CN113935067A - 一种数据脱敏方法及装置 - Google Patents
一种数据脱敏方法及装置 Download PDFInfo
- Publication number
- CN113935067A CN113935067A CN202111201027.3A CN202111201027A CN113935067A CN 113935067 A CN113935067 A CN 113935067A CN 202111201027 A CN202111201027 A CN 202111201027A CN 113935067 A CN113935067 A CN 113935067A
- Authority
- CN
- China
- Prior art keywords
- information
- data
- desensitization
- queried
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000586 desensitisation Methods 0.000 title claims abstract description 231
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012545 processing Methods 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000006399 behavior Effects 0.000 description 40
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 7
- 238000011161 development Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24552—Database cache management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请涉及数据处理技术领域,特别涉及一种数据脱敏方法及装置。该方法应用于业务系统,所述业务系统集成有数据脱敏组件,所述方法包括:获取发往目标数据库的数据查询指令,并解析所述数据查询指令,得到待查询的数据库信息和待查询数据信息;基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息;基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略,并基于所述脱敏策略对所述目标数据库基于所述数据查询指令返回的待脱敏数据进行脱敏处理。
Description
技术领域
本申请涉及数据处理技术领域,特别涉及一种数据脱敏方法及装置。
背景技术
随着大数据的广泛应用,个人信息保护也遇到了前所未有的挑战。个人隐私信息如何得到保护,是数据库脱敏要解决问题的关键。数据库脱敏技术是对某些敏感信息按照脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护的一种技术。动态脱敏能够对生产库返回的数据进行实时脱敏处理,确保返回数据可用而且安全。
常规的动态脱敏方案往往需要对现有业务系统进行代码级的修改,才能实现基于角色权限的动态脱敏效果,这对于已处于生产环境的业务系统来说,开发维护成本极大。
发明内容
本申请提供了一种数据脱敏方法及装置,用以解决现有技术中存在的为实现动态脱敏需对业务系统进行代码及修改,而导致开发维护成本大的问题。
第一方面,本申请提供了一种数据脱敏方法,应用于业务系统,所述业务系统集成有数据脱敏组件,所述方法包括:
所述数据脱敏组件获取发往目标数据库的数据查询指令,并解析所述数据查询指令,得到待查询的数据库信息和待查询数据信息;
基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息;
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略,并基于所述脱敏策略对所述目标数据库基于所述数据查询指令返回的待脱敏数据进行脱敏处理。
可选地,基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息的步骤包括:
基于所述获取所述数据查询指令的时间戳信息,从数据查询操作日志中筛选出所述时间戳信息之前预设时长内的查询操作日志列表,并提取出所述查询操作日志列表中操作行为与用户角色的第一关联信息;
基于待查询的数据库信息和待查询数据信息,从预设的数据库信息,数据信息和操作行为之间的关联信息中获取所述待查询的数据库,待查询数据和操作行为之间的第二关联信息;
将所述第一关联信息与所述第二关联信息进行比对,将操作行为一致,且操作时间与所述获取所述数据查询指令的时间戳信息的差值最小的操作行为作为所述数据查询指令的实际操作行为,并将该实际操作行为对应的用户角色作为执行所述数据查询指令的用户角色信息。
可选地,所述业务系统与脱敏信息管理平台通信连接,其中,所述脱敏信息管理平台用于维护脱敏策略信息,所述脱敏信息管理平台中预设有数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系,所述脱敏信息管理平台中预设有数据库信息,数据信息和操作行为之间的关联关系。
可选地,基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略的步骤包括:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述脱敏信息管理平台中获取对应的脱敏策略。
可选地,所述脱敏信息管理平台预先将预设的数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系缓存至Redis缓存中;
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略的步骤包括:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述Redis缓存中获取对应的脱敏策略。
第二方面,本申请提供了一种数据脱敏装置,应用于业务系统,所述装置包括:
获取单元,用于获取发往目标数据库的数据查询指令,并解析所述数据查询指令,得到待查询的数据库信息和待查询数据信息;
确定单元,用于基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息;
脱敏单元,用于基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略,并基于所述脱敏策略对所述目标数据库基于所述数据查询指令返回的待脱敏数据进行脱敏处理。
可选地,基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息时,所述确定单元具体用于:
基于所述获取所述数据查询指令的时间戳信息,从数据查询操作日志中筛选出所述时间戳信息之前预设时长内的查询操作日志列表,并提取出所述查询操作日志列表中操作行为与用户角色的第一关联信息;
基于待查询的数据库信息和待查询数据信息,从预设的数据库信息,数据信息和操作行为之间的关联信息中获取所述待查询的数据库,待查询数据和操作行为之间的第二关联信息;
将所述第一关联信息与所述第二关联信息进行比对,将操作行为一致,且操作时间与所述获取所述数据查询指令的时间戳信息的差值最小的操作行为作为所述数据查询指令的实际操作行为,并将该实际操作行为对应的用户角色作为执行所述数据查询指令的用户角色信息。
可选地,所述业务系统与脱敏信息管理平台通信连接,其中,所述脱敏信息管理平台用于维护脱敏策略信息,所述脱敏信息管理平台中预设有数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系,所述脱敏信息管理平台中预设有数据库信息,数据信息和操作行为之间的关联关系。
可选地,基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略时,所述脱敏单元具体用于:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述脱敏信息管理平台中获取对应的脱敏策略。
可选地,所述脱敏信息管理平台预先将预设的数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系缓存至Redis缓存中;
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略时,所述脱敏单元具体用于:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述Redis缓存中获取对应的脱敏策略。
第三方面,本申请实施例提供一种数据脱敏装置,该装置应用于业务系统,所述业务系统集成有数据脱敏插件,该装置包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。
综上可知,本申请实施例提供的数据脱敏方法,应用于业务系统,所述业务系统集成有数据脱敏组件,所述方法包括:获取发往目标数据库的数据查询指令,并解析所述数据查询指令,得到待查询的数据库信息和待查询数据信息;基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息;基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略,并基于所述脱敏策略对所述目标数据库基于所述数据查询指令返回的待脱敏数据进行脱敏处理。
采用本申请实施例提供的数据脱敏方法,数据脱敏插件集成在业务系统中,通过数据脱敏插件即可实现基于角色的动态脱敏效果,通过设置基于角色的字段级动态脱敏策略,满足觉大部分业务系统脱敏需求的同时,无需对业务系统做代码级改造,大大降低了开发维护成本。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1为本申请实施例提供的一种数据脱敏方法的详细流程图;
图2为本申请实施例提供的一种数据库动态脱敏总体流程示意图;
图3为本申请实施例提供一种数据脱敏装置的结构示意图;
图4为本申请实施例提供的另一种数据脱敏装置的结构示意图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
示例性的,参阅图1所示,为本申请实施例提供的一种数据脱敏方法的详细流程图,该方法应用于业务系统,所述业务系统集成有数据脱敏组件,该方法包括以下步骤:
步骤100:获取发往目标数据库的数据查询指令,并解析所述数据查询指令,得到待查询的数据库信息和待查询数据信息。
本申请实施例中,数据脱敏组件(数据脱敏插件)可以以jar包的形式引入业务系统,通过简单配置即可完成集成。实际应用中,数据脱敏组件可以包括数据查询指令解析模块,用户角色解析模块和数据脱敏模块。
本申请实施例中,以数据查询指令为查询SQL语句为例进行说明,则数据查询指令解析模块为SQL解析模块,SQL解析模块可用于拦截业务系统发往数据库的查询SQL语句。其中,一条查询SQL经SQL解析模块解析,可获取到待查询到数据库信息(如,待查询的数据库名)、待查询的数据信息(如,待查询的数据表名列表、待查询字段名列表)、截获SQL语句的时间戳信息。
步骤110:基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息。
本申请实施例中,所述业务系统与脱敏信息管理平台通信连接,其中,所述脱敏信息管理平台用于维护脱敏策略信息,所述脱敏信息管理平台中预设有数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系,所述脱敏信息管理平台中预设有数据库信息,数据信息和操作行为之间的关联关系。
例如,实际应用中,脱敏信息管理平台主要包括数据库管理、脱敏策略管理、脱敏规则管理、插件管理等模块。
其中,插件管理模块,用于数据脱敏插件下载,脱敏信息管理平台为每一个插件分配唯一的许可号。
数据库管理模块,用于管理待脱敏数据库的信息,包括数据库的IP、端口、用户名、口令等信息,当管理员创建数据库信息时,数据库管理模块会根据填入的数据库信息与该数据库建立连接,用于判断该数据库是否实际可用,若建立连接成功,则创建成功,否则失败。
脱敏策略管理模块,用于维护脱敏策略信息,包括数据库唯一标识号、插件唯一标识号、脱敏表名、脱敏列名、脱敏算法、脱敏起始位置、用户角色等信息。管理员可登陆脱敏信息管理平台,对脱敏策略进行新增、更新、删除、查看等操作。当检测到执行脱敏策略新增、更新和删除操作时,脱敏信息管理平台会将策略信息同步至Redis缓存,供脱敏插件使用,作为动态脱敏的依据。其中,脱敏信息管理平台发送至Redis缓存的ID-策略映射关系键值对形式如下:
[key=HASH{数据库名+表名+插件许可号+用户角色},list{列名,脱敏算法名,脱敏起始位置}]。
脱敏规则管理模块,用于维护业务系统中所有涉及查询敏感数据的行为与数据库中实际操作表的对应关系,即指定查询行为发生时,需业务系统操作数据库中哪些数据表。当检测到执行脱敏规则新增、更新和删除操作时,脱敏信息管理平台会将脱敏规则信息同步至Redis缓存,供脱敏插件使用。其中,脱敏信息管理平台发送至Redis缓存的规则-操作映射关系键值对形式如下:
[key=HASH{数据库名+表名1+表名2+…+表名n},list{操作行为名称}]。
本申请实施例中,在基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息时,一种较佳地实现方式为:
基于所述获取所述数据查询指令的时间戳信息,从数据查询操作日志中筛选出所述时间戳信息之前预设时长内的查询操作日志列表,并提取出所述查询操作日志列表中操作行为与用户角色的第一关联信息;基于待查询的数据库信息和待查询数据信息,从预设的数据库信息,数据信息和操作行为之间的关联信息中获取所述待查询的数据库,待查询数据和操作行为之间的第二关联信息;将所述第一关联信息与所述第二关联信息进行比对,将操作行为一致,且操作时间与所述获取所述数据查询指令的时间戳信息的差值最小的操作行为作为所述数据查询指令的实际操作行为,并将该实际操作行为对应的用户角色作为执行所述数据查询指令的用户角色信息。
例如,实际应用中,数据脱敏插件包括的用户角色解析模块根据SQL解析模块截获SQL语句的时间戳,可从业务系统的查询操作日志中筛选出该时间戳之前毫秒级时间窗口(根据业务实际业务量来设置)内的查询操作日志列表,从而提取出操作行为与用户角色的关联信息表A。根据SQL解析模块提供的待查询数据库名、待查询数据表名列表,可从Redis缓存中获取到对应的脱敏规则,从而获知该SQL语句对应的操作行为列表B。将表A与表B进行对比,取两表中操作行为一致,同时与截获SQL语句的时间戳的差值最小的操作行为视为该SQL语句对应的实际操作行为,从而获知执行该SQL语句的用户角色信息。
步骤120:基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略,并基于所述脱敏策略对所述目标数据库基于所述数据查询指令返回的待脱敏数据进行脱敏处理。
本申请实施例中,业务系统与脱敏信息管理平台通信连接,脱敏信息管理平台将预设的数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系缓存在本地,那么,在基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略时,一种较佳地实现方式为:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述脱敏信息管理平台中获取对应的脱敏策略。
进一步地,若所述脱敏信息管理平台预先将预设的数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系缓存至Redis缓存中,那么,在基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略时,一种较佳地实现方式为:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述Redis缓存中获取对应的脱敏策略。
更进一步的,数据脱敏组件的脱敏模块根据获取到的脱敏策略中的敏感列信息、脱敏算法信息,对数据库返回的数据进行脱敏处理后,得到脱敏后的数据,并将脱敏后的数据返回至业务系统。
下面结合具体应用场景对本申请实施例提供的数据库动态脱敏系统的数据库动态脱敏流程进行示意说明,示例性的,参阅图2所示,为本申请实施例提供的一种数据库动态脱敏总体流程示意图,数据库动态脱敏系统包括集成有脱敏插件的业务系统,用于数据库管理、脱敏策略管理、脱敏规则管理、插件管理的脱敏信息管理平台,用于缓存脱敏策略和脱敏规则的Redis缓存。其中,脱敏插件具有SQL解析功能模块,用户解析功能模块和脱敏功能模块,SQL解析功能模块拦截业务系统发往目标数据库的查询SQL语句,并针对拦截到的查询SQL语句进行SQL解析,得到待查询数据库信息,待查询数据信息和拦截该查询SQL语句的时间戳信息,用户解析功能模块基于该待查询数据库信息,待查询数据信息和拦截该查询SQL语句的时间戳信息,以及业务系统的数据查询操作日志,确定执行该查询SQL语句的用户角色信息,脱敏功能模块基于改待查询的数据库信息、待查询数据信息和该用户角色信息,从Redis缓存中获取对应的脱敏策略,并基于该脱敏策略对该目标数据库基于该查询SQL语句返回的待脱敏数据进行脱敏处理,并将脱敏后的数据返回给业务系统。
基于与上述方法实施例同样的发明构思,示例性的,参阅图3所示,为本申请实施例提供的一种数据脱敏装置的结构示意图,该装置应用于业务系统,所述装置包括:
获取单元30,用于获取发往目标数据库的数据查询指令,并解析所述数据查询指令,得到待查询的数据库信息和待查询数据信息;
确定单元31,用于基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息;
脱敏单元32,用于基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略,并基于所述脱敏策略对所述目标数据库基于所述数据查询指令返回的待脱敏数据进行脱敏处理。
可选地,基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息时,所述确定单元31具体用于:
基于所述获取所述数据查询指令的时间戳信息,从数据查询操作日志中筛选出所述时间戳信息之前预设时长内的查询操作日志列表,并提取出所述查询操作日志列表中操作行为与用户角色的第一关联信息;
基于待查询的数据库信息和待查询数据信息,从预设的数据库信息,数据信息和操作行为之间的关联信息中获取所述待查询的数据库,待查询数据和操作行为之间的第二关联信息;
将所述第一关联信息与所述第二关联信息进行比对,将操作行为一致,且操作时间与所述获取所述数据查询指令的时间戳信息的差值最小的操作行为作为所述数据查询指令的实际操作行为,并将该实际操作行为对应的用户角色作为执行所述数据查询指令的用户角色信息。
可选地,所述业务系统与脱敏信息管理平台通信连接,其中,所述脱敏信息管理平台用于维护脱敏策略信息,所述脱敏信息管理平台中预设有数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系,所述脱敏信息管理平台中预设有数据库信息,数据信息和操作行为之间的关联关系。
可选地,基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略时,所述脱敏单元32具体用于:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述脱敏信息管理平台中获取对应的脱敏策略。
可选地,所述脱敏信息管理平台预先将预设的数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系缓存至Redis缓存中;
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略时,所述脱敏单元32具体用于:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述Redis缓存中获取对应的脱敏策略。
以上这些单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个单元通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
进一步地,本申请实施例提供的数据脱敏装置,从硬件层面而言,所述数据脱敏装置的硬件架构示意图可以参见图4所示,所述数据脱敏装置可以包括:存储器40和处理器41,
存储器40用于存储程序指令;处理器41调用存储器40中存储的程序指令,按照获得的程序指令执行上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种数据脱敏装置,包括用于执行上述方法实施例的至少一个处理元件(或芯片)。
可选地,本申请还提供一种程序产品,例如计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令用于使该计算机执行上述方法实施例。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种数据脱敏方法,其特征在于,应用于业务系统,所述业务系统集成有数据脱敏组件,所述方法包括:
获取发往目标数据库的数据查询指令,并解析所述数据查询指令,得到待查询的数据库信息和待查询数据信息;
基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息;
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略,并基于所述脱敏策略对所述目标数据库基于所述数据查询指令返回的待脱敏数据进行脱敏处理。
2.如权利要求1所述的方法,其特征在于,基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息的步骤包括:
基于所述获取所述数据查询指令的时间戳信息,从数据查询操作日志中筛选出所述时间戳信息之前预设时长内的查询操作日志列表,并提取出所述查询操作日志列表中操作行为与用户角色的第一关联信息;
基于待查询的数据库信息和待查询数据信息,从预设的数据库信息,数据信息和操作行为之间的关联信息中获取所述待查询的数据库,待查询数据和操作行为之间的第二关联信息;
将所述第一关联信息与所述第二关联信息进行比对,将操作行为一致,且操作时间与所述获取所述数据查询指令的时间戳信息的差值最小的操作行为作为所述数据查询指令的实际操作行为,并将该实际操作行为对应的用户角色作为执行所述数据查询指令的用户角色信息。
3.如权利要求1或2所述的方法,其特征在于,所述业务系统与脱敏信息管理平台通信连接,其中,所述脱敏信息管理平台用于维护脱敏策略信息,所述脱敏信息管理平台中预设有数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系,所述脱敏信息管理平台中预设有数据库信息,数据信息和操作行为之间的关联关系。
4.如权利要求3所述的方法,其特征在于,基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略的步骤包括:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述脱敏信息管理平台中获取对应的脱敏策略。
5.如权利要求3所述的方法,其特征在于,所述脱敏信息管理平台预先将预设的数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系缓存至Redis缓存中;
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略的步骤包括:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述Redis缓存中获取对应的脱敏策略。
6.一种数据脱敏装置,其特征在于,应用于业务系统,所述装置包括:
获取单元,用于获取发往目标数据库的数据查询指令,并解析所述数据查询指令,得到待查询的数据库信息和待查询数据信息;
确定单元,用于基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息;
脱敏单元,用于基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略,并基于所述脱敏策略对所述目标数据库基于所述数据查询指令返回的待脱敏数据进行脱敏处理。
7.如权利要求6所述的装置,其特征在于,基于获取所述数据查询指令的时间戳信息,数据查询操作日志,待查询的数据库信息和待查询数据信息,确定执行所述数据查询指令的用户角色信息时,所述确定单元具体用于:
基于所述获取所述数据查询指令的时间戳信息,从数据查询操作日志中筛选出所述时间戳信息之前预设时长内的查询操作日志列表,并提取出所述查询操作日志列表中操作行为与用户角色的第一关联信息;
基于待查询的数据库信息和待查询数据信息,从预设的数据库信息,数据信息和操作行为之间的关联信息中获取所述待查询的数据库,待查询数据和操作行为之间的第二关联信息;
将所述第一关联信息与所述第二关联信息进行比对,将操作行为一致,且操作时间与所述获取所述数据查询指令的时间戳信息的差值最小的操作行为作为所述数据查询指令的实际操作行为,并将该实际操作行为对应的用户角色作为执行所述数据查询指令的用户角色信息。
8.如权利要求6或7所述的装置,其特征在于,所述业务系统与脱敏信息管理平台通信连接,其中,所述脱敏信息管理平台用于维护脱敏策略信息,所述脱敏信息管理平台中预设有数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系,所述脱敏信息管理平台中预设有数据库信息,数据信息和操作行为之间的关联关系。
9.如权利要求8所述的装置,其特征在于,基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略时,所述脱敏单元具体用于:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述脱敏信息管理平台中获取对应的脱敏策略。
10.如权利要求8所述的装置,其特征在于,所述脱敏信息管理平台预先将预设的数据库标识,脱敏表名,数据脱敏组件唯一标识,用户角色和脱敏策略之间的关联关系缓存至Redis缓存中;
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,获取对应的脱敏策略时,所述脱敏单元具体用于:
基于所述待查询的数据库信息、待查询数据信息和所述用户角色信息,从所述Redis缓存中获取对应的脱敏策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111201027.3A CN113935067B (zh) | 2021-10-14 | 2021-10-14 | 一种数据脱敏方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111201027.3A CN113935067B (zh) | 2021-10-14 | 2021-10-14 | 一种数据脱敏方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113935067A true CN113935067A (zh) | 2022-01-14 |
| CN113935067B CN113935067B (zh) | 2024-07-16 |
Family
ID=79279561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111201027.3A Active CN113935067B (zh) | 2021-10-14 | 2021-10-14 | 一种数据脱敏方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113935067B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110277037A1 (en) * | 2010-05-10 | 2011-11-10 | International Business Machines Corporation | Enforcement Of Data Privacy To Maintain Obfuscation Of Certain Data |
| US20160057150A1 (en) * | 2014-08-21 | 2016-02-25 | International Business Machines Corporation | Event analytics for determining role-based access |
| CN106203170A (zh) * | 2016-07-19 | 2016-12-07 | 北京同余科技有限公司 | 基于角色的数据库动态脱敏服务方法和系统 |
| CN107704770A (zh) * | 2017-09-28 | 2018-02-16 | 平安普惠企业管理有限公司 | 敏感信息脱敏方法、系统、设备及可读存储介质 |
| CN110489990A (zh) * | 2018-05-15 | 2019-11-22 | 中国移动通信集团浙江有限公司 | 一种敏感数据处理方法、装置、电子设备及存储介质 |
-
2021
- 2021-10-14 CN CN202111201027.3A patent/CN113935067B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110277037A1 (en) * | 2010-05-10 | 2011-11-10 | International Business Machines Corporation | Enforcement Of Data Privacy To Maintain Obfuscation Of Certain Data |
| US20160057150A1 (en) * | 2014-08-21 | 2016-02-25 | International Business Machines Corporation | Event analytics for determining role-based access |
| CN106203170A (zh) * | 2016-07-19 | 2016-12-07 | 北京同余科技有限公司 | 基于角色的数据库动态脱敏服务方法和系统 |
| CN107704770A (zh) * | 2017-09-28 | 2018-02-16 | 平安普惠企业管理有限公司 | 敏感信息脱敏方法、系统、设备及可读存储介质 |
| CN110489990A (zh) * | 2018-05-15 | 2019-11-22 | 中国移动通信集团浙江有限公司 | 一种敏感数据处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113935067B (zh) | 2024-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020233219A1 (zh) | 异常问题的定位方法、装置、设备及计算机可读存储介质 | |
| US9916458B2 (en) | Secure cloud-based storage of data shared across file system objects and clients | |
| US20210248234A1 (en) | Malware Clustering Based on Function Call Graph Similarity | |
| CN111159706A (zh) | 数据库安全检测方法、装置、设备及存储介质 | |
| KR101685014B1 (ko) | 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치 | |
| US11586735B2 (en) | Malware clustering based on analysis of execution-behavior reports | |
| JP2017526253A (ja) | 端末識別子を促進する方法及びシステム | |
| CN112906024A (zh) | 一种数据脱敏方法、装置、存储介质及服务器 | |
| CN109460656A (zh) | 应用程序启动控制方法及计算机终端 | |
| CN112506481A (zh) | 业务数据交互方法、装置、计算机设备和存储介质 | |
| US10049113B2 (en) | File scanning method and apparatus | |
| US11726896B2 (en) | Application monitoring using workload metadata | |
| CN113254470B (zh) | 一种数据更改方法、装置、计算机设备及存储介质 | |
| CN109271807A (zh) | 数据库的数据安全处理方法及系统 | |
| CN115314255A (zh) | 攻击结果的检测方法、装置、计算机设备和存储介质 | |
| CN111090616B (zh) | 一种文件管理方法、对应装置、设备及存储介质 | |
| CN104881483A (zh) | 用于Hadoop平台数据泄露攻击的自动检测取证方法 | |
| US9323634B2 (en) | Generating a configuration file based upon an application registry | |
| CN112187719B (zh) | 被攻击服务器的信息获取方法、装置和电子设备 | |
| CN116450745B (zh) | 基于多设备的笔记文件操作方法、系统和可读存储介质 | |
| CN113935067B (zh) | 一种数据脱敏方法及装置 | |
| US11023426B1 (en) | Method and system for detection of open source web application version | |
| CN111885088A (zh) | 基于区块链的日志监测方法及装置 | |
| CN116522308A (zh) | 数据库账号托管方法、装置、计算机设备及存储介质 | |
| Zhang et al. | Device-centric federated analytics at ease |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |