一种数据中台运维系统的制作方法

1.本发明涉及数据安全领域，具体而言，涉及一种数据中台运维系统。


背景技术：

2.随着数字信息化时代的到来，it技术日新月异，数据已成为电网的核心资产。公司每天都在收集、存储、共享大量数据，且数据体量与日俱增，规模也日渐庞大。这些数据中包含了大量用户的敏感信息和企业自身重要业务数据，数据已然演变成为企业发展的生命线，一旦出现数据泄露及数据非法使用，将带来无法预估的负面影响，不但影响企业的形象，还会造成不同程度的经济损失，甚至还可能会承担法律责任。数据在采集、存储、流转、使用过程中的安全性保障，已不容忽视。
3.相关技术中对于数据中台的运维，缺少统一的数据安全管控体系，无法对数据服务提供或数字产品孵化过程中的高权限账号和高危操作进行有效监控和记录，数据安全存在巨大隐患。
4.因此，有必要针对数据中台数据操作和访问行为进行管理与审计，并提供多维度的核心数据管控解决方案，使得数据中心人员可以对数据库等资源进行集中账号管理、细粒度的权限管理和访问审计，同时可以及时阻断高风险人群、高危操作对高价值数据的影响，显著提升数据安全风险管控水平。
5.针对相关技术中存在的上述问题，目前尚未提出有效的解决方案。


技术实现要素：

6.本发明的主要目的在于提供一种数据中台运维系统，以解决相关技术中没有有效的技术手段对数据进行有效监控及审计的问题。
7.为了实现上述目的，根据本发明的一个方面，提供了一种数据中台运维系统。该系统包括：控制中心单元，部署在服务器端，采用b/s构架，用于基于安全告警信息对运维系统中各个单元下发执行策略并基于执行策略对各个单元进行安全管控；客户端，部署在需要被保护的目标设备上，与控制中心单元通信连接，用于基于控制中心单元下发的执行策略对目标设备进行安全管控。
8.进一步地，客户端还包括：非法外联管理单元，用于监控目标设备的非法行为，并将非法行为转换为安全告警信息反馈至控制中心单元；非法外联行为取证单元，用于记录非法行为信息，其中，非法行为信息至少包括非法行为对应的事件、发生非法行为的目标设备对应的ip地址、发生非法行为的目标设备对应的mac地址、操作非法行为的操作人员信息。
9.进一步地，客户端还包括：非法行为阻断单元，用于在接收到响应与安全告警信息的操作策略后，执行操作策略以阻断非法行为，其中，操作策略至少为以下一种：发送告警提示至目标设备、强制目标设备关机、阻断目标设备联网。
10.进一步地，该系统还包括：文件分发单元，用于向目标设备分发文件以及安装文件
所用的软件程序，并提供软件程序的安装状态；软件安装录制单元，与文件分发单元连接，用于录制软件程序的安装过程。
11.进一步地，该系统还包括：网页安全审计单元，用于通过黑白名单的方式对目标设备访问的网页进行审计以及记录。
12.进一步地，该系统还包括：文件保护审计单元，用于基于预设操作对预定文件进行保护，并基于对预定文件进行的操作进行审计。
13.进一步地，该系统还包括：文件输出审计单元，用于记录目标设备通过共享文件进行的网络文件输出行为并对行为进行审计。
14.进一步地，该系统还包括：邮件审计单元，用于依据控制中心单元下发的第一审计策略对目标设备发送的邮件及其附件进行审计并对邮件的信息进行记录。
15.进一步地，该系统还包括：打印审计单元，用于依据控制中心下发的第二审计策略对目标设备的打印行为进行监控审计。
16.进一步地，该系统还包括：用户审计单元，用于审计以及记录数据中台运维系统的用户权限操作，用户权限操作为以下任意一种操作：用户权限的更改、用户权限的增加、用户权限的删除。
17.进一步地，该系统还包括：日志审计单元，用于远程读取目标设备的日志。
18.进一步地，该系统还包括：注册表审计单元，用于确定预设行为操作过的注册表并对预设行为进行审计。
19.进一步地，该系统还包括：启动项审计单元，用于对目标设备的开机启动项内容进行监控及审计，开机启动项内容至少包括以下内容：添加开机启动项、删除开机启动项、修改开机启动项。
20.进一步地，该系统还包括：数据防护单元，用于确定目标设备上的敏感数据并依据控制中心单元下发的执行策略对目标文档进行设定级别处理以及设定密码的处理，目标文档为包含有敏感数据的文档。
21.进一步地，数据防护单元还包括：水印保护子单元，用于依据文档的级别以及查看文档的对象执行不同的水印保护策略，其中，水印保护策略至少包括以下内容：水印的方式、水印的显示位置。
22.进一步地，该系统还包括：报表管理单元，用于对服务器信息以及目标设备信息进行报表统计。
23.进一步地，该系统还包括：报警管理单元，用于接收各个单元反馈的报警信息，并依据报警信息的种类以及级别确定报警方式以及将报警信息以确定的报警方式发送给运维人员。
24.通过本系统，采用以下部分：控制中心单元，部署在服务器端，采用b/s构架，用于基于安全告警信息对运维系统中各个单元下发执行策略并基于执行策略对各个单元进行安全管控；客户端，部署在需要被保护的目标设备上，与控制中心单元通信连接，用于基于控制中心单元下发的执行策略对目标设备进行安全管控，解决了相关技术中没有有效的技术手段对数据进行有效监控及审计的问题，进而达到了提高了数据防泄露能力的技术效果。
附图说明
25.构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
26.图1是根据本发明实施例提供的一种数据中台运维系统的示意图。
具体实施方式
27.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
28.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
29.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
30.根据本发明的实施例，提供了一种数据中台运维系统。
31.图1是根据本发明实施例提供的一种数据中台运维系统的示意图。如图1所示，该系统包括以下部分：
32.控制中心单元10，部署在服务器端，采用b/s构架，用于基于安全告警信息对运维系统中各个单元下发执行策略并基于执行策略对各个单元进行安全管控；
33.客户端20，部署在需要被保护的目标设备上，与控制中心单元10通信连接，用于基于控制中心单元10下发的执行策略对目标设备进行安全管控。
34.具体地，数据中台运维系统是一款基于安全策略的终端安全管理产品，采用了开放式b/s与c/s相互结合的体系结构和标准化数据通讯方式，对局域网内部的网络安全行为进行全面监管，检测并保障桌面系统的安全。
35.具体包括控制中心单元10，控制中心单元10是终端安全管理系统的核心，部署在服务器端，主要包括安全管控和安全事件收集告警两大功能。采用b/s架构，管理员可以随时随地的通过浏览器打开访问，对终端进行管理和控制。主要有分组管理、策略制定下发、全网健康状况监测、统一漏洞修复、网络流量管理、终端软硬件资产管理等。
36.还包括客户端20，客户端20部署在需要被保护的终端或服务器上，执行最终的策略执行、漏洞修复、安全防护等安全操作。并与安全控制中心通信，提供控制中心管理所需的相关安全告警信息。
37.可选地，客户端20还包括：非法外联管理单元，用于监控目标设备的非法行为，并将非法行为转换为安全告警信息反馈至控制中心单元10；非法外联行为取证单元，用于记录非法行为信息，其中，非法行为信息至少包括非法行为对应的事件、发生非法行为的目标
设备对应的ip地址、发生非法行为的目标设备对应的mac地址、操作非法行为的操作人员信息。
38.上述地，该系统还包括非法外联管理单元，对于已注册的设备，通过不同方式(如双网卡、代理等)连接互联网进行的通讯，对设备的网站访问行为、对设备的网络连接行为以及对设备非法带出到另外一个网络的行为进行监控，如果监控到非法行为，则将监控到的非法行为转换为安全告警信息至控制中心单元10，控制中心单元10基于接收到的安全告警信息制定相关管控策略。
39.系统还包括非法外联行为取证单元，对于非法外联行为进行实时告警功能，同时记录该行为发生的事件、ip地址、mac地址、使用人等相关信息上报到服务器进行记录取证。
40.可选地，客户端20还包括：非法行为阻断单元，用于在接收到响应与安全告警信息的操作策略后，执行操作策略以阻断非法行为，其中，操作策略至少为以下一种：发送告警提示至目标设备、强制目标设备关机、阻断目标设备联网。
41.上述地，客户端20还有非法行为阻断单元，在接收到控制中心单元10基于接收的安全告警信息下发的操作策略后，对监控到的非法行为进行阻断，具体阻断方式包括发送告警提示至目标设备、强制目标设备关机、阻断目标设备联网。
42.可选地，该系统还包括：文件分发单元，用于向目标设备分发文件以及安装文件所用的软件程序，并提供软件程序的安装状态；软件安装录制单元，与文件分发单元连接，用于录制软件程序的安装过程。
43.上述地，该系统向指定客户端20(用户组)分发文件或安装软件时，文件分发单元可提供软件的运行参数和必要的运行控制。此功能可减轻网络管理人员的工作负担，软件分发时可报告软件安装的状态，无论软件正确安装与否，管理员均可及时了解情况。
44.软件安装录制单元，为人性化的软件安装过程录制工具，可以很方便的对软件和它的安装过程进行录制打包，软件分发至终端后，该系统可在终端对软件安装过程进行回放，方便软件在客户端20进行自动安装。
45.可选地，该系统还包括：网页安全审计单元，用于通过黑白名单的方式对目标设备访问的网页进行审计以及记录。
46.上述地，网页安全审计单元以黑白名单的方式对用户的网页访问的站点行为进行控制；可对用户上网访问的网页等进行审计和记录。支持对http和https站点进行访问控制。
47.可选地，该系统还包括：文件保护审计单元，用于基于预设操作对预定文件进行保护，并基于对预定文件进行的操作进行审计。
48.该系统提供对终端的系统、软件和共享等目录中的预定文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录，同时将信息上报管理信息库供查询。
49.可选地，该系统还包括：文件输出审计单元，用于记录目标设备通过共享文件进行的网络文件输出行为并对行为进行审计。
50.上述地，该系统还包括文件输出审计单元，对已注册的设备通过共享文件等方式进行的网络文件输出行为进行审计和记录。
51.可选地，该系统还包括：邮件审计单元，用于依据控制中心单元10下发的第一审计
策略对目标设备发送的邮件及其附件进行审计并对邮件的信息进行记录。
52.可选地，该系统还包括：打印审计单元，用于依据控制中心下发的第二审计策略对目标设备的打印行为进行监控审计。
53.上述地，打印审计单元用于根据策略对设备打印行为进行监控审计，从而防止打印输出结果被非授权查看和获取。
54.可选地，该系统还包括：用户审计单元，用于审计以及记录数据中台运维系统的用户权限操作，用户权限操作为以下任意一种操作：用户权限的更改、用户权限的增加、用户权限的删除。
55.具体地，该系统的用户审计单元用于审计用户权限更改及操作系统内用户增加和删除。
56.可选地，该系统还包括：日志审计单元，用于远程读取目标设备的日志。
57.日志审计单元可以控制不同权限管理员在web控制台对终端用户的日志(系统日志、应用日志、安全日志等)进行远程读取查看。
58.可选地，该系统还包括：注册表审计单元，用于确定预设行为操作过的注册表并对预设行为进行审计。
59.该系统提供注册表审计功能，对于病毒行为修改的注册表，比如创建、删除、修改相应的注册表键值等行为进行审计，实现注册表安全管理。
60.可选地，该系统还包括：启动项审计单元，用于对目标设备的开机启动项内容进行监控及审计，开机启动项内容至少包括以下内容：添加开机启动项、删除开机启动项、修改开机启动项。
61.该系统还用于对目标设备终端上的开机启动项进行监控和审计，监控的内容包括启动项的添加、删除和修改等操作。
62.可选地，该系统还包括：数据防护单元，用于确定目标设备上的敏感数据并依据控制中心单元10下发的执行策略对目标文档进行设定级别处理以及设定密码的处理，目标文档为包含有敏感数据的文档。
63.上述地，该系统还包括数据防护单元，在数据防护方面，首先是做到数据识别，可以基于关键字，发现并检测出终端上的敏感数据，可以根据策略对文档进行定级定密，比如高级、中级和低级；除了对文本格式做数据识别，可针对图片做了深度ocr识别处理，可以对精确识别图片上的文字。
64.可选地，数据防护单元还包括：水印保护子单元，用于依据文档的级别以及查看文档的对象执行不同的水印保护策略，其中，水印保护策略至少包括以下内容：水印的方式、水印的显示位置。
65.具体地，数据防护单元还包括水印保护子单元，支持根据不同的应用对象执行不同的水印策略，比如普通的企业员工，只要执行中等强度的水印策略，而对于关键岗位、特定的终端我们会给它定义最严格的水印方案，比如在屏幕最显眼的地方显示明文水印；而对于管理者的电脑可以实行策略例外，管理者的电脑不加载水印或者加载只在边边角角显示部分水印信息。
66.其中，水印的方式包括以下几种：明文水印、二维码水印、图片水印以及矢量水印。
67.具体地，明文水印是把自定义的数字、文字等信息直接明文显示，他的优点是设置
简单，比如我们设置一个ip的明文水印，肉眼就可以看到文档上的水印，检测非常容易，也起到一定的震慑作用，但缺点也很明显，就是会影响阅读。
68.二维码水印顾名思义就是在屏幕和文档上加载二维码块，二维码块可以通过微信或者其它二维码扫描工具进行扫描，扫描后即可看到所配置的水印内容。优点是将信息隐藏，降低水印对阅读的影响，缺点是容易被去除，比如把二维码盖住，水印信息就相当于被去除了。
69.图片水印通常是公司的logo或者嵌有机密、秘密等图片；它主要是将水印以图片的形式展现，而且可通过调整图片的透明度置，将水印对视觉影响度降到最低，图片水印的优点是水印统计，降低视觉的影响，但缺点是只能用于版权保护，不能审计和追踪。
70.矢量水印，俗称隐形水印，主要是将终端信息转换成一定规则的圆点进行展示，可以通过矢量小点，自动识别出水印代表的设备id，通过设备id就可以找到对应的终端；如果有屏幕拍照或者截屏，一旦发生泄密事件，就可以通过泄密照片上的矢量水印信息快速锁定泄密者。矢量水印是应用最多的一种水印，因为它信息隐藏度高，不影响阅读，不容易被去除，起到数据防护的同时，不会对用户办公造成影响，这也是水印模块最具特色的功能；
71.矢量水印的优势，与明文水印和图片水印不同，明文水印主要是以文档底纹或者覆盖的方式在文档展示区域显示大量的图文水印以达到心理震慑的作用，减少安全事故的发生，而矢量水印更多是把水印信息隐藏，甚至无法察觉到水印的存在，矢量水印有几个好处，第一是因为它几乎是隐藏的，所以不会影响用户阅读，用户也不会有抵触情绪，妨碍正常办公；而且水印是加密的，泄密者不清楚水印的加密规则，所以它也不能通过像ps等手段破坏水印，同样的，因为矢量水印分布很广，每个区域都记录着终端信息，这样也大大提高了泄密者去除水印的难度。
72.水印的应用包括以下几个应用场景：
73.第一个是在终端开机时自动加载水印，可以在电脑屏幕边角显示用户信息，把ip、使用人和部门信息显示出来；
74.第二个场景是应用程序触发，当用户打开某些软件时，比如银行员工要打开征信平台软件查询用户征信信息时，会自动触发水印；
75.第三个场景是当用户打开敏感的文件比如像企业财务报告时，会自动触发水印。第四个场景是可以在打印敏感的文件时，在打印的文档上加载水印。
76.通过上述在数据安全中对水印的应用，起到了限制打印外发、限制截屏、限制拍照的作用，并且通过机密文件上面的水印，给涉密人员起到心理震慑和后续审计追溯的作用。
77.可选地，该系统还包括：报表管理单元，用于对服务器信息以及目标设备信息进行报表统计。
78.该系统还包括报表管理单元，支持对全网资产，软件使用情况，服务器信息，违规事件，违规部门和个人，认证日志等信息进行报表统计。能够从终端、全网、分组等多维度，以及图表、数据等多视图角度进行统计与展现，也能按周、月、季、年的时间维度进行趋势分析，同时支持报表的导出及打印，帮助管理员对日常安全防护、安全运维工作进行分析评估。
79.可选地，该系统还包括：报警管理单元，用于接收各个单元反馈的报警信息，并依据报警信息的种类以及级别确定报警方式以及将报警信息以确定的报警方式发送给运维
人员。
80.该系统还包括报警管理单元，汇总所有内外安全管理事件的报警信息，并将报警按种类、级别分类，同时支持短信、声音、邮件等报警方式。同时，报警中心自动把各种报警信息汇总成为高、中、低三个等级，显示各类发生事件的名称和发生事件设备名称、ip、mac等信息，以便第一时间发现报警源头和类型，发现对网络危害最大的报警信息，以最快速度妥善处理事件，从而在最大程度上提高系统管理员对网络突发事件的快速反应能力。
81.并对相关的报警信息进行级别预设，管理服务器把已注册客户机的报警信息记录到异常情况记录表，同时，按管理员预定义的规则将部分紧急的报警信息发送给管理员。
82.本发明实施例提供的一种数据中台运维系统，通过控制中心单元10，部署在服务器端，采用b/s构架，用于基于安全告警信息对运维系统中各个单元下发执行策略并基于执行策略对各个单元进行安全管控；客户端20，部署在需要被保护的目标设备上，与控制中心单元10通信连接，用于基于控制中心单元10下发的执行策略对目标设备进行安全管控，解决了相关技术中没有有效的技术手段对数据进行有效监控及审计的问题，进而达到了提高了数据防泄露能力的技术效果，并针对数据中台数据操作和访问行为进行管理与审计，并提供多维度的核心数据管控解决方案，使得数据中心人员可以对数据库等资源进行集中账号管理、细粒度的权限管理和访问审计，同时可以及时阻断高风险人群、高危操作对高价值数据的影响，显著提升数据安全风险管控水平。
83.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
84.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
85.本领域技术人员应明白，本发明的实施例可提供为方法、系统或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
86.以上仅为本发明的实施例而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。