CN112749400A - 一种面向业务的数据安全治理系统及方法 - Google Patents
一种面向业务的数据安全治理系统及方法 Download PDFInfo
- Publication number
- CN112749400A CN112749400A CN202011633430.9A CN202011633430A CN112749400A CN 112749400 A CN112749400 A CN 112749400A CN 202011633430 A CN202011633430 A CN 202011633430A CN 112749400 A CN112749400 A CN 112749400A
- Authority
- CN
- China
- Prior art keywords
- data
- page
- business
- field
- api
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Automation & Control Theory (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及数据安全技术领域,具体涉及一种面向业务的数据安全治理系统及方法,包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理,实现的业务系统页面及页面字段及API及敏感字段自动发现,实现的业务人员字段访问记录及控制的数据权限立方体引擎;包括实现业务无感知及数据职责分离的数据安全治理平台,所述数据安全治理平台包括应用安全网关、统一认证网关、通用脱敏模块和前端页面字段展示处理模块。解决了接数据安全治理人员供不应求且成本居高不下;人力驱动的数据安全治理滞后于业务发展变化;很难对动态变动的业务需求建立持续性的数据安全治理机制;无法覆盖业务场景中敏感数据的方方面面,存在盲区的问题。
Description
技术领域
本发明涉及数据安全技术领域,具体涉及一种面向业务的数据安全治理系统及方法。
背景技术
互联网和大数据的蓬勃发展给数据安全和隐私保护带来前所未有的挑战。数据泄露事件层出不穷,对社会、企业、个人均带来严重不良影响。因业务强需求,数据必须暴露或者流转,如果在数据的暴露和流转环节不加以合理的管控,很容易导致数据泄露事件的发生。
面向业务的数据安全治理应运而生,用以实现数据最小权限、数据最小暴露(敏感数据字段脱敏)、数据职责分离(SODD:Segregation of Data Duties)等,以业务人员广泛使用的业务系统为出发点,对业务系统中的敏感、隐私数据进行合理管控,规范数据正当使用,降低数据泄露风险。
但是现阶段的数据安全治理以人力驱动为主,存在以下问题:数据安全治理人员供不应求且成本居高不下;人力驱动的数据安全治理滞后于业务发展变化;很难对动态变动的业务需求建立持续性的数据安全治理机制;无法覆盖业务场景中敏感数据的方方面面,存在盲区。
发明内容
针对现有技术的不足,本发明公开了一种面向业务的数据安全治理系统及方法,用于解决接数据安全治理人员供不应求且成本居高不下;人力驱动的数据安全治理滞后于业务发展变化;很难对动态变动的业务需求建立持续性的数据安全治理机制;无法覆盖业务场景中敏感数据的方方面面,存在盲区的问题。
本发明通过以下技术方案予以实现:
第一方面,本发明公开了一种面向业务的数据安全治理系统,包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理,实现的业务系统页面及页面字段及API及敏感字段自动发现,实现的业务人员字段访问记录及控制的数据权限立方体引擎;包括实现业务无感知及数据职责分离的数据安全治理平台,所述数据安全治理平台包括应用安全网关、统一认证网关、通用脱敏模块和前端页面字段展示处理模块。
更进一步的,所述数据权限立方体引擎包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理的数据权限立方体;基于爬虫技术实现的业务系统页面及页面字段自动发现模块;基于流量分析技术实现的API及敏感字段发现模块;用于发现和识别各个业务部门及人员在各个业务系统敏感页面和页面敏感字段的存量访问权限的基于流量分析技术和业务系统日志分析实现的业务人员字段访问记录模块;面向数据安全治理人员的控制平面模块。
更进一步的,所述数据权限立方体使用关系数据库和图数据库,其X轴用于记录业务系统页面、页面菜单及页面字段;
Y轴用于记录API名及API字段,并对API敏感字段进行标记;
Z轴用于记录业务部门及部门角色;
(X,Y)平面用于记录页面及页面字段与API名及API字段的对应关系,并将Y轴标记的API敏感字段映射至前端页面字段,对前端页面敏感字段进行标记;
(X,Z)平面向数据安全治理人员,用于支撑业务视角的数据安全治理,将业务部门及角色在各个页面及页面敏感字段的访问权限与脱敏需求汇总形成权限矩阵;
(Y,Z)平面用于支撑业务视角的数据安全治理在技术上的落地,将业务部门及角色在各个页面及页面字段的访问权限与脱敏需求实现在API层面。
更进一步的,所述基于爬虫技术实现业务系统页面及页面字段自动发现模块包括前端页面抓取模块用于遍历业务系统各个页面,并抓取页面返回结果;
HTML处理模块用于解析返回的HTML文件,提取页面名、页面菜单名及页面字段名,并作结构化处理;
JS处理模块用于解析返回的JS文件,分析前端页面字段动态加载过程,关联前端页面字段与API字段;
API数据处理模块用于出发API请求调用并获取响应数据。
更进一步的,所述基于流量分析技术实现的API及敏感字段发现模块用于采集业务系统的HTTP明文流量镜像,经过IP分片处理、TCP会话流重组、HTTP应用层协议处理还原HTTP应用层数据交互,对JSON/XML等格式数据做结构化处理,最后通过敏感数据检测与发现模块发现API中的敏感字段,进而对数据权限立方体中的页面敏感字段进行标记。
更进一步的,所述应用安全网关用于引入数据安全治理平台的同时不改造原有业务系统,同时用于编排统一认证网关、通用脱敏模块、前端页面字段展示处理模块,实现数据安全治理整体技术方案的落地。
更进一步的,所述统一认证网关在业务系统页面层实现数据职责分离,其中web界面的管理控制台与数据立方体联动,用于录入页面资源、用户角色,做页面权限分配,并将资源、角色、权限分配转换成auth-server预定义的数据格式,提交给auth-server;所述auth-server是提供统一的用户、资源管理,权限控制的实现,对外提供Rest API;设置单点登录系统的cas,通过cas做身份认证,并生成登陆成功后的凭证。
更进一步的,所述通用脱敏模块与应用安全网关和数据权限立方体联动,实现数据最小权限、数据最小暴露,所述通用脱敏模块获取业务系统原始业务数据,调用敏感数据自动检测引擎,识别返回的业务数据中敏感数据字段,以用户/用户角色和字段名作为参数,查询数据权限立方体中用户角色与字段白名单定义,对于白名单定义之外的敏感数据字段,通过预定义和定制的脱敏规则进行字段脱敏处理,返回给上层应用安全网关。
更进一步的,设置敏感数据检测引擎,对多语言、多种编码格式的输入数据统一标准化处理成UTF8编码格式,分别调用字典检测引擎与正则检测引擎作内容检测;
其中字典检测引擎与元数据管理系统联动,以预定义好的各个业务系统中字段名作为输入;
正则检测引擎引入正则校验器模块,对于校验算法的数据场景,做校验检测;
设置基于决策树的复杂规则处理模块和结构化数据结果归并处理模块,同时引入可信度计算,对检测结果的准确性进行打分。
第二方面,本发明公开一种面向业务的数据安全治理方法,所述方法使用第一方面所述的面向业务的数据安全治理系统,通过建立业务系统页面及字段、业务部门及角色、API及敏感字段的数据权限立方体将数据安全治理体系和机制、业务系统和业务场景、技术实现和落地统一为有机整体;
通过定制化的爬虫技术自动发现并识别各类业务系统的页面及字段,以及前端页面字段与API接口和字段的对应关系;
通过流量分析技术结合智能敏感数据检测引擎,自动发现业务系统中敏感字段;并结合Token解析模块,自动发现并梳理业务人员对业务系统敏感字段的存量访问权限;
检测引擎基于关键字、字典、正则,并支持字典、正则任意组合的复杂规则,并使用校验器检测算法与装置,提升检测准确性;最终通过前端页面字段展示处理模块在前端页面增加数据明文展示/脱敏展示开关。
本发明的有益效果为:
1、将数据安全治理体系和机制、业务系统和业务场景、技术实现和落地统一为有机整体,使得数据安全治理从人力驱动转变为技术驱动,有效地降低企业数据安全治理成本;数据权限立方体的发明,使得技术驱动的数据安全治理得以落地实现。
2、自动化的业务系统页面字段发现技术极大地降低了系统部署实施的复杂度;自动化的敏感数据字段自动发现技术使得实施人员无需太多的专业知识,极大的降低系统实施成本与系统实施复杂度;自动化的存量敏感数据字段访问权限发现与梳理有助于提升业务系统数据权限的可见度,极大地增加数据安全治理的覆盖面。
3、智能化的敏感数据检测引擎极大地提升检测结果地准确性与精度;定制化的统一认证网关使得数据职责分离以在技术层面落地实现;定制化的应用安全网关使得无需改动业务架构的情况下,使得数据安全治理可以落地实现;智能化的脱敏模块设计使得敏感字段级别的最小权限控制和数据最小暴露(敏感字段脱敏)可以落地实现;可以规避误报导致的不当脱敏影响业务开展。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是一种面向业务的数据安全治理系统的原理框图;
图2是本发明实施例数据权限立方体原理图;
图3是本发明实施例基于爬虫技术的业务系统页面及页面字段自动发现的原理框图;
图4是本发明实施例基于流量分析的API及API敏感字段自动发现的原理框图;
图5是本发明实施例统一认证网关的原理框图;
图6是本发明实施例通用脱敏模块原理框图;
图7是本发明实施例敏感数据检测引擎原理框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例公开如图1所示的一种面向业务的数据安全治理系统,包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理,实现的业务系统页面及页面字段及API及敏感字段自动发现,实现的业务人员字段访问记录及控制的数据权限立方体引擎;包括实现业务无感知及数据职责分离的数据安全治理平台,所述数据安全治理平台包括应用安全网关、统一认证网关、通用脱敏模块和前端页面字段展示处理模块。
本实施例解决了数据安全治理人员供不应求且成本居高不下;人力驱动的数据安全治理滞后于业务发展变化;很难对动态变动的业务需求建立持续性的数据安全治理机制;无法覆盖业务场景中敏感数据的方方面面,存在盲区的问题。
实施例2
本实施例公开一种权限立方体引擎,包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理的权限立方体;基于爬虫技术实现的业务系统页面及页面字段自动发现模块;基于流量分析技术实现的API及敏感字段发现模块;基于流量分析技术和业务系统日志分析实现的业务人员字段访问记录模块;面向数据安全治理人员的控制平面模块。
本实施例公开如图2所示的数据权限立方体,该权限立方体基于关系数据库、图数据库等技术。X轴用于记录业务系统页面、页面菜单及页面字段,Y轴用于记录API名及API字段,并对API敏感字段进行标记,Z轴用于记录业务部门及部门角色;(X,Y)平面用于记录页面及页面字段与API名及API字段的对应关系,并将Y轴标记的API敏感字段映射至前端页面字段,对前端页面敏感字段进行标记;(X,Z)平面向数据安全治理人员,用于支撑业务视角的数据安全治理,将业务部门及角色在各个页面及页面敏感字段的访问权限与脱敏需求汇总形成权限矩阵;(Y,Z)平面用于支撑业务视角的数据安全治理在技术上的落地,将业务部门及角色在各个页面及页面字段的访问权限与脱敏需求实现在API层面。
本实施例公开基于爬虫技术实现业务系统页面及页面字段自动发现模块,如图3所示,该实施例中包括四个组成部分:前端页面抓取模块用于遍历业务系统各个页面,并抓取页面返回结果;HTML处理模块用于解析返回的HTML文件,提取页面名、页面菜单名及页面字段名,并作结构化处理;JS处理模块用于解析返回的JS文件,分析前端页面字段动态加载过程,关联前端页面字段与API字段;API数据处理模块用于出发API请求调用并获取响应数据。
本实施例公开如图4所示的基于流量分析技术实现的API及敏感字段发现模块,其采集业务系统的HTTP明文流量镜像,经过IP分片处理、TCP会话流重组、HTTP应用层协议处理还原HTTP应用层数据交互,再进一步针对JSON/XML等格式数据做结构化处理,最后通过敏感数据检测与发现模块发现API中的敏感字段,进而对数据权限立方体中的页面敏感字段进行标记。
本实施例公开实现基于流量分析和业务系统日志分析的用户字段访问记录,该模块用于发现和识别各个业务部门及人员在各个业务系统敏感页面和页面敏感字段的存量访问权限;
在实施例中提供一种平台控制平面,供数据安全治理人员进一步优化和完善数据权限立方体中敏感数据的权限颗粒度控制。
实施例3
本实施例公开实现业务无感知的数据安全治理平台集成,在此平台上可以实现数据职责分离(SODD:Segregation of Data Duties),数据最小权限、数据最小暴露(字段脱敏),该实施例包括:应用安全网关、统一认证网关、通用脱敏模块、前端页面字段展示处理模块。
本实施例中,定制化的应用安全网关一方面用于引入数据安全治理平台的同时不改造原有业务系统,另一方面用于编排统一认证网关、通用脱敏模块、前端页面字段展示处理模块,实现数据安全治理整体技术方案的落地。
本实施例公开如图5所示的统一认证网关,在业务系统页面层实现数据职责分离(SODD:Segregation of Data Duties),如图5所示,其中web界面的管理控制台与数据立方体联动,用于录入页面资源、用户角色,做页面权限分配,并将资源、角色、权限分配转换成auth-server预定义的数据格式,提交给auth-server;其中auth-server是提供统一的用户、资源管理,权限控制的实现,对外提供Rest API;设置单点登录系统的cas,通过cas做身份认证,并生成登陆成功后的凭证。
本实施例公开如图6所示的通用脱敏模块,在本实施例中通用脱敏模块与应用安全网关和数据权限立方体联动,实现数据最小权限、数据最小暴露(页面字段脱敏)。
该模块获取业务系统原始业务数据,调用敏感数据自动检测引擎,识别返回的业务数据中敏感数据字段,以用户/用户角色和字段名作为参数,查询数据权限立方体中用户角色与字段白名单定义,对于白名单定义之外的敏感数据字段,通过预定义和定制的脱敏规则进行字段脱敏处理,返回给上层应用安全网关。
本实施例公开如图7所示的敏感数据检测引擎,其为实现基于关键字检测和正则检测的敏感数据检测引擎。对多语言、多种编码格式的输入数据统一标准化处理成UTF8编码格式,分别调用字典检测引擎与正则检测引擎作内容检测。其中字典检测引擎可以与元数据管理系统联动,以预定义好的各个业务系统中字段名作为输入,有助于提升检测的准确性。正则检测引擎引入正则校验器模块,对于某些存在校验算法的数据场景,做进一步的校验检测,有助于提升检测的准确性。为了更好的提升检测的准确性,引入基于决策树的复杂规则处理模块和结构化数据结果归并处理模块。同时还引入可信度计算,对检测结果的准确性进行打分,便于前端页面对数据字段脱敏展示灵活处理,规避误报导致的不当脱敏影响业务开展。
本实施例中,前端页面字段展示处理模块用于不改造原有业务系统的情况下,为前端页面增加数据明文展示/脱敏展示开关。该开关一方面有助于记录详细的业务人员字段级访问日志,另一方面规避误报导致的不当脱敏影响业务开展。
实施例4
本实施例公开一种面向业务的数据安全治理方法,通过建立业务系统页面及字段、业务部门及角色、API及敏感字段的数据权限立方体将数据安全治理体系和机制、业务系统和业务场景、技术实现和落地统一为有机整体;
通过定制化的爬虫技术自动发现并识别各类业务系统的页面及字段,以及前端页面字段与API接口和字段的对应关系;
通过流量分析技术结合智能敏感数据检测引擎,自动发现业务系统中敏感字段;并结合Token解析模块,自动发现并梳理业务人员对业务系统敏感字段的存量访问权限;
检测引擎基于关键字、字典、正则,并支持字典、正则任意组合的复杂规则,并使用校验器检测算法与装置,提升检测准确性;最终通过前端页面字段展示处理模块在前端页面增加数据明文展示/脱敏展示开关。
本实施例中,智能数据检测引擎基于关键字、字典、正则,并支持字典、正则任意组合的复杂规则,并且引入校验器检测算法与装置,可以极大地提升检测准确性;透明的通用脱敏模块设计,对业务人员无感,在实现业务系统字段脱敏的同时无需改动业务系统架构;
本实施例通过元数据管理与主数据管理,与数据分级分类形成联动,更好的适配相应的法律法规要求以及公司管理层的数据保护需求;
本实施例全流量分析、敏感数据自动发现、应用安全网关整体联动,实现业务系统数据安全治理的全覆盖;
本实施例自定义的统一认证网关,与数据权限立方体联动,在业务系统页面实现基于用户和角色的数据职责分离(SODD:Segregation of Data Duties);
本实施例自定义的通用脱敏模块,与数据权限立方体联动,在业务系统页面实现敏感字段级别的最小权限控制和数据最小暴露(敏感字段脱敏)。
本实施例业务无感的前端页面处理模块设计,在实现前端页面敏感数据字段明文展示开关控制的同时,无需改动业务系统。
综上,本发明将数据安全治理体系和机制、业务系统和业务场景、技术实现和落地统一为有机整体,使得数据安全治理从人力驱动转变为技术驱动,有效地降低企业数据安全治理成本;数据权限立方体的发明,使得技术驱动的数据安全治理得以落地实现。
本发明自动化的业务系统页面字段发现技术极大地降低了系统部署实施的复杂度;自动化的敏感数据字段自动发现技术使得实施人员无需太多的专业知识,极大的降低系统实施成本与系统实施复杂度;自动化的存量敏感数据字段访问权限发现与梳理有助于提升业务系统数据权限的可见度,极大地增加数据安全治理的覆盖面。
本发明智能化的敏感数据检测引擎极大地提升检测结果地准确性与精度;定制化的统一认证网关使得数据职责分离以在技术层面落地实现;定制化的应用安全网关使得无需改动业务架构的情况下,使得数据安全治理可以落地实现;智能化的脱敏模块设计使得敏感字段级别的最小权限控制和数据最小暴露(敏感字段脱敏)可以落地实现;可以规避误报导致的不当脱敏影响业务开展。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种面向业务的数据安全治理系统,其特征在于,包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理,实现的业务系统页面及页面字段及API及敏感字段自动发现,实现的业务人员字段访问记录及控制的数据权限立方体引擎;包括实现业务无感知及数据职责分离的数据安全治理平台,所述数据安全治理平台包括应用安全网关、统一认证网关、通用脱敏模块和前端页面字段展示处理模块。
2.根据权利要求1所述的面向业务的数据安全治理系统,其特征在于,所述数据权限立方体引擎包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理的数据权限立方体;基于爬虫技术实现的业务系统页面及页面字段自动发现模块;基于流量分析技术实现的API及敏感字段发现模块;用于发现和识别各个业务部门及人员在各个业务系统敏感页面和页面敏感字段的存量访问权限的基于流量分析技术和业务系统日志分析实现的业务人员字段访问记录模块;面向数据安全治理人员的控制平面模块。
3.根据权利要求2所述的面向业务的数据安全治理系统,其特征在于,所述数据权限立方体使用关系数据库和图数据库,其X轴用于记录业务系统页面、页面菜单及页面字段;
Y轴用于记录API名及API字段,并对API敏感字段进行标记;
Z轴用于记录业务部门及部门角色;
(X,Y)平面用于记录页面及页面字段与API名及API字段的对应关系,并将Y轴标记的API敏感字段映射至前端页面字段,对前端页面敏感字段进行标记;
(X,Z)平面向数据安全治理人员,用于支撑业务视角的数据安全治理,将业务部门及角色在各个页面及页面敏感字段的访问权限与脱敏需求汇总形成权限矩阵;
(Y,Z)平面用于支撑业务视角的数据安全治理在技术上的落地,将业务部门及角色在各个页面及页面字段的访问权限与脱敏需求实现在API层面。
4.根据权利要求2所述的面向业务的数据安全治理系统,其特征在于,所述基于爬虫技术实现业务系统页面及页面字段自动发现模块包括前端页面抓取模块用于遍历业务系统各个页面,并抓取页面返回结果;
HTML处理模块用于解析返回的HTML文件,提取页面名、页面菜单名及页面字段名,并作结构化处理;
JS处理模块用于解析返回的JS文件,分析前端页面字段动态加载过程,关联前端页面字段与API字段;
API数据处理模块用于出发API请求调用并获取响应数据。
5.根据权利要求2所述的面向业务的数据安全治理系统,其特征在于,所述基于流量分析技术实现的API及敏感字段发现模块用于采集业务系统的HTTP明文流量镜像,经过IP分片处理、TCP会话流重组、HTTP应用层协议处理还原HTTP应用层数据交互,对JSON/XML等格式数据做结构化处理,最后通过敏感数据检测与发现模块发现API中的敏感字段,进而对数据权限立方体中的页面敏感字段进行标记。
6.根据权利要求1所述的面向业务的数据安全治理系统,其特征在于,所述应用安全网关用于引入数据安全治理平台的同时不改造原有业务系统,同时用于编排统一认证网关、通用脱敏模块、前端页面字段展示处理模块,实现数据安全治理整体技术方案的落地。
7.根据权利要求1所述的面向业务的数据安全治理系统,其特征在于,所述统一认证网关在业务系统页面层实现数据职责分离,其中web界面的管理控制台与数据立方体联动,用于录入页面资源、用户角色,做页面权限分配,并将资源、角色、权限分配转换成auth-server预定义的数据格式,提交给auth-server;所述auth-server是提供统一的用户、资源管理,权限控制的实现,对外提供Rest API;设置单点登录系统的cas,通过cas做身份认证,并生成登陆成功后的凭证。
8.根据权利要求1所述的面向业务的数据安全治理系统,其特征在于,所述通用脱敏模块与应用安全网关和数据权限立方体联动,实现数据最小权限、数据最小暴露,所述通用脱敏模块获取业务系统原始业务数据,调用敏感数据自动检测引擎,识别返回的业务数据中敏感数据字段,以用户/用户角色和字段名作为参数,查询数据权限立方体中用户角色与字段白名单定义,对于白名单定义之外的敏感数据字段,通过预定义和定制的脱敏规则进行字段脱敏处理,返回给上层应用安全网关。
9.根据权利要求1所述的面向业务的数据安全治理系统,其特征在于,设置敏感数据检测引擎,对多语言、多种编码格式的输入数据统一标准化处理成UTF8编码格式,分别调用字典检测引擎与正则检测引擎作内容检测;
其中字典检测引擎与元数据管理系统联动,以预定义好的各个业务系统中字段名作为输入;
正则检测引擎引入正则校验器模块,对于校验算法的数据场景,做校验检测;
设置基于决策树的复杂规则处理模块和结构化数据结果归并处理模块,同时引入可信度计算,对检测结果的准确性进行打分。
10.一种面向业务的数据安全治理方法,所述方法使用如权利要求1-9任一项所述的面向业务的数据安全治理系统,其特征在于,通过建立业务系统页面及字段、业务部门及角色、API及敏感字段的数据权限立方体将数据安全治理体系和机制、业务系统和业务场景、技术实现和落地统一为有机整体;
通过定制化的爬虫技术自动发现并识别各类业务系统的页面及字段,以及前端页面字段与API接口和字段的对应关系;
通过流量分析技术结合智能敏感数据检测引擎,自动发现业务系统中敏感字段;并结合Token解析模块,自动发现并梳理业务人员对业务系统敏感字段的存量访问权限;
检测引擎基于关键字、字典、正则,并支持字典、正则任意组合的复杂规则,并使用校验器检测算法与装置,提升检测准确性;最终通过前端页面字段展示处理模块在前端页面增加数据明文展示/脱敏展示开关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011633430.9A CN112749400A (zh) | 2020-12-31 | 2020-12-31 | 一种面向业务的数据安全治理系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011633430.9A CN112749400A (zh) | 2020-12-31 | 2020-12-31 | 一种面向业务的数据安全治理系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112749400A true CN112749400A (zh) | 2021-05-04 |
Family
ID=75650947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011633430.9A Pending CN112749400A (zh) | 2020-12-31 | 2020-12-31 | 一种面向业务的数据安全治理系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112749400A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113407925A (zh) * | 2021-06-11 | 2021-09-17 | 国网浙江省电力有限公司电力科学研究院 | 应用系统与iam系统之间的无应用改造对接方法及系统 |
| CN114022114A (zh) * | 2021-11-03 | 2022-02-08 | 广州智算信息技术有限公司 | 基于电信行业的数据治理平台 |
| CN114666113A (zh) * | 2022-03-14 | 2022-06-24 | 北京计算机技术及应用研究所 | 一种基于api网关的动态响应数据脱敏的方法 |
| CN117194588A (zh) * | 2023-11-07 | 2023-12-08 | 江苏龙虎网信息科技股份有限公司 | 一种基于大数据的业务数据一体化监管系统及方法 |
-
2020
- 2020-12-31 CN CN202011633430.9A patent/CN112749400A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113407925A (zh) * | 2021-06-11 | 2021-09-17 | 国网浙江省电力有限公司电力科学研究院 | 应用系统与iam系统之间的无应用改造对接方法及系统 |
| CN113407925B (zh) * | 2021-06-11 | 2022-05-17 | 国网浙江省电力有限公司电力科学研究院 | 应用系统与iam系统之间的无应用改造对接方法及系统 |
| CN114022114A (zh) * | 2021-11-03 | 2022-02-08 | 广州智算信息技术有限公司 | 基于电信行业的数据治理平台 |
| CN114022114B (zh) * | 2021-11-03 | 2022-07-15 | 广州智算信息技术有限公司 | 基于电信行业的数据治理系统和方法 |
| CN114666113A (zh) * | 2022-03-14 | 2022-06-24 | 北京计算机技术及应用研究所 | 一种基于api网关的动态响应数据脱敏的方法 |
| CN117194588A (zh) * | 2023-11-07 | 2023-12-08 | 江苏龙虎网信息科技股份有限公司 | 一种基于大数据的业务数据一体化监管系统及方法 |
| CN117194588B (zh) * | 2023-11-07 | 2024-01-19 | 江苏龙虎网信息科技股份有限公司 | 一种基于大数据的业务数据一体化监管系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112749400A (zh) | 一种面向业务的数据安全治理系统及方法 | |
| US11188397B2 (en) | Mobile application for an information technology (IT) and security operations application | |
| CN107958322B (zh) | 一种城市网络空间综合治理系统 | |
| CN114090374B (zh) | 网络安全运营管理平台 | |
| US6678822B1 (en) | Method and apparatus for securely transporting an information container from a trusted environment to an unrestricted environment | |
| US7954151B1 (en) | Partial document content matching using sectional analysis | |
| US20050091537A1 (en) | Inferring content sensitivity from partial content matching | |
| CN110870279B (zh) | 安全策略分析器服务和可满足性引擎 | |
| RU2702269C1 (ru) | Система интеллектуального управления киберугрозами | |
| JP2001184264A (ja) | アクセス制御システム、アクセス制御方法、記憶媒体、及びプログラム伝送装置 | |
| US11552974B1 (en) | Cybersecurity risk analysis and mitigation | |
| US9123006B2 (en) | Techniques for parallel business intelligence evaluation and management | |
| CN114144798A (zh) | 安全事故调查事件捕获 | |
| CN109542741A (zh) | 日志自动分组存储方法、装置、计算机设备和存储介质 | |
| US11593477B1 (en) | Expediting processing of selected events on a time-limited basis | |
| US11989743B2 (en) | System and method for processing public sentiment, computer storage medium and electronic device | |
| US11516069B1 (en) | Aggregate notable events in an information technology and security operations application | |
| US11902306B1 (en) | Advanced persistent threat detection by an information technology and security operations application | |
| US11567735B1 (en) | Systems and methods for integration of multiple programming languages within a pipelined search query | |
| US11695803B2 (en) | Extension framework for an information technology and security operations application | |
| CN112000992B (zh) | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 | |
| CN111488594A (zh) | 一种基于云服务器的权限检查方法、装置、存储介质及终端 | |
| US20180300186A1 (en) | Methods and apparatus for capturing and determining mainframe operating system events | |
| US20210264056A1 (en) | Sensitive data compliance manager | |
| CN114003634A (zh) | 基于es技术的大数据分析检索系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |