CN116684199A - 一种基于双重代理的数据资产安全保护系统和方法 - Google Patents

一种基于双重代理的数据资产安全保护系统和方法 Download PDF

Info

Publication number
CN116684199A
CN116684199A CN202310945548.2A CN202310945548A CN116684199A CN 116684199 A CN116684199 A CN 116684199A CN 202310945548 A CN202310945548 A CN 202310945548A CN 116684199 A CN116684199 A CN 116684199A
Authority
CN
China
Prior art keywords
data
asset
user
detection
data asset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310945548.2A
Other languages
English (en)
Inventor
韩晓丰
田江温
雷强
刘雪松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SICHUAN AOCHENG TECHNOLOGY CO LTD
Original Assignee
SICHUAN AOCHENG TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SICHUAN AOCHENG TECHNOLOGY CO LTD filed Critical SICHUAN AOCHENG TECHNOLOGY CO LTD
Priority to CN202310945548.2A priority Critical patent/CN116684199A/zh
Publication of CN116684199A publication Critical patent/CN116684199A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于双重代理的数据资产安全保护系统和方法,涉及数据处理技术领域,包括相互保持通信连接的客户端代理单元、服务端代理单元和系统数据总端,所述客户端代理单元用于用户登录至数据资产服务器访问数据资产,同时接收来自于系统数据总端的主动探测指令,所述服务端代理单元用于接收系统数据总端下发的进行主动探测指令,将通过主动探测得到的探测数据进行分类识别,所述系统数据总端用于以对探测数据进行分类整理,之后进行用户和数据的资产责属关系的归类和存储,并对异常分析结果发出安全防护处理指令。本发明明显提升了数据资产信息的扫描探测和采集效率,以及对数据资产和其对应的用户出现异常情况时的反应和处理效率。

Description

一种基于双重代理的数据资产安全保护系统和方法
技术领域
本发明涉及数据处理技术领域,具体涉及一种基于双重代理的数据资产安全保护系统和方法。
背景技术
随着互联网的普及和信息化的加速,数据资产已经成为企业、组织和个人的重要资产。然而,数据资产安全问题也日益突出,例如数据泄露、数据篡改、数据丢失等。为了提高对数据资产的安全保护作用,现有技术中通常采用的方法是对核心网域内部的数据交换节点和业务系统集群节点进行敏感数据资产扫描,可以发现和识别核心数据资产,从而对其进行管理和保护,确保数据资产的安全性和保密性。该方法目前存在部分明显缺陷,主要是从外部对数据资产相关数据进行单个数据端的扫描,使得扫描难以涵盖多类型数据资产信息;由于数据资产数量庞大,管理人员在获取到扫描出的异常数据后,难以对数据资产和其对应的异常用户同时进行实时监控和分析,同时由于数据资产的类型、来源、使用方式等多样化,管理人员很难准确地识别因此很难及时发现用户数据和数据资产出现的具体内容,从而难以采取有效的措施进行处理;不同的数据资产管理平台之间缺乏统一的管理标准,难以进行用户行为和数据资产的整合管理,这样会影响数据资产管理的一致性和可靠性。
发明内容
本发明目的在于提供一种基于双重代理的数据资产安全保护系统和方法,解决现有数据资产安全保护方法中,在数据整体化的识别访问和监管防护方面缺少多端分类的数据监管防护并导致安全防护效果不佳的问题。
本发明通过下述技术方案实现:
一种基于双重代理的数据资产安全保护系统,包括相互保持通信连接的客户端代理单元、服务端代理单元和系统数据总端,所述客户端代理单元用于用户登录至数据资产服务器访问数据资产,同时接收来自于系统数据总端的数据资产管理策略的主动探测指令,用以对用户访问时的用户数据和访问探测数据进行主动探测,并将主动探测得到的探测数据进行加密回传到系统数据总端;所述服务端代理单元用于定时检测在当前环境状态下的身份认证和控制数据资产服务器的接入权限,接收系统数据总端下发的数据资产管理策略后进行主动探测,将通过主动探测得到的探测数据进行分类识别,并进行加密回传到系统数据总端所述系统数据总端用于在进行数据资产访问时对客户端代理单元采集到的探测数据进行存储并分析用户数据是否存在异常行为数据,向服务端代理单元发出数据资产管理策略用以进行与用户信息相关联的主动探测,并从服务端代理单元获取探测数据以对数据资产数据进行分类整理,之后将分析后的用户数据和数据资产数据进行资产责属关系的归类和存储,并对异常分析结果发出安全防护处理指令。在现有的数据资产管理中,主要通过从外部对数据资产相关数据进行单个数据端的扫描,使得扫描难以涵盖多类型数据资产信息;由于数据资产数量庞大,管理人员在获取到扫描出的异常数据后,难以对数据资产和其对应的异常用户同时进行实时监控和分析,同时由于数据资产的类型、来源、使用方式等多样化,管理人员很难准确地识别因此很难及时发现用户数据和数据资产出现的具体内容,从而难以采取有效的措施进行处理,导致数据资产安全保护效果降低,对此,本发明提供了一种基于双重代理的数据资产安全保护系统和方法,目的在于解决现有数据资产安全保护方法中数据的识别访问和监管防护方面缺少多端分类数据监管导致安全防护效果不佳的问题。
进一步地,所述客户端代理单元主动探测的探测数据包括个人信息数据、资产检索数据和流量报文数据,所述流量报文数据为用户在主动访问操作服务端数据资产和访问应用、系统或网站的操作过程产生的数据。
进一步地,所述客户端代理单元、服务端代理单元上均设有用于主动探测的探测子单元,所述探测子单元包括:
目标探测模块:用于根据业务需求和数据资产管理策略的不同来确定需要探测的数据资产目标,并根据不同的探测目标和需求来选择不同的探测方式和数据探测接口;
数据采集模块:用于对探测目标的数据进行采集收取,并通过数据校验和异常检测的方式对采集到的探测数据进行验证和清洗;
数据存储模块:用于将采集到的探测数据按照数据特征、数据类型和应用形式进行分类并加密储存。
进一步地,所述客户端代理单元与系统数据总端之间构建有以通信连接为基础的处理分析层,所述处理分析层用于进行数据资产管理策略的下发与读取,并且分别将客户端代理单元、服务端代理单元收集的探测数据经筛查后发送至系统数据总端;所述客户端代理单元通过处理分析层从系统数据总端接收数据资产管理策略,所述数据资产管理策略对用户进行数据资产的访问设置有策略权限范围。
一种基于双重代理的数据资产安全保护方法,该方法包括:
步骤S1:用户对目标数据资产进行访问或操作时,通过与系统数据总端中预存的用户信息、用户评级和设备信息相比对后通过登录验证,并从系统数据总端中获取访问目标数据资产所需要的数据资产管理策略用以获取对策略权限范围内的数据资产进行访问的许可;
步骤S2:用户客户端进行对用户的个人信息数据、资产检索数据和用户在主动访问操作服务端数据资产和访问应用、系统或网站的过程中产生的流量报文数据进行主动探测收集并加密上传至系统数据总端,同时数据资产服务端通过数据资产管理策略对当前服务器数据进行主动探测收集并加密上传至系统数据总端;
步骤S3:系统数据总端在数据资产管理策略的基础上,将从用户客户端接收到的探测数据进行是否存在异常行为的分析,同时根据数据资产服务端的探测数据对数据资产进行分类整理,并结合客户端探测数据中的用户信息将数据资产与用户建立对应的资产责属关系;
步骤S4:系统数据总端将用户客户端和数据资产服务端回传后的探测数据分别设为用户行为信息和数据资产信息,并在系统数据总端建立分析数据库用以存储用户行为信息和数据资产信息,用户能够对分析数据库进行可视化检索查询。
进一步地,所述主动探测包括以下步骤:
步骤A1:确定探测的范围和目标,包括需要探测的数据类型、范围、用户行为数据,并根据探测目标的不同数据类型来选择不同的探测方式和数据探测接口,其中探测方式针对的数据对象包括文本数据、图像数据、视频数据、数据库数据和其他文件数据;
步骤A2:通过选定的探测工具和技术对确定的数据进行探测,包括数据的数量、类型、状态、使用情况,并对探测目标的数据进行采集收取,并通过数据校验和异常检测的方式对采集到的探测数据进行验证和清洗;
步骤A3:将采集到的探测数据按照数据特征、数据类型和应用形式进行分类,并在客户端代理单元和服务端代理单元分别建立探测数据库用于将采集到的探测数据加密储存。
进一步地,将所述数据资产信息按照与用户的关联性和信息基本特征进行分类整理,并对每个分类的类别添加不同标注标签,该分类包括:
基本元信息:描述数据资产属性和特征的信息,包括数据资产的创建和更新时间、数据资产的类型和来源、数据资产的运用关系和分级;
价值效益信息:描述数据资产本身具有的价值以及根据实际应用带来的潜在附加价值,包括数据资产的价值评估、数据资产的效益评估和数据资产的应用成本;
运营管理信息:描述数据资产归属和责任方的信息,包括数据资产的管理使用流程、数据资产的运营计划流程和数据资产的归属系统与责任部门。
进一步地,系统数据总端从用户客户端接收到的探测数据分析出异常行为后,能够实时自动向管理员发出警告信息以对异常行为的用户进行初步阻止处理,并对该用户访问行为进行持续的信任评估;
该用户再次出现发现用户异常行为或访问主体身份和环境信息改变时,警告该用户并降低访问用户信任等级以限制或禁止用户访问。
进一步地,对目标数据资产进行访问或操作时,根据用户的职位、职责和数据需求来预设用户能够选定的访问角色,并对每个角色按照职能需求赋予对应的数据访问权限,包括:
将数据资产服务器中的数据资产的数据按照敏感程度从高到低依次归类到第一级数据库、第二级数据库和第三级数据库,将数据按照职能归类至各级数据库中,第一级数据库归类设有机密数据和受限数据,第二级数据库归类设有个人数据和业务数据,第三级数据库归类设有公共数据和其他数据。
本发明与现有技术相比,具有如下的优点和有益效果:
1、通过对用户个人和数据资产数据的主动探测采集,明显提升了数据资产管理中对多类型数据资产信息的扫描探测和采集效率,在数据资产数量庞大的情况下,管理员在获取到扫描出的异常数据后,能够对数据资产和其对应的用户异常情况作出及时反应;
2、管理员在人工排查异常时,即使管理员未能及时阻止用户的异常访问行为,系统数据总端也能够及时通过下发管理策略拦截用户异常访问行为,对违规用户进行直接阻拦,能够明显地提高数据资产安全保护的效率。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:
图1为本发明系统组成示意图;
图2为本发明流程框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
如图1所示,本实施例为一种基于双重代理的数据资产安全保护系统,包括相互保持通信连接的客户端代理单元、服务端代理单元和系统数据总端,其中,
客户端代理单元:用于用户登录至数据资产服务器访问数据资产,同时接收来自于系统数据总端的数据资产管理策略的主动探测指令,用以对用户访问时的用户数据和访问探测数据进行主动探测,并将主动探测得到的探测数据进行加密回传到系统数据总端;
服务端代理单元:用于定时检测在当前环境状态下的身份认证和控制数据资产服务器的接入权限,接收系统数据总端下发的数据资产管理策略后进行主动探测,将通过主动探测得到的探测数据进行分类识别,并进行加密回传到系统数据总端;
系统数据总端:用于在进行数据资产访问时对客户端代理单元采集到的探测数据进行存储并分析用户数据是否存在异常行为数据,向服务端代理单元发出数据资产管理策略用以进行与用户信息相关联的主动探测,并从服务端代理单元获取探测数据以对数据资产数据进行分类整理,之后将分析后的用户数据和数据资产数据进行资产责属关系的归类和存储,并对异常分析结果发出安全防护处理指令。
更多地,所述客户端代理单元主动探测的探测数据包括个人信息数据、资产检索数据和流量报文数据,所述流量报文数据为用户在主动访问操作服务端数据资产和访问应用、系统或网站的操作过程产生的数据。所述客户端代理单元与系统数据总端之间构建有以通信连接为基础的处理分析层,所述处理分析层用于进行数据资产管理策略的下发与读取,并且分别将客户端代理单元、服务端代理单元收集的探测数据经筛查后发送至系统数据总端;所述客户端代理单元通过处理分析层从系统数据总端接收数据资产管理策略,所述数据资产管理策略对用户进行数据资产的访问设置有策略权限范围。
其中特别地,作为一种可行的优选实施方式,所述处理分析层对探测数据的筛查可包括:数据完整性筛查,确保数据没有缺失损坏;准确性筛查,以确保没有误差过大的数据;安全性筛查,以确保没有恶意或攻击性数据;隐私性筛查,以确保没有误收集到具有高等级隐私属性的数据。
进一步地,作为一种可行的实施方式,所述客户端代理单元、服务端代理单元上均设有用于主动探测的探测子单元,所述探测子单元包括目标探测模块、数据采集模块和数据存储模块,其中具体地:
目标探测模块:用于根据业务需求和数据资产管理策略的不同来确定需要探测的数据资产目标,并根据不同的探测目标和需求来选择不同的探测方式和数据探测接口。通过有针对性地对具体业务设定相应的数据资产目标和探测方式,可以更好地了解数据的类型、数量、来源、应用场景等,从而更好地安排数据的利用优先级和资源分配,提高数据利用率。同时可以更好地发现数据的问题和缺陷,及时进行修复和纠正,从而保障数据的质量和准确性。从数据安全的角度来看,此方式还可以更好地了解数据的敏感度和安全性要求,优化数据价值,从而制定相应的安全策略和规则,提高数据的安全性和商业上的可利用性。
数据采集模块:用于对探测目标的数据进行采集收取,并通过数据校验和异常检测的方式对采集到的探测数据进行验证和清洗。通过数据校验和异常检测,能够检测和去除数据中的冗余、重复和不完整部分,提高数据的质量和准确性。从数据安全的角度来看,还可以检测和发现数据中的异常和攻击行为,能够及时进行防范和应对,提高数据的安全性。
数据存储模块:用于将采集到的探测数据按照数据特征、数据类型和应用形式进行分类并加密储存。将探测数据分类并加密储存,可以保护数据的隐私和安全,避免数据被非法获取或滥用,并且能够更好地安排数据的存储和访问,提高数据存储的效率和可靠性。
其中特别地,作为一种可行的优选实施方式,所述数据存储模块对探测数据按照数据固定结构和规律性的程度可分类为:结构化数据、非结构化数据和半结构化数据;根据数据用途形式可将数据分类为数据分析、数据可视化和数据挖掘。
对于结构化数据,可以采用数据分析和数据可视化的方法,将数据进行可视化展示和分析,从而更好地理解数据和发现数据的规律和特点。而对于非结构化数据和半结构化数据,可以分别采用数据挖掘和数据可视化分析的方法,通过文本挖掘、图像分析、视频处理等技术,发现不同数据各自的潜在价值和规律。在多类数据用途中,数据分析是指通过统计、分析和可视化等方法,对数据进行处理和分析,以发现数据的规律和特点,提高决策的准确性和效率;数据可视化是指通过图形化、可视化的方式将数据进行展示和分析,以便更好地理解数据和发现数据的规律和特点;数据挖掘是指通过机器学习、人工智能等方法对大量数据进行处理和分析,以发现数据的潜在价值和规律。
实施例2
如图2所示,本实施例为一种基于双重代理的数据资产安全保护方法,该方法包括:
步骤S1:用户对目标数据资产进行访问或操作时,通过与系统数据总端中预存的用户信息、用户评级和设备信息相比对后通过登录验证,并从系统数据总端中获取访问目标数据资产所需要的数据资产管理策略用以获取对策略权限范围内的数据资产进行访问的许可;
步骤S2:用户客户端进行对用户的个人信息数据、资产检索数据和用户在主动访问操作服务端数据资产和访问应用、系统或网站的过程中产生的流量报文数据进行主动探测收集并加密上传至系统数据总端,同时数据资产服务端通过数据资产管理策略对当前服务器数据进行主动探测收集并加密上传至系统数据总端;
步骤S3:系统数据总端在数据资产管理策略的基础上,将从用户客户端接收到的探测数据进行是否存在异常行为的分析,同时根据数据资产服务端的探测数据对数据资产进行分类整理,并结合客户端探测数据中的用户信息将数据资产与用户建立对应的资产责属关系;
步骤S4:系统数据总端将用户客户端和数据资产服务端回传后的探测数据分别设为用户行为信息和数据资产信息,并在系统数据总端建立分析数据库用以存储用户行为信息和数据资产信息,用户能够对分析数据库进行可视化检索查询。
其中,所述主动探测包括以下步骤:
步骤A1:确定探测的范围和目标,包括需要探测的数据类型、范围、用户行为数据,并根据探测目标的不同数据类型来选择不同的探测方式和数据探测接口,其中探测方式针对的数据对象包括文本数据、图像数据、视频数据、数据库数据和其他文件数据;
步骤A2:通过选定的探测工具和技术对确定的数据进行探测,包括数据的数量、类型、状态、使用情况,并对探测目标的数据进行采集收取,并通过数据校验和异常检测的方式对采集到的探测数据进行验证和清洗;
步骤A3:将采集到的探测数据按照数据特征、数据类型和应用形式进行分类,并在客户端代理单元和服务端代理单元分别建立探测数据库用于将采集到的探测数据加密储存。
更多地,系统数据总端从用户客户端接收到的探测数据分析出异常行为后,能够实时自动向管理员发出警告信息以对异常行为的用户进行初步阻止处理,并对该用户访问行为进行持续的信任评估;该用户再次出现发现用户异常行为或访问主体身份和环境信息改变时,警告该用户并降低访问用户信任等级以限制或禁止用户访问。
用户通过客户端代理单元登录至数据资产服务器进行数据资产的访问,同时客户端代理单元对来自于系统数据总端用于主动探测的数据资产管理策略进行接收。用户在保持登录并对其权限范围内的数据资产进行访问时,此时通过数据资产管理策略对客户端代理单元内的探测子单元施加指令,使得探测子单元对用户当前的个人信息和在数据资产服务器上的行为数据均被目标探测模块和数据采集模块探测采集,并且采集到的探测数据被加密存储在数据存储模块中后发送至系统数据总端。用户登录后对数据资产的访问许可取决于系统数据总端上下发的数据资产管理策略。所探测的用户数据主要包括用户的个人信息数据、资产检索数据和用户访问浏览时产生的流量报文数据;服务端代理单元在接收到不同类型的数据资产识别策略后,会根据本专利系统相应的关键字识别、语义识别、关联分析等技术对数据资产服务器上的存储分布的各类型数据资产载体进行内容识别分析,将识别的数据资产名称、类型、数量、承载载体等信息进行加密回传至系统数据总端。系统数据总端能够基于定义的用户行为违规策略、机器学习算法等对客户端采集回传的用户行为进行分析,发现异常行为,包括异常访问行为、异常操作行为及异常外发行为;同时在系统数据总端接收到服务端代理单元回传的探测数据之后,根据行业数据资产分类分级和特征规则,自动划分指定范围、指定类型、指定形式的数据资产,并形成资产标识和记录,然后将数据资产识别结果与对应用户构建资产责属关系。
通过对用户个人和数据资产数据的主动探测采集,一方面明显提升了数据资产管理中对多类型数据资产信息的扫描探测和采集效率,在数据资产数量庞大的情况下,管理员在获取到扫描出的异常数据后,能够对数据资产和其对应的用户异常情况作出及时反应。另一方面同时由于服务端代理单元早已完成当前异常用户的目标数据资产数据的主动探测,使得系统数据总端中的分析数据库对当前异常用户的目标访问数据资产进行了记录保存,使得数据资产安全保护系统能够持续地进行实时监控和分析,使得管理员在人工排查异常时,数据资产管理系统有足够的后备保护工作,即使管理员未能及时阻止用户的异常访问行为,系统数据总端也可通过对客户端代理单元或服务端代理单元下发能够拦截用户异常访问行为的数据资产管理策略,对该名用户进行直接阻拦,能够明显地提高数据资产安全保护的效率,更加及时发现和识别潜在的安全威胁和风险,采取相应的措施进行防范和应对,使得在管理方面明显地提高了数据资产的安全性。
在具体运用中,作为一种可行的实施方式,优选的,所述服务端代理单元能够往系统数据总端回传数据资产服务器中产生的第二流量报文数据,所述系统数据总端能够通过第二流量报文数据区分已注册的客户端代理单元和未知身份的用户或设备对服务端数据资产的访问行为及通信流量,能够有效的对整个用户网络内的数据资产进行流转测绘,帮助用户及时发现和梳理遗漏数据资产。
需说明的是,本实施例中,作为一种可行的具体运用方式,所述数据资产管理策略包括:身份认证与评估策略、资产评估与识别策略以及访问控制策略,其中具体地:
身份认证与评估策略:用于验证用户身份,并根据历史行为评估用户的信任等级,同时保护数据隐私,确保只有经过授权的高信任等级用户访问和操作数据资产,避免非法访问和数据泄露。通过身份认证与评估策略,可以验证用户的身份和保护数据的隐私,避免未经授权的用户违规访问数据,明显减少了违规用户的非法访问和数据的泄露和被滥用。
资产评估与识别策略:用于对数据资产的价值、质量和可靠性进行准确评估,避免低价值、低质量的数据资产对管理造成影响,并通过资产识别帮助企业用户更准确地了解自身和同行的数据资产,提高数据资产在分类标识上的效率;通过对数据资产的价值、质量和可靠性进行准确评估,可以对数据资产进行准确的评估,并对数据资产的质量进行评估和监控,及时发现和解决质量问题,从而提高了数据资产的质量和价值。
访问控制策略:用于实施用户身份验证和访问权限授予,控制和限制用户对数据资产的访问和操作,防止非授权的访问和操作。具体内容包括建立用户身份验证机制,如用户名和密码、数字证书、生物识别等,确保只有合法用户可以访问数据资产;其次根据用户身份和数据资产的安全级别,设置不同的访问权限,如读、写、删除等。同时对敏感数据资产进行加密存储,防止未经授权的访问和数据泄露,并记录用户访问数据资产的行为和操作,以便事后审计和追踪。有助于保护数据资产的安全性和完整性。
进一步地,将所述数据资产信息按照与用户的关联性和信息基本特征进行分类整理,并对每个分类的类别添加不同标注标签,该分类包括:基本元信息、价值效益信息和运营管理信息,其中具体地:
基本元信息:描述数据资产属性和特征的信息,包括数据资产的创建和更新时间、数据资产的类型和来源、数据资产的运用关系和分级。通过对基本元信息的扫描获取以获得数据资产数据的创建时间和来源,可以确认数据的真实性和可行性,能够提高数据的可信性。同时通过了解数据类型和运用关系,可以更好地安排数据的存储和访问,例如,将相同类型的数据存储在同一个数据库或数据仓库中,可以提高数据访问的速度和效率;对于敏感数据,可以将其存储在特定的数据库或数据仓库中,并限制其访问权限。通过了解数据的创建、来源、类型和运用关系,可以更好地挖掘和利用数据的价值。例如,对于具有特定来源或类型的数据,可以将其用于特定的业务分析和决策支持中,从而提高数据的使用价值。
价值效益信息:描述数据资产本身具有的价值以及根据实际应用带来的潜在附加价值,包括数据资产的价值评估、数据资产的效益评估和数据资产的应用成本。通过了解数据的价值评估和应用成本,可以更好地安排数据的利用优先级和资源分配,提高数据利用率,这可以帮助企业更有效地利用数据资产,提高生产力和竞争力。同时可以更好地优化数据营销,制定数据营销策略和方案,例如,对于具有高价值的数据,可以将其用于高端市场和高端客户营销,对于具有高效益的数据,可以将其用于低成本营销和效益评估。通过了解数据的价值评估和应用成本,可以提升数据的智能化应用,能够更好地实现数据的智能化管理和应用。例如,通过自动化和智能化的方法,可以更好地管理和应用数据资产,提高企业的智能化水平和竞争力。
运营管理信息:描述数据资产归属和责任方的信息,包括数据资产的管理使用流程、数据资产的运营计划流程和数据资产的归属系统与责任部门。通过了解数据的管理使用流程和运营计划流程,可以更好地掌握数据的产生、处理、存储和访问等环节,从而提高数据管理的效率。通过明确数据的归属责任部门,可以更好地保障数据的质量和准确性。例如,对于关键数据,可以明确其所属部门和责任人,对其进行严格的监控和管理,以确保数据的真实性和准确性。通过了解数据的管理使用流程和运营计划流程,可以更好地遵守相关法律法规和规定,提高数据的合规性。例如,对于个人数据的处理和使用,需要遵守相关隐私保护法规,通过明确数据的管理使用流程和运营计划流程,可以更好地保障个人数据的隐私和安全。
所述系统数据总端在对分析数据库进行归纳整理时,可通过数据资产信息上不同分类类别的标注标签来将对应探测数据的用户进行异常判断的归类处理。在具体应用中,可对已完成主动探测的用户群体按照标注标签的不同来设定进行异常判断的优先级,当系统数据总端发现有用户主要访问标注有价值效益信息的标注标签的数据资产信息,则将该用户进行优先判别处理并对管理员做出严格审查的提醒示意,以此可进一步保障数据资产中价值较高数据的安全性,减少该类数据的异常情况。
进一步地,作为一种可行的实施方式,对目标数据资产进行访问或操作时,根据用户的职位、职责和数据需求来预设用户能够选定的访问角色,并对每个角色按照职能需求赋予对应的数据访问权限,包括:将数据资产服务器中的数据资产的数据按照敏感程度从高到低依次归类到第一级数据库、第二级数据库和第三级数据库,将数据按照职能归类至各级数据库中,第一级数据库归类设有机密数据和受限数据,第二级数据库归类设有个人数据和业务数据,第三级数据库归类设有公共数据和其他数据。使用前,先在系统数据总端内对数据资产管理策略进行上述实施方式的预先设置。在客户进行登录操作时,所述客户端代理单元从系统数据总端获取到数据资产管理策略的上述实施方式。通过对访问用户设置等级和权限限制,可以限制不同等级用户对数据资产的访问权限和操作范围,避免低等级用户接触到高敏感度的数据资产,以此提高数据资产的安全性,优化数据资产的数据资源配置;同时可以对不同等级用户的访问和操作进行不同的安全审查和监管,及时发现和应对安全威胁,降低安全风险和损失;可以根据不同等级用户的访问和操作需求,进行不同的数据资产管理和维护,提高数据资产管理的效率。同时分级归类访问可以限制不同等级用户对用户数据的访问和操作权限,避免用户隐私泄露。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于双重代理的数据资产安全保护系统,包括相互保持通信连接的客户端代理单元、服务端代理单元和系统数据总端,其特征在于:
客户端代理单元:用于用户登录至数据资产服务器访问数据资产,同时接收来自于系统数据总端的数据资产管理策略的主动探测指令,用以对用户访问时的用户数据和访问探测数据进行主动探测,并将主动探测得到的探测数据进行加密回传到系统数据总端;
服务端代理单元:用于定时检测在当前环境状态下的身份认证和控制数据资产服务器的接入权限,接收系统数据总端下发的数据资产管理策略后进行主动探测,将通过主动探测得到的探测数据进行分类识别,并进行加密回传到系统数据总端;
系统数据总端:用于在进行数据资产访问时对客户端代理单元采集到的探测数据进行存储并分析用户数据是否存在异常行为数据,向服务端代理单元发出数据资产管理策略用以进行与用户信息相关联的主动探测,并从服务端代理单元获取探测数据以对数据资产数据进行分类整理,之后将分析后的用户数据和数据资产数据进行资产责属关系的归类和存储,并对异常分析结果发出安全防护处理指令。
2.根据权利要求1所述的一种基于双重代理的数据资产安全保护系统,其特征在于,所述客户端代理单元主动探测的探测数据包括个人信息数据、资产检索数据和流量报文数据,所述流量报文数据为用户在主动访问操作服务端数据资产和访问应用、系统或网站的操作过程产生的数据。
3.根据权利要求1所述的一种基于双重代理的数据资产安全保护系统,其特征在于,所述客户端代理单元、服务端代理单元上均设有用于主动探测的探测子单元,所述探测子单元包括:
目标探测模块:用于根据业务需求和数据资产管理策略的不同来确定需要探测的数据资产目标,并根据不同的探测目标和需求来选择不同的探测方式和数据探测接口;
数据采集模块:用于对探测目标的数据进行采集收取,并通过数据校验和异常检测的方式对采集到的探测数据进行验证和清洗;
数据存储模块:用于将采集到的探测数据按照数据特征、数据类型和应用形式进行分类并加密储存。
4.根据权利要求1所述的一种基于双重代理的数据资产安全保护系统,其特征在于,所述客户端代理单元与系统数据总端之间构建有以通信连接为基础的处理分析层,所述处理分析层用于进行数据资产管理策略的下发与读取,并且分别将客户端代理单元、服务端代理单元收集的探测数据经筛查后发送至系统数据总端;所述客户端代理单元通过处理分析层从系统数据总端接收数据资产管理策略,所述数据资产管理策略对用户进行数据资产的访问设置有策略权限范围。
5.一种基于双重代理的数据资产安全保护方法,其特征在于,该方法包括:
步骤S1:用户对目标数据资产进行访问或操作时,通过与系统数据总端中预存的用户信息、用户评级和设备信息相比对后通过登录验证,并从系统数据总端中获取访问目标数据资产所需要的数据资产管理策略用以获取对策略权限范围内的数据资产进行访问的许可;
步骤S2:用户客户端进行对用户的个人信息数据、资产检索数据和用户在主动访问操作服务端数据资产和访问应用、系统或网站的过程中产生的流量报文数据进行主动探测收集并加密上传至系统数据总端,同时数据资产服务端通过数据资产管理策略对当前服务器数据进行主动探测收集并加密上传至系统数据总端;
步骤S3:系统数据总端在数据资产管理策略的基础上,将从用户客户端接收到的探测数据进行是否存在异常行为的分析,同时根据数据资产服务端的探测数据对数据资产进行分类整理,并结合客户端探测数据中的用户信息将数据资产与用户建立对应的资产责属关系;
步骤S4:系统数据总端将用户客户端和数据资产服务端回传后的探测数据分别设为用户行为信息和数据资产信息,并在系统数据总端建立分析数据库用以存储用户行为信息和数据资产信息,用户能够对分析数据库进行可视化检索查询。
6.根据权利要求5所述的一种基于双重代理的数据资产安全保护方法,其特征在于,所述主动探测包括以下步骤:
步骤A1:确定探测的范围和目标,包括需要探测的数据类型、范围、用户行为数据,并根据探测目标的不同数据类型来选择不同的探测方式和数据探测接口,其中探测方式针对的数据对象包括文本数据、图像数据、视频数据、数据库数据和其他文件数据;
步骤A2:通过选定的探测工具和技术对确定的数据进行探测,包括数据的数量、类型、状态、使用情况,并对探测目标的数据进行采集收取,并通过数据校验和异常检测的方式对采集到的探测数据进行验证和清洗;
步骤A3:将采集到的探测数据按照数据特征、数据类型和应用形式进行分类,并在客户端代理单元和服务端代理单元分别建立探测数据库用于将采集到的探测数据加密储存。
7.根据权利要求5所述的一种基于双重代理的数据资产安全保护方法,其特征在于,将所述数据资产信息按照与用户的关联性和信息基本特征进行分类整理,并对每个分类的类别添加不同标注标签,该分类包括:
基本元信息:描述数据资产属性和特征的信息,包括数据资产的创建和更新时间、数据资产的类型和来源、数据资产的运用关系和分级;
价值效益信息:描述数据资产本身具有的价值以及根据实际应用带来的潜在附加价值,包括数据资产的价值评估、数据资产的效益评估和数据资产的应用成本;
运营管理信息:描述数据资产归属和责任方的信息,包括数据资产的管理使用流程、数据资产的运营计划流程和数据资产的归属系统与责任部门。
8.根据权利要求5所述的一种基于双重代理的数据资产安全保护方法,其特征在于,系统数据总端从用户客户端接收到的探测数据分析出异常行为后,能够实时自动向管理员发出警告信息以对异常行为的用户进行初步阻止处理,并对该用户访问行为进行持续的信任评估;
该用户再次出现发现用户异常行为或访问主体身份和环境信息改变时,警告该用户并降低访问用户信任等级以限制或禁止用户访问。
9.根据权利要求5所述的一种基于双重代理的数据资产安全保护方法,其特征在于,对目标数据资产进行访问或操作时,根据用户的职位、职责和数据需求来预设用户能够选定的访问角色,并对每个角色按照职能需求赋予对应的数据访问权限,包括:
将数据资产服务器中的数据资产的数据按照敏感程度从高到低依次归类到第一级数据库、第二级数据库和第三级数据库,将数据按照职能归类至各级数据库中,第一级数据库归类设有机密数据和受限数据,第二级数据库归类设有个人数据和业务数据,第三级数据库归类设有公共数据和其他数据。
CN202310945548.2A 2023-07-31 2023-07-31 一种基于双重代理的数据资产安全保护系统和方法 Pending CN116684199A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310945548.2A CN116684199A (zh) 2023-07-31 2023-07-31 一种基于双重代理的数据资产安全保护系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310945548.2A CN116684199A (zh) 2023-07-31 2023-07-31 一种基于双重代理的数据资产安全保护系统和方法

Publications (1)

Publication Number Publication Date
CN116684199A true CN116684199A (zh) 2023-09-01

Family

ID=87787607

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310945548.2A Pending CN116684199A (zh) 2023-07-31 2023-07-31 一种基于双重代理的数据资产安全保护系统和方法

Country Status (1)

Country Link
CN (1) CN116684199A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080126762A1 (en) * 2006-11-29 2008-05-29 Kelley Brian H Methods, systems, and apparatus for object invocation across protection domain boundaries
US20110314079A1 (en) * 2010-06-22 2011-12-22 International Business Machines Corporation Agent system for reducing server resource usage
CA2770789A1 (en) * 2011-03-11 2012-09-11 Desktopsites Inc. System and method for lauching a resource in a network
CN112800397A (zh) * 2021-02-22 2021-05-14 四川奥诚科技有限责任公司 一种数据资产保护方法、系统、电子设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080126762A1 (en) * 2006-11-29 2008-05-29 Kelley Brian H Methods, systems, and apparatus for object invocation across protection domain boundaries
US20110314079A1 (en) * 2010-06-22 2011-12-22 International Business Machines Corporation Agent system for reducing server resource usage
CA2770789A1 (en) * 2011-03-11 2012-09-11 Desktopsites Inc. System and method for lauching a resource in a network
CN112800397A (zh) * 2021-02-22 2021-05-14 四川奥诚科技有限责任公司 一种数据资产保护方法、系统、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US11496505B2 (en) Detection and prevention of external fraud
CN107577939B (zh) 一种基于关键字技术的数据防泄漏方法
CN115733681A (zh) 一种防止数据丢失的数据安全管理平台
US20220407887A1 (en) Federated database for establishing and tracking risk of interactions with third parties
US8732455B2 (en) Method and system for securing against leakage of source code
CN112560027A (zh) 一种数据安全监测系统
CN111726353A (zh) 基于数控系统的敏感数据分级保护方法及分级保护系统
CN114372286A (zh) 数据安全管理方法、装置、计算机设备及存储介质
CN112800397A (zh) 一种数据资产保护方法、系统、电子设备及存储介质
CN111914300A (zh) 一种防止文件泄密的文档加密装置与方法
CN113792308A (zh) 一种面向政务敏感数据安全行为风险分析方法
CN113516337A (zh) 数据安全运营的监控方法及装置
CN111915331A (zh) 一种基于区块链的企业征信数据管理方法及系统
CN110826094A (zh) 一种信息泄露监控方法以及装置
CN117333026A (zh) 一种基于能源大数据的风险辨识方法
WO2010011188A1 (en) System and method for preventing leakage of sensitive digital information on a digital communication network
CN116915515B (zh) 用于工控网络的访问安全控制方法及系统
CN111126729A (zh) 智能化的安全事件闭环处置系统及其方法
CN112560111A (zh) 一种适用于物联网的时序数据采集防篡改方法及装置
US11651313B1 (en) Insider threat detection using access behavior analysis
KR101399326B1 (ko) 정보보안을 위한 증적추적 장치 및 방법
CN116684199A (zh) 一种基于双重代理的数据资产安全保护系统和方法
CN112685768A (zh) 一种基于软件资产审计的数据防泄漏方法及装置
CN117150453B (zh) 网络应用检测方法、装置、设备、存储介质及程序产品
CN117742618B (zh) 一种固态硬盘的数据存储管理方法和固态硬盘管理装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination