一种基于预定规则的敏感数据发现方法和装置与流程

1.本技术涉及到数据处理领域，具体而言，涉及一种基于预定规则的敏感数据发现方法和装置。


背景技术：

2.敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。包括个人隐私数据，如姓名、身份证号码、住址、电话、银行账号、邮箱、密码、医疗信息、教育背景等；也包括企业或社会机构不适合公布的数据，如企业的经营情况，企业的网络结构、ip地址列表等。
3.在数据进行脱敏处理中，现有技术是针对数据内容本身来进行敏感数据发现的，例如，110110188009592234.x会被认为成身份证号码，但是对于有些内容，例如，日期，是无法根据数据内容本身来判断是否为敏感数据的。
4.针对该问题，在现有技术中没有提供合适的解决方案。


技术实现要素：

5.本技术实施例提供了一种基于预定规则的敏感数据发现方法和装置，以至少解决现有技术中对于有些数据内容本身无法作为敏感数据发现的依据所导致的问题。
6.根据本技术的一个方面，提供了一种基于预定规则的敏感数据发现方法，包括：获取预先制定的敏感数据的发现规则，其中，所述发现规则为多个，其中，每个所述发现规则用于根据至少之一进行敏感数据的发现：待识别数据所在字段名称、所述待识别的数据所在表格的名称、所述待识别的数据在数据库中的位置、所述待识别数据所在字段的注释；获取多个所述发现规则的执行优先级，其中，所述优先级高的发现规则被优先执行；根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现，其中，执行每个所述发现规则时，获取该发现规则所对应的所述待识别数据的待比对内容，将所述待比对内容与所述发现规则进行比较，确定所述待识别数据是否为敏感数据；在确定所述待识别数据为敏感数据之后，对所述敏感数据进行脱敏处理。
7.进一步地，获取预先制定的敏感数据的发现规则包括：获取所述待识别数据的内容；根据所述待识别数据的内容确定所述待识别数据是否为敏感数据；在根据所述待识别数据的内容无法确定所述待识别数据为敏感数据的情况下，获取预先制定的敏感数据的发现规则。
8.进一步地，在根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现之后，无法确定所述待识别数据为敏感数据的情况下，还包括：获取所述待识别数据的内容；根据所述待识别数据的内容确定所述待识别数据是否为敏感数据。
9.进一步地，所述发现规则为比对待识别数据所在字段名称或所述待识别的数据所在表格的名称或者所述待识别数据所在字段的注释的情况下，所述发现规则定义为：在以下至少之一情况下确定为敏感数据：所述字段名称或所述表格的名称或所述待识别数据所在字段的注释中包括预先配置的关键词、所述字段名称或所述表格的名称或所述待识别数
据所在字段的注释中与预先配置的关键词相等；其中，判断包括和/或相等的方式包括正则判断。
10.进一步地，所述发现规则为根据所述待识别数据在数据库中的位置的情况下，所述发现规则定义为：待判断字段和已经存在敏感字段间存在主外键关系和/或所述待判断字段的名称和已经存在敏感字段的名称相等且两个字段对应的表字段个数和字段名称都相同，则所述待识别数据为敏感数据。
11.根据本技术的另一个方面，还提供了一种基于预定规则的敏感数据发现装置，包括：第一获取模块，用于获取预先制定的敏感数据的发现规则，其中，所述发现规则为多个，其中，每个所述发现规则用于根据至少之一进行敏感数据的发现：待识别数据所在字段名称、所述待识别的数据所在表格的名称、所述待识别的数据在数据库中的位置、所述待识别数据所在字段的注释；第二获取模块，用于获取多个所述发现规则的执行优先级，其中，所述优先级高的发现规则被优先执行；执行模块，用于根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现，其中，执行每个所述发现规则时，获取该发现规则所对应的所述待识别数据的待比对内容，将所述待比对内容与所述发现规则进行比较，确定所述待识别数据是否为敏感数据；脱敏模块，用于在确定所述待识别数据为敏感数据之后，对所述敏感数据进行脱敏处理。
12.进一步地，所述第一获取模块用于：获取所述待识别数据的内容；根据所述待识别数据的内容确定所述待识别数据是否为敏感数据；在根据所述待识别数据的内容无法确定所述待识别数据为敏感数据的情况下，获取预先制定的敏感数据的发现规则。
13.进一步地，在根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现之后，无法确定所述待识别数据为敏感数据的情况下，所述执行模块还用于：获取所述待识别数据的内容；根据所述待识别数据的内容确定所述待识别数据是否为敏感数据。
14.进一步地，所述发现规则为比对待识别数据所在字段名称或所述待识别的数据所在表格的名称或者所述待识别数据所在字段的注释的情况下，所述发现规则定义为：在以下至少之一情况下确定为敏感数据：所述字段名称或所述表格的名称或所述待识别数据所在字段的注释中包括预先配置的关键词、所述字段名称或所述表格的名称或所述待识别数据所在字段的注释中与预先配置的关键词相等；其中，判断包括和/或相等的方式包括正则判断。
15.进一步地，所述发现规则为根据所述待识别数据在数据库中的位置的情况下，所述发现规则定义为：待判断字段和已经存在敏感字段间存在主外键关系和/或所述待判断字段的名称和已经存在敏感字段的名称相等且两个字段对应的表字段个数和字段名称都相同，则所述待识别数据为敏感数据。
16.在本技术实施例中，采用了获取预先制定的敏感数据的发现规则，其中，所述发现规则为多个，其中，每个所述发现规则用于根据至少之一进行敏感数据的发现：待识别数据所在字段名称、所述待识别的数据所在表格的名称、所述待识别的数据在数据库中的位置、所述待识别数据所在字段的注释；获取多个所述发现规则的执行优先级，其中，所述优先级高的发现规则被优先执行；根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现，其中，执行每个所述发现规则时，获取该发现规则所对应的所述待识别数据的待比对内容，将所述待比对内容与所述发现规则进行比较，确定所述待识别数据是否为敏
感数据；在确定所述待识别数据为敏感数据之后，对所述敏感数据进行脱敏处理。通过本技术解决了现有技术中对于有些数据内容本身无法作为敏感数据发现的依据所导致的问题，从而提高了敏感数据发现的准确性。
附图说明
17.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：图1是根据本技术实施例的基于预定规则的敏感数据发现方法的流程图。
具体实施方式
18.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
19.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
20.在本实施例中提供了一种基于预定规则的敏感数据发现方法，图1是根据本技术实施例的基于预定规则的敏感数据发现方法的流程图，如图1所示，该流程包括如下步骤：步骤s102，获取预先制定的敏感数据的发现规则，其中，所述发现规则为多个，其中，每个所述发现规则用于根据至少之一进行敏感数据的发现：待识别数据所在字段名称、所述待识别的数据所在表格的名称、所述待识别的数据在数据库中的位置、所述待识别数据所在字段的注释；作为一个可选的实施方式，可以将所述发现规则进行组合使用，例如，待识别数据的内容包括日期时，将待识别数据所在字段名称、所述待识别的数据所在表格的名称和所述待识别数据所在字段的注释组合进行使用，根据其中之一识别出为敏感数据的情况下，则为敏感数据。例如，对于数字，将待识别数据所在字段名称、所述待识别的数据所在表格的名称和所述待识别的数据在数据库中的位置进行组合使用，根据其中之一识别出为敏感数据的情况下，则为敏感数据。对于文字，待识别数据所在字段名称、所述待识别的数据在数据库中的位置和所述待识别数据所在字段的注释进行组合使用，根据其中之一识别出为敏感数据的情况下，则为敏感数据。
21.例如，所述发现规则为比对待识别数据所在字段名称或所述待识别的数据所在表格的名称或者所述待识别数据所在字段的注释的情况下，所述发现规则定义为：在以下至少之一情况下确定为敏感数据：所述字段名称或所述表格的名称或所述待识别数据所在字段的注释中包括预先配置的关键词、所述字段名称或所述表格的名称或所述待识别数据所在字段的注释中与预先配置的关键词相等；其中，判断包括和/或相等的方式包括正则判断。和/或，所述发现规则为根据所述待识别数据在数据库中的位置的情况下，所述发现规则定义为：待判断字段和已经存在敏感字段间存在主外键关系和/或所述待判断字段的名称和已经存在敏感字段的名称相等且两个字段对应的表字段个数和字段名称都相同，则所述待识别数据为敏感数据。
22.步骤s104，获取多个所述发现规则的执行优先级，其中，所述优先级高的发现规则
被优先执行；步骤s106，根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现，其中，执行每个所述发现规则时，获取该发现规则所对应的所述待识别数据的待比对内容，将所述待比对内容与所述发现规则进行比较，确定所述待识别数据是否为敏感数据；步骤s108，在确定所述待识别数据为敏感数据之后，对所述敏感数据进行脱敏处理。
23.作为一个可选的实施方式，脱敏处理的方式有很多种，例如，获取待脱敏数据对应的分类，其中，每种分类均对应一张或多张码表，所述码表用于指示对待脱敏数据进行脱敏时的字符替换规则；根据预定条件从该待脱敏数据对应的一张或多张码表中选择用于对所述待脱敏数据进行脱敏处理的第一码表，其中，所述预定条件为预先配置的，所述预定条件用于根据所述待脱敏数据的特征从所述一张或多张码表中选择出所述第一码表；建立并保存所述待脱敏数据与脱敏使用的所述第一码表之间的对应关系；使用所述第一码表对所述待脱敏数据进行脱敏。可选地，获取待脱敏数据对应的分类包括：从数据库中读取所述待脱敏数据，并获取所述待脱敏数据所在的字段；根据所述脱敏数据所在的字段的信息确定所述待脱敏数据对应的分类。
24.通过本技术解决了现有技术中对于有些数据内容本身无法作为敏感数据发现的依据所导致的问题，从而提高了敏感数据发现的准确性。
25.在本实施例中，还可以结合数据内容本身来进行敏感数据的发现，例如，根据所述待识别数据的内容确定所述待识别数据是否为敏感数据；在根据所述待识别数据的内容无法确定所述待识别数据为敏感数据的情况下，获取预先制定的敏感数据的发现规则。或者，在根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现之后，无法确定所述待识别数据为敏感数据的情况下，还包括：获取所述待识别数据的内容；根据所述待识别数据的内容确定所述待识别数据是否为敏感数据。
26.作为另一个可选的实施方式，可以在动态脱敏过程中使用，例如，接收到数据库查询请求，根据所述数据库查询请求所查询的数据判断该数据是否为敏感数据，如果根据数据内容判断是非敏感数据，然后根据所述脱敏规则再判断是否为非敏感数据，如果根据所述脱敏规则判断为非敏感数据，则向所述数据库查询请求的发送方返回所述数据，其中，所述数据为经过脱敏处理，如果根据所述数据的内容或所述脱敏规则中的二者之一判断为敏感数据，则进行数据脱敏后返回给所述发送方。
27.作为另一个可选的实施方式，获取所述数据库查询请求的权限，在所述权限高于预定权限的情况下，根据所述脱敏规则和根据所述数据的内容中的两者之一判断所述查询请求所查询的数据为非敏感数据的情况下，则向所述数据库查询请求的发送方返回所述数据；如果所述权限不高于所述预定权限，在根据所述数据的内容或所述脱敏规则中的二者之一判断为敏感数据时，进行数据脱敏后返回给所述发送方。
28.在本实施例中，提供一种电子装置，包括存储器和处理器，存储器中存储有计算机程序，处理器被设置为运行计算机程序以执行以上实施例中的方法。
29.上述程序可以运行在处理器中，或者也可以存储在存储器中（或称为计算机可读介质），计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计
算机的存储介质的例子包括，但不限于相变内存 (pram)、静态随机存取存储器 (sram)、动态随机存取存储器 (dram)、其他类型的随机存取存储器 (ram)、只读存储器 (rom)、电可擦除可编程只读存储器 (eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器 (cd-rom)、数字多功能光盘 (dvd) 或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体 (transitory media)，如调制的数据信号和载波。
30.这些计算机程序也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤，对应与不同的步骤可以通过不同的模块来实现。
31.该本实施例中就提供了这样的一种装置或系统。该装置被称为基于预定规则的敏感数据发现装置，包括：第一获取模块，用于获取预先制定的敏感数据的发现规则，其中，所述发现规则为多个，其中，每个所述发现规则用于根据至少之一进行敏感数据的发现：待识别数据所在字段名称、所述待识别的数据所在表格的名称、所述待识别的数据在数据库中的位置、所述待识别数据所在字段的注释；第二获取模块，用于获取多个所述发现规则的执行优先级，其中，所述优先级高的发现规则被优先执行；执行模块，用于根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现，其中，执行每个所述发现规则时，获取该发现规则所对应的所述待识别数据的待比对内容，将所述待比对内容与所述发现规则进行比较，确定所述待识别数据是否为敏感数据；脱敏模块，用于在确定所述待识别数据为敏感数据之后，对所述敏感数据进行脱敏处理。
32.该系统或者装置用于实现上述的实施例中的方法的功能，该系统或者装置中的每个模块与方法中的每个步骤相对应，已经在方法中进行过说明的，在此不再赘述。
33.例如，所述第一获取模块用于：获取所述待识别数据的内容；根据所述待识别数据的内容确定所述待识别数据是否为敏感数据；在根据所述待识别数据的内容无法确定所述待识别数据为敏感数据的情况下，获取预先制定的敏感数据的发现规则。或者，在根据所述发现规则的执行优先级依次执行每个发现规则进行敏感数据发现之后，无法确定所述待识别数据为敏感数据的情况下，所述执行模块还用于：获取所述待识别数据的内容；根据所述待识别数据的内容确定所述待识别数据是否为敏感数据。
34.又例如，所述发现规则为比对待识别数据所在字段名称或所述待识别的数据所在表格的名称或者所述待识别数据所在字段的注释的情况下，所述发现规则定义为：在以下至少之一情况下确定为敏感数据：所述字段名称或所述表格的名称或所述待识别数据所在字段的注释中包括预先配置的关键词、所述字段名称或所述表格的名称或所述待识别数据所在字段的注释中与预先配置的关键词相等；其中，判断包括和/或相等的方式包括正则判断。或者，所述发现规则为根据所述待识别数据在数据库中的位置的情况下，所述发现规则定义为：待判断字段和已经存在敏感字段间存在主外键关系和/或所述待判断字段的名称和已经存在敏感字段的名称相等且两个字段对应的表字段个数和字段名称都相同，则所述待识别数据为敏感数据。
35.在本实施例中利用注释或者表名称来进行数据的分类分级，数据所在位置判断数
据如何来进行分级或者基于字段名称发现，比如，字段中包括pwd的就是密码，来实现对敏感数据的发现。
36.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。