一种数据管理方法、装置、电子设备及存储介质与流程

1.本发明实施例涉及计算机技术，尤其涉及一种数据管理方法、装置、电子设备及存储介质。


背景技术：

2.网络信息的高速发展，大数据信息在网络上快速传播，渗透于人们的生产生活中，对人们生活的方方面面产生着巨大的影响。但大数据信息汇聚了越来越多的使企业机密信息和个人隐私信息，如果对所有的数据进行应用差分或匿名处理，则不能精准的按照数据分类分级进行保护，会出现企业资料泄露和个人信息不安全的隐患。现有技术中分类分级的梳理，一般采用专家经验和人工智能等方式，使用一体化技术的系统完成数据梳理、分类分级和数据安全策略实施，但无法提供给开放式架构的互联行业数据和数字化企业数据安全保障。


技术实现要素：

3.本发明提供一种数据管理方法、装置、电子设备及存储介质，以实现对不同类别等级的数据所实施安全策略的检测，以保证数据访问和传输的安全。
4.第一方面，本发明实施例提供了一种数据管理方法，应用于网关，包括：
5.接收用户端发送的数据访问请求，基于所述数据访问请求查询访问数据库以确定待返回数据并确定对所述待返回数据实施的第一安全策略；
6.根据所述待返回数据的字段信息确定所述待返回数据的访问标签和所述访问标签对应的访问标准安全策略；
7.确定所述第一安全策略是否与所述访问标准安全策略一致；
8.当所述第一安全策略与所述访问标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问。
9.进一步的，根据所述待返回数据的字段信息确定所述待返回数据的访问标签和所述访问标签对应的访问标准安全策略，包括：
10.基于所述待返回数据的字段信息查询分类分级规则以确定所述待返回数据对应的访问标签，所述分类分级规则中包括判断字段信息对应的类别等级的规则；
11.基于所述访问标签查询访问标识库以确定所述访问标签对应的标签标识，所述访问标识库中包括根据所述分类分级规则识别出的所有访问类别等级的标签标识；
12.基于所述标签标识查询访问标识策略库以确定所述访问标签对应的访问标准安全策略，所述访问标识策略库包括所述访问标识库中所有标签标识对应的安全策略。
13.进一步的，所述访问标识库建立方式如下：
14.根据访问数据库所属的行业规则和企业数据规范确定企业的分类分级规则；
15.基于所述分类分级规则识别出的所有访问类别级别的标签，对应创建所述分类分级规则对应的访问标识库，所述访问标识库用于区分不同数据的类别等级。
16.进一步的，所述访问标识策略库的获取方式如下：
17.根据所述分类分级规则和行业安全规则，确定所述分类分级规则对应的访问安全规则库；
18.将同一分类分级规则对应的所述访问标识库与所述访问安全规则库按照类别等级关联存储，得到所述访问标识库对应的访问标识策略库。
19.第二方面，本发明实施例还提供了一种数据管理方法，应用于网关，该方法包括：
20.获取传输信息和所述传输信息对应的第二安全策略；
21.根据所述传输信息的字段信息确定所述传输信息对应的传输标签和所述传输标签对应的传输标准安全策略；
22.确定所述第二安全策略与所述传输标准安全策略是否一致；
23.当所述第二安全策略与所述传输标准安全策略不一致，则阻断本次数据传输，并记录本次异常传输。
24.进一步的，所述根据所述传输信息的字段信息确定所述传输信息对应的传输标签和所述传输标签对应的传输标准安全策略，包括：
25.基于所述传输信息的字段信息查询分类分级规则以确定所述传输数据对应的传输标签，所述分类分级规则中包括判断字段信息对应的类别等级的规则；
26.基于所述传输标签查询传输标识库以确定所述传输标签对应的标签标识，所述传输标识库中包括根据所述分类分级规则识别出的所有传输类别等级的标签标识；
27.基于所述标签标识查询传输标识策略库以确定所述传输标签对应的传输标准安全策略，所述传输标识策略库包括所述传输标识库中所有标签标识对应的安全策略。
28.进一步的，所述传输标识库创建方法如下：
29.根据企业数据平台的应程序接口api对应的行业规则和企业数据规范确定企业的分类分级规则；
30.基于所述分类分级规则识别出的所有传输类别级别的标签，对应创建所述分类分级规则对应的传输标识库，所述传输标识库用于区别不同信息的类别等级。
31.进一步的，所述传输标识策略库的获取方式如下：
32.根据分类分级规则和行业安全规则，确定所述分类分级规则对应的传输安全规则库；
33.将同一分类分级规则对应的所述传输标识库与所述传输安全规则库按照类别等级关联存储，得到所述传输标识库对应的传输标识策略库。
34.第三方面，本发明实施例还提供了一种数据管理装置，该装置包括：
35.数据策略确定模块，用于接收用户端发送的数据访问请求，基于所述数据访问请求查询访问数据库以确定待返回数据并确定对所述待返回数据实施的第一安全策略；
36.标准策略确定模块，用于根据所述待返回数据的字段信息确定所述待返回数据的访问标签和所述访问标签对应的访问标准安全策略；
37.策略一致判断模块，用于确定所述第一安全策略是否与所述访问标准安全策略一致；
38.访问阻断模块，用于当所述第一安全策略与所述访问标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问。
39.第四方面，本发明实施例还提供了一种数据管理装置，该装置包括：
40.策略获取模块，用于获取传输信息和所述传输信息对应的第二安全策略；
41.策略确定模块，用于根据所述传输信息的字段信息确定所述传输信息对应的传输标签和所述传输标签对应的传输标准安全策略；
42.一致判断模块，用于确定所述第二安全策略与所述传输标准安全策略是否一致；
43.传输阻断模块，用于当所述第二安全策略与所述传输标准安全策略不一致，则阻断本次数据传输，并记录本次异常传输。
44.第五方面，本发明实施例还提供了一种电子设备，该电子设备包括：
45.一个或多个处理器；
46.存储装置，用于存储一个或多个程序，
47.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如所述的数据管理方法。
48.第六方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如所述的数据管理方法。
49.本发明实施例，通过接收用户端发送的数据访问请求，并从数据库中确定访问请求对应的待返回数据实施的第一安全策略；根据待返回数据的字段信息从第一标签库中确定待返回数据的标签和标签对应的第一标准安全策略；确定第一安全策略是否与第一标准安全策略一致；当第一安全策略与第一标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问，解决流动性数据访问时，无法提供安全保障的问题，通过待返回数据的字段信息对应的访问标签确定待返回数据的需要实施的访问标准安全策略，并确定待返回数据实施的第一安全策略，通过比对第一安全策略与访问标准安全策略的一致性，确定待返回数据对应的安全策略的实施情况，以保证本次数据访问安全性；在保留访问数据库的完整性的同时，保证动态数据流动安全性。
附图说明
50.图1是本发明实施例提供的数据管理方法的一个流程示意图；
51.图2是本发明实施例提供的数据管理方法的另一流程示意图；
52.图3是本发明实施例提供的数据管理方法的再一流程示意图；
53.图4是本发明实施例提供的数据管理装置的一个结构示意图；
54.图5是本发明实施例提供的数据管理装置的另一结构示意图；
55.图6是本发明实施例提供的电子设备的结构示意图。
具体实施方式
56.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
57.图1为本发明实施例提供的数据管理方法的一个流程示意图，该方法可以由本发明实施例提供的数据管理装置来执行，该装置可采用软件和/或硬件的方式实现。在一个具体的实施例中，该装置可以集成在电子设备中，电子设备比如可以是服务器。以下实施例将
以该装置集成在电子设备中为例进行说明，参考图1，该方法具体可以包括如下步骤：
58.步骤110、接收用户端发送的数据访问请求，基于数据访问请求查询访问数据库以确定待返回数据并确定对待返回数据实施的第一安全策略；
59.示例地，数据访问请求可理解为根据用户侧的需求从用户端发出的获取访数据库中数据的请求，用户端可以是企业内部使用的电子设备，也可以是与企业的访问数据库达成协议的允许访问的外部的电子设备。访问数据库可以理解为存储企业内部所有数据的数据库，访问数据库中可以包含多个不同类别的子数据库，也可以根据数据库内不同的地址存储不同类别的数据。其中，访问数据库可以是结构化数据库。待返回数据可以理解为根据数据访问请求查询访问数据库确定数据访问请求对应的数据，在查询访问数据库确定数据访问请求对应的数据并没有获取或将数据发送出去，仅是确定待访问数据的字段信息，其中，待返回数据包括字段信息和数据内容。第一安全策略可以理解为当前访问数据库中待访问数据实施的安全策略，其中，安全策略可以是加密、脱敏、身份认证、鉴权、记录、预警等方式。
60.具体实现中，访问数据库设置有网关，用于接收用户端发送的数据访问请求，并根据数据访问请求查询访问数据库以确定待返回数据，同时确定待返回数据在访问数据库中实施的第一安全策略。其中，根据数据访问请求查询访问数据库以确定待返回数据，并没有立即将数据访问请求对应的待返回数据返回给用户端，仅是确定待返回数据的字段信息，以便于根据待返回数据的字段信息确定待返回数据安全的类别等级。
61.步骤120、根据待返回数据的字段信息确定待返回数据的访问标签和访问标签对应的访问标准安全策略；
62.示例地，待返回数据的字段信息可以理解为每个数据表中各个字段名，其中，待返回数据的数据内容为数据表中字段名中对应的数据信息，每个字段名均对应有不同的数据内容。待返回数据的访问标签可以理解为基于访问数据库所属的企业对应的分类分级规则，确定待返回数据的字段信息对应安全的类别等级。访问标签对应的访问标准安全策略可以理解为待返回数据的字段信息对应安全的类别等级规定需要实施的安全策略，标准安全策略为根据国家规定、行业规定和企业规则制定企业对应的安全策略，同一企业的相同访问标签对应的访问标准安全策略相同。
63.具体实现中，根据数据访问请求查询访问数据库以确定待返回数据，并获取待返回数据的字段信息。根据企业的分类分级规则确定待返回数据的字段信息对应的安全类别等级，确定出待返回数据的访问标签。根据待返回数据的访问标签确定待返回数据的标签标识，基于标签标识确定访问标签对应的访问安全策略。
64.步骤130、确定第一安全策略是否与访问标准安全策略一致；
65.具体实现中，基于待返回数据的字段信息和企业的分类分级规则确定待返回数据的字段信息对应的访问标签，并根据待返回数据的标签标识确定访问标签对应的访问标准安全策略，以便于与查询访问数据库确定的待返回数据实时的第一安全策略进行比对，确定待返回数据实施的安全策略是否完整，无法保障数据访问请求过程中数据的安全性。如果第一安全策略与访问标准安全策略一致，则待返回数据实施的安全策略完整，将待返回数据作为数据访问请求对应的目标数据进行数据访问。如果第一安全策略与访问标准安全策略不一致，则说明待返回上数据实时的安全策略不完整，不能将待返回数据作为数据访
问请求对应的目标数据进行数据访问。
66.步骤140、当第一安全策略与访问标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问。
67.具体实现中，确定第一安全策略是否与访问标准安全策略一致，保证数据访问过程中访问数据库中的数据安全前提下进行数据访问。当第一安全策略与访问标准安全策略不一致，则说明数据访问请求对应的待返回数据的安全无法保证，需要阻断本次数据访问确保数据不出现泄露，实时对数据访问进行监测，并提供企业的异常访问记录供给企业进行内部审核和数据安全策略的调整，以保证企业数据根据分类分级规则进行等级明确的数据安全管控，便面数据泄露的风险。
68.本发明实施例，通过接收用户端发送的数据访问请求，并从数据库中确定访问请求对应的待返回数据实施的第一安全策略；根据待返回数据的字段信息从第一标签库中确定所述待返回数据的标签和标签对应的第一标准安全策略；确定第一安全策略是否与第一标准安全策略一致；当第一安全策略与第一标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问，解决流动性数据访问时，无法提供安全保障的问题，通过待返回数据的字段信息对应的访问标签确定待返回数据的需要实施的访问标准安全策略，并确定待返回数据实施的第一安全策略，通过比对第一安全策略与访问标准安全策略的一致性，确定待返回数据对应的安全策略的实施情况，以保证本次数据访问安全性；在保留访问数据库的完整性的同时，保证动态数据流动安全性。
69.下面进一步描述本发明实施例提供的数据管理方法，如图2所示，该方法具体可以包括如下步骤：
70.步骤210、接收用户端发送的数据访问请求，基于数据访问请求查询访问数据库以确定待返回数据并确定对待返回数据实施的第一安全策略；
71.步骤220、基于待返回数据的字段信息查询分类分级规则以确定待返回数据对应的访问标签，分类分级规则中包括判断字段信息对应的类别等级的规则；
72.示例地，分类分级规则可以理解为企业所属行业和国家在该行业使用的律法以及企业根据自身实际需求设置的企业规则，企业的分类分级规则一般可以是从国家层次、行业层面和企业规定三个级别，根据各个级别的规则确定访问数据库中数据的字段信息所在类别等级，实质上分类分级规则用于确定或识别出不同的字段信息对应的类别等级的规则。
73.具体实现中，根据数据访问请求查询访问数据库以确定待返回数据，并获取待返回数据的字段信息。根据待返回数据的字段信息查询分类分级规则，判断出待返回数据的字段信息对应的类别等级。根据待返回数据的字段信息对应的类别等级，即待返回数据对应的访问标签，以便于根据待返回数据对应的访问标签在访问标识库中确定访问标签对应的标签标识。
74.步骤230、基于访问标签查询访问标识库以确定访问标签对应的标签标识，访问标识库中包括根据分类分级规则识别出的所有访问类别等级的标签标识；
75.示例地，访问标识库可以理解为存储分类分级规则识别出的所有访问类别等级的标签标识的数据库，访问标识库与分类分级规则相对应，同一企业的分类分级规则识别出的访问标签，都能在访问标识库中找到对应的标签标识。访问标签对应的标识可以理解为
用于标示待返回数据的类别等级的标识符，可以根据标识直接确定类别等级。
76.具体实现中，根据数据访问请求查询访问数据库以确定待返回数据，并获取待返回数据的字段信息。根据待返回数据的字段信息查询分类分级规则，判断出待返回数据的字段信息对应的访问标签。根据待返回数据的字段信息对应的访问标签查询访问标识库，确定访问标签对应的标签标识，以便于根据访问标签对应的标签标识确定标签标识对应的标准安全策略。
77.步骤240、基于标签标识查询访问标识策略库以确定访问标签对应的访问标准安全策略，访问标识策略库包括访问标识库中所有标签标识对应的安全策略；
78.具体实现中，访问标识策略库可以理解为存储根据访问标识库中所有标签标识对应的所有类别等级需要实施的安全策略的数据库，其中，访问标识策略库中标签标识与访问标准安全策略对应存储。根据待返回数据的字段信息对应的访问标签查询访问标识库，确定访问标签对应的标签标识，并根据访问标签对应的标签标识查询访问标识策略库确定访问标签对应的标签标识对应存储的访问标准安全策略作为访问标签对应的访问标准安全策略。
79.步骤250、确定第一安全策略是否与访问标准安全策略一致；
80.步骤260、当第一安全策略与访问标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问。
81.进一步的，所述访问标识库建立方式如下：
82.根据访问数据库所属的行业规则和企业数据规范确定企业的分类分级规则；
83.基于所述分类分级规则识别出的所有访问类别级别的标签，对应创建所述分类分级规则对应的访问标识库，所述访问标识库用于区分不同数据的类别等级。
84.示例地，访问数据库为存储企业内部所有数据的数据库，可以根据企业的运营行业的行业规则，还可以企业根据自身实际生产和运营过程中的实际需求确定企业的数据规范，行业规则需要在合法的前提条件下执行的，实质上这里的行业规则实际包含国家层面和行业潜在运行方式的规则。比如：涉及密级文件的相关数据需要进行加密和权限设置，只对涉及相关项目的人开放，仅对数据系统设置允许查看的用户设备，使用密钥方可查看相关数据，如果使用黑客技术获得相关数据便会触犯国家层面的规定。
85.具体实现中，根据访问数据库所属的行业规则和企业数据规范确定企业的分类分级规则，可以根据分类分级规则判断出存储在访问数据库中的数据的访问标签。根据分类分级规则判断出的所有类别等级的访问标签创建存储所有类别等级的访问标签的标识符的访问标识库。比如：可以在根据数据访问请求对应的待返回数据的字段信息确定待返回数据对应的访问标签，并根据访问标签从访问标识库中查找标签标识，以便于根据标签标识确定对应的访问标准安全策略。
86.进一步的，所述访问标识策略库的获取方式如下：
87.根据所述分类分级规则和行业安全规则，确定所述分类分级规则对应的访问安全规则库；
88.将同一分类分级规则对应的所述访问标识库与所述访问安全规则库按照类别等级关联存储，得到所述访问标识库对应的访问标识策略库。
89.具体实现中，行业安全规则可以理解为所属行业所实施的所有的安全策略和类别
等级对应规则，可根据分类分级规则确定分类分级规则所有类别等级对应的标准安全策略。访问安全规则库可以理解为存储分类分级规则所有类别等级对应的标准安全策略的数据库，可以根据分类分级规则确定的访问标签的对应的标准安全策略。同一企业的分类分级规则相同，对于同一分类分级规则对应的访问标签，将访问标识库和访问安全规则库的对应的标签标识和标准安全策略按照类级标签进行关联存储，得到访问标识策略库。
90.本发明实施例，通过接收用户端发送的数据访问请求，并从数据库中确定访问请求对应的待返回数据实施的第一安全策略；根据待返回数据的字段信息从第一标签库中确定所述待返回数据的标签和标签对应的第一标准安全策略；确定第一安全策略是否与第一标准安全策略一致；当第一安全策略与第一标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问，解决流动性数据访问时，无法提供安全保障的问题，通过待返回数据的字段信息对应的访问标签确定待返回数据的需要实施的访问标准安全策略，并确定待返回数据实施的第一安全策略，通过比对第一安全策略与访问标准安全策略的一致性，确定待返回数据对应的安全策略的实施情况，以保证本次数据访问安全性；在保留访问数据库的完整性的同时，保证动态数据流动安全性。
91.图3为本发明实施例提供的数据管理方法的再一流程示意图，该方法可以由本发明实施例提供的数据管理装置来执行，该装置可采用软件和/或硬件的方式实现。在一个具体的实施例中，该装置可以集成在电子设备中，电子设备比如可以是服务器。以下实施例将以该装置集成在电子设备中为例进行说明，参考图3，该方法具体可以包括如下步骤：
92.步骤310、获取传输信息和传输信息对应的第二安全策略；
93.示例地，传输信息可理解为通过企业的数据平台的应用程序接口api当前传输的数据信息，其中，企业的数据平台可以查询企业所有的访问数据库，也可以根据实际需求通过应用程序接口api传送多个数据平台之间的数据。应用程序接口api可以将数据平台上的数据传输出去，也可以将其他数据平台上的数据传输进来，主用于各种不同平台提供数据共享。传输信息对应的第二安全策略以理解为当前传输信息中传输数据实施的安全策略，其中，安全策略可以是加密、脱敏、身份认证、鉴权、记录、预警等方式，并且根据类别等级的不同实施的加密算法、脱敏算法、身份认证方式难易度、鉴权、记录粒度、预警阈值等的设置也并不相同。类别等级越高的算法越难、验证方式强度更强、记录粒度更细、预警阈值更灵敏。
94.具体实现中，应用程序接口api有网关，用于获取应用程序接口api传输之前传输信息，并根据传输信息确定传输数据，同时确定传输数据实施的第一安全策略。其中，仅是确定传输信息的字段信息，以便于根据传输数据的字段信息确定传输信息对应的类别等级。
95.步骤320、根据传输信息的字段信息确定传输信息对应的传输标签和传输标签对应的传输标准安全策略；
96.示例地，传输信息的字段信息可以理解为传输信息的传输数据中每个数据表中各个字段名，其中传输信息的传输数据为数据表中字段名中对应的数据信息，每个字段名均对应不同的传输数据。其中，传输数据也可以是字符串或文本序列，字符串的字段名可以是根据实际需求预设固定位数的字符，也可以是根据字符串代表的实际意义或字符串对应的语义的主旨；文本序列的字段名可以是文本序列的主题词等。传输信息对应的传输标签可
以理解为基于企业数据平台的应用程序接口api的行业规则和企业数据规范对应的分类分级规则，确定传输数据的字段信息对应安全的类别等级。传输标准安全策略可以理解为传输信息对应安全的类别等级规定需要实施的安全策略，是基于国家、行业规定和企业等多个层面制定出的标准安全策略。
97.需要注意的是，虽然访问数据库和企业数据平台的应用程序接口api一个作为访问过程，一个作为传输过程中数据安全的确定，但同一企业所在的行业、所遵守的法律和企业数据规范的内容均相同。因此，同一企业的分类分级规则也相同，且不管访问过程还是传输过程均是对根据数据字段信息进行标准和实施两个方面安全策略的对比，以确保访问或传输进程中数据实施的安全策略完整，保障数据访问和传输过程中的数据安全。
98.具体实现中，根据传输信息确定传输数据，同时确定传输数据实施的第一安全策略。根据传输数据确定传输数据的字段信息，根据企业的分类分级规则确定传输数据的字段信息对应的安全类别等级，即传输数据的传输标签。根据传输数据的传输标签确定传输数据的标签标识，基于标签标识确定传输标签对应的传输安全策略。
99.步骤330、确定第二安全策略与传输标准安全策略是否一致；
100.具体实现中，基于传输数据的字段信息和企业的分类分级规则确定传输数据的字段信息对应的传输标签，并根据传输数据的标签标识确定传输标签对应的传输标准安全策略，以便于与查询传输数据实施的第二安全策略进行比对，确定传输数据实施的安全策略未按照传输标准安全策略规定的完整实施，无法保障数据传输过程中数据的安全性。如果第二安全策略与传输标准安全策略一致，则数据实施的安全策略按照传输标准安全策略规定的完整实施，将传输数据通过应用程序接口api进行传输。如果第二安全策略与访问标准安全策略不一致，则说明传输数据实施的安全策略不完整，不能通过应用程序接口api进行传输。
101.步骤340、当第二安全策略与传输标准安全策略不一致，则阻断本次数据传输，并记录本次异常传输。
102.具体实现中，确定第二安全策略是否与传输标准安全策略一致，保证数据传输过程中应用程序接口api在数据安全前提下进行数据调用或传输。当第二安全策略与传输标准安全策略不一致，则说明传输数据对安全无法保证，需要阻断本次数据传输确保数据不出现泄露，实时对数据传输过程进行监测，并提供企业的异常传输记录供给企业进行内部审核和数据安全策略的调整，以保证企业数据根据分类分级规则进行等级明确的数据安全管控，便面数据泄露的风险。
103.进一步的，所述根据所述传输信息的字段信息确定所述传输信息对应的传输标签和所述传输标签对应的传输标准安全策略，包括：
104.基于所述传输信息的字段信息查询分类分级规则以确定所述传输数据对应的传输标签，所述分类分级规则中包括判断字段信息对应的类别等级的规则；
105.基于所述传输标签查询传输标识库以确定所述传输标签对应的标签标识，所述传输标识库中包括根据所述分类分级规则识别出的所有传输类别等级的标签标识；
106.基于所述标签标识查询传输标识策略库以确定所述传输标签对应的传输标准安全策略，所述传输标识策略库包括所述传输标识库中所有标签标识对应的安全策略。
107.示例地，分类分级规则可以理解为企业所属行业和国家在该行业使用的律法以及
企业根据自身实际需求设置的企业规则，企业的分类分级规则一般可以是从国家层次、行业层面和企业规定三个级别，根据各个级别的规则确定通过应用程序接口api传输数据的字段信息所在类别等级，实质上分类分级规则用于确定或识别出不同的字段信息对应的类别等级的规则。传输标识库可以理解为存储分类分级规则识别出的所有传输数据类别等级的标签标识的数据库，传世标识库与分类分级规则相对应，同一企业的分类分级规则识别出的传输标签，都能在传输标识库中找到对应的标签标识。传输标签对应的标签标识可以理解为标示传输数据的类别等级的标识符，可以根据标识直接确定类别等级。传输标识策略库可以理解为存储根据传输标识库中所有标签标识对应的所有类别等级需要实施的安全策略的数据库，其中，传输标识策略库中标签标识与传输标准安全策略对应存储。传输标准安全策略可以理解为根据标签标识在传输标识策略库中查找到的标签标识对应的标准安全策略。
108.具体实现中，根据传输信息确定传输数据，根据传输数据的字段信息查询分类分级规则以确定传输数据对应的标签，并基于传输标签查询传输标签库确定传输标签对应的标签标识。基于传输标签对应的标签标识查询传输表示策略库以确定传输标签对应的传输标准安全策略，使得通过调用分类分级规则、传输标识库以及传输标识策略库在不影响传输的原始数据的情况下，仅是通过网关获取传输数据的字段信息确定传输数据是否完整实施对应的标准安全策略，以确保传输数据在安全条件下进行数据传输。
109.进一步的，所述传输标识库创建方法如下：
110.根据企业数据平台的应程序接口api对应的行业规则和企业数据规范确定企业的分类分级规则；
111.基于所述分类分级规则识别出的所有传输类别级别的标签，对应创建所述分类分级规则对应的传输标识库，所述传输标识库用于区别不同信息的类别等级。
112.示例地，企业数据平台为通过应用程序接口api调用访问数据库和外部数据平台上数据的数据共享平台，企业数据平台对应的行业规则可以根据企业的运营行业制定行业企业遵守的规则，还可以企业根据自身实际生产和运营过程中的实际需求确定企业的数据规范，行业规则需要在合法的前提条件下执行的，实质上这里的行业规则实际包含国家层面规定和行业潜在运行方式的规则。
113.具体实现中，企业数据平台的应程序接口api对应的行业规则和企业数据规范确定企业的分类分级规则，可以根据分类分级规则判断出通过应用程序接口api的传输数据的传输标签。根据分类分级规则判断出的所有类别等级的传输标签创建存储所有类别等级的传输标签的标识的传输标识库。比如：可以在根据传输信息对应的传输数据的字段信息确定传输数据对应的传输标签，并根据传输标签从传输标识库中查找标签标识，以便于根据标签标识确定对应的传输标准安全策略。
114.进一步的，所述传输标识策略库的获取方式如下：
115.根据分类分级规则和行业安全规则，确定所述分类分级规则对应的传输安全规则库；
116.将同一分类分级规则对应的所述传输标识库与所述传输安全规则库按照类别等级关联存储，得到所述传输标识库对应的传输标识策略库。
117.具体实现中，行业安全规则可以理解为所属行业所实施的所有的安全策略和类别
等级对应规则，可根据分类分级规则确定分类分级规则所有类别等级对应的标准安全策略。传输安全规则库可以理解为存储分类分级规则所有类别等级对应的标准安全策略的数据库，可以根据分类分级规则确定的传输标签的对应的标准安全策略。同一企业的分类分级规则相同，对于同一分类分级规则对应的传输标签，将传输标识库和传输安全规则库的对应的标签标识和标准安全策略按照类级标签进行关联存储，得到传输标识策略库。通过网关对利用应用程序接口api进行传输信息的信息进行动态的数据安全策略的验证，使得传输中的数据也能进行数据安全策略的验证，保证数据传输的安全性。这里网关，也可以是企业的安全系统中的安全引擎，具备同样的功能。另外，通过调用数据库，而并不是直接在数据上添加标签的方法，可以在保证原始数据不被破坏的同时，隐秘性的检测访问数据和传输数据安全策略不容易被假性信息误导。
118.本发明实施例，通过获取传输信息和传输信息对应的第二安全策略；根据传输信息的字段信息确定传输信息对应的传输标签和传输标签对应的传输标准安全策略；确定第二安全策略与传输标准安全策略是否一致；当第二安全策略与传输标准安全策略不一致，则阻断本次数据传输，并记录本次异常传输，解决流动性数据访问中行业和企业数据无法提供安全保障的问题，通过传输数据的字段信息对应的传输标签确定传输数据的需要实施的传输标准安全策略，并确定传输数据实施的第二安全策略，通过比对第二安全策略与传输标准安全策略的一致性，确定传输数据对应的安全规则的实施情况，以保证本次数据传输安全性，在不破坏原始数据库的存储形态条件下，保证动态数据流动安全性。
119.图4为本发明实施例提供的数据管理装置的一个结构示意图。如图4所示，应用网关，所述数据管理装置包括：
120.数据策略确定模块410，用于接收用户端发送的数据访问请求，基于所述数据访问请求查询访问数据库以确定待返回数据并确定对所述待返回数据实施的第一安全策略；
121.标准策略确定模块420，用于根据所述待返回数据的字段信息确定所述待返回数据的访问标签和所述访问标签对应的访问标准安全策略；
122.策略一致判断模块430，用于确定所述第一安全策略是否与所述访问标准安全策略一致；
123.访问阻断模块440，用于当所述第一安全策略与所述访问标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问。
124.一实施例中，所述标准策略确定模块420根据所述待返回数据的字段信息确定所述待返回数据的访问标签和所述访问标签对应的访问标准安全策略，包括：
125.基于所述待返回数据的字段信息查询分类分级规则以确定所述待返回数据对应的访问标签，所述分类分级规则中包括判断字段信息对应的类别等级的规则；
126.基于所述访问标签查询访问标识库以确定所述访问标签对应的标签标识，所述访问标识库中包括根据所述分类分级规则识别出的所有访问类别等级的标签标识；
127.基于所述标签标识查询访问标识策略库以确定所述访问标签对应的访问标准安全策略，所述访问标识策略库包括所述访问标识库中所有标签标识对应的安全策略。
128.一实施例中，所述访问标识库建立方式如下：
129.根据访问数据库所属的行业规则和企业数据规范确定企业的分类分级规则；
130.基于所述分类分级规则识别出的所有访问类别级别的标签，对应创建所述分类分
级规则对应的访问标识库，所述访问标识库用于区分不同数据的类别等级。
131.一实施例中，所述访问标识策略库的获取方式如下：
132.根据所述分类分级规则和行业安全规则，确定所述分类分级规则对应的访问安全规则库；
133.将同一分类分级规则对应的所述访问标识库与所述访问安全规则库按照类别等级关联存储，得到所述访问标识库对应的访问标识策略库。
134.本发明实施装置中，通过接收用户端发送的数据访问请求，并从数据库中确定所述访问请求对应的待返回数据实施的第一安全策略；根据所述待返回数据的字段信息从第一标签库中确定所述待返回数据的标签和所述标签对应的第一标准安全策略；确定所述第一安全策略是否与所述第一标准安全策略一致；当所述第一安全策略与所述第一标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问，解决流动性数据访问中行业和企业数据无法提供安全保障的问题，通过待返回数据的字段信息对应的访问标签确定待返回数据的需要实施的访问标准安全策略，并确定待返回数据实施的第一安全策略，通过比对第一安全策略与访问标准安全策略的一致性，确定待返回数据对应的安全规则的实施情况，以保证本次数据访问安全性，在不破坏原始数据库的存储形态条件下，保证动态数据流动安全性。
135.图5为本发明实施例提供的数据管理装置的另一结构示意图，如图5所示应用于网关，该装置包括：
136.策略获取模块510，用于获取传输信息和所述传输信息对应的第二安全策略；
137.策略确定模块520，用于根据所述传输信息的字段信息确定所述传输信息对应的传输标签和所述传输标签对应的传输标准安全策略；
138.一致判断模块530，用于确定所述第二安全策略与所述传输标准安全策略是否一致；
139.传输阻断模块540，用于当所述第二安全策略与所述传输标准安全策略不一致，则阻断本次数据传输，并记录本次异常传输。
140.一实施例中，所述策略确定模块520根据所述传输信息的字段信息确定所述传输信息对应的传输标签和所述传输标签对应的传输标准安全策略，包括：
141.基于所述传输信息的字段信息查询分类分级规则以确定所述传输数据对应的传输标签，所述分类分级规则中包括判断字段信息对应的类别等级的规则；
142.基于所述传输标签查询传输标识库以确定所述传输标签对应的标签标识，所述传输标识库中包括根据所述分类分级规则识别出的所有传输类别等级的标签标识；
143.基于所述标签标识查询传输标识策略库以确定所述传输标签对应的传输标准安全策略，所述传输标识策略库包括所述传输标识库中所有标签标识对应的安全策略。
144.一实施例中，所述传输标识库创建方法如下：
145.根据企业数据平台的应程序接口api对应的行业规则和企业数据规范确定企业的分类分级规则；
146.基于所述分类分级规则识别出的所有传输类别级别的标签，对应创建所述分类分级规则对应的传输标识库，所述传输标识库用于区别不同信息的类别等级。
147.一实施例中，所述传输标识策略库的获取方式如下：
148.根据分类分级规则和行业安全规则，确定所述分类分级规则对应的传输安全规则库；
149.将同一分类分级规则对应的所述传输标识库与所述传输安全规则库按照类别等级关联存储，得到所述传输标识库对应的传输标识策略库。
150.本发明实施装置，通过获取传输信息和传输信息对应的第二安全策略；根据传输信息的字段信息确定传输信息对应的传输标签和传输标签对应的传输标准安全策略；确定第二安全策略与传输标准安全策略是否一致；当第二安全策略与传输标准安全策略不一致，则阻断本次数据传输，并记录本次异常传输，解决流动性数据访问中行业和企业数据无法提供安全保障的问题，通过传输数据的字段信息对应的传输标签确定传输数据的需要实施的传输标准安全策略，并确定传输数据实施的第二安全策略，通过比对第二安全策略与传输标准安全策略的一致性，确定传输数据对应的安全规则的实施情况，以保证本次数据传输安全性，在不破坏原始数据库的存储形态条件下，保证动态数据流动安全性。
151.图6为本发明实施例提供的一种电子设备的结构示意图。图6示出了适于用来实现本发明实施方式的示例性电子设备12的框图。图6显示的电子设备12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
152.如图6所示，电子设备12以通用计算设备的形式表现。电子设备12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
153.总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。
154.电子设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。
155.系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)30和/或高速缓存存储器32。电子设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(64未显示，通常称为“硬盘驱动器”)。尽管图6中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom,dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。系统存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。
156.具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如系统存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
157.电子设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该电子设备12交互的设备通信，和/或与使得该设
备/终端/服务器能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口22进行。并且，电子设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图6所示，网络适配器20通过总线18与电子设备12的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
158.处理单元16通过运行存储在系统存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现本发明实施例所提供的数据管理方法，该方法包括：
159.接收用户端发送的数据访问请求，基于所述数据访问请求查询访问数据库以确定待返回数据并确定对所述待返回数据实施的第一安全策略；
160.根据所述待返回数据的字段信息确定所述待返回数据的访问标签和所述访问标签对应的访问标准安全策略；
161.确定所述第一安全策略是否与所述访问标准安全策略一致；
162.当所述第一安全策略与所述访问标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问；
163.或，获取传输信息和所述传输信息对应的第二安全策略；
164.根据所述传输信息的字段信息确定所述传输信息对应的传输标签和所述传输标签对应的传输标准安全策略；
165.确定所述第二安全策略与所述传输标准安全策略是否一致；
166.当所述第二安全策略与所述传输标准安全策略不一致，则阻断本次数据传输，并记录本次异常传输。
167.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如所述的数据管理方法，该方法包括：
168.接收用户端发送的数据访问请求，基于所述数据访问请求查询访问数据库以确定待返回数据并确定对所述待返回数据实施的第一安全策略；
169.根据所述待返回数据的字段信息确定所述待返回数据的访问标签和所述访问标签对应的访问标准安全策略；
170.确定所述第一安全策略是否与所述访问标准安全策略一致；
171.当所述第一安全策略与所述访问标准安全策略不一致，则阻断本次数据访问，并记录本次异常访问；
172.或，获取传输信息和所述传输信息对应的第二安全策略；
173.根据所述传输信息的字段信息确定所述传输信息对应的传输标签和所述传输标签对应的传输标准安全策略；
174.确定所述第二安全策略与所述传输标准安全策略是否一致；
175.当所述第二安全策略与所述传输标准安全策略不一致，则阻断本次数据传输，并记录本次异常传输。
176.本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读
存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
177.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
178.计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。
179.可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言诸如java、smalltalk、c ，还包括常规的过程式程序设计语言诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
180.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。