CN112000992B - 数据防泄漏保护方法、装置、计算机可读介质及电子设备 - Google Patents
数据防泄漏保护方法、装置、计算机可读介质及电子设备 Download PDFInfo
- Publication number
- CN112000992B CN112000992B CN202011182109.3A CN202011182109A CN112000992B CN 112000992 B CN112000992 B CN 112000992B CN 202011182109 A CN202011182109 A CN 202011182109A CN 112000992 B CN112000992 B CN 112000992B
- Authority
- CN
- China
- Prior art keywords
- data
- target
- database
- query
- statement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请的实施例提供了一种数据防泄漏保护方法、装置、计算机可读介质及电子设备。该数据防泄漏保护方法包括:基于终端发送的数据查询请求,确定其中的数据查询语句和发送数据查询请求的数据查询账户信息;当数据查询语句对应的待访问数据中存在目标数据,且数据查询账户信息对应的数据查询账户不具备目标数据的访问权限时,对数据查询账户信息和数据访问屏蔽语句进行封装,生成剩余数据对应的数据访问协议;将数据访问协议发送至剩余数据对应的数据库,以指示数据库基于数据访问协议将剩余数据发送至数据查询账户对应的终端。本申请实施例的技术方案降低了数据屏蔽的投入和成本,提高了数据屏蔽的效率,以及数据的安全性和隐私性。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种数据防泄漏保护方法、装置、计算机可读介质及电子设备。
背景技术
在很多数据读取和处理的应用场景中,往往存在一些数据具有较高的敏感性,或者存在一些需要隔离和屏蔽不能让外界获取到的数据,例如,某一些人的姓名、身份或者行程路线等信息。相关技术中通过设定数据脱敏规则对敏感信息进行变形,以保护敏感信息。例如,将姓名、身份证号、手机号、邮箱和通信地址等个人信息进行数据变形,以达到数据脱敏的目的。一些技术中还通过对这些数据进行掩盖或者标识的方式,有针对性的加入一些数据加密或数据脱敏的安全手段,达到数据脱敏的目的。
但是上述对数据进行脱敏的方法中,在很过情况下,非但不能通过数据变形、数据掩盖、添加标识的方式保证敏感数据的安全性,反而可能由于这些方式而暴露敏感数据给外界环境,而无法达到数据脱敏或者防泄漏的目的,从而威胁到用户隐私和数据安全,降低了数据在处理过程中的安全性和私密性。
发明内容
本申请的实施例提供了一种数据防泄漏保护方法、装置、计算机可读介质及电子设备,用于解决在处理敏感数据时数据安全性和私密性较低的问题。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的一个方面,提供了一种数据防泄漏保护方法,包括:响应于终端发起的数据查询请求,对所述数据查询请求进行账户解析处理,得到数据查询账户信息及数据查询语句;检测所述数据查询语句对应的待访问数据中是否包含需要防泄漏的目标数据,并检测所述数据查询账户信息对应的数据查询账户是否具备所述目标数据的访问权限;当所述待访问数据中包含所述目标数据,且所述数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建用于访问所述待访问数据中所述目标数据之外的剩余数据的数据访问屏蔽语句;对所述数据查询账户信息和所述数据访问屏蔽语句进行封装,生成所述目标数据之外的剩余数据对应的数据访问协议;将所述数据访问协议发送至所述剩余数据对应的数据库,以指示所述数据库基于所述数据访问协议将所述剩余数据发送至所述数据查询账户对应的终端。
根据本申请实施例的一个方面,提供了一种数据防泄漏保护方法,其特征在于,包括:生成数据查询请求,并对所述数据查询请求进行封装,生成初始数据访问协议;基于所述初始数据访问协议将所述数据查询请求发送至协议解析服务器,以使所述协议解析服务器在当数据查询请求中的数据查询语句对应的待访问数据中包含需要防泄漏的目标数据、且数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建数据访问屏蔽语句对应的数据访问协议,并将所述数据访问协议发送至数据库;获取所述数据库基于所述数据访问协议返回的剩余数据。
根据本申请实施例的一个方面,提供了一种数据防泄漏保护装置,包括:获取单元,用于响应于终端发起的数据查询请求,对所述数据查询请求进行账户解析处理,得到数据查询账户信息及数据查询语句;检测单元,用于检测所述数据查询语句对应的待访问数据中是否包含需要防泄漏的目标数据,并检测所述数据查询账户信息对应的数据查询账户是否具备所述目标数据的访问权限;语句单元,用于当所述待访问数据中包含所述目标数据,且所述数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建用于访问所述待访问数据中所述目标数据之外的剩余数据的数据访问屏蔽语句;协议单元,用于对所述数据查询账户信息和所述数据访问屏蔽语句进行封装,生成所述目标数据之外的剩余数据对应的数据访问协议;发送单元,用于将所述数据访问协议发送至所述剩余数据对应的数据库,以指示所述数据库基于所述数据访问协议将所述剩余数据发送至所述数据查询账户对应的终端。
在本申请的一些实施例中,基于前述方案,所述语句单元用于:从所述目标数据中提取出所述目标数据对应的数据标识;基于所述数据标识构建筛选条件;基于所述筛选条件和所述数据查询语句,构建访问除所述目标数据之外的剩余数据的数据访问屏蔽语句。
在本申请的一些实施例中,基于前述方案,所述获取单元用于:获取数据查询请求;对所述数据查询请求进行关键词解析,得到解析信息,其中,所述解析信息包括关键词以及所述关键词对应的信息;从所述关键词以及所述关键词对应的信息中检索出用户标识和数据查询语句;将用户标识对应的信息作为所述数据查询账户信息。
在本申请的一些实施例中,基于前述方案,所述检测单元包括:第一检测单元,用于基于预设的目标数据库,检测所述数据查询语句对应的待访问数据中是否存在目标数据;第二检测单元,用于若所述数据查询语句对应的待访问数据中存在所述目标数据,则基于所述目标数据库,检测所述数据查询账户信息对应的数据查询账户是否具备访问所述目标数据的权限。
在本申请的一些实施例中,基于前述方案,所述第一检测单元用于:基于所述目标数据库中的目标数据表,调用并执行所述数据查询语句;若返回包含目标数据的查询结果,则判定所述数据查询语句对应的待访问数据中存在所述目标数据。
在本申请的一些实施例中,基于前述方案,所述第二检测单元用于:基于所述目标数据库中的用户权限表,查询所述用户权限表中是否存在所述数据查询账户信息中的账户标识;若所述用户权限表中存在所述账户标识,则判定所述数据查询账户具备访问所述目标数据的权限。
在本申请的一些实施例中,基于前述方案,所述数据防泄漏保护装置还用于:获取所述目标数据库对应的管理账户发送的维护信息;验证所述管理账户的身份信息;在所述身份信息验证通过之后,基于所述维护信息,对所述目标数据库中的数据进行增加或者删除处理。
在本申请的一些实施例中,基于前述方案,所述发送单元用于:从数据存储信息中检索各所述剩余数据对应的数据库地址;基于各所述剩余数据对应的数据库地址,将所述数据访问协议转发至所述剩余数据对应的数据库。
在本申请的一些实施例中,基于前述方案,所述数据防泄漏保护装置还用于:当所述待访问数据中存在所述目标数据,且所述数据查询账户具备访问所述目标数据的权限时,将基于所述数据查询语句和所述数据查询账户信息封装成的数据访问协议发送至所述数据库,以使所述数据库基于所述数据访问协议将所述待访问数据发送至所述数据查询账户对应的终端。
在本申请的一些实施例中,基于前述方案,所述数据防泄漏保护装置还用于:当所述待访问数据中不存在所述目标数据时,将基于所述数据查询语句和所述数据查询账户信息封装成的数据访问协议发送至所述数据库,以使所述数据库基于所述数据访问协议将所述待访问数据发送至所述数据查询账户对应的终端。
在本申请的一些实施例中,基于前述方案,所述数据查询请求包括航班查询请求,所述目标数据包括目标姓名对应的数据;所述数据防泄漏保护装置还用于:在获取到所述航班查询请求时,确定所述航班查询请求对应的乘客数据;若所述乘客数据中存在所述目标姓名对应的数据,则基于所述航班查询请求中的数据查询语句和所述目标姓名,构建航班数据访问屏蔽语句;将所述航班数据访问屏蔽语句对应的航班数据访问协议发送至数据库,以指示所述数据库基于所述航班数据访问协议将除所述目标姓名对应的数据之外的数据发送至终端。
根据本申请实施例的一个方面,提供了一种数据防泄漏保护装置,包括:协议生成单元,用于生成数据查询请求,并对所述数据查询请求进行封装,生成初始数据访问协议;请求发送单元,用于基于所述初始数据访问协议将所述数据查询请求发送至协议解析服务器,以使所述协议解析服务器在当数据查询请求中的数据查询语句对应的待访问数据中包含需要防泄漏的目标数据、且数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建所述数据访问屏蔽语句对应的数据访问协议,并将所述数据访问协议发送至数据库;数据获取单元,用于获取所述数据库基于所述数据访问协议返回的剩余数据。
根据本申请实施例的一个方面,提供了一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述实施例中所述的数据防泄漏保护方法。
根据本申请实施例的一个方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中所述的数据防泄漏保护方法。
根据本申请实施例的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中提供的数据防泄漏保护方法。
本申请所请求保护的数据防泄漏保护方案在当检测到待访问数据中包含所述目标数据,且数据查询账户不具备目标数据的访问权限时,基于数据查询语句构建用于访问待访问数据中目标数据之外的剩余数据的数据访问屏蔽语句,以将待屏蔽的目标数据进行数据隔离,防止不具备访问权限的账户查看到目标数据。之后通过封装数据访问屏蔽语句生成目标数据之外的剩余数据对应的数据访问协议,将数据访问协议发送至剩余数据对应的数据库,以使数据库可以基于修改后的数据访问协议直接发送剩余数据至数据查询账户对应的终端,使得数据访问账户可以直接查看到滤除了目标数据之后的剩余数据,避免了数据、应用系统和数据库的改造的投入和成本,提高了数据屏蔽的效率,以及数据的安全性和私密性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示出了可以应用本申请的一个实施例的数据防泄漏保护方案中的应用系统架构的示意图。
图2示出了可以应用本申请的一个实施例中数据防泄漏保护方案的云端系统架构的示意图。
图3示意性示出了根据本申请的一个实施例的数据防泄漏保护方法的流程图。
图4示意性示出了根据本申请的一个实施例解析确定数据查询语句和数据查询账户信息的流程图。
图5示意性示出了根据本申请的一个实施例的数据获取的示意图。
图6示意性示出了根据本申请的一个实施例的一种基于数据查询语句和用户权限确定数据处理方式的流程图。
图7示意性示出了根据本申请的一个实施例的生成数据访问屏蔽语句的流程图。
图8示意性示出了根据本申请的一个实施例的生成剩余数据的数据访问屏蔽语句的流程图。
图9示意性示出了根据本申请的一个实施例的生成数据访问屏蔽语句的示意图。
图10示意性示出了根据本申请的一个实施例的数据屏蔽的流程图。
图11示意性示出了根据本申请的一个实施例的数据防泄漏保护方法的流程图。
图12示意性示出了根据本申请的一个实施例的数据防泄漏保护装置的框图。
图13示意性示出了根据本申请的一个实施例的数据防泄漏保护装置的框图。
图14示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。云技术(Cloudtechnology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。云计算是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。
数据库简而言之可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据进行新增、查询、更新、删除等操作。所谓“数据库”是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。
数据库管理系统(Database Management System,DBMS)是为管理数据库而设计的电脑软件系统,一般具有存储、截取、安全保障、备份等基础功能。数据库管理系统可以依据它所支持的数据库模型来作分类,例如关系式、XML(Extensible Markup Language,即可扩展标记语言);或依据所支持的计算机类型来作分类,例如服务器群集、移动电话;或依据所用查询语言来作分类,例如结构化查询语言(Structured Query Language,SQL)、XQuery;或依据性能冲量重点来作分类,例如最大规模、最高运行速度;亦或其他的分类方式。不论使用哪种分类方式,一些DBMS能够跨类别,例如,同时支持多种查询语言。
大数据(Big data)是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。随着云时代的来临,大数据也吸引了越来越多的关注,大数据需要特殊的技术,以有效地处理大量的容忍经过时间内的数据。适用于大数据的技术,包括大规模并行处理数据库、数据挖掘、分布式文件系统、分布式数据库、云计算平台、互联网和可扩展的存储系统。
云安全(Cloud Security) 是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全主要研究方向包括:1. 云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2. 安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3. 云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
本实施例中基于云技术中的数据库管理系统和大数据应用方式,涉及云安全中涉及的用户数据的安全存储与隔离,以保证数据的安全性和私密性,具体通过如下实施例进行说明:
图1示出了可以应用本申请的一个实施例的数据防泄漏保护方案中的应用系统架构的示意图。
如图1所示,本实施例中的应用系统架构可以包括终端设备101、服务器102以及数据库103。如图1所示,终端设备101可以包括智能手机、平板电脑和便携式计算机中的一种或多种,当然也可以是台式计算机等;终端设备101与服务器102之间可以通过网络连接,网络用以在终端设备和服务器102之间提供通信链路的介质。网络可以包括各种连接类型,例如有线通信链路、无线通信链路等等。
应该理解,图1中的终端设备、数据库和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、数据库和服务器。比如服务器102可以是多个服务器组成的服务器集群等。
在本申请的一个实施例中,服务器102可以为协议解析服务器,本实施例中服务器102可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
在本申请的一个实施例中,用户可以使用终端设备通过网络与服务器102交互,以接收或发送消息等。服务器102可以是提供各种服务的服务器,也可以为协议解析服务器。例如用户利用终端设备101向服务器102上传了数据查询请求,服务器102对终端发送的数据查询请求进行解析,确定其中的数据查询语句和发送数据查询请求的数据查询账户信息;当数据查询语句对应的待访问数据中存在目标数据,且数据查询账户信息对应的数据查询账户不具备目标数据的访问权限时,基于数据查询语句构建用于访问待访问数据中除目标数据之外的剩余数据的数据访问屏蔽语句;对数据查询账户信息和数据访问屏蔽语句进行封装,生成剩余数据对应的数据访问协议;将数据访问协议发送至剩余数据对应的数据库,以指示数据库基于数据访问协议将剩余数据发送至数据查询账户对应的终端。
上述方案,在获取到用户发送的数据查询请求之后,确定出数据查询请求中包含的数据查询语句和用户的数据查询账户信息,并在当检测到数据查询语句中对应的待访问数据中存在目标数据、且数据查询账户信息对应的账户不具备目标数据的访问权限时,在用户和数据库无感知的情况下,基于数据查询语句构建用户访问待访问数据中除目标数据之外的剩余数据的数据访问屏蔽语句,并将数据查询账户信息和数据访问屏蔽语句封装成剩余数据对应的数据访问协议,最后将数据访问协议转发至数据库中,以使数据库可以基于修改后的数据访问协议直接发送剩余数据至数据查询账户对应的终端,避免了数据、应用系统和数据库的改造,降低了数据屏蔽的投入和成本,提高了数据屏蔽的效率,以及数据的安全性和私密性。
需要说明的是,本申请实施例所提供的数据防泄漏保护方法一般由服务器102执行,相应地,数据防泄漏保护装置一般设置于服务器102中,从而执行本申请实施例所提供的屏蔽数据的方案。
图2示出了可以应用本申请的一个实施例中数据防泄漏保护方案的云端系统架构的示意图。
如图2所示,系统架构可以包括物理层设备(其中包括便携式计算机201、平板电脑202以及智能手机203中的一种或多种,当然也可以是台式计算机等等);网络204、服务器205以及云存储装置206。网络204用以在物理层设备和服务器205之间提供通信链路。网络204可以包括各种连接类型,例如有线通信链路、无线通信链路等等。
上述方案中,通过将数据存储在云端的云存储装置206中,适用于数据量较大、存储系统比较庞大的存储环境。
在本申请的一个实施例中,用户可以物理层设备通过网络204与服务器205交互,以接收或发送消息等。服务器205可以是提供各种服务的服务器,也可以为协议解析服务器。例如,用户利用智能手机203向服务器205上传了数据查询请求,服务器205对终端发送的数据查询请求进行解析,确定其中的数据查询语句和发送数据查询请求的数据查询账户信息;当数据查询语句对应的待访问数据中存在目标数据,且数据查询账户信息对应的数据查询账户不具备目标数据的访问权限时,基于数据查询语句构建用于访问待访问数据中除目标数据之外的剩余数据的数据访问屏蔽语句;对数据查询账户信息和数据访问屏蔽语句进行封装,生成剩余数据对应的数据访问协议;将数据访问协议发送至剩余数据对应的云存储装置206,以使云存储装置206基于数据访问协议将剩余数据发送至数据查询账户对应的终端。
以下对本申请实施例的技术方案的实现细节进行详细阐述:
图3示出了根据本申请的一个实施例的数据防泄漏保护方法的流程图,该数据防泄漏保护方法可以由服务器来执行,该服务器可以是图1中所示的服务器。参照图3所示,该数据防泄漏保护方法至少包括步骤S310至步骤S350,详细介绍如下:
在步骤S310中,响应于终端发起的数据查询请求,对所述数据查询请求进行账户解析处理,得到数据查询账户信息及数据查询语句。
在本申请的一个实施例中,终端在需要获取数据的时候,先发送数据查询请求至服务器。服务器在获取到数据查询请求之后,响应于终端发起的数据查询请求,对数据查询请求进行账户解析处理,以确定其中的数据查询语句和发送查询请求的数据查询账户信息,进而便可以确定数据请求方和数据内容的详细情况。
在本申请的一个实施例中,服务器可以为协议解析服务器。
在本申请的一个实施例中,如图4所示,响应于终端发起的数据查询请求,对所述数据查询请求进行账户解析处理,包括步骤S410~S440,详细说明如下:
在步骤S410中,获取数据查询请求。
在本申请的一个实施例中,用户端在获取数据时,生成数据查询请求。该数据查询请求中可以包括需要查询的数据对象信息、数据标识等信息。
图5为本申请实施例提供的一种数据获取的示意图。
如图5所示,本实施例中通过终端进行数据用户查询510,将生成的数据查询请求发送通过应用系统520发送至交换机530,之后再由交换机530将数据查询请求发送至服务器进行解析。上述方案中通过基于应用系统和交换机来发送用户查询请求至服务器,除此之外,本实施例中还可以直接通过终端设备发送用户查询请求至服务器等等。
需要说明的是,本实施例中通过将应用系统中配置的数据库IP改成协议解析工具的IP,协议解析工具变成了数据库的前置代理,协议解析工具需要配置目标数据库的IP,以使得目标数据库将数据发送至终端。
示例性的,用户可以通过web端或移动端通过应用系统提供的操作界面申请查询数据,用户可以是数据管理者、数据运维工程师、客服人员等;应用系统接收到请求,先进行用户身份认证,若符合规则应用系统生成SQL语句,再将用户信息和SQL语句等信息组成数据库数据访问协议,并发送到协议解析工具。
在步骤S420中,对数据查询请求进行关键词解析,得到解析信息,其中,解析信息包括关键词以及关键词对应的信息。
请继续参考图5所示,在本申请的一个实施例中,在获取到数据查询请求之后,对数据查询请求进行协议解析550,得到对应的解析信息,本实施例中的解析信息关键词以及关键词对应的信息。
示例性的,如图4所示,步骤S420中对数据查询请求进行关键词解析,得到解析信息的过程可以包括,对数据查询请求进行解析,生成数据查询请求对应的数据信息;对所述数据信息可读拆分,即可以拆分成关键词-数据值key-value的形式。
在步骤S430中,从关键词以及关键词对应的信息中检索出用户标识和数据查询语句。
在本申请的一个实施例中,在得到关键词及其对应的信息之后,基于其中的信息,进行检索,得到用户标识和数据查询语句。示例性的,本实施例的数据查询语句可以为SQL数据查询语句。需要说明的是,本实施例中通过重定向数据库,应用系统不直接访问数据库,需要先访问服务器,即协议解析服务器,协议解析服务器对数据访问协议进行解析,得出谁想访问哪些数据,要做什么的信息。通过上述方式可以避免终端直接访问到数据库,而到其中的敏感数据信息,威胁到数据的安全性和私密性。
在步骤S440中,将用户标识对应的信息作为数据查询账户信息。
在本申请的一个实施例中,在查询得到用户标识之后,从解析得到的数据中确定用户标识对应的信息,作为数据查询账户信息。
图6为本申请实施例提供的一种基于数据查询语句和用户权限确定数据处理方式的流程图。
如图6所示,本实施例中预设有目标数据特征库610,在步骤S620中获取终端发送的数据查询语句之后,在步骤S630中从目标数据特征库中确定数据查询语句对应的待访问数据。之后分别进行两步判断。其一为步骤S640中判断数据查询语句对应的待访问数据中是否存在目标数据,另一为S650判断用户信息对应的账户是否具备目标数据的访问权限。具体的,在本实施例中,步骤S640判断数据查询语句对应的待访问数据中是否存在目标数据,若其判断结果为否,则执行步骤S670中将数据访问协议发送至数据库;若步骤S640判断结果为是,则继续执行步骤S650中的判断过程,若S650中得到的判断结果为否,则执行步骤S660中对数据查询账户信息和数据访问屏蔽语句进行封装生成剩余数据对应的数据访问协议;若S650中得到的判断结果为是,则执行步骤S670中将数据访问协议发送至数据库。
在步骤S320中,检测所述数据查询语句对应的待访问数据中是否包含需要防泄漏的目标数据,并检测所述数据查询账户信息对应的数据查询账户是否具备所述目标数据的访问权限。
在本申请的一个实施例中,在解析得到数据查询语句和数据查询账户信息之后,本实施例中通过对数据查询语句和数据查询账户信息进行检测,得到数据查询语句对应的待访问数据中的数据属性,以及数据查询账户信息对应的用户权限,进而基于待访问数据的数据属性和用户权限,来确定具体的数据处理方式。
在本申请的一个实施例中,如图7所示,步骤S320中检测所述数据查询语句对应的待访问数据中是否包含需要防泄漏的目标数据,并检测所述数据查询账户信息对应的数据查询账户是否具备所述目标数据的访问权限,包括步骤S710~S720,详细说明如下:
在步骤S710中,基于预设的目标数据库,检测所述数据查询语句对应的待访问数据中是否存在目标数据。
在本申请的一个实施例中,预先设定有目标数据库,其中包括数据库和用户库,其中,数据库用于存储目标数据的信息,用户库用于存储具有访问权限的用户账户的信息。本实施例中基于目标数据库来检测数据查询语句对应的待访问数据中是否存在目标数据。
在本申请的一个实施例中,在步骤S710中基于设定的目标数据库,检测数据查询语句对应的待访问数据中是否存在目标数据的过程,包括:基于目标数据库中的目标数据表,执行数据查询语句;若返回包含目标数据的查询结果,则判定数据查询语句对应的待访问数据中存在目标数据;若未返回包含目标数据的查询结果,则判定数据查询语句对应的待访问数据中不存在目标数据。
示例性的,本实施例中的数据查询语句可以为SQL语句,将SQL语句在高敏感数据特征库中执行,看是否有返回结果,如果有返回结果,说明本次查询涉及高敏感数据,如果没有返回结果,则直接将数据库数据访问协议发送至目标数据库即可。
在本申请的一个实施例中,方法还包括:获取目标数据库对应的管理账户发送的维护信息;验证管理账户的身份信息;在身份信息验证通过之后,基于维护信息,对目标数据库中的数据进行增加或者删除处理。
请继续参考图5所示,本实施例中的目标数据库可以为高敏感数据特征库,其中,高敏感数据特征库中有两张表,分别是高敏感数据特征表和有权限的用户表,该库在本实施例中非常重要,因此,需要专人专岗负责,且内部不要公开,知道的人越少,安全系数越高,管理员580定期录入和更新库中数据即可。在进行目标数据库维护时,获取目标数据库对应的管理账户发送的维护信息;验证管理账户的身份信息;在身份信息验证通过之后,若确定当前的身份信息具有数据维护的权限,则基于维护信息,对目标数据库中的数据进行增加或者删除处理。
在步骤S720中,若所述数据查询语句对应的待访问数据中存在所述目标数据,则基于所述目标数据库,检测所述数据查询账户信息对应的数据查询账户是否具备访问所述目标数据的权限。
在本申请的一个实施例中,若数据查询语句对应的待访问数据中存在目标数据,则再次基于目标数据库中的数据查询账户信息库,检测数据查询账户信息对应的数据查询账户是否具备访问目标数据的权限。
具体的,在本申请的一个实施例中,在步骤S720中基于目标数据库,检测数据查询账户信息对应的数据查询账户是否具备访问目标数据的权限,包括:基于目标数据库中的用户权限表,查询用户权限表中是否存在数据查询账户信息中的账户标识;若用户权限表中存在账户标识,则判定数据查询账户具备访问目标数据的权限;若用户权限表中不存在账户标识,则判定数据查询账户不具备访问目标数据的权限。
请继续参考图5所示,在本申请的一个实施例中,如果本次基于高敏感数据特征库570查询到了高敏感数据,则需要对用户账户进行权限判断,以进行防泄漏处理560。示例性的,本实施例中将用户的用户标识在高敏感数据特征库中的用户权限表中进行遍历查询,如果查询到了该用户的用户标识,则判定数据查询账户具备访问目标数据的权限。如果未查询到了该用户的用户标识,或者查询到了但发现没有查询的权限,则判定数据查询账户不具备访问目标数据的权限,需要对该SQL语句进行改写,即增加数据查询条件和屏蔽处理。
在步骤S330中,当所述待访问数据中包含所述目标数据,且所述数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建用于访问所述待访问数据中所述目标数据之外的剩余数据的数据访问屏蔽语句。
在本申请的一个实施例中,当待访问数据中包含目标数据,且数据查询账户信息对应的数据查询账户没有访问目标数据的权限,则基于数据查询语句构建用于访问待访问数据中除目标数据之外的剩余数据的数据访问屏蔽语句,以通过这种方式,在将数据访问屏蔽语句生成的协议发送至数据库时,数据库并不知道哪些数据是目标数据,进而提高数据的私密性。
在本申请的一个实施例中,对终端发送的数据查询请求进行解析,确定其中的数据查询语句,并基于数据查询语句确定对应的目标数据之后,如图8所示,在步骤S730中基于数据查询语句构建用于访问待访问数据中除目标数据之外的剩余数据的数据访问屏蔽语句,包括步骤S731~步骤S733,详细说明如下:
在步骤S731中,从目标数据中提取出目标数据对应的数据标识。
在本申请的一个实施例中,在从目标数据中提取出数据标识时,可以先识别目标数据中的数据名称,将数据名称作为该目标数据对应的数据标识。
图9为本申请实施例提供的一种生成数据访问屏蔽语句的示意图。
如图9所示,在本申请的一个实施例中,在基于原数据查询语句910:select name,phone,address from usertable,确定其对应的待访问数据中存在的目标数据时,即高敏感数据920为“李四”以及与“李四”相关的数据,基于目标数据生成其对应的数据标识930。示例性的,在确定了目标数据为“李四”以及“李四”对应的数据信息之后,基于这些信息生成目标数据对应的数据标识为“李四”。
在步骤S732中,基于数据标识构建筛选条件。
请继续参考图9所示,在本申请的一个实施例中,生成目标数据对应的数据标识为“李四”之后,基于数据标识构建筛选条件940:where name<>“李四”,即查找除了“李四”之外的数据。
在步骤S733中,基于筛选条件和数据查询语句,生成访问除目标数据之外的剩余数据的数据访问屏蔽语句。
请继续参考图9所示,在本申请的一个实施例中,在生成筛选条件940之后,基于筛选条件940和数据查询语句910,生成访问除目标数据之外的剩余数据的数据访问屏蔽语句950:select name,phone,address from usertable where name<>“李四”。通过上述方式生成的数据访问屏蔽语句950可以生成数据访问协议,进而基于数据访问协议得到对应的数据为960,用户在客户端查询数据时,已将高敏感数据剔除掉了,从而减少了曝光率,起到了防泄露的效果。有的应用系统会将高敏感数据进行脱敏处理,虽然也起到了防泄露的作用,但还是暴露了高敏感数据的存在,有时这样做反而知道了哪些是高敏感数据,当利益达到一定程度时,就会想办法获取到这类数据。
请继续参考图6所示,在本申请的一个实施例中,还包括:当数据查询语句对应的待访问数据中存在目标数据,且数据查询账户信息对应的数据查询账户具备访问目标数据的权限时,即为数据查询账户可以访问这些目标数据。这种情况下,将基于数据查询语句和数据查询账户信息封装成的数据访问协议发送至数据库,以使数据库基于数据访问协议将待访问数据发送至数据查询账户对应的终端。
请继续参考图6所示,在本申请的一个实施例中,方法还包括:当数据查询语句对应的待访问数据中不存在目标数据时,则不需要再查询用户账户的访问权限。这种情况下,将基于数据查询语句和数据查询账户信息封装成的数据访问协议发送至数据库,以使数据库基于数据访问协议将待访问数据发送至数据查询账户对应的终端。
在步骤S340中,对所述数据查询账户信息和所述数据访问屏蔽语句进行封装,生成所述目标数据之外的剩余数据对应的数据访问协议。
在本申请的一个实施例中,在生成数据访问屏蔽语句之后,基于数据查询账户信息和数据访问屏蔽语句生成剩余数据对应的数据访问协议。本实施中的数据访问协议可以包括数据请求端的信息、数据请求内容以及数据传输方式等等。
在步骤S350中,将数据访问协议发送至剩余数据对应的数据库,以指示数据库基于数据访问协议将剩余数据发送至数据查询账户对应的终端。
请继续参考图5所示,在本申请的一个实施例中,在生成数据访问协议之后,将数据访问协议发送至剩余数据对应的数据库,以使数据库540基于数据访问协议将剩余数据发送至数据查询账户对应的终端。
在本申请的一个实施例中,将数据访问协议发送至剩余数据对应的数据库,包括:从数据存储信息中检索各剩余数据对应的数据库地址;基于各剩余数据对应的数据库地址,将数据访问协议发送至剩余数据对应的数据库。
具体的,本实施例中,目标数据库接收到数据访问协议后,进行处理,此步的处理由数据库本身完成;数据库处理完成后会生成需要返回的数据结果集,将结果集直接返回给应用系统,在这一步中协议解析工具不需要做任何事情;应用系统接收到结果集,进行展现处理;用户在web端或移动端通过应用系统提供的操作界面看到了想要查询的数据,本次数据查询操作结束。
图10为本申请实施例提供的一种数据屏蔽的流程图。
如图10所示,在步骤S1010中,用户可以通过客户端中的软件或者应用系统提供的操作界面申请查询数据,发起查询请求,其中用户可以是数据管理者、数据运维工程师、客服人员等;在步骤S1020中,应用系统对应的服务器接收到请求之后,先进行用户身份认证,若符合规则应用系统生成SQL语句,再将用户信息和SQL语句等信息组成数据库数据访问协议,并发送到协议解析工具;在步骤S1030中,数据库数据访问协议解析工具获取到协议后开始解析,首先对协议中的内容进行可读拆分,即拆分成“key-value”的形式,再对这些信息进行检索;具体的,在步骤S1031中,获取到用户信息(用户信息一般是用户的唯一性标识,例如:User ID),在步骤S1032中获取得到SQL语句;之后,在步骤S1033中将SQL语句在高敏感数据特征库中执行,看是否有返回结果,如果有返回结果,说明本次查询涉及高敏感数据,如果没有返回结果,则直接将数据库数据访问协议发送至目标数据库即可。
在步骤S1034中,如果本次查询涉及到了高敏感数据,则需要进行权限判断,将用户的User ID在高敏感数据特征库中的用户权限表中进行遍历查询,如果未查询到了该用户的User ID,或者查询到了但发现没有查询的权限,则在步骤S1035需要对该SQL语句进行改写,将特征库中标识出来的高敏感数据剔除掉,然后将改写后的SQL语句重新构建成数据库数据访问协议,发送到目标数据库;在步骤S1040中,目标数据库接收到数据访问协议后,进行处理,此步的处理由数据库本身完成;在步骤S1050中,数据库处理完成后会生成需要返回数据访问协议对应的数据集合,将结果集直接返回给用户端,在这一步中协议解析工具不需要做任何事情;在步骤S1060中,客户端接收到结果集,并通过应用软件或者应用系统进行展示;在步骤S1070中,在客户端展示数据,使得用户可以通过web端或移动端通过应用系统提供的操作界面看到了想要查询的数据,本次数据查询操作结束。
上述方案,使得数据在正常使用的情况下,用户并不知道高敏感数据已经被剔除了,实现了用户无感知,有效防止数据被泄露的同时,又保留了用户体验;本实施例主要是利用数据库的数据访问协议解析,不涉及应用系统和数据库的改造,不破坏原有的使用逻辑,安全管理员只需要定期录入或更新高敏感数据特征库即可,使用起来简单有效,投入成本较低;在本实施例中,由于采用了逻辑串联的方式,所有的数据库访问都会进行协议解析,避免了由于人为疏忽导致的遗漏现象;本实施例中需要投入的软件有:高敏感数据特征数据库1个,数据库数据访问协议解析工具或产品主备各1套,高级开发人员投入20人天左右;后续成本主要是高敏感数据特征的录入和更新、高敏感数据权限的配置。
在本申请的一个实施例中,数据查询请求包括航班查询请求,目标数据包括目标姓名对应的数据;方法还包括:在获取到航班查询请求时,确定航班查询请求对应的乘客数据;若乘客数据中存在目标姓名对应的数据,则基于航班查询请求中的数据查询语句和目标姓名,构建航班数据访问屏蔽语句;将航班数据访问屏蔽语句对应的航班数据访问协议发送至数据库,以使数据库基于航班数据访问协议将除目标姓名对应的数据之外的数据发送至终端。通过上述方式,可以使得在查询航班数据的时候,可以避开一些敏感数据,例如明星的航班信息等等,进而提高数据的私密性。
图11示出了根据本申请的一个实施例的数据防泄漏保护方法的流程图,该数据防泄漏保护方法可以由服务器来执行,该服务器可以是图1中所示的终端设备。参照图11所示,该数据防泄漏保护方法至少包括步骤S1110至步骤S1140,详细介绍如下:
在步骤S1110中,生成数据查询请求,并对数据查询请求进行封装,生成初始数据访问协议。
在本申请的一个实施例中,用户可以通过web端或移动端通过应用系统提供的操作界面申请查询数据,用户可以是数据管理者、数据运维工程师、客服人员等。应用系统接收到请求,先进行用户身份认证,若符合规则应用系统生成SQL语句,再将用户信息和SQL语句等信息封装成初始数据访问协议,并发送到协议解析服务器。
在步骤S1120中,基于初始数据访问协议将数据查询请求发送至协议解析服务器,以使协议解析服务器在当数据查询请求中的数据查询语句对应的待访问数据中存在目标数据、且数据查询账户不具备目标数据的访问权限时,基于数据查询语句构建数据访问屏蔽语句对应的数据访问协议,并将数据访问协议发送至数据库。
在本申请的一个实施例中,在生成初始数据访问协议之后,将初始数据访问协议将数据查询请求发送至协议解析服务器,以使协议解析服务器在当数据查询请求中的数据查询语句对应的待访问数据中存在目标数据、且数据查询账户不具备目标数据的访问权限时,基于数据查询语句生成数据访问屏蔽语句对应的数据访问协议,并将数据访问协议发送至数据库。
需要说明的是,上述方案与图3对应的实施例的具体执行方式相同,具体请参考图3对应的实施例,此处不做赘述。
在步骤S1130中,获取数据库基于数据访问协议返回的剩余数据。
在本申请的一个实施例中,在解析服务器生成数据访问协议并将数据访问协议发送至数据库之后,数据库基于数据访问协议返回对应的数据至终端设备,终端设备获取数据库基于数据访问协议返回的剩余数据,以避免获取到初始数据访问协议中对应的敏感数据,提高数据的隐私性。
区别于现有技术中通过终端直接访问数据库的方式,本实施例中终端的访问请求是发送至协议解析服务器的,在经过协议解析服务器的判别和处理之后,才通过数据库返回对应的数据,体现出数据的独立性和安全性
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的数据防泄漏保护方法。可以理解的是,装置可以是运行于计算机设备中的一个计算机程序(包括程序代码),例如该装置为一个应用软件;该装置可以用于执行本申请实施例提供的方法中的相应步骤。对于本申请装置实施例中未披露的细节,请参照本申请上述的数据防泄漏保护方法的实施例。
图12示出了根据本申请的一个实施例的数据防泄漏保护装置的框图。
参照图12所示,根据本申请的一个实施例的数据防泄漏保护装置1200,包括:获取单元1210,用于响应于终端发起的数据查询请求,对所述数据查询请求进行账户解析处理,得到数据查询账户信息及数据查询语句;检测单元1220,用于检测所述数据查询语句对应的待访问数据中是否包含需要防泄漏的目标数据,并检测所述数据查询账户信息对应的数据查询账户是否具备所述目标数据的访问权限;语句单元1230,用于当所述待访问数据中包含所述目标数据,且所述数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建用于访问所述待访问数据中所述目标数据之外的剩余数据的数据访问屏蔽语句;协议单元1240,用于对所述数据查询账户信息和所述数据访问屏蔽语句进行封装,生成所述目标数据之外的剩余数据对应的数据访问协议;发送单元1250,用于将所述数据访问协议发送至所述剩余数据对应的数据库,以指示所述数据库基于所述数据访问协议将所述剩余数据发送至所述数据查询账户对应的终端。
在本申请的一些实施例中,基于前述方案,所述语句单元1230用于:从所述目标数据中提取出所述目标数据对应的数据标识;基于所述数据标识构建筛选条件;基于所述筛选条件和所述数据查询语句,构建访问除所述目标数据之外的剩余数据的数据访问屏蔽语句。
在本申请的一些实施例中,基于前述方案,所述获取单元1210用于:获取数据查询请求;对所述数据查询请求进行关键词解析,得到解析信息,其中,所述解析信息包括关键词以及所述关键词对应的信息;从所述关键词以及所述关键词对应的信息中检索出用户标识和数据查询语句;将用户标识对应的信息作为所述数据查询账户信息。
在本申请的一些实施例中,基于前述方案,所述检测单元1220包括:第一检测单元,用于基于预设的目标数据库,检测所述数据查询语句对应的待访问数据中是否存在目标数据;第二检测单元,用于若所述数据查询语句对应的待访问数据中存在所述目标数据,则基于所述目标数据库,检测所述数据查询账户信息对应的数据查询账户是否具备访问所述目标数据的权限。
在本申请的一些实施例中,基于前述方案,所述第一检测单元用于:基于所述目标数据库中的目标数据表,调用并执行所述数据查询语句;若返回包含目标数据的查询结果,则判定所述数据查询语句对应的待访问数据中存在所述目标数据。
在本申请的一些实施例中,基于前述方案,所述第二检测单元用于:基于所述目标数据库中的用户权限表,查询所述用户权限表中是否存在所述数据查询账户信息中的账户标识;若所述用户权限表中存在所述账户标识,则判定所述数据查询账户具备访问所述目标数据的权限。
在本申请的一些实施例中,基于前述方案,所述数据防泄漏保护装置1200还用于:获取所述目标数据库对应的管理账户发送的维护信息;验证所述管理账户的身份信息;在所述身份信息验证通过之后,基于所述维护信息,对所述目标数据库中的数据进行增加或者删除处理。
在本申请的一些实施例中,基于前述方案,所述发送单元1250用于:从数据存储信息中检索各所述剩余数据对应的数据库地址;基于各所述剩余数据对应的数据库地址,将所述数据访问协议转发至所述剩余数据对应的数据库。
在本申请的一些实施例中,基于前述方案,所述数据防泄漏保护装置1200还用于:当所述待访问数据中存在所述目标数据,且所述数据查询账户具备访问所述目标数据的权限时,将基于所述数据查询语句和所述数据查询账户信息封装成的数据访问协议发送至所述数据库,以使所述数据库基于所述数据访问协议将所述待访问数据发送至所述数据查询账户对应的终端。
在本申请的一些实施例中,基于前述方案,所述数据防泄漏保护装置1200还用于:当所述待访问数据中不存在所述目标数据时,将基于所述数据查询语句和所述数据查询账户信息封装成的数据访问协议发送至所述数据库,以使所述数据库基于所述数据访问协议将所述待访问数据发送至所述数据查询账户对应的终端。
在本申请的一些实施例中,基于前述方案,所述数据查询请求包括航班查询请求,所述目标数据包括目标姓名对应的数据;所述数据防泄漏保护装置1200还用于:在获取到所述航班查询请求时,确定所述航班查询请求对应的乘客数据;若所述乘客数据中存在所述目标姓名对应的数据,则基于所述航班查询请求中的数据查询语句和所述目标姓名,构建航班数据访问屏蔽语句;将所述航班数据访问屏蔽语句对应的航班数据访问协议发送至数据库,以指示所述数据库基于所述航班数据访问协议将除所述目标姓名对应的数据之外的数据发送至终端。
图13示出了根据本申请的一个实施例的数据防泄漏保护装置的框图。
参照图13所示,根据本申请的一个实施例的数据防泄漏保护装置1300,包括:协议生成单元1310,用于生成数据查询请求,并对所述数据查询请求进行封装,生成初始数据访问协议;请求发送单元1320,用于基于所述初始数据访问协议将所述数据查询请求发送至协议解析服务器,以使所述协议解析服务器在当数据查询请求中的数据查询语句对应的待访问数据中存在目标数据、且数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建所述数据访问屏蔽语句对应的数据访问协议,并将所述数据访问协议发送至数据库;数据获取单元1330,用于获取所述数据库基于所述数据访问协议返回的剩余数据。
图14示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图14示出的电子设备的计算机系统1400仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图14所示,计算机系统1400包括中央处理单元(Central Processing Unit,CPU)1401,其可以根据存储在只读存储器(Read-Only Memory,ROM)1402中的程序或者从储存部分1408加载到随机访问存储器(Random Access Memory,RAM)1403中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在RAM 1403中,还存储有系统操作所需的各种程序和数据。CPU 1401、ROM 1402以及RAM 1403通过总线1404彼此相连。输入/输出(Input /Output,I/O)接口1405也连接至总线1404。
以下部件连接至I/O接口1405:包括键盘、鼠标等的输入部分1406;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1407;包括硬盘等的储存部分1408;以及包括诸如LAN(Local AreaNetwork,局域网)卡、调制解调器等的网络接口卡的通信部分1409。通信部分1409经由诸如因特网的网络执行通信处理。驱动器1410也根据需要连接至I/O接口1405。可拆卸介质1411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1410上,以便于从其上读出的计算机程序根据需要被安装入储存部分1408。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分1409从网络上被下载和安装,和/或从可拆卸介质1411被安装。在该计算机程序被中央处理单元(CPU)1401执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中提供的方法。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (14)
1.一种数据防泄漏保护方法,其特征在于,应用于前置于数据库的协议解析服务器,包括:
响应于终端发起的数据查询请求,对所述数据查询请求进行账户解析处理,得到数据查询账户信息及数据查询语句;
基于预设的目标数据库中的高敏感数据特征表,检测所述数据查询语句对应的待访问数据中是否存在目标数据;
若所述数据查询语句对应的待访问数据中存在所述目标数据,则基于所述目标数据库中有权限的用户表,检测所述数据查询账户信息对应的数据查询账户是否具备访问所述目标数据的权限;
当所述待访问数据中包含所述目标数据,且所述数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建用于访问所述待访问数据中所述目标数据之外的剩余数据的数据访问屏蔽语句;
对所述数据查询账户信息和所述数据访问屏蔽语句进行封装,生成所述目标数据之外的剩余数据对应的数据访问协议;
将所述数据访问协议发送至所述剩余数据对应的数据库,以指示所述数据库基于所述数据访问协议将所述剩余数据发送至所述数据查询账户对应的终端。
2.根据权利要求1所述的方法,其特征在于,基于所述数据查询语句构建用于访问所述待访问数据中所述目标数据之外的剩余数据的数据访问屏蔽语句,包括:
从所述目标数据中提取出所述目标数据对应的数据标识;
基于所述数据标识构建筛选条件;
基于所述筛选条件和所述数据查询语句,构建访问除所述目标数据之外的剩余数据的数据访问屏蔽语句。
3.根据权利要求1所述的方法,其特征在于,对所述数据查询请求进行账户解析处理,得到数据查询账户信息及数据查询语句,包括:
获取数据查询请求;
对所述数据查询请求进行关键词解析,得到解析信息,其中,所述解析信息包括关键词以及所述关键词对应的信息;
从所述关键词以及所述关键词对应的信息中检索出用户标识和数据查询语句;
将用户标识对应的信息作为所述数据查询账户信息。
4.根据权利要求1所述的方法,其特征在于,基于预设的目标数据库,检测所述数据查询语句对应的待访问数据中是否存在目标数据,包括:
基于所述目标数据库中的目标数据表,调用并执行所述数据查询语句;
若返回包含目标数据的查询结果,则判定所述数据查询语句对应的待访问数据中存在所述目标数据。
5.根据权利要求1所述的方法,其特征在于,基于所述目标数据库,检测所述数据查询账户信息对应的数据查询账户是否具备访问所述目标数据的权限,包括:
基于所述目标数据库中的用户权限表,查询所述用户权限表中是否存在所述数据查询账户信息中的账户标识;
若所述用户权限表中存在所述账户标识,则判定所述数据查询账户具备访问所述目标数据的权限。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述目标数据库对应的管理账户发送的维护信息;
验证所述管理账户的身份信息;
在所述身份信息验证通过之后,基于所述维护信息,对所述目标数据库中的数据进行增加或者删除处理。
7.根据权利要求1所述的方法,其特征在于,将所述数据访问协议发送至所述剩余数据对应的数据库,包括:
从数据存储信息中检索各所述剩余数据对应的数据库地址;
基于各所述剩余数据对应的数据库地址,将所述数据访问协议转发至所述剩余数据对应的数据库。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述待访问数据中存在所述目标数据,且所述数据查询账户具备访问所述目标数据的权限时,将基于所述数据查询语句和所述数据查询账户信息封装成的数据访问协议发送至所述数据库,以使所述数据库基于所述数据访问协议将所述待访问数据发送至所述数据查询账户对应的终端。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述待访问数据中不存在所述目标数据时,将基于所述数据查询语句和所述数据查询账户信息封装成的数据访问协议发送至所述数据库,以使所述数据库基于所述数据访问协议将所述待访问数据发送至所述数据查询账户对应的终端。
10.根据权利要求1所述的方法,其特征在于,所述数据查询请求包括航班查询请求,所述目标数据包括目标姓名对应的数据;
所述方法还包括:
在获取到所述航班查询请求时,确定所述航班查询请求对应的乘客数据;
若所述乘客数据中存在所述目标姓名对应的数据,则基于所述航班查询请求中的数据查询语句和所述目标姓名,构建航班数据访问屏蔽语句;
将所述航班数据访问屏蔽语句对应的航班数据访问协议发送至数据库,以指示所述数据库基于所述航班数据访问协议将除所述目标姓名对应的数据之外的数据发送至终端。
11.一种数据防泄漏保护方法,其特征在于,包括:
生成数据查询请求,并对所述数据查询请求进行封装,生成初始数据访问协议;
基于所述初始数据访问协议将所述数据查询请求发送至协议解析服务器,以使所述协议解析服务器基于预设的目标数据库中的高敏感数据特征表,检测到数据查询请求中的数据查询语句对应的待访问数据中包含需要防泄漏的目标数据、且基于所述目标数据库中有权限的用户表检测到数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建数据访问屏蔽语句对应的数据访问协议,并将所述数据访问协议发送至数据库;其中,所述协议解析服务器前置于所述数据库;
获取所述数据库基于所述数据访问协议返回的剩余数据。
12.一种数据防泄漏保护装置,其特征在于,包括:
获取单元,用于响应于终端发起的数据查询请求,对所述数据查询请求进行账户解析处理,得到数据查询账户信息及数据查询语句;
第一检测单元,用于基于预设的目标数据库中的高敏感数据特征表,检测所述数据查询语句对应的待访问数据中是否存在目标数据;
第二检测单元,用于若所述数据查询语句对应的待访问数据中存在所述目标数据,则基于所述目标数据库中有权限的用户表,检测所述数据查询账户信息对应的数据查询账户是否具备访问所述目标数据的权限;
语句单元,用于当所述待访问数据中包含所述目标数据,且所述数据查询账户不具备所述目标数据的访问权限时,基于所述数据查询语句构建用于访问所述待访问数据中所述目标数据之外的剩余数据的数据访问屏蔽语句;
协议单元,用于对所述数据查询账户信息和所述数据访问屏蔽语句进行封装,生成所述目标数据之外的剩余数据对应的数据访问协议;
发送单元,用于将所述数据访问协议发送至所述剩余数据对应的数据库,以指示所述数据库基于所述数据访问协议将所述剩余数据发送至所述数据查询账户对应的终端。
13.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至11中任一项所述的数据防泄漏保护方法。
14.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至11中任一项所述的数据防泄漏保护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011182109.3A CN112000992B (zh) | 2020-10-29 | 2020-10-29 | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011182109.3A CN112000992B (zh) | 2020-10-29 | 2020-10-29 | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112000992A CN112000992A (zh) | 2020-11-27 |
| CN112000992B true CN112000992B (zh) | 2021-03-16 |
Family
ID=73475246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011182109.3A Active CN112000992B (zh) | 2020-10-29 | 2020-10-29 | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112000992B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114866532B (zh) * | 2022-04-25 | 2023-11-10 | 安天科技集团股份有限公司 | 端点文件安全检查结果信息上传方法、装置、设备及介质 |
| CN115086269A (zh) * | 2022-06-15 | 2022-09-20 | 中银金融科技有限公司 | 基于企业微信的通讯录查询方法及装置 |
| CN115481448B (zh) * | 2022-09-16 | 2023-06-20 | 昆仑数智科技有限责任公司 | 数据获取方法、装置、服务器及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102844756A (zh) * | 2010-03-15 | 2012-12-26 | 迪纳米科普斯公司 | 具有基于角色的访问控制的计算机关系数据库方法和系统 |
| CN104077284A (zh) * | 2013-03-26 | 2014-10-01 | 中国移动通信集团湖北有限公司 | 一种数据安全访问方法及系统 |
| CN107292188A (zh) * | 2016-04-12 | 2017-10-24 | 北京明略软件系统有限公司 | 一种控制用户访问权限的方法和装置 |
| CN109815284A (zh) * | 2019-01-04 | 2019-05-28 | 平安科技(深圳)有限公司 | 一种数据处理的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104166812B (zh) * | 2014-06-25 | 2017-05-24 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
-
2020
- 2020-10-29 CN CN202011182109.3A patent/CN112000992B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102844756A (zh) * | 2010-03-15 | 2012-12-26 | 迪纳米科普斯公司 | 具有基于角色的访问控制的计算机关系数据库方法和系统 |
| CN104077284A (zh) * | 2013-03-26 | 2014-10-01 | 中国移动通信集团湖北有限公司 | 一种数据安全访问方法及系统 |
| CN107292188A (zh) * | 2016-04-12 | 2017-10-24 | 北京明略软件系统有限公司 | 一种控制用户访问权限的方法和装置 |
| CN109815284A (zh) * | 2019-01-04 | 2019-05-28 | 平安科技(深圳)有限公司 | 一种数据处理的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112000992A (zh) | 2020-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3726411B1 (en) | Data desensitising method, server, terminal, and computer-readable storage medium | |
| US10560465B2 (en) | Real time anomaly detection for data streams | |
| CN112000992B (zh) | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 | |
| US11425169B2 (en) | Small-footprint endpoint data loss prevention (DLP) | |
| CN107409126B (zh) | 用于保护企业计算环境安全的系统和方法 | |
| CN110870279B (zh) | 安全策略分析器服务和可满足性引擎 | |
| US20230087267A1 (en) | Alarm processing method and apparatus, electronic device, computer program product, and computer-readable storage medium | |
| CN110213207B (zh) | 一种基于日志分析的网络安全防御方法及设备 | |
| CN111104652B (zh) | 权限管理方法和装置、计算机可读存储介质、电子设备 | |
| CN110795315A (zh) | 监控业务的方法和装置 | |
| US20220229657A1 (en) | Extensible resource compliance management | |
| US11416631B2 (en) | Dynamic monitoring of movement of data | |
| Tao et al. | Graph database-based network security situation awareness data storage method | |
| CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、系统及装置 | |
| CN111488594A (zh) | 一种基于云服务器的权限检查方法、装置、存储介质及终端 | |
| CN114254389A (zh) | 报文脱敏方法、装置、电子设备及介质 | |
| Wang et al. | Fgl_droid: An efficient android malware detection method based on hybrid analysis | |
| US10382463B2 (en) | Techniques and architectures for cross-organization threat detection | |
| US11947694B2 (en) | Dynamic virtual honeypot utilizing honey tokens and data masking | |
| Roschke et al. | An alert correlation platform for memory‐supported techniques | |
| CN114357032A (zh) | 一种数据质量监控方法、装置、电子设备及存储介质 | |
| CN113760856A (zh) | 数据库管理方法及装置、计算机可读存储介质、电子设备 | |
| JP7408530B2 (ja) | セキュリティ管理システム、及びセキュリティ管理方法 | |
| CN114254081B (zh) | 企业大数据搜索系统、方法及电子设备 | |
| CN116723002B (zh) | 基于态势感知的电力报告智能加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |