一种SAAS系统场景下的敏感数据安全保护方法与流程

一种saas系统场景下的敏感数据安全保护方法
技术领域
1.本发明涉及数据安全技术领域，特别涉及一种saas系统场景下的敏感数据安全保护方法。


背景技术：

2.随着国家层面对于数据安全层面的要求越来越高，法律法规建设越来越全面，医疗行业原有的一些数据信息化与传输等模式存在安全方面的风险。以医院hqms数据上报举例，医院质量监测系统(简称hqms)是卫生部医管司开展的医疗服务监管信息网络直报工作，要求医院常态化定期上报数据并根据数据的质量对医院进行考核，考核的数据过于复杂和庞大需要第三方信息化系统进行辅助，而考核的部分数据又比较敏感，不可泄露。所以如何使用第三方系统的同时还能保护好数据安全成为一个难题，当然在其他行业内也存在类似的需求场景。
3.现有的信息系统根据数据安全性和部署方式主要分为两种：
4.局域网部署：数据和系统都部署在医院的局域网内部，这种方式的系统数据一般不会泄露，但是更新维护代价高，大多数的系统都是签订的功能协议，并不会随着政策更新而更新，逐渐无法使用。并且部分业务能力需要汇集行业内多家数据才可以进行分析和决策，单纯的局域网部署无法达成决策目标。
5.互联网部署：数据和系统部署在互联网，也叫saas服务。这样部署的系统可以方便的随着政策更新而更新，虽然saas系统可以采用https这样的加密的传输协议，但是用户往往对https受到攻击的提示不在乎，敏感数据在传输时有泄露的风险。
6.正常saas用户，为防止敏感数据泄露，他们会先将数据中的敏感信息部分进行手工脱敏操作，常见的敏感信息包括姓名、手机号码、详细住址、身份证号、银行卡号等，脱敏操作比如有将姓名随便替换为另外的字，在网上找身份证号生成器生成一个身份证号替换一下等等，再将手工脱敏后的数据上传到saas系统进行后续业务功能。但是随便替换的名字或网上生成的身份证号可能是另外一个真实的人的信息，甚至可能是某某高官的信息，带来一系列的麻烦问题。
7.在使用saas系统将数据完毕后，如果需要数据上报给比如hqms系统这种要求的是原始信息的系统，需要人工将原始数据并回填合并。人工回填通常有两种方式，一种是去产生信息的原系统去查询，费时费力；另外一种是在手工脱敏的时候记录一下把什么替换成了什么，这样既麻烦又容易出错，存储在本地的数据也存在泄漏以及丢失的风险。
8.图5为传统的互联网与saas系统的数据传输示意图。如图5所示，在未使用本技术前的，第
①
处互联网传输的信息可能被黑客拦截窃取；第
②
处saas服务可能被黑客攻陷而泄露或被saas服务商恶意泄露。上述这两种情况下，数据均有可能泄露。


技术实现要素：

9.本发明的目的旨在至少解决所述技术缺陷之一。
10.为此，本发明的目的在于提出一种saas系统场景下的敏感数据安全保护方法。
11.为了实现上述目的，本发明的实施例提供一种saas系统场景下的敏感数据安全保护方法，包括如下步骤：
12.步骤s1，浏览器接收用户输入的请求信息，根据预设的配置条件判断所述请求信息是否包含敏感数据，如果判断包含敏感数据则执行步骤s2，如果判断不包含敏感数据执行步骤s3；
13.步骤s2，对该请求信息进行数据脱敏，然后将脱敏后的数据发送至所述saas系统，执行步骤s3；其中，对所述请求信息信息进行脱敏，包括：对每个敏感数据字段，根据时间、当前用户的身份信息作为种子产生一个无意义且不会重复的，有明显本技术特征的数字作为替代数据替换到请求信息中，再将替换后的数据发给saas系统；
14.步骤s3，将该请求数据发送至saas系统，由所述saas系统进行无敏感数据的存储，然后执行步骤s4；
15.步骤s4，所述saas系统向所述浏览器发送回程数据，所述浏览器判断是否需要对上述回程数据进行回填数据，如果需要则向所述回程数据中回填敏感数据，然后展示回填后的数据，否则直接展示回程数据。
16.进一步，在所述步骤s1中，判断是否包含敏感数据的配置条件包括：
17.网络请求识别信息；
18.预先配置的敏感字段或敏感值。
19.进一步，所述网络请求识别信息包括：在http/https协议中，利用谓词method和请求的url来唯一标识一个网络请求，或者直接配置为通配符，通配符格式为*，表示匹配任意的网络请求。
20.进一步，所述预先配置的敏感字段或敏感值，均为基于正则表达式的模式识别：
21.(1)对于字段匹配，采用全字段名匹配或模糊匹配；
22.(2)值匹配做字段匹配的补充。
23.进一步，在所述步骤s3中，在将数据发送给所述saas系统的同时，将替代数据和原始数据通过当前用户的身份信息产生的秘钥加密存储在内置数据库中。
24.进一步，在内置数据库中的存储的格式为：替代数据、字段名、版本号和原始数据。
25.进一步，在所述步骤s4中，在所述saas系统向所述浏览器发送回程数据的回程环境，由所述浏览器检测回程数据，如果符合步骤s2产生的数据的格式会查询内置的数据库得到原始数据进行回填替换。
26.根据本发明实施例的saas系统场景下的敏感数据安全保护方法，通过用户无感知的用户自有身份信息进行数据脱敏处理，脱敏后的加密数据也不需要传输到saas系统的外部网络中，在外部网络传输、存储和处理中永远无法触碰到敏感信息。而在本地用户存储的是基于身份信息进行的数据加密，数据不担心泄漏或丢失，原始数据完全在用户拥有者管理范围中。
27.本发明通过改造浏览器内核，实现在使用saas系统时自动将敏感数据存储在本地并脱敏后再发送给saas系统，在浏览器展示页面或其他需要原始数据的地方再将原始数据回填，这样可保证数据不会在传输中或saas系统被黑客攻击泄露，也可避免人手工操作带来的数据丢失和出错的风险。此外存储在本地的数据通过自动化的由可变用户的身份信息
作为种子产生的秘钥加密，可防止别有用心的人通过u盘或其他途径将数据拷贝走。在使用本技术过程中对数据的修改会形成版本记录，可以通过版本功能找回因自己因误操作删除或改错的数据。用户也可以放心的通过在u盘、ftp或其他设备进行数据备份，可进一步保护数据安全无忧。本发明对saas系统是无感的、非侵入性的，不需要saas系统进行修改。对于直接用户，在界面上看到的数据是完整的，但在网络上传输的数据是脱敏的，避免了繁杂易错的手工剪切拼接数据。
28.本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
29.本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：
30.图1为根据本发明实施例的saas系统场景下的敏感数据安全保护方法的流程图
31.图2为根据本发明实施例的saas系统场景下的敏感数据安全保护方法的架构图；
32.图3为根据本发明实施例的saas系统场景下的敏感数据安全保护方法的数据交互示意图；
33.图4为根据本发明实施例的saas系统场景下的敏感数据安全保护方法的数据流程图；
34.图5为传统的互联网与saas系统的数据传输示意图。
具体实施方式
35.下面详细描述本发明的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。
36.如图1所示，本发明实施例的saas系统场景下的敏感数据安全保护方法，需要说明是对于发出的每一个网络请求均会进行如下的操作：
37.步骤s1，浏览器接收用户输入的请求信息，根据预设的配置条件判断请求信息是否包含敏感数据，如果判断包含敏感数据则执行步骤s2，如果判断不包含敏感数据执行步骤s3。
38.本发明目前支持http/https请求协议和无额外加密的数据传输，用http/https协议传输的数据可按公开的技术标准解析和修改。如果传输的是文件，本发明默认支持了excel格式的文件且文件不能加密码，excel格式的文件理论上可以无损的读取和修改。
39.http/https协议传输的数据格式通常有两种，分别为form表单格式和json格式，其中form表单可以带文件。json格式和form表单的非文件字段的字段名是明文可获取的，对于excel文件，本发明识别文件中的第一行为字段名，也正因为http/https协议的通用性，基本上可以获取用户的唯一身份信息(比如userid)。
40.由于每个使用者对敏感信息的定义不尽相同，本发明需要预先对敏感信息进行配置，然后根据前面的配置判断当前请求是否有字段包含敏感信息，如果不包含敏感信息则会直接放行访问saas服务并结束，如果包含敏感信息则进行步骤s2。
41.具体的，参考图3和图4所示，判断是否包含敏感数据的配置条件包括：
42.(1)网络请求识别信息
43.网络请求识别信息包括：在http/https协议中，利用谓词method和请求的url来唯一标识一个网络请求，或者直接配置为通配符，通配符格式为*，表示匹配任意的网络请求。
44.(2)预先配置的敏感字段或敏感值。用于识别敏感字段的敏感信息配置，本配置支持对字段进行配置或对值进行配置，无论是字段名还是值都是基于正则表达式的模式识别。
45.a)对于字段匹配，采用全字段名匹配或模糊匹配
46.具体的，对于字段，通常用不到模糊匹配，全字段名即可。比如“sfzh”字段对应saas系统中的身份证号字段，如果需要模糊匹配，可配置为“.*sfzh.*”，会匹配包含“sfzh”4个字母的字段名；
47.b)值匹配做字段匹配的补充
48.具体的，值匹配是字段匹配的一个补充，避免出现漏网之鱼，比如配置“[0
‑
9]{17}[0
‑
9xx]”会匹配前面17位是数字且最后一位是数字或大小写的x的值，这种格式的字段往往是身份证号。
[0049]
步骤s2，对该请求信息进行数据脱敏，然后将脱敏后的数据发送至saas系统，执行步骤s3。其中，对请求信息信息进行脱敏，包括：对每个敏感数据字段，根据时间、当前用户的身份信息作为种子产生一个无意义且不会重复的，有明显本技术特征的数字作为替代数据替换到请求信息中，再将替换后的数据发给saas系统。
[0050]
具体来说，对每一个敏感数据字段，本技术会根据时间、当前用户的身份信息作为种子产生一个无意义的，不会重复的，有明显本技术特征的数字作为替代数据替换到请求数据里面，再将替换后的数据发给saas服务，替代项的3个特征的作用分别为：
[0051]
(1)无意义：即便黑客通过攻击saas服务或监听嗅探窃取到此数据后也无法还原或追踪到原值的任何一点点信息；
[0052]
(2)不重复：数据需要还原时可以快速的在本地检索到原值；
[0053]
(3)明显特征：在数据还原场景可以根据特征识别出来这是一个脱敏字段，对于saas不校验格式的字段，替代值的格式为a#8位字符，其中最后1位字符是校验位；校验格式的比如手机号，会产生带110这种一般不会分配给人的号码，同时第4位为校验位。不同的检验字段需要不同的应对策略，此处不再详细赘述。
[0054]
需要说明的是，具体根据身份信息作为种子产生不重复数据的算法，根据需要进行选择，在此不再赘述。
[0055]
步骤s3，将该请求数据发送至saas系统，由saas系统进行无敏感数据的存储，然后执行步骤s4。
[0056]
浏览器在将数据发送给saas系统的同时，将替代数据和原始数据通过当前用户的身份信息产生的秘钥加密存储在内置数据库中，参考图2所示。
[0057]
在本发明的实施例中，在内置数据库中的存储的格式为：替代数据、字段名、版本号和原始数据。
[0058]
在本发明的实施例中，本发明采用的版本号为时间戳，版本号可用于日后数据不慎丢失或删除时追回。上述双重的秘钥机制可保证脱敏后的数据只能在当前机器上由当前
登录的用户来还原，避免数据文件被无意泄露或恶意窃取导致数据外泄。
[0059]
步骤s4，saas系统向浏览器发送回程数据，浏览器判断是否需要对上述回程数据进行回填数据，如果需要则向回程数据中回填敏感数据，然后展示回填后的数据，否则直接展示回程数据。
[0060]
在saas系统向浏览器发送回程数据的回程环境，由浏览器检测回程数据，如果符合步骤s2产生的数据的格式会查询内置的数据库得到原始数据进行回填替换。
[0061]
在网络数据的回程环境，数据脱敏模块检测回程数据，如果符合步骤s2产生的数据的格式会查询内置的数据库得到原始数据进行回填替换，这样用户看到的会是完整的数据。使用者用普通的浏览器查看saas系统的界面，并与本技术的浏览器的界面对比，可以看到普通浏览器的界面展示的数据皆是步骤s2产生的数据，特征明显，而本技术的浏览器的界面展示的数据为原始数据，如果换一台电脑或者同一台换一个saas的用户，即使用本技术的浏览器也无法还原数据，从而确信敏感数据没有外传。
[0062]
本发明的内置数据库的存储是单个文件，如果用户可方便的将数据库文件上传到云盘或ftp等其他文件存储服务，这样即便硬盘损坏导致文件丢失也可以找回。
[0063]
采用本发明的本发明实施例的saas系统场景下的敏感数据安全保护方法，无论何种浏览器，修改浏览器内核进行网络请求识别和脱敏，基于用户自由可变动身份信息进行数据脱敏处理同时实现云端安全本地可见的低感知高级别的安全保护。通过普通浏览器和本技术实现的浏览器访问同一个页面时，在非saas系统刻意渲染的情况下，界面展示的数据不完全相同。需要说明的是，本发明适用于绝大部分http/https协议的saas系统。
[0064]
根据本发明实施例的saas系统场景下的敏感数据安全保护方法，通过用户无感知的用户自有身份信息进行数据脱敏处理，脱敏后的加密数据也不需要传输到saas系统的外部网络中，在外部网络传输、存储和处理中永远无法触碰到敏感信息。而在本地用户存储的是基于身份信息进行的数据加密，数据不担心泄漏或丢失，原始数据完全在用户拥有者管理范围中。
[0065]
本发明通过改造浏览器内核，实现在使用saas系统时自动将敏感数据存储在本地并脱敏后再发送给saas系统，在浏览器展示页面或其他需要原始数据的地方再将原始数据回填，这样可保证数据不会在传输中或saas系统被黑客攻击泄露，也可避免人手工操作带来的数据丢失和出错的风险。此外存储在本地的数据通过自动化的由可变用户的身份信息作为种子产生的秘钥加密，可防止别有用心的人通过u盘或其他途径将数据拷贝走。在使用本技术过程中对数据的修改会形成版本记录，可以通过版本功能找回因自己因误操作删除或改错的数据。用户也可以放心的通过在u盘、ftp或其他设备进行数据备份，可进一步保护数据安全无忧。本发明对saas系统是无感的、非侵入性的，不需要saas系统进行修改。对于直接用户，在界面上看到的数据是完整的，但在网络上传输的数据是脱敏的，避免了繁杂易错的手工剪切拼接数据。
[0066]
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0067]
尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。