CN117521091A - 基于数据分类分级的安全策略矩阵的访问控制方法及系统 - Google Patents
基于数据分类分级的安全策略矩阵的访问控制方法及系统 Download PDFInfo
- Publication number
- CN117521091A CN117521091A CN202311359158.3A CN202311359158A CN117521091A CN 117521091 A CN117521091 A CN 117521091A CN 202311359158 A CN202311359158 A CN 202311359158A CN 117521091 A CN117521091 A CN 117521091A
- Authority
- CN
- China
- Prior art keywords
- data
- classification
- security policy
- security
- matrix based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 239000011159 matrix material Substances 0.000 title claims abstract description 30
- 238000005516 engineering process Methods 0.000 claims abstract description 38
- 238000012544 monitoring process Methods 0.000 claims abstract description 26
- 230000035945 sensitivity Effects 0.000 claims abstract description 25
- 238000011084 recovery Methods 0.000 claims abstract description 21
- 230000007246 mechanism Effects 0.000 claims abstract description 20
- 230000002159 abnormal effect Effects 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 6
- 238000002372 labelling Methods 0.000 claims description 8
- 230000002688 persistence Effects 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000000737 periodic effect Effects 0.000 claims description 2
- 238000013523 data management Methods 0.000 abstract description 5
- 238000003058 natural language processing Methods 0.000 description 22
- 238000007726 management method Methods 0.000 description 14
- 238000004422 calculation algorithm Methods 0.000 description 9
- 238000013475 authorization Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000012549 training Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 239000013598 vector Substances 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000007635 classification algorithm Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001035 drying Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012896 Statistical algorithm Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000011840 criminal investigation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
- G06F18/24155—Bayesian classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Software Systems (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Automation & Control Theory (AREA)
- Probability & Statistics with Applications (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于大数据安全技术领域,公开了一种基于数据分类分级的安全策略矩阵的访问控制方法及系统,本发明通过NLP技术对数据进行分类和分级,根据敏感程度、数据类型和使用范围等因素,制定相应的访问权限和安全策略;对敏感程度较高的数据结合NLP技术,对数据进行加密和解密;结合NLP技术,对数据进行实时监控和日志记录,发现异常情况及时进行处理,并建立数据备份和恢复机制。本发明实现对数据的自动化分类和分级、加密、监控和备份,从而确保数据的安全和隐私保护,提高数据管理的效率和准确率。
Description
技术领域
本发明属于大数据安全技术领域,尤其涉及一种基于数据分类分级的安全策略矩阵。
背景技术
访问控制是安全领域的基本元素,可确定谁可以在怎样的情况下访问特定的数据、应用和资源。访问控制策略极为依赖于身份验证和授权等技术,这些技术允许组织明确地验证用户的身份是否真实,以及是否根据设备、位置、角色等上下文向用户授予适当级别的访问权限。
现有的访问控制技术包括,RBAC(基于角色的访问控制):该技术方案通过将用户分配到不同的角色,从而限制他们能够访问的资源和执行的操作。可以根据用户的职责和权限来配置角色,从而简化了权限管理。
ABAC(基于属性的访问控制):该技术方案是一种更加灵活的访问控制方法,它通过考虑用户的属性和环境因素来决定可以访问的资源和执行的操作。例如,可以考虑用户的身份、位置、设备等因素来进行控制。
PBAC(基于策略的访问控制):该技术方案是一种更加通用的访问控制方法,它可以针对不同的应用场景设计不同的访问策略。例如,在医疗领域,可以根据病人的健康信息来设置访问策略。
SSO(单点登录):该技术方案通过集成不同应用的身份验证和授权机制,允许用户一次登录就可以访问多个应用程序。这样可以避免用户需要多次输入用户名和密码,提高了用户体验。
OAuth(开放授权):该技术方案允许用户向第三方应用程序授予有限的访问权限,从而避免了用户需要共享他们的用户名和密码。例如,可以使用OAuth让用户允许使用他们的Facebook账号登录一个应用程序。
访问控制技术方案都存在一些缺点和需要解决的技术问题。故需要将不同的访问控制技术方案组合使用,并注意解决各种安全问题。同时,必须使用强密码或多因素身份验证,并对敏感数据进行加密。另外,也需要实施所选方案的监视和报告功能,以及及时检测未授权的访问行为并采取相应措施。
通过上述分析,现有技术存在的问题及缺陷为,
1、RBAC(基于角色的访问控制):
1)角色繁多:RBAC模型中的角色数量可能会随着系统的复杂性而增加。当角色数量过多时,管理和维护角色变得困难,可能导致角色爆炸的问题。
2)权限细粒度控制困难:RBAC模型通常将权限分配给角色,而不是直接分配给用户。这可能导致权限控制的细粒度不足,因为用户可能需要不同的权限组合,而不仅仅是一个角色所具有的权限。
3)处理临时权限困难:RBAC模型通常是静态的,即权限分配是固定的。这使得处理临时权限变得困难,例如临时提升用户权限以完成某个任务。
4)处理角色冲突困难:RBAC模型中的角色可能存在冲突,即一个用户被分配了多个角色,而这些角色具有相互冲突的权限。处理角色冲突可能变得复杂,需要额外的管理和控制。
2、ABAC考虑多个属性会变得复杂ABAC(基于属性的访问控制):
1)管理复杂:ABAC模型的实施和管理可能比较复杂。由于需要定义和管理大量的属性,包括用户属性、资源属性和环境属性,因此需要投入更多的时间和精力来设计和维护ABAC策略。
2)属性管理难:ABAC模型依赖于属性的准确性和完整性。如果属性信息不准确或缺失,可能导致访问控制决策出现错误。因此,需要建立有效的属性管理机制来确保属性的准确性和及时更新。
3)隐私问题:ABAC模型可能需要收集和使用大量的用户和资源属性信息。这可能引发隐私问题,特别是当敏感属性被用于访问控制决策时。必须采取适当的隐私保护措施来确保属性信息的安全和合规性。
3、PBAC(基于策略的访问控制):
1)策略复杂性:PBAC模型的策略可能会变得非常复杂。由于需要定义和管理大量的策略,包括访问规则、条件和优先级等,因此需要投入更多的时间和精力来设计和维护PBAC策略。
2)策略冲突:由于PBAC模型中的策略可能是独立定义的,可能会出现策略之间的冲突。这可能导致访问控制决策出现不一致或不确定的情况,需要额外的机制来解决策略冲突。
3)策略管理:PBAC模型需要对策略进行管理和维护。当策略数量增加时,管理和维护策略可能变得困难,特别是在大型系统中。
4、SSO(单点登录):
1)单点故障:SSO系统的可用性依赖于单个身份提供者(IdP)。如果IdP发生故障或不可用,所有依赖于该IdP的应用程序都将无法进行身份验证和授权,导致系统中断。
2)安全性风险:SSO引入了一定的安全风险。如果攻击者能够获取用户的SSO凭据,他们可能能够访问用户在多个应用程序中的所有资源。
3)用户体验问题:尽管SSO可以提供便利的用户体验,但在某些情况下可能会导致用户体验问题。例如,如果用户在SSO会话过期后需要重新登录,他们可能需要重新输入凭据,这可能会破坏用户的工作流程。
5、OAuth(开放授权):
1)用户隐私:OAuth可能涉及用户授权第三方应用程序访问其个人数据。如果用户不仔细审查授权请求,可能会泄露敏感信息。
2)安全漏洞:OAuth的实施可能存在安全漏洞,如未经授权的访问令牌泄露、跨站点请求伪造(CSRF)攻击等。
3)用户体验:OAuth的授权流程可能会导致用户体验问题,如频繁的重定向和授权提示。用户可能会感到疲惫或困惑,从而降低采用OAuth的意愿。
发明内容
针对
现有技术存在的问题,本发明提供了一种基于数据分类分级的安全策略矩阵。
本发明是这样实现的:本发明提供了一种基于NLP技术的数据分类分级的安全策略矩阵,通过对数据进行自动化的分类和分级,根据敏感程度、数据类型和使用范围等因素,制定相应的访问权限和安全策略。同时,结合NLP技术,对敏感程度较高的数据进行加密和解密,确保数据的机密性。此外,本发明还利用NLP技术对数据进行实时监控和日志记录,及时发现异常情况并进行处理。同时,建立了数据备份和恢复机制,提供数据的可靠性和持续性。
进一步,基于数据分类分组的安全策略矩阵包括以下步骤:
步骤一,将数据进行分类,并通过NLP技术对数据进行标识和打标签;
步骤二,根据数据分类的结果,进行数据分级,并为每个数据级别分配相应的访问权限和安全策略;
步骤三,针对敏感程度较高的数据,采用加密技术对数据进行加密;
步骤四,建立实时监控和日志记录机制,对数据进行监控和记录。
进一步,步骤一中数据按照敏感程度、数据类型和使用范围等因素进行分类。
进一步,步骤二中结合NLP技术,对数据进行语义分析和解析。
进一步,步骤二中根据数据的敏感程度和使用范围,制定相应的数据访问策略。
进一步,步骤三中结合NLP技术,对数据进行加密和解密。
进一步,步骤四中结合NLP技术,对数据进行实时监控和日志记录。
进一步,步骤四中发现异常情况及时处理,并建立数据备份和恢复机制。
本发明的另一目的在于提供一种基于数据分类分级的安全策略矩阵在数据安全与隐私保护中的应用。
本发明的另一目的在于提供一种基于数据分类分级的安全策略矩阵的访问控制系统,包括:
数据分类与标签模块,通过NLP技术对数据进行自动化的分类和打标签;数据分级与权限分配模块,根据数据分类的结果,进行数据分级,为每个数据级别分配相应的访问权限和安全策略;
数据加密模块,针对敏感程度较高的数据,采用加密技术对数据进行加密,以确保数据的机密性;
实时监控与日志记录模块,对数据进行实时监控和日志记录,及时发现并处理异常情况;
数据备份与恢复模块,建立数据备份和恢复机制,以提供数据的可靠性和持续性。
进一步,数据分类与标签模块,通过NLP技术对包括但不限于自然语言文本、音频、图片等多种数据类型进行自动化的分类和打标签;
数据分级与权限分配模块,根据数据的敏感程度、数据类型和使用范围等因素进行数据分级,并为每个数据级别分配包括但不限于数据的存储、访问、处理和传输等规定的安全策略;
数据加密模块,采用包括但不限于对称加密、非对称加密、混淆等多种加密技术对数据进行加密;
实时监控与日志记录模块,通过包括但不限于实时监控、异常检测、日志记录等手段,对数据进行监控和记录;
数据备份与恢复模块,通过包括但不限于定期备份、快照、冗余存储等手段,建立数据备份和恢复机制,以提供数据的可靠性和持续性。
结合上述的技术方案和解决的技术问题,本发明所要保护的技术方案所具备的优点及积极效果为:
第一,自动化分类分级:利用NLP技术的朴素贝叶斯分类算法对数据进行自动化的分类和分级,根据敏感程度、数据类型和使用范围等因素制定相应的访问权限和安全策略。
首先,数据预处理,对数据进行预处理,包括去除停用词、标点符号等,并进行词干化或词形还原等操作,以便得到更准确的特征表示,这些简单的数据预处理操作通过使用NLP库对去除停用词、标点符号、词干化等来实现;
其次,特征提取,对预处理的数据进行关键特征提取,使用词袋模型(Bag-of-Words)将文本转换为特征向量,这些特征将作为朴素贝叶斯算法的输入;
接下来,构建训练集,将所有数据的特征向量和对应的标签放在一起,构建训练集。训练集中的每个样本都由特征向量和标签组成,可以用于训练机器学习模型;
然后,训练模型,使用朴素贝叶斯分类算法对训练集进行模型训练。利用Python中的scikit-learn库提供了朴素贝叶斯算法的实现,可以方便地进行模型训练并进行后续的分类预测;
最后,分类预测,利用训练好的模型对新的文本数据进行分类预测。利用scikit-learn提供现成的朴素贝叶斯分类模型接口用于加载模型、转换特征向量和进行分类预测,可方便地进行分类预测。
第二,在完成数据的自动化分类后,可以根据分类结果制定相应的访问权限和安全策略。根据数据的敏感程度分类,将其划分为不同的级别,例如高、中、低。针对不同级别的数据,可以设定不同的访问权限和安全策略。比如,高敏感数据只能由特定授权人员访问,需要严格的身份验证和访问审计;中敏感数据可能对更多的人员开放,但仍需要一定的权限控制;低敏感数据则可以较为自由地访问。制定访问权限和安全策略时,可以根据法律法规、公司政策以及相应行业的最佳实践来进行。
1)数据加密和解密:对敏感程度较高的数据结合NLP技术进行加密和解密,确保数据的机密性和防止未经授权的访问。
数据加密:利用NLP进行分类分级后,对敏感数据进行加密,选择适当的加密算法对称加密算法(AES256)对数据进行加密,加密算法的密钥需要进行严格管理,选择valut系统对密钥进行严格存储、分发管理。
数据解密:先从安全可靠的密钥管理系统获取密钥,用相应的解密算法对加密的数据进行解密操作,恢复为原始数据。
2)实时监控和日志记录:结合NLP技术对数据进行实时监控和日志记录,发现异常情况并及时进行处理,保障数据的安全性。
首先,使用logstash工具来采集数据的使用日志,并将采集到的日志发送到kafka进行日志数据预处理。通过logstash和kafka的配合使用,可以方便地对大量的日志数据进行处理和分发;
接下来,对预处理后的日志数据进行特征提取。利用NLP技术,可以对文本数据的特征进行抽取。这些特征值可以反映出数据的关键属性和模式。基于这些特征,可以构建统计算法来建立异常检测模型。通过对特征表示的数据进行训练,模型能够学习正常数据的分布和模式;
将构建好的异常检测模型应用于kafka的数据流中。实时的数据流会被输入到模型中进行异常检测。模型会对数据进行评估,并标记出可能存在异常的数据点。一旦发现异常问题,即可触发报警通知;
针对报警通知,可以通过多种方式通知相关责任人和异常处理人员。例如,可以通过邮件、短信或消息等方式发送通知。这样,相关人员能够及时获得异常信息,并采取相应的措施进行处理。
3)数据备份与恢复:建立数据备份和恢复机制,提供数据的可靠性和持续性,保证数据的有效性和可用性。
首先,确定备份目标和时间。选择每天凌晨时间段进行备份是一个常见的选择。在备份之前,需要选择合适的备份工具,如rsync,并配置好备份的文件或文件夹,并指定备份的目标位置;
其次,检查备份完整性。一旦备份完成,就需要验证备份数据的完整性。验证备份文件的大小和校验值(如MD5或SHA)可以用于确认备份的完整性。这样可以确保备份数据没有损坏或丢失,并且可以正确地进行恢复;
最后,定期检查恢复能力。定期测试备份数据的恢复能力非常重要。选择其中一些文件进行恢复测试,以确保备份数据的可靠性和可恢复性。这样可以及时发现潜在的问题,并采取相应的纠正措施。
第三,把技术方案看做一个整体或者从产品的角度,本发明所要保护的技术方案具备的技术效果和优点,具体描述如下:
1)本发明对数据进行管理和保护的关键在于对数据进行分类和分级,以及对数据进行加密和解密。使用自然语言处理技术可以更加准确地对数据进行分类和分级,同时也可以提高数据加密和解密的效率和准确率。
2)本发明建立实时监控和日志记录机制,能够及时发现数据的异常情况,并对异常情况进行处理。
第四,本发明的技术方案转化后的预期收益和商业价值为:
本发明提供的基于数据分类分级的安全策略矩阵确保数据的安全和隐私保护,提高数据管理的效率和准确率。本发明的技术方案面向省、市级别的政府部门和事企单位,他们尚未进行数据安全治理。这个市场规模十分广阔,涵盖了全国各省和市级别的政务数据安全需求。根据统计数据预测,政务数据安全市场将以持续的增长趋势扩大。数据存储量不断增加、法规合规要求日益严格以及数据泄露事件频繁发生等因素推动了市场的快速增长。预计未来10年,该市场每年将实现约25%的增长率。
这项技术方案的预期收益和商业价值主要体现在以下几个方面:
a.销售收入增长:随着政务数据安全市场规模的扩大和持续增长趋势,本技术方案有望获得更大的市场份额,并实现持续增长的销售收入。根据最新的市场预测和趋势分析,预计每年技术红利约为100万销售收入增长。随着客户对数据安全的关注度不断提高,公司可以通过提供卓越的解决方案来满足市场需求,从而获取更多的订单和销售机会。这将为公司带来稳健的销售收入增长,并支持其持续发展和扩张
b.品牌价值提升:本技术方案为政府和企业市场提供卓越的数据安全解决方案,该技术方案将有助于树立公司在该领域的良好口碑和品牌形象。客户对于数据安全的重要性越来越重视,他们渴望与信誉良好且可信赖的合作伙伴合作。通过提供高质量的产品和服务,并取得在数据安全方面的显著成果,公司能够获得客户的信任与认可。这将进一步增强公司的商业价值,吸引更多客户选择与公司进行合作。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于数据分类分级的安全策略矩阵图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种基于数据分类分级的安全策略矩阵,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的一种基于数据分类分级的安全策略矩阵,基于数据分类分组的安全策略矩阵包括:数据分类;数据分级;数据加密;数据监控和记录。
作为优选实施例,本发明实施例提供的基于数据分类分组的安全矩阵策略包括以下步骤:
步骤1,将数据进行分类,并通过NLP技术对数据进行标识和打标签;
步骤2,根据数据分类的结果,进行数据分级,并为每个数据级别分配相应的访问权限和安全策略;
步骤3,针对敏感程度较高的数据,采用加密技术对数据进行加密;
步骤4,建立实时监控和日志记录机制,对数据进行监控和记录。
本发明实施例提供的步骤1中数据按照敏感程度、数据类型和使用范围等因素进行分类。
本发明实施例提供的步骤2中结合NLP技术,对数据进行语义分析和解析,实现对数据的自动分类和分级。
本发明实施例提供的步骤2中根据数据的敏感程度和使用范围,制定相应的数据访问策略,确保数据的安全和隐私。
本发明实施例提供的步骤3中结合NLP技术,对数据进行加密和解密,从而实现对数据的保护。
本发明实施例提供的步骤4中结合NLP技术,对数据进行实时监控和日志记录,从而实现对数据的有效管理和保护。
本发明实施例提供的步骤4中发现异常情况及时处理,并建立数据备份和恢复机制。
基于数据分类分级的安全策略矩阵是一种在政务大数据平台、公安大数据平台,以及数据中台等应用场景中保护安全与隐私的方法。这种方法通过对数据进行分类和分级,并根据不同级别的数据采取相应的安全措施,以实现全面的数据安全保护。
1)政务大数据平台的安全与隐私保护:
政务大数据平台承载了大量的政府部门和机构的数据,其中包括各种敏感信息和个人隐私。基于数据分类分级的安全策略矩阵可以帮助政务部门对数据进行细致的管理和保护。根据数据的分类和级别,系统能够自动对数据进行加密、访问控制、审计等安全措施的规划和执行。例如,对于高级别的敏感数据,可以采用强加密算法进行加密,并且只有经过授权的用户才能访问。同时,系统能够监控数据的访问情况,记录日志,并及时发现和应对可能的安全威胁,确保政务数据的安全和隐私。
2)公安大数据平台的安全与隐私保护:
公安大数据平台涵盖了大量的刑侦、治安、情报等敏感数据,需要采取强有力的安全措施来保护数据的安全和隐私。基于数据分类分级的安全策略矩阵可以为公安部门提供全面的数据保护方案。根据数据的重要性和敏感程度,系统能够对数据进行细致的权限管理和访问控制。高级别的敏感数据可以通过数据加密和访问审计等手段来保护。同时,系统还可提供实时的数据监控和预警功能,及时发现和应对安全事件。通过这种方法,公安部门能够确保大数据平台的数据安全,保护敏感信息不被泄露或滥用。
3)数据中台的数据分类分级应用:
数据中台作为一个中央化的数据管理平台,扮演着整合、共享和应用各类数据的角色。然而,不同类型的数据具有不同的敏感性和重要性,需要进行分类和分级的管理。基于数据分类分级的安全策略矩阵可以帮助数据中台对数据进行有效的管理和保护。通过自动化的数据分类和分级技术,系统可以识别和标记数据的分类属性,并为数据分配合适的安全级别。在数据共享和使用过程中,只有满足相应安全级别的条件才能获得访问权限。此外,该方法还能够监控数据的使用情况,记录操作日志,并提供数据追溯和审计功能,以确保数据的安全和合规性。
本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。
自动化管理:通过引入自动化技术,对数据进行分类和分级,减少人工干预,提高数据管理的效率和准确性。利用先进的算法和机器学习模型,系统能够自动将数据按照一定的规则进行分类,并为每个数据项分配适当的安全等级。这样可以减轻人工操作的负担,降低错误发生的概率,并提高数据管理的效率。同时,自动化管理还可以提供实时的数据监控和警报功能,及时发现异常情况并采取相应的措施。
数据加密保护:面对敏感程度较高的数据,采用加密和解密技术进行保护,确保数据的机密性,防止未经授权的访问。通过使用强大的加密算法,对敏感数据进行加密处理,在数据传输和存储过程中,只有授权用户才能解密和访问数据。这样可以有效防止黑客和非法用户获取敏感数据,保护数据的隐私和安全。
实时监控和日志记录:利用自然语言处理(NLP)技术,对数据进行实时监控和日志记录,以发现异常情况并进行处理,从而保障数据的安全性。系统可以通过分析数据的内容和上下文,检测到不正常的数据访问行为、异常操作和潜在威胁。同时,系统会生成详细的日志记录,记录数据的访问、修改和传输等操作,以便后续的审计和追踪工作。这样可以及时响应和处理安全事件,并提供证据和线索,确保数据的完整性和可靠性。
数据备份与恢复:建立数据备份和恢复机制,提供数据的可靠性和持续性,保证数据的有效性和可用性。定期对数据进行备份,并存储在安全的地点,以防止数据丢失和损坏。同时,建立恢复机制,当出现数据丢失或损坏的情况时,能够快速恢复数据到最近一次备份的状态。这样可以保证数据的长期保存和可靠性,防止因意外事件导致数据丢失或无法访问,确保业务的连续性和稳定性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种基于数据分类分级的安全策略矩阵的访问控制方法,其特征在于,通过对数据进行自动化的分类和分级,根据敏感程度、数据类型和使用范围等因素,制定相应的访问权限和安全策略;结合NLP技术,对敏感程度较高的数据进行加密和解密,确保数据的机密性;利用NLP技术对数据进行实时监控和日志记录,及时发现异常情况并进行处理;同时,建立了数据备份和恢复机制,提供数据的可靠性和持续性。
2.如权利要求1所述的基于数据分类分组的安全策略矩阵的控制方法,其特征在于,基于数据分类分组的安全策略矩阵包括以下步骤:
步骤一,将数据进行分类,并通过NLP技术对数据进行标识和打标签;
步骤二,根据数据分类的结果,进行数据分级,并为每个数据级别分配相应的访问权限和安全策略;
步骤三,针对敏感程度较高的数据,采用加密技术对数据进行加密;
步骤四,建立实时监控和日志记录机制,对数据进行监控和记录。
3.如权利要求2所述的基于数据分类分组的安全策略矩阵的控制方法,其特征在于,所述步骤一中数据按照敏感程度、数据类型和使用范围等因素进行分类;基于数据分类分组的安全策略矩阵包括:数据分类;数据分级;数据加密;数据监控和记录。
4.如权利要求2所述的基于数据分类分组的安全策略矩阵的控制方法,其特征在于,所述步骤二中结合NLP技术,对数据进行语义分析和解析;所述步骤二中根据数据的敏感程度和使用范围,制定相应的数据访问策略。
5.如权利要求2所述的基于数据分类分组的安全策略矩阵的控制方法,其特征在于,所述步骤三中结合NLP技术,对数据进行加密和解密。
6.如权利要求2所述的基于数据分类分组的安全策略矩阵的控制方法,其特征在于,所述步骤四中结合NLP技术,对数据进行实时监控和日志记录。
7.如权利要求2所述的基于数据分类分组的安全策略矩阵的控制方法,其特征在于,所述步骤四中发现异常情况及时处理,并建立数据备份和恢复机制。
8.如权利要求1~7任一项所述的基于数据分类分组的安全策略矩阵的控制方法在数据安全与隐私保护中的应用。
9.一种基于数据分类分级的安全策略矩阵的访问控制方法,其特征在于,
数据分类与标签模块,通过NLP技术对数据进行自动化的分类和打标签;
数据分级与权限分配模块,根据数据分类的结果,进行数据分级,为每个数据级别分配相应的访问权限和安全策略;
数据加密模块,针对敏感程度较高的数据,采用加密技术对数据进行加密,以确保数据的机密性;
实时监控与日志记录模块,对数据进行实时监控和日志记录,及时发现并处理异常情况;
数据备份与恢复模块,建立数据备份和恢复机制,以提供数据的可靠性和持续性。
10.如权利要求1所述的基于数据分类分级的安全策略矩阵的访问控制方法,其特征在于,
数据分类与标签模块,通过NLP技术对包括但不限于自然语言文本、音频、图片等多种数据类型进行自动化的分类和打标签;
数据分级与权限分配模块,根据数据的敏感程度、数据类型和使用范围等因素进行数据分级,并为每个数据级别分配包括但不限于数据的存储、访问、处理和传输等规定的安全策略;
数据加密模块,采用包括但不限于对称加密、非对称加密、混淆等多种加密技术对数据进行加密;
实时监控与日志记录模块,通过包括但不限于实时监控、异常检测、日志记录等手段,对数据进行监控和记录;
数据备份与恢复模块,通过包括但不限于定期备份、快照、冗余存储等手段,建立数据备份和恢复机制,以提供数据的可靠性和持续性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311359158.3A CN117521091A (zh) | 2023-10-19 | 2023-10-19 | 基于数据分类分级的安全策略矩阵的访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311359158.3A CN117521091A (zh) | 2023-10-19 | 2023-10-19 | 基于数据分类分级的安全策略矩阵的访问控制方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117521091A true CN117521091A (zh) | 2024-02-06 |
Family
ID=89753955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311359158.3A Pending CN117521091A (zh) | 2023-10-19 | 2023-10-19 | 基于数据分类分级的安全策略矩阵的访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117521091A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117931953A (zh) * | 2024-03-22 | 2024-04-26 | 北京谷器数据科技有限公司 | 一种异构数据库数据同步的方法及系统 |
| CN118363812A (zh) * | 2024-03-25 | 2024-07-19 | 广州晋钧科技有限公司 | 基于人工智能的计算机信息安全智能监控方法及系统 |
| CN118656870A (zh) * | 2024-08-16 | 2024-09-17 | 深圳建安润星安全技术有限公司 | 一种企业敏感数据安全访问管理方法和系统 |
-
2023
- 2023-10-19 CN CN202311359158.3A patent/CN117521091A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117931953A (zh) * | 2024-03-22 | 2024-04-26 | 北京谷器数据科技有限公司 | 一种异构数据库数据同步的方法及系统 |
| CN117931953B (zh) * | 2024-03-22 | 2024-06-04 | 北京谷器数据科技有限公司 | 一种异构数据库数据同步的方法及系统 |
| CN118363812A (zh) * | 2024-03-25 | 2024-07-19 | 广州晋钧科技有限公司 | 基于人工智能的计算机信息安全智能监控方法及系统 |
| CN118656870A (zh) * | 2024-08-16 | 2024-09-17 | 深圳建安润星安全技术有限公司 | 一种企业敏感数据安全访问管理方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Krutz et al. | The CISSP Prep Guide: Mastering the ten domains of computer security | |
| Kissel | Glossary of key information security terms | |
| CN115733681A (zh) | 一种防止数据丢失的数据安全管理平台 | |
| CN117521091A (zh) | 基于数据分类分级的安全策略矩阵的访问控制方法及系统 | |
| Johnson | Computer incident response and forensics team management: Conducting a successful incident response | |
| WO2013052377A2 (en) | Secure integrated cyberspace security and situational awareness system | |
| Price | HOST-BASED MISUSE DETECTION AND CONVENTIONAL OPERATING SYSTEMS'AUDIT DATA COLLECTION | |
| US11651313B1 (en) | Insider threat detection using access behavior analysis | |
| CN111914300A (zh) | 一种防止文件泄密的文档加密装置与方法 | |
| CN117708880A (zh) | 一种银行业务数据智能安全处理方法及系统 | |
| S Awad | A framework for improving information security using cloud computing | |
| Choi et al. | A HIPAA security and privacy compliance audit and risk assessment mitigation approach | |
| Miloslavskaya et al. | Big data information security maintenance | |
| US20210111870A1 (en) | Authorizing and validating removable storage for use with critical infrastrcture computing systems | |
| Stallings | Data loss prevention as a privacy-enhancing technology | |
| Karlzén | An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis | |
| Thapliyal et al. | Security threats in healthcare big data: a comparative study | |
| Handoko et al. | The utilization of blockchain technology on remote audit to ensure audit data integrity in detecting potential fraudulent financial reporting | |
| Alqahtani | A novel approach to providing secure data storage using multi cloud computing | |
| Wang et al. | Towards Trusted Data Processing for Information and Intelligence Systems | |
| Mansikka | Data loss prevention: for securing enterprise data integrity | |
| National Computer Security Center (US) | Glossary of Computer Security Terms | |
| Periasamy et al. | Guarding Against Data Breach | |
| Chi et al. | Baseline Technical Measures for Data Privacy INthe Cloud | |
| Longzhu et al. | Research and exploration of the data security compliance inspection technology based on the large-scale call platform of the customer service center |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |