CN118157896A - 数据传输方法、数据管控装置及相关设备 - Google Patents

数据传输方法、数据管控装置及相关设备 Download PDF

Info

Publication number
CN118157896A
CN118157896A CN202310179564.5A CN202310179564A CN118157896A CN 118157896 A CN118157896 A CN 118157896A CN 202310179564 A CN202310179564 A CN 202310179564A CN 118157896 A CN118157896 A CN 118157896A
Authority
CN
China
Prior art keywords
data
transmitted
security domain
control device
data management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310179564.5A
Other languages
English (en)
Inventor
魏玉科
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Cloud Computing Technologies Co Ltd
Original Assignee
Huawei Cloud Computing Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Cloud Computing Technologies Co Ltd filed Critical Huawei Cloud Computing Technologies Co Ltd
Priority to PCT/CN2023/100104 priority Critical patent/WO2024113761A1/zh
Publication of CN118157896A publication Critical patent/CN118157896A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种数据传输方法,包括:数据管控装置接收第一安全域内的第一业务实体发送的第一待传输数据及其标记,并根据标记以及已配置的互通规则,确定是否允许向第二安全域传输第一待传输数据,互通规则用于指示第一业务实体与第二安全域之间安全传输的数据的标记所需满足的条件,从而当确定允许第一待传输数据时,数据管控装置向第二安全域传输第一待传输数据。如此,第一安全域中的敏感数据或者秘密等级较高的数据,也能在其标记满足互通规则的情况下,允许被传输至第二安全域中,从而在保障安全域内的数据安全的情况下,控制数据在不同安全域之间进行安全传输。此外,本申请还提供了对应的数据管控装置及相关设备。

Description

数据传输方法、数据管控装置及相关设备
本申请要求于2022年11月30日提交中国国家知识产权局、申请号为202211525573.7、申请名称为“数据传输的方法及装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信技术领域,尤其涉及一种数据传输方法、数据管控装置及相关设备。
背景技术
在通信网络中,不同对象(如应用、服务器、平台等)之间的数据通信安全尤为重要。目前,由于通信网络较为庞大,因此,通常会在通信网络中划分多个安全域,每个安全域为通信网络中一组具有相同/相似安全保护需求并互相信任的对象组成的逻辑区域。当安全域内部的对象向外部的对象发送敏感数据或者秘密等级较高的数据时,通常会由部署在安全域边界的数据泄密防护(data leakage prevention,DLP)系统识别并阻止数据从安全域流出,以此保障安全域内的数据安全。
但是,实际应用场景中,属于不同安全域的对象之间通常也存在交互敏感数据或者秘密等级较高的数据的需求。比如,在多云场景中,用户A可能希望将私有云a中的部分数据共享至用户B的私有云b中。但是,部署于安全域边界的DLP系统通常会阻止这些数据在不同安全域之间进行传输,从而影响不同安全域之间的数据共享。
因此,如何在保障安全域内的数据安全的情况下,控制数据在不同安全域之间进行安全传输,成为亟需解决的重要问题。
发明内容
有鉴于此,本申请实施例提供了一种数据传输方法,用于在保障安全域内的数据安全的情况下,控制数据在不同安全域之间进行安全传输。本申请还提供了对应的数据管控装置、计算设备集群、计算机可读存储介质以及计算机程序产品。
第一方面,本申请实施例提供了一种数据传输方法,该方法由数据管控装置执行,该数据管控装置用于对第一安全域的数据流出进行管控,具体实现时,数据管控装置接收第一安全域内的第一业务实体发送的第一待传输数据,该业务实体例如可以是第一安全域内的应用、服务等具有数据交互能力的实体,并接收第一安全域内的第一业务实体发送的第一待传输数据的标记;然后,数据管控装置根据该标记以及已配置的互通规则,确定是否允许向第二安全域传输该第一待传输数据,该互通规则用于指示第一安全域内的第一业务实体与第二安全域之间安全传输的数据的标记所需满足的条件,实际应用时,可以是以安全域为粒度配置互通规则,或者可以是以业务实体为粒度配置互通规则等,从而当确定允许第一待传输数据时,数据管控装置向第二安全域传输该第一待传输数据。
由于在跨安全域传输数据的过程中,数据管控装置根据待传输数据的标记以及第一安全域内的第一业务实体与第二安全域之间的互通规则,判断是否允许将待传输数据从第一安全域传输至第二安全域中,这使得第一安全域中的敏感数据或者秘密等级较高的数据,也能在其标记满足互通规则的情况下,允许被传输至第二安全域中,实现敏感数据或者高秘密等级数据的跨安全域传输,从而在保障安全域内的数据安全的情况下,控制数据在不同安全域之间进行安全传输(即,对于不满足互通规则的数据,数据管控装置可以阻断该数据从第一安全域内流出)。
在一种可能的实施方式中,数据管控装置还可以对第一待传输数据进行解析,判断该第一待传输数据是否满足安全传输的校验条件,则,数据管控装置在确定是否允许传输第二待传输数据时,具体可以是当第一待传输数据满足安全传输的校验条件时,数据管控装置才会根据标记以及互通规则,确定是否允许向第二安全域传输第一待传输数据。相应的,对于不满足安全传输的校验条件的数据(如敏感性较低的数据、特定类型的数据等),数据管控装置可以直接将该数据传输至第二安全域,可以不用根据标记执行是否允许传输该数据。如此,可以通过减少对安全等级较低、敏感性较低的数据执行判断过程,来减少不必要的计算资源的消耗,以此实现在避免第一安全域内的敏感数据发生泄露的情况下,提高低密/低敏感数据在不同安全域之间的数据传输效率。
在一种可能的实施方式中,数据管控装置还可以接收第一安全域内的第一业务实体发送的第二待传输数据,可选地,该第二待传输数据也可以属于第一安全域内的其它业务实体,然后,数据管控装置可以对该第二待传输数据进行分析,得到该第二待传输数据的分析结果,并且,当该分析结果指示第二待传输数据不存在标记、或者第二待传输数据的标记存在错误、或者第二待传输数据为中间态秘密数据时,数据管控装置对第二待传输数据执行预设处理操作。如此,针对不存在标记、或者标记错误以及中间态秘密的数据,数据管控装置通过执行预设处理操作的方式,避免这些数据跨安全域传输,或者在允许这些数据跨安全域传输的情况下提高其数据传输的安全性。
在一种可能的实施方式中,第二待传输数据的分析结果指示该第二待传输数据不存在标记,则第二待传输数据为所述第一安全域中的外部导入数据或者未知格式数据。如此,针对外部导入数据或者未知格式数据,数据管控装置通过执行预设处理操作的方式,提高安全域内的数据安全性,避免这些数据发生非法泄露。
在一种可能的实施方式中,第一待传输数据的标记,包括第一待传输数据的属性、第一待传输数据的属性包括数据秘密等级、数据类别、数据归属主体中的一种或者多种。实际应用时,第一待传输数据的属性也可以包括其它类型的信息,或者标记也可以是通过其它方式实现等。
在一种可能的实施方式中,数据管控装置向第二安全域传输第一待传输数据时,具体可以是先利用密钥对第一待传输数据进行加密,得到密文,该密钥为非共享密钥,并且预先保存于第一安全域中的KMS中,即数据管控装置可以通过读取KMS中的非共享密钥对第一待传输数据进行加密;然后,数据管控装置再向第二安全域内的第二业务实体发送该密文。如此,数据管控装置可以针对两个安全域内的不同业务实体,设置相应的密钥来加密传输数据,从而可以进一步提高跨安全域传输数据的安全性。并且,通过将密钥放在安全性较高的安全域内,来提高密钥保存的安全性,从而在利用该密钥对数据进行加密后传输时,可以进一步提高数据跨安全域传输的安全性。
在一种可能的实施方式中,数据管控装置还可以接收第二安全域内的第二业务实体发送的密钥请求,并基于该密钥请求对该第二业务实体进行鉴权,当第二业务实体通过鉴权时,数据管控装置向该第二业务实体发送密钥。如此,数据管控装置可以通过密钥鉴权的方式,提高第二业务实体获取加密密钥的安全性,进而可以进一步提高跨安全域传输数据的安全性。
在一种可能的实施方式中,数据管控装置还可以呈现数据流动结果,该数据流动结果可以用于指示第一安全域与第二安全域之间的数据流动情况,或者用于指示第一安全域内的第一业务实体与第二安全域内的第二业务实体之间的数据流动情况。如此,通过呈现该数据流动结果,可以方便用户获知两个安全域之间的数据流动情况或者两个安全域内的业务实体之间的数据流动情况,提高用户体验。
在一种可能的实施方式中,数据管控装置还可以呈现配置界面,该配置界面用于对可视化规则进行配置,该可视化规则例如可以是呈现数据所采用的策略、模型以及告警内容等,从而数据管控装置在呈现数据流动结果时,具体可以是响应于用户在该配置界面上针对该可视化规则的配置操作,呈现该数据流动结果。如此,通过执行可视化配置,方便用户根据关注的重点,及时发现数据跨安全域流动态势、告警内容(以及总体异常事件统计)等信息,提高用户对于数据监控的可选择性,提高用户体验。
在一种可能的实施方式中,第一安全域部署于以下云中的一种或者多种:混合云、私有云、公有云、社区云、边缘云、或者分布式云。如此,可以实现对云端的不同安全域之间的数据传输进行管控。
在一种可能的实施方式中,第一待传输数据所属的主体,为以下主体类型中的一种或者多种:应用、服务、资产、平台、设备、用户、或虚拟私有云VPC。如此,可以针对不同粒度的主体进行数据流动控制,实现数据传输安全的细粒度控制。
第二方面,本申请实施例还提供了一种数据管控装置,数据管控装置用于第一安全域的数据流出进行管控,数据管控装置包括:通信模块,用于接收第一安全域内的第一业务实体发送的第一待传输数据、第一待传输数据的标记;处理模块,用于根据标记与互通规则,确定是否允许向第二安全域传输第一待传输数据,互通规则用于指示第一安全域内的第一业务实体与第二安全域之间安全传输的数据的标记所需满足的条件;通信模块,还用于当确定允许传输第一待传输数据时,向第二安全域传输第一待传输数据。
在一种可能的实施方式中,处理模块,用于:对第一待传输数据进行解析,判断第一待传输数据是否满足安全传输的校验条件;当第一待传输数据满足安全传输的校验条件时,数据管控装置根据标记与互通规则,确定是否允许向第二安全域传输第一待传输数据。
在一种可能的实施方式中,通信模块,还用于接收第一安全域内的第一业务实体发送的第二待传输数据;处理模块,还用于对第二待传输数据进行分析,得到第二待传输数据的分析结果;当分析结果指示第二待传输数据不存在标记、或者第二待传输数据的标记存在错误、或者第二待传输数据为中间态秘密数据时,对第二待传输数据执行预设处理操作。
在一种可能的实施方式中,分析结果指示第二待传输数据不存在标记,第二待传输数据为第一安全域中的外部导入数据或者未知格式数据。
在一种可能的实施方式中,第一待传输数据的标记,包括第一待传输数据的属性,第一待传输数据的属性包括数据秘密等级、数据类别、数据归属主体中的一种或者多种。
在一种可能的实施方式中,互通规则用于指示第一业务实体与第二安全域内的第二业务实体之间安全传输数据的规则;通信模块,用于:利用密钥对第一待传输数据进行加密,得到密文,密钥包括非共享密钥,该非共享密钥预先保存于第一安全域中的密钥管理服务KMS中;向第二安全域内的第二业务实体发送密文。
在一种可能的实施方式中,通信模块,还用于呈现数据流动结果,数据流动结果用于指示第一安全域与第二安全域之间的数据传输情况,或数据流动结果用于指示第一业务实体与第二安全域内的第二业务实体之间的数据传输情况。
在一种可能的实施方式中,数据管控装置还包括配置模块,配置模块,用于:呈现配置界面,配置界面用于对可视化规则进行配置;通信模块,用于响应于用户在配置界面上针对可视化规则的配置操作,呈现数据流动结果。
在一种可能的实施方式中,第一安全域部署于以下云中的一种或者多种:混合云、私有云、公有云、社区云、边缘云、或者分布式云。
在一种可能的实施方式中,第一待传输数据所属的主体,为以下主体类型中的一种或者多种:应用、服务、资产、平台、设备、用户、或虚拟私有云VPC。
在一种可能的实施方式中,数据管控装置部署在第一安全域的边缘网关。
值得注意的是,第二方面提供的数据管控装置,对应于第一方面提供的数据传输方法,故第二方面以及第二方面中任一实施方式所具有的技术效果,可参见第一方面或者第一方面的相应实施方式所具有的技术效果。
第三方面,本申请提供一种计算设备集群,所述计算设备包括至少一个计算设备,所述至少一个计算设备包括至少一个处理器和至少一个存储器;所述至少一个存储器用于存储指令,所述至少一个处理器执行所述至少一个存储器存储的该指令,以使所述计算设备集群执行上述第二方面或第二方面任一种可能实现方式中的数据传输方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。所述至少一个计算设备还可以包括总线。其中,处理器通过总线连接存储器。其中,存储器可以包括可读存储器以及随机存取存储器。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在至少一个计算设备上运行时,使得所述至少一个计算设备执行上述第一方面或第一方面的任一种实现方式所述的方法。
第五方面,本申请提供了一种包含指令的计算机程序产品,当其在至少一个计算设备上运行时,使得所述至少一个计算设备执行上述第一方面或第一方面的任一种实现方式所述的方法。
本申请在上述各方面提供的实现方式的基础上,还可以进行进一步组合以提供更多实现方式。
附图说明
图1为本申请实施例提供的一示例性应用场景示意图;
图2为本申请实施例提供的一种数据传输方法的流程示意图;
图3为本申请实施例提供的一种配置界面的示意图;
图4为本申请实施例提供的另一种数据传输方法的流程示意图;
图5为本申请实施例提供的另一种配置界面的示意图;
图6为本申请实施例提供的又一种配置界面的示意图;
图7为本申请实施例提供的一种计算设备的结构示意图;
图8为本申请实施例提供的一种计算设备集群的结构示意图。
具体实施方式
下面将结合本申请中的附图,对本申请提供的实施例中的方案进行描述。
目前,通常会在安全域的边界中设置DLP系统,并且,当从安全域流出的数据为关键数据(如敏感数据或者秘密等级较高的数据)时,DLP系统会及时识别并进行阻断,以避免这些关键数据从安全域流出,提高安全域内的数据安全。但是,实际应用场景中,不同安全域之间经常存在交互这些关键数据的需求,如私有云中安全域1内的部分关键数据可能需要上传至公有云中的安全域2,或者,分别属于不同私有云的安全域1以及安全域2之间可能基于业务要求需要共享部分关键数据等,而DLP系统的存在会使得关键数据难以从安全域流出,从而不同安全域之间难以交互关键数据,导致不同安全域之间的数据流动受限。
基于此,本申请实施例提供了一种数据传输方法,该方法可以由数据管控装置执行,该数据管控装置用于对安全域1的数据流出进行管控,用以在保障安全域内的数据安全的情况下,控制数据在不同安全域之间进行安全传输。具体实现时,数据管控装置接收安全域1内的业务实体1发送的待传输数据(如上述敏感数据或者高密级数据等)、以及该待传输数据的标记,该标记例如可以标记待传输数据所属的主体或者数据秘密等级等信息;然后,数据管控装置根据该标记与这两个安全域之间的互通规则,确定是否允许传输该待传输数据,该互通规则用于指示安全域1内的业务实体与安全域2之间的安全传输的数据的标记所需满足的条件,如互通规则具体可以指示安全域1内的业务实体1只能向安全域2传输秘密等级较低的数据等,从而数据管控装置在确定允许传输该待传输数据时,将该待传输数据传输至安全域2,具体可以是将其传输至安全域2内的业务实体2中,以此实现安全域1与安全域2之间的数据交互。相应地,对于确定不允许传输的数据,数据管控装置可以阻断该数据从安全域1中流出。
由于在跨安全域传输数据的过程中,数据管控装置根据待传输数据的标记以及安全域1内的业务实体1与安全域2之间的互通规则,判断是否允许将待传输数据从安全域1传输至安全域2中,这使得安全域1中的关键数据(如敏感数据或者秘密等级较高的数据),也能在其标记满足互通规则的情况下,允许被传输至安全域2中,实现关键数据的跨安全域传输,从而在保障安全域内的数据安全的情况下,控制数据在不同安全域之间进行安全传输。
实际应用时,上述安全域1以及安全域2可以属于传统IT系统、混合云、私有云、公有云、社区云、边缘云、或者分布式云中的一种或者多种,从而数据管控装置通过执行上述数据传输方法控制数据跨安全域进行传输,也即可以实现数据在混合云、或者多个云之间的受控流动。或者,安全域1还可以是用户的本地机房,安全域2可以位于云上(如私有云、边缘云等),从而通过该数据管控装置可以实现用户数据从本地机房到云上的安全迁移,本申请实施例对于安全域1以及安全域2的具体部署场景并不进行限定。
示例性地,上述数据管控装置可以被部署于云端,用于为安全域1提供控制数据安全传输的云服务,实际应用时,数据管控装置可以部署于安全域1的网络边界,如部署于安全域1的边缘网关、或者边缘网关的下游网络节点等。例如,在图1所示的应用场景中,数据管控装置100部署于云端,如公有云、私有云、边缘云等,并且,可以由云端的计算设备或者计算设备集群实现,能够为安全域201以及安全域202提供控制数据安全传输的云服务。
如图1所示,数据管控装置100可以包括通信模块101、处理模块102以及通信模块101。其中,通信模块101用于获取安全域201(或者安全域202)中的待传输数据以及该待传输数据的标记,并将标记提供给处理模块102。处理模块102根据该标记、安全域201与安全域202之间的互通规则,确定是否允许传输该待传输数据,并将确定结果提供给通信模块101。通信模块101在确定结果指示允许传输该待传输数据时,将待传输数据由安全域201传输至安全域202。进一步地,数据管控装置100还可以包括其它功能模块,如还可以包括配置模块103等,其中,配置模块103用于对数据管控装置100控制数据跨安全域进行传输的过程进行相应的配置,如配置安全域201内的多个业务实体与安全域202内的多个业务实体之间的互通规则等。
应理解,图1所示的应用场景仅作为一种实现示例,并不用于对数据管控装置100的内部结构以及部署方式进行限定。比如,在其它可能的应用场景中,数据管控装置100可以控制数据在更多数量的安全域之间进行流动;或者,数据管控装置100还可以包括更多其它的功能模块;或者,当安全域201为用户本地机房、安全域202部署于云端时,数据管控装置100也可以部署于用户侧,从而控制用户数据安全上云。
其中,数据管控装置100可以通过软件实现,或者可以通过硬件实现。
数据管控装置100作为软件功能单元的一种举例,可以包括运行在计算实例上的代码。其中,计算实例可以包括主机、虚拟机、容器、软件系统或者软件服务中的至少一种。实际应用时,数据管控装置100可以表现为软件系统或者软件服务,并可以部署在安全域201或安全域202的边界。进一步地,上述计算实例可以是一台或者多台。例如,数据管控装置100可以包括运行在多个主机/虚拟机/容器上的代码。需要说明的是,用于运行该代码的多个主机/虚拟机/容器可以分布在相同的区域(region)中,也可以分布在不同的region中。进一步地,用于运行该代码的多个主机/虚拟机/容器可以分布在相同的可用区(availability zone,AZ)中,也可以分布在不同的AZ中,每个AZ包括一个数据中心或多个地理位置相近的数据中心。其中,通常一个region可以包括多个AZ。
同样,用于运行该代码的多个主机/虚拟机/容器可以分布在同一个虚拟私有云(virtual private cloud,VPC)中,也可以分布在多个VPC中。其中,通常一个VPC设置在一个region内,同一region内两个VPC之间,以及不同region的VPC之间跨区通信需在每个VPC内设置通信网关,经通信网关实现VPC之间的互连。
数据管控装置100作为硬件功能单元的一种举例,数据管控装置100可以包括至少一个计算设备,如服务器等。或者,数据管控装置100也可以是利用专用集成电路(application-specific integrated circuit,ASIC)实现、或可编程逻辑器件(programmable logic device,PLD)实现的设备等。其中,上述PLD可以是复杂程序逻辑器件(complex programmable logical device,CPLD)、现场可编程门阵列(field-programmable gate array,FPGA)、通用阵列逻辑(generic array logic,GAL)或其任意组合实现。实际应用时,数据管控装置100可以表现为硬件平台,并与多个不同安全域建立通信连接。
数据管控装置100包括的多个计算设备可以分布在相同的region中,也可以分布在不同的region中。数据管控装置100包括的多个计算设备可以分布在相同的AZ中,也可以分布在不同的AZ中。同样,数据管控装置100包括的多个计算设备可以分布在同一个VPC中,也可以分布在多个VPC中。其中,上述多个计算设备可以是服务器、ASIC、PLD、CPLD、FPGA和GAL等计算设备的任意组合。
接下来,对测试过程的各种非限定性的具体实施方式进行详细描述。
参阅图2,为本申请实施例中一种数据传输方法的流程示意图。该方法可以应用于上述图1所示的应用场景中,或者也可以是应用于其它可适用的应用场景中。为便于理解,下面以应用于图1所示的应用场景为例进行说明。图2所示的数据传输方法具体可以包括:
S201:通信模块101接收安全域201内的第一业务实体发送的第一待传输数据、该第一待传输数据的标记。
第一待传输数据,即为安全域201与安全域202之间所需进行交互的数据,具体可以是安全域201中的业务实体与安全域202中的业务实体之间交互的数据,该数据可以是安全域201中静态存储的数据,也可以是安全域201中由应用、服务等业务实体动态生成的数据,其数据形式可以是文档、图片、视频中的任意一种或者多种。其中,安全域201中的业务实体,例如可以是安全域201中的应用、服务、平台、设备、或VPC等具有数据交互能力的业务实体,也可以是其它类型的业务实体,本实施例对此并不进行限定。
实际应用场景中,安全域201与安全域202之间交互的数据,可能是安全域201中的敏感数据或者高密级数据(即秘密等级较高的数据),或者可能是非敏感数据或者低密级数据(即秘密等级较低的数据),其中,对于界定数据是否敏感以及秘密等级是否为高的实现方式,在此不做限定。本实施例中,为了避免敏感数据或者高密级数据被非法泄露出安全域201,同时保证安全域201与安全域202之间能够合法交互敏感数据以及高密级数据,可以在安全域201与安全域202之间部署数据管控装置100(或者也可称之为数据闸),并且,数据管控装置100可以对安全域201与安全域202之间传输的数据进行管控。
第一待传输数据的标记,用于对第一待传输数据在一个或者多个维度的属性进行标记。其中,第一待传输数据的属性,例如可以是数据秘密等级、数据类别、数据归属主体中的一种或者多种,或者可以是其它属性。其中,数据秘密等级,用于衡量第一待传输数据的保密程度的等级,比如,对于用户的核心数据,其数据秘密等级较高,对于用户的公开数据,其数据秘密等级较低等。数据类别,可以根据数据格式(如文件、表、图片、视频等格式)、或数据所属业务等进行划分,也可以是根据其它因素划分数据所属的类别。数据归属主体,是指生成或者拥有数据的主体,例如可以是安全域201中的应用、服务、资产、平台、设备、用户、或VPC中的一种或者多种,也可以是其它可能的主体。
在一种可能的实施方式中,安全域201中的第一业务实体在需要将第一待传输数据发送给安全域202(内的第二业务实体)时,该第一业务实体可以对该第一待传输数据进行标记,并生成包括第一待传输数据以及标记的数据报文,并将该数据报文发送给通信模块101。通信模块101可以对接收到的数据报文进行解析,具体可以根据安全域201内的第一业务实体与安全域202之间的配置的通信协议解析该数据报文,从中得到第一待传输数据以及标记。示例性地,通信协议例如可以是超文本传输协议(Hyper Text TransferProtocol,HTTP)、传输控制协议/互联网际协议(Transmission Control Protocol/Internet Protocol,TCP/IP)等。
其中,安全域201可以对该第一待传输数据进行自动化标记,如安全域201内的第一业务实体可以利用标记工具或者自然语言处理(natural language processing,NLP)引擎对其进行标记等。或者,安全域201在发送第一待传输数据之前,可以请求用户对该当前所要发送的第一待传输数据进行人工标记。实际应用时,对于静态生成的数据,安全域201内的第一业务实体可以对其进行人工标记或者自动化标记;对于动态生成的数据,安全域201内的第一业务实体主要可以通过自动化标记的方式,生成该数据的标记。
通信模块101在获取到第一待传输数据以及标记后,可以将标记提供给处理模块102。另外,通信模块101还可以将第一待传输数据也提供给处理模块102。
S202:处理模块102根据标记与互通规则,确定是否允许向安全域202传输第一待传输数据,其中,互通规则用于指示安全域201内的第一业务实体与安全域202之间安全传输的数据的标记所需满足的条件。
其中,安全域201内的第一业务实体与安全域202之间的互通规则,可以是以安全域为粒度的统一规则,比如,假设数据的标记具体为该数据的秘密等级,则互通规则具体可以是安全域201内的各个业务实体向安全域202发送的所有数据的秘密等级不能超出预设秘密等级,而安全域202内的业务实体向安全域201发送的数据的秘密等级不受限等。或者,安全域201内的第一业务实体与安全域202之间的互通规则,可以是以安全域内的业务实体为粒度指定的规则。比如,假设数据的秘密等级包括高、中、低级别,则互通规则具体可以是:安全域201中的业务实体A向安全域202发送的数据的秘密等级只能为“低”这一级别;安全域201中的业务实体B向安全域202发送的数据的秘密等级不能超出“中”这一级别;安全域202中的业务实体C向安全域202发送的数据的秘密等级可以是高、中、低任意级别。又比如,安全域201内的第一业务实体向安全域202内的业务实体a发送的数据的秘密等级不能超出“中”这一级别;安全域201内的第一业务实体向安全域202内的业务实体b发送的数据的秘密等级可以是高、中、低任意级别。
示例性地,在安全域201发送第一待传输数据之前,可以预先由用户配置安全域201与安全域202之间的互通规则。具体地,数据管控装置100中包括配置模块103,并且,配置模块103可以通过对外提供的客户端向用户呈现如图3所示的配置界面1,并且,用户可以在该配置界面1上可以对任意安全域之间的互通规则进行配置。如图3所示,用户可以在该配置界面1上输入所要配置互通规则的安全域201以及安全域202的标识,例如可以输入这两个安全域的名称等,从而配置模块103可以在该配置界面1上进一步呈现安全域201以及安全域202中的多个业务实体的候选项,其中,候选项“全部”用于指代安全域中的所有业务实体。这样,用户可以分别对安全域201中的候选项以及安全域202中的候选项进行选择,并为所选择的两个安全域内的业务实体输入相应的互通规则,以此实现以业务实体为粒度配置互通规则。而当用户针对安全域201以及安全域202中的候选项均选择“全部”这一候选项时,用户所输入的互通规则即为安全域201中的所有业务实体与安全域202中的所有业务实体之间统一的互通规则,以此可以实现以安全域为粒度配置互通规则。然后,配置模块103可以将用户配置的互通规则提供给处理模块102。实际应用时,处理模块102中可以存储有多个安全域(或者安全域内的业务实体)之间的互通规则。
处理模块102在接收到通信模块101提供的第一待传输数据以及标记后,可以从本地查找出缓存的安全域201内的第一业务实体与安全域202之间的互通规则,并根据该互通规则判断传输第一待传输数据是否合法,也即判断是否允许将安全域201中的第一待传输数据进行对外传输。举例来说,假设第一待传输数据的标记包括第一待传输数据的秘密等级,则,处理模块102可以判断该标记中的秘密等级是否超出互通规则所规定的安全域201向安全域202所发送数据的秘密等级上限。若标记中的秘密等级超出该秘密等级上限,处理模块102可以确定不允许传输第一待传输数据,以避免该第一待传输数据被非法泄露至安全域202中。若标记中的秘密等级未超出该秘密等级上限,处理模块102可以确定允许传输该第一待传输数据。
通常情况下,对于安全域201向安全域202发送的数据,并非所有数据都是敏感数据或者高密级数据,并且,对于一些非敏感数据或者低密级数据,数据管控装置100可以直接将该数据传输至安全域202中,可以不用校验是否允许传输该数据。因此,在进一步可能的实施方式中,处理模块102可以先分析第一待传数据是否满足安全传输的校验条件。具体实现时,处理模块102可以对第一待传输数据进行解析,并基于解析得到的结果判断第一待传输数据是否满足安全传输的校验条件。比如,处理模块102可以解析第一待传输数据的内容以及安全敏感程度,并基于解析得到的数据内容以及安全敏感程度,判断第一待传输数据是否为敏感数据或者高密级数据,即当第一待传输数据为敏感数据或者高密级数据时,确定第一待传输数据满足安全阐述的校验条件。在确定第一待传输数据满足安全传输的校验条件后,处理模块102可以进一步根据标记校验是否允许向安全域202传输第一待传输数据。相应地,对于不满足安全传输的校验条件的数据,处理模块102可以不用根据标记执行校验过程,而可以直接将该数据传输至安全域202。应理解,上述实现方式仅作为一种示例性说明,在其它可能的实施方式中,处理模块102可以通过关键词匹配或者语义解析等方式确定第一待传输数据是否为敏感数据或者高密级数据等,对此并不进行限定。
另外,通信模块101所获取的第一待传输数据的标记,对于第一待传输数据的属性标记可能并不完全准确,比如,在对第一待传输数据进行标记时,可能因为人工标记时标记人员主观认知的局限性,或者因为标记工具标记准确率较低等原因,导致为第一待传输数据所标记的属性与该第一待传输数据的真实属性可能存在偏差,如第一待传输数据被标记为秘密等级较低的数据,而第一待传输数据实际为秘密等级较高的数据等。因此,在进一步可能的实施方式中,处理模块102在获取到第一待传输数据以及标记后,可以先对第一待传输数据进行属性分析,例如可以利用NLP引擎并将分析得到的属性结果与标记进行比对。当属性结果与标记一致时,处理模块102再进一步根据标记校验是否允许向安全域202传输第一待传输数据,以此可以避免标记的错误而导致数据被非法传输至其它安全域,从而可以进一步提高数据跨安全域流动的安全性。相应地,当属性结果与标记不一致时,处理模块102可以对该第一待传输数据执行预设处理操作,比如,处理模块102可以根据分析的属性结果校验是否允许将第一待传输数据传输至安全域202;或者,处理模块102可以直接拒绝传输第一待传输数据;或者,处理模块102可以对该第一待传输数据进行加密,以便后续将加密得到的密文发送至安全域202;或者,处理模块102可以针对属性结果与标记不一致的情况进行异常告警,以便由用户决定是否允许将第一待传输数据传输至安全域202等。
实际应用场景中,处理模块102对第一待传输数据进行属性分析所使用的NLP引擎,可以在数据管控装置100监管数据跨安全域传输的过程中完成训练。举例来说,数据处理装置100在每次监管数据在不同安全域之间进行传输的过程中,可以先利用NLP引擎对传输的数据进行属性解析,并将解析得到的属性结果与该数据的标记进行比对;然后,数据处理装置100可以根据该属性结果与标记之间的误差,对NLP引擎进行参数调整,以此完成一次针对NLP引擎的训练过程。基于类似方式,可以实现对NLP模型的多次训练,直至NLP引擎满足预设的训练终止条件,如NLP引擎的推理准确率达到预设阈值等。在此过程中,处理模块102可以直接根据数据的标记确定是否允许传输数据。而当NLP引擎结束训练,处理模块102可以利用该NLP引擎校验数据的标记是否准确,以便在标记不准确的情况下针对标记进行异常告警。
然后,处理模块102可以将是否允许将第一待传输数据传输至安全域202的确定结果提供给通信模块101。
S203:当确定允许传输第一待传输数据时,通信模块101向安全域202传输该第一待传输数据。
本实施例中,即使第一待传输数据为敏感数据或者高密级数据,在根据互通规则以及标记确定允许传输第一待传输数据时,通信模块101也会将该第一待传输数据由安全域201传输至安全域202中,实现数据的跨安全域流动。
在一种可能的实施方式中,通信模块101可以先获取密钥,并利用该密钥对该第一待传输数据进行加密,得到密文。然后,通信模块101再将密文传输至安全域202中。如此,可以通过加密所要传输的数据,进一步提高数据传输的安全性。
本实施例中,通信模块101所使用的密钥,可以是共享密钥,也可以是非共享密钥。其中,当密钥为共享密钥时,安全域201在将第一待传输数据发送至数据管控装置100后,可以请求数据管控装置100利用共享密钥对其进行加密。通信模块101在确定允许传输第一待传输数据后,可以根据请求中所携带的安全域201的标识(或者安全域201中业务实体的标识),从本地存储的密钥中查询该安全域201的共享密钥,再利用查找出的共享密钥对第一待传输数据进行加密并发送加密密文。相应地,安全域202可以利用共享密钥对接收到的密文进行解密后,即可得到第一待传输数据的明文。
当密钥为非共享密钥时,安全域201在将第一待传输数据发送至数据管控装置100后,可以请求数据管控装置100利用非共享密钥对其进行加密。或者,通信模块101在确定第一待传输数据具有加密标识时,确定利用非共享密钥对其进行加密等。此时,通信模块101在确定允许传输第一待传输数据后,可以生成密钥,如可以通过随机算法或者其它算法生成密钥等,再利用生成的密钥对第一待传输数据进行加密,再将加密得到的密文发送至安全域202中。安全域202在接收到密文后,可以向数据管控装置100发送密钥请求。数据管控装置100基于该密钥请求,对安全域202进行鉴权,即判断安全域202是否具有获得密钥的权限,如可以通过预先配置的针对安全域202的密钥授权关系和/或密钥互通关系,判断安全域202是否具有获得对来自安全域201的数据进行解密的权限。其中,密钥授权关系,用于记录安全域(或者安全域内的业务实体)能够获取密钥的授权信息;密钥互通关系,用于记录具有同一密钥授权的一个或者多个安全域(或者安全域内的业务实体),比如,安全域A具有密钥1的获取权限,而安全域B与安全域A具有密钥互通关系,则安全域B也具有针对密钥1的获取权限。若确定安全域202通过鉴权,则数据管控装置100可以将该密钥发送给安全域202;否则,数据管控装置100拒绝安全域202的密钥获取申请,以此终止数据由安全域201至安全域202的共享行为,避免数据的非法传输,提高数据安全基线。
在另一种可能的实施方式中,由于数据在安全域内存储的安全性通常较高,因此,通信模块101在确定允许传输第一待传输数据后,可以从安全域201(或者其它高密级安全域)中获取非共享密钥,例如可以从安全域201中的密钥管理服务(key managementservice,KMS)中获取非共享密钥,并利用获取的非共享密钥对第一待传输数据进行加密,再将加密得到的密文发送至安全域202中。相应地,通信模块101在接收到安全域202发送的密钥请求后,若安全域202通过鉴权,则通信模块101可以再从安全域201请求该非共享密钥,如可以向安全域201中的KMS请求该非共享密钥等,并将请求得到的非共享密钥发送给安全域202;否则,数据管控装置100拒绝安全域202的密钥获取申请,以此终止数据由安全域201至安全域202的共享行为,避免数据的非法传输。
进一步地,通信模块101在对第一待传输数据进行加密之前,还可以审核密钥属性和/或对第一待传输数据的明文内容进行二次分析。其中,审核密钥属性,具体可以是校验所使用的密钥是否属于安全域201的密钥,以此避免通信模块101误用属于其它安全域的密钥来对第一待传输数据进行加密。对第一待传输数据的明文内容进行二次分析,具体可以是再次对第一待传输数据的内容进行语义分析或者敏感内容检测,以避免处理模块102因为误检或者漏检而导致第一待传输数据的非法传输,进一步提高数据跨安全域传输的安全性。在确定密钥属性通过审核以及针对第一待传输数据的明文内容的分析结果与处理模块102的分析结果(或者标记)相匹配后,通信模块101利用该密钥对第一待传输数据进行加密并传输加密得到的密文。否则,通信模块101可以拒绝加密并传输第一待传输数据,或者通过告警方式以提示人工干预第一待传输数据的跨安全域传输过程。
当然,上述实施方式中,是以通信模块101对第一待传输数据进行加密后再进行传输为例,在其它实施方式中,通信模块101也可以直接将明文的第一待传输数据传输至安全域202中,对此并不进行限定。
由于在跨安全域传输数据的过程中,数据管控装置100会根据标记以及互通规则,判断是否允许将第一待传输数据从安全域201传输至安全域202中,这使得当第一待传输数据为安全域201中的敏感数据或者高秘密等级的数据时,第一待传输数据也能在其标记满足互通规则的情况下,允许被传输至安全域202中,实现敏感数据或者高秘密等级数据的跨安全域传输,从而在保障安全域内的数据安全的情况下,控制数据在不同安全域之间进行安全传输。同时,不同安全域内存储的数据可以基于安全域本身的安全机制相互隔离,以此可以实现不同安全域之间同时实现数据隔离以及数据共享的功能。
值得注意的是,图2所示的实施例中,主要是以安全域201向安全域202发送数据为例,介绍数据管控装置100控制数据的跨安全域流动的实现过程,当安全域202向安全域201发送数据时,数据管控装置100也可以基于上述类似方式,控制数据向安全域201的安全流动,具体可参见上述实施例的相关描述,在此不做重述。
上述实施例中,是以允许传输第一待传输数据为例,对数据管控装置100控制数据跨安全域传输的过程进行示例性说明,实际应用时,安全域201向安全域202发送的其它数据可能存在标记缺陷或者异常,下面,结合图4,介绍数据管控装置100针对这类数据的处理过程。如图4所示,该方法可以包括:
S401:配置模块103完成针对安全域201以及安全域202的配置,该配置包括安全域201与安全域202之间的连通性配置、互通规则配置、数据处置策略配置、可视化配置。
其中,针对安全域201与安全域202进行连通性配置,是为了建立安全域201与安全域202之间的通信连接,以使得这两个安全域201之间能够基于该连接交互数据。示例性地,配置模块103可以通过对外提供的客户端向用户呈现如图5所示的配置界面2,并且,用户可以在该配置界面2上对任意两个安全域之间的连通性进行配置,或者可以针对任意两个安全域内的业务实体之间的连通性进行配置。如图5所示,用户可以在配置界面2上配置安全域之间的连通路径,包括配置网络地址、域名、端口、访问规则(如访问时所允许执行的动作等)、访问凭据(如令牌token、或者口令等)、共享密钥、通信协议、所允许交互的数据的类型等。在其它实施例中,用户也可以配置上述部分内容,或者配置其它内容,如配置代理(agent)证书、私钥等信息。
需要说明的是,图5中以配置两个安全域之间的连通性为例,在其它实施例中,用户也可以在配置界面上针对不同安全域内的业务实体之间的连通性。实际应用时,由于每个安全域内通常包括较多数量的业务实体(如包括多个应用等),因此,当安全域内的多个业务实体通过少量的应用程序编程接口网关(application programming interfacegateway,APIG)或者边界应用与外部进行交互时,配置模块103可以配置不同安全域的数据面或者管理面的APIG或者边界应用之间的连通性。如此,不仅可以通过配置APIG或者边界应用实现对不同安全域内的业务实体之间的连通性配置,而且,由于所需配置的APIG或者边界应用的数量较少,从而可以有效提高整体的配置效率。
数据处置策略配置,具体是指配置数据处理装置100对于安全域外发的数据的处置策略,如正常放行、阻断数据传输并告警、人工校验、加密后传输等。示例性地,配置模块103可以通过对外提供的客户端向用户呈现如图6所示的配置界面3,并且,用户可以在该配置界面3上针对任意两个安全域之间的数据处理策略进行配置。具体地,如图6所示,对于标记符合互通规则的数据,可以配置数据处理装置100正常放行,即,将该数据进行跨安全域传输;对于缺少标记的数据,可以配置数据处理装置100直接阻断数据传输并触发告警,或者配置数据管控装置100根据用户针对该数据的人工校验结果确定是否传输;对于标记与NLP引擎所分析出的属性信息不一致的数据,可以配置数据管控装置100直接阻断数据传输并告警,或者配置数据管控装置100对该数据进行加密后传输等。针对指定类别的数据(如标记准确率通常较低的数据),可以配置数据管控装置100对该数据进行加密后传输。在其它实施例中,用户也可以配置其它可适用的处置策略,对此并不进行限定。
可视化配置,是指配置数据处理装置100呈现信息时的可视化规则进行配置,该可视化规则例如可以是包括数据处理装置100呈现数据所采用的策略、模型以及告警内容。其中,呈现数据所采用的策略,用于确定所要呈现的数据,如可以是跨安全域传输的数据的动态实时呈现、或者可以是统计一定时长内所传输的数据进行呈现等。呈现数据所采用的模型,用于确定数据的呈现形式,如以图(如思维导图、频度图等)、表等数据呈现形式。呈现告警内容,用于确定所要呈现的告警内容的一种或者多种类型,比如,对于提示标记错误这一类型的告警信息,可以不用呈现给用户,而重点可以呈现标记缺失这一类型的告警信息等。本实施例中,配置模块103可以通过对外提供的客户端向用户呈现用于配置可视化规则的配置界面,以便用户在该配置界面上针对可视化规则进行配置。实际应用中,可以通过执行可视化配置,及时发现数据跨安全域流动态势、告警内容(以及总体异常事件统计)等信息。
进一步地,在对数据处理装置100进行可视化配置的过程中,还可以配置数据管控装置100所要呈现的审计重点事项以及审计规则等内容。其中,审计重点事项,例如可以是人为指定的重要的审计项目,如包括指定操作类型(如高密数据采用低安全方式传输等)或者包含指定审计内容的审计项目等,该审计项目例如可以是针对人工标记数据或者人工校验等过程所记录的审计事件。审计规则,例如可以用于规定针对审计事件的告警通知方式,如可以规定直接生成告警页面以做出告警,或者可以规定生成告警消息进行告警等。实际应用时,用户也可以针对审计项目配置其它可适用的内容,如配置针对多条审计项目的审计策略等,对此并不进行限定。
实际应用时,配置模块103也可以是完成上述部分配置,其余配置内容在数据管控装置100中为默认值。或者,配置模块103也可以基于实际应用需求完成其它类型的配置,本实施例对此并不进行限定。
在完成上述配置后,数据管控装置100可以对安全域201外发的数据进行相应的传输控制。
S402:通信模块101接收安全域201内第一业务实体发送的第二待传输数据。
其中,第二待传输数据与第一待传输数据类似,可以是安全域201中的业务实体与安全域202中的业务实体之间交互的数据,其数据形式可以是文档、图片、视频中的任意一种或者多种。本实施例中,第二待传输数据可以属于安全域201中的第一业务实体。在其它实施例中,第二待传输数据也可以是属于安全域201中的其它业务实体,在此不做限定。
然后,通信模块101将获取的第二待传输数据提供给处理模块102。
需要说明的是,步骤S401的具体实现方式,可参见前述图2中所示实施例的相关之处描述,在此不做赘述。
S403:处理模块102对第二待传输数据进行分析,得到第二待传输数据的分析结果。示例性地,处理模块102在对第二待传输数据进行分析时,具体可以包括以下内容:
1、处理模块102分析第二待传输数据是否存在标记。
可以理解,安全域201对外发送的数据,并非所有数据都会有标记,如部分数据可能被人工遗漏标记,或者因为标记工具发生程序错误而未被标记等。因此,处理模块102可以分析第二待传输数据是否存在标记。
实际应用时,对于安全域201中部分场景下的数据,如安全域201中外部导入场景下的数据,具体可以是用户通过客户端向安全域201导入的数据等,或者,安全域201中存储的未知数据格式场景下的数据,安全域201在外发该数据时也可能难以对其进行标记。因此,当第二待传输数据为这些场景下的数据时,第二待传输数据可能不具有标记。
在一种实现示例中,若第二待传输数据为这些场景下的数据,则安全域201在外发该第二待传输数据时,可以对该第二待传输数据添加场景标签,从而处理模块102可以通过该场景标签,识别第二待传输数据为不具有标记的数据。
2、处理模块102分析出第二待传输数据存在标记的情况下,分析第二待传输数据的属性是否与标记相匹配。
具体地,第二待传输数据的标记,可能与第二待传输数据的实际属性并不完全匹配,因此,处理模块102在获取到第二待传输数据以及标记后,可以先对第二待传输数据进行属性分析,例如可以利用NLP引擎对第二待传输数据进行属性分析等,并将分析得到的属性结果与该标记进行比对,确定第二待传输数据的属性是否与标记相匹配。
3、处理模块102分析第二待传输数据是否为中间态秘密数据。
中间态秘密数据,具体为对于待传输数据的标记准确率较低的一类数据(或者标记错误的频率较高),也即对该数据的标记的置信度较低的一类数据。
示例性地,处理模块102可以分析第二待传输数据的类别,并且,当该类别与中间态秘密数据所属的类别一致时,则处理模块102可以确定该第二待传输数据属于中间态秘密数据。其中,中间态秘密数据所属的类别,可以预先由用户进行指定,或者由数据管控装置100通过统计各个类别数据的标记的准确率进行确定等。
然后,处理模块102可以将第二待传输数据的分析结果提供给通信模块101。
S404:当分析结果指示第二待传输数据不存在标记、或者指示第二待传输数据的标记存在错误、或者指示第二待传输数据为中间态秘密数据时,通信模块101对第二待传输数据执行预设处理操作。
可以理解,当分析结果指示第二待传输数据不存在标记、标记存在错误或者第二待传输数据为中间态秘密数据时,若通信模块101仍然根据标记以及互通规则校验是否允许传输第二待传输数据,则可能会因为标记的缺失而导致第二待传输数据传输失败,或者因为标记不可信而导致第二待传输数据被非法传输至其它安全域。为此,通信模块101可以针对这类数据执行预设处理操作。
示例性地,通信模块101所执行的预设处理操作,可以是阻断传输的操作。比如,当分析结果指示第二待传输数据不存在标记或者标记存在错误时,通信模块101可以拒绝将该第二待传输数据发送至安全域202中。
或者,通信模块101所执行的预设处理操作,可以是触发告警操作。具体地,当分析结果指示第二待传输数据不存在标记、或者标记存在错误、或者第二待传输数据为中间态秘密数据时,通信模块101可以针对该第二待传输数据生成告警信息,并将该告警信息提供给用户。这样,用户可以基于该告警信息对该第二待传输数据人工添加标记,从而数据管控装置100基于人工添加的标记确定是否允许第二待传输数据被传输至安全域202,或者由用户决定是否将该第二待传输数据传输至安全域202。
或者,通信模块101所执行的预设处理操作,可以是对第二待传输数据进行加密并传输密文的操作。具体地,当分析结果指示第二待传输数据为中间态秘密数据时,通信模块101可以将该第二待传输数据进行加密,并向安全域202传输加密密文,以此提高数据传输的安全性。
实际应用时,通信模块101也可以综合上述任意多种操作,或者可以采用其它操作处理第二待传输数据,如通信模块101可以分析第二待传输数据的数据内容是否为敏感数据或者高密级数据,若是,则通信模块101阻断第二待传输数据传输,若否,则通信模块101将该第二待传输数据发送至安全域202等。其中,通信模块101所执行的预设操作,是由配置模块103预先完成配置,如基于上述步骤S401描述的配置过程完成配置等。如此,可以针对无标记数据或者标记错误的数据的特异化处理,提高这类数据在跨安全域传输的安全性。
并且,对于安全域201外发的其它数据,当针对该数据的分析结果指示该数据存在标记、且该数据的标记不存在错误、且该数据为不为中间态秘密数据时,通信模块101可以将该数据正常传输至安全域202中,或者将该数据进行加密后传输至安全域202等。
在进一步可能的实施方式中,通信模块101还可以呈现安全域201与安全域202之间的数据流动结果,该数据流动结果用于指示安全域201与安全域202之间的数据传输情况,可以通过图、表等形式呈现该数据流动结果等,或者可以是用于指示安全域内201内的第一业务实体与安全域202内的第二业务实体之间的数据传输情况。其中,数据流动结果的具体呈现方式,可以基于用户在配置界面上针对可视化规则的配置操作进行确定。比如,通信模块101可以基于用户针对该可视化规则的配置操作,确定采用图或者表的形式呈现安全域201与安全域202之间的数据流动结果,或者确定是动态实时呈现安全域201与安全域202之间的数据流动结果、还是统计安全域201与安全域202之间在一定时长内流动的数据等,或者确定呈现哪种/哪些类型的数据以及与该数据相关的告警内容等。
值得注意的是,上述图2以及图4所示实施例中,是以安全域201与安全域202之间传输数据为例,实际应用时,数据管控装置100可以针对安全域201与安全域202的不同应用、服务、资产、用户、或VPC等业务实体之间跨安全域交互的数据进行管控,即当安全域201内的业务实体向安全域202内的业务实体发送数据时,数据管控装置100可以基于上述图2或者图4所示的方式控制该数据安全传输或者阻断该数据跨安全域传输。如此,数据管控装置100可以针对不同粒度的业务实体进行数据流动控制,实现数据传输安全的细粒度控制。
需要说明的是,本实施例中,对于数据管控装置内的各个模块的划分以及功能描述仅作为一种示例。比如,在其他实施例中,通信模块101可以用于执行上述数据传输方法中的任意步骤,类似的,处理模块102、配置模块103均可以用于执行上述数据传输方法中的任意步骤,并且,通信模块101、处理模块102、配置模块103负责实现的步骤可根据需要指定,通过通信模块101、处理模块102、配置模块103分别实现数据传输方法中不同的步骤来实现数据管控装置的全部功能。
上述图2以及图4所示实施例中,针对数据传输过程中所涉及到的数据管控装置100(包括上述数据通信模块101、处理模块102、配置模块103)可以是配置于计算设备或者计算设备集群上的软件,并且,通过在计算设备或者计算设备集群上运行该软件,可以使得计算设备或者计算设备集群实现上述数据管控装置100所具有的功能。下面,基于硬件设备实现的角度,对数据传输的过程中所涉及的数据管控装置100进行详细介绍。
图7示出了一种计算设备的结构示意图,上述数据管控装置100可以部署在该计算设备上,该计算设备可以是云环境中的计算设备(如服务器),或边缘环境中的计算设备,或终端设备等具体可以用于实现上述图2、图4所示实施例中通信模块101、处理模块102、配置模块103的功能。
如图7所示,计算设备700包括处理器710、存储器720、通信接口730和总线740。处理器710、存储器720和通信接口730之间通过总线740通信。总线740可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extendedindustry standard architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。通信接口730用于与外部通信,例如接收安全域201中的第一业务实体发送的第一待传输数据以及标记等。
其中,处理器710可以为中央处理器(central processing unit,CPU)、专用集成电路(application specific integrated circuit,ASIC)、图形处理器(graphicsprocessing unit,GPU)或者一个或多个集成电路。处理器710还可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,数据管控装置100中各个模块的功能可以通过处理器710中的硬件的集成逻辑电路或者软件形式的指令完成。处理器710还可以是通用处理器、数据信号处理器(digital signal process,DSP)、现场可编程逻辑门阵列(fieldprogrammable gate array,FPGA)或者其他可编程逻辑器件,分立门或者晶体管逻辑器件,分立硬件组件,可以实现或者执行本申请实施例中公开的方法、步骤及逻辑框图。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,结合本申请实施例所公开的方法可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器720,处理器710读取存储器720中的信息,结合其硬件完成数据管控装置100中的部分或全部功能。
存储器720可以包括易失性存储器(volatile memory),例如随机存取存储器(random access memory,RAM)。存储器720还可以包括非易失性存储器(non-volatilememory),例如只读存储器(read-only memory,ROM),快闪存储器,HDD或SSD。
存储器720中存储有可执行代码,处理器710执行该可执行代码以执行前述数据管控装置100所执行的方法,也即数据管控装置100中的各个功能模块所执行的方法。
具体地,在实现图2、图4所示实施例的情况下,且图2、图4所示实施例中所描述的通信模块101、处理模块102、配置模块103为通过软件实现的情况下,执行图2、图4中的通信模块101、处理模块102、配置模块103的功能所需的软件或程序代码存储在存储器720中,通信模块101与其它设备的交互通过通信接口730实现,处理器用于执行存储器720中的指令,实现数据管控装置100所执行的方法。
图8示出的一种计算设备集群的结构示意图。其中,图8所示的计算设备集群80包括多个计算设备,上述数据管控装置100可以分布式地部署在该计算设备集群80中的多个计算设备上。如图8所示,计算设备集群80包括多个计算设备800,每个计算设备800包括存储器820、处理器810、通信接口830以及总线840,其中,存储器820、处理器810、通信接口830通过总线840实现彼此之间的通信连接。
处理器810可以采用CPU、GPU、ASIC或者一个或多个集成电路。处理器810还可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,数据管控装置100的部分功能可用通过处理器810中的硬件的集成逻辑电路或者软件形式的指令完成。处理器810还可以是DSP、FPGA、通用处理器、其他可编程逻辑器件,分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的部分方法、步骤及逻辑框图。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器820,在每个计算设备800中,处理器810读取存储器820中的信息,结合其硬件可以完成数据管控装置的部分功能。
存储器820可以包括ROM、RAM、静态存储设备、动态存储设备、硬盘(例如SSD、HDD)等。存储器820可以存储程序代码,例如,用于实现通信模块101的部分或者全部程序代码、用于实现处理模块102的部分或者全部程序代码、用于实现配置模块103的部分或者全部程序代码等。针对每个计算设备800,当存储器820中存储的程序代码被处理器810执行时,处理器810基于通信接口830执行数据管控装置100所执行的部分方法,如其中一部分计算设备800可以用于执行上述通信模块101、处理模块102所执行的方法,另一部分计算设备800用于执行上述配置模块103所执行的方法。存储器820还可以存储数据,例如:处理器810在执行过程中产生的中间数据或结果数据,例如,上述待传输数据、标记、互通规则等。
每个计算设备800中的通信接口803用于与外部通信,例如与其它计算设备800进行交互等。
总线840可以是外设部件互连标准总线或扩展工业标准结构总线等。为便于表示,图8中每个计算设备800内的总线840仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
上述多个计算设备800之间通过通信网络建立通信通路,以实现数据管控装置100的功能。任一计算设备可以是云环境中的计算设备(例如,服务器),或边缘环境中的计算设备,或终端设备。
此外,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在一个或者多个计算设备上运行时,使得该一个或者多个计算设备执行上述实施例中数据管控装置100的各个模块所执行的方法。
此外,本申请实施例还提供了一种计算机程序产品,所述计算机程序产品被一个或者多个计算设备执行时,所述一个或者多个计算设备执行前述数据传输方法中的任一方法。该计算机程序产品可以为一个软件安装包,在需要使用前述数据传输方法的任一方法的情况下,可以下载该计算机程序产品并在计算机上执行该计算机程序产品。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本申请提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,训练设备,或者网络设备等)执行本申请各个实施例所述的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、训练设备或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、训练设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的训练设备、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。

Claims (20)

1.一种数据传输方法,其特征在于,所述方法应用于数据管控装置,所述数据管控装置用于对第一安全域的数据流出进行管控,所述方法包括:
所述数据管控装置接收所述第一安全域内的第一业务实体发送的第一待传输数据、所述第一待传输数据的标记;
所述数据管控装置根据所述标记与互通规则,确定是否允许向第二安全域传输所述第一待传输数据,所述互通规则用于指示所述第一安全域内的第一业务实体与所述第二安全域之间安全传输的数据的标记所需满足的条件;
当确定允许传输所述第一待传输数据时,所述数据管控装置向所述第二安全域传输所述第一待传输数据。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述数据管控装置对所述第一待传输数据进行解析,判断所述第一待传输数据是否满足安全传输的校验条件;
所述数据管控装置根据所述标记与互通规则,确定是否允许向第二安全域传输所述第一待传输数据,包括:
当所述第一待传输数据满足安全传输的校验条件时,所述数据管控装置根据所述标记与互通规则,确定是否允许向所述第二安全域传输所述第一待传输数据。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述数据管控装置接收所述第一安全域内的所述第一业务实体发送的第二待传输数据;
所述数据管控装置对所述第二待传输数据进行分析,得到所述第二待传输数据的分析结果;
当所述分析结果指示所述第二待传输数据不存在标记、或者所述第二待传输数据的标记存在错误、或者所述第二待传输数据为中间态秘密数据时,所述数据管控装置对所述第二待传输数据执行预设处理操作。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述数据管控装置向所述第二安全域传输所述第一待传输数据,包括:
所述数据管控装置利用密钥对所述第一待传输数据进行加密,得到密文,所述密钥包括非共享密钥,所述非共享密钥预先保存于所述第一安全域中的密钥管理服务KMS中;
所述数据管控装置向所述第二安全域内的第二业务实体发送所述密文。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:
所述数据管控装置呈现数据流动结果,所述数据流动结果用于指示所述第一安全域与所述第二安全域之间的数据传输情况,或所述数据流动结果用于指示所述第一业务实体与所述第二安全域内的第二业务实体之间的数据传输情况。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述数据管控装置呈现配置界面,所述配置界面用于对可视化规则进行配置;
所述数据管控装置呈现数据流动结果,包括:
响应于用户在所述配置界面上针对所述可视化规则的配置操作,所述数据管控装置呈现所述数据流动结果。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述第一安全域部署于以下云中的一种或者多种:
混合云、私有云、公有云、社区云、边缘云、或者分布式云。
8.根据权利1至7任一项所述的方法,其特征在于,所述第一待传输数据所属的主体,为以下主体类型中的一种或者多种:
应用、服务、资产、平台、设备、用户、或虚拟私有云VPC。
9.一种数据管控装置,其特征在于,所述数据管控装置用于第一安全域的数据流出进行管控,所述数据管控装置包括:
通信模块,用于接收所述第一安全域内的第一业务实体发送的第一待传输数据、所述第一待传输数据的标记;
处理模块,用于根据所述标记与互通规则,确定是否允许向第二安全域传输所述第一待传输数据,所述互通规则用于指示所述第一安全域内的第一业务实体与所述第二安全域之间安全传输的数据的标记所需满足的条件;
所述通信模块,还用于当确定允许传输所述第一待传输数据时,向所述第二安全域传输所述第一待传输数据。
10.根据权利要求9所述的数据管控装置,其特征在于,所述处理模块,用于:
对所述第一待传输数据进行解析,判断所述第一待传输数据是否满足安全传输的校验条件;
当所述第一待传输数据满足安全传输的校验条件时,所述数据管控装置根据所述标记与互通规则,确定是否允许向所述第二安全域传输所述第一待传输数据。
11.根据权利要求9或10所述的数据管控装置,其特征在于,
所述通信模块,还用于接收所述第一安全域内的所述第一业务实体发送的第二待传输数据;
所述处理模块,还用于对所述第二待传输数据进行分析,得到所述第二待传输数据的分析结果;当所述分析结果指示所述第二待传输数据不存在标记、或者所述第二待传输数据的标记存在错误、或者所述第二待传输数据为中间态秘密数据时,对所述第二待传输数据执行预设处理操作。
12.根据权利要求9至11任一项所述的数据管控装置,其特征在于,所述通信模块,用于:
利用密钥对所述第一待传输数据进行加密,得到密文,所述密钥包括非共享密钥,所述非共享密钥预先保存于所述第一安全域中的密钥管理服务KMS中;
向所述第二安全域内的第二业务实体发送所述密文。
13.根据权利要求9至12任一项所述的数据管控装置,其特征在于,所述通信模块,还用于呈现数据流动结果,所述数据流动结果用于指示所述第一安全域与所述第二安全域之间的数据传输情况,或所述数据流动结果用于指示所述第一业务实体与所述第二安全域内的第二业务实体之间的数据传输情况。
14.根据权利要求13所述的数据管控装置,其特征在于,所述数据管控装置还包括配置模块,所述配置模块,用于:
呈现配置界面,所述配置界面用于对可视化规则进行配置;
所述通信模块,用于响应于用户在所述配置界面上针对所述可视化规则的配置操作,呈现所述数据流动结果。
15.根据权利要求9至14任一项所述的数据管控装置,其特征在于,所述第一安全域部署于以下云中的一种或者多种:
混合云、私有云、公有云、社区云、边缘云、或者分布式云。
16.根据权利9至15任一项所述的数据管控装置,其特征在于,所述第一待传输数据所属的主体,为以下主体类型中的一种或者多种:
应用、服务、资产、平台、设备、用户、或虚拟私有云VPC。
17.根据权利9至16任一项所述的数据管控装置,其特征在于,所述数据管控装置部署在所述第一安全域的边缘网关。
18.一种计算设备集群,其特征在于,包括至少一个计算设备,每个计算设备包括处理器和存储器;
所述处理器用于执行所述存储器中存储的指令,以使得所述计算设备集群执行权利要求1至8中任一项所述的方法。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在至少一个计算设备上运行时,使得所述至少一个计算设备执行如权利要求1至8任一项所述的方法。
20.一种包含指令的计算机程序产品,其特征在于,当其在至少一个计算设备上运行时,使得所述至少一个计算设备执行如权利要求1至8中任一项所述的方法。
CN202310179564.5A 2022-11-30 2023-02-28 数据传输方法、数据管控装置及相关设备 Pending CN118157896A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/CN2023/100104 WO2024113761A1 (zh) 2022-11-30 2023-06-14 数据传输方法、数据管控装置及相关设备

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202211525573 2022-11-30
CN2022115255737 2022-11-30

Publications (1)

Publication Number Publication Date
CN118157896A true CN118157896A (zh) 2024-06-07

Family

ID=91295619

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310179564.5A Pending CN118157896A (zh) 2022-11-30 2023-02-28 数据传输方法、数据管控装置及相关设备

Country Status (2)

Country Link
CN (1) CN118157896A (zh)
WO (1) WO2024113761A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7990881B2 (en) * 2006-03-31 2011-08-02 Alcatel-Lucent Usa Inc. Methods and devices for computing paths to assure the inter-domain transport of QoS sensitive information
CN103905402B (zh) * 2012-12-27 2018-04-10 北京中船信息科技有限公司 一种基于安全标签的保密安全管理方法
CN108111536B (zh) * 2018-01-15 2020-05-26 中国科学院信息工程研究所 一种应用级安全跨域通信方法及系统
CN115277149B (zh) * 2022-07-21 2023-09-26 北京天融信网络安全技术有限公司 一种安全域通信方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
WO2024113761A1 (zh) 2024-06-06

Similar Documents

Publication Publication Date Title
JP6396623B2 (ja) クラウド・コンピューティング・サービス(ccs)上に保存された企業情報をモニター、コントロール、及び、ドキュメント当たりの暗号化を行うシステム及び方法
CN113574838A (zh) 通过客户端指纹过滤互联网流量的系统和方法
AU2014235165B2 (en) Application program as key for authorizing access to resources
US20160127417A1 (en) Systems, methods, and devices for improved cybersecurity
US11539751B2 (en) Data management platform
US10965680B2 (en) Authority management method and device in distributed environment, and server
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
CN112165455A (zh) 数据访问控制方法、装置、计算机设备和存储介质
US9338137B1 (en) System and methods for protecting confidential data in wireless networks
US20150026465A1 (en) Methods And Devices For Protecting Private Data
US9635017B2 (en) Computer network security management system and method
CN114726605A (zh) 一种敏感数据过滤方法、装置、系统及计算机设备
CN114138590A (zh) Kubernetes集群的运维处理方法、装置及电子设备
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
US11595372B1 (en) Data source driven expected network policy control
US10382398B2 (en) Application signature authorization
KR102148452B1 (ko) 블록체인 기술을 이용한 국군 여가문화 컨텐츠 전용 보안 시스템 및 그 구동방법
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN111355583B (zh) 一种业务提供系统、方法、装置、电子设备及存储介质
CN118157896A (zh) 数据传输方法、数据管控装置及相关设备
WO2020228564A1 (zh) 一种应用服务方法与装置
CN111711612B (zh) 通信控制方法、对通信请求进行处理的方法及其装置
US20240223539A1 (en) System and method for protecting non-public information from malicious users
US20240223595A1 (en) System and method for detecting and countering malicious code
Jäger Finding and evaluating the effects of improper access control in the Cloud

Legal Events

Date Code Title Description
PB01 Publication