CN117688597A - 一种电力数据对外交互场景下数据防泄漏方法及装置 - Google Patents
一种电力数据对外交互场景下数据防泄漏方法及装置 Download PDFInfo
- Publication number
- CN117688597A CN117688597A CN202311446350.6A CN202311446350A CN117688597A CN 117688597 A CN117688597 A CN 117688597A CN 202311446350 A CN202311446350 A CN 202311446350A CN 117688597 A CN117688597 A CN 117688597A
- Authority
- CN
- China
- Prior art keywords
- data
- desensitization
- sensitive
- interface
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000003993 interaction Effects 0.000 title claims abstract description 53
- 230000002265 prevention Effects 0.000 title claims description 22
- 238000000586 desensitisation Methods 0.000 claims abstract description 110
- 238000012544 monitoring process Methods 0.000 claims abstract description 66
- 230000005540 biological transmission Effects 0.000 claims abstract description 37
- 238000004458 analytical method Methods 0.000 claims abstract description 27
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 9
- 238000007726 management method Methods 0.000 claims description 68
- 238000012550 audit Methods 0.000 claims description 51
- 230000006399 behavior Effects 0.000 claims description 45
- 239000003795 chemical substances by application Substances 0.000 claims description 21
- 238000010276 construction Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 claims description 12
- 238000013523 data management Methods 0.000 claims description 9
- 238000005206 flow analysis Methods 0.000 claims description 8
- 238000003058 natural language processing Methods 0.000 claims description 8
- 239000003086 colorant Substances 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 7
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000005070 sampling Methods 0.000 claims description 6
- 238000004088 simulation Methods 0.000 claims description 6
- 230000009467 reduction Effects 0.000 claims description 2
- 238000007405 data analysis Methods 0.000 claims 2
- 238000004891 communication Methods 0.000 description 14
- 238000003860 storage Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012937 correction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000009960 carding Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 231100001267 hazard identification Toxicity 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
一种电力数据对外交互场景下数据防泄漏方法及装置,该方法对数据对象进行分类分级,建立敏感数据目录,通过敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控。本申请实现了业务数据的脱敏、水印、溯源、监测分析等数据安全能力。
Description
技术领域
本申请属于电网数据处理技术领域,具体涉及一种电力数据对外交互场景下数据防泄漏方法及装置。
背景技术
目前,随着数据成为新的生产要素,数据在流动创造更大价值的同时,也带来各种泄露风险。在数据处理各环节开展不同程度的技术防护,可以保障数据处理部分环节的相对安全。
现阶段,数据安全建设缺乏整体统筹,数据安全能力碎片化严重,安全防护措施未形成合力,防护策略和强度差异较大,缺少覆盖数据全生命周期的统一安全防护方案,不利于数据安全能力的扩展及复用。当前建设的数据安全能力在适应新的数据业务场景时面临新的挑战,随着新型业务的快速发展,数据共享融通加快,数据采集、下发、外发、处理等业务场景逐渐增加,海量数据集中处理、广泛共享、交叉使用,敏感程度大幅提升,安全防护压力急剧增加,需进一步加强建设数据安全防护能力。
发明内容
有鉴于此,本申请的目的在于提出一种电力数据对外交互场景下数据防泄漏方法及装置,用以解决或部分解决上述技术问题。
基于上述目的,本申请提供了一种电力数据对外交互场景下数据防泄漏方法,包括:
对数据对象进行分类分级,建立敏感数据目录,通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;
根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;
根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控;
采用自然语言处理技术,对流量日志数据进行建模分析,标记和分类web应用接口,查找应用系统中存在敏感数据流转的接口,并通过对应用流量仿真还原和学习,构建应用结构知识图谱。
作为电力数据对外交互场景下数据防泄漏方法优选方案,对数据访问接口采用接口监测工具对访问中的流量进行监控,通过采集旁路网络流量,对旁路网络流量解析HTTP协议的Rquest Body与Response Body,对提取出的传输数据进行敏感数据识别与规则引擎匹配。
作为电力数据对外交互场景下数据防泄漏方法优选方案,还包括,对数据访问接口进行重命名并增加业务属性,将数据访问接口与应用进行绑定以对应用进行敏感数据流转分析;
对数据访问接口进行自定义接口标签,利用接口标签设定数据访问接口的监控等级和预警力度;
对数据访问接口中存在的敏感数据字段进行识别与标记,定义敏感数据识别类型。
作为电力数据对外交互场景下数据防泄漏方法优选方案,还包括,通过参数指标、时间指标、数据指标维度进行数据访问接口审计,所述参数指标包括Http协议中的参数;通过所述时间指标针对请求时间进行按照周期、按照时间段、按照具体时间监控;通过所述数据指标针对具体的数据类型、数据量级进行监控。
作为电力数据对外交互场景下数据防泄漏方法优选方案,对所述敏感数据的脱敏采用SDK模式实现数据代理,将数据代理与API网关集成串接到数据访问链路中,对所述数据访问链路进行控制实现脱敏和水印处理。
作为电力数据对外交互场景下数据防泄漏方法优选方案,对数据脱敏进行动态管控包括:
对网络数据传输过程中应用协议进行分析,识别网络流量中的敏感数据,并控制网络行为,阻断数据外泄;
对外发文件添加数字水印,支持用户自定义水印字体、颜色、角度、透明度以及水印内容;
对数据安全网关进行安全审计,审计内容包括策略审计、告警审计、操作审计及日志审计。
作为电力数据对外交互场景下数据防泄漏方法优选方案,还包括,构建数据行为轨迹全景视图,通过所述数据行为轨迹全景视图可视化展现敏感数据访问时间段、数据类型,每个时间段对应的行为轨迹、时间段内关联的风险事件。
作为电力数据对外交互场景下数据防泄漏方法优选方案,还包括,通过对应用系统中正在被访问的数据接口进行采样和分析,对内部应用层面的数据进行扫描,发现包含指定类型的敏感数据的数据访问接口;从流量中识别网络中所有访问的URL地址,通过URL中的IP地址或者域名信息,对应用进行分类管理。
本申请还提供一种电力数据对外交互场景下数据防泄漏装置,包括:
敏感数据目录构建模块,用于对数据对象进行分类分级,建立敏感数据目录,通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;
接口动态管控模块,用于根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;
脱敏数据管控模块,用于根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控;
应用知识图谱构建模块,用于采用自然语言处理技术,对流量日志数据进行建模分析,标记和分类web应用接口,查找应用系统中存在敏感数据流转的接口,并通过对应用流量仿真还原和学习,构建应用结构知识图谱。
作为电力数据对外交互场景下数据防泄漏装置优选方案,所述接口动态管控模块中,对数据访问接口采用接口监测工具对访问中的流量进行监控,通过采集旁路网络流量,对旁路网络流量解析HTTP协议的Rquest Body与Response Body,对提取出的传输数据进行敏感数据识别与规则引擎匹配;
所述接口动态管控模块中,对数据访问接口进行重命名并增加业务属性,将数据访问接口与应用进行绑定以对应用进行敏感数据流转分析;对数据访问接口进行自定义接口标签,利用接口标签设定数据访问接口的监控等级和预警力度;对数据访问接口中存在的敏感数据字段进行识别与标记,定义敏感数据识别类型;
所述接口动态管控模块中,通过参数指标、时间指标、数据指标维度进行数据访问接口审计,所述参数指标包括Http协议中的参数;通过所述时间指标针对请求时间进行按照周期、按照时间段、按照具体时间监控;通过所述数据指标针对具体的数据类型、数据量级进行监控。
作为电力数据对外交互场景下数据防泄漏装置优选方案,所述脱敏数据管控模块中,对所述敏感数据的脱敏采用SDK模式实现数据代理,将数据代理与API网关集成串接到数据访问链路中,对所述数据访问链路进行控制实现脱敏和水印处理;
所述脱敏数据管控模块中,对数据脱敏进行动态管控包括:
对网络数据传输过程中应用协议进行分析,识别网络流量中的敏感数据,并控制网络行为,阻断数据外泄;
对外发文件添加数字水印,支持用户自定义水印字体、颜色、角度、透明度以及水印内容;
对数据安全网关进行安全审计,审计内容包括策略审计、告警审计、操作审计及日志审计。
作为电力数据对外交互场景下数据防泄漏装置优选方案,还包括数据行为全景视图构建模块,用于构建数据行为轨迹全景视图,通过所述数据行为轨迹全景视图可视化展现敏感数据访问时间段、数据类型,每个时间段对应的行为轨迹、时间段内关联的风险事件。
作为电力数据对外交互场景下数据防泄漏装置优选方案,还包括应用分类管理模块,用于通过对应用系统中正在被访问的数据接口进行采样和分析,对内部应用层面的数据进行扫描,发现包含指定类型的敏感数据的数据访问接口;从流量中识别网络中所有访问的URL地址,通过URL中的IP地址或者域名信息,对应用进行分类管理。
从上面所述可以看出,本申请提供的技术方案,对数据对象进行分类分级,建立敏感数据目录,通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控;采用自然语言处理技术,对流量日志数据进行建模分析,标记和分类web应用接口,查找应用系统中存在敏感数据流转的接口,并通过对应用流量仿真还原和学习,构建应用结构知识图谱。本申请实现了业务数据的脱敏、水印、溯源、监测分析等数据安全能力,有力提升数据业务交互安全保障能力,保障了电力核心数据全生命周期安全,保障了电力用户数据信息安全。
附图说明
为了更清楚地说明本申请或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的提供的电力数据对外交互场景下数据防泄漏方法示意图;
图2为本申请实施例提供的电力数据对外交互场景下数据防泄漏方法技术路线示意图;
图3为本申请实施例提供的电力数据对外交互场景下数据防泄漏方法应用示意图;
图4为本申请实施例提供的电力数据对外交互场景下数据防泄漏装置架构;
图5为本申请实施例提供的电子设备结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本申请进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
企业信息化技术在迭代发展,业务系统多样化,采用的技术架构不尽相同,比如新建设的业务系统采用微服务架构,有标准化的API网关机制。而有的系统直接采用底层接口,甚至是直接和数据库交互。给方案的实施带来挑战。并且即使采用了API网关机制,各不同的系统采用API网关技术差异性大,适配机制和难度不同。
脱敏是解决敏感数据泄露的一个技术手段,所以业务应用系统在开发初期,可以在一定规范要求的前提下处理好敏感数据在业务系统中流转的防护的。甚至在系统已经上线后,也可以通过系统改造完成对敏感数据的脱敏使用。对于业务体量较为庞大的体系下,敏感数据合规改造成本非常大。业务系统改造考虑不充分还有可能影响业务系统的运行稳定性,增加系统故障率,可能造成不必要的业务经营损失。
并且,缺乏行业层面明确的数据分类分级标准,精细化管理程度不足,对数据的分类、分级和敏感信息的定义比较模糊。动态脱敏的效果好坏很大程度取决于前期系统业务的梳理以及摸清数据家底和流转路径,沟通并确认好数据分类分级标准,这个过程需要耗费大量的精力和沟通成本,需要反复验证。否则,即使配置了具体的脱敏策略,但是发现最终导致业务系统正常流程受到影响。
有鉴于此,为了实现业务数据的脱敏、水印、溯源、监测分析等数据安全能力,提升公司数据业务交互安全保障能力,保障电力核心数据全生命周期安全,保障电力用户数据信息安全。
参见图1、图2和图3,本申请实施例提供一种电力数据对外交互场景下数据防泄漏方法,包括以下步骤:
S1、对数据对象进行分类分级,建立敏感数据目录,通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;
S2、根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;
S3、根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控;
S4、采用自然语言处理技术,对流量日志数据进行建模分析,标记和分类web应用接口,查找应用系统中存在敏感数据流转的接口,并通过对应用流量仿真还原和学习,构建应用结构知识图谱。
本实施例中,在步骤S1,以数据分类分级为基础,在敏感数据目录的基础上,围绕对外交互场景下得数据访问接口,采用串行脱敏(含水印处理)管控和旁路安全监测的形式,对交互数据进行全面监控,防止敏感数据泄漏。
其中,对所述敏感数据的脱敏采用SDK模式实现数据代理,将数据代理与API网关集成串接到数据访问链路中,对所述数据访问链路进行控制实现脱敏和水印处理。
本实施例中,在步骤S2,对数据访问接口采用接口监测工具对访问中的流量进行监控,通过采集旁路网络流量,对旁路网络流量解析HTTP协议的Rquest Body与ResponseBody,对提取出的传输数据进行敏感数据识别与规则引擎匹配。
其中,数据脱敏采用SDK的模式实现数据代理,数据代理与API网关集成,串接到数据访问链路中,对数据访问进行控制,实现脱敏和水印处理。脱敏处理在设计上采用脱敏能力和管控分离的模式设计,安全管控平台管理脱敏规则配置、安全分析和脱敏监测数据,并配置到数据代理中,实现对数据脱敏的动态管控。
通过接口监测工具对访问中的流量进行监控,通过采集旁路网络流量,从中解析HTTP协议的Rquest Body与Response Body,从中提取出传输数据进行敏感数据识别与规则引擎匹配,及时发现敏感数据泄漏情况,优化防护策略,通过安全管控平台配置到数据代理中,阻止数据泄漏的进一步发生。
其中,接口监测工具内置接口发现模板,无需手工添加接口信息,即可自动发现接口并进行审计监控。同时也提供了接口模板的自定义配置,在默认模板无法满足需求时,可以自定义接口的URL特征。内置信息数据类型模板,能够自动发现接口中传输的敏感信息,应对不同的识别场景。
本实施例中,还包括,对数据访问接口进行重命名并增加业务属性,将数据访问接口与应用进行绑定以对应用进行敏感数据流转分析;
对数据访问接口进行自定义接口标签,利用接口标签设定数据访问接口的监控等级和预警力度;
对数据访问接口中存在的敏感数据字段进行识别与标记,定义敏感数据识别类型。
从而,针对电力数据对外交互场景下的业务能自动发现的数据传输接口,可对接口进行重命名,增加业务属性,可将接口与应用进行绑定,绑定之后可对整个应用展开敏感数据流转分析,可对接口进行自定义标签,如登录接口、敏感接口、对外接口等等,可针对接口标签,设定不同的监控等级和预警力度。针对第三方合作接口,可重点监控,实现接口数据的精细化管理。针对高敏感且低价值的接口,可以进行下线,减少风险暴露面。
本实施例中,还包括,通过参数指标、时间指标、数据指标维度进行数据访问接口审计,所述参数指标包括Http协议中的参数;通过所述时间指标针对请求时间进行按照周期、按照时间段、按照具体时间监控;通过所述数据指标针对具体的数据类型、数据量级进行监控。
具体的,通过对系统内置多条数据安全风险预警策略,如单次获取大量敏感数据、IP访问、账号发生机器行为、非工作时间导出敏感数据等。可通过参数指标、时间指标、数据指标三个维度进行接口审计,其中参数指标包含了诸如User-agent、Http_method等Http协议中的参数,适用于暴力破解、爬虫等场景。时间指标主要是针对请求时间进行按照周期、按照时间段、按照具体时间进行监控,适用于涉及时间访问等场景。通过数据指标,可针对具体的数据类型、数据量级进行监控。数据指标作为敏感数据监控的基础,所有场景需要基于访问的敏感数据类型与数量进行细化。
本实施例中,在步骤S3,对数据脱敏进行动态管控包括:
对网络数据传输过程中应用协议进行分析,识别网络流量中的敏感数据,并控制网络行为,阻断数据外泄;
对外发文件添加数字水印,支持用户自定义水印字体、颜色、角度、透明度以及水印内容;
对数据安全网关进行安全审计,审计内容包括策略审计、告警审计、操作审计及日志审计。
具体的,基于API代理实现对数据传输过程的管控,支持tcp/udp、websocket、gRPC、MQTT等传输协议代理,支持热更新、热插件、限制速率、限制请求数和限制并发等运维监控技术手段,支持身份认证、健康检查、熔断器、IP黑名单和防御ReDoS等安全控制措施。
其中,数据防泄漏方面实现对网络数据传输过程中各应用协议进行分析,识别网络流量中的敏感数据,并控制网络行为,阻断数据外泄;实现对外发文件(文件类型包括Office系列、PDF系列、WPS系列以及图片)添加数字水印,支持用户自定义水印字体、颜色、角度、透明度以及水印内容;实现对数据安全网关进行安全审计,审计内容包括策略审计、告警审计、操作审计以及日志审计;实现策略管理、告警管理以及通知管理等,策略内容包括脱敏策略、防泄漏策略、加密策略以及水印策略等。
其中,对接口中存在的敏感数据字段进行自动化识别与标记;支持包括但不限于身份证号、手机号、银行卡号、姓名、地址、银行名称、电子邮箱、固定电话等敏感数据类型的识别。支持自定义敏感数据识别类型;自定义规则至少要包含正则匹配。支持以独立页面展示涉敏接口、涉敏应用、涉敏用户的清单。并且清单支持导出成xlsx格式。支持根据接口名称、所属应用、部署IP、涉敏类型、标签对涉敏接口进行筛选与检索。支持根据应用名、部署IP、涉敏类型、标签对涉敏接口进行筛选与检索。
本实施例中,还包括,构建数据行为轨迹全景视图,通过所述数据行为轨迹全景视图可视化展现敏感数据访问时间段、数据类型,每个时间段对应的行为轨迹、时间段内关联的风险事件。
具体的,通过提供数据行为轨迹全景视图,数据行为轨迹全景视图能够可视化展现每个时间段访问了哪些敏感数据,是什么数据类型,每个时间段对应的行为轨迹是什么,能够展示在时间段内关联的风险事件,如账号发生机器行为等,以及关联的访问来源,如IP、账号以及Useragent等,辅助安全管理人员进行敏感数据流转的性质和动机判断,通过接口、应用、用户三个维度的全景视图相互关联,相互下钻,形成了流量分析的全景视图矩阵。
参见图3,本实施例中,还包括,通过对应用系统中正在被访问的数据接口进行采样和分析,对内部应用层面的数据进行扫描,发现包含指定类型的敏感数据的数据访问接口;从流量中识别网络中所有访问的URL地址,通过URL中的IP地址或者域名信息,对应用进行分类管理。
具体的,通过对应用系统中正在被访问的数据接口进行采样和分析,对内部应用层面的数据进行扫描,自动发现包含指定类型的敏感数据的接口;结合数据流动监控产出的数据流动信息,利用数据流动大盘集中展示各个应用系统内部主要的数据流动的情况;能够从流量中自动识别网络中所有访问的URL地址,然后通过URL中的IP地址或者域名信息,对应用进行分类管理;对不同的应用,系统会统计其敏感标签、应用状态、敏感接口数、待配置接口数、敏感流量、账号解析成功率等各项指标,用户可以根据这些指标筛选符合条件的应用相关信息。在应用详情中可实时展示该应用的结构设计,能够输出应用的所有接口列表清单;同时,可统计其中敏感接口的相关访问数据,实现对应用的敏感数据动态追踪。
综上所述,本申请中,对数据对象进行分类分级,建立敏感数据目录,通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控;采用自然语言处理技术,对流量日志数据进行建模分析,标记和分类web应用接口,查找应用系统中存在敏感数据流转的接口,并通过对应用流量仿真还原和学习,构建应用结构知识图谱。本申请能够实时识别接口和应用中流转的敏感数据,方便企业及时进行合规检查和整改;内嵌常见的数据安全风险规则,能够实时发现接口中不合规的数据流转行为,方便企业及时进行合规检查和整改;应用便捷性方面,采用串联、旁路部署双重模式,针对不同数据交互业务实现不同模式的部署方式,在管控、监测等方面实现改动工程小,与数据业务适配性强;融入了数据脱敏、数据防泄漏、数据加密和数据水印等安全功能,并同时提供安全审计功能,从数据使用过程和数据共享流转审计方面提供数据安全保障,保证数据使用安全合规;实现了业务数据的脱敏、水印、溯源、监测分析等数据安全能力,有力提升数据业务交互安全保障能力,保障了电力核心数据全生命周期安全,保障了电力用户数据信息安全。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
参见图4,基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了电力数据对外交互场景下数据防泄漏装置,包括:
敏感数据目录构建模块1,用于对数据对象进行分类分级,建立敏感数据目录,通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;
接口动态管控模块2,用于根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;
脱敏数据管控模块3,用于根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控;
应用知识图谱构建模块4,用于采用自然语言处理技术,对流量日志数据进行建模分析,标记和分类web应用接口,查找应用系统中存在敏感数据流转的接口,并通过对应用流量仿真还原和学习,构建应用结构知识图谱。
本实施例中,所述接口动态管控模块2中,对数据访问接口采用接口监测工具对访问中的流量进行监控,通过采集旁路网络流量,对旁路网络流量解析HTTP协议的RquestBody与Response Body,对提取出的传输数据进行敏感数据识别与规则引擎匹配;
所述接口动态管控模块2中,对数据访问接口进行重命名并增加业务属性,将数据访问接口与应用进行绑定以对应用进行敏感数据流转分析;对数据访问接口进行自定义接口标签,利用接口标签设定数据访问接口的监控等级和预警力度;对数据访问接口中存在的敏感数据字段进行识别与标记,定义敏感数据识别类型;
所述接口动态管控模块2中,通过参数指标、时间指标、数据指标维度进行数据访问接口审计,所述参数指标包括Http协议中的参数;通过所述时间指标针对请求时间进行按照周期、按照时间段、按照具体时间监控;通过所述数据指标针对具体的数据类型、数据量级进行监控。
本实施例中,所述脱敏数据管控模块3中,对所述敏感数据的脱敏采用SDK模式实现数据代理,将数据代理与API网关集成串接到数据访问链路中,对所述数据访问链路进行控制实现脱敏和水印处理;
所述脱敏数据管控模块3中,对数据脱敏进行动态管控包括:
对网络数据传输过程中应用协议进行分析,识别网络流量中的敏感数据,并控制网络行为,阻断数据外泄;
对外发文件添加数字水印,支持用户自定义水印字体、颜色、角度、透明度以及水印内容;
对数据安全网关进行安全审计,审计内容包括策略审计、告警审计、操作审计及日志审计。
本实施例中,还包括数据行为全景视图构建模块5,用于构建数据行为轨迹全景视图,通过所述数据行为轨迹全景视图可视化展现敏感数据访问时间段、数据类型,每个时间段对应的行为轨迹、时间段内关联的风险事件。
本实施例中,还包括应用分类管理模块6,用于通过对应用系统中正在被访问的数据接口进行采样和分析,对内部应用层面的数据进行扫描,发现包含指定类型的敏感数据的数据访问接口;从流量中识别网络中所有访问的URL地址,通过URL中的IP地址或者域名信息,对应用进行分类管理。
上述实施例的系统用于实现前述任一实施例中相应地电力数据对外交互场景下数据防泄漏方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的基于深度学习的滑坡灾害识别。
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器710、存储器720、输入/输出接口730、通信接口740和总线750。其中处理器710、存储器720、输入/输出接口730和通信接口740通过总线750实现彼此之间在设备内部的通信连接。
处理器710可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器720可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器720可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器720中,并由处理器710来调用执行。
输入/输出接口730用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口740用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线750包括一通路,在设备的各个组件(例如处理器710、存储器720、输入/输出接口730和通信接口740)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器710、存储器720、输入/输出接口730、通信接口740以及总线750,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应地电力数据对外交互场景下数据防泄漏方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的电力数据对外交互场景下数据防泄漏方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的电力数据对外交互场景下数据防泄漏方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变形对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种电力数据对外交互场景下数据防泄漏方法,包括:
对数据对象进行分类分级,建立敏感数据目录,通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;
根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;
根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控;
采用自然语言处理技术,对流量日志数据进行建模分析,标记和分类web应用接口,查找应用系统中存在敏感数据流转的接口,并通过对应用流量仿真还原和学习,构建应用结构知识图谱。
2.根据权利要求1所述的一种电力数据对外交互场景下数据防泄漏方法,其中,对数据访问接口采用接口监测工具对访问中的流量进行监控,通过采集旁路网络流量,对旁路网络流量解析HTTP协议的Rquest Body与Response Body,对提取出的传输数据进行敏感数据识别与规则引擎匹配。
3.根据权利要求1所述的一种电力数据对外交互场景下数据防泄漏方法,其中,还包括,对数据访问接口进行重命名并增加业务属性,将数据访问接口与应用进行绑定以对应用进行敏感数据流转分析;
对数据访问接口进行自定义接口标签,利用接口标签设定数据访问接口的监控等级和预警力度;
对数据访问接口中存在的敏感数据字段进行识别与标记,定义敏感数据识别类型。
4.根据权利要求1所述的一种电力数据对外交互场景下数据防泄漏方法,其中,还包括,通过参数指标、时间指标、数据指标维度进行数据访问接口审计,所述参数指标包括Http协议中的参数;通过所述时间指标针对请求时间进行按照周期、按照时间段、按照具体时间监控;通过所述数据指标针对具体的数据类型、数据量级进行监控。
5.根据权利要求1所述的一种电力数据对外交互场景下数据防泄漏方法,其中,对所述敏感数据的脱敏采用SDK模式实现数据代理,将数据代理与API网关集成串接到数据访问链路中,对所述数据访问链路进行控制实现脱敏和水印处理。
6.根据权利要求1所述的一种电力数据对外交互场景下数据防泄漏方法,其中,对数据脱敏进行动态管控包括:
对网络数据传输过程中应用协议进行分析,识别网络流量中的敏感数据,并控制网络行为,阻断数据外泄;
对外发文件添加数字水印,支持用户自定义水印字体、颜色、角度、透明度以及水印内容;
对数据安全网关进行安全审计,审计内容包括策略审计、告警审计、操作审计及日志审计。
7.根据权利要求1所述的一种电力数据对外交互场景下数据防泄漏方法,其中,还包括,构建数据行为轨迹全景视图,通过所述数据行为轨迹全景视图可视化展现敏感数据访问时间段、数据类型,每个时间段对应的行为轨迹、时间段内关联的风险事件。
8.根据权利要求1所述的一种电力数据对外交互场景下数据防泄漏方法,其中,还包括,通过对应用系统中正在被访问的数据接口进行采样和分析,对内部应用层面的数据进行扫描,发现包含指定类型的敏感数据的数据访问接口;从流量中识别网络中所有访问的URL地址,通过URL中的IP地址或者域名信息,对应用进行分类管理。
9.一种电力数据对外交互场景下数据防泄漏装置,包括:
敏感数据目录构建模块,用于对数据对象进行分类分级,建立敏感数据目录,通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求;
接口动态管控模块,用于根据对外交互场景下的数据访问接口,采用串行脱敏管控和旁路安全监测的形式,实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测,并配置到数据代理中以对数据脱敏进行动态管控;
脱敏数据管控模块,用于根据指定业务传输协议、格式、对象数据特点,通过接口代理形式实现双向数据转发,对非法数据或敏感数据进行劫持,对敏感数据泄露行为进行劫持,实现对脱敏数据传输过程的管控;
应用知识图谱构建模块,用于采用自然语言处理技术,对流量日志数据进行建模分析,标记和分类web应用接口,查找应用系统中存在敏感数据流转的接口,并通过对应用流量仿真还原和学习,构建应用结构知识图谱。
10.根据权利要求9所述的一种电力数据对外交互场景下数据防泄漏装置,其中,所述接口动态管控模块中,对数据访问接口采用接口监测工具对访问中的流量进行监控,通过采集旁路网络流量,对旁路网络流量解析HTTP协议的Rquest Body与Response Body,对提取出的传输数据进行敏感数据识别与规则引擎匹配;
所述接口动态管控模块中,对数据访问接口进行重命名并增加业务属性,将数据访问接口与应用进行绑定以对应用进行敏感数据流转分析;对数据访问接口进行自定义接口标签,利用接口标签设定数据访问接口的监控等级和预警力度;对数据访问接口中存在的敏感数据字段进行识别与标记,定义敏感数据识别类型;
所述接口动态管控模块中,通过参数指标、时间指标、数据指标维度进行数据访问接口审计,所述参数指标包括Http协议中的参数;通过所述时间指标针对请求时间进行按照周期、按照时间段、按照具体时间监控;通过所述数据指标针对具体的数据类型、数据量级进行监控;
所述脱敏数据管控模块中,对所述敏感数据的脱敏采用SDK模式实现数据代理,将数据代理与API网关集成串接到数据访问链路中,对所述数据访问链路进行控制实现脱敏和水印处理;
所述脱敏数据管控模块中,对数据脱敏进行动态管控包括:
对网络数据传输过程中应用协议进行分析,识别网络流量中的敏感数据,并控制网络行为,阻断数据外泄;
对外发文件添加数字水印,支持用户自定义水印字体、颜色、角度、透明度以及水印内容;
对数据安全网关进行安全审计,审计内容包括策略审计、告警审计、操作审计及日志审计;
还包括数据行为全景视图构建模块,用于构建数据行为轨迹全景视图,通过所述数据行为轨迹全景视图可视化展现敏感数据访问时间段、数据类型,每个时间段对应的行为轨迹、时间段内关联的风险事件;
还包括应用分类管理模块,用于通过对应用系统中正在被访问的数据接口进行采样和分析,对内部应用层面的数据进行扫描,发现包含指定类型的敏感数据的数据访问接口;从流量中识别网络中所有访问的URL地址,通过URL中的IP地址或者域名信息,对应用进行分类管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311446350.6A CN117688597A (zh) | 2023-11-01 | 2023-11-01 | 一种电力数据对外交互场景下数据防泄漏方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311446350.6A CN117688597A (zh) | 2023-11-01 | 2023-11-01 | 一种电力数据对外交互场景下数据防泄漏方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117688597A true CN117688597A (zh) | 2024-03-12 |
Family
ID=90137897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311446350.6A Pending CN117688597A (zh) | 2023-11-01 | 2023-11-01 | 一种电力数据对外交互场景下数据防泄漏方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117688597A (zh) |
-
2023
- 2023-11-01 CN CN202311446350.6A patent/CN117688597A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11405428B2 (en) | Method and system for policy management, testing, simulation, decentralization and analysis | |
| CN109684370A (zh) | 日志数据处理方法、系统、设备及存储介质 | |
| CN111209269A (zh) | 一种智慧城市大数据管理系统 | |
| CN109361711B (zh) | 防火墙配置方法、装置、电子设备及计算机可读介质 | |
| CN109479061A (zh) | 遵从性违反检测 | |
| IL275042A (en) | Security monitoring Level of application programming programming with self-adaptation | |
| CN107409126A (zh) | 用于保护企业计算环境安全的系统和方法 | |
| US9477574B2 (en) | Collection of intranet activity data | |
| Karie et al. | Toward a general ontology for digital forensic disciplines | |
| US10686821B2 (en) | Analysis of mobile applications | |
| CN112632135A (zh) | 一种大数据平台 | |
| CN113553269B (zh) | 页面埋点上报方法及相关装置 | |
| Mathijssen et al. | Identification of practices and capabilities in API management: a systematic literature review | |
| CN104982002B (zh) | 视频签名系统及方法 | |
| Jacoby et al. | An approach for Industrie 4.0-compliant and data-sovereign Digital Twins: Realization of the Industrie 4.0 Asset Administration Shell with a data-sovereignty extension | |
| CN116245670B (zh) | 基于双标签模型处理财税数据的方法、装置、介质和设备 | |
| CN104182681A (zh) | 基于hook的iOS系统关键行为检测装置和方法 | |
| Barros et al. | The anatomy of IoT platforms—A systematic multivocal mapping study | |
| CN115758435A (zh) | 公司营销数据对外共享安全处理方法及相关设备 | |
| CN111897890A (zh) | 金融业务处理方法及装置 | |
| Sharma et al. | Internet of Things in forensics investigation in comparison to digital forensics | |
| Kim et al. | Artificial intelligence based electronic healthcare solution | |
| CN117688597A (zh) | 一种电力数据对外交互场景下数据防泄漏方法及装置 | |
| CN113515715B (zh) | 埋点事件编码的生成方法、处理方法及相关设备 | |
| Furfaro et al. | Cybersecurity compliance analysis as a service: Requirements specification and application scenarios |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |