CN117077201A - 一种基于多域联合的高密级数据共享防泄漏方法及系统 - Google Patents

Abstract

本发明公开了一种基于多域联合的高密级数据共享防泄漏方法及系统，通过考虑用户权限、请求数据的密级与类别、数据请求行为差异化指标，完成脱敏类型与脱敏强度的确定，进而实现对自适应优化高密级数据脱敏策略的选择；对脱敏后的数据进行再加密处理和请求者信息上传，实现对脱敏数据潜在泄露风险的的预警与溯源。分别从密码域、IP域和信息域对涉及脱敏后高密级数据的非法访问行为进行告警与溯源。通过设置密码错误上限次数对错误密码事件进行告警与溯源；生成IP域与计算机域摘要信息偏差度，在发生访问者计算机序列号或IP地址信息与数据共享摘要信息中不一致的情况时进行告警与溯源。以此实现针对高密级数据泄漏的告警，并对窃密者进行追踪溯源。

Description

一种基于多域联合的高密级数据共享防泄漏方法及系统

技术领域

本发明属于电力行业数据脱敏领域，具体涉及一种基于多域联合的高密级数据共享防泄漏方法及系统。

背景技术

随着互联网、大数据时代的飞速发展，数据的增长与利用达到了一个新的高度，数据的价值得到了人们的重视。在电力行业的生产活动中产生的大量电力数据因具有数量庞大、类型繁多、不易于处理等特点，给信息安全带来了巨大风险。同时，也使得电力数据在共享、使用的过程中会因牵涉到部分隐私及机密不能直接开放的问题，这就需要建立一套完备的数据脱敏安全防护体系为电力数据的可靠共享提供保障。然而，现有数据脱敏技术只考虑了不同的脱敏方法，没有考虑针对不同权限用户设置差异化脱敏强度；同时，现有的数据脱敏系统只针对于高密级数据的脱敏与解密，并未进一步考虑对脱敏后数据潜在的泄露风险进行基于多域联合的告警与溯源。

现有专利没有考虑基于用户权限、请求数据的密级与类别、数据请求行为等在内的各种不同数据共享行为设置对应的自适应脱敏机制，导致现有专利所提方法无法适配不同用户差异化共享请求，易产生数据泄露、无法实时提供脱敏信息等问题。因此，如何实现高密级数据的差异化自适应脱敏是一个亟待解决问题。

其次，现有专利没有考虑如何联合使用密码域、IP域和计算机域信息对脱敏后数据在外发过程中可能遭到的窃密攻击行为进行识别，导致脱敏后的数据面临被外部恶意用户盗取的风险，且对窃密行为无法实施有效的溯源，难以将数据泄露损失最小化。因此，如何实现对脱敏后数据潜在的泄露风险进行基于多域联合的告警与溯源是一个亟待解决问题。

发明内容

本发明为了解决背景技术中存在的高密级数据共享、使用中的防泄漏等技术问题，目的在于提供了一种基于多域联合的高密级数据共享防泄漏方法及系统。

为了解决技术问题，本发明的技术方案是：

一种基于多域联合的高密级数据共享防泄漏系统，所述系统包括：原始数据获取层、高密级数据处理层和脱敏数据处置层；

所述原始数据获取层包括数据获取模块和数据预处理模块；所述数据获取模块：从原始数据库或各类电力业务系统中根据用户数据共享请求提取对应的未脱敏的原始电力数据，并将所述数据发送至数据预处理模块；数据预处理模块：对有特定需求的数据进行预处理，并将完成处理后的数据上传至高密级数据处理层；

所述高密级数据处理层包括数据脱敏策略选择模块、适配差异化共享请求的脱敏驱动引擎模块、高密级数据泄露告警和溯源模块；所述数据脱敏策略选择模块：联合考虑用户权限、请求数据的密级与类别、数据请求行为差异化指标，针对不同用户的数据共享请求行为生成对应的数据脱敏策略，并指导适配差异化共享请求的脱敏驱动引擎模块对数据进行脱敏；所述数据脱敏驱动引擎模块：接收原始数据获取层上传的经过预处理的数据，根据数据脱敏策略选择模块的配置对数据进行脱敏操作，并将脱敏后的数据上传至脱敏数据处置层；所述高密级数据泄露告警与溯源模块：基于数据共享摘要信息abr_n(l)中包含的用户密码域、IP域和信息域三方面信息对涉及脱敏后高密级数据的非法访问行为进行告警，并使用日志记录法进行溯源；

所述脱敏数据处置层包括通用访问接口模块和数据存储模块；所述数据存储模块：用于缓存静态脱敏后数据与数据共享摘要信息的长期存储与动态脱敏数据，由外部数据库提供支撑服务；所述通用访问接口模块：外界数据共享请求用户经由此模块获取数据存储模块中完成脱敏的数据，同时将自身的账号信息、计算机序列号及IP地址数据经由该模块存入数据存储模块中。

进一步，所述未脱敏的原始电力数据包括：用电信息采集数据、电网拓扑数据、电网运检数据和电力企业管理数据。

进一步，数据请求行为包括：只读typ₁、编辑typ₂、二次转发typ₃和U盘共享typ₄。

一种基于多域联合的高密级数据共享防泄漏方法，所述方法应用于上述中任一项所述的一种基于多域联合的高密级数据共享防泄漏系统，所述方法包括：

S1：利用适配差异化共享请求信息的高密级数据自适应脱敏机制，根据不同用户权限、脱敏策略以及脱敏强度，得到高密级数据的差异化自适应脱敏结果，对脱敏后的数据进行加密，并自动上传访问者信息；

S2：在完成步骤S1所述适配差异化共享请求信息的高密级数据自适应脱敏后，利用多域联合的高密级数据泄露告警与溯源方法，从密码域、IP域和信息域三方面对涉及脱敏后高密级数据的非法访问行为进行告警与溯源，即实现了基于多域联合的高密级数据共享防泄漏。

进一步，所述步骤S1具体包括：

S11：数据集与用户集的确定：将数据安全共享系统中的所有涉密数据确定为一个包含L条数据的数据集合，表示为D＝{d₁,d₂,...,d_l,...,d_L}，其中，d_l为第l条数据；将所有对数据共享平台发送高密级数据脱敏请求的用户定义为一个包含N个用户的用户集合，表示为，U＝{u₁,u₂,...,u_n,...,u_N}，其中，u_n为第n个用户；

S12：基于多指标联合考虑的高密级数据脱敏策略选择：通过考虑用户权限、请求数据的密级和类型、请求数据量大小、用户请求行为类型typ＝{typ_i|i＝1,2,3,4}差异化指标，自适应优化高密级数据脱敏策略的选择；数据脱敏策略的选择分为两步，第一步为数据脱敏类型选择，第二步为数据脱敏强度确定；

S13：数据脱敏类型确定：数据脱敏类型分为静态数据脱敏与动态数据脱敏两类；静态脱敏从原数据库中导出整个数据，脱敏完毕之后存储于外部非生产环境中，用于测试分析或与第三方合作交流；动态脱敏是指系统根据包括用户权限高低在内的多种数据脱敏需求实时对数据脱敏，并将脱敏后的数据直接提出；根据上述特征，通过构建用户u_n对数据d_l的脱敏类型指示变量ω_n(l)完成对数据脱敏类型的选择；当脱敏指示变量ω_n(l)大于预设阈值α时，数据安全共享系统倾向于使用静态脱敏类型，反之使用动态脱敏类型；

S14：数据脱敏强度确定：考虑用户权限、请求数据的密级与类别、用户请求行为差异化指标，实现高密级数据脱敏强度的确定；确定数据d_l在被用户u_n请求访问时的脱敏强度为θ_n(l)，表示为：

其中，Ξ_n为用户u_n的用户权限指标，其取值范围为[α₁,α₂]，用户权限越大该指标取值越大；Υ(l)为数据d_l的密级指标，其预设取值范围为[β_1,β₂]，数据密级越高该指标取值越大；当数据密级高于用户权限的程度越大时，数据脱敏的强度就随之越大；χ(l)为数据d_l的类型指标，可根据电力系统数据特征分为四类，按重要度由高到低依次排列分别为：生产实时控制大区数据、生产非实时控制大区数据、生产管理大区数据和非生产实时信息区数据，对这四种类型由大到小分别赋值为x₁,x₂,x₃,x₄，数据类型的重要度越大，脱敏强度越大；为用户u_n对数据d_l请求行为typ_n(l)的打分指标，按照只读、编辑、二次转发和U盘共享的顺序，预设分值由小到大分别为y₁,y₂,y₃,y₄，数值越大脱敏强度越大；ρ为预设的脱敏强度θ_n(l)的量纲调整系数，对数据进行缩放使其落在同一个数量级上；所述Ψ_n(l)为u_n用户权限对数据d_l数据密度的匹配指示变量，当用户u_n权限不支持访问数据d_l时，该指示变量为一个无穷大的常数，此时终止数据共享，而当用户u_n权限可以访问数据d_l时，该指示变量为一个负数，数据脱敏强度由差异化指标决定；

S15：数据共享情况存储：在数据安全共享系统完成脱敏策略的选择后在脱敏数据处置层中存储此次数据共享的摘要信息abr_n(l)，如下式所示：

abr_n(l)＝{accinfo_n(l),ser_n(l),IP_n(l),datplv_n(l),typⁿ(l)} (4)

其中，accinfo_n(l)为用户u_n的账号信息、ser_n(l)为用户u_n发起共享数据d_l请求的计算机序列号、IP_n(l)为用户u_n发起共享数据d_l请求时的IP地址信息、datplv_n(l)为被用户u_n请求的数据d_l的密级与类别；

S16：脱敏数据的再加密处理和请求者信息上传：采用国密算法SM2对脱敏后的数据进行再加密和处理，使得脱敏后的数据在打开时必须输入正确密码、并自动上传用于打开数据的计算机序列号、IP信息并与步骤S15中脱敏数据处置层中存储的数据共享摘要信息匹配后打开。

进一步，所述脱敏类型指示变量ω_n(l)具体如下式所示：

其中，A(l)为数据d_l的大小，num_n(l)为用户u_n请求数据d_l的次数，Uⁿ为与用户u_n的用户权限相同的用户集合；typⁿ(l)∈typ为用户u_n对数据d_l的请求行为类型；κ_n(l)为用户u_n对数据d_l的请求行为正常度指示变量，由用户u_n请求行为类型typⁿ(l)的历史请求次数与总请求次数N^total(l)的比值决定；μ为预设的脱敏类型指示变量ω_n(l)的用户权限差异化程度指标的量纲调整系数，对数据进行缩放使其落在同一个数量级上；上式中，第一项代表与用户u_n相同权限的用户对数据d_l的总请求量大小，当总请求量较大时，脱敏指示变量ω_n(l)随之增大，系统倾向于使用静态脱敏方式，以减小对同一数据的重复脱敏次数，提高脱敏效率；第二项代表用户u_n的请求行为正常度，正常度越低，说明用户出现了异常访问情况，此时系统倾向于使用脱敏效果更好的动态脱敏方式。

进一步，所述步骤S2具体包括：

S21：自动记录每个申请高密级数据共享用户的密码输入次数，并预设一个错误上限阈值ζ，当用户输入密码错误次数超过阈值ζ时，将此事件及计算机序列号、IP信息上报，根据上述信息对此事件进行告警与溯源；

S22：当用户正确输入密码后，自动将此事件及计算机序列号、IP信息上报，对访问用户u_n'的计算机序列号、IP信息与预先上传的数据共享摘要信息进行比对，并生成一个摘要信息偏差度dev_n(l)，当偏差度大于0时，表示实际访问用户的计算机序列号和IP地址至少有一项与共享摘要信息中存储的不一致，系统便会判定此时有数据泄露的风险，并对用户u_n和u_n'的数据共享请求行为进行告警与溯源。

进一步，所述步骤S22中，摘要信息偏差度dev_n(l)具体表示为：

dev_n(l)＝match(ser_n(l)/ser_n'(l))+match(IP_n(l)/IP_n'(l)) (3)

其中，ser_n'(l)为实际访问数据d_l的用户u_n'的计算机序列号；IP_n'(l)为实际访问数据d_l的用户u_n'的IP地址；match(ser_n(l)/ser_n'(l))和match(IP_n(l)/IP_n'(l))分别为计算机序列号与IP地址的偏差指示变量，当实际访问数据用户d_n的计算机序列号或IP地址与数据共享摘要信息中用户d_n'的计算机序列号或IP地址不同时，指示变量为1，反之为0。

进一步，在所述步骤S2中所述的溯源采用日志记录法实现，通过哈希函数对路由器中的访问数据包进行摘要存储，并将其记录在各路由器中，在需要对数据泄露事件进行溯源时，提取路由器中存储的摘要数据，以此获取攻击者的IP地址、访问路径和访问方式信息。

一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现上述中任一项所述的方法。

与现有技术相比，本发明的优点在于：

本发明提出了一种适配差异化共享请求信息的高密级数据自适应脱敏机制，通过考虑用户权限、请求数据的密级与类别、数据请求行为(包括只读、编辑、二次转发和U盘共享)等差异化指标，完成脱敏类型与脱敏强度的确定，进而实现对自适应优化高密级数据脱敏策略的选择；在此基础上，对脱敏后的数据进行再加密处理和请求者信息上传，实现对脱敏数据潜在泄露风险的预警与溯源。

本发明提出了一种基于多域联合的高密级数据泄露告警与溯源方法，分别从密码域、IP域和信息域三方面对涉及脱敏后高密级数据的非法访问行为进行告警与溯源。首先，通过设置输入密码错误上限次数对多次输入错误密码的事件进行告警与溯源；其次，生成IP域与计算机域摘要信息偏差度dev_n(l)，在发生访问者计算机序列号或IP地址信息与数据共享摘要信息中不一致的情况时进行告警与溯源。以此实现针对高密级数据泄漏的告警，并对窃密者进行追踪溯源。

附图说明

图1、基于多域联合的高密级数据共享防泄漏方法流程图；

图2、一种基于多域联合的高密级数据共享防泄漏系统。

具体实施方式

下面结合实施例描述本发明具体实施方式：

需要说明的是，本说明书所示意的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响本发明所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容能涵盖的范围内。

同时，本说明书中所引用的如“上”、“下”、“左”、“右”、“中间”及“一”等的用语，亦仅为便于叙述的明了，而非用以限定本发明可实施的范围，其相对关系的改变或调整，在无实质变更技术内容下，当亦视为本发明可实施的范畴。

实施例1:

本实施例1提出了一种基于多域联合的高密级数据共享防泄漏方法，包括适配差异化共享请求信息的高密级数据自适应脱敏机制、基于多域联合的高密级数据泄露告警与溯源方法和一种基于多域联合的高密级数据共享防泄漏系统，具体步骤如下。

S1：提出了一种适配差异化共享请求信息的高密级数据自适应脱敏机制，根据不同用户权限、脱敏策略以及脱敏强度，实现高密级数据的差异化自适应脱敏；同时，对脱敏后的数据进行加密，并自动上传访问者信息，确保高密级数据访问的安全性。

S1.1：数据集与用户集的定义。本实施例将数据安全共享系统中的所有涉密数据定义为一个包含L条数据的数据集合，表示为D＝{d₁,d₂,...,d_l,...,d_L}，其中，d_l为第l条数据；将所有对数据共享平台发送高密级数据脱敏请求的用户定义为一个包含N个用户的用户集合，表示为，U＝{u₁,u₂,...,u_n,...,u_N}，其中，u_n为第n个用户。

S1.2：基于多指标联合考虑的高密级数据脱敏策略选择。本发明通过考虑用户权限、请求数据的密级和类型、请求数据量大小、用户请求行为类型typ＝{typ_i|i＝1,2,3,4}(包括只读typ₁、编辑typ₂、二次转发typ₃和U盘共享typ₄)等差异化指标，自适应优化高密级数据脱敏策略的选择。具体来说，数据脱敏策略的选择可以分为两步，第一步为数据脱敏类型选择，第二步为数据脱敏强度确定。

S1.3：数据脱敏类型确定。数据脱敏类型可以分为静态数据脱敏与动态数据脱敏两类。其中，静态脱敏需要从原数据库中导出整个数据，脱敏完毕之后存储于外部非生产环境中，用于测试分析或与第三方合作交流，该脱敏类型适用于数据稳定、不会频繁变动、实时性要求不高的场景。而动态脱敏则是指系统根据包括用户权限高低等在内的多种数据脱敏需求实时对数据脱敏，并将脱敏后的数据直接提供出去，不需要导出全部数据，也不需要将脱敏后的数据进行存储，适用于生产环境下对实时性要求严格的场景。

根据上述特征，可以通过构建用户u_n对数据d_l的脱敏类型指示变量ω_n(l)完成对数据脱敏类型的选择。脱敏指示变量ω_n(l)大于预设阈值α时，数据安全共享系统倾向于使用静态脱敏类型，反之则使用动态脱敏类型。脱敏类型指示变量ω_n(l)具体如下式所示

其中，A(l)为数据d_l的大小，num_n(l)为用户u_n请求数据d_l的次数，Uⁿ为与用户u_n的用户权限相同的用户集合；typⁿ(l)∈typ为用户u_n对数据d_l的请求行为类型；κ_n(l)为用户u_n对数据d_l的请求行为正常度指示变量，由用户u_n请求行为类型typⁿ(l)的历史请求次数与总请求次数N^total(l)的比值决定；μ为预设的脱敏类型指示变量ω_n(l)的用户权限差异化程度指标的量纲调整系数，可以对数据进行缩放使其落在同一个数量级上。上式中，第一项代表与用户u_n相同权限的用户对数据d_l的总请求量大小，当总请求量较大时，脱敏指示变量ω_n(l)随之增大，系统倾向于使用静态脱敏方式，以减小对同一数据的重复脱敏次数，提高脱敏效率；第二项代表用户u_n的请求行为正常度，正常度越低，说明用户出现了异常访问情况，此时系统倾向于使用脱敏效果更好的动态脱敏方式。

S1.4：数据脱敏强度确定。本发明综合考虑用户权限、请求数据的密级与类别、用户请求行为(包括只读、编辑、二次转发和U盘共享)等差异化指标，实现高密级数据脱敏强度的确定。定义数据d_l在被用户u_n请求访问时的脱敏强度为θ_n(l)，表示为

其中，Ξ_n为用户u_n的用户权限指标，其取值范围为[α₁,α₂]，用户权限越大该指标取值越大；Υ(l)为数据d_l的密级指标，其预设取值范围为[β₁,β₂]，数据密级越高该指标取值越大；当数据密级高于用户权限的程度越大时，数据脱敏的强度就随之越大；χ(l)为数据d_l的类型指标，所有数据可根据电力系统数据特征分为四类，按重要度由高到低依次排列分别为：生产实时控制大区数据、生产非实时控制大区数据、生产管理大区数据和非生产实时信息区数据，对这四种类型由大到小分别赋值为x₁,x₂,x₃,x₄，数据类型的重要度越大，脱敏强度越大；为用户u_n对数据d_l请求行为typ_n(l)的打分指标，按照只读、编辑、二次转发和U盘共享的顺序，预设分值由小到大分别为y₁,y₂,y₃,y₄，数值越大脱敏强度越大；ρ为预设的脱敏强度θ_n(l)的量纲调整系数，可以对数据进行缩放使其落在同一个数量级上。需要特别说明的是，Ψ_n(l)为u_n用户权限对数据d_l数据密度的匹配指示变量，当用户u_n权限不支持访问数据d_l时，该指示变量为一个无穷大的常数，此时终止数据共享，而当用户u_n权限可以访问数据d_l时，该指示变量为一个负数，数据脱敏强度由差异化指标决定。

S1.5：数据共享情况存储。在数据安全共享系统完成脱敏策略的选择后在脱敏数据处置层中存储此次数据共享的摘要信息abr_n(l)，如下式所示

abr_n(l)＝{accinfo_n(l),ser_n(l),IP_n(l),datplv_n(l),typⁿ(l)} (4)

其中，accinfo_n(l)为用户u_n的账号信息、ser_n(l)为用户u_n发起共享数据d_l请求的计算机序列号、IP_n(l)为用户u_n发起共享数据d_l请求时的IP地址信息、datplv_n(l)为被用户u_n请求的数据d_l的密级与类别。

S1.6：脱敏数据的再加密处理和请求者信息上传。为保证脱敏后的数据只能被请求共享的用户打开，防止外部用户的窃密攻击行为，采用密码复杂度高、处理速度快、机器性能消耗更小的国密算法(SM2)对脱敏后的数据进行再加密和处理，使得脱敏后的数据在打开时必须输入正确密码、并自动上传用于打开数据的计算机序列号、IP等信息并与S1.5中脱敏数据处置层中存储的数据共享摘要信息匹配后方可打开。

S2：在完成S1所述适配差异化共享请求信息的高密级数据自适应脱敏的基础上，本发明提出了一种基于多域联合的高密级数据泄露告警与溯源方法。该方法从密码域、IP域和信息域三方面对涉及脱敏后高密级数据的非法访问行为进行告警与溯源。

S2.1：基于密码域的高密级数据泄露告警与溯源方法。本发明所提出的数据安全共享系统会自动记录每个申请高密级数据共享用户的密码输入次数，并预设一个错误上限阈值ζ。当用户输入密码错误次数超过阈值ζ时，计算机自动将此事件及计算机序列号、IP等信息上报至数据安全共享系统，系统根据上述信息对此事件进行告警与溯源。

S2.2：基于IP域与计算机域的高密级数据泄露告警与溯源方法。当用户正确输入密码后，计算机会自动将此事件及计算机序列号、IP等信息上报至数据安全共享系统。数据安全共享系统对访问用户u_n'的计算机序列号、IP等信息与预先上传的数据共享摘要信息进行比对，并生成一个摘要信息偏差度dev_n(l)，当偏差度大于0时，表示实际访问用户的计算机序列号和IP地址至少有一项与共享摘要信息中存储的不一致，系统便会判定此时有数据泄露的风险，并立刻对用户u_n和u_n'的数据共享请求行为进行告警与溯源。摘要信息偏差度dev_n(l)具体表示为

dev_n(l)＝match(ser_n(l)/ser_n'(l))+match(IP_n(l)/IP_n'(l)) (3)

其中，ser_n'(l)为实际访问数据d_l的用户u_n'的计算机序列号；IP_n'(l)为实际访问数据d_l的用户u_n'的IP地址；match(ser_n(l)/ser_n'(l))和match(IP_n(l)/IP_n'(l))分别为计算机序列号与IP地址的偏差指示变量，当实际访问数据用户d_n的计算机序列号或IP地址与数据共享摘要信息中用户d_n'的计算机序列号或IP地址不同时，指示变量为1，反之为0。

S2中所述的溯源可以采用日志记录法实现，通过哈希函数对路由器中的访问数据包进行摘要存储，并将其记录在各路由器中。在需要对数据泄露事件进行溯源时，提取路由器中存储的摘要数据，并对其加以分析，以此获取攻击者的IP地址、访问路径和访问方式等信息。

实施例2：

本实施例2构建一种基于多域联合的高密级数据共享防泄漏系统，应用于实施例1所述的方法；基于多域联合的高密级数据共享防泄漏系统包括原始数据获取层、高密级数据处理层、脱敏数据处置层。其中，原始数据获取层包含数据获取模块、数据预处理模块；高密级数据处理层包含数据脱敏策略选择模块、适配差异化共享请求的脱敏驱动引擎模块、高密级数据泄露告警与溯源模块；脱敏数据处置层包含通用访问接口模块、数据存储模块、数据库模块。具体如下所示：

S3.1：原始数据获取层

数据获取模块：从原始数据库或各类电力业务系统中根据用户数据共享请求提取对应的未脱敏的原始电力数据，如：用电信息采集数据、电网拓扑数据、电网运检数据和电力企业管理数据等。

数据预处理模块：对某些有特定需求的数据进行预处理(数据变换、数据清理等)，并将完成处理后的数据上传至高密级数据处理层。

S3.2：高密级数据处理层

数据脱敏策略选择模块：联合考虑用户权限、请求数据的密级与类别、数据请求行为(包括只读、编辑、二次转发和U盘共享)等差异化指标，针对不同用户的数据共享请求行为生成对应的数据脱敏策略，并指导适配差异化共享请求的脱敏驱动引擎模块对数据进行脱敏。

数据脱敏驱动引擎模块：接收原始数据获取层上传的经过预处理的数据，根据数据脱敏策略选择模块的配置对数据进行脱敏操作，并将脱敏后的数据上传至脱敏数据处置层。

高密级数据泄露告警与溯源模块：基于数据共享摘要信息abr_n(l)中包含的用户密码域、IP域和信息域三方面信息对涉及脱敏后高密级数据的非法访问行为进行告警，并使用日志记录法进行溯源。

S3.3：脱敏数据处置层

数据存储模块：用于缓存静态脱敏后数据与S1.5中数据共享摘要信息的长期存储与动态脱敏数据，由外部数据库提供支撑服务。

通用访问接口模块：外界数据共享请求用户经由此模块获取数据存储模块中完成脱敏的数据，同时将自身的账号信息、计算机序列号、IP地址等数据经由该模块存入数据存储模块中。

实施例3：

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于计算机可读存储介质中，并由处理器进行加载和执行。

为此，本发明实施例提供一种存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本发明实施例所提供的任一一种基于多域联合的高密级数据共享防泄漏方法中的步骤。

例如该指令可以执行如下步骤：

S1：利用适配差异化共享请求信息的高密级数据自适应脱敏机制，根据不同用户权限、脱敏策略以及脱敏强度，得到高密级数据的差异化自适应脱敏结果，对脱敏后的数据进行加密，并自动上传访问者信息；

S2：在完成步骤S1所述适配差异化共享请求信息的高密级数据自适应脱敏后，利用多域联合的高密级数据泄露告警与溯源方法，从密码域、IP域和信息域三方面对涉及脱敏后高密级数据的非法访问行为进行告警与溯源，即实现了基于多域联合的高密级数据共享防泄漏。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

上面对本发明优选实施方式作了详细说明，但是本发明不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。

不脱离本发明的构思和范围可以做出许多其他改变和改型。应当理解，本发明不限于特定的实施方式，本发明的范围由所附权利要求限定。

Claims (10)

1.一种基于多域联合的高密级数据共享防泄漏系统，其特征在于，所述系统包括：原始数据获取层、高密级数据处理层和脱敏数据处置层；

所述原始数据获取层包括数据获取模块和数据预处理模块；所述数据获取模块：从原始数据库或各类电力业务系统中根据用户数据共享请求提取对应的未脱敏的原始电力数据，并将所述数据发送至数据预处理模块；数据预处理模块：对有特定需求的数据进行预处理，并将完成处理后的数据上传至高密级数据处理层；

所述高密级数据处理层包括数据脱敏策略选择模块、适配差异化共享请求的脱敏驱动引擎模块、高密级数据泄露告警和溯源模块；所述数据脱敏策略选择模块：联合考虑用户权限、请求数据的密级与类别、数据请求行为差异化指标，针对不同用户的数据共享请求行为生成对应的数据脱敏策略，并指导适配差异化共享请求的脱敏驱动引擎模块对数据进行脱敏；所述数据脱敏驱动引擎模块：接收原始数据获取层上传的经过预处理的数据，根据数据脱敏策略选择模块的配置对数据进行脱敏操作，并将脱敏后的数据上传至脱敏数据处置层；所述高密级数据泄露告警与溯源模块：基于数据共享摘要信息abr_n(l)中包含的用户密码域、IP域和信息域三方面信息对涉及脱敏后高密级数据的非法访问行为进行告警，并使用日志记录法进行溯源；

所述脱敏数据处置层包括通用访问接口模块和数据存储模块；所述数据存储模块：用于缓存静态脱敏后数据与数据共享摘要信息的长期存储与动态脱敏数据，由外部数据库提供支撑服务；所述通用访问接口模块：外界数据共享请求用户经由此模块获取数据存储模块中完成脱敏的数据，同时将自身的账号信息、计算机序列号及IP地址数据经由该模块存入数据存储模块中。

2.根据权利要求1所述的一种基于多域联合的高密级数据共享防泄漏系统，其特征在于，所述未脱敏的原始电力数据包括：用电信息采集数据、电网拓扑数据、电网运检数据和电力企业管理数据。

3.根据权利要求1所述的一种基于多域联合的高密级数据共享防泄漏系统，其特征在于，数据请求行为包括：只读typ₁、编辑typ₂、二次转发typ₃和U盘共享typ₄。

4.一种基于多域联合的高密级数据共享防泄漏方法，其特征在于，所述方法应用于权利要求1-3中任一项所述的一种基于多域联合的高密级数据共享防泄漏系统，所述方法包括：

S1：利用适配差异化共享请求信息的高密级数据自适应脱敏机制，根据不同用户权限、脱敏策略以及脱敏强度，得到高密级数据的差异化自适应脱敏结果，对脱敏后的数据进行加密，并自动上传访问者信息；

S2：在完成步骤S1所述适配差异化共享请求信息的高密级数据自适应脱敏后，利用多域联合的高密级数据泄露告警与溯源方法，从密码域、IP域和信息域三方面对涉及脱敏后高密级数据的非法访问行为进行告警与溯源，即实现了基于多域联合的高密级数据共享防泄漏。

5.根据权利要求4所述的一种基于多域联合的高密级数据共享防泄漏方法，其特征在于，所述步骤S1具体包括：

S11：数据集与用户集的确定：将数据安全共享系统中的所有涉密数据确定为一个包含L条数据的数据集合，表示为D＝{d₁,d₂,...,d_l,...,d_L}，其中，d_l为第l条数据；将所有对数据共享平台发送高密级数据脱敏请求的用户定义为一个包含N个用户的用户集合，表示为，U＝{u₁,u₂,...,u_n,...,u_N}，其中，u_n为第n个用户；

S12：基于多指标联合考虑的高密级数据脱敏策略选择：通过考虑用户权限、请求数据的密级和类型、请求数据量大小、用户请求行为类型typ＝{typ_i|i＝1,2,3,4}差异化指标，自适应优化高密级数据脱敏策略的选择；数据脱敏策略的选择分为两步，第一步为数据脱敏类型选择，第二步为数据脱敏强度确定；

S13：数据脱敏类型确定：数据脱敏类型分为静态数据脱敏与动态数据脱敏两类；静态脱敏从原数据库中导出整个数据，脱敏完毕之后存储于外部非生产环境中，用于测试分析或与第三方合作交流；动态脱敏是指系统根据包括用户权限高低在内的多种数据脱敏需求实时对数据脱敏，并将脱敏后的数据直接提出；根据上述特征，通过构建用户u_n对数据d_l的脱敏类型指示变量ω_n(l)完成对数据脱敏类型的选择；当脱敏指示变量ω_n(l)大于预设阈值α时，数据安全共享系统倾向于使用静态脱敏类型，反之使用动态脱敏类型；

S14：数据脱敏强度确定：考虑用户权限、请求数据的密级与类别、用户请求行为差异化指标，实现高密级数据脱敏强度的确定；确定数据d_l在被用户u_n请求访问时的脱敏强度为θ_n(l)，表示为：

其中，Ξ_n为用户u_n的用户权限指标，其取值范围为[α₁,α₂]，用户权限越大该指标取值越大；Υ(l)为数据d_l的密级指标，其预设取值范围为[β₁,β₂]，数据密级越高该指标取值越大；当数据密级高于用户权限的程度越大时，数据脱敏的强度就随之越大；χ(l)为数据d_l的类型指标，可根据电力系统数据特征分为四类，按重要度由高到低依次排列分别为：生产实时控制大区数据、生产非实时控制大区数据、生产管理大区数据和非生产实时信息区数据，对这四种类型由大到小分别赋值为x₁,x₂,x₃,x₄，数据类型的重要度越大，脱敏强度越大；为用户u_n对数据d_l请求行为typ_n(l)的打分指标，按照只读、编辑、二次转发和U盘共享的顺序，预设分值由小到大分别为y₁,y₂,y₃,y₄，数值越大脱敏强度越大；ρ为预设的脱敏强度θ_n(l)的量纲调整系数，对数据进行缩放使其落在同一个数量级上；所述Ψ_n(l)为u_n用户权限对数据d_l数据密度的匹配指示变量，当用户u_n权限不支持访问数据d_l时，该指示变量为一个无穷大的常数，此时终止数据共享，而当用户u_n权限可以访问数据d_l时，该指示变量为一个负数，数据脱敏强度由差异化指标决定；

S15：数据共享情况存储：在数据安全共享系统完成脱敏策略的选择后在脱敏数据处置层中存储此次数据共享的摘要信息abr_n(l)，如下式所示：

abr_n(l)＝{accinfo_n(l),ser_n(l),IP_n(l),datplv_n(l),typⁿ(l)} (4)

其中，accinfo_n(l)为用户u_n的账号信息、ser_n(l)为用户u_n发起共享数据d_l请求的计算机序列号、IP_n(l)为用户u_n发起共享数据d_l请求时的IP地址信息、datplv_n(l)为被用户u_n请求的数据d_l的密级与类别；

S16：脱敏数据的再加密处理和请求者信息上传：采用国密算法SM2对脱敏后的数据进行再加密和处理，使得脱敏后的数据在打开时必须输入正确密码、并自动上传用于打开数据的计算机序列号、IP信息并与步骤S15中脱敏数据处置层中存储的数据共享摘要信息匹配后打开。

6.根据权利要求5所述的一种基于多域联合的高密级数据共享防泄漏方法，其特征在于，所述脱敏类型指示变量ω_n(l)具体如下式所示：

其中，A(l)为数据d_l的大小，num_n(l)为用户u_n请求数据d_l的次数，Uⁿ为与用户u_n的用户权限相同的用户集合；typⁿ(l)∈typ为用户u_n对数据d_l的请求行为类型；κ_n(l)为用户u_n对数据d_l的请求行为正常度指示变量，由用户u_n请求行为类型typⁿ(l)的历史请求次数与总请求次数N^total(l)的比值决定；μ为预设的脱敏类型指示变量ω_n(l)的用户权限差异化程度指标的量纲调整系数，对数据进行缩放使其落在同一个数量级上；上式中，第一项代表与用户u_n相同权限的用户对数据d_l的总请求量大小，当总请求量较大时，脱敏指示变量ω_n(l)随之增大，系统倾向于使用静态脱敏方式，以减小对同一数据的重复脱敏次数，提高脱敏效率；第二项代表用户u_n的请求行为正常度，正常度越低，说明用户出现了异常访问情况，此时系统倾向于使用脱敏效果更好的动态脱敏方式。

7.根据权利要求4所述的一种基于多域联合的高密级数据共享防泄漏方法，其特征在于，所述步骤S2具体包括：

S21：自动记录每个申请高密级数据共享用户的密码输入次数，并预设一个错误上限阈值ζ，当用户输入密码错误次数超过阈值ζ时，将此事件及计算机序列号、IP信息上报，根据上述信息对此事件进行告警与溯源；

S22：当用户正确输入密码后，自动将此事件及计算机序列号、IP信息上报，对访问用户u_n'的计算机序列号、IP信息与预先上传的数据共享摘要信息进行比对，并生成一个摘要信息偏差度dev_n(l)，当偏差度大于0时，表示实际访问用户的计算机序列号和IP地址至少有一项与共享摘要信息中存储的不一致，系统便会判定此时有数据泄露的风险，并对用户u_n和u_n'的数据共享请求行为进行告警与溯源。

8.根据权利要求7所述的一种基于多域联合的高密级数据共享防泄漏方法，其特征在于，所述步骤S22中，摘要信息偏差度dev_n(l)具体表示为：

dev_n(l)＝match(ser_n(l)/ser_n'(l))+match(IP_n(l)/IP_n'(l)) (3)

其中，ser_n'(l)为实际访问数据d_l的用户u_n'的计算机序列号；IP_n'(l)为实际访问数据d_l的用户u_n'的IP地址；match(ser_n(l)/ser_n'(l))和match(IP_n(l)/IP_n'(l))分别为计算机序列号与IP地址的偏差指示变量，当实际访问数据用户d_n的计算机序列号或IP地址与数据共享摘要信息中用户d_n'的计算机序列号或IP地址不同时，指示变量为1，反之为0。

9.根据权利要求7所述的一种基于多域联合的高密级数据共享防泄漏方法，其特征在于，在所述步骤S2中所述的溯源采用日志记录法实现，通过哈希函数对路由器中的访问数据包进行摘要存储，并将其记录在各路由器中，在需要对数据泄露事件进行溯源时，提取路由器中存储的摘要数据，以此获取攻击者的IP地址、访问路径和访问方式信息。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现权利要求4-9中任一项所述的方法。