发明内容
为了解决以上至少一项技术问题,本申请提供一种企业涉密数据访问管理方法、装置、电子设备及介质。
第一方面,本申请提供一种企业涉密数据访问管理方法,包括:
接收本次的涉密数据访问请求并分析,确定对应的访问请求账号;
基于历史涉密访问数据,获取所述访问请求账号对涉密数据隔离区中涉密数据的历史子访问记录;
根据所述历史子访问记录,确定本次的访问密码生成方式并生成对应的涉密数据访问密码;
将所述涉密数据访问密码发送给所述访问请求账号对应的验证设备,以使所述访问请求账号通过所述涉密数据访问密码访问所述涉密数据隔离区。
通过采用上述技术方案,可以获取本次对涉密数据隔离区进行访问的访问请求账号对应的历史访问记录。通过对历史访问记录的分析,确定出访问密码生成方式,进而生成涉密数据访问密码。使得对应员工每一次访问涉密数据隔离区时,可以根据历史访问记录生成仅可使用一次的涉密数据访问密码,避免盗窃密码者使用一个密码多次访问涉密数据隔离区中的涉密数据,减小损失。同时由于每个访问请求账号的历史访问记录不相同,因此涉密数据访问密码的生成过程较为复杂,避免被轻易破解,整体提升了涉密数据的安全性。
可选的,所述涉密数据访问请求携带有本次的访问请求发起时刻;所述根据所述历史子访问记录,确定本次的访问密码生成方式并生成对应的涉密数据访问密码,包括:
分析所述访问请求账号对应的历史子访问记录是否为空;
若为空,则随机生成临时访问密码,确定为本次的涉密数据访问密码;
若不为空,则根据所述历史子访问记录和所述本次的访问请求发起时刻,生成即时访问密码,确定为本次的涉密数据访问密码。
通过采用上述技术方案,通过分析历史访问记录是否为空,来确定本次的访问密码生成方式为随机生成临时访问密码还是根据对应的历史子访问记录和访问请求发起时刻生成即时访问密码。对于初次访问和多次访问的访问请求账号来说生成涉密数据访问密码的方式不相同,两种情况下的涉密数据访问密码很难以相同的方式破解,提升了涉密数据的安全性。
可选的,所述随机生成临时访问密码,包括:
根据历史访问记录,确定不同访问请求账号各自对应的历史子访问记录;
从不同访问请求账号各自对应的历史子访问记录中,提取不同访问请求账号首次访问所述涉密数据隔离区时访问的若干涉密文件;
根据所述若干涉密文件的涉密编码,生成临时访问密码。
通过采用上述技术方案,根据不同访问请求账号首次访问的涉密数据的涉密编码生成临时访问密码,是的临时访问密码与首次访问的涉密文件相关联,提升了临时访问密码的可靠性。
可选的,所述根据所述历史子访问记录和所述访问请求发起时刻,生成即时访问密码,包括:
根据所述访问请求账号对应的历史子访问记录,确定所述访问请求账号每一次访问所述涉密数据隔离区的历史访问请求发起时刻;
根据若干历史访问请求时刻和所述访问请求发起时刻,确定与本次的访问请求发起时刻间隔时间最短的历史访问请求时刻对应的历史局部访问记录;
分析所述历史局部访问记录,确定对应访问的涉密文件的涉密编码,并根据所述涉密编码生成第一访问密码;
根据所述本次的访问请求发起时刻生成第二访问密码,并基于所述第一访问密码和所述第二访问密码,生成即时访问密码。
通过采用上述技术方案,将即时访问密码分为了两个部分分别使用不同的方式生成,提升了即时访问密码的复杂性,进而提升了涉密数据的安全性。
可选的,所述方法还包括:
根据所述间隔时间最短的历史访问请求时刻对应的历史局部访问记录,确定对应使用的第一生成方式的序号和第二生成方式;
按照若干第一生成方式的排序和所述历史子访问记录对应的第一生成方式的序号,确定所述涉密数据访问请求对应使用的第一生成方式;
基于若干第二生成方式和所述历史子访问记录对应的第二生成方式,随机确定所述涉密数据访问请求对应使用的第二生成方式;
按照所述涉密数据访问请求对应使用的第一生成方式生成第一访问密码,按照所述涉密数据访问请求对应使用的第二生成方式生成第二访问密码。
通过采用上述技术方案,采用不同的挑选方式,为本次的涉密数据访问请求使用的第一生成方式和第二生成方式进行了选取,提升了第一访问密码和第二访问密码的复杂性和多变性,提升了破解的难度,进而提升了涉密数据的安全性。
可选的,所述方法还包括:
从所述间隔时间最短的历史访问请求时刻对应的历史局部访问记录中,获取历史访问的涉密文件的数量;
根据每一涉密文件的平均访问时长,确定所述历史访问的涉密文件的数量对应的本次访问时长;
将所述本次访问时长与所述即时访问密码关联,以确定所述访问请求账号对应的员工本次访问的有效时间。
通过采用上述技术方案,根据平均访问时长和访问请求账号上一次访问的涉密文件的数量确定出本次访问的有效时间,避免访问请求账号访问时间异常难以被察觉,提升涉密数据的安全性。
可选的,所述方法还包括:
接收待存储的涉密数据,将所述待存储的涉密数据按照最小文件进行拆分,得到若干涉密文件;
将每一涉密文件进行涉密编码后写入所述涉密数据隔离区,所述每一涉密文件的涉密编码唯一不重复。
通过采用上述技术方案,通过对涉密数据拆分得到的若干涉密文件进行唯一不重复的编码,作为后续涉密访问数据密码的生成基础,涉密文件与涉密数据访问密码产生联系,更难被破解,进而提升涉密数据的安全性。
第二方面,本申请提供一种企业涉密数据访问管理装置,包括:
访问请求账号确定模块,用于接收本次的涉密数据访问请求并分析,确定对应的访问请求账号;
历史子访问记录获取模块,用于基于历史涉密访问数据,获取所述访问请求账号对涉密数据隔离区中涉密数据的历史子访问记录;
涉密数据访问密码生成模块,用于根据所述历史子访问记录,确定本次的访问密码生成方式并生成对应的涉密数据访问密码;
涉密数据隔离区访问模块,用于将所述涉密数据访问密码发送给所述访问请求账号对应的验证设备,以使所述访问请求账号通过所述涉密数据访问密码访问所述涉密数据隔离区。
可选的,所述涉密数据访问请求携带有本次的访问请求发起时刻;所述涉密数据访问密码生成模块具体用于:
分析所述访问请求账号对应的历史子访问记录是否为空;
若为空,则随机生成临时访问密码,确定为本次的涉密数据访问密码;
若不为空,则根据所述历史子访问记录和所述本次的访问请求发起时刻,生成即时访问密码,确定为本次的涉密数据访问密码。
可选的,所述涉密数据访问密码生成模块具体用于:
根据历史访问记录,确定不同访问请求账号各自对应的历史子访问记录;
从不同访问请求账号各自对应的历史子访问记录中,提取不同访问请求账号首次访问所述涉密数据隔离区时访问的若干涉密文件;
根据所述若干涉密文件的涉密编码,生成临时访问密码。
可选的,所述涉密数据访问密码生成模块具体用于:
根据所述访问请求账号对应的历史子访问记录,确定所述访问请求账号每一次访问所述涉密数据隔离区的历史访问请求发起时刻;
根据若干历史访问请求时刻和所述访问请求发起时刻,确定与本次的访问请求发起时刻间隔时间最短的历史访问请求时刻对应的历史局部访问记录;
分析所述历史局部访问记录,确定对应访问的涉密文件的涉密编码,并根据所述涉密编码生成第一访问密码;
根据所述本次的访问请求发起时刻生成第二访问密码,并基于所述第一访问密码和所述第二访问密码,生成即时访问密码。
可选的,所述企业涉密数据访问管理装置还包括访问密码生成模块,用于:
根据所述间隔时间最短的历史访问请求时刻对应的历史局部访问记录,确定对应使用的第一生成方式的序号和第二生成方式;
按照若干第一生成方式的排序和所述历史子访问记录对应的第一生成方式的序号,确定所述涉密数据访问请求对应使用的第一生成方式;
基于若干第二生成方式和所述历史子访问记录对应的第二生成方式,随机确定所述涉密数据访问请求对应使用的第二生成方式;
按照所述涉密数据访问请求对应使用的第一生成方式生成第一访问密码,按照所述涉密数据访问请求对应使用的第二生成方式生成第二访问密码。
可选的,所述企业涉密数据访问管理装置还包括有效时间确定模块,用于:
从所述间隔时间间隔最短的历史访问请求时刻对应的历史子局部访问记录中,获取历史访问的涉密文件的数量;
根据每一涉密文件的平均访问时长,确定所述历史访问的涉密文件的数量对应的本次访问时长;
将所述本次访问时长与所述即时访问密码关联,以确定所述访问请求账号对应的员工本次访问的有效时间。
可选的,所述企业涉密数据访问管理装置还包括涉密编码模块,用于:
接收待存储的涉密数据,将所述待存储的涉密数据按照最小文件进行拆分,得到若干涉密文件;
将每一涉密文件进行涉密编码后写入所述涉密数据隔离区,所述每一涉密文件的涉密编码唯一不重复。
第三方面,本申请提供一种电子设备,包括:存储器和处理器,所述存储器上存储有能够被处理器加载并执行第一方面的方法的计算机程序。
第四方面,本申请提供一种计算机可读存储介质,存储有能够被处理器加载并执行第一方面的方法的计算机程序。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
企业涉密数据大致包括例如生产配方、源代码等的技术信息和例如财务信息、经营策略等的经营信息两个方面。这些涉密数据是企业发展的重要支撑。由于涉密数据一般面向与企业的大部分员工,可能不同级别的员工具有不同涉密数据读取的权限,但是他们都有访问涉密数据的资格。因此企业的涉密数据的安全性在企业发展过程中有至关重要的作用。
目前很多企业会为设置统一的访问密码,让员工能够访问涉密数据,为了保证安全性,可能会每间隔一段时间进行一次密码的更新。但是频繁的更新密码可能会产生由于遗忘密码导致的访问效率低的问题,对员工造成困扰,并且员工的统一的秘钥若是被窃取,窃取者可以在未被发现期间频繁多次的访问涉密数据,导致造成企业的较大损失。因此很多企业会使用简单的随机验证码进行涉密数据的访问,但是简单的随机验证码通常可能由数字0-9进行随机组合,或者按照一定的规则排布,比较容易被破解。
基于此,本申请提供一种企业涉密数据监测方法、装置、电子设备及存储介质。接收涉密数据访问请求并分析,确定对应的访问请求账号。然后基于历史涉密访问数据,获取访问请求账号对应的历史访问记录,再根据历史访问记录,确定访问密码生成方式并生成对应的涉密数据访问密码。将涉密数据访问密码发送给对应员工的验证设备,以使员工访问涉密数据隔离区。将员工的访问密码与员工的历史访问记录关联,生成专属于员工本人的访问密码。
图1为本申请提供的一种应用场景示意图。在图1的应用场景中,企业涉密数据监测方法可以搭建在涉密数据管理设备上。当涉密数据管理设备接收到员工的发送设备发送的涉密数据访问请求时,可以分析确定出对应访问请求账号的历史访问记录。然后可以基于历史访问记录生成该访问请求账号对应的员工能够使用的涉密数据访问密码,发送到员工的验证设备上。
具体的实现方式可以参考以下实施例。
图2为本申请一实施例提供的一种企业涉密数据访问管理方法的流程图,本实施例的方法可以应用于以上场景中的涉密数据管理设备。如图2所示的,该方法包括:
S201、接收本次的涉密数据访问请求并分析,确定对应的访问请求账号。
涉密数据访问请求可以用于表征员工想要访问涉密数据的请求,可以包含该请求的发送来源相关的信息,这些信息可以包含访问请求账号、访问请求发送的ip地址等。访问请求账号可以与员工身份进行绑定,每一个员工对应唯一的访问请求账号。
具体的,员工可以通过企业配置的电脑向涉密数据管理设备发送涉密数据访问请求。涉密数据管理设备可以对本次接收到道的涉密数据访问请求进行分析,确定该涉密数据访问请求携带的访问请求账号。
S202、基于历史涉密访问数据,获取访问请求账号对涉密数据隔离区中涉密数据的历史子访问记录。
历史涉密访问数据可以是本次访问之前企业所有的访问请求账号,对涉密数据隔离区中涉密数据进行访问时记录的数据,可以包括每一个访问请求账号每次访问了哪些涉密数据,每一次访问持续多长时间,访问时进行了什么样的操作等。涉密数据可以与企业涉及到的其他数据进行区分存储,其中涉密数据可以被单独存储在涉密数据隔离区中。
历史涉密访问数据可以以访问请求账号为标签进行存储,每一标签下存储该访问请求账号对应的相关访问数据。其中,历史涉密访问数据可以包括每一次访问的是哪些涉密数据,这些访问过的涉密数据可以作为历史访问记录,历史访问记录也可以按照访问请求账号的不同进行划分,存储在对应的标签下,生成若干历史子访问记录。具体的,可以以该访问请求账号为查询条件,在历史涉密访问数据中查找该访问请求账号访问涉密数据隔离区中涉密数据的历史访问记录。
S203、根据历史子访问记录,确定本次的访问密码生成方式并生成对应的涉密数据访问密码。
访问密码生成方式可以用于表征根据什么数据、如何处理这些数据生成访问密码。
本次的访问请求账号可能是第一次访问涉密数据隔离区,也可能曾经访问过多次,可以为初次访问和多次访问的访问请求账号设置不同的访问密码生成方式。
具体的,可以通过分析历史子访问记录,确定该访问请求账号是否首次访问涉密数据隔离区。根据是否首次访问来确定使用何种访问密码生成方式,然后按照该访问密码生成方式调用对应的数据进行处理,生成对应的涉密数据访问密码。
S204、将涉密数据访问密码发送给访问请求账号对应的验证设备,以使访问请求账号通过涉密数据访问密码访问涉密数据隔离区。
可以为每一员工设置唯一不重复的访问请求账号,验证设备可以为该员工的私人设备,可以是与员工的身份关联的手机,可以接收涉密数据管理设备发送的、携带着涉密数据访问密码的短信或邮件。每一员工的验证设备的信息可以与该员工的访问请求账号关联存储,可以根据访问请求账号确定对应的验证设备。
具体的,可以根据访问请求账号从预先存储的验证设备的信息中查找对应的验证设备,然后向该验证设备以短信或邮件的方式发送涉密数据访问密码。访问请求账号可以通过输入涉密数据访问密码的方式,通过涉密数据隔离区的拦截,对涉密数据进行访问。
本实施例可以获取本次对涉密数据隔离区进行访问的访问请求账号对应的历史访问记录。通过对历史访问记录的分析,确定出访问密码生成方式,进而生成涉密数据访问密码。使得对应员工每一次访问涉密数据隔离区时,可以根据历史访问记录生成仅可使用一次的涉密数据访问密码,避免盗窃密码者使用一个密码多次访问涉密数据隔离区中的涉密数据,减小损失。同时由于每个访问请求账号的历史访问记录不相同,因此涉密数据访问密码的生成过程较为复杂,避免被轻易破解,整体提升了涉密数据的安全性。
在一些实施例中,涉密数据访问请求携带有本次的访问请求发起时刻;可以通过分析对应的历史子访问记录是否为空来确定本次的访问密码生成方式。具体的,分析访问请求账号对应的历史子访问记录是否为空;若为空,则随机生成临时访问密码,确定为本次的涉密数据访问密码;若不为空,则根据历史子访问记录和本次的访问请求发起时刻,生成即时访问密码,确定为本次的涉密数据访问密码。
历史访问记录中可以包括以不同访问请求账号进行划分的历史子访问记录。临时访问密码可以用于表征历史访问记录为空时的涉密数据访问密码,即时访问密码可以用于表征历史访问记录不为空时的涉密数据访问密码。每一次访问时的访问请求发起时刻可以是涉密数据管理设备接收到对应的涉密数据访问请求的时刻。
在一些实现方式中,历史访问记录中可以只包括曾经访问过涉密数据隔离区的访问请求账号和其对应的历史子访问记录。此时可以以访问请求账号为标签,分析历史访问记录,若历史访问记录中不存在该访问请求账号,也就不存在对应的历史子访问记录,则可确定访问请求账号对应的历史子访问记录为空,反之则确定为访问请求账号对应的历史子访问记录不为空。
在另一些实现方式中,历史访问记录中可以包括企业中所有被允许访问涉密数据隔离区的员工对应的访问请求账号。每一个访问请求账号进行一次访问,对应的历史子访问记录对应存储在访问请求账号下,若某一访问请求账号未进行过访问,历史访问记录中则可以只包含该访问请求账号,但是不包含对应的历史子访问记录。此时以访问请求账号为标签在历史访问记录中进行查找时,若访问请求账号下没有对应的历史子访问记录,则确定为访问请求账号对应的历史子访问记录为空,反之则确定为访问请求账号对应的历史子访问记录不为空。
具体的,如果该访问请求账号对应的历史子访问记录为空,可以将0-9数字的随机组合,再与本次的访问请求时刻进行组合,生成临时访问密码;也可以基于历史访问记录中每一个访问请求账号每一次访问时的访问请求时刻生成;还可以基于历史访问记录中每一个访问请求账号首次访问时访问的涉密数据生成。然后可以将生成的临时访问密码确定为本次的涉密数据访问密码。如果该访问请求账号对应的历史子访问记录不为空,则可以结合该访问请求账号对应的历史子访问记录和本次的访问请求发起时刻的相关数据生成及时访问密码,确定为本次的涉密数据访问密码。
本实施例通过分析历史访问记录是否为空,来确定本次的访问密码生成方式为随机生成临时访问密码还是根据对应的历史子访问记录和访问请求发起时刻生成即时访问密码。对于初次访问和多次访问的访问请求账号来说生成涉密数据访问密码的方式不相同,两种情况下的涉密数据访问密码很难以相同的方式破解,提升了涉密数据的安全性。
在一些实施例中,当本次的访问请求账号对应的历史子访问记录为空时,可以根据不同访问请求账号首次访问涉密数据隔离区时访问的涉密文件来生成临时访问密码。具体的,根据历史访问记录,确定不同访问请求账号各自对应的历史子访问记录;从不同访问请求账号各自对应的历史子访问记录中,提取不同访问请求账号首次访问涉密数据隔离区时访问的若干涉密文件;根据若干涉密文件的涉密编码,生成临时访问密码。
涉密数据隔离区中的涉密数据可以包括若干种形式的若干涉密文件,例如文档类型、音频类型以及图片类型等。涉密编码可以是每一涉密文件的唯一编号,可以用于区分不同的涉密文件,该涉密编码可以进行更换,但是更换前后的涉密文件不存在重复的涉密编码。
具体的,可以以不同的访问请求账号为标签,在历史访问记录中查找各自对应的历史子访问记录。然后确定出对应访问请求账号在首次访问时访问了哪些涉密文件,提取这些涉密文件的涉密编码,可以将涉密编码进行随机组合,或者按照每一个涉密文件的访问先后对涉密编码进行排序。可以对组合/排序后的数据中相同的元素进行处理再得到临时访问密码。
例如组合/排序后的数据为2A7C23D6A9A22A,此时相同的元素包括2和A,元素2有4个,元素A有4个,可以将数据处理为424A7C3D69,后续可以继续进行其他运算处理。在实际的实现过程中,组合/排序后的数据可能较长,对于其中的各个元素的处理方式可以不相同。
本实施例根据不同访问请求账号首次访问的涉密数据的涉密编码生成临时访问密码,是的临时访问密码与首次访问的涉密文件相关联,提升了临时访问密码的可靠性。
在一些实施例中,可以在历史访问记录中查找与本次访问间隔时间最短的一次访问对应的历史子访问记录,基于此生成即时访问密码。具体的,根据访问请求账号对应的历史子访问记录,确定访问请求账号每一次访问涉密数据隔离区的历史访问请求发起时刻;根据若干历史访问请求时刻和访问请求发起时刻,确定与本次的访问请求发起时刻间隔时间最短的历史访问请求时刻对应的历史局部访问记录;分析历史局部访问记录,确定对应访问的涉密文件的涉密编码,并根据涉密编码生成第一访问密码;根据本次的访问请求发起时刻生成第二访问密码,并基于第一访问密码和第二访问密码,生成即时访问密码。
历史涉密访问数据中可以包含历史访问记录、不同访问请求账号的历史子访问记录对应的访问请求发起时刻,历史访问记录可以按照访问请求账号划分为若干个历史子访问记录,每一历史子访问记录又可以包含对应访问请求账号每一次进行访问时的历史局部访问记录。
可以将本次访问之前每一次访问的访问请求发起时刻作为历史访问请求发起时刻。即时访问密码可以分为两个部分,一部分可以为根据涉密编码生成的第一访问密码,另一部分可以为根据本次的访问请求账号对应的访问请求发起时刻生成的第二访问密码。
具体的,可以在访问请求账号对应的历史子访问记录中查找到该访问请求账号每一次访问涉密数据隔离区时的历史访问请求发起时刻。然后在若干个历史访问请求发起时刻中查找出与本次的访问请求发起时刻间隔时间最短的历史访问请求时刻对应的历史局部访问记录,即该访问请求账号上一次访问涉密数据隔离区的历史局部访问记录。然后可以从该历史局部访问记录中得到对应访问的涉密文件的涉密编码,可以按照上述实施例中的数据处理方式,将最近一次访问的涉密编码进行处理,生成第一访问密码。然后可以将本次的访问请求发起时刻对应的数据,作为第二访问密码,例如本次的访问请求发起时刻为下午2:30,那么可以将230作为第二访问密码。
在一些实现方式中,可以在第一访问密码的结尾加上第二访问密码,整体作为即时访问密码,一同进行输入。
在另一些实现方式中,也可以先输入第一访问密码,进入第二级密码输入处,输入第二访问密码。
本实施例将即时访问密码分为了两个部分分别使用不同的方式生成,提升了即时访问密码的复杂性,进而提升了涉密数据的安全性。
在一些实施例中,第一访问密码可以设置若干第一生成方式,第一访问密码可以设置若干第二生成方式,可以根据与本次访问间隔时间最短的一次访问对应的历史局部访问记录,确定要用哪一个第一生成方式,对应生成第一访问密码。然后随机确定一种上一次未使用的第二生成方式,生成第二访问密码。具体的,根据间隔时间最短的历史访问请求时刻对应的历史局部访问记录,确定对应使用的第一生成方式的序号和第二生成方式;按照若干第一生成方式的排序和历史子访问记录对应的第一生成方式的序号,确定涉密数据访问请求对应使用的第一生成方式;基于若干第二生成方式和历史子访问记录对应的第二生成方式,随机确定涉密数据访问请求对应使用的第二生成方式;按照涉密数据访问请求对应使用的第一生成方式生成第一访问密码,按照涉密数据访问请求对应使用的第二生成方式生成第二访问密码。
第一生成方式可以用于表征生成第一访问密码的方式,第二生成方式可以用于表征生成第二访问密码的方式。第一生成方式和第二生成方式可以是随机生成,也可以是简单的运算,还可以是数据处理的算法。在一些实现方式中,一个即时访问密码对应的第一生成方式和第二生成方式可以是相同的,也可以是不相同的。可以获取预先存储的第一访问密码的若干第一生成方式和第二访问密码的若干第二生成方式,其中每一第一生成方式可以按照录入时间进行编号并排序。历史子访问记录中可以存储访问时使用的第一生成方式和第二生成方式。
具体的,通过分析上一次访问时的历史局部访问记录,确定出上一次访问时使用的第一生成方式和第二生成方式,对应确定第一生成方式的序号。然后可以按照若干第一生成方式的排序,确定排序在上一次使用的第一生成方式之后的序号的第一生成方式,作为本次涉密数据访问请求对应使用的第一生成方式。然后从若干第二生成方式中剔除上一次访问时使用的第二生成方式,随机选择剩余的第二生成方式,作为本次涉密数据访问请求对应使用的第二生成方式。然后按照本次涉密数据访问请求对应的第一生成方式和第二生成方式分别生成第一访问数据和第二访问数据。
例如,第一生成方式有A1,A2,A3和A4四种算法,A1对应序号1,A,对应序号2,A3对应序号3,A4对应序号4;第二生成方式有B1,B2和B3三种算法。该访问请求账号上一次访问时使用了A2和B1来生成对应的涉密数据访问密码,本次选择第一生成方式时,选择序号2后的序号3对应的A3,选择第二生成方式时剔除上一次使用的B1,在B2和B3中随机选择一种,因此本次使用的可以为A3和B2,也可以为A3和B3。
本实施例采用不同的挑选方式,为本次的涉密数据访问请求使用的第一生成方式和第二生成方式进行了选取,提升了第一访问密码和第二访问密码的复杂性和多变性,提升了破解的难度,进而提升了涉密数据的安全性。
在一些实施例中,可以为本次进行访问的访问请求账号设置本次访问的有效时间。具体的,从间隔时间最短的历史访问请求时刻对应的历史局部访问记录中,获取历史访问的涉密文件的数量;根据每一涉密文件的平均访问时长,确定历史访问的涉密文件的数量对应的本次访问时长;将本次访问时长与即时访问密码关联,以确定访问请求账号对应的员工本次访问的有效时间。
每一访问请求账号在每一次访问涉密数据隔离区的时候,访问的涉密文件和每一访问的时长都可以进行存储,作为历史涉密访问数据的一部分。可以将历史涉密访问数据中所有访问请求账号的最近一次访问的总访问时长平均分配到访问过的总的涉密文件上,作为每一涉密文件的平均访问时长。
具体的,可以从该访问请求账号上一次访问时的历史局部访问记录中获取对应访问过的涉密文件的数量。然后可以对上一次访问的涉密文件的数量与平均访问时长进行计算,计算得到的访问时长可以作为本次访问时长。然后可以将即使访问密码的有效时间设置为本次访问时长。
本实施例根据平均访问时长和访问请求账号上一次访问的涉密文件的数量确定出本次访问的有效时间,避免访问请求账号访问时间异常难以被察觉,提升涉密数据的安全性。
在一些实施例中,可以将待存储的涉密数据按照最小文件进行拆分,对拆分得到的若干涉密文件进行唯一的涉密编码的设置。具体的,接收待存储的涉密数据,将待存储的涉密数据按照最小文件进行拆分,得到若干涉密文件;将每一涉密文件进行涉密编码后写入涉密数据隔离区,每一涉密文件的涉密编码唯一不重复。
最小文件可以是每种形式的涉密数据的最小格式,例如图片类型的涉密数据的最小文件可以是图片本身,文件包类型的涉密数据可以进行拆分,得到其中的文档、图片以及音频等形式的最小文件。待存储的涉密数据可以由允许进行数据传输的电脑、手机等传输设备传输到涉密数据管理设备。
具体的,涉密数据管理设备在接收到传输进来的待存储的涉密数据时,先按照最小文件进行拆分,得到若干涉密文件。可以将企业中不同的部门编号,不同部门涉及到的不同的项目编号等数据作为涉密编码的基础。可以为每一涉密文件随机进行涉密编码,然后写入到涉密数据隔离区中。需要说明的是,每一涉密文件的涉密编码不会与其他涉密文件重复。
本实施例通过对待存储的涉密数据拆分得到的若干涉密文件进行唯一不重复的编码,作为后续涉密访问数据密码的生成基础,涉密文件与涉密数据访问密码产生联系,更难被破解,进而提升涉密数据的安全性。
在另一些实施例中,可以按照预设检测频率检测当前是否存在访问请求账号访问涉密数据隔离区;若不存在,则将若干涉密文件的涉密编码进行重新分配;若存在,则实时检测正在访问的访问请求账号的访问过程,当访问过程结束时未检测到新的访问请求账号访问涉密数据隔离区时,将若干涉密文件的涉密编码进行重新分配。
在另一些实施例中,可以将即时访问密码和时间间隔最短的历史访问请求时刻对应的历史子访问记录的历史即时访问密码,作为本次访问的目标即时访问密码,然后可以将目标即时访问密码发送给对应的验证设备。
图3为本申请一实施例提供的一种企业涉密数据访问管理装置的结构示意图,如图3所示的,本实施例的企业涉密数据访问管理装置300包括:访问请求账号确定模块301、历史子访问记录获取模块302、涉密数据访问密码生成模块303和涉密数据隔离区访问模块304。
访问请求账号确定模块301,用于接收本次的涉密数据访问请求并分析,确定对应的访问请求账号;
历史子访问记录获取模块302,用于基于历史涉密访问数据,获取访问请求账号对涉密数据隔离区中涉密数据的历史子访问记录;
涉密数据访问密码生成模块303,用于根据历史子访问记录,确定本次的访问密码生成方式并生成对应的涉密数据访问密码;
涉密数据隔离区访问模块304,用于将涉密数据访问密码发送给访问请求账号对应的验证设备,以使访问请求账号通过涉密数据访问密码访问涉密数据隔离区。
可选的,涉密数据访问请求携带有本次的访问请求发起时刻;涉密数据访问密码生成模块303具体用于:
分析访问请求账号对应的历史子访问记录是否为空;
若为空,则随机生成临时访问密码,确定为本次的涉密数据访问密码;
若不为空,则根据历史子访问记录和本次的访问请求发起时刻,生成即时访问密码,确定为本次的涉密数据访问密码。
可选的,涉密数据访问密码生成模块303具体用于:
根据历史访问记录,确定不同访问请求账号各自对应的历史子访问记录;
从不同访问请求账号各自对应的历史子访问记录中,提取不同访问请求账号首次访问涉密数据隔离区时访问的若干涉密文件;
根据若干涉密文件的涉密编码,生成临时访问密码。
可选的,涉密数据访问密码生成模块303具体用于:
根据访问请求账号对应的历史子访问记录,确定访问请求账号每一次访问涉密数据隔离区的历史访问请求发起时刻;
根据若干历史访问请求时刻和访问请求发起时刻,确定与本次的访问请求发起时刻间隔时间最短的历史访问请求时刻对应的历史局部访问记录;
分析历史局部访问记录,确定对应访问的涉密文件的涉密编码,并根据涉密编码生成第一访问密码;
根据本次的访问请求发起时刻生成第二访问密码,并基于第一访问密码和第二访问密码,生成即时访问密码。
可选的,企业涉密数据访问管理装置300还包括访问密码生成模块305,用于:
根据间隔时间最短的历史访问请求时刻对应的历史局部访问记录,确定对应使用的第一生成方式的序号和第二生成方式;
按照若干第一生成方式的排序和历史子访问记录对应的第一生成方式的序号,确定涉密数据访问请求对应使用的第一生成方式;
基于若干第二生成方式和历史子访问记录对应的第二生成方式,随机确定涉密数据访问请求对应使用的第二生成方式;
按照涉密数据访问请求对应使用的第一生成方式生成第一访问密码,按照涉密数据访问请求对应使用的第二生成方式生成第二访问密码。
可选的,企业涉密数据访问管理装置300还包括有效时间确定模块306,用于:
从间隔时间间隔最短的历史访问请求时刻对应的历史子局部访问记录中,获取历史访问的涉密文件的数量;
根据每一涉密文件的平均访问时长,确定历史访问的涉密文件的数量对应的本次访问时长;
将本次访问时长与即时访问密码关联,以确定访问请求账号对应的员工本次访问的有效时间。
可选的,企业涉密数据访问管理装置300还包括涉密编码模块307,用于:
接收待存储的涉密数据,将待存储的涉密数据按照最小文件进行拆分,得到若干涉密文件;
将每一涉密文件进行涉密编码后写入涉密数据隔离区,每一涉密文件的涉密编码唯一不重复。
本实施例的装置,可以用于执行上述任一实施例的方法,其实现原理和技术效果类似,此处不再赘述。
图4为本申请一实施例提供的一种电子设备的结构示意图,如图4所示,本实施例的电子设备400可以包括:存储器401和处理器402。
存储器401上存储有能够被处理器402加载并执行上述实施例中方法的计算机程序。
其中,处理器402和存储器401相连,如通过总线相连。
可选地,电子设备400还可以包括收发器。需要说明的是,实际应用中收发器不限于一个,该电子设备400的结构并不构成对本申请实施例的限定。
处理器402可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器402也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线可包括一通路,在上述组件之间传送信息。总线可以是PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器401可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器401用于存储执行本申请方案的应用程序代码,并由处理器402来控制执行。处理器402用于执行存储器401中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,电子设备包括但不限于:移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。还可以为服务器等。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
本实施例的电子设备,可以用于执行上述任一实施例的方法,其实现原理和技术效果类似,此处不再赘述。
本申请还提供一种计算机可读存储介质,存储有能够被处理器加载并执行如上实施例中的方法的计算机程序。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。