CN112784230B - 网络安全数据共享与管控方法及系统 - Google Patents

网络安全数据共享与管控方法及系统 Download PDF

Info

Publication number
CN112784230B
CN112784230B CN202110080527.XA CN202110080527A CN112784230B CN 112784230 B CN112784230 B CN 112784230B CN 202110080527 A CN202110080527 A CN 202110080527A CN 112784230 B CN112784230 B CN 112784230B
Authority
CN
China
Prior art keywords
data
data access
sdk
access party
party
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110080527.XA
Other languages
English (en)
Other versions
CN112784230A (zh
Inventor
冯玉超
祁锦怀
李发财
韩三田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venustech Cybervision Co ltd
Venustech Group Inc
Original Assignee
Beijing Venustech Cybervision Co ltd
Venustech Group Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venustech Cybervision Co ltd, Venustech Group Inc filed Critical Beijing Venustech Cybervision Co ltd
Priority to CN202110080527.XA priority Critical patent/CN112784230B/zh
Publication of CN112784230A publication Critical patent/CN112784230A/zh
Application granted granted Critical
Publication of CN112784230B publication Critical patent/CN112784230B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种网络安全数据共享与管控方法及系统,共享与管控方法包括:对数据进行分类并编制成数据目录;为数据访问方开通账户,绑定IP,并分配数据管理员角色;获取数据访问方的数据访问和数据操作权限的工单并进行审批,对于审批通过的给予相应数据的操作权限,访问和操作权限加密后写入授权表中;将SDK引入获得操作权限的数据访问方的项目中;由SDK对数据访问方的IP进行鉴权;由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权;将数据库的访问和查询行为与数据库性能指标做关联分析;预设数据访问规则,若数据访问方触发访问规则,则熔断查询并告警。本申请能够保证数据共享过程的可审计、可监控和可告警。

Description

网络安全数据共享与管控方法及系统
技术领域
本申请属于网络安全技术领域,具体涉及一种网络安全数据共享与管控方法及系统。
背景技术
网络安全数据通常包括安全事件日志、威胁情报数据、漏洞情报数据、 IT资产以及流量等。目前,网络安全领域数据共享与管控方面的产品相对较少,主要是数据库审计方面的产品。例如,安华金和数据库安全审计系统属于数据库审计方面的产品,安华金和数据库安全审计系统基于数据库协议分析与控制技术来实现数据库的安全审计和防护。
现有的数据库审计方面的产品存在以下问题:首先,数据库审计方面的产品面向的是数据库运维人员和安全管理人员,更着重体现的是数据库的安全防控,更注重数据本身的安全。其次,对于承载数据量较小的结构化数据库来说,数据库协议分析与控制技术技术是有效的,然而对于实时性要求极高的海量日志数据的流式处理引擎以及近实时的全文搜索引擎来说,这种单点访问控制的设计是不能满足需求的。再次,数据库审计方面的产品并没有实现数据的细粒度控制以及对数据的分权限管控。没有实现数据在系统中的操作权限以及数据访问权限的统一。最后,数据库审计方面的产品并没有对数据的使用与数据责任方做数据的审批流程。
发明内容
为至少在一定程度上克服相关技术中存在的问题,本申请提供了一种网络安全数据共享与管控方法及系统。
根据本申请实施例的第一方面,本申请提供了一种网络安全数据共享与管控方法,其包括以下步骤:
对数据进行分类并编制成数据目录,以向外提供数据共享;
为数据访问方开通账户,绑定数据访问方的IP,并为数据访问方分配数据管理员角色;
获取数据访问方的数据访问和数据操作权限的工单并进行审批,对于审批通过的数据访问方给予其相应数据的操作权限,并将该数据访问权限和数据操作权限加密后写入授权表中;
将SDK引入获得操作权限的数据访问方的项目中;
由SDK对数据访问方的IP进行鉴权;
由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权,对于获得相应操作权限的数据访问方放行其操作;
数据访问方通过客户端对象访问Elasticsearch时,由SDK对数据访问方对Elasticsearch的操作进行数据埋点操作,并将埋点日志写入Elasticsearch 的索引中,以接受审计与管理;
将记录的数据库的访问和查询行为与数据库性能指标做关联分析,以确定数据库的性能影响因素;
预设数据访问规则,如果数据访问方触发访问规则,则熔断查询,并且生成告警,通知数据责任方。
上述网络安全数据共享与管控方法中,所述将SDK引入获得操作权限的数据访问方的项目中的具体过程为:
获得操作权限的数据访问方下载SDK及其使用文档;
将SDK引入数据访问方的项目中。
上述网络安全数据共享与管控方法中,所述由SDK对数据访问方的IP 进行鉴权的具体过程为:
SDK获取数据访问方的IP;
SDK对获取的IP进行远程查询,并判断获取的IP是否存在于预设的授权表中;
如果获取的IP存在于预设的授权表中,则SDK向数据访问方发放客户端对象;
数据访问方通过客户端对象访问数据库。
上述网络安全数据共享与管控方法中,所述由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权的具体过程为:
SDK根据数据访问方要进行的操作的索引匹配授权表;
如果授权表中有对应该操作的授权,则放行该操作。
根据本申请实施例的第二方面,本申请还提供了一种网络安全数据共享与管控系统,其包括:
权限管理模块,用于为请求注册的数据访问方分配数据管理员角色,还用于为数据责任方分配系统管理员角色;
数据目录模块,用于收录数据责任方提供的各类数据,并编制成数据目录;
工单审批模块,用于对数据访问方提交的请求使用某类数据的工单进行审批;
SDK模块,用于为数据访问方提供可下载的SDK;
授权模块,用于对通过鉴权的数据访问方进行授权,以便于数据访问方对数据库进行相应操作,获取所需要的数据。
上述网络安全数据共享与管控系统中,还包括网络安全数据共享与管控系统,其特征在于,还包括埋点日志审计模块,所述埋点日志审计模块用于对SDK写入Elasticsearch的索引中的埋点日志进行审计和管理。
上述网络安全数据共享与管控系统中,还包括关联分析模块,所述关联分析模块用于将记录的数据库的访问和查询行为与数据库性能指标做关联分析,以确定数据库的性能影响因素。
上述网络安全数据共享与管控系统中,还包括查询熔断模块,所述查询熔断模块用于对触发访问规则的数据访问方的操作进行熔断,并生成告警信息,通知数据责任方。
上述网络安全数据共享与管控系统中,所述SDK模块提供的SDK中封装的功能包括:根据数据访问方所在的IP以及要进行的操作的索引去匹配网络安全数据共享与管控系统中预设的授权表,如果在授权表中获得相应操作的授权,则放行其操作;对数据访问方所有对数据库的操作均做数据埋点操作,并将操作日志写入Elasticsearch的索引中,以接受网络安全数据共享与管控系统的审计与管理。
根据本申请的上述具体实施方式可知,至少具有以下有益效果:本申请通过采用SDK引入的方式,在控制数据访问方权限的同时,还能够通过数据埋点的方式监控并管理数据访问方对数据的访问,由于在这种情况下,数据不会通过应用系统,因此不会对网络安全数据共享与管控系统造成性能压力,从而不影响网络安全数据共享与管控系统的访问速度。本申请通过工单来实现数据使用的审批,对于某类数据的使用必须经过数据责任方审批完成后才能被访问和使用。
本申请能够使得大型企业中集中存储的网络安全相关的数据在对外共享的同时,保证数据共享的安全性,保证数据在共享时不会造成大数据集群和全文搜素引擎的集群性能上的损失,并能够保证数据的存储安全。同时,本申请能够做到整个共享与管控流程的可审计,可监控,可告警,同时做到数据皆有责任人,相应数据访问方必须经过审批后才能查看、操作以及使用数据。
应了解的是,上述一般描述及以下具体实施方式仅为示例性及阐释性的,其并不能限制本申请所欲主张的范围。
附图说明
下面的所附附图是本申请的说明书的一部分,其示出了本申请的实施例,所附附图与说明书的描述一起用来说明本申请的原理。
图1为本申请具体实施方式提供的一种网络安全数据共享与管控方法的流程图。
图2为数据访问方与本申请具体实施方式提供的一种网络安全数据共享与管控系统之间的交互过程示意图。
图3为数据访问方的流程图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚明白,下面将以附图及详细叙述清楚说明本申请所揭示内容的精神,任何所属技术领域技术人员在了解本申请内容的实施例后,当可由本申请内容所教示的技术,加以改变及修饰,其并不脱离本申请内容的精神与范围。
本申请的示意性实施例及其说明用于解释本申请,但并不作为对本申请的限定。另外,在附图及实施方式中所使用相同或类似标号的元件/构件是用来代表相同或类似部分。
关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等,均为开放性的用语,即意指包含但不限于。
关于本文中所使用的“及/或”,包括所述事物的任一或全部组合。
关于本文中的“多个”包括“两个”及“两个以上”;关于本文中的“多组”包括“两组”及“两组以上”。
某些用以描述本申请的用词将于下或在此说明书的别处讨论,以提供本领域技术人员在有关本申请的描述上额外的引导。
图1为本申请具体实施方式提供的一种网络安全数据共享与管控方法的流程图。
如图1所示,本申请提供的网络安全数据共享与管控方法包括以下步骤:
S1、对数据进行概括性分类并编制成数据目录,以向外提供数据共享。
其中,可以将数据分成以下四类:流式数据、热数据、离线数据和配置管理类稳定数据。
S2、为数据访问方开通账户,绑定数据访问方的IP,并为数据访问方分配数据管理员角色。
S3、获取数据访问方的数据访问和数据操作权限的工单并进行审批,对于审批通过的数据访问方给予其相应数据的操作权限,并将该数据访问权限和数据操作权限加密后写入授权表中。例如,将数据访问方对table1的读权限或者写权限加密后写入授权表中。
S4、将SDK(Software Development Kit,软件开发工具包)引入获得操作权限的数据访问方的项目中,其具体包括,获得操作权限的数据访问方下载SDK及其使用文档,将SDK引入其项目中。
S5、由SDK对数据访问方的IP进行鉴权,其具体过程为:
SDK获取数据访问方的IP;其中,考虑多网卡的情况,如果存在多网卡,则获取所有网卡的IP。
SDK对获取的IP进行远程查询,并判断获取的IP是否存在于预设的授权表中;如果存在,则SDK向数据访问方发放客户端对象client,以便于数据访问方能够通过客户端对象client访问mysql、HDFS、kafka等数据库或者Elasticsearch等全文搜索引擎;否则,SDK不向数据访问方发放客户端对象client。
S6、由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权,对于获得相应操作权限的数据访问方放行其操作,否则拒绝其操作。
其中,由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权的具体过程为:
SDK根据数据访问方要进行的操作的索引匹配授权表;
如果授权表中没有对应该操作的授权,则拒绝该操作;否则,放行该操作。
S7、数据访问方通过客户端对象client访问Elasticsearch时,SDK对数据访问方对Elasticsearch的操作进行数据埋点操作,并将埋点日志写入 Elasticsearch的索引中,以接受审计与管理。
S8、将记录的数据库的访问和查询行为与数据库性能指标做关联分析,以确定数据库的性能影响因素。
S9、预设数据访问规则,如果数据访问方触发访问规则,则熔断查询,并且生成告警,以短信或者邮件的方式通知数据责任方。
本申请还提供了一种网络安全数据共享与管控系统,其包括权限管理模块、数据目录模块、工单审批模块、SDK模块和授权模块。其中,权限管理模块用于为请求注册的数据访问方分配数据管理员角色,还用于为数据责任方分配系统管理员角色;数据目录模块用于收录数据责任方提供的各类数据,并编制成数据目录,以供数据共享。工单审批模块用于对数据访问方提交的请求使用某类数据的工单进行审批。SDK模块用于为数据访问方提供可下载的SDK,以便于数据访问方将下载的SDK引入其项目中,由SDK对数据访问方进行鉴权。
需要说明的是,SDK模块提供的SDK中对常用的数据库的查询、删除、搜索以及创建索引的接口都做了封装,封装主要实现以下功能:一、根据数据访问方所在的IP以及要进行的操作的索引去匹配网络安全数据共享与管控系统中预设的授权表,如果在授权表中没有获得相应操作的授权,则SDK 拒绝其操作;否则,放行其操作;二、对数据访问方所有对数据库的操作均做数据埋点操作,并将操作日志写入数据库的索引中,以接受网络安全数据共享与管控系统的审计与管理。
本申请采用SDK引入的方式,在控制数据访问方权限的同时,还能够通过数据埋点的方式监控并管理数据访问方对数据的访问,由于在这种情况下,数据不会通过应用系统,因此不会对网络安全数据共享与管控系统造成性能压力,从而不影响网络安全数据共享与管控系统的访问速度。
授权模块用于对通过鉴权的数据访问方进行授权,以便于数据访问方对数据库进行相应操作,获取所需要的数据。
本申请提供的网络安全数据共享与管控系统中还包括埋点日志审计模块,埋点日志审计模块用于对SDK写入Elasticsearch的索引中的埋点日志进行审计和管理。本申请提供的网络安全数据共享与管控系统中还包括关联分析模块,关联分析模块用于将记录的数据库的访问和查询行为与数据库性能指标做关联分析,以确定数据库的性能影响因素。
本申请提供的网络安全数据共享与管控系统中还包括查询熔断模块,查询熔断模块用于对触发访问规则的数据访问方的操作进行熔断,并生成告警信息,以短信或者邮件的形式通知数据责任方。
需要说明的是,上述实施例提供的网络安全数据共享与管控系统仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将网络安全数据共享与管控系统的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的网络安全数据共享与管控系统与网络安全数据共享与管控方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图2为数据访问方与本申请具体实施方式提供的一种网络安全数据共享与管控系统之间的交互过程示意图。
如图2所示,下面对数据访问方与本申请提供的网络安全数据共享与管控系统之间的交互过程进行说明。
数据访问方请求网络安全数据共享与管控系统开通账户,并分配数据管理员角色。
网络安全数据共享与管控系统为数据访问方开通账户,绑定数据访问方的IP,并为数据访问方分配数据管理员角色。
数据访问方向网络安全数据共享与管控系统提交需要访问的数据资源列表的工单。
网络安全数据共享与管控系统的数据责任方对数据访问方的工单进行审批,对于审批通过的工单,授权数据访问方登录网络安全数据共享与管控系统中开通的账户。
数据访问方登录账户,并从网络安全数据共享与管控系统下载SDK,并将SDK引入其项目中。
SDK对数据访问方进行鉴权。
权限认证通过后,数据访问方通过从SDK获取的相应连接访问数据库。其中,数据库具体包括大数据集群、结构化数据库、全文搜索引擎和流处理引擎等。
数据库将需要的数据反馈给数据访问方。
需要说明的是,数据访问方在获取授权后,数据的访问不会经过本申请提供的网络安全数据共享与管控系统,而是直接查询数据库或者大数据集群;然而,由于这些访问有SDK本身对访问行为的监控,因此,虽然数据的访问不经过本申请提供的网络安全数据共享与管控系统,但是在本申请提供的网络安全数据共享与管控系统中仍然可以直接进行审计、告警和熔断。
图3为数据访问方的流程图。如图3所示,下面对数据访问方的访问流程进行具体说明。
数据访问向网络安全数据共享与管控系统发送用户注册请求,获取数据管理员角色。
数据访问方登录网络安全数据共享与管控系统查看数据目录,选择需要访问的数据。
数据访问方向网络安全数据共享与管控系统提交访问申请。
网络安全数据共享与管控系统对访问申请进行审批和授权,如果审批通过并授权,则数据访问方从网络安全数据共享与管控系统获取SDK;否则,结束。
数据访问方在代码中引入SDK,SDK对数据访问方进行鉴权。
数据访问方获得权限后根据API文档获取客户端对象。数据访问方通过客户端对象直接查询数据库,并获取所需的数据。
本申请能够实现mysql、HDFS、Elasticsearch、kafka等各种数据库的数据共享,能够实现流式数据的可控共享订阅。
本申请还能够实现灵活的数据表、索引、主题、文件的细粒度授权控制。
本申请在客户端进行鉴权,鉴权方式较为灵活;另外,由于在客户端进行鉴权,数据的查询能够去中心化,数据不通过网络安全数据共享与管控系统,在数据量大的前提下,由大数据集群直接承接查询压力,避免网络安全数据共享与管控系统因为数据查询压力而变的缓慢从而崩溃。
对于全文搜索引擎来说,为了维持Elasticsearch的稳定性,本申请把第三方即数据访问方的访问行为与Elasticsearch的性能指标进行关联分析,根据在同一时间的访问行为和性能指标的变化对比后,可以协助运维人员找到影响集群稳定性的用户。此功能可以扩展到mysql、HDFS和kafka中。
本申请将可共享的数据根据数据库的类别自动录入数据目录模块,让数据访问方可以直观看到数据库的数据列表。本申请以工单的形式完成数据审批,能够让数据的共享有完整的记录。
上述的本申请实施例可在各种硬件、软件编码或两者组合中进行实施。例如,本申请的实施例也可为在数据信号处理器中执行上述方法的程序代码。本申请也可涉及计算机处理器、数字信号处理器、微处理器或现场可编程门阵列执行的多种功能。可根据本申请配置上述处理器执行特定任务,其通过执行定义了本申请揭示的特定方法的机器可读软件代码或固件代码来完成。可将软件代码或固件代码发展为不同的程序语言与不同的格式或形式。也可为不同的目标平台编译软件代码。然而,根据本申请执行任务的软件代码与其他类型配置代码的不同代码样式、类型与语言不脱离本申请的精神与范围。
以上所述仅为本申请示意性的具体实施方式,在不脱离本申请的构思和原则的前提下,任何本领域的技术人员所做出的等同变化与修改,均应属于本申请保护的范围。

Claims (9)

1.一种网络安全数据共享与管控方法,其特征在于,包括以下步骤:
对数据进行分类并编制成数据目录,以向外提供数据共享;
为数据访问方开通账户,绑定数据访问方的IP,并为数据访问方分配数据管理员角色;
获取数据访问方的数据访问和数据操作权限的工单并进行审批,对于审批通过的数据访问方给予其相应数据的操作权限,并将该数据访问权限和数据操作权限加密后写入授权表中;
将SDK引入获得操作权限的数据访问方的项目中;
由SDK对数据访问方的IP进行鉴权;
由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权,对于获得相应操作权限的数据访问方放行其操作;
数据访问方通过客户端对象访问Elasticsearch时,由SDK对数据访问方对Elasticsearch的操作进行数据埋点操作,并将埋点日志写入Elasticsearch的索引中,以接受审计与管理;
将记录的数据库的访问和查询行为与数据库性能指标做关联分析,以确定数据库的性能影响因素;
预设数据访问规则,如果数据访问方触发访问规则,则熔断查询,并且生成告警,通知数据责任方。
2.根据权利要求1所述的网络安全数据共享与管控方法,其特征在于,所述将SDK引入获得操作权限的数据访问方的项目中的具体过程为:
获得操作权限的数据访问方下载SDK及其使用文档;
将SDK引入数据访问方的项目中。
3.根据权利要求1所述的网络安全数据共享与管控方法,其特征在于,所述由SDK对数据访问方的IP进行鉴权的具体过程为:
SDK获取数据访问方的IP;
SDK对获取的IP进行远程查询,并判断获取的IP是否存在于预设的授权表中;
如果获取的IP存在于预设的授权表中,则SDK向数据访问方发放客户端对象;
数据访问方通过客户端对象访问数据库。
4.根据权利要求1所述的网络安全数据共享与管控方法,其特征在于,所述由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权的具体过程为:
SDK根据数据访问方要进行的操作的索引匹配授权表;
如果授权表中有对应该操作的授权,则放行该操作。
5.一种网络安全数据共享与管控系统,其特征在于,包括:
权限管理模块,用于为请求注册的数据访问方分配数据管理员角色并开通账户,绑定数据访问方的IP,还用于为数据责任方分配系统管理员角色;
数据目录模块,用于收录数据责任方提供的各类数据,并编制成数据目录;
工单审批模块,用于对数据访问方提交的请求使用某类数据的工单进行审批;对于审批通过的工单,授权数据访问方登录权限管理模块为其开通的账户;
SDK模块,用于为数据访问方提供可下载的SDK;数据访问方登录账户,并从网络安全数据共享与管控系统下载SDK,将SDK引入其项目中;SDK对数据访问方的IP进行鉴权;权限认证通过后,数据访问方通过从SDK获取的相应连接访问数据库;数据访问方通过客户端对象访问Elasticsearch时,由SDK对数据访问方对Elasticsearch的操作进行数据埋点操作,并将埋点日志写入Elasticsearch的索引中,以接受审计与管理;将记录的数据库的访问和查询行为与数据库性能指标做关联分析,以确定数据库的性能影响因素;预设数据访问规则,如果数据访问方触发访问规则,则熔断查询,并且生成告警,通知数据责任方;数据库将需要的数据反馈给数据访问方;
授权模块,用于对通过鉴权的数据访问方进行授权,以便于数据访问方对数据库进行相应操作,获取所需要的数据。
6.根据权利要求5所述的网络安全数据共享与管控系统,其特征在于,还包括埋点日志审计模块,所述埋点日志审计模块用于对SDK写入Elasticsearch的索引中的埋点日志进行审计和管理。
7.根据权利要求5所述的网络安全数据共享与管控系统,其特征在于,还包括关联分析模块,所述关联分析模块用于将记录的数据库的访问和查询行为与数据库性能指标做关联分析,以确定数据库的性能影响因素。
8.根据权利要求5所述的网络安全数据共享与管控系统,其特征在于,还包括查询熔断模块,所述查询熔断模块用于对触发访问规则的数据访问方的操作进行熔断,并生成告警信息,通知数据责任方。
9.根据权利要求5所述的网络安全数据共享与管控系统,其特征在于,所述SDK模块提供的SDK中封装的功能包括:根据数据访问方所在的IP以及要进行的操作的索引去匹配网络安全数据共享与管控系统中预设的授权表,如果在授权表中获得相应操作的授权,则放行其操作;对数据访问方所有对数据库的操作均做数据埋点操作,并将操作日志写入Elasticsearch的索引中,以接受网络安全数据共享与管控系统的审计与管理。
CN202110080527.XA 2021-01-21 2021-01-21 网络安全数据共享与管控方法及系统 Active CN112784230B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110080527.XA CN112784230B (zh) 2021-01-21 2021-01-21 网络安全数据共享与管控方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110080527.XA CN112784230B (zh) 2021-01-21 2021-01-21 网络安全数据共享与管控方法及系统

Publications (2)

Publication Number Publication Date
CN112784230A CN112784230A (zh) 2021-05-11
CN112784230B true CN112784230B (zh) 2024-02-09

Family

ID=75757702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110080527.XA Active CN112784230B (zh) 2021-01-21 2021-01-21 网络安全数据共享与管控方法及系统

Country Status (1)

Country Link
CN (1) CN112784230B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114422596B (zh) * 2022-03-30 2022-06-14 中国人民解放军96901部队 一种基于数据主题的跨域数据共享方法及系统
CN114510735B (zh) * 2022-04-01 2022-07-19 国网浙江省电力有限公司 基于角色管理的智慧共享财务管理方法及平台

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016197770A1 (zh) * 2015-06-12 2016-12-15 深圳大学 一种云存储服务平台的访问控制系统及其访问控制方法
CN106899604A (zh) * 2017-03-14 2017-06-27 东软集团股份有限公司 数据包过滤规则的处理方法及装置
CN110059282A (zh) * 2019-04-23 2019-07-26 北京奇艺世纪科技有限公司 一种交互类数据的获取方法及系统
WO2019204794A1 (en) * 2018-04-20 2019-10-24 Infonetworks Llc System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks
CN111046427A (zh) * 2019-12-13 2020-04-21 北京启迪区块链科技发展有限公司 基于区块链的数据访问控制方法、装置、设备和介质
CN111814197A (zh) * 2020-09-10 2020-10-23 平安国际智慧城市科技股份有限公司 一种数据共享方法、装置及服务器、存储介质
CN111970261A (zh) * 2020-08-06 2020-11-20 完美世界(北京)软件科技发展有限公司 网络攻击的识别方法、装置及设备
CN114048498A (zh) * 2021-11-23 2022-02-15 北京天融信网络安全技术有限公司 数据共享方法、装置、设备及介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200285761A1 (en) * 2019-03-07 2020-09-10 Lookout, Inc. Security policy manager to configure permissions on computing devices

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016197770A1 (zh) * 2015-06-12 2016-12-15 深圳大学 一种云存储服务平台的访问控制系统及其访问控制方法
CN106899604A (zh) * 2017-03-14 2017-06-27 东软集团股份有限公司 数据包过滤规则的处理方法及装置
WO2019204794A1 (en) * 2018-04-20 2019-10-24 Infonetworks Llc System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks
CN110059282A (zh) * 2019-04-23 2019-07-26 北京奇艺世纪科技有限公司 一种交互类数据的获取方法及系统
CN111046427A (zh) * 2019-12-13 2020-04-21 北京启迪区块链科技发展有限公司 基于区块链的数据访问控制方法、装置、设备和介质
CN111970261A (zh) * 2020-08-06 2020-11-20 完美世界(北京)软件科技发展有限公司 网络攻击的识别方法、装置及设备
CN111814197A (zh) * 2020-09-10 2020-10-23 平安国际智慧城市科技股份有限公司 一种数据共享方法、装置及服务器、存储介质
CN114048498A (zh) * 2021-11-23 2022-02-15 北京天融信网络安全技术有限公司 数据共享方法、装置、设备及介质

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
An Approach of Security Protection for VSAT Network;Zhijun Wu等;《2018 17th IEEE International Conference On Trust, Security And Privacy In Computing And Communications/ 12th IEEE International Conference On Big Data Science And Engineering (TrustCom/BigDataSE)》;第1511-1516页 *
Windows Azure平台数据存储的访问控制研究;宁方华等;浙江理工大学学报;第31卷(第01期);第75-78+97页 *
一种面向层次数据可视化的圆形空间填充算法;侯堃等;《系统仿真学报》;第28卷(第9期);第2035-2041页 *
基于IMS架构的通信能力开放研究与应用;程静远等;《电信技术》(第8期);第31-34页 *
基于服务网格技术的银行分布式服务总线方案探索;陈林等;《中国金融电脑》(第7期);第57-60页 *
平安车载Wi-Fi系统的设计与实现;魏克慧;《中国优秀硕士学位论文全文数据库》;工程科技Ⅱ辑 C035-132 *

Also Published As

Publication number Publication date
CN112784230A (zh) 2021-05-11

Similar Documents

Publication Publication Date Title
US11611560B2 (en) Systems, methods, and apparatuses for implementing consensus on read via a consensus on write smart contract trigger for a distributed ledger technology (DLT) platform
CN111709056B (zh) 基于区块链的数据共享方法及系统
AU2018374912B2 (en) Model training system and method, and storage medium
CN103632082B (zh) 一种通用权限管理系统及方法
US8769605B2 (en) System and method for dynamically enforcing security policies on electronic files
CN112364377A (zh) 一种适应于电力行业的数据分类分级安全防护系统
EP3133507A1 (en) Context-based data classification
Bertino Data protection from insider threats
She et al. Role-based integrated access control and data provenance for SOA based net-centric systems
US20090094193A1 (en) Secure normal forms
US7039948B2 (en) Service control manager security manager lookup
US20190319947A1 (en) Access to Data Stored in a cloud
CN112784230B (zh) 网络安全数据共享与管控方法及系统
Li et al. A sticky policy framework for big data security
US10262159B2 (en) Privileged user access monitoring in a computing environment
US11611587B2 (en) Systems and methods for data privacy and security
CN115552441A (zh) 低信任特权访问管理
CN111064718A (zh) 一种基于用户上下文及策略的动态授权方法和系统
CN113468576B (zh) 一种基于角色的数据安全访问方法及装置
CN112527873A (zh) 一种基于链数立方体的大数据管理应用系统
CN114422197A (zh) 一种基于策略管理的权限访问控制方法及系统
CN115017526A (zh) 数据库访问方法、装置、电子设备及存储介质
US8132261B1 (en) Distributed dynamic security capabilities with access controls
CN114168930A (zh) 一种Hive权限控制方法、装置、设备及可读存储介质
US11379416B1 (en) Systems and methods for common data ingestion

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant