CN117240603A - 数据传输方法、系统、装置、电子设备及存储介质 - Google Patents
数据传输方法、系统、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117240603A CN117240603A CN202311490482.9A CN202311490482A CN117240603A CN 117240603 A CN117240603 A CN 117240603A CN 202311490482 A CN202311490482 A CN 202311490482A CN 117240603 A CN117240603 A CN 117240603A
- Authority
- CN
- China
- Prior art keywords
- data
- local
- security
- data message
- security device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 97
- 238000000034 method Methods 0.000 title claims abstract description 72
- 238000001514 detection method Methods 0.000 claims abstract description 121
- 238000002955 isolation Methods 0.000 claims description 38
- 230000008569 process Effects 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 13
- 238000011217 control strategy Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 7
- 230000006854 communication Effects 0.000 abstract description 13
- 238000004891 communication Methods 0.000 abstract description 13
- 230000003993 interaction Effects 0.000 abstract description 9
- 230000007246 mechanism Effects 0.000 abstract description 7
- 230000007175 bidirectional communication Effects 0.000 abstract description 6
- 230000002457 bidirectional effect Effects 0.000 abstract description 6
- 239000010410 layer Substances 0.000 description 12
- 238000012795 verification Methods 0.000 description 8
- 239000013598 vector Substances 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000000586 desensitisation Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000032683 aging Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种数据传输方法、系统、装置、电子设备及存储介质,涉及通信技术领域。该方法通过本端安全设备对数据报文进行敏感数据检测,在数据报文不包括敏感数据时,则将数据报文通过安全传输通道传输给其他网络,如此可在敏感数据检测和安全传输通道的双层安全机制下实现数据的双向交互,有效提高了数据传输的安全性,能够满足需要实现高效可靠双向通信的业务场景。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种数据传输方法、系统、装置、电子设备及存储介质。
背景技术
当前随着大数据、云计算、移动互联、工业4.0、互联网+等新兴技术及应用的迅猛发展,信息系统间的信息交换、资源共享越来越频繁,各基础信息网络和重要信息系统所面临的安全威胁和安全隐患日益加重。
目前广泛使用单向隔离装置来实现数据的安全传输,虽然其能够在一定程度上降低各信息系统之间相互渗透的风险,但是单向隔离装置不具备数据双向通信的功能,不能满足需要实现高效可靠双向通信的业务场景。
发明内容
本申请实施例的目的在于提供一种数据传输方法、系统、装置、电子设备及存储介质,用以改善现有的方式不能满足需要实现高效可靠双向通信的业务场景的问题。
第一方面,本申请实施例提供了一种数据传输方法,所述方法包括:
本端安全设备接收第一网络传输的数据报文;
所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果;
在所述检测结果为所述数据报文不包括敏感数据时,所述本端安全设备将所述数据报文通过安全传输通道传输给第二网络。
在上述实现过程中,通过本端安全设备对数据报文进行敏感数据检测,在数据报文不包括敏感数据时,则将数据报文通过安全传输通道传输给其他网络,如此可在敏感数据检测和安全传输通道的双层安全机制下实现数据的双向交互,有效提高了数据传输的安全性,能够满足需要实现高效可靠双向通信的业务场景。
可选地,所述获得检测结果之后,还包括:
在所述检测结果为所述数据报文包括敏感数据时,所述本端安全设备按照相应的安全控制策略对所述数据报文进行处理。
在上述实现过程中,按照相应的安全控制策略对包括敏感数据的数据报文进行处理,以确保包括敏感数据的数据报文不会按照正常流程泄露出去,提高了数据安全性。
可选地,所述本端安全设备按照相应的安全控制策略对所述数据报文进行处理,包括:
所述本端安全设备生成所述数据报文对应的安全事件,并上报管理中心;
或者,所述本端安全设备向管理中心上报所述数据报文对应的审批邮件;
或者,所述本端安全设备对所述数据报文执行丢弃处理。
在上述实现过程中,本端安全设备按照安全控制策略对数据报文进行处理,可有效确保包含敏感数据的数据报文不会按照正常流程传输出去,提高了数据安全性。
可选地,所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果,包括:
所述本端安全设备识别所述数据报文对应的报文协议;
若所述报文协议属于预设协议,所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果。
在上述实现过程中,对属于预设协议的数据报文进行敏感数据检测,这样无需针对所有的数据报文均进行检测,可有效降低检测量。
可选地,所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果,包括:
所述本端安全设备选择与所述预设协议相应的敏感数据检测算法对所述数据报文进行敏感数据检测,获得检测结果。
在上述实现过程中,可以针对不同预设协议设置对应的敏感数据检测算法,这样可以适应多形式、多类型、多场景下的敏感数据检测,灵活性更高。
可选地,所述本端安全设备接收第一网络传输的数据报文之前,还包括:
所述本端安全设备接收管理中心配置的安全传输通道以及安全控制策略,所述安全传输通道用于指示对数据报文通过私有协议进行传输。
在上述实现过程中,由管理中心来配置安全传输通道和安全控制策略,这样可以由管理中心实现统一管理,更加便捷。
第二方面,本申请实施例提供了一种数据传输系统,所述数据传输系统包括本端安全设备、隔离部件以及对端安全设备;
所述本端安全设备,用于接收第一网络传输的数据报文;
所述本端安全设备,还用于对所述数据报文进行敏感数据检测,获得检测结果;
所述本端安全设备,还用于在所述检测结果为所述数据报文不包括敏感数据时,将所述数据报文通过所述本端安全设备与所述隔离部件之间配置的安全传输通道传输给所述隔离部件;
所述隔离部件,用于将接收到的数据报文通过所述隔离部件与所述对端安全设备之间的安全传输通道传输给所述对端安全设备;
所述对端安全设备,用于将接收到的数据报文传输给第二网络。
在上述实现过程中,通过数据传输系统中各个设备之间的配合,实现敏感数据检测加安全传输通道的双层安全机制,有效提高数据传输过程中的安全性。
可选地,所述数据传输系统还包括管理中心,所述管理中心,用于对所述本端安全设备、所述隔离部件以及所述对端安全设备进行统一管理;
所述管理中心,还用于向所述本端安全设备、所述隔离部件以及所述对端安全设备下发配置的安全传输通道,以及向所述本端安全设备以及所述对端安全设备下发配置的安全控制策略,所述安全控制策略用于指示所述本端安全设备和所述对端安全设备对包含敏感数据的数据报文进行相应处理。
第三方面,本申请实施例提供一种数据传输装置,运行于本端安全设备,所述装置包括:
报文接收模块,用于接收第一网络传输的数据报文;
检测模块,用于对所述数据报文进行敏感数据检测,获得检测结果;
传输模块,用于在所述检测结果为所述数据报文不包括敏感数据时,所述本端安全设备将所述数据报文通过安全传输通道传输给第二网络。
第四方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第五方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种数据传输系统的结构示意图;
图2为本申请实施例提供的一种数据传输方法的流程图;
图3为本申请实施例提供的一种数据传输装置的结构框图;
图4为本申请实施例提供的一种用于执行数据传输方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本申请实施例提供了一种数据传输方法,该方法通过本端安全设备对数据报文进行敏感数据检测,在数据报文不包括敏感数据时,则将数据报文通过安全传输通道传输给其他网络,如此可在敏感数据检测和安全传输通道的双层安全机制下实现数据的双向交互,有效提高了数据传输的安全性,能够满足需要实现高效可靠双向通信的业务场景。
请参照图1,图1为本申请实施例提供的一种数据传输系统100的结构示意图,该数据传输系统100包括本端安全设备110、隔离部件120以及对端安全设备130。
本端安全设备110与第一网络连接,用于接收第一网络传输给第二网络的数据报文,并对数据报文进行敏感数据检测,获得检测结果,在检测结果为数据不包括敏感数据时,将数据报文通过本端安全设备110与隔离部件120之间配置的安全传输通道传输给隔离部件120。
隔离部件120接收到本端安全设备110发送的数据报文后,将数据报文通过隔离部件120与对端安全设备130之间的安全传输通道发送给对端安全设备130,使得对端安全设备130即可将数据报文传输给第二网络。
其中,本端安全设备110和对端安全设备130可以是相对而言的,如若需要将第二网络的数据报文传输给第一网络,在这种情况下,对端安全设备130也可以作为本端安全设备110,而本端安全设备110也可以作为对端安全设备130。第一网络和第二网络可以是内网或外网,如第一网络为企业内部网络,第二网络为公共网络,或者第一网络为公共网络,第二网络为企业内部网络,为了便于理解,下述实施例中均以第一网络为内网,第二网络为外网进行举例说明。
本端安全设备110、隔离部件120和对端安全设备130可以是三个独立的盒式设备,三个设备之间形成安全传输通道进行数据报文的传输,如此可将第一网络和第二网络之间的数据进行隔离,实现数据的安全交互。
在一些实施方式中,数据传输系统100还可包括管理中心140,管理中心140用于对本端安全设备110、隔离部件120以及对端安全设备130进行统一管理,还用于向本端安全设备110、隔离部件120以及对端安全设备130下发配置的安全传输通道,以及向本端安全设备110以及对端安全设备130下发配置的安全控制策略,该安全控制策略用于指示本端安全设备110和对端安全设备130对包含敏感数据的数据报文进行相应处理。
例如,管理员可在管理中心140中对本端安全设备110、隔离部件120以及对端安全设备130进行相应配置,然后管理中心140可将配置信息下发给各个设备,通过加入管理中心140,可便于实现对各个设备的统一管理,便于下发安全控制策略以及便于对安全控制策略的更改等,这样就无需在各个设备上进行分别配置,只需要在管理中心上配置一次即可实现,更加方便高效。
下面结合数据传输方法的具体实现过程,对上述实施例进行说明。
请参照图2,图2为本申请实施例提供的一种数据传输方法的流程图,该方法包括如下步骤:
步骤S210:本端安全设备接收第一网络传输的数据报文。
本端安全设备连接第一网络,第一网络将数据报文传输给第二网络时,需要先将数据报文传输给本端安全设备,本端安全设备接收到数据报文后,由于不同的报文协议对报文的封装有一定的差异,所以可以先对数据报文进行解析,识别出数据报文的报文协议,然后按照相应的报文协议对数据报文进行解封装,从中获取数据报文中携带的原始内容。
步骤S220:本端安全设备对数据报文进行敏感数据检测,获得检测结果。
本端安全设备对数据报文进行解封装后,可获得数据报文中携带的原始内容,然后为了确保数据传输安全,可对原始内容进行敏感数据检测。敏感数据是指一些在数据泄露后造成安全威胁的数据,如个人隐私数据、企业内部的隐私数据等。所以本端安全设备可检测数据报文中是否包含有敏感数据,如果包含,则表示数据报文是非安全的报文,一般不能外泄,不能按照正常处理流程进行传输,如果不包含,则表示数据报文是安全的报文,可以按照正常处理流程进行传输。
其中,对数据报文进行敏感数据检测时,可以对数据报文进行关键字、正则表达式、字典、图章、协议、文件类型等方式进行检测,从而检测出其是否包含敏感数据。或者也可以采用一些敏感数据检测算法来进行检测,如采用语义模型来检测。
这些检测算法可以是通过管理中心配置在本端安全设备中的,当然,对端安全设备中也由管理中心配置有相应的检测算法,其本端安全设备和对端安全设备中配置的检测算法可以相同,也可以不同,在实际应用中,可以根据实际需求灵活配置。
在一些实施方式中,管理中心中可以预先存储有多种检测算法,这些检测算法可以根据实际需求通过管理员在管理中心进行更新,而管理中心可从中选择其中的一种或者多种检测算法配置到本端安全设备和对端安全设备中,或者在给本端安全设备和对端安全设备配置好检测算法后,管理中心可以不定时或定时更新本端安全设备和对端安全设备中的检测算法,如在初始时,管理中心在本端安全设备和对端安全设备中配置检测算法1,则在一定时间后,管理中心可再次在本端安全设备和对端安全设备中配置检测算法2,并删除检测算法1,或者检测算法1设置有老化时间,在老化时间到达时,检测算法1自动删除,此时本端安全设备和对端安全设备在检测算法1删除后,可自动请求管理中心重新配置新的检测算法,以此实现检测算法的更新。
步骤S230:在检测结果为数据报文不包括敏感数据时,本端安全设备将数据报文通过安全传输通道传输给第二网络。
本端安全设备通过检测算法对数据报文进行敏感数据检测后,获得检测结果,若其检测结果为数据报文不包括敏感数据时,则本端安全设备先将数据报文进行重新编码,对重新编码后的数据报文进行网络层协议解析,然后提取应用层数据(即重编码后的数据报文)通过安全传输通道发送给隔离部件。隔离部件对应用层数据进行报文重封装,即使用私有协议完成本端安全设备与对端安全设备之间的数据传输,确保数据的安全传输,即隔离部件接收到数据报文后,可以将数据报文通过私有协议进行封装后传输给对端安全设备。
所以,这里所指的安全传输通道用于指示对数据报文通过私有协议进行传输,私有协议是指非TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议),可以使数据报文在第一网络和第二网络之间实现物理隔离,确保数据传输的安全性。即在两个隔离网络之间,在TCP/IP协议彻底阻断的情况下,源端提供HTTP(Hypertext Transfer Protocol,超文本传输协议)、SMTP(Simple Mail TransferProtocol,电子邮件传输协议)、POP3(Post Office Protocol - Version 3,邮局协议版本3)、FTP(File Transfer Protocol,文件传输协议)、Oracle等应用级检测通道,从而实现对会话层以下网络威胁的屏蔽,以及对两个隔离网络间交互数据的访问控制。
而安全传输通道也可以是由管理中心配置的,即管理中心在本端安全设备、隔离部件、对端安全设备之间配置安全传输通道,以使得这三个设备之间的数据报文通过安全传输通道进行安全传输。
需要说明的是,安全传输通道具体实现方式可不仅仅是由本端安全设备、隔离部件和对端安全设备之间形成的,也可以是由本端安全设备和对端安全设备两个设备之间形成的,其具体实现方式在实际应用中可作灵活设置。
上述的隔离部件可以是一种双层设备,分为部件内端和部件外端,部件内端与本端安全设备连接,与本端安全设备实现数据的安全交互,部件外端与对端安全设备连接,与对端安全设备实现数据的安全交互。
对端安全设备连接第二网络,对端安全设备也可以将第二网络传输给第一网络的数据报文进行敏感数据检测,检测通过后,通过隔离部件传输给本端安全设备。对端安全设备和本端安全设备具有相同或相似的功能,均能对数据报文进行敏感数据检测,但是其检测敏感数据的检测算法可以相同或不同。
在上述实现过程中,通过本端安全设备对数据报文进行敏感数据检测,在数据报文不包括敏感数据时,则将数据报文通过安全传输通道传输给其他网络,如此可在敏感数据检测和安全传输通道的双层安全机制下实现数据的双向交互,有效提高了数据传输的安全性,能够满足需要实现高效可靠双向通信的业务场景。
在上述实施例的基础上,在检测结果为数据报文包括敏感数据时,本端安全设备可按照相应的安全控制策略对数据报文进行处理。
其中,安全控制策略也可以是管理中心给本端安全设备配置的,当然在对端安全设备中也配置有相应的安全控制策略,本端安全设备和对端安全设备中配置的安全控制策略可以相同,也可以不同。
其中,安全控制策略可以是本端安全设备生成数据报文对应的安全事件,并上报管理中心,可以由管理中心对该安全事件进行审批,如管理中心可以通过一定的审批规则审批该安全事件的安全威胁程度,如果安全威胁程度较小或没有,则可审批通过,然后管理中心可通知本端安全设备审批通过,此时,本端安全设备可将数据报文正常传输给隔离部件,而若安全威胁程度较大,审批不通过,则管理中心可通知本端安全设备审批不通过,此时,本端安全设备可直接将该数据报文进行丢弃。
或者,安全控制策略可以是本端安全设备向管理中心上报数据报文对应的审批邮件,即审批邮件用于记录事件日志,便于后续进行追溯。此时,本端安全设备可以在发送审批邮件后,将数据报文正常传输到隔离部件。
或者,安全控制策略可以是本端安全设备对数据报文执行丢弃处理,即直接对包含敏感数据的数据报文进行丢弃,而不继续传输。
或者,安全控制策略也可以是本端安全设备对数据报文进行脱敏处理,如识别出数据报文中的敏感数据,然后获取敏感数据对应的脱敏规则,如对敏感数据进行改写,包括但不限于在敏感数据上添加保护字段或模糊字段,使得敏感数据称为非敏感数据,从而实现数据的脱敏。
其中,脱敏规则可以是存储在管理中心的,由本端安全设备从管理中心处请求获得,也可以是管理中心预先配置在本端安全设备中的。
可以理解地,对端安全设备也可以配置上述的安全控制策略。实际应用中,也可以根据需求,灵活配置与上述不一样的安全控制策略,如安全控制策略还可以是对数据报文进行加密处理。
在上述实现过程中,按照相应的安全控制策略对包括敏感数据的数据报文进行处理,以确保包括敏感数据的数据报文不会按照正常流程泄露出去,提高了数据安全性。
在一些实施方式中,在管理中心为本端安全设备和对端安全设备配置安全传输通道以及安全控制策略、检测算法时,为了避免非法人员在管理中心中随意配置信息导致信息产生安全威胁的情况,本端安全设备和对端安全设备可以与管理中心约定一个配置密钥,如本端安全设备和对端安全设备在接收到管理中心下发的配置信息时,向管理中心返回一个输入密钥提示信息,管理中心收到该提示信息后,可提示用户输入相应的密钥,若用户输入相应的密钥,则将密钥发送给本端安全设备和对端安全设备,由本端安全设备和对端安全设备对密钥进行验证,若验证通过,则可实现成功配置,若验证不通过,则配置失败,无论是否配置成功,本端安全设备和对端安全设备均可向管理中心反馈一个配置结果提示信息,这样由本端安全设备和对端安全设备来对密钥进行验证,可避免非法人员在管理中心非法更改密钥而导致管理中心验证密钥安全性不高的问题。
当然,在用户初始在管理中心配置信息时,管理中心可首先对用户的身份进行验证,如用户可在管理中心输入相应的验证信息(如账户、密码等信息),管理中心在验证通过后,则可允许用户在管理中心中输入相应的配置信息或对已配置的信息进行更改,如安全控制策略、安全传输通道、检测算法等,若验证不通过,则不允许用户进行配置。管理中心验证通过后,后续又可以由本端安全设备和对端安全设备采用密钥进行验证,如此通过双层验证方式,以确保配置过程的安全性。
在上述实施例的基础上,本端安全设备或对端安全设备可以选择对某些数据报文进行敏感数据检测,而不需要对所有的数据报文均进行敏感数据检测,以减少其检测量,如本端安全设备可以先识别数据报文对应的报文协议,若报文协议属于预设协议,则本端安全设备对数据报文进行敏感数据检测,获得检测结果。
其中,预设协议可以有多种,这样可以灵活设置针对一些报文协议的数据报文进行敏感数据识别,如预设协议包括协议1和协议2,若数据报文对应的报文协议为协议1,则对该数据报文进行敏感数据检测,若数据报文对应的报文协议为协议3,不属于预设协议,则不对数据报文进行敏感数据检测,而是可以直接将数据报文传输给隔离部件。
可以理解地,在另一些实施方式中,还可以对满足其他条件的数据报文进行敏感数据检测,其他条件如报文内容的长度大于设定长度、数据报文的源IP地址属于设定IP地址、数据报文的目的IP地址属于设定IP地址等,如此也可以在判断数据报文满足这些条件时,对数据报文进行敏感数据检测,而在数据报文不满足这些条件时,不对数据报文进行敏感数据检测,可以直接将数据报文传输给隔离部件进行发送。
在上述实现过程中,对属于预设协议的数据报文进行敏感数据检测,这样无需针对所有的数据报文均进行检测,可有效降低检测量。
在上述实施例的基础上,管理中心还可以配置针对满足不同条件的数据报文,采用不同的检测算法进行敏感数据检测,如本端安全设备可以选择与预设协议相应的敏感数据检测算法,对数据报文进行敏感数据检测,获得检测结果,其中,敏感数据检测算法可以为管理中心在本端安全设备中配置的,或者是用户直接在本端安全设备中配置的。
如管理中心可以在本端安全设备和对端安全设备中配置预设协议与敏感数据检测算法之间的对应关系,这样本端安全设备或对端安全设备在识别出数据报文的报文协议属于预设协议时,通过对应关系获取预设协议对应的敏感数据检测算法,然后利用该敏感数据检测算法来检测数据报文是否包括敏感数据,获得检测结果。
当然,预设协议与敏感数据检测算法之间的对应关系也可以根据实际需求进行灵活更新,如针对威胁程度较高的预设协议,其可以采用精度更高的敏感数据检测算法来进行检测,而针对威胁程度较低的预设协议,则可以采用精度更低、算法更简单的敏感数据检测算法来进行检测,这样可以针对不同威胁程度的数据报文,采用精度不同的敏感数据检测算法来进行检测,灵活性更强。
例如,其中一种敏感数据检测算法可以为simhash算法,其原理是通过计算两个文档转换后的海明距离,实现相似度比对,大概过程如下:
(1)解析出数据报文的原始内容,然后对原始内容进行分词,得到有效的特征向量(特征向量可以是原始内容中的词),为每个特征向量设置对应的权重,权重可以是特征向量在原始内容中出现的次数,获得多个向量对(特征向量,权重),记为 feature_weight_pairs = [fw1, fw2 ... fwn],其中 fwn = (feature_n, weight_n)。
(2)通过hash函数计算各个特征向量的hash值,hash值为二进制数0或1组成的n-bit签名,假设hash值的位数是6位。
(3)在hash值的基础上,给所有特征向量进行加权,即进行位的纵向累加,如果该位是1,则hash和权重正相乘,如果是0,则hash和权重负相乘,最后生成6位数字,如按照正1负0,[13,108,-22,-5,-32,55] ->110001。
(4)如此可将数据报文转换为一个simhash值,本端安全设备中还可以存储有多个包含敏感数据的内容,针对其他包含敏感数据的内容也可按照同样的方式获得其对应的simhash值。
(5)将数据报文的simhash值与其他内容的simhash值计算海明距离,就是A xor B后二进制中1的个数,如count_1(100111 xor 101010)=3,如果数据报文与其他任一包含敏感数据的内容之间的海明距离小于或等于设定值(设定值可以根据实际需求灵活设置),则认为数据报文与其他内容相似,则确定数据报文是包含有敏感数据的报文,反之,若数据报文与其他所有包含敏感数据的内容之间的海明距离均大于设定值,则认为数据报文中不包含敏感数据。
在上述实现过程中,可以针对不同预设协议设置对应的敏感数据检测算法,这样可以适应多形式、多类型、多场景下的敏感数据检测,灵活性更高。
本申请方案中,在通过安全传输通道进行数据传输的基础上,增加对数据报文的敏感数据检测,实现双层安全机制,可大幅度减少数据在信息交互过程中可能存在的安全隐患。
请参照图3,图3为本申请实施例提供的一种数据传输装置300的结构框图,该装置300可以是电子设备上的模块、程序段或代码。应理解,该装置300与上述图2方法实施例对应,能够执行图2方法实施例涉及的各个步骤,该装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置300包括:
报文接收模块310,用于接收第一网络传输的数据报文;
检测模块320,用于对所述数据报文进行敏感数据检测,获得检测结果;
传输模块330,用于在所述检测结果为所述数据报文不包括敏感数据时,将所述数据报文通过安全传输通道传输给第二网络。
可选地,所述装置300还包括:
报文处理模块,用于在所述检测结果为所述数据报文包括敏感数据时,按照相应的安全控制策略对所述数据报文进行处理。
可选地,所述报文处理模块,用于生成所述数据报文对应的安全事件,并上报管理中心;或者,向管理中心上报所述数据报文对应的审批邮件;或者,对所述数据报文执行丢弃处理。
可选地,所述检测模块320,用于识别所述数据报文对应的报文协议;若所述报文协议属于预设协议,对所述数据报文进行敏感数据检测,获得检测结果。
可选地,所述检测模块320,用于选择与所述预设协议相应的敏感数据检测算法对所述数据报文进行敏感数据检测,获得检测结果。
可选地,所述装置300还包括:
信息接收模块,用于接收管理中心配置的安全传输通道以及安全控制策略,所述安全传输通道用于指示对数据报文通过私有协议进行传输。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图4,图4为本申请实施例提供的一种用于执行数据传输方法的电子设备的结构示意图,该电子设备可以为上述的本端安全设备或对端安全设备,所述电子设备可以包括:至少一个处理器410,例如CPU,至少一个通信接口420,至少一个存储器430和至少一个通信总线440。其中,通信总线440用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口420用于与其他节点设备进行信令或数据的通信。存储器430可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器430可选的还可以是至少一个位于远离前述处理器的存储装置。存储器430中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器410执行时,电子设备执行上述图2所示方法过程。
可以理解,图4所示的结构仅为示意,所述电子设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图2所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:本端安全设备接收第一网络传输的数据报文;所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果;在所述检测结果为所述数据报文不包括敏感数据时,所述本端安全设备将所述数据报文通过安全传输通道传输给第二网络。
综上所述,本申请实施例提供一种数据传输方法、系统、装置、电子设备及存储介质,通过本端安全设备对数据报文进行敏感数据检测,在数据报文不包括敏感数据时,则将数据报文通过安全传输通道传输给其他网络,如此可在敏感数据检测和安全传输通道的双层安全机制下实现数据的双向交互,有效提高了数据传输的安全性,能够满足需要实现高效可靠双向通信的业务场景。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种数据传输方法,其特征在于,所述方法包括:
本端安全设备接收第一网络传输的数据报文;
所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果;
在所述检测结果为所述数据报文不包括敏感数据时,所述本端安全设备将所述数据报文通过安全传输通道传输给第二网络。
2.根据权利要求1所述的方法,其特征在于,所述获得检测结果之后,还包括:
在所述检测结果为所述数据报文包括敏感数据时,所述本端安全设备按照相应的安全控制策略对所述数据报文进行处理。
3.根据权利要求2所述的方法,其特征在于,所述本端安全设备按照相应的安全控制策略对所述数据报文进行处理,包括:
所述本端安全设备生成所述数据报文对应的安全事件,并上报管理中心;
或者,所述本端安全设备向管理中心上报所述数据报文对应的审批邮件;
或者,所述本端安全设备对所述数据报文执行丢弃处理。
4.根据权利要求1所述的方法,其特征在于,所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果,包括:
所述本端安全设备识别所述数据报文对应的报文协议;
若所述报文协议属于预设协议,所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果。
5.根据权利要求4所述的方法,其特征在于,所述本端安全设备对所述数据报文进行敏感数据检测,获得检测结果,包括:
所述本端安全设备选择与所述预设协议相应的敏感数据检测算法对所述数据报文进行敏感数据检测,获得检测结果。
6.根据权利要求1所述的方法,其特征在于,所述本端安全设备接收第一网络传输的数据报文之前,还包括:
所述本端安全设备接收管理中心配置的安全传输通道以及安全控制策略,所述安全传输通道用于指示对数据报文通过私有协议进行传输。
7.一种数据传输系统,其特征在于,所述数据传输系统包括本端安全设备、隔离部件以及对端安全设备;
所述本端安全设备,用于接收第一网络传输的数据报文;
所述本端安全设备,还用于对所述数据报文进行敏感数据检测,获得检测结果;
所述本端安全设备,还用于在所述检测结果为所述数据报文不包括敏感数据时,将所述数据报文通过所述本端安全设备与所述隔离部件之间配置的安全传输通道传输给所述隔离部件;
所述隔离部件,用于将接收到的数据报文通过所述隔离部件与所述对端安全设备之间的安全传输通道传输给所述对端安全设备;
所述对端安全设备,用于将接收到的数据报文传输给第二网络。
8.根据权利要求7所述的数据传输系统,其特征在于,所述数据传输系统还包括管理中心,所述管理中心,用于对所述本端安全设备、所述隔离部件以及所述对端安全设备进行统一管理;
所述管理中心,还用于向所述本端安全设备、所述隔离部件以及所述对端安全设备下发配置的安全传输通道,以及向所述本端安全设备以及所述对端安全设备下发配置的安全控制策略,所述安全控制策略用于指示所述本端安全设备和所述对端安全设备对包含敏感数据的数据报文进行相应处理。
9.一种数据传输装置,其特征在于,运行于本端安全设备,所述装置包括:
报文接收模块,用于接收第一网络传输的数据报文;
检测模块,用于对所述数据报文进行敏感数据检测,获得检测结果;
传输模块,用于在所述检测结果为所述数据报文不包括敏感数据时,所述本端安全设备将所述数据报文通过安全传输通道传输给第二网络。
10.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-6任一所述的方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-6任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311490482.9A CN117240603B (zh) | 2023-11-10 | 2023-11-10 | 数据传输方法、系统、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311490482.9A CN117240603B (zh) | 2023-11-10 | 2023-11-10 | 数据传输方法、系统、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117240603A true CN117240603A (zh) | 2023-12-15 |
CN117240603B CN117240603B (zh) | 2024-02-06 |
Family
ID=89095178
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311490482.9A Active CN117240603B (zh) | 2023-11-10 | 2023-11-10 | 数据传输方法、系统、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117240603B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104378657A (zh) * | 2014-09-01 | 2015-02-25 | 国家电网公司 | 一种基于代理与隔离的视频安全接入系统及其方法 |
CN107222936A (zh) * | 2017-06-26 | 2017-09-29 | 广东欧珀移动通信有限公司 | 一种数据处理方法、装置及终端 |
CN110753049A (zh) * | 2019-10-21 | 2020-02-04 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
US20210256309A1 (en) * | 2020-02-18 | 2021-08-19 | Xain Ag | Apparatuses, computer program products, and computer-implemented methods for privacy-preserving federated learning |
CN113992453A (zh) * | 2021-12-29 | 2022-01-28 | 中汽创智科技有限公司 | 一种防止数据外泄的阻断方法、装置及存储介质 |
CN114402301A (zh) * | 2019-09-20 | 2022-04-26 | 国际商业机器公司 | 在共享检测模型系统中维护数据隐私 |
US20220131876A1 (en) * | 2016-08-22 | 2022-04-28 | Paubox, Inc. | Method for securely communicating email content between a sender and a recipient |
CN115632878A (zh) * | 2022-12-06 | 2023-01-20 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
CN116112228A (zh) * | 2022-12-28 | 2023-05-12 | 北京明朝万达科技股份有限公司 | 一种https数据包发送方法、装置、电子设备及可读介质 |
CN116669032A (zh) * | 2023-05-17 | 2023-08-29 | 广州技象科技有限公司 | 一种城域物联网系统及其安全认证方法、装置、存储介质 |
-
2023
- 2023-11-10 CN CN202311490482.9A patent/CN117240603B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104378657A (zh) * | 2014-09-01 | 2015-02-25 | 国家电网公司 | 一种基于代理与隔离的视频安全接入系统及其方法 |
US20220131876A1 (en) * | 2016-08-22 | 2022-04-28 | Paubox, Inc. | Method for securely communicating email content between a sender and a recipient |
CN107222936A (zh) * | 2017-06-26 | 2017-09-29 | 广东欧珀移动通信有限公司 | 一种数据处理方法、装置及终端 |
CN114402301A (zh) * | 2019-09-20 | 2022-04-26 | 国际商业机器公司 | 在共享检测模型系统中维护数据隐私 |
CN110753049A (zh) * | 2019-10-21 | 2020-02-04 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
US20210256309A1 (en) * | 2020-02-18 | 2021-08-19 | Xain Ag | Apparatuses, computer program products, and computer-implemented methods for privacy-preserving federated learning |
CN113992453A (zh) * | 2021-12-29 | 2022-01-28 | 中汽创智科技有限公司 | 一种防止数据外泄的阻断方法、装置及存储介质 |
CN115632878A (zh) * | 2022-12-06 | 2023-01-20 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
CN116112228A (zh) * | 2022-12-28 | 2023-05-12 | 北京明朝万达科技股份有限公司 | 一种https数据包发送方法、装置、电子设备及可读介质 |
CN116669032A (zh) * | 2023-05-17 | 2023-08-29 | 广州技象科技有限公司 | 一种城域物联网系统及其安全认证方法、装置、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117240603B (zh) | 2024-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10440044B1 (en) | Identifying communicating network nodes in the same local network | |
Moudoud et al. | Prediction and detection of fdia and ddos attacks in 5g enabled iot | |
US11122061B2 (en) | Method and server for determining malicious files in network traffic | |
EP2545680B1 (en) | Behavior-based security system | |
CN110177046B (zh) | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 | |
CN104954386B (zh) | 一种网络反劫持方法及装置 | |
CN106713320A (zh) | 终端数据传输的方法和装置 | |
US9992215B2 (en) | Network intrusion detection | |
US20150222653A1 (en) | Method and system for extrusion and intrusion detection in a cloud computing environment | |
US20180089429A1 (en) | Deriving a security profile for session-based security in data centers | |
KR102134898B1 (ko) | 클라우드 기반 통합 웹서버 보안서비스 제공 시스템 및 방법 | |
US10192262B2 (en) | System for periodically updating backings for resource requests | |
Ali et al. | Uplifting healthcare cyber resilience with a multi-access edge computing zero-trust security model | |
GB2594741A (en) | Multi-directional zero-knowledge attestation systems and methods | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
EP4293550A1 (en) | Traffic processing method and protection system | |
US20170024187A1 (en) | Automated approval | |
CN113422768A (zh) | 零信任中的应用接入方法、装置及计算设备 | |
CN117240603B (zh) | 数据传输方法、系统、装置、电子设备及存储介质 | |
KR102494546B1 (ko) | 이메일 통신 프로토콜 기반 접속 관리 및 차단 기능을 제공하는 메일 접속 보안 시스템의 메일 보안 처리 장치 및 그 동작 방법 | |
CN114553577B (zh) | 一种基于多主机双隔离保密架构的网络交互系统及方法 | |
AU2016201619B2 (en) | Electronic system for securely retransmitting messages, associated retransmission method and computer program product | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
Mohamed et al. | Pscan: a port scanning network covert channel | |
CN115632889B (zh) | 一种数据保护方法、系统、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |