CN116089987A - 数据泄漏防护方法、装置和设备 - Google Patents
数据泄漏防护方法、装置和设备 Download PDFInfo
- Publication number
- CN116089987A CN116089987A CN202310364510.6A CN202310364510A CN116089987A CN 116089987 A CN116089987 A CN 116089987A CN 202310364510 A CN202310364510 A CN 202310364510A CN 116089987 A CN116089987 A CN 116089987A
- Authority
- CN
- China
- Prior art keywords
- data asset
- information
- data
- tag information
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000004422 calculation algorithm Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 10
- 230000000875 corresponding effect Effects 0.000 description 85
- 238000001514 detection method Methods 0.000 description 16
- 238000001914 filtration Methods 0.000 description 10
- 238000006243 chemical reaction Methods 0.000 description 9
- 238000011161 development Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000014509 gene expression Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000012827 research and development Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供一种数据泄漏防护方法、装置和设备,涉及信息安全技术领域,该方法包括:获取至少一个数据资产;确定数据资产的摘要信息和标签信息;摘要信息用于对数据资产进行标识;各个数据资产的摘要信息各不相同;标签信息用于表示数据资产的目标特征信息;基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;安全防护策略表用于表示各个标签信息对应的数据资产的安全防护策略。本发明实施例的方法不需要对数据资产中的所有内容与敏感关键字进行过滤,节省系统的计算资源,耗时较小且对中央处理器的利用率较低,从而可以保持设备的性能和服务质量稳定,提升数据资产的防护效率和准确性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种数据泄漏防护方法、装置和设备。
背景技术
数据泄漏防护(Data leakage prevention, DLP),指的是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的信息安全和数据防护手段。
相关技术中,通过配置一些敏感关键字或者正则表达式进行关键字检索以实现数据泄漏防护的过程中,需要进行类型识别、文件格式转换、关键字过滤等操作,计算量大,容易引起设备中央处理器(central processing unit,CPU)利用率高,进而影响设备的性能和服务质量,导致数据泄漏防护的效率较低。
发明内容
针对现有技术中的问题,本发明实施例提供一种数据泄漏防护方法、装置和设备。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种数据泄漏防护方法,包括:
获取至少一个数据资产;
确定所述数据资产的摘要信息和标签信息;所述摘要信息用于对所述数据资产进行标识;各个所述数据资产的摘要信息各不相同;所述标签信息用于表示所述数据资产的目标特征信息;
基于所述数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;所述安全防护策略表用于表示各个所述标签信息对应的数据资产的安全防护策略。
进一步地,所述确定所述数据资产的摘要信息和标签信息,包括:
对各个所述数据资产进行扫描,基于目标算法,生成各个所述数据资产的摘要信息;
根据各个所述数据资产的目标属性,确定各个所述数据资产对应的至少一个标签信息。
进一步地,在确定所述数据资产的摘要信息和标签信息之后,还包括:
生成所述摘要信息和所述标签信息的对应关系;所述一个摘要信息对应至少一个标签信息。
进一步地,所述基于所述数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护,包括:
获取目标用户的数据资产请求;
确定所述数据资产请求所对应的目标数据资产的摘要信息、标签信息;
根据所述目标数据资产的摘要信息、标签信息和所述安全防护策略表,对所述目标数据资产进行数据泄漏防护。
进一步地,所述确定所述数据资产请求所对应的目标数据资产的摘要信息、标签信息,包括:
基于所述目标算法,生成所述目标数据资产对应的摘要信息;
根据所述目标数据资产对应的摘要信息及所述摘要信息和所述标签信息的对应关系,确定所述目标数据资产对应的标签信息。
进一步地,所述根据所述目标数据资产的摘要信息、标签信息和所述安全防护策略表,对所述目标数据资产进行数据泄漏防护,包括:
将所述目标数据资产的标签信息和所述安全防护策略表中的标签信息进行关联,确定所述目标数据资产的安全防护策略;
根据所述目标数据资产的安全防护策略,对所述目标数据资产进行数据泄漏防护。
第二方面,本发明实施例还提供了一种数据泄漏防护装置,包括:
获取模块,用于获取至少一个数据资产;
确定模块,用于确定所述数据资产的摘要信息和标签信息;所述摘要信息用于对所述数据资产进行标识;各个所述数据资产的摘要信息各不相同;所述标签信息用于表示所述数据资产的目标特征信息;
防护模块,用于基于所述数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;所述安全防护策略表用于表示各个所述标签信息对应的数据资产的安全防护策略。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述数据泄漏防护方法。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述数据泄漏防护方法。
第五方面,本发明实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如第一方面所述数据泄漏防护方法。
本发明实施例提供的数据泄漏防护方法、装置和设备,通过获取数据资产,并通过摘要信息唯一标识数据资产,通过标签信息表示数据资产的目标特征信息,进而将数据资产的摘要信息、标签信息与安全防护策略表中的标签信息进行匹配和关联,就可以得到数据资产所对应的安全防护策略。本申请的数据防护方法,不需要对数据资产中的所有内容与敏感关键字进行过滤,也不需要进行类型识别、文件格式转换、关键字过滤等操作,节省系统的计算资源,耗时较小且对CPU的利用率较低,从而可以保持设备的性能和服务质量稳定,提升数据资产的防护效率和准确性;而且通过标签信息可以将数据资产从不同维度进行分类防护,实现数据资产文件的精细化防护,解决数据防护过程中误报和漏报的问题,提高数据资产防护的效率和准确性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的数据泄漏防护方法的流程示意图;
图2是本发明实施例提供的数据泄漏防护方法的另一流程示意图;
图3是本发明实施例提供的数据泄漏防护系统的示意图;
图4是本发明实施例提供的数据泄漏防护装置的结构示意图;
图5是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的方法可以应用于信息安全场景中,实现数据泄漏高效、准确地防护。
相关技术中,通过配置一些敏感关键字或者正则表达式进行关键字检索以实现数据泄漏防护的过程中,需要进行类型识别、文件格式转换、关键字过滤等操作,计算量大,容易引起设备中央处理器(central processing unit,CPU)利用率高,进而影响设备的性能和服务质量,导致数据泄漏防护的效率较低。
本发明实施例的数据泄漏防护方法,通过获取数据资产,并通过摘要信息唯一标识数据资产,通过标签信息表示数据资产的目标特征信息,进而将数据资产的摘要信息、标签信息与安全防护策略表中的标签信息进行匹配和关联,就可以得到数据资产所对应的安全防护策略。本申请的数据防护方法,不需要对数据资产中的所有内容与敏感关键字进行过滤,也不需要进行类型识别、文件格式转换、关键字过滤等操作,节省系统的计算资源,耗时较小且对CPU的利用率较低,从而可以保持设备的性能和服务质量稳定,提升数据资产的防护效率和准确性;而且通过标签信息可以将数据资产从不同维度进行分类防护,实现数据资产文件的精细化防护,解决数据防护过程中误报和漏报的问题,提高数据资产防护的效率和准确性。
下面结合图1-图5以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1是本发明实施例提供的数据泄漏防护方法一实施例的流程示意图。如图1所示,本实施例提供的方法,包括:
步骤101、获取至少一个数据资产;
具体地,相关技术中,通过配置一些敏感关键字或者正则表达式进行关键字检索以实现数据泄漏防护的过程,需要进行类型识别、文件格式转换、关键字过滤等操作,计算量大,容易引起设备中央处理器利用率高,进而影响设备的性能和服务质量。而且由于文件内容检测、格式分析和转换等计算量大,在线的数据泄漏防护产品通常面临性能的瓶颈,不能对大并发的请求进行处理。另外,现有技术中,通常依据文件名、文件类型、文件中关键字等特征进行配置,因此,传统数据泄漏防护产品必须要求检测设备对文件具体内容进行分析,对于类型众多、过滤要求灵活的复杂数据防泄漏需求,通常需要配置大量的策略,对于维护和策略变更带来更高的要求。
为了解决上述问题,本发明实施例中首先获取至少一个数据资产;可选地,可以通过扫描或解析等方式获取数据资产信息;其中,数据资产可以为文件系统中的文件、对象存储中的数据或关系型、文件型、大数据数据库中的数据;可选地,数据资产也可以包括其他数据资源,本发明实施例中不做限定。
步骤102、确定数据资产的摘要信息和标签信息;摘要信息用于对数据资产进行标识;各个数据资产的摘要信息各不相同;标签信息用于表示数据资产的目标特征信息;
具体地,在获取到数据资产后,本发明实施例中确定各个数据资产的摘要信息和标签信息;可选地,数据资产的摘要信息用于对数据资产进行标识,也就是一个数据资产唯一对应一个摘要信息,各个数据资产的摘要信息各不相同,即各个数据资产的摘要信息不会重叠和冲突;可选地,可以通过MD5的散列算法(HASH算法)确定各个数据资产的摘要信息,也可以基于其他算法确定各个数据资产的摘要信息,本发明实施例中不做具体限定。本申请中数据资产的摘要信息用于对数据资产进行标识,也就是一个数据资产唯一对应一个摘要信息,各个数据资产的摘要信息是不冲突的,从而通过摘要信息可以对数据资产进行标识和识别。
可选地,在获取到数据资产后,本发明实施例中确定各个数据资产的标签信息;其中,数据资产的标签信息用于表示数据资产的目标特征信息,可选地,数据资产的目标特征信息为目标资产的属性信息,如数据资产的文件类型、数据资产的名称或数据资产中的关键字等信息,也就是可以根据资产对应的文件类型或文件格式等内容添加数据资产的标签信息;可选地,本发明实施例中的数据资产的标签信息为键值类型,例如数据资产A的标签1为:文件类型=PDF;数据资产A的标签2为:文件名称=交底书。可选地,可以手动添加数据资的标签信息,也可以基于预设的规则添加数据资产的标签信息,本发明实施例中不做具体限制。可选地,可以根据实际需求,为同一个文件数据资产打上不同的标签,通过标签来将数据资产从不同维度进行分类防护,配置安全防护策略,实现数据资产文件的精细化防护,提高数据资产防护的效率和准确性。
可选地,在获取到数据资产后,确定数据资产的摘要信息和标签信息的步骤没有严格的时序关系,即可以先确定数据资产的摘要信息再确定标签信息,也可以先确定数据资产的标签信息再确定摘要信息,也可以同时确定数据资产的摘要信息和标签信息。
步骤103、基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;安全防护策略表用于表示各个标签信息对应的数据资产的安全防护策略。
具体地,在确定数据资产的标签信息后,可以基于数据资产的标签信息生成安全防护策略,从而根据安全防护策略表可以表征和查询到各个标签信息对应的安全防护策略;进而根据待防护的数据资产的摘要信息、标签信息与安全防护策略表中的标签信息进行匹配和关联,就可以得到待防护的数据资产所对应的安全防护策略。可选地,数据资产的安全防护策略包括数据资产的传输阻断、生成告警信息等,也可以包括其他类型的防护策略。
例如,用户需要将数据资产A从服务器X传输到服务器Y,或者用户需要下载数据资产A,则可以在获取数据资产A的摘要信息和标签信息m后,将数据资产A的标签信息m与安全防护策略表中的标签信息进行关联和匹配,得到标签信息m的安全防护策略,从而也就得到了标签信息m对应的数据资产A的安全防护策略,进而根据得到的防护策略对数据资产A进行安全防护,得到安全防护结果;可选地,如果安全防护策略表中标签信息m对应的安全防护策略为“审计和阻断”,则将数据资产A的标签信息m与安全防护策略中的标签信息进行匹配后,由于数据资产A对应的标签信息为m,则需要对数据资产A执行安全防护策略表中的防护策略“审计和阻断”,即对数据资产A进行审计并阻断数据资产A的传输或生成关于数据资产A的安全防护告警等,即通过将数据资产A的标签信息与安全策略表进行匹配,实现了资产数据中数据泄漏的防护。
需要说明的是,现有技术中通过关键字检索的方式进行数据泄漏防护的过程中,需要在线实时的将数据资产A中的所有内容与一些敏感关键字或者正则表达式进行关键字过滤等操作,计算量大,关键字的识别比较耗时,容易引起设备中央处理器CPU利用率高的问题,进而影响设备的性能和服务质量。也就是现有技术中在进行数据资产A的数据防护过程中是基于数据资产A中的所有数据内容与关键字进行匹配来实现数据防护,匹配的计算量大且耗时;而本申请中是基于数据资产A的标签信息与安全防护策略表的标签信息进行关联匹配就可以实现数据资产A的防护,其实现方式简单,计算量小,不需要对数据资产A中的所有内容与敏感关键字进行过滤,也不需要进行类型识别、文件格式转换、关键字过滤等操作,节省系统的计算资源,耗时较小且对CPU的利用率较低,从而可以保持设备的性能和服务质量稳定。
另外,本申请中的数据防护方法,可以解决数据防护过程中误报和漏报的问题,实现精细化的数据防护。现有技术中进行数据资产的数据泄漏防护时,通过关键字检索的方式进行数据泄漏防护,例如关键字为“p”,若数据资产1、数据资产2和数据资产3均含有关键字“p”,则所有含有关键字“p”的数据资产1、数据资产2和数据资产3都会进行数据泄漏防护,而本申请中通过摘要信息唯一标识数据资产,再通过摘要信息关联到标签信息,若数据资产1、数据资产2和数据资产3均含有关键字“p”,但只有数据资产1的标签信息中含有关键字“p”,也就是关键字“p”是数据资产1的标签信息,而不是数据资产2和数据资产3的标签信息,则只需要对数据资产1进行数据泄漏防护即可,避免了数据防护过程中误报和漏报的问题,实现了精细化的数据防护,提高了数据防护的效率和准确性。
上述实施例的方法,通过获取数据资产,并通过摘要信息唯一标识数据资产,通过标签信息表示数据资产的目标特征信息,进而将数据资产的摘要信息、标签信息与安全防护策略表中的标签信息进行匹配和关联,就可以得到数据资产所对应的安全防护策略。本申请的数据防护方法,不需要对数据资产中的所有内容与敏感关键字进行过滤,也不需要进行类型识别、文件格式转换、关键字过滤等操作,节省系统的计算资源,耗时较小且对CPU的利用率较低,从而可以保持设备的性能和服务质量稳定,提升数据资产的防护效率和准确性;而且通过标签信息可以将数据资产从不同维度进行分类防护,实现数据资产文件的精细化防护,解决数据防护过程中误报和漏报的问题,提高数据资产防护的效率和准确性。
在一实施例中,确定数据资产的摘要信息和标签信息,包括:
对各个数据资产进行扫描,基于目标算法,生成各个数据资产的摘要信息;
根据各个数据资产的目标属性,确定各个数据资产对应的至少一个标签信息。
具体的,本发明实施例中通过摘要信息唯一标识数据资产;可选地,可以通过对需要保护的数据资产,比如对文件系统、数据库和对象存储服务器进行扫描,基于目标算法,生成数据资产的摘要信息。可选地,可以通过MD5的HASH算法确定各个数据资产的摘要信息,也可以基于其他算法确定各个数据资产的摘要信息,本发明实施例中不做具体限定。
本申请实施例中数据资产的标签信息用于表示数据资产的目标特征信息;可选地,可以为同一个文件数据资产打上不同的标签信息,从而通过标签信息将数据资产从不同维度进行分类防护,配置安全防护策略,实现数据资产文件的精细化防护,提高数据资产防护的效率和准确性。例如,数据资产A的标签1为:文件类型=PDF;数据资产A的标签2为:文件名称=交底书,即从数据资产A的文件类型和数据资产名称两个维度对数据资产A打上标签信息,则可以从数据资产的类型和数据资产的名称两个维度配置安全防护策略表,生成基于标签信息的安全防护策略,提升对数据资产中数据泄漏的防护精细度,实现数据资产文件的精细化防护,提高数据资产防护的效率和准确性。
在一实施例中,在确定数据资产的摘要信息和标签信息之后,还包括:
生成摘要信息和标签信息的对应关系;一个摘要信息对应至少一个标签信息。
具体地,本申请实施例中在对文件系统、数据库和对象存储服务器进行扫描,基于目标算法,生成数据资产的摘要信息及根据各个数据资产的目标属性,确定各个数据资产对应的至少一个标签信息后,就可以根据数据资产和摘要信息的对应关系、数据资产和标签信息的对应关系,生成摘要信息和标签信息的对应关系。
可选地,在用户需要将数据资产A从服务器X传输到服务器Y,或者用户需要下载数据资产A时,可以在基于目标算法获取数据资产A的摘要信息t后,根据数据资产A的摘要信息t、线下生成的摘要信息和标签信息的对应关系,确定数据资产A对应的标签信息m。进而将数据资产A的标签信息m与安全防护策略表中的标签信息进行关联和匹配,得到标签信息m的安全防护策略,从而也就得到了标签信息m对应的数据资产A的安全防护策略,进而根据数据资产A的安全防护策略对数据资产A进行安全防护,得到安全防护结果。
上述实施例的方法,在对文件系统、数据库和对象存储服务器进行扫描,确定各个数据资产的摘要信息和标签信息之后,可以生成摘要信息和标签信息的对应关系,进而基于待防护数据资产的摘要信息、摘要信息和标签信息的对应关系,就可以快速准确的确定待防护数据资产的标签信息,进而基于待防护数据资产的标签信息和安全防护策略表也就可以有效的进行待防护数据资产的防护,提升数据资产的防护效率。
在一实施例中,基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护,包括:
获取目标用户的数据资产请求;
确定数据资产请求所对应的目标数据资产的摘要信息、标签信息;
根据目标数据资产的摘要信息、标签信息和安全防护策略表,对目标数据资产进行数据泄漏防护。
具体地,对需要保护的数据资产,比如对文件系统、数据库和对象存储服务器进行扫描,生成数据资产的摘要信息和标签信息,并生成数据资产的摘要信息和标签信息的对应关系后,当接收到目标用户的数据资产请求时,对目标用户的数据资产请求进行解析,如对目标用户的数据资产请求进行解析后,解析结果为目标用户需要将数据资产A从服务器X传输到服务器Y,则可以基于目标算法生成数据资产A的摘要信息,并根据数据资产A的摘要信息、摘要信息和标签信息的对应关系,确定数据资产A对应的标签信息;进而基于数据资产A的标签信息和安全防护策略表也就可以有效的进行待防护数据资产的防护,提升数据资产的防护效率。
上述实施例的方法,通过获取目标用户的数据资产请求,并对目标用户的数据资产请求进行解析从而确定数据资产请求所对应的目标数据资产的摘要信息、标签信息,进而根据目标数据资产的摘要信息、标签信息和安全防护策略表,就可以实现对目标数据资产的有效防护。
在一实施例中,确定数据资产请求所对应的目标数据资产的摘要信息、标签信息,包括:
基于目标算法,生成目标数据资产对应的摘要信息;
根据目标数据资产对应的摘要信息及摘要信息和标签信息的对应关系,确定目标数据资产对应的标签信息。
具体地,本发明实施例中基于数据资产请求所对应的目标数据资产的摘要信息和标签信息,实现对数据资产请求所对应的目标数据资产的有效防护。可选地,本发明实施例中在对目标用户的数据资产请求进行解析后,确定数据资产请求所对应的目标数据资产A,则可以基于目标算法生成目标数据资产A对应的摘要信息;可选地,目标算法可以为MD5的HASH算法,也为可以其他算法,本发明实施例中不做具体限定。
在确定目标数据资产A对应的摘要信息后,就可以根据目标数据资产A对应的摘要信息及摘要信息和标签信息的对应关系,确定目标数据资产对应的标签信息;可选地,可以将目标数据资产A对应的摘要信息与摘要信息和标签信息的对应关系进行匹配,得到目标数据资产A对应的标签信息;进而基于目标数据资产A对应的标签信息和安全防护策略表,就可以实现对目标数据资产中数据的有效防护。可选地,摘要信息和标签信息的对应关系可以通过如下方式获取,通对文件系统、数据库和对象存储服务器进行扫描,基于目标算法,生成数据资产的摘要信息及根据各个数据资产的目标属性,确定各个数据资产对应的至少一个标签信息后,就可以根据数据资产和摘要信息的对应关系、数据资产和标签信息的对应关系,生成摘要信息和标签信息的对应关系。
上述实施例的方法,通过对目标用户的数据资产请求进行解析,确定数据资产请求所对应的目标数据资产A后,就可以基于目标算法,生成目标数据资产对应的摘要信息;进而根据目标数据资产对应的摘要信息及摘要信息和标签信息的对应关系,也就可以确定目标数据资产对应的标签信息,进一步根据目标数据资产A对应的标签信息和安全防护策略表,就可以实现对目标数据资产的有效防护。
在一实施例中,根据目标数据资产的摘要信息、标签信息和安全防护策略表,对目标数据资产进行数据泄漏防护,包括:
将目标数据资产的标签信息和安全防护策略表中的标签信息进行关联,确定目标数据资产的安全防护策略;
根据目标数据资产的安全防护策略,对目标数据资产进行数据泄漏防护。
具体地,在确定数据资产请求所对应的目标数据资产的摘要信息、标签信息后,就可以将目标数据资产的标签信息和安全防护策略表中的标签信息进行关联,确定目标数据资产的安全防护策略;其中,安全防护策略表可以通过对文件系统、数据库和对象存储服务器进行扫描,生成数据资产的摘要信息和标签信息后,在线下根据标签信息生成安全防护策略表;可选地,安全防护策略表用于表示各个标签信息对应的数据资产的安全防护策略;由于标签信息可以用于表示各个维度的数据资产的目标特征信息,如标签1表示数据资产的文件类型信息,标签2表示数据资产的文件名称信息,使得本发明实施例中根据标签信息生成安全防护策略表的过程中,由于安全防护策略表中包括了各个维度的标签信息,因而通过标签信息生成的安全防护策略表可以从不同的标签信息维度对数据资产进行分类防护,配置安全防护策略,实现数据资产的精细化防护,提高数据资产防护的效率和准确性。
示例性的,数据泄漏防护方法具体如下:
(1)用户网络部署如图2所示,文件服务器在10.1.1.x网段,市场部在10.1.2.x网段,研发部在10.1.3.x网段。文件服务器主机、市场部主机、研发部主机都安装了数据泄漏检测和防护软件。
(2)文件服务器在/public目录下有各个部门的文件夹,比如市场部(marketing目录)、研发部(development目录),有如下目录结构:marketing目录下包含price.pdf文件,development目录下包含product.pdf文件;
(3)数据资产发现和分类软件扫描后发现了服务器目录/public/marketing/和/public/development/及下面的文件,为它们生成了摘要信息。(数据资产发现和分类软件相当于本申请中的获取模块,用于获取数据资产)
(4)用户为目录/public/marketing/设置了标签marketing-protected,为目录/public/development/标签dev-protected 。
(5)用户在控制器上配置安全防护策略表,下发到各个数据泄漏检测和防护软件;其中,安全防护策略表如表1所示,可选地,安全防护策略表中包括各个数据资产对应的标签信息及各个标签信息对应的防护策略,如permit表示允许用户对标签信息对应的数据资产进行下载、传输、查阅等操作;deny表示禁止用户对标签信息对应的数据资产进行下载、传输、查阅等操作。可选地,安全防护策略表包括标签信息及标签信息对应的安全防护策略的基础上,还可以包括源地址、目的地址等信息,从而实现在进行数据资产的防护时,不仅仅考虑数据资产对应的标签信息,还考虑到用户对应的主机信息及数据资产对应的主机信息,使得数据资产的防护更加的具有针对性和精细化,提高数据资产防护的效率和准确性。
表1
;
(6)当市场部的主机请求文件服务器上的/public/marketing/price.pdf时,文件服务器上的数据泄漏检测和防护软件会对网络流量进行深度内容检测,发现载荷是一个文件,会计算文件的摘要信息,由摘要信息找到对应的标签 marketing-protected,然后用源ip地址10.1.2.10,目的ip地址10.1.1.10,以及标签marketing-protected查询安全防护策略表,匹配到策略1,将流量放行。(数据泄漏检测和防护软件相当于本申请中的防护模块,用于基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护)
当研发部的主机请求文件服务器上的/public/marketing/price.pdf时,文件服务器上的数据泄漏检测和防护软件会对网络流量进行深度内容检测,发现载荷是一个文件,会计算文件的摘要信息,由摘要信息找到对应的标签marketing-protected,然后用源ip地址10.1.3.10,目的ip地址10.1.1.10,以及标签marketing-protected查询安全防护策略表,匹配到策略3,将流量丢弃。
当有市场部的主机主动将price.pdf发送给研发的主机时,市场部主机上的数据泄漏检测和防护软件会对网络流量进行深度内容检测,发现payload是一个文件,会计算文件的摘要信息,由摘要信息找到对应的标签marketing-protected,然后用源ip地址10.1.2.10,目的ip地址10.1.3.10,以及标签marketing-protected查询安全防护策略表,匹配到策略3,将流量丢弃。
(7)/public/development/下的文档product.pdf,原来它只能被研发主机访问,如果它需要让市场部的主机也能访问,只需要将/public/development/product.pdf打上标签marketing-protected 。
上述实施例的数据资产防护方法,不限文件类型和文件内容,适用范围广;而且可以基于标签、防护策略的配置使得后期维护灵活方便,也可以根据实际需求,为同一个文件打上不同的标签,通过标签信息将文件从不同的维度进行分类,并配置各个维度的标签信息对应的安全防护策略,使得数据资产的防护更加的具有针对性和精细化,提高数据资产防护的效率和准确性。上述实施例的数据资产防护方法,不用进行类型识别、文件格式转换、关键字过滤等操作,节省系统的计算资源,提高数据资产防护的效率和准确性。
示例性的,如图3所示,数据泄漏防护系统如图3所示,数据泄漏防护系统包括数据安全策略管理软件(数据安全策略管理软件相当于本申请中的确定模块,用于确定所述数据资产的摘要信息、标签信息和安全防护策略表)、数据资产发现和分类软件(数据资产发现和分类软件相当于本申请中的获取模块,用于获取数据资产)、数据泄漏检测和防护软件(数据泄漏检测和防护软件相当于本申请中的防护模块,用于基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护)。数据安全策略管理软件、数据资产发现和分类软件可以根据需要运行在不同的主机上;数据泄漏检测和防护软件,可以部署到单独的硬件网关上保护内网,也可以部署在主机上,保护主机、主机上的虚拟机、主机上的容器等等,部署灵活。
其数据防护过程具体如下:
1. 数据资产发现和分类软件对需要保护的数据资产,比如文件系统、数据库和对象存储服务器进行定期扫描,生成数据资产的摘要信息。
2. 产生标签。既可以对已经扫描的数据资产手动添加标签信息,也可以在扫描过程中通过规则自动添加标签信息。
其中,标签信息的生成包括两种方式:
i) 对已经扫描的数据资产手动添加标签信息
ii) 扫描过程中通过规则自动添加标签信息
3. 数据资产发现和分类软件将数据资产的摘要信息、标签信息发送给数据安全策略管理软件。
4. 数据安全策略管理软件将数据资产的摘要信息、标签信息发送给数据安全策略管理软件下发给各个数据泄漏检测和防护点。
5. 数据泄漏检测和防护点基于摘要和标签信息,对网络流量进行检测和防护。
上述实施例的数据资产防护方法,自动扫描需要保护的目录和文件,生成新的文件摘要信息,不需要人工维护;而且基于文件的摘要信息,不会产生误报和漏报,提升数据资产防护的效率和准确性。
下面对本发明提供的数据泄漏防护装置进行描述,下文描述的数据泄漏防护装置与上文描述的数据泄漏防护方法可相互对应参照。
图4是本发明提供的数据泄漏防护装置的结构示意图。本实施例提供的数据泄漏防护装置,包括:
获取模块710,用于获取至少一个数据资产;
确定模块720,用于确定数据资产的摘要信息和标签信息;摘要信息用于对数据资产进行标识;各个数据资产的摘要信息各不相同;标签信息用于表示数据资产的目标特征信息;
防护模块730,用于基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;安全防护策略表用于表示各个标签信息对应的数据资产的安全防护策略。
可选地,所述确定模块720,具体用于:对各个数据资产进行扫描,基于目标算法,生成各个数据资产的摘要信息;
根据各个数据资产的目标属性,确定各个数据资产对应的至少一个标签信息。
可选地,所述确定模块720,还用于:生成摘要信息和标签信息的对应关系;一个摘要信息对应至少一个标签信息。
可选地,所述防护模块730,具体用于:获取目标用户的数据资产请求;
确定数据资产请求所对应的目标数据资产的摘要信息、标签信息;
根据目标数据资产的摘要信息、标签信息和安全防护策略表,对目标数据资产进行数据泄漏防护。
可选地,所述防护模块730,具体用于:基于目标算法,生成目标数据资产对应的摘要信息;
根据目标数据资产对应的摘要信息及摘要信息和标签信息的对应关系,确定目标数据资产对应的标签信息。
可选地,所述防护模块730,具体用于:将目标数据资产的标签信息和安全防护策略表中的标签信息进行关联,确定目标数据资产的安全防护策略;
根据目标数据资产的安全防护策略,对目标数据资产进行数据泄漏防护。
本发明实施例的装置,其用于执行前述任一方法实施例中的方法,其实现原理和技术效果类似,此次不再赘述。
图5示例了一种电子设备的实体结构示意图,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行数据泄漏防护方法,该方法包括:获取至少一个数据资产;确定数据资产的摘要信息和标签信息;摘要信息用于对数据资产进行标识;各个数据资产的摘要信息各不相同;标签信息用于表示数据资产的目标特征信息;基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;安全防护策略表用于表示各个标签信息对应的数据资产的安全防护策略。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的数据泄漏防护方法,该方法包括:数据泄漏防护方法,该方法包括:获取至少一个数据资产;确定数据资产的摘要信息和标签信息;摘要信息用于对数据资产进行标识;各个数据资产的摘要信息各不相同;标签信息用于表示数据资产的目标特征信息;基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;安全防护策略表用于表示各个标签信息对应的数据资产的安全防护策略。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的数据泄漏防护方法,该方法包括:获取至少一个数据资产;确定数据资产的摘要信息和标签信息;摘要信息用于对数据资产进行标识;各个数据资产的摘要信息各不相同;标签信息用于表示数据资产的目标特征信息;基于数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;安全防护策略表用于表示各个标签信息对应的数据资产的安全防护策略。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种数据泄漏防护方法,其特征在于,包括:
获取至少一个数据资产;
确定所述数据资产的摘要信息和标签信息;所述摘要信息用于对所述数据资产进行标识;各个所述数据资产的摘要信息各不相同;所述标签信息用于表示所述数据资产的目标特征信息;
基于所述数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;所述安全防护策略表用于表示各个所述标签信息对应的数据资产的安全防护策略。
2.根据权利要求1所述的数据泄漏防护方法,其特征在于,所述确定所述数据资产的摘要信息和标签信息,包括:
对各个所述数据资产进行扫描,基于目标算法,生成各个所述数据资产的摘要信息;
根据各个所述数据资产的目标属性,确定各个所述数据资产对应的至少一个标签信息。
3.根据权利要求2所述的数据泄漏防护方法,其特征在于,在确定所述数据资产的摘要信息和标签信息之后,还包括:
生成所述摘要信息和所述标签信息的对应关系;一个所述摘要信息对应至少一个标签信息。
4.根据权利要求3所述的数据泄漏防护方法,其特征在于,所述基于所述数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护,包括:
获取目标用户的数据资产请求;
确定所述数据资产请求所对应的目标数据资产的摘要信息、标签信息;
根据所述目标数据资产的摘要信息、标签信息和所述安全防护策略表,对所述目标数据资产进行数据泄漏防护。
5.根据权利要求4所述的数据泄漏防护方法,其特征在于,所述确定所述数据资产请求所对应的目标数据资产的摘要信息、标签信息,包括:
基于所述目标算法,生成所述目标数据资产对应的摘要信息;
根据所述目标数据资产对应的摘要信息及所述摘要信息和所述标签信息的对应关系,确定所述目标数据资产对应的标签信息。
6.根据权利要求5所述的数据泄漏防护方法,其特征在于,所述根据所述目标数据资产的摘要信息、标签信息和所述安全防护策略表,对所述目标数据资产进行数据泄漏防护,包括:
将所述目标数据资产的标签信息和所述安全防护策略表中的标签信息进行关联,确定所述目标数据资产的安全防护策略;
根据所述目标数据资产的安全防护策略,对所述目标数据资产进行数据泄漏防护。
7.一种数据泄漏防护装置,其特征在于,包括:
获取模块,用于获取至少一个数据资产;
确定模块,用于确定所述数据资产的摘要信息和标签信息;所述摘要信息用于对所述数据资产进行标识;各个所述数据资产的摘要信息各不相同;所述标签信息用于表示所述数据资产的目标特征信息;
防护模块,用于基于所述数据资产的摘要信息、标签信息和安全防护策略表,进行数据泄漏防护;所述安全防护策略表用于表示各个所述标签信息对应的数据资产的安全防护策略。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述的数据泄漏防护方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述的数据泄漏防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310364510.6A CN116089987A (zh) | 2023-04-07 | 2023-04-07 | 数据泄漏防护方法、装置和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310364510.6A CN116089987A (zh) | 2023-04-07 | 2023-04-07 | 数据泄漏防护方法、装置和设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116089987A true CN116089987A (zh) | 2023-05-09 |
Family
ID=86199500
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310364510.6A Pending CN116089987A (zh) | 2023-04-07 | 2023-04-07 | 数据泄漏防护方法、装置和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116089987A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017186084A1 (zh) * | 2016-04-26 | 2017-11-02 | 龙璠 | 一种基于物联网技术的非定置租赁物运营管理方法及系统 |
CN109361692A (zh) * | 2018-11-20 | 2019-02-19 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于识别资产类型及自发现漏洞的web防护方法 |
CN111866027A (zh) * | 2020-08-10 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种基于情报分析的资产安全评估方法及系统 |
CN113987044A (zh) * | 2021-10-28 | 2022-01-28 | 完美世界互动(北京)科技有限公司 | 资产数据的导入处理方法、装置及电子设备 |
CN114048508A (zh) * | 2021-11-23 | 2022-02-15 | 北京神舟航天软件技术股份有限公司 | 一种基于标签的信息资产强制访问控制方法 |
CN114841481A (zh) * | 2021-02-01 | 2022-08-02 | 腾讯科技(深圳)有限公司 | 一种数据管理方法、装置及存储介质 |
-
2023
- 2023-04-07 CN CN202310364510.6A patent/CN116089987A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017186084A1 (zh) * | 2016-04-26 | 2017-11-02 | 龙璠 | 一种基于物联网技术的非定置租赁物运营管理方法及系统 |
CN109361692A (zh) * | 2018-11-20 | 2019-02-19 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于识别资产类型及自发现漏洞的web防护方法 |
CN111866027A (zh) * | 2020-08-10 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种基于情报分析的资产安全评估方法及系统 |
CN114841481A (zh) * | 2021-02-01 | 2022-08-02 | 腾讯科技(深圳)有限公司 | 一种数据管理方法、装置及存储介质 |
CN113987044A (zh) * | 2021-10-28 | 2022-01-28 | 完美世界互动(北京)科技有限公司 | 资产数据的导入处理方法、装置及电子设备 |
CN114048508A (zh) * | 2021-11-23 | 2022-02-15 | 北京神舟航天软件技术股份有限公司 | 一种基于标签的信息资产强制访问控制方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9135322B2 (en) | Environment classification | |
US8091127B2 (en) | Heuristic malware detection | |
US9654510B1 (en) | Match signature recognition for detecting false positive incidents and improving post-incident remediation | |
US8683216B2 (en) | Identifying polymorphic malware | |
CN102414677B (zh) | 包括自动分类规则的数据分类流水线 | |
US8312553B2 (en) | Mechanism to search information content for preselected data | |
EP1549012A1 (en) | Method and system for identifying the content of files in a network | |
US20100254615A1 (en) | Methods for document-to-template matching for data-leak prevention | |
US20070280112A1 (en) | System and method for controlling and tracking network content flow | |
US20180131708A1 (en) | Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names | |
US10313377B2 (en) | Universal link to extract and classify log data | |
EP1590748A2 (en) | Identifying similarities and history of modification within large collections of unstructured data | |
JP2006155535A (ja) | 個人情報探索プログラム,個人情報管理システムおよび個人情報管理機能付き情報処理装置 | |
US8522248B1 (en) | Monitoring delegated operations in information management systems | |
CN116089987A (zh) | 数据泄漏防护方法、装置和设备 | |
US20230252140A1 (en) | Methods and systems for identifying anomalous computer events to detect security incidents | |
US20200334353A1 (en) | Method and system for detecting and classifying malware based on families | |
CN1969524B (zh) | 识别网络中的文件内容的方法和系统 | |
CN111461727B (zh) | 交易行为的监控预警方法、装置、存储介质和智能设备 | |
CN111429110B (zh) | 门店标准化审核方法、装置、设备及存储介质 | |
RU101224U1 (ru) | Система выявления и минимизации риска ложных срабатываний | |
US8868720B1 (en) | Delegation of discovery functions in information management system | |
CN112564928A (zh) | 服务分类方法及设备、互联网系统 | |
CN110457268B (zh) | 一种支持业务安全标记的文件操作审计方法及装置 | |
US11968222B2 (en) | Supply chain attack detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230509 |
|
RJ01 | Rejection of invention patent application after publication |