CN112364377B - 一种适应于电力行业的数据分类分级安全防护系统 - Google Patents
一种适应于电力行业的数据分类分级安全防护系统 Download PDFInfo
- Publication number
- CN112364377B CN112364377B CN202011258071.3A CN202011258071A CN112364377B CN 112364377 B CN112364377 B CN 112364377B CN 202011258071 A CN202011258071 A CN 202011258071A CN 112364377 B CN112364377 B CN 112364377B
- Authority
- CN
- China
- Prior art keywords
- data
- module
- access
- management
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 claims abstract description 87
- 238000000586 desensitisation Methods 0.000 claims abstract description 55
- 238000012550 audit Methods 0.000 claims abstract description 33
- 230000002265 prevention Effects 0.000 claims abstract description 14
- 230000006978 adaptation Effects 0.000 claims abstract description 10
- 238000009960 carding Methods 0.000 claims abstract description 10
- 238000013475 authorization Methods 0.000 claims description 54
- 239000010410 layer Substances 0.000 claims description 24
- 230000006399 behavior Effects 0.000 claims description 22
- 230000006870 function Effects 0.000 claims description 19
- 238000000034 method Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 11
- 230000014509 gene expression Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 3
- 230000009471 action Effects 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 239000000284 extract Substances 0.000 claims description 2
- 239000011241 protective layer Substances 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims description 2
- 238000007418 data mining Methods 0.000 claims 1
- 230000000875 corresponding effect Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 235000019580 granularity Nutrition 0.000 description 3
- 230000000873 masking effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Economics (AREA)
- Databases & Information Systems (AREA)
- Primary Health Care (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Water Supply & Treatment (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Technology Law (AREA)
- Medical Informatics (AREA)
- Public Health (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种适用于电力行业的数据分类分级安全防护系统,包括适配层、防护层和管理层,所述适配层为所述数据分类分级安全防护系统提供接入接口,所述防护层作为核心部分,包括数据梳理模块、数据加密模块、数据脱敏模块、访问控制模块、数据防泄漏模块、审计管理模块。所述管理层包括数据梳理模块、鉴权管理模块、策略管理模块、审计管理模块、密钥模块和系统管理模块。部署于应用系统与数据库之间,作为数据库、大数据平台的安全控制器,可提供认证、访问控制、数据加密、数据脱敏、数据防泄漏、审计等保护措施,可实现使用被访问的数据元数据来查询数据对应的分类、分级等标签属性,还可设定数据分级安全策略,实现按数据分级保护。
Description
技术领域
本发明涉及电力行业数据安全防护技术领域,尤其涉及一种适应于电力行业的数据分类分级安全防护系统。
背景技术
近年来,随着大数据技术的越来越成熟,大数据正在引发一场深刻的社会变革。从个人衣食住行、企业投资策略以及到国家决策制定,正影响着人们生活的方方面面。国内各行业大数据应用也是百花齐放,主要包括电商大数据、信用大数据、金融大数据、医疗大数据、运营商大数据、电子政务大数据应用、工业大数据等多个领域。
为应对激烈的行业竞争,提升集团的业务综合监控、业务综合调整,客户积极开展创新,大力发展大数据平台建设和应用服务。客户建立了多套大数据平台。
目前基于Hadoop技术实现的大数据平台,在很大程度上提高了各业务系统处理数据的效率,但是Hadoop技术本身存在的诸如访问认证缺乏强认证措施、HDFS中存储数据没有加密、数据访问没有权限控制等问题,这些问题的存在给业务系统带来了诸如非法访问、数据泄露等一系列的安全隐患。同时大数据平台的复杂性及开放性使得更多第三方厂商参与开发、维护与使用,极易产生安全及技术事故。因此,对大数据平台进行安全管控系统的建设势在必行。
发明内容
本发明的目的就是为了解决上述问题,提供一种适用于电力行业的数据分类分级安全防护系统。数据分类分级安全防护系统是一种专门应对大数据平台数据的安全保护的产品。本产品的主要功能包括对访问大数据的用户、应用提供统一账户管理、统一访问授权;对存储在大数据平台中的敏感数据提供数据透明加解密能力;对数据在应用过程中进行敏感数据静态脱敏、敏感数据动态脱敏的保护;对从大数据平台中的敏感数据流出时,进行内容识别,对非法流出行为进行检测、拦截,防止数据泄漏;对大数据中数据的访问行为提供综合审计、风险告警、日志综合分析的能力;为日常的大数据应用访问日志提供行为分析、行为审计的能力等。
具体地,本发明提出一种适应于电力行业的数据分类分级安全防护系统,包括适配层、防护层和管理层,设置于应用系统和数据库中间,实现按数据分类分级保护。
所述适配层为所述数据分类分级安全防护系统提供接入接口,所述防护层作为所述数据分类分级安全防护平台的核心部分,包括数据梳理模块、数据加密模块、数据脱敏模块、访问控制模块、数据防泄漏模块、审计管理模块。所述管理层包括数据梳理模块、鉴权管理模块、策略管理模块、审计管理模块、密钥模块和系统管理模块。
数据分类分级安全防护系统部署于应用系统与数据库之间,作为数据库、大数据平台的安全控制器,可提供认证、访问控制、数据加密、数据脱敏、数据防泄漏、审计等保护措施。通过系统可实现使用被访问的数据元数据来查询数据对应的分类、分级等标签属性。在系统上可以设定数据分级安全策略(即使用数据分级标签作为判定依据的数据安全策略),实现按数据分级保护。
本发明所述的数据分类分级安全防护系统的功能均可以通过计算机程序来实现。
本发明的有益效果:
本发明通过代理串联、透明串联等方式提供防护,具备分布式部署能力,当单台设备的性能不够时,可通过多台设备横向水平扩展、分布式处理提供高性能。有益效果主要包括:
一是易用性较好,通过透明方式部署于网络中,对用户是无感知的,涉及到需要部署到大数据平台中的代理程序也是自动下发部署,对用户无感知。
二是具有良好的性能动态扩展性,默认一台设备提供大数据平台的安全保护,当设备代理接入后访问性能无法满足客户需求时,可部署多台数据分类分级安全防护系统进行性能叠加,由数据分类分级安全防护系统自身所具备的基于大数据技术的分布式处理能力来完成性能的动态扩展。
三是具有良好的功能灵活扩展性,当前数据分类分级安全防护系统提供的数据加密、动态脱敏、数据防泄漏等功能可根据用户需求灵活选择,并且在不影响原有系统的正常运行情况下,功能模块可实现动态部署。
四是提供应用程序开发接口,数据分类分级安全防护系统提供Web Service API、REST API等接口,通过接口可与企业的IT系统进行整合。
五是安全事件可上报到第三方系统,系统提供syslog接口对接功能,可把事件数据输出到支持syslog接口的日志服务器。通过对响应动作告警邮件的定制,设备能够把违规事件通过告警邮件发送到指定的邮箱进行记录和告警。
附图说明
图1是本发明的数据分类分级安全防护系统功能架构图;
图2是本发明的数据分类分级安全防护系统部署架构图;
图3为实体级鉴权过程流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明的数据分类分级安全防护系统的总体架构如图1所示,该平台共分为三层,分别为适配层、防护层、管理层。
适配层为数据分类分级安全防护系统提供接入接口,支持的Hadoop组件主要包括:HIVE接口、HBASE接口、HDFS接口、Spark接口、Yarn接口、API接口等,包括但不限于以上组件。
防护层作为数据分类分级安全防护平台的核心部分,包括数据梳理模块、数据加密模块、数据脱敏模块、访问控制模块、数据防泄漏模块、审计管理模块。
数据梳理模块主要包括数据识别模块和数据分类分级模块。数据识别模块主要是对采集的数据进行识别,对数据提取与归一化,检测数据格式与属性,并对数据内容通过关键字、正则表达式、数据标识符、文档指纹、结构化数据指纹、机器学习特征等规则,进行检查,判断是否为敏感信息。
数据分类分级模块实现对用户大数据平台的数据资产进行类别和级别进行划分的功能。分类分级的结果可作为权限控制、审计管理等其他模块的决策基础。包含自动扫描生成分类分级结果以及手工指定分类分级结果两种形式。自动扫描生成分类分级通过提前设置的分类分级策略、规则,自动对数据进行扫描发现,一般策略是正则表达式的形式,当扫描匹配到某个正则时,该数据项就是符合这个类别或者级别的数据。手工指定分类分级结果中,分类分级规则同样需要提前设定好,接下来用户可以在数据分类分级安全防护系统的管理员账户下,在资源目录模块的数据目录上,对数据进行手工指定或修改该数据对应的数据级别、类别的标签。
数据加密模块主要提供一种数据透明加密机制,支持通过AES、3DES、国密SM4等高强度加密算法,对存储在大数据平台中的非结构化、结构化等形式数据,提供安全保障。数据分类安全防护系统的数据加密功能支持对常用开源大数据平台HADOOP中的HDFS、HBASE、HIVE支持加密存储,同时支持在程序、用户访问大数据中存储的数据时,提供透明解密的能力,从而保证只有合法用户才能访问到敏感数据。
非结构化数据加密方式,通过实现基于存储空间的透明加解密管理,从而可实现需要加密的文件,自动存储到加密区域时,自动通过数据分类分级安全防护系统实现加密。合法用户通过用户权限控制验证之后访问数据时,通过数据分类分级安全防护系统返回自动解密的数据。如果非法用户访问时,通过数据分类分级安全防护系统时,将用户鉴权失败,无法访问加密文件。如绕过数据分类分级安全防护系统访问加密数据时,将无法读取到或读取到乱码数据。
结构化数据加密方式,通过基于列的透明加密实现对存储在HBASE、HIVE等非关系型数据库的数据。用户可在界面配置对某列,配置各自独立的加密算法。并且可根据用户、应用系统信息控制对加密数据列的访问。从而可以保证符合策略的访问正常透明解密返回,不符合策略的访问返回乱码。
数据脱敏模块实现对数据进行动态脱敏,根据访问用户、权限的不同,返回不同的数据。并且动态脱敏功能可以通过内置的敏感字段库自动发现要脱敏的数据,并且内置大量的脱敏算法,用户使用时,仅通过界面即可完成脱敏算法、脱敏规则、脱敏任务配置及任务执行等。支持对SQL和非SQL的动态脱敏。
数据动态脱敏适用于运维人员访问大数据资源或应用系统访问大数据资源时,在数据展示过程中,通过动态数据脱敏对展示的数据进行脱敏。
针对敏感数据的访问来源(IP、端口号、账号、查询条件等),采用不同的访问策略,利用内置的丰富的脱敏算法、脱敏规则以及脱敏敏感数据域,可灵活实现差异化的脱敏。
数据脱敏模块可以包括脱敏算法管理模块、脱敏规则管理模块和脱敏数据域管理模块。
脱敏算法管理模块,通过内置大量的脱敏算法,可满足常规脱敏规则的使用。脱敏算法包括:假名化(字典、字符串列表、营业执照号码、邮编、日期、组织机构代码、税务登记证号码、统一社会信用代码、URL、IP地址、公司名、邮箱地址、自定义字符串、银行卡、电话、地址、身份证、姓名),屏蔽(固定、置空、邮箱地址屏蔽、字符串屏蔽),泛化(顶层与底层编码、泛化取整),加密(MD5加密、3DES加密、AES加密、编码加密、国产密码),噪声添加(随机百分比、固定百分比),乱序、随机等。可根据用户需求调整算法配置,派生出新的脱敏算法,也可以新增脱敏算法。
脱敏规则管理模块,通过内置大量常用的数据脱敏规则,可满足常规脱敏规则的使用。脱敏规则包括:置空、固定、乱序、姓名、身份证号、地址、电话、银行卡号、字符串屏蔽、随机、邮箱、公司名称、IP地址、URL地址、日期、加密、泛化、字典等。可根据用户实际需求通过调整参数生成新的脱敏规则,可方便扩展系统脱敏的能力,也可以新增脱敏规则。
脱敏数据域管理模块,内置多种敏感数据域满足常见需求,主要包括:姓名、身份证号、手机号码、地址、公司名称、银行卡号、邮政编码、邮箱地址、IP地址、统一社会信用代码、组织机构代码、营业执照号码、URL网址、军官证号码、日期等,通过正则表达式提供数据域模式定义,并且可根据需要调整数据域正则表达式。
访问控制模块,实现对数据进行集中认证、账号鉴权、访问控制功能。针对数据分类分级安全防护平台组件(包括Hdfs、Hive、Hbase、ElasticSearch、Redis、GreenPlum、Kafka等)的使用、管理、应用系统接口调用等访问行为,从账号管理、认证管理、授权管理、日志审计等方面进行访问控制。访问数据分类分级安全防护系统的各类人员账号、授权关系和审计日志等应在平台中集中管理。
用户通过业务系统、管理人员对数据分类分级安全防护系统的所有操作均由数据分类分级安全防护系统转发给实际大数据系统。数据分类分级安全防护系统会根据数据访问策略对请求进行分析,并根据策略匹配情况,采取放行、阻断、审计等措施。
数据防泄漏模块包括检测策略模块和响应策略模块。数据防泄漏功能是当用户要读取、导出某个已经被数据防泄漏策略标记的数据时,采取相应的审计、阻断工作的功能。首先需要配置数据防泄漏策略,一般是正则表达式或者关键字的模式,当用户要读取数据时,启动检测策略模块,若检测到该用户和该应用对应的实施绑定了防泄漏策略,则响应策略模块会出发对应的动作(审计/阻断)。
审计管理模块包括操作日志、API日志、告警规则。通过数据分类分级安全防护系统可记录数据访问日志、数据安全日志、用户登录日志、用户操作日志、平台服务日志、非法访问日志、边界访问日志等。数据分类分级安全防护系统可实现对所有的针对平台的操作进行日志记录,并通过高危预警、行为基线,对可能存在高危访问、异常行为进行审计。
高危预警:根据有风险的操作行为(如高权限角色进行删除库、表、数据等操作;操作权限角色进行修改、复制、提取;普通权限用户越权访问、提权等),定义一些高危执行规则,根据实时采集、分析的日志内容进行匹配,当匹配到动作与预置的高危规则一致时,判定为高危行为,进行预警。
行为基线:系统通过自学习周期,学习到当前用户、应用访问数据分类分级安全防护系统的行为,并进行日志审计记录。通过人工判断,建立白名单机制的行为基线。当新产生的访问行为日志,符合行为基线时,仅进行日志记录或者忽略,当新产生的访问行为日志,不符合行为基线时,进行异常行为记录。
管理层主要包括数据梳理模块、鉴权管理模块、策略管理模块、审计管理模块、密钥模块、系统管理模块。
管理层的数据梳理模块,主要实现对元数据、数据目录、数据分类分级管理。
鉴权管理模块,主要包括账号管理模块、认证管理模块、授权管理模块。
账号管理模块实现对访问大数据平台的人员和程序的访问账号进行管理。明确定义组织角色,数据分类分级安全防护系统提供从4A、AD、LDAP等用户管理系统中同步用户账号的能力,并且将账号变化及时同步到大数据平台的Kerberos中,从而实现大数据平台的用户管理。主要包括账号创建、账号变更、账号删除、账号同步等。
账号创建:账号创建时应填写账号的名称、访问密码、账号类型。账号类型包括自然人和程序两类,自然人账号由各类访问人员使用,程序账号仅可被应用程序使用。
账号变更:访问大数据平台的账号应定期更新密码。更新密码分为管理员重置和使用者修改两种情况。
账号删除:当账号不再需要时,应及时从数据分类分级安全防护系统中将这类账号删除。
账号同步:与Kerberos同步账号信息。包括:
账号创建后,需实时将账号名和密码添加到Kerberos服务器中;
删除账号后,需实时将账号信息从Kerberos服务器中删除;
账号过期后,需实时将账号信息从Kerberos服务器中删除;
密码修改/重置后,需实时将新密码更新到Kerberos服务器中。
认证管理模块实现用户和应用程序访问大数据平台的认证鉴权过程。提供用户对大数据平台访问的单点认证服务,实现资源的认证集中控制,保障大数据平台的访问安全性。并且提供大数据平台中组件之间、节点之间的用户访问认证。平台默认支持Kerberos认证,大数据平台所有组件应开启Kerberos认证,用户和应用系统在访问大数据平台时,使用已分配的账号完成Kerberos认证。
授权管理模块实现按照权限最小化原则授予访问者不同的数据使用权限,有效防止未授权人员或不合规授权人员对数据的访问;针对大数据组件实现实体级授权和细粒度授权。
实体级授权:数据分类分级安全防护系统可提供通过界面配置实体级授权,针对不同角色进行授权,以及对特定角色基于时间、IP、数据源进行授权。采用基于行为的访问控制模型,更加适合大数据实现细粒度访问控制的自主授权、动态授权和跨域授权的需求,通过制定基于主体属性、客体属性和环境属性的细粒度访问控制授权策略来灵活设定用户对数据的使用权限,从而实现对数据进行细粒度的访问控制。集中进行操作权限管理,可基于数据类型、操作、账号、角色、数据属性进行授权。
授权过程包括授权主体、授权客体、授权条件和授权内容四个要素:
授权主体:大数据系统平台的账号。
授权客体:授权客体包括两类,即大数据系统平台的各种组件和存储于系统中的数据。按授权客体的不同,平台的授权分为实体级授权和细粒度授权。实体级授权的客体为平台组件,细粒度授权的客体为平台中存储的数据。
授权条件:大数据系统平台访问请求发生时的网络因素和时间因素,如请求来源的IP地址和访问时间。
授权内容:授权主体对授权客体可执行的各种操作。授权客体为组件时,可执行的操作仅为连接;授权客体为数据时,大数据平台组件的不同,可执行的操作也不同。
实体级授权是为账号赋予连接大数据系统平台组件权限的过程。在进行实体级授权时应同时限定授权条件,即请求发起端所在的IP地址和请求发起时间。
授权功能要求:
授权条件为时间时,时间单位可以是年、月、周、日、时、分及其有效组合;
授权条件为IP地址时,可以是一个IP地址、多个离散的IP地址或多个连续的IP地址段。
实体级鉴权过程如图3所示:
用户向数据分类分级安全防护系统发起访问请求时,大数据系统平台完成账号认证后,应先获取请求来源的IP地址和请求发生的时间,并和该账号的授权条件进行比对,如果比对结果为通过,则允许继续访问,否则直接阻断,并返回未授权的响应。
鉴权判定标准:
未对账号进行实体级授权时,账号对所有组件的访问默认为拒绝访问;
如果访问请求的当前时间段不在访问时间段范围内,则禁止访问;
如果访问请求的来源IP地址不在可以访问的IP地址范围内,则禁止访问;
存在互斥的授权记录时,以拒绝访问的授权为最终判定依据。
细粒度授权:支持多种粒度的授权客体,详细如下表1所示:
表1
鉴别数据操作权限时,应根据当前请求的最小数据粒度进行判断。例如对Hive中的表结构进行查询,需要判断账号对各个列是否有权限,无权限的列不显示。
策略模块包括访问控制策略、脱敏策略、分类分级策略管理。
数据分类分级安全防护系统实现授权配置管理,由访问控制组件(协议代理)实现访问过程的权限控制。访问控制组件在操作请求实际执行之前进行“操作请求”和“访问内容”的解析,然后根据已配置的权限列表进行权限判断,最终阻断未授权访问和越权访问。另外,数据分类分级安全防护系统还提供黑白名单管理功能,可允许指定IP地址或人员访问,阻止指定IP地址或人员访问。
审计管理模块包括操作审计、运维审计、接口审计。
密钥模块包括密钥管理和证书管理。
系统管理模块包括系统配置和集群管理。
本发明所述的数据分类分级安全防护系统的上述功能均可以通过计算机程序来实现。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (8)
1.一种适应于电力行业的数据分类分级安全防护系统,其特征在于,所述系统包括适配层、防护层和管理层,设置于应用系统和数据库中间,实现按数据分类分级保护;用户通过业务系统、管理人员对数据分类分级安全防护系统的所有操作均由数据分类分级安全防护系统转发给实际大数据系统;
所述适配层为所述数据分类分级安全防护系统提供接入接口,支持的Hadoop组件包括:HIVE接口、HBASE接口、HDFS接口、Spark接口、Yarn接口和API接口;
所述防护层作为所述数据分类分级安全防护平台的核心部分,包括数据梳理模块、数据加密模块、数据脱敏模块、访问控制模块、数据防泄漏模块、审计管理模块;
所述数据梳理模块包括数据识别模块和数据分类分级模块,数据识别模块对采集的数据进行识别,对数据提取与归一化,检测数据格式与属性,并对数据内容进行检查,判断是否为敏感信息,数据分类分级模块对用户大数据平台的数据资产进行类别和级别划分;
所述数据加密模块提供一种数据透明加密机制,对存储在大数据平台中的非结构化和结构化的数据提供安全保障;
非结构化数据加密方式,通过实现基于存储空间的透明加解密管理,从而实现需要加密的文件,自动存储到加密区域时,自动通过数据分类分级安全防护系统实现加密;合法用户通过用户权限控制验证之后访问数据时,通过数据分类分级安全防护系统返回自动解密的数据;如果非法用户访问时,通过数据分类分级安全防护系统时,将用户鉴权失败,无法访问加密文件;如绕过数据分类分级安全防护系统访问加密数据时,将无法读取到或读取到乱码数据;
结构化数据加密方式,通过基于列的透明加密实现对非关系型数据库的数据加密;用户在界面对某列配置各自独立的加密算法,并且根据用户、应用系统信息控制对加密数据列的访问,从而保证符合策略的访问正常透明解密返回,不符合策略的访问返回乱码;
所述数据脱敏模块实现对数据进行动态脱敏,根据访问用户、权限的不同,返回不同的数据;所述数据脱敏模块包括脱敏算法管理模块、脱敏规则管理模块和脱敏数据域管理模块;所述脱敏算法管理模块通过内置的脱敏算法,满足常规脱敏规则的使用,并根据用户需求调整算法配置;通过内置的数据脱敏规则,满足常规脱敏规则的使用,并根据用户需求调整规则配置;内置敏感数据域满足常见需求,通过正则表达式提供数据域模式定义,并且根据需要调整数据域正则表达式;
所述访问控制模块,实现对数据进行集中认证、账号鉴权、访问控制功能;
所述数据防泄漏模块包括检测策略模块和响应策略模块,当用户要读取、导出某个已经被数据防泄漏策略标记的数据时,采取相应的审计、阻断工作的功能;
所述审计管理模块包括操作审计、运维审计和接口审计;所述审计管理模块包括操作日志、API日志、告警规则,实现对所有的针对平台的操作进行日志记录,并通过高危预警、行为基线,对高危访问、异常行为进行审计;所述高危预警包括:根据有风险的操作行为,定义高危执行规则,根据实时采集、分析的日志内容进行匹配,当匹配到动作与预置的高危规则一致时,判定为高危行为,进行预警;所述行为基线是指:系统通过自学习周期,学习到当前用户、应用访问所述系统的行为,并进行日志审计记录,通过人工判断,建立白名单机制的行为基线;
所述管理层包括数据梳理模块、鉴权管理模块、策略管理模块、审计管理模块、密钥模块和系统管理模块;所述鉴权管理模块包括账号管理模块、认证管理模块和授权管理模块;所述密钥模块包括密钥管理和证书管理;所述系统管理模块包括系统配置和集群管理;所述授权管理模块实现按照权限最小化原则授予访问者不同的数据使用权限,防止未授权人员或不合规授权人员对数据的访问,并针对大数据组件实现实体级授权和细粒度授权;
所述实体级授权通过界面配置,针对不同角色进行授权,对特定角色基于时间、IP、数据源进行授权,授权过程包括授权主体、授权客体、授权条件和授权内容四个要素;
所述实体级授权的过程包括:用户向所述数据分类分级安全防护系统发起访问请求,大数据系统平台完成账号认证后,获取请求来源的IP地址和请求发生的时间,并和该账号的授权条件进行比对,如果比对结果为通过,则允许继续访问,否则直接阻断,并返回未授权的响应;
通过制定基于主体属性、客体属性和环境属性的细粒度访问控制授权策略来灵活设定用户对数据的使用权限,从而实现对数据进行细粒度的访问控制;鉴别数据操作权限时,根据当前请求的最小数据粒度进行判断。
2.如权利要求1所述的系统,其特征在于,所述数据分类分级模块包含自动扫描生成分类分级结果以及手工指定分类分级结果两种形式。
3.如权利要求1所述的系统,其特征在于,所述数据加密模块支持通过AES、3DES、国密SM4的加密算法。
4.如权利要求1所述的系统,其特征在于,所述数据梳理模块实现对元数据、数据目录、数据分类分级管理。
5.如权利要求1所述的系统,其特征在于,所述账号管理模块实现对访问大数据平台的人员和程序的访问账号进行管理,包括账号创建、账号变更、账号删除和账号同步。
6.如权利要求5所述的系统,其特征在于,所述认证管理模块实现用户和应用程序访问大数据平台的认证鉴权,提供用户对大数据平台访问的单点认证服务,实现资源的认证集中控制,并且提供大数据平台中组件之间、节点之间的用户访问认证。
7.如权利要求1所述的系统,其特征在于,所述策略模块包括访问控制策略、脱敏策略、分类分级策略管理。
8.如权利要求7所述的系统,其特征在于,所述系统实现授权配置管理,由访问控制组件实现访问过程的权限控制,访问控制组件在操作请求实际执行之前进行“操作请求”和“访问内容”的解析,然后根据已配置的权限列表进行权限判断,最终阻断未授权访问和越权访问;还提供黑白名单管理功能,允许指定IP地址或人员访问,阻止指定IP地址或人员访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011258071.3A CN112364377B (zh) | 2020-11-11 | 2020-11-11 | 一种适应于电力行业的数据分类分级安全防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011258071.3A CN112364377B (zh) | 2020-11-11 | 2020-11-11 | 一种适应于电力行业的数据分类分级安全防护系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112364377A CN112364377A (zh) | 2021-02-12 |
CN112364377B true CN112364377B (zh) | 2023-06-06 |
Family
ID=74515346
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011258071.3A Active CN112364377B (zh) | 2020-11-11 | 2020-11-11 | 一种适应于电力行业的数据分类分级安全防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112364377B (zh) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113114685B (zh) * | 2021-04-14 | 2021-11-02 | 北京滴普科技有限公司 | 一种支撑多数据源安全融合的安全沙箱系统 |
CN113364745A (zh) * | 2021-05-21 | 2021-09-07 | 北京国联天成信息技术有限公司 | 一种日志收集与分析处理方法 |
CN113297564A (zh) * | 2021-06-21 | 2021-08-24 | 普华云创科技(北京)有限公司 | 一种支持分级控制的数据安全管理方法与装置 |
CN113704780B (zh) * | 2021-07-16 | 2024-02-06 | 国网浙江省电力有限公司杭州供电公司 | 一种基于模型驱动的配电网用户侧信息自适应加密方法 |
CN113657505B (zh) * | 2021-08-18 | 2024-05-10 | 国网四川省电力公司自贡供电公司 | 一种电力监控平台的数据处理系统及方法 |
CN113965346A (zh) * | 2021-08-31 | 2022-01-21 | 微神马科技(大连)有限公司 | 一种大数据生态统一安全认证的设计方法 |
CN113992422B (zh) * | 2021-11-04 | 2024-03-26 | 中海油信息科技有限公司北京分公司 | 防火墙规则动态配置方法 |
CN114205118B (zh) * | 2021-11-17 | 2023-10-27 | 南方电网数字电网研究院有限公司 | 基于数据安全法范畴的数据访问控制分析方法 |
CN114372286A (zh) * | 2021-12-17 | 2022-04-19 | 刘维炜 | 数据安全管理方法、装置、计算机设备及存储介质 |
CN114329432A (zh) * | 2021-12-29 | 2022-04-12 | 深圳昂楷科技有限公司 | 一种动态调整数据权限管控方法、装置及电子设备 |
CN114448902B (zh) * | 2022-01-26 | 2023-07-04 | 江苏徐工工程机械研究院有限公司 | 一种分级响应接口的运维方法及系统 |
CN115242529B (zh) * | 2022-07-26 | 2023-07-25 | 国网智能电网研究院有限公司 | 一种数据安全共享系统 |
CN115146245B (zh) * | 2022-09-06 | 2022-11-18 | 杭州比智科技有限公司 | 一种密钥权限可动态管理的Hive列级数据加密方法及系统 |
CN115567461A (zh) * | 2022-09-08 | 2023-01-03 | 杭州大拙信息技术有限公司 | 一种基于分级的api动态防护方法 |
CN115801454A (zh) * | 2023-01-30 | 2023-03-14 | 网思科技股份有限公司 | 网络数据防泄漏方法、系统和可读存储介质 |
CN116340975A (zh) * | 2023-03-16 | 2023-06-27 | 江苏骏安信息测评认证有限公司 | 一种基于云计算的缓存数据安全防护系统 |
CN117786732B (zh) * | 2023-05-05 | 2024-05-31 | 中国标准化研究院 | 一种基于大数据信息脱敏方法的智慧机关数据存储系统 |
CN116226927B (zh) * | 2023-05-08 | 2023-07-21 | 深圳市新国都数字科技有限公司 | 数据智能分级安全监控处置平台 |
CN117077201B (zh) * | 2023-08-30 | 2024-03-29 | 国网山东省电力公司德州供电公司 | 一种基于多域联合的高密级数据共享防泄漏方法及系统 |
CN117407849B (zh) * | 2023-12-14 | 2024-02-23 | 四川省电子产品监督检验所 | 一种基于工业互联网技术的工业数据安全保护方法及系统 |
CN117435523B (zh) * | 2023-12-21 | 2024-03-19 | 北京中超伟业信息安全技术股份有限公司 | 基于数据敏感级识别的存储介质自动销毁方法 |
CN117611107B (zh) * | 2024-01-18 | 2024-04-02 | 四川数字健康科技服务有限公司 | 一种分类分级系统和应用系统管理系统 |
CN118101261B (zh) * | 2024-02-18 | 2024-08-02 | 北京鸿鹄元数科技有限公司 | 一种基于湖台一体的数据安全共享方法及系统 |
CN118036050B (zh) * | 2024-04-12 | 2024-07-23 | 江西软件职业技术大学 | 一种基于大数据应用的会计数据管理系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110443048A (zh) * | 2019-07-04 | 2019-11-12 | 广州海颐信息安全技术有限公司 | 数据中心查数系统 |
CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
CN110765337A (zh) * | 2019-11-15 | 2020-02-07 | 中科院计算技术研究所大数据研究院 | 一种基于互联网大数据的服务提供方法 |
CN111639121A (zh) * | 2020-04-07 | 2020-09-08 | 国网新疆电力有限公司 | 一种构建客户画像的大数据平台及构建方法 |
US10789383B1 (en) * | 2020-01-09 | 2020-09-29 | Capital One Services, Llc | Systems and methods for data protection |
-
2020
- 2020-11-11 CN CN202011258071.3A patent/CN112364377B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
CN110443048A (zh) * | 2019-07-04 | 2019-11-12 | 广州海颐信息安全技术有限公司 | 数据中心查数系统 |
CN110765337A (zh) * | 2019-11-15 | 2020-02-07 | 中科院计算技术研究所大数据研究院 | 一种基于互联网大数据的服务提供方法 |
US10789383B1 (en) * | 2020-01-09 | 2020-09-29 | Capital One Services, Llc | Systems and methods for data protection |
CN111639121A (zh) * | 2020-04-07 | 2020-09-08 | 国网新疆电力有限公司 | 一种构建客户画像的大数据平台及构建方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112364377A (zh) | 2021-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112364377B (zh) | 一种适应于电力行业的数据分类分级安全防护系统 | |
AU2019206006B2 (en) | System and method for biometric protocol standards | |
US9049195B2 (en) | Cross-domain security for data vault | |
US8769605B2 (en) | System and method for dynamically enforcing security policies on electronic files | |
US6941472B2 (en) | System and method for maintaining security in a distributed computer network | |
US7831570B2 (en) | Mandatory access control label security | |
US7363650B2 (en) | System and method for incrementally distributing a security policy in a computer network | |
CN109670768A (zh) | 多业务域的权限管理方法、装置、平台及可读存储介质 | |
US7350226B2 (en) | System and method for analyzing security policies in a distributed computer network | |
US8566908B2 (en) | Database application security | |
US20220366078A1 (en) | Systems and Methods for Dynamically Granting Access to Database Based on Machine Learning Generated Risk Score | |
Pernul | Information systems security: Scope, state-of-the-art, and evaluation of techniques | |
US11425143B2 (en) | Sleeper keys | |
CN116089970A (zh) | 基于身份管理的配电运维用户动态访问控制系统与方法 | |
CN115622792A (zh) | 一种基于零信任的数据安全综合防护系统及方法 | |
Kizza | Access control and authorization | |
JP6729013B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
CN115422526A (zh) | 角色权限管理方法、设备及存储介质 | |
Nanda et al. | Oracle Privacy Security Auditing: Includes Federal Law Compliance with HIPAA, Sarbanes Oxley and the Gramm Leach Bliley Act GLB | |
KR101304452B1 (ko) | 위치 기반 문서 관리 클라우드 시스템 | |
KR100697995B1 (ko) | 유비쿼터스 환경에서의 콘택트 역활기반 접근제어 및강제적 접근제어 융합 인증 방법 | |
Guo et al. | A Novel OA System Access Control Method Based on Improved RBAC Model | |
Wang et al. | Security strategy and research of power protection equipment based on SELinux | |
Alsmadi et al. | Security and access controls: Lesson plans |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |