CN116522369A - 一种数据保护方法和数据围栏系统 - Google Patents
一种数据保护方法和数据围栏系统 Download PDFInfo
- Publication number
- CN116522369A CN116522369A CN202310802904.5A CN202310802904A CN116522369A CN 116522369 A CN116522369 A CN 116522369A CN 202310802904 A CN202310802904 A CN 202310802904A CN 116522369 A CN116522369 A CN 116522369A
- Authority
- CN
- China
- Prior art keywords
- data
- written
- module
- storage medium
- detection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000001514 detection method Methods 0.000 claims abstract description 90
- 230000007246 mechanism Effects 0.000 claims abstract description 12
- 230000000977 initiatory effect Effects 0.000 claims description 28
- 239000000284 extract Substances 0.000 claims description 8
- 230000001960 triggered effect Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 10
- 230000000694 effects Effects 0.000 abstract description 7
- 230000007547 defect Effects 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 132
- 230000008569 process Effects 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种数据保护方法和数据围栏系统,方法包括:在存储管理模块中通过管理表管控写入存储介质中的数据及对应的数据保护要求,并通过风险检测模块记录写入存储介质中的数据的数据保护要求;风险检测模块侦测用户端向存储管理模块发送的数据访问请求,并确定请求访问数据;风险检测模块确定是否拦截数据访问请求;在外发模块侦测到存储管理模块从存储介质中读取数据时,外发模块通过管理表和风险检测模块,查询读取数据对应的数据保护要求;当数据保护要求达到设定等级时,外发模块触发对应的外发管控机制。本发明提出的技术方案旨在解决现有技术中数据围栏系统的数据处理量大,拦截效率不高和效果不佳的弊端。
Description
技术领域
本发明涉及数据传输技术领域,具体涉及一种数据保护方法和一种数据围栏系统。
背景技术
随着大数据、移动互联网、云计算、物联网、智能终端等新兴信息技术快速发展,数据安全已无法依靠现有网络防护设备实现。数据安全对企业生存发展有着举足轻重的影响,近年来,企业由于自身的安全防护机制不严谨,引发的数据安全事件频发,数据资产的外泄、破坏都会导致企业无可挽回的经济损失和核心竞争力缺失。因此需要采用数据围栏来进行数据拦截。
数据围栏是一套数据安全防护整体解决方案,提供数据监测能力,防止数据外泄、盗用等问题造成企业信誉、资金等相关损失。
现行的数据围栏主要用于对外发数据进行拦截,具体的,数据围栏必须对待发送文件的文件格式进行语法解析,将文件中的文字内容撷取出来,并进一步地解读文件是否包括敏感数据。从而,数据围栏要处理的数据量巨大,导致数据拦截效率低,或者由于数据处理量大,而导致不能实现良好的拦截效果。
本发明提出一种数据保护方法及数据围栏系统,可以降低数据拦截时的数据处理量,提高数据拦截的效果和效率。
发明内容
本发明的主要目的是提供一种数据保护方法和一种数据围栏系统,旨在解决现有技术中数据围栏系统的数据处理量大,拦截效率不高和效果不佳的弊端。
为实现上述目的,本发明提出的一种数据保护方法应用于数据围栏系统,所述数据围栏系统包括风险检测模块、存储管理模块、外发模块和存储介质;所述方法包括如下步骤:
在存储管理模块中通过管理表管控写入存储介质中的数据及对应的数据保护要求,并通过风险检测模块记录写入存储介质中的数据的数据保护要求;
风险检测模块侦测用户端向所述存储管理模块发送的数据访问请求,并确定请求访问数据;
风险检测模块根据发起数据访问请求的用户端的实时风险和请求访问数据的数据保护要求,确定是否拦截数据访问请求;
在所述外发模块侦测到存储管理模块从存储介质中读取数据时,所述外发模块通过管理表和风险检测模块,查询读取数据对应的数据保护要求;
当数据保护要求达到设定等级时,所述外发模块触发对应的外发管控机制。
优选地,所述在存储管理模块中通过管理表管控写入存储介质中的数据及对应的数据保护要求,并通过风险检测模块记录写入存储介质中的数据的数据保护要求的步骤,包括:
当存储介质与存储管理模块连接时,在存储管理模块创建与连接的存储介质关联的管理表;
当向存储管理模块发出写入数据请求时,风险检测模块从待写数据中提取关键信息,以确定待写数据的数据保护要求;
判断待写数据是否为管理表的前两个数据;
若待写数据为管理表的前两个数据,为待写数据创建对应的链接点,并在新的链接点中记录链接顺序,其中,第一个链接点的链接顺序为1,第二个链接点的链接顺序为2;
若待写数据不是管理表的前两个数据,将待写数据的数据保护要求与管理表中的其他写入数据的数据保护要求进行比对;
若待写数据的数据保护要求与上一写入数据相同,或待写数据的数据保护要求与之前的写入数据均不同,则将上一写入数据作为衔接数据;
若待写数据的数据保护要求与上一写入数据不同,但与之前的其他写入数据相同,按照数据写入顺序往前查找最近的数据保护要求相同的写入数据作为衔接数据;
在衔接数据对应的链接点后插入新的链接点,在新的链接点中记录链接顺序,其中,待写数据对应的链接点的链接顺序与衔接数据对应的链接点的链接顺序连续;
更新管理表中位于待写数据的链接点之后的各个链接点的链接顺序,并向存储介质中写入待写数据;
在风险检测模块中更新不同数据保护要求的写入数据对应的链接顺序区间。
优选地,所述方法,还包括:
存储管理模块侦测无数据保护要求的写入数据在存储介质中的占比,当占比达到设定值时,存储管理模块从管理表中删除无数据保护要求的写入数据对应的链接点,以实现管理表的轻量化;
所述当向存储管理模块发出写入数据请求时,风险检测模块从待写数据中提取关键信息,以确定待写数据的数据保护要求的步骤之后,还包括:
将无数据保护要求的待写数据跳过在管理表中新建链接点的步骤,直接存储至存储介质。
优选地,风险检测模块设置有预测模型;所述风险检测模块根据发起数据访问请求的用户端的实时风险和请求访问数据的数据保护要求,确定是否拦截数据访问请求的步骤,包括:
根据请求访问数据,从管理表中查找对应的链接点;
将查找到的链接点的链接顺序数据与风险检测模块记录的链接顺序区间进行比对,确定链接点对应的请求访问数据对应的数据保护要求;
风险检测模块构建基于数据访问请求的输入数据;
将输入数据输入预测模型,以通过预测数据访问请求的风险等级,赋予用户端访问权限;
判断用户端赋予的访问权限与请求访问数据的数据保护要求是否匹配;
若是,风险检测模块通过数据访问请求;
若否,风险检测模块拦截数据访问请求。
优选地,所述风险检测模块构建基于数据访问请求的输入数据的步骤,包括:
获取用户端的初始访问权限;
获取数据访问请求的数据类型;
获取数据访问请求的发起时间;
获取用户端在发起数据访问请求的设定时段内的访问请求密度;
获取所述存储管理模块在数据访问请求时段内的数据流;
根据用户端的初始访问权限、数据类型、发起时间、访问请求密度和所述数据流,构建基于数据访问请求的输入数据。
优选地,所述通过预测数据访问请求的风险等级,赋予用户端访问权限的步骤,具体为:
确定用户端初始访问权限对应的第一分值集合,其中,为第i种访问权限在第一分值集合对应的第i个第一分值,1≤i≤I,I为第一分值集合中的分值数量;
确定数据类型对应的第二分值集合,其中,/>为第j种数据类型在第二分值集合中对应的第j个第二分值,1≤j≤J,J为第二分值集合中的分值数量;
确定发起时间对应的第三分值集合,其中,/>为第k个发起时间在第三分值集合中对应的第k个第三分值,1≤k≤K,K为第三分值集合中的分值数量;
确定访问请求密度对应的第四分值集合,其中,/>为第/>种访问请求密度在第四分值集合中对应的第/>个第四分值,1≤l≤L,L为第四分值集合中的分值数量;
确定数据流对应的第五分值集合,其中,/>为第m种数据流在第五分值集合中对应的第m个第五分值,1≤m≤M,M为第五分值集合中的分值数量;
从而,输入数据为;
;
其中,Y为风险分值,y2为第二分值对应的第二系数,y3为第三分值对应的第三系数,y4为第四分值对应的第四系数,y5为第五分值对应的第五系数;y2、y3、y4、y5均大于0;均大于或等于0;
确定风险分值Y对应的风险等级,根据风险等级确定用户端的访问权限。
优选地,所述方法,还包括:
在向存储管理模块发出写入数据请求时,或在风险检测模块通过数据访问请求之后,控制存储管理模块与存储介质通信连接。
优选地,所述在所述外发模块侦测到存储管理模块从存储介质中读取数据时,所述外发模块通过管理表和风险检测模块,查询读取数据对应的数据保护要求的步骤,包括:
在所述外发模块侦测到存储管理模块从存储介质中读取数据时,所述外发模块通过查询管理表,确定读取数据的链接顺序数据;
所述外发模块从风险检测模块中查询链接顺序数据对应的数据保护要求。
优选地,所述方法还包括:
获取与存储管理模块关联的各个存储介质;
判断关联的各个存储介质是否处于局域网中;
所述风险检测模块禁止未处于局域网中的存储介质与存储管理模块连接。
此外,为实现上述目的,本发明还提出一种数据围栏系统,用于执行上述任一项所述的方法;所述数据围栏系统包括风险检测模块、存储管理模块、外发模块和存储介质;
存储管理模块,用于通过管理表管控写入存储介质中的数据及对应的数据保护要求;
风险检测模块,用于记录写入存储介质中的数据的数据保护要求,侦测用户端向所述存储管理模块发送的数据访问请求,并确定请求访问数据,根据发起数据访问请求的用户端和请求访问数据的数据保护要求,确定是否拦截数据访问请求;
所述外发模块,用于在侦测到存储管理模块从存储介质中读取数据时,通过管理表和风险检测模块,查询读取数据对应的数据保护要求;当数据保护要求达到设定等级时,触发对应的外发管控机制。
本发明的技术方案中,数据围栏系统并不通过对待发送文件的文件格式进行语法解析,撷取文字内容,并进一步地解读文件是否包括敏感数据的方式,来侦测外发数据。具体的,本发明在数据向存储介质存储的过程,即对数据的数据保护要求进行确认,并以管理表的管理写入数据的数据保护要求,通过风险检测模块记录写入存储介质中的数据的数据保护要求。而这种管理表记录数据保护要求的方式,对于形成数据围栏具有如下帮助:
第一,在有用户端请求存储管理模块向存储介质读出数据时,风险检测模块通过查询查询用户端请求访问数据的数据保护要求,确认用户端请求访问数据的数据保护要求如何,并且,风险检测模块还能获取用户端发起数据访问请求之时的实时风险,当用户端实时风险不足以达到数据保护要求时(用户端自身存在数据泄露风险时,例如用户端自身存在异常,则拦截数据访问请求),则直接拦截数据访问请求,从而可以实现第一步的围栏保护;
第二,存入存储介质的数据,都通过管理表记录了数据保护要求,在用户端发起的数据访问请求被风险检测模块通过的情况下,存储管理模块可以读取到写入数据,并准备外发,此时,数据围栏系统不需要对待发送数据进行语法解析、文字撷取和解读文件敏感数据的操作,只要通过查询管理表和风险检测模块记录的数据保护要求,即可判断是否需要拦截外发数据。这种管理表的查询快速有效,处理数据量小,数据围栏系统可以同时对多个外发请求进行快速处理,从而,有利于解决现有技术中数据围栏系统的数据处理量大,拦截效率不高、拦截效果不佳的弊端。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明数据保护方法一实施例的流程图;
图2为本发明一实施例中数据围栏系统的框架图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明中如涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“连接”、“固定”等应做广义理解,例如,“固定”可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
另外,本发明各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
请参阅图1至图2,在本发明的数据保护方法的第一实施例中,数据保护方法应用于数据围栏系统,所述数据围栏系统包括风险检测模块、存储管理模块、外发模块和存储介质;所述方法包括如下步骤:
步骤S10,在存储管理模块中通过管理表管控写入存储介质中的数据及对应的数据保护要求,并通过风险检测模块记录写入存储介质中的数据的数据保护要求;
步骤S20,风险检测模块侦测用户端向所述存储管理模块发送的数据访问请求,并确定请求访问数据;
步骤S30,风险检测模块根据发起数据访问请求的用户端的实时风险和请求访问数据的数据保护要求,确定是否拦截数据访问请求;
步骤S40,在所述外发模块侦测到存储管理模块从存储介质中读取数据时,所述外发模块通过管理表和风险检测模块,查询读取数据对应的数据保护要求;
步骤S50,当数据保护要求达到设定等级时,所述外发模块触发对应的外发管控机制。
本发明的技术方案中,数据围栏系统并不通过对待发送文件的文件格式进行语法解析,撷取文字内容,并进一步地解读文件是否包括敏感数据的方式,来侦测外发数据。具体的,本发明在数据向存储介质存储的过程,即对数据的数据保护要求进行确认,并以管理表的管理写入数据的数据保护要求,通过风险检测模块记录写入存储介质中的数据的数据保护要求。而这种管理表记录数据保护要求的方式,对于形成数据围栏具有如下帮助:
第一,在有用户端请求存储管理模块向存储介质读出数据时,风险检测模块通过查询查询用户端请求访问数据的数据保护要求,确认用户端请求访问数据的数据保护要求如何,并且,风险检测模块还能获取用户端发起数据访问请求之时的实时风险,当用户端实时风险不足以达到数据保护要求时(用户端自身存在数据泄露风险时,例如用户端自身存在异常,则拦截数据访问请求),则直接拦截数据访问请求,从而可以实现第一步的围栏保护;
第二,存入存储介质的数据,都通过管理表记录了数据保护要求,在用户端发起的数据访问请求被风险检测模块通过的情况下,存储管理模块可以读取到写入数据,并准备外发,此时,数据围栏系统不需要对待发送数据进行语法解析、文字撷取和解读文件敏感数据的操作,只要通过查询管理表和风险检测模块记录的数据保护要求,即可判断是否需要拦截外发数据。这种管理表的查询快速有效,处理数据量小,数据围栏系统可以同时对多个外发请求进行快速处理,从而,有利于解决现有技术中数据围栏系统的数据处理量大,拦截效率不高、拦截效果不佳的弊端。
具体的,存储管理模块和存储介质可以一一对应,即一个存储管理模块仅对应管理一个存储介质。或者,可以采用一个存储管理模块同时管理多个存储介质。
在存储管理模块中,根据管理的存储介质的数量建立管理表,从而,当存储管理模块增加或者减少管理的存储介质时,都不会对其他存储介质的管理表产生影响。
本发明中,用户端读取存入存储介质的数据的权限并不是一直不变的,而是根据自身实时的风险情况动态变化的。例如,某些用户端被赋予了查询权限,但是风险检测模块在检测到用户端发起数据访问请求后,会侦测用户端的实时风险情况,若实时风险情况不能达到请求访问数据的数据保护要求,则拦截数据访问请求。
基于本发明的第一实施例,本发明的第二实施例中,所述步骤S10,包括:
步骤S11,当存储介质与存储管理模块连接时,在存储管理模块创建与连接的存储介质关联的管理表;
步骤S12,当向存储管理模块发出写入数据请求时,风险检测模块从待写数据中提取关键信息,以确定待写数据的数据保护要求;
步骤S13,判断待写数据是否为管理表的前两个数据;
若待写数据为管理表的前两个数据,则执行步骤S14:为待写数据创建对应的链接点,并在新的链接点中记录链接顺序,其中,第一个链接点的链接顺序为1,第二个链接点的链接顺序为2;
若待写数据不是管理表的前两个数据,则执行步骤S15:将待写数据的数据保护要求与管理表中的其他写入数据的数据保护要求进行比对;
若待写数据的数据保护要求与上一写入数据相同,或待写数据的数据保护要求与之前的写入数据均不同,则执行步骤S16:将上一写入数据作为衔接数据;
若待写数据的数据保护要求与上一写入数据不同,但与之前的其他写入数据相同,则执行步骤S17:按照数据写入顺序往前查找最近的数据保护要求相同的写入数据作为衔接数据;
步骤S18,在衔接数据对应的链接点后插入新的链接点,在新的链接点中记录链接顺序,其中,待写数据对应的链接点的链接顺序与衔接数据对应的链接点的链接顺序连续;
步骤S19,更新管理表中位于待写数据的链接点之后的各个链接点的链接顺序,并向存储介质中写入待写数据;
步骤S110,在风险检测模块中更新不同数据保护要求的写入数据对应的链接顺序区间。
在本实施例中,管理表中包括若干链接点,每当向存储介质写入一个数据,就在管理表中新增一个链接点,每个链接点记录的信息包括数据信息项和索引项;数据信息项用于记录写入数据的关键信息,索引项用于记录存储于同一存储介质的各个数据之间的链接顺序,其中,管理表中的各个链接点的链接顺序是会随时更新的,从而可以将数据保护要求相同的写入数据对应的链接点通过链接顺序连续排列在一起,而风险检测模块只要记录每一数据保护要求对应的链接顺序起点和链接顺序终点,即可形成各个数据保护要求分别对应的链接顺序区间。
例如,当管理表中已有x个链接点,当向存储介质写入一个新数据时,新建第x+1个链接点,其中,第x+1个链接点中,包括数据信息项和索引项,其中数据信息项包括待写数据的关键信息。
假设第x+1个链接点的数据保护要求与第x个链接点不同,而依次往前查找管理表的链接点,找到的最近的数据保护要求相同的写入数据为第z个数据(0<z<x),则在第z个链接点后插入这个新建的第x+1个链接点。从而,使得数据保护要求相同的数据对应的链接点在管理表中处于连续且相邻的位置。
此时,待写数据对应的链接点的链接顺序为z+1。更新管理表中位于待写数据的链接点之后的各个链接点的链接顺序,例如,原来的第z+1个链接点的链接顺序更新为z+2,原来的的第z+2个链接点的链接顺序更新为z+3,依次类推,原来的第x个链接点的链接顺序更新为x+1。
而在风险检测模块中,需要更新链接顺序,并更新每一数据保护要求对应的链接顺序区间。
待写数据的关键信息可以包括:数据密级,根据数据密级可以确定数据保护要求。而数据密级可以根据请求写入数据的用户端密级来确定、通过用户在写入数据时直接输入密级,或者可以通过密级确定机制来确定,例如,密级确定机制可以为:通过待写数据的数据类型、数据来源、文件名称、请求写入位置的其他文件密级属性共同确定待写数据密级。
当通过待写数据的数据类型、数据来源、文件名称、请求写入位置的其他文件密级属性对应的等级共同确定数据密级时,可以具体采用如下方案:
数据类型为:个人数据、部门数据、企业数据和行业数据中的一种,分别对应不同的密级;
数据来源可以为浏览器下载、财务软件导出、考勤系统导出、内部管理群组下载,分别对应不同的密级;
文件名称可以根据是否具有涉密关键词,以形成不同的密级;且文件名称的字数较少,相比排查文件内容,更有助于快速排查涉密关键词。
请求写入位置的其他文件密级属性,指的是请求写入位置的其他文件的密级最大占比。
从而,根据待写数据的数据类型、数据来源、文件名称、请求写入位置的其他文件密级属性对应的等级中的最高密级,确定数据密级。
例如,当待写数据的数据类型为企业数据(密级为中级),数据来源为财务软件(密级为中级),文件名称为“产品成本文件”(密级为高级),请求写入位置的其他文件密级最大占比为低密级,则四者的最高密集为高级,从而待写数据的关键信息为“数据密级为高级”,对应最高的数据保护要求。
又如,当待写数据的数据类型为个人数据(密级为非密),数据来源为考勤软件下载(密级为非密),文件名称为“考勤文件”(密级为非密),请求写入位置的其他文件密级属性最大占比为中等密级,则四者的最高密集为中等密级,从而待写数据的关键信息为“数据密级为中等密级”,对应中等的数据保护要求。
进一步的,待写数据的关键信息还可以进一步包括:数据类型、数据来源、数据摘要信息、数据大小、数据在存储介质的写入位置和数据写入时间。
其中,数据类型为:个人数据、部门数据、企业数据和行业数据中的一种。
在另一实施例中,所述数据围栏系统还可以进一步与分级模块通信连接,在向存储介质写入数据时,设定写入数据进行语义检测的触发条件(例如,数据类型为某种指定类型)。触发条件产生时,通过语义识别模块对待写数据进行语义分析识别,以确定待写数据对应的数据保护要求。语义识别模块将待写数据对应的数据保护要求返回至风险检测模块,从而风险检测模块可以在数据写入之时就确定数据保护要求。这种处理方式的优点在于:不需要在数据外发时通过数据围栏系统进行语义分析和识别才进行数据拦截,而是在数据存储之时,就采用数据围栏系统之外的语义分析识别模块分析数据保护要求,从而,在构成管理表的时候,就可以将数据保护要求相同的链接点链接在一起,并在风险检测模块中记录每个链接顺序具体对应的数据保护要求。相当于将语义分析和判断外发风险的过程在写入数据时就完成,并且通过数据围栏系统之外的模块完成,不占用数据围栏系统的处理资源,不会影响数据存入效率和数据拦截效率。
基于本发明的第二实施例,本发明的第三实施例中,所述方法,还包括:
步骤S60,存储管理模块侦测无数据保护要求的写入数据在存储介质中的占比,当占比达到设定值时,存储管理模块从管理表中删除无数据保护要求的写入数据对应的链接点,以实现管理表的轻量化;
所述步骤S12之后,还包括:
步骤S111,将无数据保护要求的待写数据跳过在管理表中新建链接点的步骤,直接存储至存储介质。
本发明中,存储管理模块不仅可以实现对密级数据的管理,还可以实现对非密级数据的管理。具体的,非密级数据和密级数据都可以在管理表中管理,若都在管理表中管理,则只要将非密级数据的数据保护要求设置为0即可。
然而,对于非密级数据,风险检测模块是可以根据数据保护要求为0直接通过数据访问请求的。
然而,在某些场景下,非密级数据占比较大,或者存储介质中存储的数据较多,或者存储介质的数据访问较为频繁,会需要频繁查找管理表。从而,到了非密级数据的占比达到设定值时,可以将管理表中对应的非密级数据的链接点删除。
进一步的,除了可以在管理表中删除非密级数据对应的链接点之外,由于管理表的结构简单,还可以在管理表中随时删除存储介质中删除数据对应的链接点。
基于本发明的第二实施例或第三实施例,本发明的第四实施例中,风险检测模块设置有预测模型;所述步骤S30,包括:
步骤S31,根据请求访问数据,从管理表中查找对应的链接点;
步骤S32,将查找到的链接点的链接顺序数据与风险检测模块记录的链接顺序区间进行比对,确定链接点对应的请求访问数据对应的数据保护要求;
步骤S33,风险检测模块构建基于数据访问请求的输入数据;
步骤S34,将输入数据输入预测模型,以通过预测数据访问请求的风险等级,赋予用户端访问权限;
步骤S35,判断用户端赋予的访问权限与请求访问数据的数据保护要求是否匹配;
若是,执行步骤S36:风险检测模块通过数据访问请求;
若否,执行步骤S37:风险检测模块拦截数据访问请求。
具体的:当用户端向所述存储管理模块发出数据访问请求时,在存储管理模块中通过查询管理表中每个链接点的数据信息项的方式,找到请求访问数据对应的链接点,从而可以确定该链接点的链接顺序。风险检测模块中记录有每个数据保护要求对应的链接顺序区间。从而找到链接顺序对应的链接顺序区间,根据链接顺序区间对应的数据保护要求,就可以确定请求访问数据的数据保护要求。
步骤S33和步骤S34用于评估用户端发起数据访问请求之时的实时风险情况,以根据实时风险情况对用户端授予不同的数据访问权限。
进一步的,本发明还包括:
判断发起数据访问请求的用户端是否具有存储介质的访问权限,其中,具有存储介质的访问权限指的是本来就预设有访问权限,或者具有访问存储介质的秘钥;
若是,则执行步骤S20至步骤S30;
若否,则风险检测模块在侦测到用户端向存储管理模块发起数据访问请求时,拦截数据访问请求。
在本发明中,数据保护要求具有不同保护级别,而赋予用户端的访问权限也有不同级别。其中,不同级别的访问权限能够访问不同数据保护要求的数据。
基于本发明的第四实施例,本发明的第五实施例中,所述步骤S33,包括:
步骤S331,获取用户端的初始访问权限;
步骤S332,获取数据访问请求的数据类型;
步骤S333,获取数据访问请求的发起时间;
步骤S334,获取用户端在发起数据访问请求的设定时段内的访问请求密度;
步骤S335,获取所述存储管理模块在数据访问请求时段内的数据流;
步骤S336,根据用户端的初始访问权限、数据类型、发起时间、访问请求密度和所述数据流,构建基于数据访问请求的输入数据。
本实施例中构建的输入数据,与用户端的初始访问权限、要求访问的数据、数据访问请求发起时段内用户端是否存在异常访问、存储管理模块是否存在异常数据流都存在相关关系。也就是说,本发明中确定是否要拦截用户端的数据访问请求,是跟用户端、存储管理模块是否存在异常情况相关的,通过侦测这种异常情况,来提高数据拦截的效果。
其中,用户端的初始访问权限指的是用户账号本身被赋予的访问权限。
数据类型可以根据数据的来源确定,数据来源可以为数据来源的用户端、数据来源的软件类型。
发起数据访问请求的设定时段可以根据需要设置,当用户发起数据访问请求的时间间隔小于设定间隔,则设定时段的长度为设定间隔的时长。当用户发起数据访问请求的时间间隔大于设定间隔,则设定时段的长度为预设长度。预设长度大于设定间隔。
基于本发明的第五实施例,本发明的第六实施例中,所述通过预测数据访问请求的风险等级,赋予用户端访问权限的步骤,具体为:
确定用户端初始访问权限对应的第一分值集合,其中,/>为第i种访问权限在第一分值集合对应的第i个第一分值,1≤i≤I,I为第一分值集合中的分值数量;
确定数据类型对应的第二分值集合,其中,/>为第j种数据类型在第二分值集合中对应的第j个第二分值,1≤j≤J,J为第二分值集合中的分值数量;
确定发起时间对应的第三分值集合,其中,/>为第k个发起时间在第三分值集合中对应的第k个第三分值,1≤k≤K,K为第三分值集合中的分值数量;
确定访问请求密度对应的第四分值集合,其中,/>为第/>种访问请求密度在第四分值集合中对应的第/>个第四分值,1≤l≤L,L为第四分值集合中的分值数量;
确定数据流对应的第五分值集合,其中,/>为第m种数据流在第五分值集合中对应的第m个第五分值,1≤m≤M,M为第五分值集合中的分值数量;
从而,输入数据为;
;
其中,Y为风险分值,y2为第二分值对应的第二系数,y3为第三分值对应的第三系数,y4为第四分值对应的第四系数,y5为第五分值对应的第五系数;y2、y3、y4、y5均大于0;均大于或等于0;
确定风险分值Y对应的风险等级,根据风险等级确定用户端的访问权限。
具体的,根据用户端初始访问权限确定第一分值,第一分值即初始访问权限对应的分值。在第一分值集合中,将每一访问权限对应一个第一分值。容易理解,用户端初始访问权限越高,则第一分值越高。
第二分值至第五分值,依次对应至第二个输入数据至第五个输入数据对应的分值。
采用第一分值为第一分值,扣除第二个输入数据至第五个输入数据对应的分值,从而本发明不会对用户端赋予比初始访问权限更高的权限。根据风险分值Y,从第一分值集合中找到相近的且小于风险分值的最大第一分值,从而根据最大第一分值可以确定风险分值Y对应的用户端的访问权限。
基于本发明的第四实施例至第六实施例,本发明的第七实施例中,所述方法,还包括:
步骤S70,在向存储管理模块发出写入数据请求时,或在风险检测模块通过数据访问请求之后,控制存储管理模块与存储介质通信连接。
在本实施例中,存储管理模块与存储介质并不是一直保持连接状态,具体的,在用户端向存储管理模块发出写入数据请求时,风险检测模块判断用户端具有写入权限时,则控制存储管理模块与存储介质通信连接。若风险检测模块判断用户端不具有写入权限时,则存储管理模块拒绝写入数据请求。此时,用户端可以向存储介质写入数据。
进一步的,在用户端向存储管理模块发送数据访问请求时,在风险检测模块通过数据访问请求之后,控制存储管理模块与存储介质通信连接。此时,存储管理模块可以从存储介质获取用户请求访问的数据。
基于本发明的第二实施例至第七实施例,本发明的第八实施例中,所述步骤S40包括:
步骤S41,在所述外发模块侦测到存储管理模块从存储介质中读取数据时,所述外发模块通过查询管理表,确定读取数据的链接顺序数据;
步骤S42,所述外发模块从风险检测模块中查询链接顺序数据对应的数据保护要求。
具体的,当存储管理模块从存储介质中读取数据后,存储管理模块并不直接将数据返回给用户端,而是将外发数据的请求在外发队列中等待,直至外发模块处理通过或者拦截。
具体的,在外发队列中,外发模块针对读取数据对应的数据保护要求,进行如下不同的处理:
第一,数据保护要求低于设定等级,此时,由于风险检测模块已经通过步骤S30检测过请求访问数据的用户端的初始权限、实时风险和请求访问数据的数据保护要求,并且未拦截数据访问请求,所以对于数据保护要求等级不高的数据从存储介质中读取出来准备外发时,外发模块可以不作出处理。
第二,数据保护要求达到设定等级,表明该项数据需要提供更严格的外发管控,此时,通过外发模块触发外发管控机制。
具体的,本实施例中的外发管控机制包括:等待读取数据审批解密、对读取数据加密后外发至用户端。
基于本发明的第一实施例至第八实施例,本发明的第九实施例中,所述方法,还包括:
步骤S80,获取与存储管理模块关联的各个存储介质;
步骤S90,判断关联的各个存储介质是否处于局域网中;
步骤S100,所述风险检测模块禁止未处于局域网中的存储介质与存储管理模块连接。
本实施例中,存储管理模块可以用于管理局域网中的各个存储介质的数据外发功能,或者用于管理局域网外部的用户端向局域网内的存储介质写入数据的功能。
具体的,存储介质可以是设置于计算机终端上的存储介质,也可以是未设置于计算机终端,而直接由存储管理模块管理的存储介质。
当存储介质为计算机终端上的存储介质时,计算机终端可以对存储介质进行正常的读写操作,但计算机终端未连接外部网络,不能对存储介质中存储的数据外发。计算机终端对自身连接的存储介质进行读写操作时,其角色相当于向存储介质写入数据的用户端,存储管理模块同样也要针对计算机终端执行步骤S10至步骤S30,此时,计算机终端针对连接的存储介质的初始访问权限为最高权限。
存储管理模块与各个计算机终端在局域网中通讯连接,且存储管理模块具有数据外发的端口。
此外,为实现上述目的,本发明还提出一种数据围栏系统,用于执行所述的方法;所述数据围栏系统包括风险检测模块、存储管理模块、外发模块和存储介质;
存储管理模块,用于通过管理表管控写入存储介质中的数据及对应的数据保护要求;
风险检测模块,用于记录写入存储介质中的数据的数据保护要求,侦测用户端向所述存储管理模块发送的数据访问请求,并确定请求访问数据,根据发起数据访问请求的用户端和请求访问数据的数据保护要求,确定是否拦截数据访问请求;
所述外发模块,用于在侦测到存储管理模块从存储介质中读取数据时,通过管理表和风险检测模块,查询读取数据对应的数据保护要求;当数据保护要求达到设定等级时,触发对应的外发管控机制。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。
Claims (10)
1.一种数据保护方法,其特征在于,应用于数据围栏系统,所述数据围栏系统包括风险检测模块、存储管理模块、外发模块和存储介质;所述方法包括如下步骤:
在存储管理模块中通过管理表管控写入存储介质中的数据及对应的数据保护要求,并通过风险检测模块记录写入存储介质中的数据的数据保护要求;
风险检测模块侦测用户端向所述存储管理模块发送的数据访问请求,并确定请求访问数据;
风险检测模块根据发起数据访问请求的用户端的实时风险和请求访问数据的数据保护要求,确定是否拦截数据访问请求;
在所述外发模块侦测到存储管理模块从存储介质中读取数据时,所述外发模块通过管理表和风险检测模块,查询读取数据对应的数据保护要求;
当数据保护要求达到设定等级时,所述外发模块触发对应的外发管控机制。
2.根据权利要求1所述的数据保护方法,其特征在于,所述在存储管理模块中通过管理表管控写入存储介质中的数据及对应的数据保护要求,并通过风险检测模块记录写入存储介质中的数据的数据保护要求的步骤,包括:
当存储介质与存储管理模块连接时,在存储管理模块创建与连接的存储介质关联的管理表;
当向存储管理模块发出写入数据请求时,风险检测模块从待写数据中提取关键信息,以确定待写数据的数据保护要求;
判断待写数据是否为管理表的前两个数据;
若待写数据为管理表的前两个数据,为待写数据创建对应的链接点,并在新的链接点中记录链接顺序,其中,第一个链接点的链接顺序为1,第二个链接点的链接顺序为2;
若待写数据不是管理表的前两个数据,将待写数据的数据保护要求与管理表中的其他写入数据的数据保护要求进行比对;
若待写数据的数据保护要求与上一写入数据相同,或待写数据的数据保护要求与之前的写入数据均不同,则将上一写入数据作为衔接数据;
若待写数据的数据保护要求与上一写入数据不同,但与之前的其他写入数据相同,按照数据写入顺序往前查找最近的数据保护要求相同的写入数据作为衔接数据;
在衔接数据对应的链接点后插入新的链接点,在新的链接点中记录链接顺序,其中,待写数据对应的链接点的链接顺序与衔接数据对应的链接点的链接顺序连续;
更新管理表中位于待写数据的链接点之后的各个链接点的链接顺序,并向存储介质中写入待写数据;
在风险检测模块中更新不同数据保护要求的写入数据对应的链接顺序区间。
3.根据权利要求2所述的数据保护方法,其特征在于,所述方法,还包括:
存储管理模块侦测无数据保护要求的写入数据在存储介质中的占比,当占比达到设定值时,存储管理模块从管理表中删除无数据保护要求的写入数据对应的链接点,以实现管理表的轻量化;
所述当向存储管理模块发出写入数据请求时,风险检测模块从待写数据中提取关键信息,以确定待写数据的数据保护要求的步骤之后,还包括:
将无数据保护要求的待写数据跳过在管理表中新建链接点的步骤,直接存储至存储介质。
4.根据权利要求2所述的数据保护方法,其特征在于,风险检测模块设置有预测模型;所述风险检测模块根据发起数据访问请求的用户端的实时风险和请求访问数据的数据保护要求,确定是否拦截数据访问请求的步骤,包括:
根据请求访问数据,从管理表中查找对应的链接点;
将查找到的链接点的链接顺序数据与风险检测模块记录的链接顺序区间进行比对,确定链接点对应的请求访问数据对应的数据保护要求;
风险检测模块构建基于数据访问请求的输入数据;
将输入数据输入预测模型,以通过预测数据访问请求的风险等级,赋予用户端访问权限;
判断用户端赋予的访问权限与请求访问数据的数据保护要求是否匹配;
若是,风险检测模块通过数据访问请求;
若否,风险检测模块拦截数据访问请求。
5.根据权利要求4所述的数据保护方法,其特征在于,所述风险检测模块构建基于数据访问请求的输入数据的步骤,包括:
获取用户端的初始访问权限;
获取数据访问请求的数据类型;
获取数据访问请求的发起时间;
获取用户端在发起数据访问请求的设定时段内的访问请求密度;
获取所述存储管理模块在数据访问请求时段内的数据流;
根据用户端的初始访问权限、数据类型、发起时间、访问请求密度和所述数据流,构建基于数据访问请求的输入数据。
6.根据权利要求5所述的数据保护方法,其特征在于,所述通过预测数据访问请求的风险等级,赋予用户端访问权限的步骤,具体为:
确定用户端初始访问权限对应的第一分值集合,其中,/>为第i种访问权限在第一分值集合对应的第i个第一分值,1≤i≤I,I为第一分值集合中的分值数量;
确定数据类型对应的第二分值集合,其中,/>为第j种数据类型在第二分值集合中对应的第j个第二分值,1≤j≤J,J为第二分值集合中的分值数量;
确定发起时间对应的第三分值集合,其中,/>为第k个发起时间在第三分值集合中对应的第k个第三分值,1≤k≤K,K为第三分值集合中的分值数量;
确定访问请求密度对应的第四分值集合,其中,/>为第/>种访问请求密度在第四分值集合中对应的第/>个第四分值,1≤l≤L,L为第四分值集合中的分值数量;
确定数据流对应的第五分值集合,其中,/>为第m种数据流在第五分值集合中对应的第m个第五分值,1≤m≤M,M为第五分值集合中的分值数量;
从而,输入数据为;
;
其中,Y为风险分值,y2为第二分值对应的第二系数,y3为第三分值对应的第三系数,y4为第四分值对应的第四系数,y5为第五分值对应的第五系数;y2、y3、y4、y5均大于0;均大于或等于0;
确定风险分值Y对应的风险等级,根据风险等级确定用户端的访问权限。
7.根据权利要求4所述的数据保护方法,其特征在于,所述方法,还包括:
在向存储管理模块发出写入数据请求时,或在风险检测模块通过数据访问请求之后,控制存储管理模块与存储介质通信连接。
8.根据权利要求2所述的数据保护方法,其特征在于,所述在所述外发模块侦测到存储管理模块从存储介质中读取数据时,所述外发模块通过管理表和风险检测模块,查询读取数据对应的数据保护要求的步骤,包括:
在所述外发模块侦测到存储管理模块从存储介质中读取数据时,所述外发模块通过查询管理表,确定读取数据的链接顺序数据;
所述外发模块从风险检测模块中查询链接顺序数据对应的数据保护要求。
9.根据权利要求1至8中任一项所述的数据保护方法,其特征在于,所述方法还包括:
获取与存储管理模块关联的各个存储介质;
判断关联的各个存储介质是否处于局域网中;
所述风险检测模块禁止未处于局域网中的存储介质与存储管理模块连接。
10.一种数据围栏系统,其特征在于,用于执行如权利要求1至9中任一项所述的方法;所述数据围栏系统包括风险检测模块、存储管理模块、外发模块和存储介质;
存储管理模块,用于通过管理表管控写入存储介质中的数据及对应的数据保护要求;
风险检测模块,用于记录写入存储介质中的数据的数据保护要求,侦测用户端向所述存储管理模块发送的数据访问请求,并确定请求访问数据,根据发起数据访问请求的用户端和请求访问数据的数据保护要求,确定是否拦截数据访问请求;
所述外发模块,用于在侦测到存储管理模块从存储介质中读取数据时,通过管理表和风险检测模块,查询读取数据对应的数据保护要求;当数据保护要求达到设定等级时,触发对应的外发管控机制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310802904.5A CN116522369B (zh) | 2023-07-03 | 2023-07-03 | 一种数据保护方法和数据围栏系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310802904.5A CN116522369B (zh) | 2023-07-03 | 2023-07-03 | 一种数据保护方法和数据围栏系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116522369A true CN116522369A (zh) | 2023-08-01 |
CN116522369B CN116522369B (zh) | 2023-09-19 |
Family
ID=87390686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310802904.5A Active CN116522369B (zh) | 2023-07-03 | 2023-07-03 | 一种数据保护方法和数据围栏系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116522369B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116886953A (zh) * | 2023-09-06 | 2023-10-13 | 湖南马栏山视频先进技术研究院有限公司 | 一种云存储视频数据的保护系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453274A (zh) * | 2016-09-22 | 2017-02-22 | 华北水利水电大学 | 一种智能数据安全管理控制系统和控制方法 |
US20180102902A1 (en) * | 2016-10-11 | 2018-04-12 | BicDroid Inc. | Methods, systems and computer program products for data protection by policing processes accessing encrypted data |
US20190012458A1 (en) * | 2017-07-10 | 2019-01-10 | Dell Products, Lp | System and method for a security filewall system for protection of an information handling system |
CN110502906A (zh) * | 2019-07-04 | 2019-11-26 | 北京泰立鑫科技有限公司 | 一种数据安全外发的方法和系统 |
US20200366704A1 (en) * | 2019-05-17 | 2020-11-19 | International Business Machines Corporation | Event data fencing based on vulnerability detection |
CN112328982A (zh) * | 2020-10-28 | 2021-02-05 | 苏州三六零智能安全科技有限公司 | 数据访问控制方法、装置、设备及存储介质 |
CN114282234A (zh) * | 2021-12-07 | 2022-04-05 | 咪咕音乐有限公司 | 数据保护方法、装置、设备及存储介质 |
CN115189938A (zh) * | 2022-07-06 | 2022-10-14 | 武汉极意网络科技有限公司 | 一种业务安全防护方法和装置 |
-
2023
- 2023-07-03 CN CN202310802904.5A patent/CN116522369B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453274A (zh) * | 2016-09-22 | 2017-02-22 | 华北水利水电大学 | 一种智能数据安全管理控制系统和控制方法 |
US20180102902A1 (en) * | 2016-10-11 | 2018-04-12 | BicDroid Inc. | Methods, systems and computer program products for data protection by policing processes accessing encrypted data |
US20190012458A1 (en) * | 2017-07-10 | 2019-01-10 | Dell Products, Lp | System and method for a security filewall system for protection of an information handling system |
US20200366704A1 (en) * | 2019-05-17 | 2020-11-19 | International Business Machines Corporation | Event data fencing based on vulnerability detection |
CN110502906A (zh) * | 2019-07-04 | 2019-11-26 | 北京泰立鑫科技有限公司 | 一种数据安全外发的方法和系统 |
CN112328982A (zh) * | 2020-10-28 | 2021-02-05 | 苏州三六零智能安全科技有限公司 | 数据访问控制方法、装置、设备及存储介质 |
CN114282234A (zh) * | 2021-12-07 | 2022-04-05 | 咪咕音乐有限公司 | 数据保护方法、装置、设备及存储介质 |
CN115189938A (zh) * | 2022-07-06 | 2022-10-14 | 武汉极意网络科技有限公司 | 一种业务安全防护方法和装置 |
Non-Patent Citations (1)
Title |
---|
陈敏儿: "大数据环境下信息安全问题及防范措施", 《网络安全技术与应用.》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116886953A (zh) * | 2023-09-06 | 2023-10-13 | 湖南马栏山视频先进技术研究院有限公司 | 一种云存储视频数据的保护系统 |
CN116886953B (zh) * | 2023-09-06 | 2023-11-24 | 湖南马栏山视频先进技术研究院有限公司 | 一种云存储视频数据的保护系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116522369B (zh) | 2023-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7627726B2 (en) | Systems and methods for managing content having a retention period on a content addressable storage system | |
US8572023B2 (en) | Data services framework workflow processing | |
US9037610B2 (en) | Fine-grained relational database access-control policy enforcement using reverse queries | |
CN116522369B (zh) | 一种数据保护方法和数据围栏系统 | |
US10417265B2 (en) | High performance parallel indexing for forensics and electronic discovery | |
US20040098405A1 (en) | System and Method for Automated Link Analysis | |
US20160283584A1 (en) | Grouping of Database Objects | |
US8965879B2 (en) | Unique join data caching method | |
CN102915376A (zh) | 检测数据库异常行为的方法和设备 | |
CN112463800A (zh) | 数据读取方法、装置、服务器及存储介质 | |
US11494512B2 (en) | Automatic enforcement of data use policy for machine learning applications | |
KR101104300B1 (ko) | 개인정보 데이터베이스의 접근을 위한 전용 툴을 포함한 접근 관리 시스템 및 방법 | |
US7152201B2 (en) | Write control method, structured document management apparatus, structured document edit apparatus, and program product | |
US20080016128A1 (en) | Apparatus and Method to Store and Manage Information and Meta Data | |
US20120089849A1 (en) | Cookie management system and method | |
JP5131062B2 (ja) | 文書管理プログラム、文書管理装置及び文書管理システム | |
US20080177777A1 (en) | Database management method, program thereof and database management apparatus | |
CN114817990A (zh) | 对敏感数据的管理方法、装置、电子设备及存储介质 | |
CN101052944B (zh) | 用于关系数据库中存储数据的细化访问控制的系统和方法 | |
CN112667896A (zh) | 一种基于网络行为推导的资产识别方法、计算机程序及存储介质 | |
CN116561825B (zh) | 数据安全管控方法、装置及计算机设备 | |
CN113316125B (zh) | 监控方法、分布式车载系统、交通工具和可读存储介质 | |
WO2011129930A1 (en) | Data services framework visibility component | |
CN115510437A (zh) | 一种sql注入攻击的检测方法、装置、设备及介质 | |
CN117453982A (zh) | 一种档案管理文件分类系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |