CN115130122A - 一种大数据安全防护方法及系统 - Google Patents
一种大数据安全防护方法及系统 Download PDFInfo
- Publication number
- CN115130122A CN115130122A CN202210658681.5A CN202210658681A CN115130122A CN 115130122 A CN115130122 A CN 115130122A CN 202210658681 A CN202210658681 A CN 202210658681A CN 115130122 A CN115130122 A CN 115130122A
- Authority
- CN
- China
- Prior art keywords
- big data
- data
- authority
- security protection
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种大数据安全防护方法及系统,基于采集的大数据对应的采集源信息生成对应的安全评价数据,根据安全评价数据对采集的大数据进行脱敏处理和加密处理,在获取用户终端的访问请求信息时,基于访问请求信息分配业务权限入口,确定风险管控等级,建立对应的安全防护业务端口并实时监测用户敏感权限,基于大数据服务器返回的权限指示信息,执行相应的权限禁止或放行,通过加强大数据采集、处理和流动阶段的安全防护,提高大数据数据安全防护的可靠性。
Description
技术领域
本申请涉及大数据技术领域,具体而言,涉及一种大数据安全防护方法及系统。
背景技术
当今社会进入大数据时代,越来越多的数据共享开放,交叉使用。针对关键信息基础设施缺乏保护、敏感数据泄露严重、智能终端危险化、信息访问权限混乱、个人敏感信息滥用等问题,急需通过加强网络空间安全保障、做好关键信息基础
设施保护、强化数据加密、加固智能终端、保护个人敏感信息等手段,保障大数据背景下的数据安全。
相关技术中,大数据安全防护策略主要针对大数据的存储、处理和应用阶段,往往忽略大数据的采集和流动过程,导致安全防护的可靠性不足。
发明内容
为了至少克服现有技术中的上述不足,本申请的目的在于提供一种大数据安全防护方法及系统。
第一方面,本申请提供一种大数据安全防护方法,应用于与用户终端通信的大数据服务器,所述方法包括:
基于采集的大数据对应的采集源信息生成所述采集的大数据对应的安全评价数据;
根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理;
获取所述用户终端的访问请求信息,基于所述访问请求信息分配业务权限入口,确定所述业务权限入口的风险管控等级,建立对应的安全防护业务端口;
所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器通信,基于所述大数据服务器返回的权限指示信息,执行相应的权限禁止或放行。
可选地,所述基于采集的大数据对应的采集源信息生成所述采集的大数据对应的安全评价数据包括以下步骤:获取所述采集源信息,所述采集源信息包括:采集阶段面临的非授权采集信息、数据分类分级信息、敏感数据识别信息以及细粒度的访问控制信息;基于所述采集源信息生成所述安全评价数据,根据所述安全评价数据判断大数据的处理步骤。
可选地,所述根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理,包括:
对采集的大数据进行脱敏处理的步骤,所述大数据服务器在大数据采集过程中,对大数据源中的数据进行处理时,将敏感信息进行脱敏,生成第一大数据集;
在所述对采集的大数据进行脱敏处理的步骤后,所述脱敏处理还包括:对所述第一大数据集进行数据导出到测试环境或其他系统时,进行二次脱敏生成第二大数据集;以及在对采集的大数据进行处理阶段,敏感数据在提供查询服务时,根据API或账号权限进行数据动态脱敏,生成第三大数据集;
对所述采集的大数据进行加密处理的步骤,所述加密处理基于数据透明加密机制,对所述脱敏处理后存储在大数据服务器中的文件型、非关系型数据库形式的存储数据进行加密处理。
可选地,所述数据进行加密处理步骤为:创建加密区域,每个加密区域对应1个区域密钥,保存于KMS;在加密区域创建文件时,加密组件Proxy从KMS上申请EDEK;Proxy获取到EDEK后,申请KMS对EDEK进行解密,从而获取出用于加密数据的DEK,同时将EDEK存放于新建文件的元数据中;在将数据写入到文件时使用DEK完成对数据的加密。
可选地,所述建立对应的安全防护业务端口包括:获取所述用户终端的访问请求信息,所述大数据服务器针对用户终端的访问行为,基于安全防护策略集分配业务权限入口,确定所述业务权限入口的风险管控等级;在数据流动阶段,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限。
可选地,所述基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限包括以下步骤:大数据服务器基于用户访问请求完成身份认证,所述身份认证采用Kerberos认证系统;用户身份认证通过后,基于大数据服务器的实体访问策略进行验证比对,基于安全防护策略集分配业务权限入口;分配业务权限入口后,再进行数据访问控制策略的验证;数据访问控制策略的验证允许后,可对相应资源进行使用;
所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器通信,基于所述大数据服务器返回的权限指示信息,执行相应的权限禁止或放行包括:访问控制组件在操作请求实际执行之前进行操作请求和访问内容的解析,然后根据已配置的权限列表进行权限判断,最终阻断未授权访问和越权访问。
第二方面,本申请提供一种大数据安全防护系统,应用于与用户终端通信的大数据服务器,包括:数据评价单元、数据处理单元、业务分配单元和业务监测单元,各个功能单元与大数据服务器通信连接;
数据评价单元基于采集的大数据对应的采集源信息生成所述采集的大数据对应的安全评价数据;
数据处理单元根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理;
业务分配单元获取所述用户终端的访问请求信息,基于所述访问请求信息分配业务权限入口,确定所述业务权限入口的风险管控等级,建立对应的安全防护业务端口;
业务监测单元基于所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器通信,基于所述大数据服务器返回的权限指示信息,执行相应的权限禁止或放行。
可选地,基于采集的大数据对应的采集源信息生成所述采集的大数据对应的安全评价数据包括以下步骤:
获取所述采集源信息,所述采集源信息包括:采集阶段面临的非授权采集信息、数据分类分级信息、敏感数据识别信息以及细粒度的访问控制信息;基于所述采集源信息生成所述安全评价数据,根据所述安全评价数据判断大数据的处理步骤。
可选地,所述数据处理单元根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理,包括:
数据处理单元对采集的大数据进行脱敏处理的步骤,所述大数据服务器在大数据采集过程中,对大数据源中的数据进行处理时,将敏感信息进行脱敏,生成第一大数据集;
可选地,在所述对采集的大数据进行脱敏处理的步骤后,所述脱敏处理还包括:
对所述第一大数据集进行数据导出到测试环境或其他系统时,进行二次脱敏生成第二大数据集;
以及在对采集的大数据进行处理阶段,敏感数据在提供查询服务时,根据API或账号权限进行数据动态脱敏,生成第三大数据集;
数据处理单元对所述采集的大数据进行加密处理的步骤,所述加密处理基于数据透明加密机制,对所述脱敏处理后存储在大数据服务器中的文件型、非关系型数据库形式的存储数据进行加密处理。
可选地,所述数据进行加密处理步骤为:创建加密区域,每个加密区域对应1个区域密钥,保存于KMS;在加密区域创建文件时,加密组件Proxy从KMS上申请EDEK;Proxy获取到EDEK后,申请KMS对EDEK进行解密,从而获取出用于加密数据的DEK,同时将EDEK存放于新建文件的元数据中;在将数据写入到文件时使用DEK完成对数据的加密。
可选地,所述建立对应的安全防护业务端口包括:
获取所述用户终端的访问请求信息,所述大数据服务器针对用户终端的访问行为,基于安全防护策略集分配业务权限入口,确定所述业务权限入口的风险管控等级;在数据流动阶段,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限;
获取所述用户终端的访问请求信息,所述大数据服务器针对用户终端的访问行为,基于安全防护策略集分配业务权限入口,确定所述业务权限入口的风险管控等级;在数据流动阶段,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限。
可选地,所述基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限包括以下步骤:大数据服务器基于用户访问请求完成身份认证,所述身份认证采用Kerberos认证系统;用户身份认证通过后,基于大数据服务器的实体访问策略进行验证比对,基于安全防护策略集分配业务权限入口;分配业务权限入口后,再进行数据访问控制策略的验证;数据访问控制策略的验证允许后,可对相应资源进行使用;
所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器通信,基于所述大数据服务器返回的权限指示信息,执行相应的权限禁止或放行包括:访问控制组件在操作请求实际执行之前进行操作请求和访问内容的解析,然后根据已配置的权限列表进行权限判断,最终阻断未授权访问和越权访问。
本申请的有益效果:本申请通过加强对大数据的采集、处理和和流动阶段的安全防护,基于采集的大数据对应的采集源信息生成对应的安全评价数据,根据安全评价数据对采集的大数据进行脱敏处理和加密处理,在获取用户终端的访问请求信息时,基于访问请求信息分配业务权限入口,确定风险管控等级,建立对应的安全防护业务端口并实时监测用户敏感权限,基于大数据服务器返回的权限指示信息,执行相应的权限禁止或放行,提高大数据数据安全防护的可靠性。
附图说明
图1是为本申请实施例提供的一种大数据安全防护方法的流程示意图。
图2是为本申请实施例提供的一种大数据安全防护系统的结构示意框图。
具体实施方式
下面将结合本发明的附图,对实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本申请提供一种大数据安全防护方法,应用于与用户终端通信的大数据服务器,方法包括:
S101:基于采集的大数据对应的采集源信息生成采集的大数据对应的安全评价数据;
大数据平台数据采集阶段主要的风险集中在采集源、采集终端、采集过程中,包括采集阶段面临的非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度的访问控制、数据无法追本溯源、采集到敏感数据的泄密风险、采集终端的安全性以及采集过程的事后审计等。针对采集阶段面临的风险,主要的应对措施是使用传统IT环境的数据安全防护措施,包括文档加密技术、数据库访问控制等。
可选地,基于采集的大数据对应的采集源信息生成采集的大数据对应的安全评价数据包括以下步骤:获取采集源信息,采集源信息包括:采集阶段面临的非授权采集信息、数据分类分级信息、敏感数据识别信息以及细粒度的访问控制信息;基于采集源信息生成安全评价数据,根据安全评价数据判断大数据的处理步骤。
根据数据的分类、分级标准,制定相对应的数据分类、分级的规则。通过深度内容识别技术,包括关键字、正则表达式、文件指纹、结构化数据指纹、智能分类等方式,对大数据环境中的数据进行主动扫描,识别数据内容,并与分类、分级规则进行匹配,将数据进行分类分级,并形成文件目录、分类、分级、日期、扫描方式等形式的分类分级内容。
S102:根据安全评价数据对采集的大数据进行脱敏处理和加密处理;
可选地,根据安全评价数据对采集的大数据进行脱敏处理和加密处理,包括:
对采集的大数据进行脱敏处理的步骤,大数据服务器在大数据采集过程中,对大数据源中的数据进行处理时,将敏感信息进行脱敏,生成第一大数据集;
在对采集的大数据进行脱敏处理的步骤后,脱敏处理还包括:对第一大数据集进行数据导出到测试环境或其他系统时,进行二次脱敏生成第二大数据集;以及在对采集的大数据进行处理阶段,敏感数据在提供查询服务时,根据API或账号权限进行数据动态脱敏,生成第三大数据集;
对采集的大数据进行加密处理的步骤,加密处理基于数据透明加密机制,对脱敏处理后存储在大数据服务器中的文件型、非关系型数据库形式的存储数据进行加密处理。
可选地,数据进行加密处理步骤为:创建加密区域,每个加密区域对应1个区域密钥,保存于KMS;在加密区域创建文件时,加密组件Proxy从KMS上申请EDEK;Proxy获取到EDEK后,申请KMS对EDEK进行解密,从而获取出用于加密数据的DEK,同时将EDEK存放于新建文件的元数据中;在将数据写入到文件时使用DEK完成对数据的加密。
S103:获取用户终端的访问请求信息,基于访问请求信息分配业务权限入口,确定业务权限入口的风险管控等级,建立对应的安全防护业务端口;
可选地,建立对应的安全防护业务端口包括:获取用户终端的访问请求信息,大数据服务器针对用户终端的访问行为,基于安全防护策略集分配业务权限入口,确定业务权限入口的风险管控等级;在数据流动阶段,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限。
在数据细粒度访问控制中,对大部分关系型数据库和数据仓库的用户权限模式,典型的是基于角色的访问控制,但是Hadoop不同,它需要2个层面的访问控制:一个是实体访问控制;另一个是数据访问控制。
数据访问控制策略应该是建立在实体访问控制策略之上,用户经过实体访问控制策略允许之后,才能进入到数据访问控制策略进行鉴别,通过后才能正式访问大数据资源。
针对大数据平台的安全防护技术应用,需通过在大数据服务器之前部署管控平台,所有的终端访问大数据服务器时,都需要经过大数据服务器完成身份认证、访问控制过程才能访问到真正的大数据服务器。
S104:安全防护业务端口实时监测用户敏感权限,并与大数据服务器通信,基于大数据服务器返回的权限指示信息,执行相应的权限禁止或放行。
可选地,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限包括以下步骤:大数据服务器基于用户访问请求完成身份认证,身份认证采用Kerberos认证系统;用户身份认证通过后,基于大数据服务器的实体访问策略进行验证比对,基于安全防护策略集分配业务权限入口;分配业务权限入口后,再进行数据访问控制策略的验证;数据访问控制策略的验证允许后,可对相应资源进行使用;
安全防护业务端口实时监测用户敏感权限,并与大数据服务器通信,基于大数据服务器返回的权限指示信息,执行相应的权限禁止或放行包括:访问控制组件在操作请求实际执行之前进行操作请求和访问内容的解析,然后根据已配置的权限列表进行权限判断,最终阻断未授权访问和越权访问。
实施例2
如图2所示,本申请提供一种大数据安全防护系统,应用于与用户终端200通信的大数据服务器100,包括:数据评价单元110、数据处理单元120、业务分配单元130和业务监测单元140,各个功能单元与大数据服务器100通信连接;
数据评价单元110基于采集的大数据对应的采集源信息生成所述采集的大数据对应的安全评价数据;
数据处理单元120根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理;
业务分配单元130获取所述用户终端200的访问请求信息,基于所述访问请求信息分配业务权限入口,确定所述业务权限入口的风险管控等级,建立对应的安全防护业务端口;
业务监测单元140基于所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器100通信,基于所述大数据服务器100返回的权限指示信息,执行相应的权限禁止或放行。
可选地,基于采集的大数据对应的采集源信息生成采集的大数据对应的安全评价数据包括以下步骤:获取采集源信息,采集源信息包括:采集阶段面临的非授权采集信息、数据分类分级信息、敏感数据识别信息以及细粒度的访问控制信息;基于采集源信息生成安全评价数据,根据安全评价数据判断大数据的处理步骤。
根据数据的分类、分级标准,制定相对应的数据分类、分级的规则。通过深度内容识别技术,包括关键字、正则表达式、文件指纹、结构化数据指纹、智能分类等方式,对大数据环境中的数据进行主动扫描,识别数据内容,并与分类、分级规则进行匹配,将数据进行分类分级,并形成文件目录、分类、分级、日期、扫描方式等形式的分类分级内容。.
可选地,数据处理单元120根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理,包括:
数据处理单元120对采集的大数据进行脱敏处理的步骤,所述大数据服务器100在大数据采集过程中,对大数据源中的数据进行处理时,将敏感信息进行脱敏,生成第一大数据集;
在所述对采集的大数据进行脱敏处理的步骤后,所述脱敏处理还包括:对所述第一大数据集进行数据导出到测试环境或其他系统时,进行二次脱敏生成第二大数据集;以及在对采集的大数据进行处理阶段,敏感数据在提供查询服务时,根据API或账号权限进行数据动态脱敏,生成第三大数据集;
数据处理单元120对所述采集的大数据进行加密处理的步骤,所述加密处理基于数据透明加密机制,对所述脱敏处理后存储在大数据服务器100中的文件型、非关系型数据库形式的存储数据进行加密处理。
可选地,数据进行加密处理步骤为:创建加密区域,每个加密区域对应1个区域密钥,保存于KMS;在加密区域创建文件时,加密组件Proxy从KMS上申请EDEK;Proxy获取到EDEK后,申请KMS对EDEK进行解密,从而获取出用于加密数据的DEK,同时将EDEK存放于新建文件的元数据中;在将数据写入到文件时使用DEK完成对数据的加密。
可选地,建立对应的安全防护业务端口包括:获取用户终端200的访问请求信息,大数据服务器100针对用户终端200的访问行为,基于安全防护策略集分配业务权限入口,确定业务权限入口的风险管控等级;在数据流动阶段,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限。
在数据细粒度访问控制中,对大部分关系型数据库和数据仓库的用户权限模式,典型的是基于角色的访问控制,但是Hadoop不同,它需要2个层面的访问控制:一个是实体访问控制;另一个是数据访问控制。
数据访问控制策略应该是建立在实体访问控制策略之上,用户经过实体访问控制策略允许之后,才能进入到数据访问控制策略进行鉴别,通过后才能正式访问大数据资源。
针对大数据平台的安全防护技术应用,需通过在大数据服务器100之前部署管控平台,所有的终端访问大数据服务器100时,都需要经过大数据服务器100完成身份认证、访问控制过程才能访问到真正的大数据服务器100。
可选地,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限包括以下步骤:大数据服务器100基于用户访问请求完成身份认证,身份认证采用Kerberos认证系统;用户身份认证通过后,基于大数据服务器100的实体访问策略进行验证比对,基于安全防护策略集分配业务权限入口;分配业务权限入口后,再进行数据访问控制策略的验证;数据访问控制策略的验证允许后,可对相应资源进行使用;
安全防护业务端口实时监测用户敏感权限,并与大数据服务器100通信,基于大数据服务器100返回的权限指示信息,执行相应的权限禁止或放行包括:访问控制组件在操作请求实际执行之前进行操作请求和访问内容的解析,然后根据已配置的权限列表进行权限判断,最终阻断未授权访问和越权访问。
以上公开的仅为本发明的两个具体实施例,但是,本发明实施例并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.权利要求1请求保护一种大数据安全防护方法,其特征在于,应用于与用户终端通信的大数据服务器,所述方法包括:
基于采集的大数据对应的采集源信息生成所述采集的大数据对应的安全评价数据;
根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理;
获取所述用户终端的访问请求信息,基于所述访问请求信息分配业务权限入口,确定所述业务权限入口的风险管控等级,建立对应的安全防护业务端口;
所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器通信,基于所述大数据服务器返回的权限指示信息,执行相应的权限禁止或放行。
2.根据权利要求1所述的大数据安全防护方法,其特征在于,所述基于采集的大数据对应的采集源信息生成所述采集的大数据对应的安全评价数据包括以下步骤:获取所述采集源信息,所述采集源信息包括:采集阶段面临的非授权采集信息、数据分类分级信息、敏感数据识别信息以及细粒度的访问控制信息;基于所述采集源信息生成所述安全评价数据,根据所述安全评价数据判断大数据的处理步骤。
3.根据权利要求2所述的大数据安全防护方法,其特征在于,所述根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理,包括:
对采集的大数据进行脱敏处理的步骤,所述大数据服务器在大数据采集过程中,对大数据源中的数据进行处理时,将敏感信息进行脱敏,生成第一大数据集;
在所述对采集的大数据进行脱敏处理的步骤后,所述脱敏处理还包括:对所述第一大数据集进行数据导出到测试环境或其他系统时,进行二次脱敏生成第二大数据集;以及在对采集的大数据进行处理阶段,敏感数据在提供查询服务时,根据API或账号权限进行数据动态脱敏,生成第三大数据集;
对所述采集的大数据进行加密处理的步骤,所述加密处理基于数据透明加密机制,对所述脱敏处理后存储在大数据服务器中的文件型、非关系型数据库形式的存储数据进行加密处理。
4.根据权利要求3所述的大数据安全防护方法,其特征在于,所述数据进行加密处理步骤为:创建加密区域,每个加密区域对应1个区域密钥,保存于KMS;在加密区域创建文件时,加密组件Proxy从KMS上申请EDEK;Proxy获取到EDEK后,申请KMS对EDEK进行解密,从而获取出用于加密数据的DEK,同时将EDEK存放于新建文件的元数据中;在将数据写入到文件时使用DEK完成对数据的加密。
5.根据权利要求1所述的大数据安全防护方法,其特征在于,所述建立对应的安全防护业务端口包括:获取所述用户终端的访问请求信息,所述大数据服务器针对用户终端的访问行为,基于安全防护策略集分配业务权限入口,确定所述业务权限入口的风险管控等级;在数据流动阶段,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限。
6.根据权利要求5所述的大数据安全防护方法,其特征在于,所述基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限包括以下步骤:大数据服务器基于用户访问请求完成身份认证,所述身份认证采用Kerberos认证系统;用户身份认证通过后,基于大数据服务器的实体访问策略进行验证比对,基于安全防护策略集分配业务权限入口;分配业务权限入口后,再进行数据访问控制策略的验证;数据访问控制策略的验证允许后,可对相应资源进行使用;
所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器通信,基于所述大数据服务器返回的权限指示信息,执行相应的权限禁止或放行包括:访问控制组件在操作请求实际执行之前进行操作请求和访问内容的解析,然后根据已配置的权限列表进行权限判断,最终阻断未授权访问和越权访问。
7.一种大数据安全防护系统,其特征在于,应用于与用户终端通信的大数据服务器,包括:数据评价单元、数据处理单元、业务分配单元和业务监测单元,各个功能单元与大数据服务器通信连接;
数据评价单元基于采集的大数据对应的采集源信息生成所述采集的大数据对应的安全评价数据;
数据处理单元根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理;
业务分配单元获取所述用户终端的访问请求信息,基于所述访问请求信息分配业务权限入口,确定所述业务权限入口的风险管控等级,建立对应的安全防护业务端口;
业务监测单元基于所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器通信,基于所述大数据服务器返回的权限指示信息,执行相应的权限禁止或放行。
8.根据权利要求7所述的大数据安全防护系统,其特征在于,所述数据处理单元根据所述安全评价数据对所述采集的大数据进行脱敏处理和加密处理,包括:
数据处理单元对采集的大数据进行脱敏处理的步骤,所述大数据服务器在大数据采集过程中,对大数据源中的数据进行处理时,将敏感信息进行脱敏,生成第一大数据集;
在所述对采集的大数据进行脱敏处理的步骤后,所述脱敏处理还包括:对所述第一大数据集进行数据导出到测试环境或其他系统时,进行二次脱敏生成第二大数据集;以及在对采集的大数据进行处理阶段,敏感数据在提供查询服务时,根据API或账号权限进行数据动态脱敏,生成第三大数据集;
数据处理单元对所述采集的大数据进行加密处理的步骤,所述加密处理基于数据透明加密机制,对所述脱敏处理后存储在大数据服务器中的文件型、非关系型数据库形式的存储数据进行加密处理。
9.根据权利要求8所述的大数据安全防护系统,其特征在于,所述建立对应的安全防护业务端口包括:
获取所述用户终端的访问请求信息,所述大数据服务器针对用户终端的访问行为,基于安全防护策略集分配业务权限入口,确定所述业务权限入口的风险管控等级;在数据流动阶段,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限;
获取所述用户终端的访问请求信息,所述大数据服务器针对用户终端的访问行为,基于安全防护策略集分配业务权限入口,确定所述业务权限入口的风险管控等级;在数据流动阶段,基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限。
10.根据权利要求9所述的大数据安全防护系统,其特征在于,所述基于数据访问控制策略实时监测安全防护业务端口实时监测用户敏感权限包括以下步骤:大数据服务器基于用户访问请求完成身份认证,所述身份认证采用Kerberos认证系统;用户身份认证通过后,基于大数据服务器的实体访问策略进行验证比对,基于安全防护策略集分配业务权限入口;分配业务权限入口后,再进行数据访问控制策略的验证;数据访问控制策略的验证允许后,可对相应资源进行使用;
所述安全防护业务端口实时监测用户敏感权限,并与所述大数据服务器通信,基于所述大数据服务器返回的权限指示信息,执行相应的权限禁止或放行包括:访问控制组件在操作请求实际执行之前进行操作请求和访问内容的解析,然后根据已配置的权限列表进行权限判断,最终阻断未授权访问和越权访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210658681.5A CN115130122A (zh) | 2022-06-12 | 2022-06-12 | 一种大数据安全防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210658681.5A CN115130122A (zh) | 2022-06-12 | 2022-06-12 | 一种大数据安全防护方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115130122A true CN115130122A (zh) | 2022-09-30 |
Family
ID=83378396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210658681.5A Pending CN115130122A (zh) | 2022-06-12 | 2022-06-12 | 一种大数据安全防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115130122A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115713249A (zh) * | 2022-10-10 | 2023-02-24 | 重庆移通学院 | 基于数据安全与隐私保护的政务满意度评价系统及方法 |
CN117270785A (zh) * | 2023-10-13 | 2023-12-22 | 北京泓鹏网络科技有限公司 | 一种基于大数据平台的数据安全存储方法及系统 |
CN117332433A (zh) * | 2023-10-11 | 2024-01-02 | 广州达悦信息科技有限公司 | 一种基于系统集成的数据安全检测方法及系统 |
CN117270785B (zh) * | 2023-10-13 | 2024-05-28 | 周思华 | 一种基于大数据平台的数据安全存储方法及系统 |
-
2022
- 2022-06-12 CN CN202210658681.5A patent/CN115130122A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115713249A (zh) * | 2022-10-10 | 2023-02-24 | 重庆移通学院 | 基于数据安全与隐私保护的政务满意度评价系统及方法 |
CN115713249B (zh) * | 2022-10-10 | 2023-06-13 | 重庆移通学院 | 基于数据安全与隐私保护的政务满意度评价系统及方法 |
CN117332433A (zh) * | 2023-10-11 | 2024-01-02 | 广州达悦信息科技有限公司 | 一种基于系统集成的数据安全检测方法及系统 |
CN117270785A (zh) * | 2023-10-13 | 2023-12-22 | 北京泓鹏网络科技有限公司 | 一种基于大数据平台的数据安全存储方法及系统 |
CN117270785B (zh) * | 2023-10-13 | 2024-05-28 | 周思华 | 一种基于大数据平台的数据安全存储方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115130122A (zh) | 一种大数据安全防护方法及系统 | |
Yao et al. | Dynamic access control and authorization system based on zero-trust architecture | |
JP2005509971A (ja) | データ管理システムおよび方法 | |
CN112187931A (zh) | 会话管理方法、装置、计算机设备和存储介质 | |
CN112905965B (zh) | 一种基于区块链的金融大数据处理系统 | |
CN108777675A (zh) | 电子装置、基于区块链的身份验证方法和计算机存储介质 | |
CN112036995A (zh) | 基于区块链的大型企业财务数据管理方法、系统和可读存储介质 | |
CN112329042A (zh) | 一种大数据安全存储系统及方法 | |
CN114021109A (zh) | 一种用于实现烟草行业车间级工控系统身份认证与访问管理的系统与方法 | |
CN114117264A (zh) | 基于区块链的非法网站识别方法、装置、设备及存储介质 | |
CN114372098A (zh) | 基于特权账号管理对电力数据中台隐私数据保护与数据挖掘平台及方法 | |
CN113872751B (zh) | 业务数据的监控方法、装置、设备及存储介质 | |
CN109714169B (zh) | 一种基于严格授权的数据可信流通平台及其流通方法 | |
CN109697368B (zh) | 用户信息数据安全使用的方法、设备及系统、存储介质 | |
CN110826094A (zh) | 一种信息泄露监控方法以及装置 | |
CN113792345A (zh) | 一种数据访问控制方法及装置 | |
CN116089970A (zh) | 基于身份管理的配电运维用户动态访问控制系统与方法 | |
CN110445790A (zh) | 一种基于用户登录行为的账号异常检测方法 | |
CN113988862B (zh) | 一种区块链数据上链方法的安全预警系统及安全预警方法 | |
CN112883394B (zh) | 一种基于区块链的大数据安全处理方法及系统 | |
CN111818047B (zh) | 一种云环境下的云主机监控管理系统及方法 | |
Yang et al. | Research on privacy security steady StateEvaluation model of mobile application based on information entropy and Markov theory | |
CN116246745A (zh) | 一种基于医疗数据的高安全性存储数据库系统 | |
Fu et al. | An Improved Biometric Fuzzy Signature with Timestamp of Blockchain Technology for Electrical Equipment Maintenance | |
CN116956346B (zh) | 一种基于大数据的交易数据安全监管系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |