CN112417391B - 信息数据安全处理方法、装置、设备及存储介质 - Google Patents
信息数据安全处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112417391B CN112417391B CN202011176782.6A CN202011176782A CN112417391B CN 112417391 B CN112417391 B CN 112417391B CN 202011176782 A CN202011176782 A CN 202011176782A CN 112417391 B CN112417391 B CN 112417391B
- Authority
- CN
- China
- Prior art keywords
- security
- current operation
- sensitive
- information
- target object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 14
- 238000012795 verification Methods 0.000 claims abstract description 43
- 238000012545 processing Methods 0.000 claims abstract description 37
- 230000004044 response Effects 0.000 claims abstract description 32
- 238000000034 method Methods 0.000 claims abstract description 21
- 238000013475 authorization Methods 0.000 claims abstract description 20
- 230000010485 coping Effects 0.000 claims abstract description 19
- 238000002955 isolation Methods 0.000 claims abstract description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000012550 audit Methods 0.000 claims description 5
- 238000010978 in-process monitoring Methods 0.000 abstract description 5
- 230000002265 prevention Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及业务数据处理技术领域,提供一种信息数据安全处理方法、装置、设备及存储介质,首先识别当前操作所针对的目标对象,确认所述目标对象的安全类别,其中,所述安全类别包括敏感对象和常规对象;若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,其中,所述安全应对策略包括数据逻辑隔离、跳板机模式登录、身份验证、密钥验证、签名验证、记录日志、敏感信息掩码显示、告警提示和/或实时向第三方以获取授权批准。通过上述方式,本申请对信息数据采用了多维度、全方位的安全防护方法,能够同时实现事前防范、事中监控和事后响应,避免用户信息被泄露,保障用户信息的安全。
Description
技术领域
本申请涉及业务数据处理技术领域,尤其涉及一种信息数据安全处理方法、装置、设备及存储介质。
背景技术
针对ToB的平台,往往会有多个客户,而不同的客户的数据是要求隔离的,现有技术的方案是给不同的客户搭建一套独立的系统,现有技术这样的方案,在只有几个客户的时候,问题是不明显的。但是随着客户的数量增加,例如,超过5个以上时,系统的运维和维护成本就会呈线性增加。
另一方面,用户数据的保护也是行业的一个普遍问题,而且往往也会影响到企业的口碑,如果出现大规模的用户数据泄露问题,对企业来讲往往是一个致命打击。部分会员权益平台往往重视功能的开发,而忽视了用户数据的保护问题,可能很容易的非法攻击者破解系统和批量获取到用户数据。
基于现有技术的上述技术问题,本申请的发明人提出一种信息数据安全处理方法、装置、设备及存储介质。
发明内容
为解决上述技术问题,本申请提供了一种信息数据安全处理方法、装置、设备及存储介质,以提高对用户的信息数据的安全维护性能,降低人工成本。
第一方面,本申请提供了一种信息数据安全处理方法,包括:
识别当前操作所针对的目标对象;
确认所述目标对象的安全类别,其中,所述安全类别包括敏感对象和常规对象;
若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,其中,所述安全应对策略包括数据逻辑隔离、跳板机模式登录、身份验证、密钥验证、签名验证、记录日志、敏感信息掩码显示、告警提示和/或实时向第三方以获取授权批准。
第二方面,本申请提供了一种信息数据安全处理装置,包括:
识别模块,用于识别当前操作所针对的目标对象;
确认模块,用于确认所述目标对象的安全类别,其中,所述安全类别包括敏感对象和常规对象;
处理模块,用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,其中,所述安全应对策略包括数据逻辑隔离、跳板机模式登录、身份验证、密钥验证、签名验证、记录日志、敏感信息掩码显示、告警提示和/或实时向第三方以获取授权批准。
第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器;所述存储器用于存储计算机程序;所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如上述的信息数据安全处理方法。
第四方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现如上述的信息数据安全处理方法。
本申请公开了一种信息数据安全处理方法、装置、设备及存储介质,首先识别当前操作所针对的目标对象,确认所述目标对象的安全类别,其中,所述安全类别包括敏感对象和常规对象;若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,其中,所述安全应对策略包括数据逻辑隔离、跳板机模式登录、身份验证、密钥验证、签名验证、记录日志、敏感信息掩码显示、告警提示和/或实时向第三方以获取授权批准。通过上述方式,本申请对信息数据采用了多维度、全方位的安全防护方法,能够同时实现事前防范、事中监控和事后响应,避免用户信息被泄露,保障用户信息的安全。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的信息数据安全处理方法的步骤示意流程图;
图2是本申请实施例提供的信息数据安全处理装置的结构示意图;
图3是本申请实施例提供的计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本申请的实施例提供了一种信息数据安全处理方法、装置、计算机设备及存储介质,可以通过限制对云主机,数据库等的直接登录,进行登录和审计,可以在权限分配上区分不同身份,按照最小权限分配原则分配权限,避免权限过大的问题,而且所有系统(包括API)的调用都有日志记录,方便后续的监控和审计,API的调用需要获取token身份验证和相关的secret key密钥,以及获得相关API授权才能正常调用,同时对于敏感接口,可以进行二次的签名校验,另外对不用同客户之间的数据进行逻辑隔离,对用户敏感信息会加密之后再在数据库存储,即使数据库的信息被提取,没有相关的密钥也无法解密用户敏感信息;此外,用户敏感信息在前端展示会在关键处打码,防止被非法获取。而在事中监控上,因为日志记录了所有系统的访问行为,会实时监控日志上的异常活动,并进行及时的告警。另外,在事后响应上,如果收到相应的攻击告警,会自动通知相关人员,及时处理相关事件,保证用户的数据安全。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参阅图1,图1是本申请的实施例提供的信息数据安全处理方法的步骤示意流程图,本实施方式的信息数据安全处理方法可以包括但不限于如下步骤。
步骤S101,识别当前操作所针对的目标对象。
步骤S102,确认所述目标对象的安全类别,其中,所述安全类别包括敏感对象和常规对象。
步骤S103,若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,其中,所述安全应对策略包括数据逻辑隔离、跳板机模式登录、身份验证、密钥验证、签名验证、记录日志、敏感信息掩码显示、告警提示和/或实时向第三方以获取授权批准。
具体而言,本实施方式所述识别当前操作所针对的目标对象的步骤之前,还可以包括:获取当前操作的操作方信息;根据所述操作方信息确认其操作权限,其中,基于最小权限分配原则确定不同的操作方信息所对应的不同的最小权限。容易理解的是,本实施方式的操作方信息,可以是用户的身份信息、也可以为第三方终端、第三方服务器的身份信息。
在本实施例中,最小权限是指每个程序和系统用户都可以具有完成任务所必需的最小权限集合。比如,对于系统管理员而言,可以设置每一个用户应该只能访问履行他的相关职责所需访问的数据和硬件,假设一个开发人员的职能如果是访问特定的日志文件,那么他的权限就应该只具有访问这个特定日志文件的权限,他不应该能够做其他的操作,去获得未经授权的额外信息。
具体而言,本实施方式所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体可以包括:若所述敏感对象为用户私密数据、且所述当前操作为存储,执行的安全应对策略为对所述用户私密数据按不同的用户身份进行数据逻辑隔离的存储和/或加密存储,以限定不同用户的数据访问权限。在本实施方式中,具体可以采用租户空间的方式,以实现不同客户之间的数据逻辑隔离,不同的客户只能获取到自己用户的数据,不能跨租户获取到其它用户数据。本实施例通过逻辑隔离,不但减少了部署系统的成本,接入新客户的操作周期也变短了,管理员只需少量配置,就可以为客户完成系统接入工作,大大减少了工作量。
具体而言,本实施方式所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体包括:若所述敏感对象为云主机或数据库、且所述当前操作为登录,执行的安全应对策略为采用跳板机模式进行登录,以进行登录审计。在本实施方式中,通过跳板机模式进行登录可以实现事前防范,本实施例的跳板机可以采用“中继服务器”的具体实现技术,当第三方通过用户终端验证登陆该跳板机,再通过跳板机统一登陆到对应的数据服务器或平台服务器。
具体而言,本实施方式所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体可以包括:若所述敏感对象为应用程序编程接口API、且所述当前操作为调用,执行的安全应对策略为进行token身份验证、密钥验证和/或API授权,以进行调用前权限确认。在本实施方式中,即,本实施例关于API的调用均需要获取token和相关的secret key,以及相关API授权才能正常调用。
具体而言,本实施方式所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体包括:若所述敏感对象为应用程序编程接口API、且所述当前操作为调用,执行的安全应对策略为二次签名验证和/或记录日志,以便监控或审计。
需要特别说明的是,本实施方式敏感的API,指的可以是:涉及到用户信息,比如获取用户实名信息接口等;涉及批量操作,比如批量获取订单数据的接口等;涉及资金操作的接口,比如退款接口等;涉及到可能影响成本结算的接口,比如开通会员的接口,激活权益的接口;涉及到删除信息的接口,比如删除用户信息的接口,删掉用户订单的接口等。
具体而言,本实施方式所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体包括:若所述敏感对象为用户私密数据、且所述当前操作为前端展示,执行的安全应对策略为对所述用户私密数据进行敏感信息掩码显示。换而言之,如果用户私密数据等用户敏感信息需要在前端展示,本实施例可以在信息关键处进行打码或者涂改的方式,防止被非法获取。
具体而言,本实施方式所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体包括:若所述目标对象为常规对象或敏感对象,所述所述当前操作为未经授权的API调用、超过预设频率的异常调用、或调用失败时反复尝试调用,则执行的安全应对策略为进行告警提示和/或实时向第三方以获取授权批准。容易理解的是,本实施例可以包括如下几种情形,比如,未经授权的API调用行为,超过一预设频率的调用行为,比如在1分钟内开通了4次会员或者激活了4个同种类型的权益订单等等,该预设频率的阀值可以根据经验进行设置,或者,单来源用户反复调用失败,超过一定阀值,譬如调用失败3次仍反复尝试等等。
通过上述实施例,本申请可以通过限制对云主机,数据库等的直接登录,进行登录和审计,可以在权限分配上区分不同身份,按照最小权限分配原则分配权限,避免权限过大的问题,而且所有系统的调用都有日志记录,方便后续的监控和审计,API的调用需要获取token身份验证和相关的secret key密钥,以及获得相关API授权才能正常调用,同时对于敏感接口,可以进行二次的签名校验,另外对不用同客户之间的数据进行逻辑隔离,对用户敏感信息会加密之后再在数据库存储,即使数据库的信息被提取,没有相关的密钥也无法解密用户敏感信息;此外,用户敏感信息在前端展示会在关键处打码,防止被非法获取。而在事中监控上,因为日志记录了所有系统的访问行为,会实时监控日志上的异常活动,并进行及时的告警。另外,在事后响应上,如果收到相应的攻击告警,会自动通知相关人员,及时处理相关事件,保证用户的数据安全。
请参阅图2,图2是本申请实施例提供的信息数据安全处理装置的结构示意图,本实施例信息数据安全处理装置可以包括识别模块21、确认模块22和处理模块23。
首先需要说明的是,本实施方式识别模块21用于识别当前操作所针对的目标对象;确认模块22用于确认所述目标对象的安全类别,其中,所述安全类别包括敏感对象和常规对象;处理模块23用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,其中,所述安全应对策略包括数据逻辑隔离、跳板机模式登录、身份验证、密钥验证、签名验证、记录日志、敏感信息掩码显示、告警提示和/或实时向第三方以获取授权批准。
具体而言,本实施方式处理模块23用于识别当前操作所针对的目标对象的之前,还可以包括:处理模块23用于获取当前操作的操作方信息;处理模块23用于根据所述操作方信息确认其操作权限,其中,基于最小权限分配原则确定不同的操作方信息所对应的不同的最小权限。容易理解的是,本实施方式的操作方信息,可以是用户的身份信息、也可以为第三方终端、第三方服务器的身份信息。
在本实施例中,最小权限是指每个程序和系统用户都可以具有完成任务所必需的最小权限集合。比如,对于系统管理员而言,可以设置每一个用户应该只能访问履行他的相关职责所需访问的数据和硬件,假设一个开发人员的职能如果是访问特定的日志文件,那么他的权限就应该只具有访问这个特定日志文件的权限,他不应该能够做其他的操作,去获得未经授权的额外信息。
具体而言,本实施方式处理模块23用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,具体可以包括:在所述敏感对象为用户私密数据、且所述当前操作为存储时,处理模块23用于执行的安全应对策略为对所述用户私密数据按不同的用户身份进行数据逻辑隔离的存储和/或加密存储,以限定不同用户的数据访问权限。在本实施方式中,具体可以采用租户空间的方式,以实现不同客户之间的数据逻辑隔离,不同的客户只能获取到自己用户的数据,不能跨租户获取到其它用户数据。本实施例通过逻辑隔离,不但减少了部署系统的成本,接入新客户的操作周期也变短了,管理员只需少量配置,就可以为客户完成系统接入工作,大大减少了工作量。
具体而言,本实施方式处理模块23用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,具体包括:在所述敏感对象为云主机或数据库、且所述当前操作为登录时,处理模块23用于执行的安全应对策略为采用跳板机模式进行登录,以进行登录审计。在本实施方式中,通过跳板机模式进行登录可以实现事前防范,本实施例的跳板机可以采用“中继服务器”的具体实现技术,当第三方通过用户终端验证登陆该跳板机,再通过跳板机统一登陆到对应的数据服务器或平台服务器。
具体而言,本实施方式处理模块23用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,具体可以包括:在所述敏感对象为应用程序编程接口API、且所述当前操作为调用时,处理模块23用于执行的安全应对策略为进行token身份验证、密钥验证和/或API授权,以进行调用前权限确认。在本实施方式中,即,本实施例关于API的调用均需要获取token和相关的secret key,以及相关API授权才能正常调用。
具体而言,本实施方式处理模块23用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,具体包括:在所述敏感对象为应用程序编程接口API、且所述当前操作为调用时,处理模块23用于执行的安全应对策略为二次签名验证和/或记录日志,以便监控或审计。
需要特别说明的是,本实施方式敏感的API,指的可以是:涉及到用户信息,比如获取用户实名信息接口等;涉及批量操作,比如批量获取订单数据的接口等;涉及资金操作的接口,比如退款接口等;涉及到可能影响成本结算的接口,比如开通会员的接口,激活权益的接口;涉及到删除信息的接口,比如删除用户信息的接口,删掉用户订单的接口等。
具体而言,本实施方式处理模块23用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,具体包括:在所述敏感对象为用户私密数据、且所述当前操作为前端展示时,处理模块23用于执行的安全应对策略为对所述用户私密数据进行敏感信息掩码显示。换而言之,如果用户私密数据等用户敏感信息需要在前端展示,本实施例可以在信息关键处进行打码或者涂改的方式,防止被非法获取。
具体而言,本实施方式处理模块23用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,具体包括:在所述目标对象为常规对象或敏感对象,所述所述当前操作为未经授权的API调用、超过预设频率的异常调用、或调用失败时反复尝试调用时,则处理模块23用于执行的安全应对策略为进行告警提示和/或实时向第三方以获取授权批准。容易理解的是,本实施例可以包括如下几种情形,比如,未经授权的API调用行为,超过一预设频率的调用行为,比如在1分钟内开通了4次会员或者激活了4个同种类型的权益订单等等,该预设频率的阀值可以根据经验进行设置,或者,单来源用户反复调用失败,超过一定阀值,譬如调用失败3次仍反复尝试等等。
通过上述实施例,本申请可以通过限制对云主机,数据库等的直接登录,进行登录和审计,可以在权限分配上区分不同身份,按照最小权限分配原则分配权限,避免权限过大的问题,而且所有系统的调用都有日志记录,方便后续的监控和审计,API的调用需要获取token身份验证和相关的secret key密钥,以及获得相关API授权才能正常调用,同时对于敏感接口,可以进行二次的签名校验,另外对不用同客户之间的数据进行逻辑隔离,对用户敏感信息会加密之后再在数据库存储,即使数据库的信息被提取,没有相关的密钥也无法解密用户敏感信息;此外,用户敏感信息在前端展示会在关键处打码,防止被非法获取。而在事中监控上,因为日志记录了所有系统的访问行为,会实时监控日志上的异常活动,并进行及时的告警。另外,在事后响应上,如果收到相应的攻击告警,会自动通知相关人员,及时处理相关事件,保证用户的数据安全。
请参阅图3,图3是本申请实施例提供的计算机设备的结构示意图,本实施例提供的计算机设备可以包括存储器和处理器。所述存储器用于存储计算机程序;所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如图1实施例所述的信息数据安全处理方法。
本申请的实施例中还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序中包括程序指令,所述处理器执行所述程序指令,实现本申请实施例提供的任一项信息数据安全处理方法。
其中,所述计算机可读存储介质可以是前述实施例所述的计算机设备的内部存储单元,例如所述计算机设备的硬盘或内存。所述计算机可读存储介质也可以是所述计算机设备的外部存储设备,例如所述计算机设备上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种信息数据安全处理方法,其特征在于,包括:
识别当前操作所针对的目标对象;
确认所述目标对象的安全类别,其中,所述安全类别包括敏感对象和常规对象;
若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,其中,所述安全应对策略包括数据逻辑隔离、跳板机模式登录、身份验证、密钥验证、签名验证、记录日志、敏感信息掩码显示、告警提示和/或实时向第三方以获取授权批准;
若所述敏感对象为应用程序编程接口API、且所述当前操作为调用,在调用所述应用程序编程接口API之前执行的安全应对策略为进行token身份验证、密钥验证和/或API授权,以进行调用前权限确定,以及,在调用所述应用程序编程接口API的过程中执行的安全应对策略为进行二次签名验证和/或记录日志,以便监控或审计;
其中,所述应用程序编程接口API包括涉及用户信息的应用程序编程接口API、涉及批量操作的应用程序编程接口API、涉及资金操作的应用程序编程接口API、涉及删除信息的应用程序编程接口API中的任意一种。
2.根据权利要求1所述的信息数据安全处理方法,其特征在于,所述识别当前操作所针对的目标对象的步骤之前,还包括:
获取当前操作的操作方信息;
根据所述操作方信息确认其操作权限,其中,基于最小权限分配原则确定不同的操作方信息所对应的不同的最小权限。
3.根据权利要求1所述的信息数据安全处理方法,其特征在于,所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体包括:
若所述敏感对象为用户私密数据、且所述当前操作为存储,执行的安全应对策略为对所述用户私密数据按不同的用户身份进行数据逻辑隔离的存储和/或加密存储,以限定不同用户的数据访问权限。
4.根据权利要求1或2所述的信息数据安全处理方法,其特征在于,所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体包括:
若所述敏感对象为云主机或数据库、且所述当前操作为登录,执行的安全应对策略为采用跳板机模式进行登录,以进行登录审计。
5.根据权利要求1或2所述的信息数据安全处理方法,其特征在于,所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体包括:
若所述敏感对象为用户私密数据、且所述当前操作为前端展示,执行的安全应对策略为对所述用户私密数据进行敏感信息掩码显示。
6.根据权利要求1或2所述的信息数据安全处理方法,其特征在于,所述若所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略的步骤,具体包括:
若所述目标对象为常规对象或敏感对象,所述所述当前操作为未经授权的API调用、超过预设频率的异常调用、或调用失败时反复尝试调用,则执行的安全应对策略为进行告警提示和/或实时向第三方以获取授权批准。
7.一种信息数据安全处理装置,其特征在于,包括:
识别模块,用于识别当前操作所针对的目标对象;
确认模块,用于确认所述目标对象的安全类别,其中,所述安全类别包括敏感对象和常规对象;
处理模块,用于在所述目标对象为敏感对象时,对所述当前操作执行预设的安全应对策略,其中,所述安全应对策略包括数据逻辑隔离、跳板机模式登录、身份验证、密钥验证、签名验证、记录日志、敏感信息掩码显示、告警提示和/或实时向第三方以获取授权批准;
若所述敏感对象为应用程序编程接口API、且所述当前操作为调用,在调用所述应用程序编程接口API之前执行的安全应对策略为进行token身份验证、密钥验证和/或API授权,以进行调用前权限确定,以及,在调用所述应用程序编程接口API的过程中执行的安全应对策略为进行二次签名验证和/或记录日志,以便监控或审计;
其中,所述应用程序编程接口API包括涉及用户信息的应用程序编程接口API、涉及批量操作的应用程序编程接口API、涉及资金操作的应用程序编程接口API、涉及删除信息的应用程序编程接口API中的任意一种。
8.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器;
所述存储器用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现包括如权利要求1至6中任一项所述的信息数据安全处理方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现包括如权利要求1至6中任一项所述的信息数据安全处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011176782.6A CN112417391B (zh) | 2020-10-28 | 2020-10-28 | 信息数据安全处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011176782.6A CN112417391B (zh) | 2020-10-28 | 2020-10-28 | 信息数据安全处理方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112417391A CN112417391A (zh) | 2021-02-26 |
CN112417391B true CN112417391B (zh) | 2023-12-19 |
Family
ID=74840855
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011176782.6A Active CN112417391B (zh) | 2020-10-28 | 2020-10-28 | 信息数据安全处理方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112417391B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113704752B (zh) * | 2021-08-31 | 2024-01-26 | 上海观安信息技术股份有限公司 | 数据泄露行为的检测方法、装置、计算机设备及存储介质 |
CN113836509B (zh) * | 2021-09-23 | 2024-03-01 | 百度在线网络技术(北京)有限公司 | 信息采集方法、装置、电子设备和存储介质 |
CN115967521A (zh) * | 2022-09-08 | 2023-04-14 | 平安银行股份有限公司 | 敏感信息的操作监测方法及装置 |
CN115879102A (zh) * | 2022-12-02 | 2023-03-31 | 首约科技(北京)有限公司 | 一种数据库审计方法、装置、电子设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082780A (zh) * | 2009-11-30 | 2011-06-01 | 国际商业机器公司 | 安全验证的方法和装置 |
CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
CN104462898A (zh) * | 2014-11-27 | 2015-03-25 | 中国华戎控股有限公司 | 基于Android系统的目标文件保护方法及装置 |
CN104796290A (zh) * | 2015-04-24 | 2015-07-22 | 广东电网有限责任公司信息中心 | 一种数据安全管控方法及平台 |
CN107622203A (zh) * | 2017-09-30 | 2018-01-23 | 广东欧珀移动通信有限公司 | 敏感信息的保护方法、装置、存储介质及电子设备 |
CN110020553A (zh) * | 2019-04-12 | 2019-07-16 | 山东浪潮云信息技术有限公司 | 一种保护敏感数据的方法及系统 |
CN111726353A (zh) * | 2020-06-17 | 2020-09-29 | 华中科技大学 | 基于数控系统的敏感数据分级保护方法及分级保护系统 |
CN111783075A (zh) * | 2020-06-28 | 2020-10-16 | 平安普惠企业管理有限公司 | 基于密钥的权限管理方法、装置、介质及电子设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014201811A1 (en) * | 2013-06-20 | 2014-12-24 | Tencent Technology (Shenzhen) Company Limited | Method, device and system for logging in through a browser application at a client terminal |
-
2020
- 2020-10-28 CN CN202011176782.6A patent/CN112417391B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082780A (zh) * | 2009-11-30 | 2011-06-01 | 国际商业机器公司 | 安全验证的方法和装置 |
CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
CN104462898A (zh) * | 2014-11-27 | 2015-03-25 | 中国华戎控股有限公司 | 基于Android系统的目标文件保护方法及装置 |
CN104796290A (zh) * | 2015-04-24 | 2015-07-22 | 广东电网有限责任公司信息中心 | 一种数据安全管控方法及平台 |
CN107622203A (zh) * | 2017-09-30 | 2018-01-23 | 广东欧珀移动通信有限公司 | 敏感信息的保护方法、装置、存储介质及电子设备 |
CN110020553A (zh) * | 2019-04-12 | 2019-07-16 | 山东浪潮云信息技术有限公司 | 一种保护敏感数据的方法及系统 |
CN111726353A (zh) * | 2020-06-17 | 2020-09-29 | 华中科技大学 | 基于数控系统的敏感数据分级保护方法及分级保护系统 |
CN111783075A (zh) * | 2020-06-28 | 2020-10-16 | 平安普惠企业管理有限公司 | 基于密钥的权限管理方法、装置、介质及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112417391A (zh) | 2021-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112417391B (zh) | 信息数据安全处理方法、装置、设备及存储介质 | |
US9436832B2 (en) | System and method for virtual image security in a cloud environment | |
CN101512490B (zh) | 在网络化环境中保护数据安全 | |
US8566949B2 (en) | Software component, software component management method, and software component management system | |
CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
CN108073821B (zh) | 数据安全处理方法及装置 | |
CN101923678A (zh) | 一种企业管理软件的数据安全保护方法 | |
CN1981277A (zh) | 隔离系统 | |
EP3563548B1 (en) | Historic data breach detection | |
US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
US11349855B1 (en) | System and method for detecting encrypted ransom-type attacks | |
JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
CN113973193A (zh) | 安全质量管控方法、电子设备及可读介质 | |
CN117708880A (zh) | 一种银行业务数据智能安全处理方法及系统 | |
Braband | What's Security Level got to do with Safety Integrity Level? | |
KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
JP2008250728A (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 | |
CN113239349B (zh) | 一种电力监控系统网络安全测试方法 | |
CN108573130A (zh) | 一种智能pos终端运行时切机防护系统 | |
CN112541168A (zh) | 一种数据的防窃取方法、系统及存储介质 | |
KR101153969B1 (ko) | 내부 사용자에 의해 개인 정보가 유출되는 것을 방지하기 위한 쿼리 툴 통제 방법 및 그 시스템 | |
KR102192232B1 (ko) | 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템 | |
JP2005227866A (ja) | 操作管理装置、操作内容判定方法、操作管理プログラム、操作管理システム、およびクライアント端末 | |
Qureshi et al. | The accountant and computer security. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |