CN114938284A - 处理数据泄密事件的方法、装置、电子设备及介质 - Google Patents
处理数据泄密事件的方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114938284A CN114938284A CN202210157626.8A CN202210157626A CN114938284A CN 114938284 A CN114938284 A CN 114938284A CN 202210157626 A CN202210157626 A CN 202210157626A CN 114938284 A CN114938284 A CN 114938284A
- Authority
- CN
- China
- Prior art keywords
- data
- event
- processing
- data leakage
- sensitive data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 105
- 238000000034 method Methods 0.000 title claims abstract description 75
- 230000000903 blocking effect Effects 0.000 claims abstract description 43
- 238000001514 detection method Methods 0.000 claims abstract description 12
- 230000005540 biological transmission Effects 0.000 claims description 41
- 238000003860 storage Methods 0.000 claims description 9
- 238000005206 flow analysis Methods 0.000 claims description 6
- 238000012360 testing method Methods 0.000 claims description 6
- 230000001010 compromised effect Effects 0.000 claims 1
- 238000011835 investigation Methods 0.000 abstract description 16
- 230000005764 inhibitory process Effects 0.000 abstract description 5
- 230000009467 reduction Effects 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 18
- 238000007789 sealing Methods 0.000 description 12
- 230000006399 behavior Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000002401 inhibitory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000011946 reduction process Methods 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 238000004454 trace mineral analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种处理数据泄密事件的方法、装置、电子设备及介质。通过应用本申请的技术方案,可以通过网络流量还原能力、敏感数据检测识别能力、敏感数据泄漏发现能力、敏感数据泄漏封堵能力、事件溯源调查能力、敏感数据泄漏抑制能力、阶梯式解封能力及敏感数据泄漏攻击对抗能力来实现敏感数据泄漏事件的处置方法。进而提升敏感数据泄漏事件的处置速度以及减少敏感数据泄漏途径的目的。从而避免相关技术中存在的,发生数据泄漏时需要通过人工调查才可以出现对于处理所导致的处理效率过慢的问题。
Description
技术领域
本申请中涉及数据处理技术,尤其是一种处理数据泄密事件的方法、装置、 电子设备及介质。
背景技术
随着信息通信技术的应用普及,网络数据流转通道逐渐扩大,网络上流通 的个人信息愈加广泛,全球个人信息安全问题日益凸显,盗取数据资源谋求商 业利益的行为日益增多,形成了明显的黑色或灰色产业链。这类行为与用户权 益联系紧密,轻则导致公民财产损失,重则危害行业发展,挑战监管底线。
近年来,众多全球知名企业个人信息泄露事件频频发生,反映出互联网企 业存在网络数据安全法律制度和规范标准落实不到位、重点环节管理不规范、 技术防护能力较为薄弱等问题,同时也反映出数据泄漏应急处置的滞后问题。
在现有技术方案中,发生数据泄漏时,往往需要通过事后去调查之后再通 过人工去进行处置,或者需要经过很长时间才能实现处置,导致敏感数据泄漏 事件处置速度以及效率过慢,从而可能导致出现更加严重的问题。
发明内容
本申请实施例提供一种处理数据泄密事件的方法、装置、电子设备及介质。 用以解决相关技术中存在的,发生数据泄漏时需要通过人工调查才可以出现对 于处理所导致的处理效率过慢的问题。
其中,根据本申请实施例的一个方面,提供的一种处理数据泄密事件的方 法,包括:
若检测到存在数据泄密事件,确定泄露所述敏感数据的客户端地址;
利用所述客户端地址对应的数据传输记录,确定所述数据泄密事件对应的 事件信息,所述数据传输记录包括日志记录以及历史流量传输的至少一种;
确定与所述事件信息相匹配的处理等级,并基于所述处理等级对所述客户 端地址进行对应等级的封禁处理。
可选地,在基于本申请上述方法的另一个实施例中,所述确定泄露所述敏 感数据的客户端地址,包括:
通过用户访问流、网络互连以及数据识别模型的其中一种,识别所述泄露 数据的数据流向途径;
通过对所述数据流向途径的对象定位,确定泄露所述敏感数据的客户端地 址。
可选地,在基于本申请上述方法的另一个实施例中,所述利用所述客户端 地址对应的数据传输记录,确定所述数据泄密事件对应的事件信息,包括:
解析所述日志记录,和/或,利用流量分析工具解析所述历史流量传输,确 定所述数据泄密事件对应的数据泄露时间、数据泄露范围、泄露原因、泄露数 据账号、数据泄露方式。
可选地,在基于本申请上述方法的另一个实施例中,所述基于所述处理等 级对所述客户端地址进行对应等级的封禁处理,包括:
基于所述处理等级,对所述客户端地址进行对应等级的封禁处理,其中所 述不同等级的封禁处理包括账号封禁、账号流量限速、账号访问限制的其中至 少一种。
可选地,在基于本申请上述方法的另一个实施例中,在所述基于所述处理 等级对所述客户端地址进行对应等级的封禁处理之后,还包括:
当检测到所述客户端地址满足预设条件时,根据所述客户端地址对应的封 禁处理等级,选择对应等级的阶梯式解禁处理。
可选地,在基于本申请上述方法的另一个实施例中,在所述基于所述处理 等级对所述客户端地址进行对应等级的封禁处理之后,还包括:
利用预设设备复现所述数据泄密事件,并利用攻击脚本对已经修复的造成 敏感数据泄漏事件的问题进行复核测试,验证所述数据泄密事件是否已经完成 修复;以及,
对所述数据泄密事件的同类敏感数据进行通用性敏感数据攻击测试,验证 是否存在其它敏感数据泄漏的途径。
其中,根据本申请实施例的又一个方面,提供的一种处理数据泄密事件的 装置,其特征在于,包括:
检测模块,被配置为若检测到存在数据泄密事件,确定泄露所述敏感数据 的客户端地址;
确定模块,被配置为利用所述客户端地址对应的数据传输记录,确定所述 数据泄密事件对应的事件信息,所述数据传输记录包括日志记录以及历史流量 传输的至少一种;
处理模块,被配置为确定与所述事件信息相匹配的处理等级,并基于所述 处理等级对所述客户端地址进行对应等级的封禁处理。
根据本申请实施例的又一个方面,提供的一种电子设备,包括:
存储器,用于存储可执行指令;以及
显示器,用于与所述存储器以执行所述可执行指令从而完成上述任一所述 处理数据泄密事件的方法的操作。
根据本申请实施例的还一个方面,提供的一种计算机可读存储介质,用于 存储计算机可读取的指令,所述指令被执行时执行上述任一所述处理数据泄密 事件的方法的操作。
本申请中,可以若检测到存在数据泄密事件,确定泄露敏感数据的客户端 地址;利用客户端地址对应的数据传输记录,确定数据泄密事件对应的事件信 息,数据传输记录包括日志记录以及历史流量传输的至少一种;确定与事件信 息相匹配的处理等级,并基于处理等级对客户端地址进行对应等级的封禁处理。 通过应用本申请的技术方案,可以通过网络流量还原能力、敏感数据检测识别 能力、敏感数据泄漏发现能力、敏感数据泄漏封堵能力、事件溯源调查能力、 敏感数据泄漏抑制能力、阶梯式解封能力及敏感数据泄漏攻击对抗能力来实现 敏感数据泄漏事件的处置方法。进而提升敏感数据泄漏事件的处置速度以及减 少敏感数据泄漏途径的目的。从而避免相关技术中存在的,发生数据泄漏时需 要通过人工调查才可以出现对于处理所导致的处理效率过慢的问题。
下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本申请的实施例,并且连同描述一起用 于解释本申请的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本申请,其中:
图1为本申请提出的一种处理数据泄密事件的方法示意图;
图2为本申请提出的一种处理数据泄密事件的装置架构示意图;
图3为本申请提出的一种处理数据泄密事件的电子装置的结构示意图;
图4为本申请提出的一种处理数据泄密事件的电子设备的结构示意图。
具体实施方式
现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非 另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达 式和数值不限制本申请的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是 按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,不作为对本 申请及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论, 但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某 一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
另外,本申请各个实施例之间的技术方案可以相互结合,但是必须是以本 领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实 现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
需要说明的是,本申请实施例中所有方向性指示(诸如上、下、左、右、 前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对 位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应 地随之改变。
下面结合图1-图2来描述根据本申请示例性实施方式的用于进行处理数据 泄密事件的方法。需要注意的是,下述应用场景仅是为了便于理解本申请的精 神和原理而示出,本申请的实施方式在此方面不受任何限制。相反,本申请的 实施方式可以应用于适用的任何场景。
本申请还提出一种处理数据泄密事件的方法、装置、电子设备及介质。
图1示意性地示出了根据本申请实施方式的一种处理数据泄密事件的方法 的流程示意图。如图1所示,该方法包括:
S101,若检测到存在数据泄密事件,确定泄露敏感数据的客户端地址。
S102,利用客户端地址对应的数据传输记录,确定数据泄密事件对应的事件 信息,数据传输记录包括日志记录以及历史流量传输的至少一种。
S103,确定与事件信息相匹配的处理等级,并基于处理等级对客户端地址进 行对应等级的封禁处理。
相关技术中,随着信息通信技术的应用普及,网络数据流转通道逐渐扩大, 网络上流通的个人信息愈加广泛,全球个人信息安全问题日益凸显,盗取数据 资源谋求商业利益的行为日益增多,形成了明显的黑色或灰色产业链。这类行 为与用户权益联系紧密,轻则导致公民财产损失,重则危害行业发展,挑战监 管底线。
近年来,众多全球知名企业个人信息泄露事件频频发生,反映出互联网企 业存在网络数据安全法律制度和规范标准落实不到位、重点环节管理不规范、 技术防护能力较为薄弱等问题,同时也反映出数据泄漏应急处置的滞后问题。
在现有技术方案中,发生数据泄漏时,往往需要通过事后去调查之后再通 过人工去进行处置,或者需要经过很长时间才能实现处置,导致敏感数据泄漏 事件处置速度太慢,效率太慢,还会造成敏感数据延时处置过程中的持续泄漏, 不符合日益严格的敏感数据防泄漏的要求。
综上所述,敏感数据泄漏没有及时处置,很容易造成敏感数据持续泄漏, 需要通过技术手段解决上述两个缺陷。
进一步的,为了解决上述存在的问题,如图2所示,本申请需要首先通过 “网络流量还原能力”,实时还原网络访问流量,形成标准化访问日志;然后 基于“敏感数据检测识别能力”及“敏感数据泄漏发现能力”发现敏感数据并 对敏感数据访问进行实时分析,发现存在泄漏的行为;“敏感数据泄漏封堵能 力”对发现的敏感数据泄漏事件从源头进行封堵。
进一步的,本申请还需要通过“事件溯源调查能力”根据各敏感数据来源 及数据安全管控职责自动将对应敏感数据泄漏事件分配给需要进行核查的人员 并根据溯源流程进行事件溯源分析;再通过“敏感数据泄漏抑制能力”,实现 数据泄漏事件的源头修复;辅助以“阶梯式解封能力”采用不同敏感数据泄漏 事件风险等级对封堵手段阶梯式的解封。
最后,本申请可以通过“敏感数据泄漏攻击对抗能力”来实现针对敏感数 据泄漏源头的复查及同类风险的识别。极大的提高了敏感数据泄漏的应急能力 和处置能力。
具体的,对于网络流量还原过程来说,本申请可以基于数据互联网出口, 利用旁路流量方式,以用户访问流、网络互连、识别模型等为基础,对敏感数 据识别与定位、传输途径、泄露风险分析基线,构建立体式全方位的网络流量 监测,实现敏感数据违规访问和处理,实时监控、追溯,进而实现全网敏感数 据分布可视、流转可控、访问可管、风险可预警能力。
具体的,对于敏感数据检测识别过程来说,本申请可以从敏感数据的全生 命周期环节,包括敏感数据采集、敏感数据传输、敏感数据存储、敏感数据使 用、敏感数据共享、敏感数据销毁,通过检测、监测、审计、防护等手段实现 敏感数据泄漏事件的发现,然后通过统一的数据源采集能力,将所有敏感数据 泄漏事件进行分级分类,并进行集中化管理。
具体的,对于敏感数据泄漏封堵过程来说,本申请可以通过统一的技术, 接入所有的封堵手段,如常用的IP封堵、账号封堵等,通过接入的所有敏感数 据泄漏事件的风险等级采用不同的封堵手段,如流量限速、IP禁止访问、帐号 限流、账号封禁等手段,通过对告警事件的实时接入与封堵策略的实时推送, 实现敏感数据泄漏自动化封堵。
具体的,对于事件溯源调查过程来说,本申请可以通过不同的敏感数据泄 漏事件来源,事件类型及事件等级定义不同的任务调度策略。事件类型主要划 分为系统问题、主机问题、应用问题、网络问题等。根据不同的事件类型和事 件等级推送给不同的责任人,使敏感数据泄漏事件可以及时得到溯源调查。事 件溯源流程如下:
步骤1:通过日志或流量分析工具对操作日志进行分析,确认数据泄露时间、 数据泄露范围、泄露原因、泄露数据账号、数据泄露方式等;
步骤2:通过日志或流量分析确认造成数据泄露所在账号的IP地址、单位 或个人,进一步确认该账号使用终端;
步骤3:对通过发现的可疑账号、IP地址、MAC地址等关键信息,确认可疑 操作终端。通过数据恢复及痕迹分析取证工具对可疑终端进行痕迹取证分析, 确认数据泄露人员信息、数据窃取方式及特征情况;
步骤4:通过痕迹取证分析情况结合视频监控工具,进一步确定数据泄露者 信息;
步骤5:初步确定影响范围;
步骤6:跟踪评估事件是否升级,是否需要制定新的应急处置。
具体的,对于敏感数据泄漏抑制过程来说,本申请可以根据敏感数据溯源 事件调查结果,对调查结果对造成泄漏的问题及时修复并进行抑制,防止造成 二次泄露。以及由安全审计人员配合安全管理员对该账号及责任人进行跟踪; 确定数据泄露具体时间、数据范围、可能使用的技术手段;根据日志分析提取 线索、访问痕迹、视频监控工具等方式对数据泄露者进行溯源分析;根据分析 结果对可能使用数据泄露的方式方法完善相应的管理制度或技术管控措施,核 查账号授权是否存在异常;渗透测试人员对该业务漏洞排查,完善相关安全隐 患,杜绝该类篡改可能。
具体的,对于阶梯式解封过程来说,本申请可以根据应急处置的基本原则, 优化敏感数据泄漏事件的处置流程;根据敏感数据泄漏事件的不同的事件等级 设定不同区段的解封策略并可根据实际情况进行调整,实现敏感数据泄漏事件 自动封堵之后的自动化解封。其中,对于账号封停和IP封停常用处置流程和解 封模式如下:
优化解封流程:账号封停和IP封停解禁权限进行集中管理,取消了其他下 层级自行解禁权限;提供申诉通道,将一些特殊账号或者特殊IP如:系统账号、 系统IP、特殊业务账号等纳入白名单,免封避免影响生产。
帐号、IP解封:根据不同的敏感数据泄漏事件等级,不同的业务系统,配 置阶梯式处置策略。针对帐号违规事件的等级,解禁时长例如:4小时、2天、 永久等;针对异常个IP违规泄漏敏感数据的行为解禁时长如:1天、3天、永 久等。同时设立白名单功能:避免一些特殊账号被误封。
具体的,对于敏感数据泄漏攻击对抗过程来说,本申请可以采用攻击对抗 的方式验证问题修复结果,并用复现的攻击手段对其他环节进行攻击测试,验 证是否还存在相似问题。
其中,敏感数据泄漏手段复现可以根据敏感数据泄漏事件溯源过程和结果, 还原整个事件的攻击过程,并形成攻击脚本,制定出同类敏感数据泄漏事件的 通用攻击能力。
进一步的,对于敏感数据泄漏事件问题复核来说,可以利用攻击脚本对已 经修复的造成敏感数据泄漏事件的问题进行复核测试,验证其是否已经完成修 复。
另外,本申请还可以对同类敏感数据泄漏源头进行通用性敏感数据攻击测 试,验证是否存在其它敏感数据泄漏的途径。
本申请中,可以若检测到存在数据泄密事件,确定泄露敏感数据的客户端 地址;利用客户端地址对应的数据传输记录,确定数据泄密事件对应的事件信 息,数据传输记录包括日志记录以及历史流量传输的至少一种;确定与事件信 息相匹配的处理等级,并基于处理等级对客户端地址进行对应等级的封禁处理。 通过应用本申请的技术方案,可以通过网络流量还原能力、敏感数据检测识别 能力、敏感数据泄漏发现能力、敏感数据泄漏封堵能力、事件溯源调查能力、 敏感数据泄漏抑制能力、阶梯式解封能力及敏感数据泄漏攻击对抗能力来实现 敏感数据泄漏事件的处置方法。进而提升敏感数据泄漏事件的处置速度以及减 少敏感数据泄漏途径的目的。从而避免相关技术中存在的,发生数据泄漏时需 要通过人工调查才可以出现对于处理所导致的处理效率过慢的问题。层阻止任 何进程修改保护目录下的文件,进而实现针对性的保护业务目录下的文件参数。 从而避免了现有防篡改技术由于对服务器中的虚拟装置进行了资源隔离所导致 的无法识别容器节点内部的文件并对其进行防护的问题。
可选地,在基于本申请上述方法的另一个实施例中,所述确定泄露所述敏 感数据的客户端地址,包括:
通过用户访问流、网络互连以及数据识别模型的其中一种,识别所述泄露 数据的数据流向途径;
通过对所述数据流向途径的对象定位,确定泄露所述敏感数据的客户端地 址。
可选地,在基于本申请上述方法的另一个实施例中,所述利用所述客户端 地址对应的数据传输记录,确定所述数据泄密事件对应的事件信息,包括:
解析所述日志记录,和/或,利用流量分析工具解析所述历史流量传输,确 定所述数据泄密事件对应的数据泄露时间、数据泄露范围、泄露原因、泄露数 据账号、数据泄露方式。
可选地,在基于本申请上述方法的另一个实施例中,所述基于所述处理等 级对所述客户端地址进行对应等级的封禁处理,包括:
基于所述处理等级,对所述客户端地址进行对应等级的封禁处理,其中所 述不同等级的封禁处理包括账号封禁、账号流量限速、账号访问限制的其中至 少一种。
可选地,在基于本申请上述方法的另一个实施例中,在所述基于所述处理 等级对所述客户端地址进行对应等级的封禁处理之后,还包括:
当检测到所述客户端地址满足预设条件时,根据所述客户端地址对应的封 禁处理等级,选择对应等级的阶梯式解禁处理。
可选地,在基于本申请上述方法的另一个实施例中,在所述基于所述处理 等级对所述客户端地址进行对应等级的封禁处理之后,还包括:
利用预设设备复现所述数据泄密事件,并利用攻击脚本对已经修复的造成 敏感数据泄漏事件的问题进行复核测试,验证所述数据泄密事件是否已经完成 修复;以及,
对所述数据泄密事件的同类敏感数据进行通用性敏感数据攻击测试,验证 是否存在其它敏感数据泄漏的途径。
通过应用本申请的技术方案,可以通过网络流量还原能力、敏感数据检测 识别能力、敏感数据泄漏发现能力、敏感数据泄漏封堵能力、事件溯源调查能 力、敏感数据泄漏抑制能力、阶梯式解封能力及敏感数据泄漏攻击对抗能力来 实现敏感数据泄漏事件的处置方法。进而提升敏感数据泄漏事件的处置速度以 及减少敏感数据泄漏途径的目的。从而避免相关技术中存在的,发生数据泄漏 时需要通过人工调查才可以出现对于处理所导致的处理效率过慢的问题。
可选的,在本申请的另外一种实施方式中,如图3所示,本申请还提供一 种处理数据泄密事件的装置。其中包括:
检测模块201,被配置为若检测到存在数据泄密事件,确定泄露所述敏感数 据的客户端地址;
确定模块202,被配置为利用所述客户端地址对应的数据传输记录,确定所 述数据泄密事件对应的事件信息,所述数据传输记录包括日志记录以及历史流 量传输的至少一种;
处理模块203,被配置为确定与所述事件信息相匹配的处理等级,并基于所 述处理等级对所述客户端地址进行对应等级的封禁处理。
本申请中,可以若检测到存在数据泄密事件,确定泄露敏感数据的客户端 地址;利用客户端地址对应的数据传输记录,确定数据泄密事件对应的事件信 息,数据传输记录包括日志记录以及历史流量传输的至少一种;确定与事件信 息相匹配的处理等级,并基于处理等级对客户端地址进行对应等级的封禁处理。 通过应用本申请的技术方案,可以通过网络流量还原能力、敏感数据检测识别 能力、敏感数据泄漏发现能力、敏感数据泄漏封堵能力、事件溯源调查能力、 敏感数据泄漏抑制能力、阶梯式解封能力及敏感数据泄漏攻击对抗能力来实现 敏感数据泄漏事件的处置方法。进而提升敏感数据泄漏事件的处置速度以及减 少敏感数据泄漏途径的目的。从而避免相关技术中存在的,发生数据泄漏时需 要通过人工调查才可以出现对于处理所导致的处理效率过慢的问题。层阻止任 何进程修改保护目录下的文件,进而实现针对性的保护业务目录下的文件参数。 从而避免了现有防篡改技术由于对服务器中的虚拟装置进行了资源隔离所导致 的无法识别容器节点内部的文件并对其进行防护的问题。
在本申请的另外一种实施方式中,检测模块201,被配置执行的步骤包括:
通过用户访问流、网络互连以及数据识别模型的其中一种,识别所述泄露 数据的数据流向途径;
通过对所述数据流向途径的对象定位,确定泄露所述敏感数据的客户端地 址。
在本申请的另外一种实施方式中,检测模块201,被配置执行的步骤包括:
解析所述日志记录,和/或,利用流量分析工具解析所述历史流量传输,确 定所述数据泄密事件对应的数据泄露时间、数据泄露范围、泄露原因、泄露数 据账号、数据泄露方式。
在本申请的另外一种实施方式中,检测模块201,被配置执行的步骤包括:
基于所述处理等级,对所述客户端地址进行对应等级的封禁处理,其中所 述不同等级的封禁处理包括账号封禁、账号流量限速、账号访问限制的其中至 少一种。
在本申请的另外一种实施方式中,检测模块201,被配置执行的步骤包括:
当检测到所述客户端地址满足预设条件时,根据所述客户端地址对应的封 禁处理等级,选择对应等级的阶梯式解禁处理。
在本申请的另外一种实施方式中,检测模块201,被配置执行的步骤包括:
利用预设设备复现所述数据泄密事件,并利用攻击脚本对已经修复的造成 敏感数据泄漏事件的问题进行复核测试,验证所述数据泄密事件是否已经完成 修复;以及,
对所述数据泄密事件的同类敏感数据进行通用性敏感数据攻击测试,验证 是否存在其它敏感数据泄漏的途径。
图4是根据一示例性实施例示出的一种电子设备的逻辑结构框图。例如, 电子设备300可以是移动电话,计算机,数字广播终端,消息收发设备,游戏 控制台,平板设备,医疗设备,健身设备,个人数字助理等。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介 质,例如包括指令的存储器,上述指令可由电子设备处理器执行以完成上述处 理数据泄密事件的方法,该方法包括:若检测到存在数据泄密事件,确定泄露 所述敏感数据的客户端地址;利用所述客户端地址对应的数据传输记录,确定 所述数据泄密事件对应的事件信息,所述数据传输记录包括日志记录以及历史 流量传输的至少一种;确定与所述事件信息相匹配的处理等级,并基于所述处 理等级对所述客户端地址进行对应等级的封禁处理。可选地,上述指令还可以 由电子设备的处理器执行以完成上述示例性实施例中所涉及的其他步骤。例如, 非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、 磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供了一种应用程序/计算机程序产品,包括一条或 多条指令,该一条或多条指令可以由电子设备的处理器执行,以完成上述处理 数据泄密事件的方法,该方法包括:若检测到存在数据泄密事件,确定泄露所 述敏感数据的客户端地址;利用所述客户端地址对应的数据传输记录,确定所 述数据泄密事件对应的事件信息,所述数据传输记录包括日志记录以及历史流 量传输的至少一种;确定与所述事件信息相匹配的处理等级,并基于所述处理 等级对所述客户端地址进行对应等级的封禁处理。可选地,上述指令还可以由 电子设备的处理器执行以完成上述示例性实施例中所涉及的其他步骤。
本领域技术人员可以理解,示意图4仅仅是电子设备300的示例,并不构 成对电子设备300的限定,可以包括比图示更多或更少的部件,或者组合某些 部件,或者不同的部件,例如电子设备300还可以包括输入输出设备、网络接 入设备、总线等。
所称处理器302可以是中央处理单元(Central Processing Unit,CPU), 还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、 专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编 程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、 分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或 者该处理器302也可以是任何常规的处理器等,处理器302是电子设备300的 控制中心,利用各种接口和线路连接整个电子设备300的各个部分。
存储器301可用于存储计算机可读指令,处理器302通过运行或执行存储 在存储器301内的计算机可读指令或模块,以及调用存储在存储器301内的数 据,实现电子设备300的各种功能。存储器301可主要包括存储程序区和存储 数据区,其中,存储程序区可存储操作装置、至少一个功能所需的应用程序(比 如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备300 的使用所创建的数据等。此外,存储器301可以包括硬盘、内存、插接式硬盘, 智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD) 卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、只读存储器 (Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM) 或其他非易失性/易失性存储器件。
电子设备300集成的模块如果以软件功能模块的形式实现并作为独立的产 品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解, 本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机可读指令 来指令相关的硬件来完成,的计算机可读指令可存储于一计算机可读存储介质 中,该计算机可读指令在被处理器执行时,可实现上述各个方法实施例的步骤。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申 请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化, 这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开 的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性 的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结 构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的 权利要求来限制。
Claims (9)
1.一种处理数据泄密事件的方法,其特征在于,包括:
若检测到存在数据泄密事件,确定泄露所述敏感数据的客户端地址;
利用所述客户端地址对应的数据传输记录,确定所述数据泄密事件对应的事件信息,所述数据传输记录包括日志记录以及历史流量传输的至少一种;
确定与所述事件信息相匹配的处理等级,并基于所述处理等级对所述客户端地址进行对应等级的封禁处理。
2.如权利要求1所述的方法,其特征在于,所述确定泄露所述敏感数据的客户端地址,包括:
通过用户访问流、网络互连以及数据识别模型的其中一种,识别所述泄露数据的数据流向途径;
通过对所述数据流向途径的对象定位,确定泄露所述敏感数据的客户端地址。
3.如权利要求1所述的方法,其特征在于,所述利用所述客户端地址对应的数据传输记录,确定所述数据泄密事件对应的事件信息,包括:
解析所述日志记录,和/或,利用流量分析工具解析所述历史流量传输,确定所述数据泄密事件对应的数据泄露时间、数据泄露范围、泄露原因、泄露数据账号、数据泄露方式。
4.如权利要求1所述的方法,其特征在于,所述基于所述处理等级对所述客户端地址进行对应等级的封禁处理,包括:
基于所述处理等级,对所述客户端地址进行对应等级的封禁处理,其中所述不同等级的封禁处理包括账号封禁、账号流量限速、账号访问限制的其中至少一种。
5.如权利要求4所述的方法,其特征在于,在所述基于所述处理等级对所述客户端地址进行对应等级的封禁处理之后,还包括:
当检测到所述客户端地址满足预设条件时,根据所述客户端地址对应的封禁处理等级,选择对应等级的阶梯式解禁处理。
6.如权利要求1所述的方法,其特征在于,在所述基于所述处理等级对所述客户端地址进行对应等级的封禁处理之后,还包括:
利用预设设备复现所述数据泄密事件,并利用攻击脚本对已经修复的造成敏感数据泄漏事件的问题进行复核测试,验证所述数据泄密事件是否已经完成修复;以及,
对所述数据泄密事件的同类敏感数据进行通用性敏感数据攻击测试,验证是否存在其它敏感数据泄漏的途径。
7.一种处理数据泄密事件的装置,其特征在于,包括:
检测模块,被配置为若检测到存在数据泄密事件,确定泄露所述敏感数据的客户端地址;
确定模块,被配置为利用所述客户端地址对应的数据传输记录,确定所述数据泄密事件对应的事件信息,所述数据传输记录包括日志记录以及历史流量传输的至少一种;
处理模块,被配置为确定与所述事件信息相匹配的处理等级,并基于所述处理等级对所述客户端地址进行对应等级的封禁处理。
8.一种电子设备,其特征在于,包括:
存储器,用于存储可执行指令;以及,
处理器,用于与所述存储器执行所述可执行指令从而完成权利要求1-6中任一所述处理数据泄密事件的方法的操作。
9.一种计算机可读存储介质,用于存储计算机可读取的指令,其特征在于,所述指令被执行时执行权利要求1-6中任一所述处理数据泄密事件的方法的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210157626.8A CN114938284A (zh) | 2022-02-21 | 2022-02-21 | 处理数据泄密事件的方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210157626.8A CN114938284A (zh) | 2022-02-21 | 2022-02-21 | 处理数据泄密事件的方法、装置、电子设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114938284A true CN114938284A (zh) | 2022-08-23 |
Family
ID=82862912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210157626.8A Pending CN114938284A (zh) | 2022-02-21 | 2022-02-21 | 处理数据泄密事件的方法、装置、电子设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114938284A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108133138A (zh) * | 2017-12-21 | 2018-06-08 | 北京明朝万达科技股份有限公司 | 一种泄露的敏感信息溯源方法、装置和系统 |
CN109388642A (zh) * | 2018-10-23 | 2019-02-26 | 北京计算机技术及应用研究所 | 基于标签的敏感数据追踪溯源方法 |
CN111435384A (zh) * | 2019-01-14 | 2020-07-21 | 阿里巴巴集团控股有限公司 | 数据安全处理和数据溯源方法、装置及设备 |
US10824702B1 (en) * | 2019-09-09 | 2020-11-03 | Acceptto Corporation | System and method for continuous passwordless authentication across trusted devices |
CN112231715A (zh) * | 2020-11-11 | 2021-01-15 | 福建有度网络安全技术有限公司 | 一种数据泄漏告警方法及相关装置 |
CN112688951A (zh) * | 2020-12-26 | 2021-04-20 | 深圳市天彦通信股份有限公司 | 访客管理方法及相关装置 |
CN113225349A (zh) * | 2021-05-21 | 2021-08-06 | 中国工商银行股份有限公司 | 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置 |
CN113572860A (zh) * | 2021-09-27 | 2021-10-29 | 广东电网有限责任公司 | 泄密数据的追踪方法、装置、存储系统、设备及存储介质 |
-
2022
- 2022-02-21 CN CN202210157626.8A patent/CN114938284A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108133138A (zh) * | 2017-12-21 | 2018-06-08 | 北京明朝万达科技股份有限公司 | 一种泄露的敏感信息溯源方法、装置和系统 |
CN109388642A (zh) * | 2018-10-23 | 2019-02-26 | 北京计算机技术及应用研究所 | 基于标签的敏感数据追踪溯源方法 |
CN111435384A (zh) * | 2019-01-14 | 2020-07-21 | 阿里巴巴集团控股有限公司 | 数据安全处理和数据溯源方法、装置及设备 |
US10824702B1 (en) * | 2019-09-09 | 2020-11-03 | Acceptto Corporation | System and method for continuous passwordless authentication across trusted devices |
CN112231715A (zh) * | 2020-11-11 | 2021-01-15 | 福建有度网络安全技术有限公司 | 一种数据泄漏告警方法及相关装置 |
CN112688951A (zh) * | 2020-12-26 | 2021-04-20 | 深圳市天彦通信股份有限公司 | 访客管理方法及相关装置 |
CN113225349A (zh) * | 2021-05-21 | 2021-08-06 | 中国工商银行股份有限公司 | 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置 |
CN113572860A (zh) * | 2021-09-27 | 2021-10-29 | 广东电网有限责任公司 | 泄密数据的追踪方法、装置、存储系统、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106828362B (zh) | 汽车信息的安全测试方法及装置 | |
CN111064745A (zh) | 一种基于异常行为探测的自适应反爬方法和系统 | |
CN113761519B (zh) | 一种Web应用程序的检测方法、装置及存储介质 | |
CN113114647A (zh) | 网络安全风险的检测方法、装置、电子设备、及存储介质 | |
CN112733138A (zh) | 视听app安全及业务合规自动检测系统、方法及介质 | |
WO2016014014A1 (en) | Remedial action for release of threat data | |
Zhang et al. | A cyber security evaluation framework for in-vehicle electrical control units | |
CN116361807A (zh) | 风险管控方法、装置、存储介质及电子设备 | |
Daubner et al. | Risk-oriented design approach for forensic-ready software systems | |
CN114499919A (zh) | 一种工程机械通信安全网络威胁建模的方法及系统 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
Ellison et al. | Extending AADL for security design assurance of cyber-physical systems | |
CN114938284A (zh) | 处理数据泄密事件的方法、装置、电子设备及介质 | |
KR20180130630A (ko) | 자동화 진단도구를 이용한 정보시스템 취약점 진단 관리 시스템 및 방법 | |
CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
Faschang et al. | An open software-based framework for automotive cybersecurity testing | |
US11108800B1 (en) | Penetration test monitoring server and system | |
Kawanishi et al. | A study of the risk quantification method focusing on direct-access attacks in cyber-physical systems | |
US11238162B1 (en) | Method for systematically and objectively assessing system security risk | |
Greiner et al. | A supplier’s perspective on threat analysis and risk assessment according to ISO/SAE 21434 | |
CN108055246B (zh) | 一种非正常网络空间资产自动加入黑名单的控制系统 | |
CN110826906A (zh) | 面向智能网联汽车全生命周期的信息安全风险评估方法 | |
Francia III et al. | Critical infrastructure protection and security benchmarks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |