输送网络元数据中的非敏感数据。
本发明上述实施过程,通过部署终端与前置网关共用的数据扫描组件,可以实现敏感数据扫描功能的共用与判定标准一致性,有效降低了敏感数据的混沌性,通过前置网关拦截敏感网络数据,实现了低延时的网关敏感数据扫描能力,并一定程度降低了无效流量的带宽占用,终端也避免了敏感数据扫描的资源占用,一定程度提高了扫描准确性,提高了终端系统的可用性。
可选的,在本发明一实施例中,所述接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,包括:
接收所述终端发送的经过分类后的所述本地元数据,所述本地元数据对应于至少一个第一分类类别,每个所述第一分类类别分别携带对应的第一分类标识以及扫描次序;
接收所述前置网关发送的经过分类后的所述网络元数据,所述网络元数据对应于至少一个第二分类类别,每个所述第二分类类别分别携带对应的第二分类标识以及扫描次序。
在数据扫描组件接收终端发送的本地元数据以及前置网关发送的网络元数据时,具体为:接收终端发送的经过分类的本地元数据,接收前置网关发送的经过分类的网络元数据。
针对本地元数据而言,终端可以将本地元数据划分为至少一个第一分类类别,第一分类类别中可包括至少一个数据,各第一分类类别所包括的数据的数量可以相等或不等,每个第一分类类别中分别携带对应的第一分类标识以及扫描次序,这里的扫描次序为第一分类类别的数据对应的扫描次序,第一分类类别中的第一分类标识也可理解为第一分类类别的数据所对应的第一分类标识。
针对网络元数据而言,前置网关可以将网络元数据划分为至少一个第二分类类别,第二分类类别中可包括至少一个数据,各第二分类类别所包括的数据的数量可以相等或不等,每个第二分类类别中分别携带对应的第二分类标识以及扫描次序,这里的扫描次序为第二分类类别的数据对应的扫描次序,第二分类类别中的第二分类标识也可理解为第二分类类别的数据所对应的第二分类标识。
其中,第一分类类别和第二分类类别包括但不限于办公文档类别(如MicrosoftOffice、WPS)、文本文档类别(如PDF、XML、CSV、TXT)以及压缩文档类别(如RAR、ZIP、7Z、TAR)。
在接收终端发送的本地元数据时,接收经过分类处理的本地元数据,且针对每一个第一分类类别,均可接收第一分类标识以及扫描次序;在接收前置网关发送的网络元数据时,接收经过分类处理的网络元数据,且针对每一个第二分类类别,均可接收第二分类标识以及扫描次序。
其中,针对本地元数据而言,每一个第一分类类别可对应于一个第一处理任务,第一分类标识可以为第一任务标识;针对网络元数据而言,每一个第二分类类别可对应于一个第二处理任务,第二分类标识可以为第二任务标识。
上述实施过程,通过接收经过分类且携带分类标识和扫描次序的本地元数据和网络元数据,可以便于数据扫描组件识别不同的分类类别,并根据不同的类别执行扫描过程,可以相对减少扫描次数,且还可以按照扫描次序逐次扫描,避免出现遗漏的情况。
可选的,在本发明一实施例中,所述对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果,包括:
根据每个所述第一分类类别对应的扫描次序、每个所述第二分类类别对应的扫描次序,确定各所述第一分类类别和各所述第二分类类别所对应的优先级次序;
根据所述优先级次序,对各所述第一分类类别和各所述第二分类类别的数据进行敏感数据扫描;
将各所述第一分类类别和各所述第二分类类别的数据所对应的扫描结果进行聚合,在聚合结果中确定所述第一扫描结果和所述第二扫描结果。
在对本地元数据和网络元数据进行敏感数据扫描时,首先需要根据每个第一分类类别对应的扫描次序、每个第二分类类别对应的扫描次序,确定各第一分类类别和各第二分类类别所对应的优先级次序。在确定优先级次序时,可以将扫描次序为1的第一分类类别确定为第一优先级、扫描次序为1的第二分类类别确定为第二优先级、扫描次序为2的第一分类类别确定为第三优先级、扫描次序为2的第二分类类别确定为第四优先级,依次类推,来确定各第一分类类别和各第二分类类别所对应的优先级次序。还可以将扫描次序为1的第二分类类别确定为第一优先级、扫描次序为1的第一分类类别确定为第二优先级、扫描次序为2的第二分类类别确定为第三优先级、扫描次序为2的第一分类类别确定为第四优先级,依次类推,来确定各第一分类类别和各第二分类类别所对应的优先级次序。也可以扫描次序为1的第二分类类别确定为第一优先级、扫描次序为2的第二分类类别确定为第二优先级,在完成第二分类类别的优先级的确定后,在确定第一分类类别的优先级。当然还可以是其他确定方式,这里不再一一列举阐述。
上述的优先级次序为QOS(Quality of Service,服务质量)优先级次。在确定各第一分类类别和各第二分类类别所对应的优先级次序之后,可以根据优先级次序,对各第一分类类别和各第二分类类别的数据依次进行敏感数据扫描,获取与各第一分类类别的数据对应的扫描结果以及各第二分类类别的数据对应的扫描结果。然后将各第一分类类别和各第二分类类别的数据所对应的扫描结果进行聚合,在聚合结果中确定第一扫描结果和第二扫描结果。其中,第一扫描结果中包括各第一分类类别的数据所对应的扫描结果,且各第一分类类别的数据所对应的扫描结果中附带有相应的第一分类标识,可以便于扫描结果的有效识别;相应的,第二扫描结果中包括各第二分类类别的数据所对应的扫描结果,且各第二分类类别的数据所对应的扫描结果中附带有相应的第二分类标识,可以便于扫描结果的有效识别。
上述实施过程,通过根据扫描次序确定优先级顺序,可实现依据优先级顺序依次进行数据扫描,保证了数据扫描的有序进行,通过将各类别数据的扫描结果进行聚合,并在聚合结果中筛选第一扫描结果和第二扫描结果,可以避免扫描结果的遗漏。
可选的,在本发明一实施例中,在接收所述终端发送的本地元数据和所述前置网关发送的网络元数据之后,还包括:
对所述本地元数据设置第一标识、对所述网络元数据设置第二标识;
所述在聚合结果中确定所述第一扫描结果和所述第二扫描结果,包括:
根据所述第一标识在所述聚合结果中确定所述第一扫描结果;
根据所述第二标识在所述聚合结果中确定所述第二扫描结果。
数据扫描组件在获取本地元数据和网络元数据之后,可以对本地元数据设置第一标识,对网络元数据设置第二标识,基于第一标识和第二标识对本地元数据和网络元数据进行数据区分。在获取聚合结果后,可以根据第一标识在聚合结果中筛选出与本地元数据对应的第一扫描结果、根据第二标识在聚合结果中筛选出与网络元数据对应的第二扫描结果。
需要说明的是,一个网关可以对应于至少一个终端,因此针对每一个终端的网络元数据,都需要设置对应的第二标识,即不同的终端所对应的第一标识和第二标识均不同,一个网关可以对应于多个第二标识。
通过针对本地元数据和网络元数据设置对应的标识可以便于不同数据的区分,进而有利于后续扫描结果的区分。
可选的,在本发明一实施例中,所述对所述本地元数据和所述网络元数据进行敏感数据扫描之前,还包括:
将所述本地元数据和所述网络元数据中的聚合元数据进行分拆;
在分拆完成后,针对所述本地元数据和所述网络元数据中的各原始数据生成数据扫描列表;
去除所述数据扫描列表中已确定扫描结果的第一数据;
将所述数据扫描列表中的剩余数据转换为可识别待扫描数据;
其中,对所述本地元数据和所述网络元数据进行敏感数据扫描,具体为:对可识别待扫描数据进行敏感数据扫描。
在数据扫描组件获取本地元数据以及网络元数据之后,在对本地元数据以及网络元数据进行扫描之前,可以首先检测是否存在聚合元数据,这里的聚合元数据可以为压缩包之类的数据,若存在聚合元数据,可以将聚合元数据进行分拆,获取分拆后的数据。在完成拆分之后,可以针对本地元数据和网络元数据,获取对应的原始数据,然后根据原始数据生成数据扫描列表。
其中,数据扫描列表中可以包括原始数据信息,在生成数据扫描列表之后,可以基于数据扫描列表进行扫描对象去重,具体为基于内部扫描对象历史,去除已有确定扫描结果的第一数据。在进行去重处理时,需要使用历史数据存储器与动态重复判定器,识别已经存储有相应扫描结果的第一数据,可以去除第一数据并直接反馈第一数据对应的敏感数据的扫描结果。在完成去重处理之后,可以进行数据转换,即可以将数据扫描列表中的剩余数据转换为可识别待扫描数据。至此可以基于可识别待扫描数据,进行敏感数据扫描。
上述过程通过细粒度划分相应的任务,有效提高了数据扫描组件的资源利用率,降低了相应的数据延迟。
需要说明的是,数据扫描组件可以包括调度节点以及工作节点,其中调度节点以及工作节点的功能可参见图3,调度节点可提供统一接口用于接收本地元数据和网络元数据;并用于对本地元数据设置第一标识、对网络元数据设置第二标识,且本地元数据中包括各第一分类类别的数据,各第一分类类别可对应于第一分类标识,网络元数据中包括各第二分类类别的数据,各第二分类类别可对应于第二分类标识,其中每个分类类别中可携带有对应的扫描次序。
调度节点还可以收集工作节点的负载状态,并根据负载状态选择合适的工作节点。在选定工作节点之后,可以由工作节点分拆需要分拆的聚合元数据,并在完成分拆之后进行扫描数据去重,然后转换扫描数据为后续可识别的扫描对象,最终执行敏感数据的扫描获取扫描结果。工作节点获取扫描结果后将扫描结果汇聚至调度节点,调度节点等待所有结果汇聚后,处理并聚合为最终的扫描结果,并更新相应的历史数据存储器,最后基于扫描结果进行后续反馈处理。
本发明实施例提供的数据扫描方法,可统一终端与网关的敏感数据扫描提供方,从而提供完整、统一的敏感数据判定标准;同时通过前置网关阻滞网络元数据并根据扫描结果放行部分数据,大大降低了敏感数据所导致的无效流量问题,优化了用户使用体验;通过细粒度划分相应的任务,有效提高了数据扫描组件的资源利用率,降低了相应的数据延迟。
即上述过程有效提升了敏感数据扫描效率与有效性,一定程度上提升了整体的数据防泄漏能力,确保了数据的安全性。
本发明实施例提供一种数据管控方法,应用于终端,所述终端分别与数据扫描组件和前置网关通信连接,所述前置网关与所述数据扫描组件通信连接,如图4所示,所述方法包括:
步骤401、向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,以使所述前置网关发送所述网络元数据至所述数据扫描组件。
本发明实施例应用于终端侧的数据管控方法,首先由终端向数据扫描组件发送本地元数据、向前置网关发送网络元数据,其中前置网关接收到网络元数据之后,对网络元数据进行阻滞,并将网络元数据发送至数据扫描组件。数据扫描组件在接收到终端发送的本地元数据以及前置网关发送的网络元数据之后,可以针对本地元数据和网络元数据分别进行敏感数据扫描,以确定本地元数据和网络元数据中是否包含敏感数据。并针对本地元数据确定第一扫描结果,针对网络元数据确定第二扫描结果。
步骤402、获取所述数据扫描组件对所述本地元数据进行敏感数据扫描后发送的第一扫描结果。
终端可以在数据扫描组件确定针对本地元数据的第一扫描结果后,接收数据扫描组件发送的第一扫描结果。相应的,前置网关可以在数据扫描组件确定针对网络元数据的第二扫描结果后,接收数据扫描组件发送的第二扫描结果。
步骤403、根据所述第一扫描结果对所述本地元数据进行数据管控。
终端在获取第一扫描结果之后,可以根据第一扫描结果对本地元数据进行管控处理,相应的,前置网关在获取第二扫描结果之后,可以根据第二扫描结果对网络元数据进行管控处理。其中,对网络元数据进行管控处理时,具体为拦截网络元数据中的敏感数据、输送非敏感数据。
上述实施过程,可以实现敏感数据扫描功能的共用与判定标准一致性,有效降低了敏感数据的混沌性,通过前置网关拦截敏感网络数据,实现了低延时的网关敏感数据扫描能力,并一定程度降低了无效流量的带宽占用,终端也避免了敏感数据扫描的资源占用,一定程度提高了扫描准确性,提高了终端系统的可用性。
可选的,在本发明一实施例中,所述向所述数据扫描组件发送本地元数据,包括:
根据用户行为确定第一敏感数据扫描需求,并根据所述第一敏感数据扫描需求将所述本地元数据划分为至少一个第一分类类别,设置每个所述第一分类类别对应的第一分类标识以及扫描次序;
向所述数据扫描组件发送经过分类后的所述本地元数据,每个所述第一分类类别均携带对应的第一分类标识以及扫描次序。
终端在向数据扫描组件发送本地元数据之前,可以获取用户行为,根据用户行为确定第一敏感数据扫描需求,并根据第一敏感数据扫描需求,将本地元数据划分为至少一个第一分类类别,第一分类类别中可包括至少一个数据,各第一分类类别所包括的数据的数量可以相等或不等,每个第一分类类别中分别携带对应的第一分类标识以及扫描次序,这里的扫描次序为第一分类类别的数据对应的扫描次序,第一分类类别中的第一分类标识也可理解为第一分类类别的数据所对应的第一分类标识。
在向数据扫描组件发送本地元数据时,可以向数据扫描组件发送各第一分类类别的数据,其中每个第一分类类别的数据均携带对应的第一分类标识以及扫描次序。数据扫描组件在接收到经过分类处理后、且携带第一分类标识以及扫描次序的各第一分类类别的数据之后,可以执行扫描过程。
通过发送经过分类且携带分类标识和扫描次序的本地元数据,可以便于数据扫描组件针对本地元数据识别不同的分类类别,并根据不同的类别执行扫描过程,相对减少扫描次数,且还可以按照扫描次序逐次扫描,避免出现遗漏的情况。
可选的,在本发明一实施例中,所述向所述前置网关发送网络元数据,包括:
向所述前置网关发送携带第二敏感数据扫描需求的所述网络元数据,以使所述前置网关根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,并设置每个所述第二分类类别对应的第二分类标识以及扫描次序。
在终端向前置网关发送网络元数据时,可以发送携带第二敏感数据扫描需求的网络元数据,其中第二敏感数据扫描需求可以携带分类依据、所划分的第二分类类别的数量、每个第二分类类别对应的第二分类标识以及扫描次序。前置网关可以根据第二敏感数据扫描需求将网络元数据划分为至少一个第二分类类别,并设置每个第二分类类别对应的第二分类标识以及扫描次序,这里的扫描次序为第二分类类别的数据对应的扫描次序,第二分类类别中的第二分类标识也可理解为第二分类类别的数据所对应的第二分类标识。
通过向前置网关发送携带第二敏感数据扫描需求的网络元数据,可以使得前置网关对网络元数据进行分类,进而使得数据扫描组件针对网络元数据识别不同的分类类别,并根据不同的类别执行扫描过程,相对减少扫描次数,且还可以按照扫描次序逐次扫描,避免出现遗漏的情况。
可选的,在本发明一实施例中,所述根据所述第一扫描结果对所述本地元数据进行数据管控,包括:
根据所述第一扫描结果,控制所述本地元数据中的敏感数据不支持复制至外部设备、控制所述本地元数据中的非敏感数据支持复制至外部设备。
在终端根据第一扫描结果对本地元数据进行数据管控时,具体为:根据第一扫描结果确定本地元数据中的敏感数据和非敏感数据,控制本地元数据中的敏感数据不支持复制至外部设备,控制本地元数据中的非敏感数据支持复制至外部设备。如控制终端中存储的个人信息不允许拷贝至外部设备(如U盘)、终端中的其他信息允许拷贝至外部设备。
下面对终端侧的数据管控的整体实施流程进行阐述,如图5所示:
步骤501、扫描需求生成;终端根据终端用户行为生成第一敏感数据扫描需求。
步骤502、扫描任务发起;终端根据第一敏感数据扫描需求将本地元数据划分为至少一个第一分类类别,设置每个第一分类类别对应的第一分类标识以及扫描次序,将分类后的携带第一分类标识以及扫描次序的第一分类类别的数据发送至数据扫描组件。
步骤503、敏感数据扫描;数据扫描组件进行完整、统一的敏感数据扫描。
步骤504、扫描结果反馈;终端接收相应的第一扫描结果,根据第一扫描结果进行数据管控。
上述实施过程,可统一终端与网关的敏感数据扫描提供方,从而提供完整、统一的敏感数据判定标准;同时避免了敏感数据扫描的资源占用,一定程度上提高了扫描准确性,提高了终端的可用性以及整体的数据防泄漏能力,确保了数据的安全性。
本发明实施例还提供一种数据管控方法,应用于前置网关,所述前置网关分别与数据扫描组件和终端通信连接,所述终端与所述数据扫描组件通信连接,如图6所示,所述方法包括:
步骤601、接收所述终端发送的网络元数据并发送至所述数据扫描组件。
本发明实施例应用于前置网关侧的数据管控方法,首先接收终端发送的网络元数据,并对所接收到的网络元数据进行阻滞,将网络元数据发送至数据扫描组件。其中终端还可以发送本地元数据至数据扫描组件,数据扫描组件在接收到终端发送的本地元数据以及前置网关发送的网络元数据之后,可以针对本地元数据和网络元数据分别进行敏感数据扫描,以确定本地元数据和网络元数据中是否包含敏感数据。并针对本地元数据确定第一扫描结果,针对网络元数据确定第二扫描结果。
其中,前置网关可根据网络架构进行部署,也可由管理系统指定属性形成,如部门、IP地址段等。
步骤602、获取所述数据扫描组件对所述网络元数据进行敏感数据扫描后发送的与所述网络元数据对应的第二扫描结果。
前置网关可以接收数据扫描组件对网络元数据进行敏感数据扫描后发送的第二扫描结果,相应的,终端可以接收数据扫描组件对本地元数据进行敏感数据扫描后发送的第一扫描结果。
步骤603、根据所述第二扫描结果对所述网络元数据进行数据管控。
前置网关在接收到第二扫描结果之后,可以针对第二扫描结果确定网络元数据中的敏感数据和非敏感数据,进而对敏感数据和非敏感数据进行数据管控处理。相应的,终端在获取第一扫描结果之后,可以根据第一扫描结果对本地元数据进行管控处理。
上述实施过程,可以实现敏感数据扫描功能的共用与判定标准一致性,有效降低了敏感数据的混沌性,通过前置网关实现了低延时的网关敏感数据扫描能力,并一定程度降低了无效流量的带宽占用。
可选的,在本发明一实施例中,所述接收所述终端发送的网络元数据并发送至所述数据扫描组件,包括:
接收所述终端发送的携带第二敏感数据扫描需求的所述网络元数据;
根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,设置每个所述第二分类类别对应的第二分类标识以及扫描次序;
向所述数据扫描组件发送经过分类后的所述网络元数据,每个所述第二分类类别均携带对应的第二分类标识以及扫描次序。
在接收终端发送的网络元数据时,具体为接收终端发送的携带第二敏感数据扫描需求的网络元数据,然后基于第二敏感数据扫描需求,将网络元数据进行划分,得到至少一个第二分类类别,并针对每一个第二分类类别,设置第二分类标识以及扫描次序。在向数据扫描组件发送网络元数据时,需要向数据扫描组件发送分类后的网络元数据,其中分类后的网络元数据包括至少一个第二分类类别,每个第二分类类别中携带第二分类标识和扫描次序,这里的扫描次序为第二分类类别的数据对应的扫描次序,第二分类类别中的第二分类标识也可理解为第二分类类别的数据所对应的第二分类标识。数据扫描组件在接收到经过分类处理后、且携带第二分类标识以及扫描次序的各第二分类类别的数据之后,可以执行扫描过程。
需要说明的是,前置网关侧可以引入旁路镜像器,由旁路镜像器接收终端发送的网络元数据,并针对网络元数据进行分类、设置各分类类别的分类标识和扫描次序。其中在接收第二扫描结果时,由前置网关接收。
通过发送经过分类且携带分类标识和扫描次序的网络元数据,可以便于数据扫描组件针对网络元数据识别不同的分类类别,并根据不同的类别执行扫描过程,相对减少扫描次数,且还可以按照扫描次序逐次扫描,避免出现遗漏的情况。
可选的,在本发明一实施例中,所述根据所述第二扫描结果对所述网络元数据进行数据管控,包括:
根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据。
在前置网关根据第二扫描结果对网络元数据进行数据管控时,具体为:根据第二扫描结果确定网络元数据中的敏感数据和非敏感数据,拦截网络元数据中的敏感数据,输送网络元数据中的非敏感数据至总网关,其中总网关连接网络出口,并可通过网络出口输送非敏感数据。如拦截网络元数据中的隐私数据,输送网络元数据中的其他数据至总网关,由总网关将获取的其他数据通过网络出口输送出去。
下面对前置网关侧的数据管控的整体实施流程进行阐述,如图7所示:
步骤701、扫描需求生成;前置网关获取终端发送的携带第二敏感数据扫描需求的网络元数据,通过解析网络元数据,获取第二敏感数据扫描需求。
步骤702、扫描任务发起;前置网关根据第二敏感数据扫描需求将网络元数据划分为至少一个第二分类类别,设置每个第二分类类别对应的第二分类标识以及扫描次序,将分类后的携带第二分类标识以及扫描次序的第二分类类别的数据发送至数据扫描组件。
步骤703、数据阻滞;前置网关阻滞网络元数据的外传,等待第二扫描结果。
步骤704、敏感数据扫描;数据扫描组件进行完整、统一的敏感数据扫描。
步骤705、扫描结果反馈;前置网关接收数据扫描组件发送的第二扫描结果。
步骤706、数据管控;前置网关根据第二扫描结果拦截网络元数据中的敏感数据、输送网络元数据中的非敏感数据至总网关,由总网关通过网络出口输出非敏感数据。
上述实施过程,可统一终端与网关的敏感数据扫描提供方,从而提供完整、统一的敏感数据判定标准;同时通过前置网关阻滞网络元数据并根据扫描结果放行部分数据,大大降低了敏感数据所导致的无效流量问题,优化了用户使用体验。
即上述过程有效提升了敏感数据扫描效率与有效性,一定程度上提升了整体的数据防泄漏能力,确保了数据的安全性。
下面以一具体实例对本发明实施例的数据扫描、数据管控过程进行阐述。如图8所示,某存在异地分支机构的银行客户在已部署并投产的终端和总网关基础上,分步升级并应用了数据扫描组件,在部分专有带宽较为有效的异地分支机构和总部部署了前置网关,并升级了相关终端上的终端数据防泄漏组件,将敏感数据扫描功能转向至数据扫描组件,实现了终端与前置网关共用一个数据扫描组件的模式。其中具体工作方式为:分支机构和总部机构的终端将本地元数据发送至数据扫描组件,将网络元数据发送至前置网关,前置网关将网络元数据发送至数据扫描组件,数据扫描组件进行敏感数据扫描后向终端发送第一扫描结果、向前置网关发送第二扫描结果,终端根据第一扫描结果对本地元数据进行数据管控,前置网关根据第二扫描结果对网络元数据中的敏感数据进行拦截,将非敏感数据发送至总网关,由总网关通过网络出口输送数据。
与部分未升级的分支机构进行性能对比,结果显示:得益于可利用资源的扩容,扫描准确性有一定程度的提高,且扫描速度有接近20%的提升,对部分大文件有超过50%的速度优势;同时,外传数据占用的分支机构与总行带宽有接近20%的下降,特别是在外传部分未明确定义敏感数据时,带宽占用有更大幅度的降低。另外,外传数据的结果响应速度也有一定程度的提高,产生了对数据防泄漏工作有正向推动力的用户感受。
采用本发明的技术方案,可实现敏感数据扫描功能的共用与判定标准一致性,有效降低了敏感数据的混沌性,通过部署前置网关,实现了低延时的网关敏感数据扫描能力,并一定程度降低了无效流量的带宽占用,终端也避免了敏感数据扫描的资源占用,一定程度提高了扫描准确性,提高了终端系统的可用性。另外,通过细粒度化的扫描任务调度,实现了良好的负载均衡功能,降低了数据扫描的平均延时。实施例结果表明:在特定适用场景下,基于本发明的敏感数据扫描方法能有效提高终端与网关数据防泄漏系统的数据安全防护能力。
综上,本发明实施例实现统一的敏感数据判定标准;同时避免了终端的严重资源占用,并降低了含有敏感数据导致异地无效流量的问题,提高了网关数据流转的有效性,实现了细粒度化的扫描资源占用,确保了一定程度QoS的实现。
本发明实施例提供一种数据扫描装置,应用于数据扫描组件,所述数据扫描组件分别与终端和前置网关通信连接,所述终端与所述前置网关通信连接,如图9所示,所述装置包括:
接收模块901,用于接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,所述网络元数据由所述终端发送至所述前置网关;
第一处理模块902,用于对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果;
第一发送模块903,用于将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关,以使所述终端对所述本地元数据管控、所述前置网关拦截所述网络元数据中的敏感数据并输送非敏感数据。
可选的,所述接收模块包括:
第一接收子模块,用于接收所述终端发送的经过分类后的所述本地元数据,所述本地元数据对应于至少一个第一分类类别,每个所述第一分类类别分别携带对应的第一分类标识以及扫描次序;
第二接收子模块,用于接收所述前置网关发送的经过分类后的所述网络元数据,所述网络元数据对应于至少一个第二分类类别,每个所述第二分类类别分别携带对应的第二分类标识以及扫描次序。
可选的,所述第一处理模块包括:
第一确定子模块,用于根据每个所述第一分类类别对应的扫描次序、每个所述第二分类类别对应的扫描次序,确定各所述第一分类类别和各所述第二分类类别所对应的优先级次序;
扫描子模块,用于根据所述优先级次序,对各所述第一分类类别和各所述第二分类类别的数据进行敏感数据扫描;
第二确定子模块,用于将各所述第一分类类别和各所述第二分类类别的数据所对应的扫描结果进行聚合,在聚合结果中确定所述第一扫描结果和所述第二扫描结果。
可选的,该装置还包括:
设置模块,用于在所述接收模块接收所述终端发送的本地元数据和所述前置网关发送的网络元数据之后,对所述本地元数据设置第一标识、对所述网络元数据设置第二标识;
所述第二确定子模块进一步用于:
根据所述第一标识在所述聚合结果中确定所述第一扫描结果;
根据所述第二标识在所述聚合结果中确定所述第二扫描结果。
可选的,该装置还包括:
分拆模块,用于在所述第一处理模块对所述本地元数据和所述网络元数据进行敏感数据扫描之前,将所述本地元数据和所述网络元数据中的聚合元数据进行分拆;
生成模块,用于在分拆完成后,针对所述本地元数据和所述网络元数据中的各原始数据生成数据扫描列表;
去除模块,用于去除所述数据扫描列表中已确定扫描结果的第一数据;
转换模块,用于将所述数据扫描列表中的剩余数据转换为可识别待扫描数据;
其中,所述处理模块对所述本地元数据和所述网络元数据进行敏感数据扫描时,具体用于:对可识别待扫描数据进行敏感数据扫描。
对于装置实施例而言,由于其与数据扫描方法实施例基本相似,这里不再具体阐述,相关之处参见方法实施例的部分说明即可。
第五方面,本发明实施例提供一种数据管控装置,应用于终端,所述终端分别与数据扫描组件和前置网关通信连接,所述前置网关与所述数据扫描组件通信连接,如图10所示,所述装置包括:
第二发送模块1001,用于向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,以使所述前置网关发送所述网络元数据至所述数据扫描组件;
第一获取模块1002,用于获取所述数据扫描组件对所述本地元数据进行敏感数据扫描后发送的第一扫描结果;
第一管控模块1003,用于根据所述第一扫描结果对所述本地元数据进行数据管控;
其中,所述数据扫描组件对所述网络元数据进行敏感数据扫描获取第二扫描结果,所述前置网关根据所述第二扫描结果拦截所述网络元数据中的敏感数据并输送非敏感数据。
可选的,所述第二发送模块包括:
第一处理子模块,用于根据用户行为确定第一敏感数据扫描需求,并根据所述第一敏感数据扫描需求将所述本地元数据划分为至少一个第一分类类别,设置每个所述第一分类类别对应的第一分类标识以及扫描次序;
第一发送子模块,用于向所述数据扫描组件发送经过分类后的所述本地元数据,每个所述第一分类类别均携带对应的第一分类标识以及扫描次序。
可选的,所述第二发送模块进一步用于:
向所述前置网关发送携带第二敏感数据扫描需求的所述网络元数据,以使所述前置网关根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,并设置每个所述第二分类类别对应的第二分类标识以及扫描次序。
可选的,所述第一管控模块进一步用于:
根据所述第一扫描结果,控制所述本地元数据中的敏感数据不支持复制至外部设备、控制所述本地元数据中的非敏感数据支持复制至外部设备。
对于装置实施例而言,由于其与终端侧的数据管控方法实施例基本相似,这里不再具体阐述,相关之处参见方法实施例的部分说明即可。
本发明实施例提供一种数据管控装置,应用于前置网关,所述前置网关分别与数据扫描组件和终端通信连接,所述终端与所述前置网关通信连接,如图11所示,所述装置包括:
第二处理模块1101,用于接收所述终端发送的网络元数据并发送至所述数据扫描组件;
第二获取模块1102,用于获取所述数据扫描组件对所述网络元数据进行敏感数据扫描后发送的与所述网络元数据对应的第二扫描结果;
第二管控模块1103,用于根据所述第二扫描结果对所述网络元数据进行数据管控。
可选的,所述第二处理模块包括:
第二处理子模块,用于接收所述终端发送的携带第二敏感数据扫描需求的所述网络元数据;
第三处理子模块,用于根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,设置每个所述第二分类类别对应的第二分类标识以及扫描次序;
第二发送子模块,用于向所述数据扫描组件发送经过分类后的所述网络元数据,每个所述第二分类类别均携带对应的第二分类标识以及扫描次序。
可选的,所述第二管控模块进一步用于:
根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据。
对于装置实施例而言,由于其与前置网关侧的数据管控方法实施例基本相似,这里不再具体阐述,相关之处参见方法实施例的部分说明即可。
本发明实施例还提供一种数据扫描系统,如图12所示,包括:数据扫描组件,与所述数据扫描组件通信连接的终端和前置网关,所述终端与所述前置网关通信连接;
所述终端向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,所述前置网关发送所述网络元数据至所述数据扫描组件;
所述数据扫描组件对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果,将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关;
所述终端根据所述第一扫描结果,控制所述本地元数据中的敏感数据不支持复制至外部设备、控制所述本地元数据中的非敏感数据支持复制至外部设备;所述前置网关根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据。
数据扫描系统可包括多个终端以及至少一个前置网管,还可以包括一个总网关,多个终端对应多个前置网关的敏感数据扫描流程可参见图13,终端数据防泄漏系统包括多个终端,网关数据防泄漏系统可包括多个前置网关和一个总网关,总网关通过网络出口输出数据。终端连接数据扫描组件与前置网关,前置网关连接数据扫描组件,终端向数据扫描组件发送本地元数据、向前置网关发送网络元数据,前置网关转发网络元数据至数据扫描组件,数据扫描组件进行敏感数据扫描后向终端以及前置网关发送扫描结果,终端根据对应的扫描结果进行数据管控,前置网关根据对应的扫描结果拦截敏感数据、放行非敏感数据,并传输非敏感数据至总网关,由总网关通过网络出口传输数据。
可选的,本发明实施例还提供一种电子设备,包括处理器,存储器,存储在存储器上并可在所述处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述数据扫描方法实施例的各个过程或者实现上述终端侧的数据管控方法实施例的各个过程或者实现上述前置网关侧的数据管控方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述数据扫描方法实施例的各个过程或者实现上述终端侧的数据管控方法实施例的各个过程或者实现上述前置网关侧的数据管控方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、系统、电子设备或计算机程序产品。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是根据本发明实施例的方法、装置、系统、电子设备和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理电子设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理电子设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理电子设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理电子设备上,使得在计算机或其他可编程电子设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程电子设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者装置中还存在另外的相同要素。
以上对本发明所提供的数据扫描、管控方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (17)

1.一种数据扫描方法,应用于数据扫描组件,其特征在于,所述数据扫描组件分别与终端和前置网关通信连接,所述终端与所述前置网关通信连接,所述方法包括:
接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,所述网络元数据由所述终端发送至所述前置网关;
对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果;
将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关,以使所述终端对所述本地元数据管控、所述前置网关拦截所述网络元数据中的敏感数据并输送非敏感数据。
2.根据权利要求1所述的数据扫描方法,其特征在于,所述接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,包括:
接收所述终端发送的经过分类后的所述本地元数据,所述本地元数据对应于至少一个第一分类类别,每个所述第一分类类别分别携带对应的第一分类标识以及扫描次序;
接收所述前置网关发送的经过分类后的所述网络元数据,所述网络元数据对应于至少一个第二分类类别,每个所述第二分类类别分别携带对应的第二分类标识以及扫描次序。
3.根据权利要求2所述的数据扫描方法,其特征在于,所述对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果,包括:
根据每个所述第一分类类别对应的扫描次序、每个所述第二分类类别对应的扫描次序,确定各所述第一分类类别和各所述第二分类类别所对应的优先级次序;
根据所述优先级次序,对各所述第一分类类别和各所述第二分类类别的数据进行敏感数据扫描;
将各所述第一分类类别和各所述第二分类类别的数据所对应的扫描结果进行聚合,在聚合结果中确定所述第一扫描结果和所述第二扫描结果。
4.根据权利要求3所述的数据扫描方法,其特征在于,在接收所述终端发送的本地元数据和所述前置网关发送的网络元数据之后,还包括:
对所述本地元数据设置第一标识、对所述网络元数据设置第二标识;
所述在聚合结果中确定所述第一扫描结果和所述第二扫描结果,包括:
根据所述第一标识在所述聚合结果中确定所述第一扫描结果;
根据所述第二标识在所述聚合结果中确定所述第二扫描结果。
5.根据权利要求1所述的数据扫描方法,其特征在于,所述对所述本地元数据和所述网络元数据进行敏感数据扫描之前,还包括:
将所述本地元数据和所述网络元数据中的聚合元数据进行分拆;
在分拆完成后,针对所述本地元数据和所述网络元数据中的各原始数据生成数据扫描列表;
去除所述数据扫描列表中已确定扫描结果的第一数据;
将所述数据扫描列表中的剩余数据转换为可识别待扫描数据;
其中,对所述本地元数据和所述网络元数据进行敏感数据扫描,具体为:对可识别待扫描数据进行敏感数据扫描。
6.一种数据管控方法,应用于终端,其特征在于,所述终端分别与数据扫描组件和前置网关通信连接,所述前置网关与所述数据扫描组件通信连接,所述方法包括:
向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,以使所述前置网关发送所述网络元数据至所述数据扫描组件;
获取所述数据扫描组件对所述本地元数据进行敏感数据扫描后发送的第一扫描结果;
根据所述第一扫描结果对所述本地元数据进行数据管控;
其中,所述数据扫描组件对所述网络元数据进行敏感数据扫描获取第二扫描结果,所述前置网关根据所述第二扫描结果拦截所述网络元数据中的敏感数据并输送非敏感数据。
7.根据权利要求6所述的数据管控方法,其特征在于,所述向所述数据扫描组件发送本地元数据,包括:
根据用户行为确定第一敏感数据扫描需求,并根据所述第一敏感数据扫描需求将所述本地元数据划分为至少一个第一分类类别,设置每个所述第一分类类别对应的第一分类标识以及扫描次序;
向所述数据扫描组件发送经过分类后的所述本地元数据,每个所述第一分类类别均携带对应的第一分类标识以及扫描次序。
8.根据权利要求6所述的数据管控方法,其特征在于,所述向所述前置网关发送网络元数据,包括:
向所述前置网关发送携带第二敏感数据扫描需求的所述网络元数据,以使所述前置网关根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,并设置每个所述第二分类类别对应的第二分类标识以及扫描次序。
9.根据权利要求6所述的数据管控方法,其特征在于,所述根据所述第一扫描结果对所述本地元数据进行数据管控,包括:
根据所述第一扫描结果,控制所述本地元数据中的敏感数据不支持复制至外部设备、控制所述本地元数据中的非敏感数据支持复制至外部设备。
10.一种数据管控方法,应用于前置网关,其特征在于,所述前置网关分别与数据扫描组件和终端通信连接,所述终端与所述数据扫描组件通信连接,所述方法包括:
接收所述终端发送的网络元数据并发送至所述数据扫描组件;
获取所述数据扫描组件对所述网络元数据进行敏感数据扫描后发送的与所述网络元数据对应的第二扫描结果;
根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据;
其中,所述数据扫描组件对本地元数据进行敏感数据扫描后发送第一扫描结果,所述终端根据所述第一扫描结果对所述本地元数据进行数据管控。
11.根据权利要求10所述的数据管控方法,其特征在于,所述接收所述终端发送的网络元数据并发送至所述数据扫描组件,包括:
接收所述终端发送的携带第二敏感数据扫描需求的所述网络元数据;
根据所述第二敏感数据扫描需求,将所述网络元数据划分为至少一个第二分类类别,设置每个所述第二分类类别对应的第二分类标识以及扫描次序;
向所述数据扫描组件发送经过分类后的所述网络元数据,每个所述第二分类类别均携带对应的第二分类标识以及扫描次序。
12.一种数据扫描装置,应用于数据扫描组件,其特征在于,所述数据扫描组件分别与终端和前置网关通信连接,所述终端与所述前置网关通信连接,所述装置包括:
接收模块,用于接收所述终端发送的本地元数据和所述前置网关发送的网络元数据,所述网络元数据由所述终端发送至所述前置网关;
第一处理模块,用于对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果;
第一发送模块,用于将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关,以使所述终端对所述本地元数据管控、所述前置网关拦截所述网络元数据中的敏感数据并输送非敏感数据。
13.一种数据管控装置,应用于终端,其特征在于,所述终端分别与数据扫描组件和前置网关通信连接,所述前置网关与所述数据扫描组件通信连接,所述装置包括:
第二发送模块,用于向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,以使所述前置网关发送所述网络元数据至所述数据扫描组件;
第一获取模块,用于获取所述数据扫描组件对所述本地元数据进行敏感数据扫描后发送的第一扫描结果;
第一管控模块,用于根据所述第一扫描结果对所述本地元数据进行数据管控;
其中,所述数据扫描组件对所述网络元数据进行敏感数据扫描获取第二扫描结果,所述前置网关根据所述第二扫描结果拦截所述网络元数据中的敏感数据并输送非敏感数据。
14.一种数据管控装置,应用于前置网关,其特征在于,所述前置网关分别与数据扫描组件和终端通信连接,所述终端与所述数据扫描组件通信连接,所述装置包括:
第二处理模块,用于接收所述终端发送的网络元数据并发送至所述数据扫描组件;
第二获取模块,用于获取所述数据扫描组件对所述网络元数据进行敏感数据扫描后发送的与所述网络元数据对应的第二扫描结果;
第二管控模块,用于根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据;
其中,所述数据扫描组件对本地元数据进行敏感数据扫描后发送第一扫描结果,所述终端根据所述第一扫描结果对所述本地元数据进行数据管控。
15.一种数据扫描系统,其特征在于,包括:数据扫描组件,与所述数据扫描组件通信连接的终端和前置网关,所述终端与所述前置网关通信连接;
所述终端向所述数据扫描组件发送本地元数据,并向所述前置网关发送网络元数据,所述前置网关发送所述网络元数据至所述数据扫描组件;
所述数据扫描组件对所述本地元数据和所述网络元数据进行敏感数据扫描,获取与所述本地元数据对应的第一扫描结果和与所述网络元数据对应的第二扫描结果,将所述第一扫描结果发送至所述终端、所述第二扫描结果发送至所述前置网关;
所述终端根据所述第一扫描结果,控制所述本地元数据中的敏感数据不支持复制至外部设备、控制所述本地元数据中的非敏感数据支持复制至外部设备;所述前置网关根据所述第二扫描结果,拦截所述网络元数据中的敏感数据、输送所述网络元数据中的非敏感数据至总网关,由所述总网关通过网络出口传输所述网络元数据中的非敏感数据。
16.一种电子设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至5中任一项所述的数据扫描方法的步骤或者实现如权利要求6至9中任一项所述的数据管控方法的步骤或者实现如权利要求10至11中任一项所述的数据管控方法的步骤。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的数据扫描方法的步骤或者实现如权利要求6至9中任一项所述的数据管控方法的步骤或者实现如权利要求10至11中任一项所述的数据管控方法的步骤。
CN202010583290.2A 2020-06-23 2020-06-23 数据扫描、管控方法及装置、电子设备、可读存储介质 Active CN111756732B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010583290.2A CN111756732B (zh) 2020-06-23 2020-06-23 数据扫描、管控方法及装置、电子设备、可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010583290.2A CN111756732B (zh) 2020-06-23 2020-06-23 数据扫描、管控方法及装置、电子设备、可读存储介质

Publications (2)

Publication Number Publication Date
CN111756732A CN111756732A (zh) 2020-10-09
CN111756732B true CN111756732B (zh) 2022-07-12

Family

ID=72676950

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010583290.2A Active CN111756732B (zh) 2020-06-23 2020-06-23 数据扫描、管控方法及装置、电子设备、可读存储介质

Country Status (1)

Country Link
CN (1) CN111756732B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104933443A (zh) * 2015-06-26 2015-09-23 北京途美科技有限公司 一种敏感数据自动识别与分类的方法
CN108038373A (zh) * 2017-12-20 2018-05-15 北京明朝万达科技股份有限公司 一种针对云终端的数据扫描方法及系统
CN109981619A (zh) * 2019-03-13 2019-07-05 泰康保险集团股份有限公司 数据获取方法、装置、介质及电子设备
CN110049021A (zh) * 2019-03-27 2019-07-23 中国电力科学研究院有限公司 信息系统数据安全防护方法及系统
CN110446196A (zh) * 2019-08-12 2019-11-12 中南大学湘雅医院 网关控制方法、装置及网关工作方法、装置及电子设备

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9081826B2 (en) * 2013-01-07 2015-07-14 Facebook, Inc. System and method for distributed database query engines
CN106446707A (zh) * 2016-08-31 2017-02-22 北京明朝万达科技股份有限公司 一种数据动态防泄漏系统及方法
CN107239507A (zh) * 2017-05-14 2017-10-10 四川盛世天成信息技术有限公司 一种数据脱敏中特征数据的智能感知方法及系统
CN107682361B (zh) * 2017-10-31 2020-04-14 平安科技(深圳)有限公司 网站漏洞扫描方法、装置、计算机设备及存储介质
CN108023882B (zh) * 2017-12-04 2020-09-25 北京明朝万达科技股份有限公司 一种协同数据防泄漏方法及系统
CN108052826B (zh) * 2017-12-20 2019-10-25 北京明朝万达科技股份有限公司 基于数据防泄漏终端的分布式敏感数据扫描方法及系统
US11436358B2 (en) * 2018-09-25 2022-09-06 Imperva, Inc. Data based web application firewall
CN111083132B (zh) * 2019-12-11 2022-02-18 北京明朝万达科技股份有限公司 一种具有敏感数据的web应用的安全访问方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104933443A (zh) * 2015-06-26 2015-09-23 北京途美科技有限公司 一种敏感数据自动识别与分类的方法
CN108038373A (zh) * 2017-12-20 2018-05-15 北京明朝万达科技股份有限公司 一种针对云终端的数据扫描方法及系统
CN109981619A (zh) * 2019-03-13 2019-07-05 泰康保险集团股份有限公司 数据获取方法、装置、介质及电子设备
CN110049021A (zh) * 2019-03-27 2019-07-23 中国电力科学研究院有限公司 信息系统数据安全防护方法及系统
CN110446196A (zh) * 2019-08-12 2019-11-12 中南大学湘雅医院 网关控制方法、装置及网关工作方法、装置及电子设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Ashish Lokhande.Social media data sensitivity and privacy scanning an experimental analysis with hadoop.《2017 International Conference on Information, Communication, Instrumentation and Control (ICICIC)》.2018, *
崔泽源.高校敏感信息安全及APT防护建议.《电子技术与软件工程》.2017, *

Also Published As

Publication number Publication date
CN111756732A (zh) 2020-10-09

Similar Documents

Publication Publication Date Title
CN107508795B (zh) 跨容器集群的访问处理装置及方法
EP3072260B1 (en) Methods, systems, and computer readable media for a network function virtualization information concentrator
EP2838228B1 (en) Alarm correlation analysis method, apparatus, and system
CN111800443B (zh) 数据处理系统和方法、装置以及电子设备
WO2015062536A1 (en) Data processing
CN107391770B (zh) 一种处理数据的方法、装置、设备以及存储介质
CN108989151B (zh) 用于网络或应用性能管理的流量采集方法
JP2019525604A (ja) ネットワーク機能nf管理方法及びnf管理装置
US20150006459A1 (en) Alarm Correlation Analysis Method, Apparatus and System
US12101294B2 (en) Secure message exchange between deployments
KR101916799B1 (ko) 빅데이터 서버 부하 분산 제어 장치 및 방법
KR20180068271A (ko) 클라우드 스토리지 페더레이션 환경의 가용성 개선 방법 및 그에 따른 응용 프로그램
CN110336813B (zh) 一种访问控制方法、装置、设备及存储介质
CN116708450A (zh) 负载均衡方法、装置、电子设备及计算机可读存储介质
CN112769943A (zh) 一种业务处理的方法及装置
CN111008254A (zh) 一种对象创建方法、装置、计算机设备和存储介质
CN111405021A (zh) 一种对等节点的数据传输方法、装置、设备及存储介质
CN111756732B (zh) 数据扫描、管控方法及装置、电子设备、可读存储介质
CN113177179A (zh) 数据请求连接管理方法、装置、设备及存储介质
CN106649678B (zh) 一种数据处理方法及系统
CN110545268A (zh) 一种基于过程要素的多维度拟态表决方法
CN107770038B (zh) 消息发送方法和装置
CN114020218A (zh) 混合重复数据删除调度方法及系统
CN115412549A (zh) 信息配置方法、装置及请求处理方法、装置
CN109828968B (zh) 一种数据去重处理方法、装置、设备、集群及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant