CN112215505A - 一种适应于电力行业的数据安全智能管控平台 - Google Patents
一种适应于电力行业的数据安全智能管控平台 Download PDFInfo
- Publication number
- CN112215505A CN112215505A CN202011117484.XA CN202011117484A CN112215505A CN 112215505 A CN112215505 A CN 112215505A CN 202011117484 A CN202011117484 A CN 202011117484A CN 112215505 A CN112215505 A CN 112215505A
- Authority
- CN
- China
- Prior art keywords
- data
- management
- asset
- security
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Strategic Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Bioethics (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Databases & Information Systems (AREA)
- Game Theory and Decision Science (AREA)
- Medical Informatics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种适应于电力行业的数据安全智能管控平台,包括数据采集层、存储处理层、数据分析层和数据安全应用层,通过可视化视图全面掌握用户数据库、存储系统,从数据维度获取数据资产情况,针对性的发现相关敏感数据,并对其进行分类分级,从安全角度梳理数据资产,满足符合行业法规的要求。通过数据流向的地图化展示,有效监控敏感数据的流向。提供数据标签策略、策略基线以及策略版本的全面数据安全策略管理,结合数据资产信息、数据行为审计信息,通过多种数据分析模型,实现数据的多种维度的展示,以及数据流转过程中的态势呈现和风险识别,并且提供统计分析报表的能力。
Description
技术领域
本发明涉及电力行业数据安全防护技术领域,尤其涉及一种适应于电力行业的数据安全智能管控平台。
背景技术
随着信息化的快速发展,如今数据是政府和企业的核心资产的观念已被普遍认可。随之而来,如何保护数据资产成为数据安全的重中之重。电力行业是国民经济的基础产业,是国民经济发展和人民生活极其重要的基础设施之一。随着国网公司电力物联网建设的不断深入,传统的业务应用模式也在发生巨大的变革,数据成为国家电网完成业务使命的重要基础性战略资产。近年来,在智能电网和全球能源互联网背景下,电网信息技术不断发展,各类智能电网业务系统数据集中存储越来越多。数据的不断集中,增加了很多的潜在风险,比如:攻击目标的集中、数据集中造成的价值集中等,数据安全风险将成为国网未来将长期面临的主要问题之一。业务系统数据是组织的重要资产,不仅对智能电网发、输、变、配、用电各环节业务具有价值,同时对电网公司的决策、战略规划都具有重要意义。与此同时,我国信息系统的安全漏洞不断涌现,网络安全形势十分严峻,信息安全事件层出不穷,电力行业的业务系统也面临着严峻的安全威胁。电网建设运行过程中产生海量的数据信息,这些数据信息一旦泄露,将泄露电力用户个人信息安全,对电力用户和电力公司造成巨大的经济损失。
当前,国网公司在数据安全建设方面已经全面开展了体系化建设工作。在传统的网络安全领域,目前已经形成了明确的安全管理规范及方法,可以有效发现网络中存在的潜在风险,但在数据安全方面却缺乏必要的理论依据及方法论,在数据资产管理、数据流转追踪控制、数据风险分析及展示等方面缺乏有效的手段。因此,研发数据安全智能管控平台,可以有效防止数据信息的外泄,确保电网运行数据信息的安全性。
发明内容
本发明的目的就是为了解决上述问题,提供一种适应于电力行业的数据安全智能管控平台。数据安全智能管控平台的目标是通过可视化视图全面掌握用户数据库、存储系统,从数据维度获取数据资产情况,针对性的发现相关敏感数据,并对其进行分类分级,从安全角度梳理数据资产,满足符合行业法规的要求。通过数据流向的地图化展示,有效监控敏感数据的流向。提供数据标签策略、策略基线以及策略版本的全面数据安全策略管理,结合数据资产信息、数据行为审计信息,通过多种数据分析模型,实现数据的多种维度的展示,以及数据流转过程中的态势呈现和风险识别,并且提供统计分析报表的能力。
具体地,本发明提出一种数据安全智能管控平台,包括数据采集层、存储处理层、数据分析层和数据安全应用层;所述数据采集层作为数据安全智能管控平台的数据来源,所述存储处理层用于对所述数据采集层采集上来的数据进行存储及预处理,所述数据分析层对整个数据生命周期使用的过程中提供数据支撑;所述数据安全应用层为所述平台的功能实现部分,根据需要提供资产态势显示、数据风险态势显示、数据安全管控、数据安全运营功能。
所述数据采集层分为数据资产发现模块、数据风险监测模块、数据流量审计模块、第三方导入模块和管控防护组件。
所述存储处理层包括数据处理模块和数据存储模块,用于对所述数据采集层采集上来的数据进行存储及预处理。
所述数据分析层分为数据资产分析模块、数据安全事件分析模块、数据风险分析模块、脆弱性分析模块、数据流动分析模块、用户行为分析模块、知识图谱分析模块,对整个数据生命周期使用的过程中提供全面的数据支撑。
所述数据分析层还包括场景分析模块和建模分析模块,其中场景分析模块根据已经成熟的应用场景提供标准模板,建模分析模块提供模型管理,机器学习,算子算法和任务调度功能。
所述数据安全应用层包括数据资产分级分类管理模块、数据风险监控管理模块、数据安全统计分析管理模块、数据安全策略管理模块和知识图谱管理模块,并根据需要提供数据资产态势、数据风险态势、数据安全管控、数据安全运营功能。
本发明采用大数据技术进行设计,能够根据用户的数据资产体量进行快速分析,能够支持多数据源进行内容的抓取、管理和处理,从而为用户提供全面的数据安全保护。
一是具备全面的数据资产扫描能力,可根据用户数据资产的现状提供相应的数据治理功能,提供相应的数据扫描功能。二是具备强大的数据风险监控能力,可提供账号风险管理功能、根据账号建立相应的行为基线管理、提供异常账号分析管理功能、提供异常行为分析管理功能。三是可为用户建立以数据为中心的数据安全监管能力,通过对用户数据和业务环境以“数据”为视角进行信息化安全建设,对用户数据进行分类分级保护,实现数据全生命周期安全监控。四是可为用户提供业务数据可视、可管、可防护的能力,通过为用户全面掌握全域敏感数据资产分类、分级及分布情况,有效监控敏感数据流转路径和动态流向,通过集中化数据安全管控策略管理,实现数据分布、流转、访问过程中的态势呈现和风险识别。可提供数据防泄漏、大数据安全防护、数据加密脱敏、数据库审计等进行数据收集,通过采集引擎和控制引擎进行隐私数据收集与管控,为用户实现对数据发现、集中化策略管理、数据泄露分析、数据安全运营的全生命周期管控,展示层主要提供敏感数据分布视图、敏感数据事件视图、敏感数据风险视图和敏感数据策略视图。
与现有技术相比,本发明具有以下有益的技术效果:
1、数据分类分级通过对元数据和内容深度识别,利用指纹、人工智能AI等算法,自动对数据进行标注,大大提高数据分类分级和数据标注的效率。
2、系统支持丰富的探针组件,包括数据发现、脆弱性扫描、应用行为审计、数据库、数据流动探针、日志审计、数据防泄漏、数据库安全网关、大数据审计等。
3、数据分析层计算支持多种基础算法,并集成了人工智能AI技术,支持实时计算和离线分析,支持任务的调度编排。
4、存储处理层采用基于MPP的分布式数据存储架构,高并发、高可用,支持线性扩展能力。
5、采用基于标签的统一数据安全策略管控手段,实现覆盖数据全生命周期的访问控制、脱敏、加密、防泄漏等措施的协同联动,最终达到数据分级管控的目标。
6、采用用户个体行为分析UEBA技术,建立数据安全访问行为的基线,识别异常访问行为。
附图说明
图1是本发明的数据安全智能管控平台总体框架示意图。
图2是本发明的数据安全智能管控平台特性示意图。
图3是本发明的数据安全智能管控平台应用场景示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
数据安全智能管控平台的总体架构如图1所示,该平台共分为四层,分别为数据采集层(数据管控层)、存储处理层、数据分析层、数据安全应用层。
数据采集层(数据管控层)作为数据安全智能管控平台的数据来源的重要组成部分,分为四个组件,数据资产发现模块、数据风险监测模块、数据流量审计模块、第三方导入模块。如果需要加入控制手段的话,还可以增加管控防护组件。
其中数据资产发现模块用于进行数据库资产扫描,文件资产扫描和大数据资产扫描。
数据风险监测模块用于漏洞扫描,脆弱性扫描,应用访问监控,用户访问监控,数据传输监控和配置脆弱性监测。
数据流量审计模块的功能包括数据库流量采集,大数据流量采集和网络数据流量采集。
第三方导入模块的功能包括数据资产导入,数据风险监测导入和数据流量导入。
管控防护组件的功能包括:数据脱敏,数据加密,数据防泄漏,大数据安全防护,第三方安全防护和数据库安全防护。
存储处理层包括数据处理模块和数据存储模块,用于对所述数据采集层采集上来的数据进行存储及预处理。其中数据存储模块提供各种数据存放的方式,包括MPP数据库、数据仓库HIVE、缓存Redis、关系型数据库Mysql、文件存储HDFS和图数据库Titan,满足绝大部分的数据类型,从而为数据安全智能管控平台提供数据支撑。数据处理模块则提供数据存储标准化、数据去重/补全、数据归一/过滤、数据归并、数据特征提取等多种功能,为进行深度分析提供标准数据类型。
数据分析层作为数据安全管控平台的核心部分,主要根据采集数据的不同类型以及目的不同,分为数据资产分析模块、数据安全事件分析模块、数据风险分析模块、脆弱性分析模块、数据流动分析模块、用户行为分析模块、知识图谱分析模块等,从而对整个数据生命周期使用的过程中提供全面的数据支撑。还包括场景分析模块和建模分析模块,其中场景分析模块根据已经成熟的应用场景提供一些标准模板,例如个人信息应用场景、白名单防护场景、违规人员使用场景、企业信息防护场景、非法数据访问场景和行业数据泄露场景等。建模分析模块提供模型管理,机器学习,算子算法和任务调度功能。
数据资产分析模块用于支撑数据安全应用层的数据资产分类分级管理模块及数据风险监控管理模块,包括数据资产统计、数据资产分布、资产风险管理、资产相关统计、资产操作管理、资产权益保护等结果的展示。通过对数据资产进行关联分析,并根据分析结果为用户提供数据资产态势,使用户能够快速了解当前数据资产状态,可为用户提供数据资产分布视图、敏感数据分布视图、数据分级分类视图、数据资产热度视图等。数据资产分析模块对数据资产进行分析后,为数据安全应用层的资产分析管理提供基础。
数据安全事件分析模块用于支撑数据安全应用层的数据风险监控管理模块及数据安全统计分析管理模块,包括事件增量趋势、风险事件top、安全事件统计分析等结果的展示。通过对数据安全事件进行分析,为数据安全应用层的数据安全事件分析及管理提供基础。
数据风险分析模块用于支撑数据安全应用层的数据风险监控管理模块及数据安全统计分析管理模块,包括数据风险全景、数据风险趋势等结果的展示。通过对数据风险进行分析,为数据安全应用层的数据风险分析及监控管理提供基础。
脆弱性分析模块用于支撑数据安全应用层的数据资产分类分级管理模块、数据风险监控管理模块及数据安全统计分析管理模块,包括资产、数据安全风险分析等结果的展示。通过对脆弱性进行分析后,为数据安全应用层的资产管理、数据风险监控管理及统计分析管理提供基础。
数据流动分析模块用于支撑数据安全应用层的数据资产与账号的访问关系视图的展示。可通过账号访问的时间以及路径对数据资产的调用进行展示,并可根据时间范围进行选择。并建立全局数据资产流向展示,能够对某个数据资产或某个账号使用过的数据路径进行高亮展示,从而快速定位到账号在使用数据的业务流程,当出现异常访问时可给予相应的安全告警。
用户行为分析模块用于支撑数据安全应用层的数据资产与应用的访问关系视图展示。可通过应用访问的时间以及路径对数据资产的调用进行展示,并可根据时间范围进行选择。并建立全局数据资产流向展示,能够对某个数据资产或某个应用使用过的数据路径进行高亮展示,从而快速定位到应用在使用数据的业务流程,当出现异常访问时可给予相应的安全告警。
知识图谱分析模块用于支撑数据安全应用层的知识图谱管理,包括图谱全局管理、数据血缘图谱、业务关联图谱、业务威胁图谱、图谱版本更新等功能模块的展示。
数据安全应用作为数据安全智能管控平台的功能实现部分,主要包括数据资产分级分类管理模块、数据风险监控管理模块、数据安全统计分析管理模块、数据安全策略管理模块、知识图谱管理模块5大部分内容。并根据需要提供数据资产态势、数据风险态势、数据安全管控、数据安全运营等功能。
其中数据资产分类分级管理模块的功能包括:数据资产统计、数据资产分布管理,敏感数据分布管理,热点数据分布管理,数据增量趋势管理,数据资产治理,资产安全管理,资产权益保护,资产操作管理和数据资产清单管理。
数据风险监控管理模块的功能包括:数据风险全景管理,资产风险管理,账户风险管理,应用风险管理,事件增量管理,数据风险趋势分析,风险事件top统计,资产风险统计,用户风险统计和账号风险统计。
数据安全统计分析管理模块的功能包括:常规统计分析,资产相关统计,账号相关统计,应用相关统计,自定义查询,自定义报表和安全事件统计。
数据安全策略管理模块的功能包括:数据标签管理,标签分级管理,标签分类管理,访问控制管理,脱敏策略管理,加密策略管理,防泄漏管理,接口安全管理和安全策略规划管理。
知识图谱管理模块的功能包括:图谱全局管理,数据血缘图谱,业务关联图谱,业务威胁图谱和图谱版本更新。
本发明的数据安全智能管控平台可以实现如下重要功能:
数据资产态势
其中数据资产态势为用户提供数据资产态势,使用户能够快速了解当前数据资产状态,可为用户提供数据资产视图、敏感数据分布视图、数据分级分类视图、数据资产热度视图等。
数据资产分类分级管理模块中,通过对数据资产进行分析并以数据资产视图进行展示,对已注册的数据资产进行统计,并进行相应的展现,展现过程体现为数据资产总数,并根据资产的重要度不同进行分级展现。并可根据数据资产类型分布主要物理位置、逻辑地址作为展示内容,为用户做整体展现。
数据资产分类分级管理模块中,通过对敏感数据进行分析并以敏感数据分布视图进行展示,主要是基于敏感数据资产检测结果进行统计分析的态势结果。敏感数据依据检测工具中的数据分级分类策略进行展现,其中展示的内容包含敏感数据类型分布、敏感数据量化展示、敏感数据属性展示。敏感数据类型分布主要按照物理位置和逻辑地址。敏感数据按照分级分类原则(具体参照各行业的分类分级规范)进行展现,并采用多种图表进行比例展现,且每个子类均可以单独展现。
数据资产分类分级管理模块中,数据分级分类主要是针对当前数据进行分类分级展现的视图。可针对非结构化数据、结构化数据进行独立展现。非结构化数据可对数据所存储系统类型进行展现,并提供图表展示,对于非结构化数据按照分级分类策略提供数据域展示,可直观展示非结构化数据在分级分类策略中使用次数。可对非结构的数据所在数据分级分类级别中分别进行展示,并可提供多种图片进行比例展现,并对占比较高的分类、分级级别数据可进行排序,直观的了解到非结构化数据的分类分级视图。结构化数据可对数据所存储数据库系统类型进行展现,并提供图表展示,对于结构化数据按照分级分类策略提供数据域展示,可直观展示结构化数据在分级分类策略中使用次数。可对结构的数据所在数据分级分类级别中分别进行展示,并可提供多种图片进行比例展现,并对占比较高的分类、分级级别数据可进行排序,直观的了解到结构化数据的分类分级视图。
数据资产分类分级管理模块中,热点数据分布视图主要是对于使用比较频繁的数据资产进行视图展示。可根据数据资产活跃度进行相应的展示,并提供高热资产Top10视图、低热资产Top10视图以及高热/低热数据资产的详细信息,能够快速了解到当前数据资产的访问频度。
数据风险态势
数据风险监控管理模块中,通过对数据安全事件及数据风险进行分析,并为用户提供数据风险的全景视图,包括数据安全事件概述视图、数据安全事件量视图、数据安全风险趋势视图、数据资产流向视图、应用行为流向视图等。
通过对数据安全事件分析后,并以数据安全事件概述视图形式进行展示,根据用户环境实际的事件内容直观展现当前环境中出现的数据安全事件的统计结果,包含数据资产事件维度、应用事件维度、账号事件维度,并可根据不同的时间期限进行展示,让客户快速、便捷的看到数据安全事件。
通过对数据风险分析后,并以数据安全风险趋势视图进行展示,主要适用于数据安全事件进行分类统计,并以曲线图展示,可根据不同的时间维度进行展示,也可根据不同的事件种类进行选择展示,并根据事件发生区间进行颜色区分,从而快速判断数据安全事件风险。
通过对数据流动分析后,并以数据资产流向视图进行展示,用于对于数据资产与账号的访问关系视图。可通过账号访问的时间以及路径对数据资产的调用进行展示,并可根据时间范围进行选择。并建立全局数据资产流向展示,能够对某个数据资产或某个账号使用过的数据路径进行高亮展示,从而快速定位到账号在使用数据的业务流程,当出现异常访问时可给予相应的安全告警。
通过对用户行为分析后,并以数据应用行为视图进行展示,用于对于数据资产与应用的访问关系视图。可通过应用访问的时间以及路径对数据资产的调用进行展示,并可根据时间范围进行选择。并建立全局数据资产流向展示,能够对某个数据资产或某个应用使用过的数据路径进行高亮展示,从而快速定位到应用在使用数据的业务流程,当出现异常访问时可给予相应的安全告警。
数据安全管控
数据安全管控作为数据安全技术手段的执行管理界面,包含数据安全管控全景图及安全策略中心。通过在数据标签管理、标签分级管理,标签分类管理,访问控制管理,脱敏策略管理,加密策略管理,防泄漏管理,接口安全管理和安全策略规划管理模块做相应的策略配置,实现对数据安全管控的目的。
数据安全管控全景图用于展现数据安全管控节点以及防护手段的逻辑架构图,对于数据安全组件部署的位置、已执行的数据安全组件策略、已完成的策略结果等进行展现,并能够根据组件的类别进行单独展现。
安全策略中心用户展示当前数据安全智能管控平台的数据安全组件状态。包括DLP、数据脱敏、数据加密、数据访问控制、大数据安全防护等。并能够根据单独的数据安全组件进行已添加策略、已执行策略、已失效策略等多个维度状态展示,并能够根据策略执行的成功率给出业务风险值参考等。
数据安全运营
数据安全运营模块的功能为实现对业务价值的输出,通过利用关键数据支撑业务决策,影响业务在风险环节的资源投入,采用基础工具、组件服务支持,提升安全管控能力,降低业务安全上的成本。其包括数据安全核查,全局审计管理,数据资产运维管理,数据资产账号管理子模块。
数据安全核查
数据安全策略管理:提供数据安全核查策略查询功能,并提供整体安全策略列表展示。提供策略行为模板基线,提供匹配策略功能。提供关联式、复杂性、业务性多种查询组合。支持查询策略的导出,并提供多种导出模式,包含CSV/TXT/XLS等格式。并能够根据当前业务需求制定专项检查策略,根据专项检查的需求,自由组合核查策略模板,并进行执行提供相应的分析报告。
数据安全核查策略模板管理:提供内置检查模板,依据场景不同提供一个或多个安全策略组。并能够自动匹配关联对象策略,提供模板创建、变更、停用、同步功能,且提供模板可根据字段进行查询,包括不限于模板编号、模板名称、模板类别等。
数据安全策略检测:提供安全策略检查功能,管理员执行过程中对此策略具备管控权限,结果自动上报及汇总,并提供分析报告及评价报告。
全局审计管理
提供全局审计管理功能,可对当前业务环境中的数据资产、账号行为、应用行为等进行审计管理,并根据不同的业务需求生成相应的上报报告。
数据资产运维管理
提供数据资产运维管理功能。可对数据资产进行梳理化处理,包括资产名称、IP地址、准入状态、数据库实例、资源类型、来源方式、业务名称进行梳理,对于数据资产执行状态管理,提升数据资产的安全性。并能够根据数据资产的内部数据类型组成进行图形化展现,快速分辨数据资产的级别、类别,并甄别访问的合规性。
数据资产账号管理
提供数据资产账号管理功能。可针对操作数据资产的账号进行全局管理,包括提供资产账号详表,内容包含账号、准入状态、资产名称、资产类型、来源方式、活跃度等。建立账号行为热图,可针对日常账号访问的频次、时间进行矩阵式排序,从而直观看到账号的使用情况。根据账号使用的基线分析,对于异常账号访问、异常操作访问进行管理,发现数据资产风险,并给与通报。
如图2所示,本发明的数据安全智能管控平台特性如下:
基于大数据技术的平台设计
平台采用大数据技术进行设计,能够根据用户的数据资产体量进行快速分析,能够支持多数据源进行内容的抓取、管理和处理,从而为用户提供全面的数据安全保护。
本发明的平台特性包括:
全面的数据资产扫描能力
根据用户数据资产的现状提供相应的数据治理功能,提供相应的数据扫描功能。支持扫描数据库、表、列、目录、文件等数据资产,支持扫描数据库/表/列、文件数据资产,包括但不限于oracle、mysql、sqlserver、DB2、teradata、informix、sybase、greenplum、Postgresql、hive、DM、Gbase、KingBase、cache、kudu、Gauss、hana、Hbase、HDFS等。支持多种协议扫描,包括但不限http、sftp、ftp、nfs、CIFS等。提供不少于20种数据识别功能,内置预定义数据分类分级规则、数据标签,可提供自动的数据分类分级、数据标签标识。提供元数据资产管理库,实现元数据抽取、存储及管理,包括元数据、数据资产、数据流向自动更新和人工维护功能,支持数据标签自定义。提供元数据的抽取、存储和管理。元数据存储内容包含元数据信息、数据分类分级信息以及数据标签信息等。
强大的数据风险监控能力
提供账号风险管理功能。能够根据账号的访问过程建立相应的账号关系图,并进行图形化展示,并且对于账号总数、账号活跃度、账号事件数等进行相应的统计。并可以根据任意数据资产进行账号关系查询。
可以根据账号建立相应的行为基线管理。可以根据账号建立相应的行为基线,可以定义某个时间段的账号使用权限及管理,并且能够建立组基线、角色基线等。
提供异常账号分析管理功能。对于不符合基线的账号访问动作进行监控并记录。
提供异常行为分析管理功能。对于触发不符合访问内容基线的异常行为进行监测并记录。
为用户建立以数据为中心的数据安全监管能力
通过对用户数据和业务环境以“数据”为视角进行信息化安全建设,对用户数据进行分类分级保护,重点保护“敏感信息”,明确“允许谁(WHO),在哪种环境下(Where),什么时候(When)、对什么信息(What)、使用什么方法(How)、做(Do)什么操作(4W1H1D)”,对数据全生命周期做到“可视化”、“可量化”、“可审计”和“可感知”、“可控制”。
为用户提供业务数据可视、可管、可防护的能力
为用户全面掌握全域敏感数据资产分类、分级及分布情况,有效监控敏感数据流转路径和动态流向,通过集中化数据安全管控策略管理,实现数据分布、流转、访问过程中的态势呈现和风险识别。可提供数据防泄漏、大数据安全防护、数据加密脱敏、数据库审计等进行数据收集,通过采集引擎和控制引擎进行隐私数据收集与管控,为用户实现对数据发现、集中化策略管理、数据泄露分析、数据安全运营的全生命周期管控,展示层主要提供敏感数据分布视图、敏感数据事件视图、敏感数据风险视图和敏感数据策略视图。
如图3所示,本发明的数据安全智能管控平台可以部署在安全管理区,通过对各个安全域的数据进行采集及管理,实现全域环境下的数据安全防护。
申请人结合说明书附图对本发明的实施例做了详细的说明与描述,但是本领域技术人员应该理解,以上实施例仅为本发明的优选实施方案,详尽的说明只是为了帮助读者更好地理解本发明精神,而并非对本发明保护范围的限制,相反,任何基于本发明的发明精神所作的任何改进或修饰都应当落在本发明的保护范围之内。
Claims (27)
1.一种适应于电力行业的数据安全智能管控平台,所述平台包括数据采集层、存储处理层、数据分析层和数据安全应用层;其特征在于,
所述数据采集层作为数据安全智能管控平台的数据来源,所述存储处理层用于对所述数据采集层采集上来的数据进行存储及预处理,所述数据分析层对整个数据生命周期使用的过程中提供数据支撑;所述数据安全应用层为所述平台的功能实现部分,根据需要提供资产态势显示、数据风险态势显示、数据安全管控、数据安全运营功能。
2.如权利要求1所述的数据安全智能管控平台,其特征在于:
所述数据采集层包括数据资产发现模块、数据风险监测模块、数据流量审计模块、第三方导入模块和管控防护组件。
3.如权利要求2所述的数据安全智能管控平台,其特征在于:
所述数据资产发现模块用于进行数据库资产扫描,文件资产扫描和大数据资产扫描;所述数据风险监测模块用于漏洞扫描,脆弱性扫描,应用访问监控,用户访问监控,数据传输监控和配置脆弱性监测。
4.如权利要求3所述的数据安全智能管控平台,其特征在于:
所述数据流量审计模块的功能包括数据库流量采集,大数据流量采集和网络数据流量采集;所述第三方导入模块的功能包括数据资产导入,数据风险监测导入和数据流量导入;所述管控防护组件的功能包括:数据脱敏,数据加密,数据防泄漏,大数据安全防护,第三方安全防护和数据库安全防护。
5.如权利要求2所述的数据安全智能管控平台,其特征在于:
所述存储处理层包括数据处理模块和数据存储模块,用于对所述数据采集层采集上来的数据进行存储及预处理。
6.如权利要求5所述的数据安全智能管控平台,其特征在于:
所述数据处理模块提供数据存储标准化、数据去重/补全、数据归一/过滤、数据归并、数据特征提取等多种功能,为进行深度分析提供标准数据类型。
7.如权利要求6所述的数据安全智能管控平台,其特征在于:
所述数据存储模块提供各种数据存放的方式,包括MPP数据库、数据仓库HIVE、缓存Redis、关系型数据库Mysql、文件存储HDFS和图数据库Titan,为所述平台提供数据支撑。
8.如权利要求1所述的数据安全智能管控平台,其特征在于:
所述数据分析层包括数据资产分析模块、数据安全事件分析模块、数据风险分析模块、脆弱性分析模块、数据流动分析模块、用户行为分析模块、知识图谱分析模块,对整个数据生命周期使用的过程中提供全面的数据支撑。
9.如权利要求8所述的数据安全智能管控平台,其特征在于:
所述数据分析层还包括场景分析模块和建模分析模块,其中场景分析模块根据已经成熟的应用场景提供标准模板,建模分析模块提供模型管理,机器学习,算子算法和任务调度功能。
10.如权利要求8所述的数据安全智能管控平台,其特征在于:
所述数据安全应用层包括数据资产分级分类管理模块、数据风险监控管理模块、数据安全统计分析管理模块、数据安全策略管理模块和知识图谱管理模块,并根据需要提供数据资产态势、数据风险态势、数据安全管控、数据安全运营功能。
11.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述数据资产分析模块用于支撑数据安全应用层的数据资产分类分级管理模块及数据风险监控管理模块,包括数据资产统计、数据资产分布、资产风险管理、资产相关统计、资产操作管理、资产权益保护结果的展示。
12.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述数据安全事件分析模块用于支撑数据安全应用层的数据风险监控管理模块及数据安全统计分析管理模块,包括事件增量趋势、风险事件top、安全事件统计分析结果的展示。
13.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述数据风险分析模块用于支撑数据安全应用层的数据风险监控管理模块及数据安全统计分析管理模块,包括数据风险全景、数据风险趋势等结果展示。
14.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述脆弱性分析模块用于支撑数据安全应用层的数据资产分类分级管理模块、数据风险监控管理模块及数据安全统计分析管理模块,包括资产、数据安全风险分析结果的展示。
15.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述数据流动分析模块用于支撑数据安全应用层的数据资产与账号的访问关系视图的展示。
16.如权利要求15所述的数据安全智能管控平台,其特征在于:
所述数据流动分析模块通过账号访问的时间以及路径对数据资产的调用进行展示,并可根据时间范围进行选择;建立全局数据资产流向展示,对某个数据资产或某个账号使用过的数据路径进行高亮展示,定位到账号在使用数据的业务流程,当出现异常访问时给予相应的安全告警。
17.如权利要求10所述的数据安全智能管控平台,其特征在于:
用户行为分析模块用于支撑数据安全应用层的数据资产与应用的访问关系视图的展示;通过应用访问的时间以及路径对数据资产的调用进行展示,并可根据时间范围进行选择;建立全局数据资产流向展示,对某个数据资产或某个应用使用过的数据路径进行高亮展示,定位到应用在使用数据的业务流程,当出现异常访问时可给予相应的安全告警。
18.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述知识图谱分析模块用于支撑数据安全应用层的知识图谱管理。
19.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述数据资产分级分类管理模块的功能包括:数据资产统计、数据资产分布管理,敏感数据分布管理,热点数据分布管理,数据增量趋势管理,数据资产治理,资产安全管理,资产权益保护,资产操作管理和数据资产清单管理。
20.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述数据风险监控管理模块的功能包括:数据风险全景管理,资产风险管理,账户风险管理,应用风险管理,事件增量管理,数据风险趋势分析,风险事件top统计,资产风险统计,用户风险统计和账号风险统计。
21.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述数据安全统计分析管理模块的功能包括:常规统计分析,资产相关统计,账号相关统计,应用相关统计,自定义查询,自定义报表和安全事件统计。
22.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述数据安全策略管理模块的功能包括:数据标签管理,标签分级管理,标签分类管理,访问控制管理,脱敏策略管理,加密策略管理,防泄漏管理,接口安全管理和安全策略规划管理。
23.如权利要求10所述的数据安全智能管控平台,其特征在于:
所述知识图谱管理模块的功能包括:图谱全局管理,数据血缘图谱,业务关联图谱,业务威胁图谱和图谱版本更新。
24.如权利要求1所述的数据安全智能管控平台,其特征在于:
所述数据资产态势显示为用户提供数据资产态势,使用户能够快速了解当前数据资产状态,为用户提供数据资产视图、敏感数据分布视图、数据分级分类视图和数据资产热度视图。
25.如权利要求1所述的数据安全智能管控平台,其特征在于:
所述数据风险态势显示通过对数据安全事件及数据风险进行分析,为用户提供数据风险的全景视图,包括数据安全事件概述视图、数据安全事件量视图、数据安全风险趋势视图、数据资产流向视图和应用行为流向视图。
26.如权利要求1所述的数据安全智能管控平台,其特征在于:
所述数据安全管控作为数据安全技术手段的执行管理界面,包含数据安全管控全景图及安全策略中心,通过在数据标签管理、标签分级管理,标签分类管理,访问控制管理,脱敏策略管理,加密策略管理,防泄漏管理,接口安全管理和安全策略规划管理模块做相应的策略配置,实现对数据的安全管控。
27.如权利要求1所述的数据安全智能管控平台,其特征在于:
所述数据安全运营包括数据安全核查,全局审计管理,数据资产运维管理和数据资产账号管理子模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011117484.XA CN112215505A (zh) | 2020-10-19 | 2020-10-19 | 一种适应于电力行业的数据安全智能管控平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011117484.XA CN112215505A (zh) | 2020-10-19 | 2020-10-19 | 一种适应于电力行业的数据安全智能管控平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112215505A true CN112215505A (zh) | 2021-01-12 |
Family
ID=74055761
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011117484.XA Pending CN112215505A (zh) | 2020-10-19 | 2020-10-19 | 一种适应于电力行业的数据安全智能管控平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112215505A (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511360A (zh) * | 2021-02-05 | 2021-03-16 | 北京通付盾人工智能技术有限公司 | 一种多源业务平台数据安全组件监控方法及系统 |
| CN112800100A (zh) * | 2021-02-23 | 2021-05-14 | 上海数依数据科技有限公司 | 一种数据资产标签管理系统及方法 |
| CN113191740A (zh) * | 2021-05-19 | 2021-07-30 | 广东电网有限责任公司 | 一种计量资产管理系统 |
| CN113590698A (zh) * | 2021-06-29 | 2021-11-02 | 中国电子科技集团公司第三十研究所 | 基于人工智能技术的数据资产分类建模与分级保护方法 |
| CN113709140A (zh) * | 2021-08-26 | 2021-11-26 | 上海汉开科技股份有限公司 | 一种基于综合审计的云大数据智能安全管控系统 |
| CN113792308A (zh) * | 2021-08-30 | 2021-12-14 | 上海市大数据中心 | 一种面向政务敏感数据安全行为风险分析方法 |
| CN113836581A (zh) * | 2021-09-29 | 2021-12-24 | 支付宝(杭州)信息技术有限公司 | 一种信息的处理方法、装置及设备 |
| CN113965416A (zh) * | 2021-12-21 | 2022-01-21 | 江苏移动信息系统集成有限公司 | 一种基于workflow的网站安全防护能力调度方法及系统 |
| CN114389867A (zh) * | 2021-12-30 | 2022-04-22 | 南方电网数字电网研究院有限公司 | 一种网络安全分析系统 |
| CN114610809A (zh) * | 2022-03-18 | 2022-06-10 | 南方电网科学研究院有限责任公司 | 电网数据结构化处理方法及装置 |
| CN114691894A (zh) * | 2022-05-30 | 2022-07-01 | 国网浙江省电力有限公司 | 电子信息全链路知识图谱的无纸化财务数据管理方法 |
| CN115374410A (zh) * | 2022-07-25 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 一种堆栈式大数据安全防护架构 |
| CN115801454A (zh) * | 2023-01-30 | 2023-03-14 | 网思科技股份有限公司 | 网络数据防泄漏方法、系统和可读存储介质 |
| CN115996146A (zh) * | 2022-12-19 | 2023-04-21 | 华中科技大学 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
| CN116226894A (zh) * | 2023-05-10 | 2023-06-06 | 杭州比智科技有限公司 | 一种基于元仓的数据安全治理系统及方法 |
| CN117574424A (zh) * | 2023-11-09 | 2024-02-20 | 湖北清江水电开发有限责任公司 | 一种基于大数据的电力数据智能推送管理系统及方法 |
| CN117609994A (zh) * | 2023-12-06 | 2024-02-27 | 乘乘智数科技(深圳)有限公司 | 一种基于数据安全的非侵入式数据监控方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台系统 |
| CN109446817A (zh) * | 2018-10-29 | 2019-03-08 | 成都思维世纪科技有限责任公司 | 一种大数据检测与审计系统 |
| CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
| CN111221802A (zh) * | 2019-12-23 | 2020-06-02 | 天津大米科技有限公司 | 一种基于大数据的数字资产风险管控系统及其方法 |
| CN111639355A (zh) * | 2020-06-02 | 2020-09-08 | 南方电网科学研究院有限责任公司 | 一种数据安全管理方法和系统 |
-
2020
- 2020-10-19 CN CN202011117484.XA patent/CN112215505A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台系统 |
| CN109446817A (zh) * | 2018-10-29 | 2019-03-08 | 成都思维世纪科技有限责任公司 | 一种大数据检测与审计系统 |
| CN110740141A (zh) * | 2019-11-15 | 2020-01-31 | 国网山东省电力公司信息通信公司 | 一体化网络安全态势感知方法、装置及计算机设备 |
| CN111221802A (zh) * | 2019-12-23 | 2020-06-02 | 天津大米科技有限公司 | 一种基于大数据的数字资产风险管控系统及其方法 |
| CN111639355A (zh) * | 2020-06-02 | 2020-09-08 | 南方电网科学研究院有限责任公司 | 一种数据安全管理方法和系统 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511360A (zh) * | 2021-02-05 | 2021-03-16 | 北京通付盾人工智能技术有限公司 | 一种多源业务平台数据安全组件监控方法及系统 |
| CN112511360B (zh) * | 2021-02-05 | 2021-05-07 | 北京通付盾人工智能技术有限公司 | 一种多源业务平台数据安全组件监控方法及系统 |
| CN112800100A (zh) * | 2021-02-23 | 2021-05-14 | 上海数依数据科技有限公司 | 一种数据资产标签管理系统及方法 |
| CN113191740A (zh) * | 2021-05-19 | 2021-07-30 | 广东电网有限责任公司 | 一种计量资产管理系统 |
| CN113590698A (zh) * | 2021-06-29 | 2021-11-02 | 中国电子科技集团公司第三十研究所 | 基于人工智能技术的数据资产分类建模与分级保护方法 |
| CN113709140A (zh) * | 2021-08-26 | 2021-11-26 | 上海汉开科技股份有限公司 | 一种基于综合审计的云大数据智能安全管控系统 |
| CN113792308A (zh) * | 2021-08-30 | 2021-12-14 | 上海市大数据中心 | 一种面向政务敏感数据安全行为风险分析方法 |
| CN113836581A (zh) * | 2021-09-29 | 2021-12-24 | 支付宝(杭州)信息技术有限公司 | 一种信息的处理方法、装置及设备 |
| CN113965416A (zh) * | 2021-12-21 | 2022-01-21 | 江苏移动信息系统集成有限公司 | 一种基于workflow的网站安全防护能力调度方法及系统 |
| CN114389867A (zh) * | 2021-12-30 | 2022-04-22 | 南方电网数字电网研究院有限公司 | 一种网络安全分析系统 |
| CN114610809A (zh) * | 2022-03-18 | 2022-06-10 | 南方电网科学研究院有限责任公司 | 电网数据结构化处理方法及装置 |
| CN114691894A (zh) * | 2022-05-30 | 2022-07-01 | 国网浙江省电力有限公司 | 电子信息全链路知识图谱的无纸化财务数据管理方法 |
| CN115374410A (zh) * | 2022-07-25 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 一种堆栈式大数据安全防护架构 |
| CN115996146A (zh) * | 2022-12-19 | 2023-04-21 | 华中科技大学 | 数控系统安全态势感知与分析系统、方法、设备及终端 |
| CN115801454A (zh) * | 2023-01-30 | 2023-03-14 | 网思科技股份有限公司 | 网络数据防泄漏方法、系统和可读存储介质 |
| CN116226894A (zh) * | 2023-05-10 | 2023-06-06 | 杭州比智科技有限公司 | 一种基于元仓的数据安全治理系统及方法 |
| CN117574424A (zh) * | 2023-11-09 | 2024-02-20 | 湖北清江水电开发有限责任公司 | 一种基于大数据的电力数据智能推送管理系统及方法 |
| CN117574424B (zh) * | 2023-11-09 | 2024-06-21 | 湖北清江水电开发有限责任公司 | 一种基于大数据的电力数据智能推送管理系统及方法 |
| CN117609994A (zh) * | 2023-12-06 | 2024-02-27 | 乘乘智数科技(深圳)有限公司 | 一种基于数据安全的非侵入式数据监控方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112215505A (zh) | 一种适应于电力行业的数据安全智能管控平台 | |
| CN112699175B (zh) | 一种数据治理系统及其方法 | |
| CN111832017B (zh) | 一种面向云的数据库安全态势感知系统 | |
| CN105554070B (zh) | 一种基于警务大数据中心服务建设的方法 | |
| CN106778253A (zh) | 基于大数据的威胁情景感知信息安全主动防御模型 | |
| CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
| CN112115314A (zh) | 一种政务通用大数据聚合检索系统及构建方法 | |
| CN111680153A (zh) | 一种基于知识图谱的大数据鉴真方法与系统 | |
| CN116226894B (zh) | 一种基于元仓的数据安全治理系统及方法 | |
| CN115222374A (zh) | 一种基于大数据处理的政务数据服务系统 | |
| Afshar et al. | Incorporating behavior in attribute based access control model using machine learning | |
| CN117521969B (zh) | 一种基于数字孪生的智慧园区运行指数计算系统 | |
| Isafiade et al. | Citisafe: Adaptive spatial pattern knowledge using fp-growth algorithm for crime situation recognition | |
| CN117472874A (zh) | 基于大数据分析的政务数据资源集成管理系统及方法 | |
| Wang et al. | Application of big data technology in enterprise information security management and risk assessment | |
| CN111078783A (zh) | 一种基于监管保护的数据治理可视化方法 | |
| Wei et al. | A method and application for constructing a authentic data space | |
| CN112784129A (zh) | 一种泵站设备运维数据监管平台 | |
| Vaish et al. | Business intelligence: Escalation of data warehousing and data mining for effective decision making | |
| Sahi et al. | Towards Reliable Collaborative Data Processing Ecosystems: Survey on Data Quality Criteria | |
| McKendrick | The Post-Relational Reality Sets in: 2011 Survey on Unstructured Data | |
| Li | Information retrieval method of natural resources data based on hash algorithm | |
| Stumpf et al. | Data, information and knowledge quality in retail security decision making | |
| Landes et al. | Identifying suspicious activities in company networks through data mining and visualization | |
| Li et al. | The Research and Design of Migrant Workers' Real-name Back Salary Governance Platform Based on Big Data Technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |