CN113449296A - 用于数据安全保护的系统、方法、设备及介质 - Google Patents
用于数据安全保护的系统、方法、设备及介质 Download PDFInfo
- Publication number
- CN113449296A CN113449296A CN202110820507.1A CN202110820507A CN113449296A CN 113449296 A CN113449296 A CN 113449296A CN 202110820507 A CN202110820507 A CN 202110820507A CN 113449296 A CN113449296 A CN 113449296A
- Authority
- CN
- China
- Prior art keywords
- supervised
- program
- subsystem
- code
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012545 processing Methods 0.000 claims abstract description 49
- 230000008569 process Effects 0.000 claims abstract description 20
- 230000010354 integration Effects 0.000 claims abstract description 14
- 238000012795 verification Methods 0.000 claims description 12
- 239000000126 substance Substances 0.000 claims description 3
- 244000035744 Hura crepitans Species 0.000 abstract description 24
- 230000006870 function Effects 0.000 description 13
- 238000012544 monitoring process Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000003672 processing method Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- RWSOTUBLDIXVET-UHFFFAOYSA-N Dihydrogen sulfide Chemical compound S RWSOTUBLDIXVET-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种用于数据安全保护的系统、方法、设备及介质,该系统包括;监管子系统确定各待监管程序代码的真实性,并对待监管程序代码中的防篡改代码进行监管,以根据监管结果对待监管程序代码进行授权;集成子系统获取授权的待监管程序代码,并将待监管程序代码分别集成在各宿主应用程序中;安全保护子系统当接收到基于目标宿主应用程序中的从应用程序发送的数据请求时,调用与目标宿主应用程序相对应的目标待监管程序代码,并在目标待监管程序代码中处理数据请求,以确保对数据处理请求的安全性。本技术方案,实现了在基于宿主应用程序中的发起数据处理请求时,可以在安全沙箱中对数据请求进行处理,提高数据处理的安全性。
Description
技术领域
本发明实施例涉及数据安全管理领域,尤其涉及一种用于数据安全保护的系统、方法、设备及介质。
背景技术
为了实时保护嵌入在互联网第三方app、或其他形式访问的企业接口的H5页面和JS脚本的数据及业务安全,在数据传输过程对代码动态混淆加密,同时对接入企业的第三方app进行定期事后沙箱检测,进行持续的监测。
现有的做法是分为三步:参见图1,事前APP安全监测,使用静、动态扫描引擎检测互联网第三方app使用的网页框架是否符合技术要求,是否具有用户数据获取行为、或者JS注入等违规行为。事中阶段:采用链路串入技术、实时保护嵌入在互联网第三方app、或其他形式访问的金融机构接口的H5页面和JS脚本,对代码进行实时加密。事后阶段:建立金融行业白名单机制,以监管部门可信赖的第三方APP为准,对接入金融业务的互联网app进行定期沙箱检测,确保更新版本后也没有数据劫持行为。
发明人基于上述方式实施例技术方案时,发现存在如下缺陷:
首先,数据保护实施成本比较高。事前扫描基于安全专家通过网络分析工具、逆向分析工具、动态分析工具等多种工具,再结合人体工程、逆向工程、密码学等多种方法进行判别,对人的经验依赖程度比较高;再次,事中是通过部署专用的应用程序对JS源代码进行词法分析、语法分析,分离出代码中变量、常量、函数、关键字等进行混淆,需要对金融机构现有的生产网络进行改造;数据保护操作时效性比较低。事前静、动态扫描重要还是基于对安全专家的经验判别,事中是以串联的方式部署专用的应用程序,会对现有的数据传输有一定的延迟效应,即,数据保护操作时效性比较低,此时就不可避免影响金融机构的业务的时效性。最后,数据保护性很难实现联动现有的技术方案没有提供统一管控平台功能,很难实现每步信息实时共享,不能满足系统的适应性及可定制性需求。
发明内容
本发明提供一种用于数据安全保护的系统、方法、设备及介质,以便捷的方式实现了车机主题的自动化替换,提升了主题自动替换过程中的智能性和趣味性。
第一方面,本发明实施例提供了一种用于数据安全保护的系统,该系统包括:监管子系统、集成子系统以及安全保护子系统;其中,
所述监管子系统,用于确定各待监管程序代码的真实性,并对所述待监管程序代码中的防篡改代码进行监管,以根据监管结果对所述待监管程序代码进行授权;
所述集成子系统,用于获取授权的待监管程序代码,并将所述待监管程序代码分别集成在各宿主应用程序中;
所述安全保护子系统,用于当接收到基于目标宿主应用程序中的从应用程序发送的数据请求时,调用与所述目标宿主应用程序相对应的目标待监管程序代码,并在所述目标待监管程序代码中处理所述数据请求,以基于所述目标待监管程序确定对所述数据处理请求的安全性。
第二方面,本发明实施例还提供了一种用于数据安全保护的方法,该方法包括:
基于监管子系统确定各待监管程序代码的真实性,并对所述待监管程序代码中的防篡改代码进行监管,以根据监管结果对所述待监管程序代码进行授权;
基于集成子系统获取授权的待监管程序代码,并将所述待监管程序代码分别集成在各宿主应用程序中;
基于安全保护子系统接收到基于目标宿主应用程序中的从应用程序发送的数据请求时,调用与所述目标宿主应用程序相对应的目标待监管程序代码,并在所述目标待监管程序代码中处理所述数据请求,以基于所述目标待监管程序确定对所述数据处理请求的安全性。
第三方面,本发明实施例还提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例任一所述的用于数据安全保护方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明实施例任一所述的用于数据安全保护方法。
本发明实施例的技术方案,通过监管子系统确定各待监管程序代码的真实性,并对待监管程序代码中的防篡改代码进行监管,以根据监管结果对待监管程序代码进行授权,集成子系统可以获取授权的待监管程序代码,并将待监管程序代码分别集成在各宿主应用程序中,在具体应用过程中当接收到目标宿主应用程序中的从应用程序发送的数据请求时,调用与目标宿主应用程序相对应的目标待监管程序代码,并在目标待监管程序代码中处理数据请求,以基于目标待监管程序确定数据处理请求的安全性,解决了现有技术中在对数据请求处理时,存在数据保护实施成本较高、数据保护操作时效性较低以及数据保护很难实现联动的技术问题,实现了在基于宿主应用程序中的发起数据处理请求时,可以在安全沙箱中对数据请求进行处理,提高数据处理安全性以及时效性的技术效果。
附图说明
为了更加清楚地说明本发明示例性实施例的技术方案,下面对描述实施例中所需要用到的附图做一简单介绍。显然,所介绍的附图只是本发明所要描述的一部分实施例的附图,而不是全部的附图,对于本领域普通技术人员,在不付出创造性劳动的前提下,还可以根据这些附图得到其他的附图。
图1为现有技术所提供的一种数据安全保护的流程示意图;
图2为本发明实施例一所提供的一种用于数据安全保护的系统结构示意图;
图3为本发明实施例一所提供的与一种用于数据安全保护的系统相对应的流程示意图;
图4为本发明实施例二所提供的一种用于数据安全保护的方法流程示意图;
图5为本发明实施例二所提供的与用于数据安全保护的系统相对应的结构框图;
图6为本发明实施例三所提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图2为本发明实施例一所提供的一种用于数据安全保护的系统结构示意图,该系统包括:监管子系统110、集成子系统120以及安全保护子系统130;其中,
所述监管子系统110,用于确定各待监管程序代码的真实性,并对所述待监管程序代码中的防篡改代码进行监管,以根据监管结果对所述待监管程序代码进行授权;所述集成子系统120,用于获取授权的待监管程序代码,并将所述待监管程序代码分别集成在各宿主应用程序中;所述安全保护子系统130,用于当接收到基于目标宿主应用程序中的从应用程序发送的数据请求时,调用与所述目标宿主应用程序相对应的目标待监管程序代码,并在所述目标待监管程序代码中处理所述数据请求,以基于所述目标待监管程序确定对所述数据处理请求的安全性。
其中,监管子系统可以理解为监管机构。可以根据监管机构的开发规范开发适合金融机构的安全合规的SDK,即待监管程序代码。同时,监管子系统可以将发布沙箱SDK提交到与监管子系统所对应的云平台。通过技术对待监管程序代码的真实性进行验证,确定待监管程序的真实性。待监管程序代码可以理解为根据开发规范开发的安全合规的程序代码。防篡改代码可以是与防篡改功能所对应的代码,防篡改代码用于防止对数据处理请求处理时的,防止数据被修改。集成子系统可以获取授权的待监管程序代码,并将待监管程序代码与各宿主应用程序集成。同时,可以在宿主应用程序中设置与待监管程序代码监管的从应用程序。也就是说,从应用程序可以理解为宿主应用该程序中集成的小程序,或者是进入某个金融机构的入口。目标待监管程序代码可以保证对数据请求处理时,是在独立的环境中运行的,保证了数据处理的安全性。
具体的,根据监管机构的开发规范开发适合金融机构的安全合规的SDK,可以将此程序作为待监管程序代码。可以将安全沙箱SDK,提交到监管机构的云平台,并且通过技术对SDK代码的真实性进行验证,防止沙箱代码被篡改等功能进行检查。监管机构测评通过后,可以统一进行备案,并对开发的SDK进行授权。在授权完成后,集成子系统可以获取授权的待监管程序代码,并将待监管的程序代码分别集成在宿主应用程序中。安全保护子系统,用于在接收到目标宿主应用程序中的从应用程序发送的数据请求时,基于目标待监管程序所提供的安全沙箱对数据请求进行处理,此时提高了数据处理的安全性。
通常,对于金融机构来说数据处理的安全性是非常重要的,基于本发明实施例所提供的方案,可以提高数据处理过程的安全性。同时,在应用的过程中,如果检测到目标待监管程序出现问题,则可以随时下线。
示例性的,通过SDK和小程序对数据安全进行保护,也可以分为三个阶段。参见图3,分为事前、事中和事后的闭环在线监管模式。事前,主要是安全沙箱检测备案。SDK和小程序上架需要通过监管运营方的审核,即需要将研发的小程序和SDK所对应的源代码提交审核。审核验证SDK+小程序的可用性和合规性,未经审核时,无法进行发布。事中,在SDK的小程序业务运行中,若发现存在违规行为可直接通过服务端下架SDK以及小程序,避免风险的进一步扩散。事后监管,由于数据旁路到统一的监管云端,因此事后可以调取相应的数据取证和核查。如果将用于数据安全保护的系统划分为几个业务方,可以分别是:监管机构运管中心、金融机构、互联网中心以及消费者。金融机构可以开发安全合规SDK。监管机构云端中心,可以对金融机构开的SDK进行安全检测并备案登记。在检测到SDK满足预设条件时,可以对SDK进行授权。互联网公司可以获取授权的SDK并与宿主应用程序进行集成。
在本实施例中,所述监管子系统,还用于接收待监管程序代码,并根据预先设置的规则,确定所述待监管程序代码的真实性以及所述待监管程序代码中防篡改代码的功能是否与预设功能相匹配。
在本实施例中,所述监管子系统,还用于在确定所述防篡改代码的功能与预设功能相匹配,则对所述待监管程序代码进行授权。
其中,集成子系统可以理解为用于将开发的小程序集成在应用程序的系统。如果一个程序中包括多个小程序,可以将小程序作为从程序,程序作为宿主应用程序。一个宿主应用程序中可以集成多个小程序,用户可以触发宿主应用程序中的小程序进入某个页面。
具体的,各个金融机构可以根据业务需求开发相应的小程序,各个小程序可以通过监管云平台进行统一管控,管控包括备案登记、部署和发布。
其中,安全保护子系统,用于在接收到数据请求时,用于对数据请求处理时所产生的数据进行安全保护。
具体的,用户可以通过监管云平台提供的小程序办理业务,小程序启动时在SDK安全沙箱中完成数据交互,以确保SDK环境独立性,保护了用户的数据安全和金融机构的业务安全。
在上述技术方案的基础上,所述系统还包括校验子系统,用于在所述安全保护子系统接收到数据请求之前,用于将所述待监管程序代码集成到校验宿主应用程序上,并根据所述校验宿主应用程序的日志,确定所述待监管程序代码的安全信息。
其中,校验子系统可以理解为对数据进行校验的系统。
所述校验子系统还用于在所述安全信息与预设安全信息相一致时,所述安全保护子系统对接收到的数据请求进行处理。
可以理解为,在检测到安全信息与预设安全信息相一致时,说明目标待监管程序代码是安全的,用户是可以正常使用的,此时可以正常对数据请求进行处理;反之,如果安全信息与预设安全信息不一致,则说明目标待监管程序代码是不安全的,用户无法正常使用,即无法保证对数据请求进行处理的安全性;此种情况下,可以不对数据请求进行处理。
本发明实施例的技术方案中小程序所在的安全沙箱运行过程中,全部数据均会加密的旁路上传到统一监管云端,确保业务实现在线监督。基于旁路的监管不影响金融机构自身的业务性能和客户体验,避免在线监管带来的性能影响,此时该模式对用户是无感知的。
在上述技术方案的基础上,所述系统还包括:预警子系统,用于在根据所述目标待监管程序代码的日志信息确定运行信息故障时,发出预警信息。
其中,预警子系统可以理解为在目标待监管程序代码出现故障的情况下,发出预警信息的系统。预警信息可以是安全沙箱故障,无法正常处理等。
本发明实施例的技术方案,实现了由于对数据请求进行处理是在目标待监管程序代码所对应的SDK沙箱中处理的,因此实现了数据隔离,金融机构的个人数据不会泄露到外部,满足用户隐私保护和业务安全的需求;进一步的,实现监管流程全线上化以及进行多方安全操作联防联控,金融机构开发的SDK走线上审核,引入第三方测评机构通过技术手段对SDK进行安全评估,依据监管机构给定的评估要点,一方面是代码的安全审计、二是集成到宿主APP后,行为的安全评估,进行宿主APP全方位的检测;进一步的,在具体应用的过程中可以对SDK安全检查,主要是将要监测的SDK集成到空壳APP上,让再通过沙箱测试,通过沙箱运行日志检测分析,监测有没有恶意行为、漏洞等情况;同时,过程可溯源,所有的数据交互都在安全沙箱内完成的,且会输出完整的日志信息,方便对业务安全进行追溯。
在本实施例中,对SDK本身的安全检查主要是将要监测的SDK集成到空壳APP上,使用编译后的系统在各个层级关键的检测点运行时,可由系统直接输出日志,通过沙箱运行日志检测分析,监测有没有恶意行为、漏洞等情况。省去了在系统代码和钩子代码的跳转,大大增加了稳定性和效率。
本发明实施例的技术方案,通过监管子系统确定各待监管程序代码的真实性,并对待监管程序代码中的防篡改代码进行监管,以根据监管结果对待监管程序代码进行授权,集成子系统可以获取授权的待监管程序代码,并将待监管程序代码分别集成在各宿主应用程序中,在具体应用过程中当接收到目标宿主应用程序中的从应用程序发送的数据请求时,调用与目标宿主应用程序相对应的目标待监管程序代码,并在目标待监管程序代码中处理数据请求,以基于目标待监管程序确定数据处理请求的安全性,解决了现有技术中在对数据请求处理时,存在数据保护实施成本较高、数据保护操作时效性较低以及数据保护很难实现联动的技术问题,实现了在基于宿主应用程序中的发起数据处理请求时,可以在安全沙箱中对数据请求进行处理,提高数据处理安全性以及时效性的技术效果。
本发明实施例所提供用于数据安全保护的系统可执行本发明任意实施例所提供的用于数据安全保护的方法,具备执行方法相应的功能模块和有益效果。
值得注意的是,上述系统所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明实施例的保护范围。
实施例二
图4为本发明实施例二所提供的一种用于数据安全保护的方法流程示意图,该方法可以应用在对数据处理请求处理时,对数据处理请求处理的过程中产生的数据进行保护的情形,该方法可以由数据安全保护的系统来执行,该方法可以由软件或硬件设备来实现。
如图4所示,所述方法包括:
S210、基于监管子系统确定各待监管程序代码的真实性,并对所述待监管程序代码中的防篡改代码进行监管,以根据监管结果对所述待监管程序代码进行授权。
S220、基于集成子系统获取授权的待监管程序代码,并将所述待监管程序代码分别集成在各宿主应用程序中。
S230、基于安全保护子系统接收到基于目标宿主应用程序中的从应用程序发送的数据请求时,调用与所述目标宿主应用程序相对应的目标待监管程序代码,并在所述目标待监管程序代码中处理所述数据请求,以基于所述目标待监管程序确定对所述数据处理请求的安全性。
作为上述实施例的一可选实施例,图5为本发明实施例二所提供的与用于数据安全保护的系统相对应的结构框图。可以结合图4和图5共同理解发明实施例的技术方案。
参见图4以及图5,可以根据监管机构的开发规范开发适合金融机构的安全合规的SDK,即待监管程序代码;也就是说,金融机构可以开发合规的SDK,并发送至监管机构云管中心对SDK进行安全检测并备案登记。发布安全沙箱SDK,提交到监管机构的云平台,并且通过技术对SDK代码的真实性,防止沙箱代码被篡改等功能进行检查;监管机构测评通过后进行统一备案,并对开发的SDK进行授权。在授权完成后,可以将授权后的SDK发送至金融监管机构,此时,第三方互联网公司获取授权SDK并与宿主APP进行集成;也就是说与其他用户常使用的应用程序进行集成,可以将其他应用程序中的某个从应用程序或者接口作为数据请求的入口。金融机构根据业务需求开发小程序,小程序需要讲过监管云平台统一管控,包括备案登记、部署发布。在发布成功后,可以将其作为从应用程序集成在主应用程序中,以将从应用程序作为向金融机构发起数据请求的入口。用户可以基于从应用程序发起数据处理请求时(发起业务处理请求),可以在沙箱SDK中对数据请求进行处理,实现了数据隔离,即小程序启动会在SDK安全沙箱中完成数据交互,保障SDK环境独立性,保护了客户的数据安全和金融机构的业务安全。
本发明实施例的技术方案,通过监管子系统确定各待监管程序代码的真实性,并对待监管程序代码中的防篡改代码进行监管,以根据监管结果对待监管程序代码进行授权,集成子系统可以获取授权的待监管程序代码,并将待监管程序代码分别集成在各宿主应用程序中,在具体应用过程中当接收到目标宿主应用程序中的从应用程序发送的数据请求时,调用与目标宿主应用程序相对应的目标待监管程序代码,并在目标待监管程序代码中处理数据请求,以基于目标待监管程序确定数据处理请求的安全性,解决了现有技术中在对数据请求处理时,存在数据保护实施成本较高、数据保护操作时效性较低以及数据保护很难实现联动的技术问题,实现了在基于宿主应用程序中的发起数据处理请求时,可以在安全沙箱中对数据请求进行处理,提高数据处理安全性以及时效性的技术效果。
实施例三
图6为本发明实施例三所提供的一种电子设备的结构示意图。图6示出了适于用来实现本发明实施例实施方式的示例性电子设备40的框图。图6显示的电子设备40仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,电子设备40以通用计算设备的形式表现。电子设备40的组件可以包括但不限于:一个或者多个处理器或者处理单元401,系统存储器402,连接不同系统组件(包括系统存储器402和处理单元401)的总线403。
总线403表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备40典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备40访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器402可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)404和/或高速缓存存储器405。电子设备40可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统406可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线403相连。存储器402可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块407的程序/实用工具408,可以存储在例如存储器402中,这样的程序模块407包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块407通常执行本发明所描述的实施例中的功能和/或方法。
电子设备40也可以与一个或多个外部设备409(例如键盘、指向设备、显示器410等)通信,还可与一个或者多个使得用户能与该电子设备40交互的设备通信,和/或与使得该电子设备40能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口411进行。并且,电子设备40还可以通过网络适配器412与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器412通过总线403与电子设备40的其它模块通信。应当明白,尽管图6中未示出,可以结合电子设备40使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元401通过运行存储在系统存储器402中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的用于数据安全保护的方法。
实施例四
本发明实施例四还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行用于数据安全保护的方法。
该方法包括:
基于监管子系统确定各待监管程序代码的真实性,并对所述待监管程序代码中的防篡改代码进行监管,以根据监管结果对所述待监管程序代码进行授权;
基于集成子系统获取授权的待监管程序代码,并将所述待监管程序代码分别集成在各宿主应用程序中;
基于安全保护子系统接收到基于目标宿主应用程序中的从应用程序发送的数据请求时,调用与所述目标宿主应用程序相对应的目标待监管程序代码,并在所述目标待监管程序代码中处理所述数据请求,以基于所述目标待监管程序确定对所述数据处理请求的安全性。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的项目代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的项目代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机项目代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。项目代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种用于数据安全保护的系统,其特征在于,包括:监管子系统、集成子系统以及安全保护子系统;其中,
所述监管子系统,用于确定各待监管程序代码的真实性,并对所述待监管程序代码中的防篡改代码进行监管,以根据监管结果对所述待监管程序代码进行授权;
所述集成子系统,用于获取授权的待监管程序代码,并将所述待监管程序代码分别集成在各宿主应用程序中;
所述安全保护子系统,用于当接收到基于目标宿主应用程序中的从应用程序发送的数据请求时,调用与所述目标宿主应用程序相对应的目标待监管程序代码,并在所述目标待监管程序代码中处理所述数据请求,以基于所述目标待监管程序确定对所述数据处理请求的安全性。
2.根据权利要求1所述的系统,其特征在于,所述监管子系统,还用于接收待监管程序代码,并根据预先设置的规则,确定所述待监管程序代码的真实性以及所述待监管程序代码中防篡改代码的功能是否与预设功能相匹配。
3.根据权利要求2所述的系统,其特征在于,所述监管子系统,还用于在确定所述防篡改代码的功能与预设功能相匹配,则对所述待监管程序代码进行授权。
4.根据权利要求1所述的系统,其特征在于,所述系统还包括校验子系统,用于在所述安全保护子系统接收到数据请求之前,用于将所述待监管程序代码集成到校验宿主应用程序上,并根据所述校验宿主应用程序的日志,确定所述待监管程序代码的安全信息。
5.根据权利要求4所述的系统,其特征在于,所述校验子系统还用于在所述安全信息与预设安全信息相一致时,所述安全保护子系统对接收到的数据请求进行处理。
6.根据权利要求1所述的系统,其特征在于,还包括:预警子系统,用于在根据所述目标待监管程序代码的日志信息确定运行信息故障时,发出预警信息。
7.一种用于数据安全保护的方法,其特征在于,包括:
基于监管子系统确定各待监管程序代码的真实性,并对所述待监管程序代码中的防篡改代码进行监管,以根据监管结果对所述待监管程序代码进行授权;
基于集成子系统获取授权的待监管程序代码,并将所述待监管程序代码分别集成在各宿主应用程序中;
基于安全保护子系统接收到基于目标宿主应用程序中的从应用程序发送的数据请求时,调用与所述目标宿主应用程序相对应的目标待监管程序代码,并在所述目标待监管程序代码中处理所述数据请求,以基于所述目标待监管程序确定对所述数据处理请求的安全性。
8.根据权利要求7所述的方法,其特征在于,还包括:
在预警子系统根据所述目标待监管程序代码的日志信息确定运行信息故障时,发出预警信息。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求7-8中任一所述的用于数据安全保护的方法。
10.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求7-8中任一所述的用于数据安全保护的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110820507.1A CN113449296B (zh) | 2021-07-20 | 2021-07-20 | 用于数据安全保护的系统、方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110820507.1A CN113449296B (zh) | 2021-07-20 | 2021-07-20 | 用于数据安全保护的系统、方法、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113449296A true CN113449296A (zh) | 2021-09-28 |
| CN113449296B CN113449296B (zh) | 2024-04-23 |
Family
ID=77816834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110820507.1A Active CN113449296B (zh) | 2021-07-20 | 2021-07-20 | 用于数据安全保护的系统、方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113449296B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110301433A1 (en) * | 2010-06-07 | 2011-12-08 | Richard Scott Sadowsky | Mental state analysis using web services |
| US20140372743A1 (en) * | 2013-06-12 | 2014-12-18 | Lookout, Inc. | Method and system for rendering a stolen mobile communications device inoperative |
| CN105723348A (zh) * | 2013-12-17 | 2016-06-29 | 英特尔公司 | 使用事务性存储器检测未授权存储器修改及访问 |
| CN106447434A (zh) * | 2016-09-14 | 2017-02-22 | 全联征信有限公司 | 个人信用生态平台 |
| CN110034979A (zh) * | 2019-04-23 | 2019-07-19 | 恒安嘉新(北京)科技股份公司 | 一种代理资源监测方法、装置、电子设备及存储介质 |
| CN110083338A (zh) * | 2019-05-27 | 2019-08-02 | 广东金赋科技股份有限公司 | 基于智能网关的服务系统 |
| CN111224786A (zh) * | 2019-12-30 | 2020-06-02 | 山东爱城市网信息技术有限公司 | 一种基于区块链的数据安全共享方法及设备、介质 |
| CN112506747A (zh) * | 2021-02-03 | 2021-03-16 | 腾讯科技(深圳)有限公司 | 一种业务进程监控方法、装置、电子设备及存储介质 |
| CN112953720A (zh) * | 2021-01-28 | 2021-06-11 | 上海微盟企业发展有限公司 | 一种网络请求处理方法、装置、设备及存储介质 |
-
2021
- 2021-07-20 CN CN202110820507.1A patent/CN113449296B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110301433A1 (en) * | 2010-06-07 | 2011-12-08 | Richard Scott Sadowsky | Mental state analysis using web services |
| US20140372743A1 (en) * | 2013-06-12 | 2014-12-18 | Lookout, Inc. | Method and system for rendering a stolen mobile communications device inoperative |
| CN105723348A (zh) * | 2013-12-17 | 2016-06-29 | 英特尔公司 | 使用事务性存储器检测未授权存储器修改及访问 |
| CN106447434A (zh) * | 2016-09-14 | 2017-02-22 | 全联征信有限公司 | 个人信用生态平台 |
| CN110034979A (zh) * | 2019-04-23 | 2019-07-19 | 恒安嘉新(北京)科技股份公司 | 一种代理资源监测方法、装置、电子设备及存储介质 |
| CN110083338A (zh) * | 2019-05-27 | 2019-08-02 | 广东金赋科技股份有限公司 | 基于智能网关的服务系统 |
| CN111224786A (zh) * | 2019-12-30 | 2020-06-02 | 山东爱城市网信息技术有限公司 | 一种基于区块链的数据安全共享方法及设备、介质 |
| CN112953720A (zh) * | 2021-01-28 | 2021-06-11 | 上海微盟企业发展有限公司 | 一种网络请求处理方法、装置、设备及存储介质 |
| CN112506747A (zh) * | 2021-02-03 | 2021-03-16 | 腾讯科技(深圳)有限公司 | 一种业务进程监控方法、装置、电子设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| THIJS VAN EDE等: "FLOWPRINT: Semi-Supervised Mobile-App Fingerprinting on Encrypted Network Traffic", pages 1 - 18, Retrieved from the Internet <URL:《网页在线公开:https://par.nsf.gov/biblio/10192513》> * |
| ZHIPENG LIANG等: "Special Equipment Safety Supervision System Architecture Based on Blockchain Technology", pages 1 - 15, Retrieved from the Internet <URL:《网页在线公开:https://mdpi.dosf.top/2076-3417/10/20/7344》> * |
| 张君: "构建三位一体的移动应用安全风险评估模型", 《通信技术》, vol. 51, no. 2, 2 April 2018 (2018-04-02), pages 471 - 475 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113449296B (zh) | 2024-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10776497B2 (en) | Assessment and analysis of software security flaws | |
| US8613080B2 (en) | Assessment and analysis of software security flaws in virtual machines | |
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| US8499353B2 (en) | Assessment and analysis of software security flaws | |
| US9659175B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US20100281248A1 (en) | Assessment and analysis of software security flaws | |
| US9940466B2 (en) | Computer-implemented command control in information technology service environment | |
| CN111191226A (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
| WO2021121382A1 (en) | Security management of an autonomous vehicle | |
| CN116305290A (zh) | 一种系统日志安全检测方法及装置、电子设备及存储介质 | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| CN103561045A (zh) | 用于Android系统的安全监测系统和方法 | |
| CN116361807A (zh) | 风险管控方法、装置、存储介质及电子设备 | |
| CN107122664B (zh) | 安全防护方法及装置 | |
| Gu et al. | Continuous intrusion: Characterizing the security of continuous integration services | |
| CN113973193A (zh) | 安全质量管控方法、电子设备及可读介质 | |
| CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
| US10402564B2 (en) | Fine-grained analysis and prevention of invalid privilege transitions | |
| CN113449296B (zh) | 用于数据安全保护的系统、方法、设备及介质 | |
| CN112464176B (zh) | 一种权限管理方法、装置、电子设备及存储介质 | |
| Ruddin et al. | Contingency Planning in IT Risk Audit on Music Digital Recording Company | |
| CN109582454A (zh) | 一种分布式存储集群中的权限释放控制方法、装置及设备 | |
| CN114238943A (zh) | 应用程序防护方法、装置、设备及存储介质 | |
| CN108134781B (zh) | 一种重要信息数据保密监控系统 | |
| CN113407434B (zh) | 调试文件的处理方法、装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |