用于构建敏感数据资产的方法、系统和装置与流程

1.本公开涉及数据安全领域，更具体地，涉及数据资产构建。


背景技术：

2.《一般数据保护条例》(gdpr)和《加利福尼亚州消费者隐私保护法案》(ccpa)明确了数据各方之间所属和管理关系。
3.数据资产构建是数据安全体系构建的前提。当前构建数据资产的方法主要通过静态扫描和动态扫描等方式，但无法通过动态监控数据资产访问细节和数据资产之间依赖关系对数据资产进行动态关联，进而形成敏感数据资产。此外，业界目前尚未形成有效地衡量数据资产敏感性的标准和方法。
4.因此，期望提出一种有效地构建敏感数据并评估敏感数据的敏感性的技术。


技术实现要素：

5.本发明旨在通过对数据资产进行日志和流量的统计和相关性分析，动态获取各数据资产的访问关系、访问关联度和访问权限，并对各数据资产进行多维度风险分析，从而构建敏感数据资产并形成敏感数据资产库。
6.在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。
7.本公开涉及一种用于构建敏感数据资产的方法，包括：对数据资产进行日志和流量数据的统计和相关性分析，得到各数据资产的相关性数据；对数据资产进行风险性分析，包括对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d；对各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d进行权重分配；以及基于各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d以及对应权重来计算各数据资产的风险值r；以及基于各数据资产的风险值r与基准值的关系，构建敏感数据资产。
8.本公开涉及一种用于构建敏感数据资产的系统，包括：日志和流量分析模块，被配置为对数据资产进行日志和流量数据的统计和相关性分析，得到各数据资产的相关性数据；数据资产风险性分析模块，被配置为对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d；对各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d进行权重分配；以及基于各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d以及对应权重来计算各数据资产的风险值r；以及敏感数据资产构建模块，被配置为基于各数据资产的风险值r与基准值的关系，构建敏感数据资产。
9.本公开涉及一种用于构建敏感数据资产的装置，包括：存储器，其上存储有指令；
以及处理器，所述处理器耦合到所述存储器，并且被配置为在执行所述指令时使得所述装置执行上述用于构建敏感数据资产的方法。
10.本公开涉及一种其上存储有可执行指令的非暂态计算机可读存储介质，所述可执行指令当由一个或多个处理器执行时，使得所述一个或多个处理器执行上述用于构建敏感数据资产的方法。
11.根据本发明的实施例的方法、系统和装置通过基于数据资产进行日志分析、流量监控和外部安全威胁情报库的分析，自动获取和完善数据资产之间的关联关系，并对数据资产的依赖关系进行量化计算，得到数据资产的风险评估值，进而构建敏感数据资产并形成敏感数据资产库。根据本发明的实施例的方法、系统和装置有效地实现了敏感数据的构建和敏感性评估，极大地提高了数据资产的安全性。
12.应当注意，本技术的效果不限于上述效果，并且可以包括本公开中描述的任何效果。
13.通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得更为清楚。
附图说明
14.构成说明书的一部分的附图描述了本公开的示例性实施例，并且连同说明书一起用于解释本公开的原理。
15.参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：
16.图1是根据本公开的实施例的用于构建敏感数据资产的方法的流程图；
17.图2是根据本公开的又一实施例的用于构建敏感数据资产的方法的流程图；以及
18.图3是根据本公开的实施例的用于构建敏感数据资产的系统的框图。
具体实施方式
19.在下文中，将参照附图详细地描述本公开内容的优选实施例。注意，在本说明书和附图中，有时在不同的附图之间共同使用同一附图标记来表示相同部分或具有相同功能的部分，因而省略其重复说明。在本说明书中，使用相似的标号和字母表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
20.为了便于理解，在附图等中所示的各结构的位置、尺寸及范围等有时不表示实际的位置、尺寸及范围等。因此，所公开的发明并不限于附图等所公开的位置、尺寸及范围等。
21.下面将结合图1至图3描述根据本公开的实施例的用于构建敏感数据资产的方法、系统和装置。
22.图1示出了根据本公开的实施例的用于构建敏感数据资产的方法100。
23.如图1所示，在步骤s102处，对数据资产进行日志和流量数据的统计和相关性分析，得到各数据资产的相关性数据。
24.众所周知，数据资产是指个人或企业的以照片、文档、图纸、视频、数字版权、代码、字节等为载体的数据。要注意的是，本公开中所提及的数据资产仅是示例，并不构成对本发明的限制。
25.例如，通过对各数据资产在一段时间内的日志和流量数据进行统计和相关性分
析，得到各数据资产的相关性数据。
26.在根据本公开的一些实施方式中，相关性数据包括数据资产调用方式数据、数据资产调用频率数据、数据资产依赖关系数据以及数据资产访问权限数据。
27.数据资产调用方式数据指示数据资产被调用的方式。数据资产调用方式数据例如包括api访问类型、sql访问类型等。
28.数据资产调用频率数据指示数据资产被调用的频率。数据资产调用频率数据例如包括高频率、中等频率、低频率等。
29.数据资产依赖关系数据指示数据资产与其他数据资之间的访问关联度。数据资产依赖关系数据例如包括强依赖、中等依赖、弱依赖等。
30.数据资产访问权限数据指示数据资产的保密级别。数据资产访问权限数据例如包括一般级别、机密级别、以及绝密级别等。
31.接下来转到步骤s104-s108。步骤s104-s108说明了对各数据资产进行风险性分析的过程。
32.在步骤s104处，对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d。
33.接下来转到步骤s106。在步骤s106处，对各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d进行权重分配。
34.接下来转到步骤s108。在步骤s108处，基于各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d以及对应权重来计算各数据资产的风险值r。
35.接下来转到步骤s110。在步骤s110处，基于各数据资产的风险值r与基准值的关系，构建敏感数据资产。
36.在根据本公开的一些实施方式中，如果数据资产的风险值r大于基准值，则将该类数据资产构建为敏感数据资产。
37.在根据本公开的一些实施方式中，如果数据资产的风险值r小于基准值，则不将该类数据资产构建为敏感数据资产。
38.基于所构建的敏感数据资产，可以形成并完善敏感数据资产库。
39.要注意的是，可以预先指定基准值，且基准值不限于固定值，而是可以根据应用场景不同而不同。
40.接下来转到步骤s112。在步骤s112处，基于敏感数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d，对敏感数据资产进行可视化展示。
41.基于敏感数据资产的可视化展示，可以高效分析并演绎某一安全事件导致的数据资产之间的相互影响关系以及影响度。
42.图2示出了根据本公开的又一实施例的用于构建敏感数据资产的方法200。
43.方法200是根据本公开的用于构建敏感数据资产的方法的优选实施例。
44.如图2所示，步骤s202类似于方法100中的步骤s102，因此在此省略对其的详细描述。
45.接下来转到步骤s204-s214。步骤s204-s214说明了对数据资产进行风险性分析的过程。
46.在步骤s204处，对数据资产调用方式数据、数据资产调用频率数据、数据资产依赖
关系数据以及数据资产访问权限数据进行量化赋值。
47.对于数据资产调用方式数据，例如，将api访问类型赋值为5、将sql访问类型赋值为3。
48.对于数据资产调用频率数据，例如，将高频率赋值为3、中等频率赋值为2、低频率赋值为1。
49.对于数据资产依赖关系数据，例如，将强依赖赋值为3、中等依赖赋值为2、弱依赖赋值为1等。
50.对于数据资产访问权限数据，例如，将一般级别赋值为1、将机密级别赋值为2、将绝密级别赋值为3。
51.要注意的是，上述各参数的赋值仅仅是示例，并不构成对本发明的限制，只要赋值能够有效反映各参数所指示的敏感性等级即可，例如，敏感性或风险性越高的相关性数据参数，被赋予越高的量化值。
52.接下来转到步骤s206。在步骤s206处，将各数据资产的数据资产调用方式数据和数据资产调用频率数据的量化值相乘，得到各数据资产的访问度值an；并对各数据资产的访问度值an进行归一化处理，得到各数据资产的归一化资产访问度值a。
53.归一化是一种无量纲化处理手段，即将有量纲的表达式，经过变换，化为无量纲的表达式，成为标量。各种归一化方法均可以适用于根据本公开的敏感数据构建方法，因此在此省略对其的详细描述。
54.接下来转到步骤s208。在步骤s208处，将各数据资产的数据资产依赖关系数据的量化值与归一化资产访问度值a相乘，得到各数据资产的依赖度值cn；并对各数据资产的依赖度值cn进行归一化处理，得到各数据资产的归一化依赖度值c。
55.接下来转到步骤s210。在步骤s210处，将各数据资产的数据资产访问权限数据的量化值与归一化资产访问度值a相乘，得到各数据资产的权限值dn；并对各数据资产的权限值dn进行归一化处理，得到各数据资产的归一化权限值d。
56.接下来转到步骤s212。步骤s212类似于方法100中的步骤s106，因此在此省略对其的详细描述。
57.接下来转到步骤s214。在步骤s214处，如等式(1)所示，将各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d分别与对应权重相乘，并对得到的数值进行求和，得到风险值r。
58.r＝a
×
权重1 c
×
权重2 d
×
权重3
……
(1)
59.接下来转到步骤s216。步骤s216类似于方法100中的步骤s110，因此在此省略对其的详细描述。
60.接下来转到步骤s218。步骤s218类似于方法100中的步骤s112，因此在此省略对其的详细描述。
61.本领域技术人员应当理解，本发明并不限于上述步骤，而是能够根据其来实现用于构建敏感数据资产的方法的所有相关技术步骤。
62.为了更完整全面地理解本发明，下面将以图3为例来详细描述根据本公开的实施例的用于构建敏感数据资产的方法的系统。
63.图3示出了根据本公开的实施例的用于构建敏感数据资产的系统300。
64.如图3所示，系统300包括日志和流量分析模块302、数据资产风险性分析模块304、以及敏感数据资产构建模块306。
65.日志和流量分析模块302被配置为对数据资产进行日志和流量数据的相关性分析，得到各数据资产的相关性数据。
66.数据资产风险性分析模块304被配置为对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d；对各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d进行权重分配；以及基于各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d以及对应权重来计算各数据资产的风险值r。
67.敏感数据资产构建模块306被配置为基于各数据资产的风险值r与基准值的关系，构建敏感数据资产。
68.要注意的是，上述示例并不意图构成对本发明的限制，并且上面结合图1至图2所描述的用于构建敏感数据资产方法100和方法200全部都适用于图3所示的系统300。
69.为了避免对本发明不必要的模糊，在此省略了对图3所示的系统300的其他功能的描述。
70.此外，在根据本发明的一些实施方式中，上述方法100、方法200和系统300也可以作为由处理器、存储器、通信单元、外部接口以及总线等构成的装置来实现。
71.例如，处理器可以为中央处理单元(cpu)或数字信号处理器(dsp)，并且控制装置的功能。
72.存储器例如包括随机存取存储器(ram)和只读存储器(rom)，并且存储数据和由处理器执行的应用程序。存储器用作处理器的工作区域。当执行诸如应用的应用程序时，执行所需的各种数据被加载到存储器中。
73.此外，代替rom或除了rom之外，还可以设置hdd(硬盘驱动器)、闪存或诸如固态存储器的另一非易失性存储器。然后，在这些存储设备中，可以存储上述各种数据或应用程序。
74.通信单元用于将根据本发明的实施例的装置连接到数据库等。例如，作为通信单元，设置诸如wifi的无线lan模块或诸如蓝牙(注册商标)的短距离无线模块。
75.外部接口(i/f)是用于基于诸如usb和hdmi(注册商标)(高清晰度多媒体接口)的标准来连接到外部装置的接口。此外，可以配置用于连接到诸如存储棒的各种存储卡的接口。
76.总线将处理器、存储器、通信单元和外部接口(i/f)彼此连接。总线可以包括各自具有不同速度的两个或更多个总线(诸如高速总线和低速总线)。
77.此外，在根据本发明的一些实施方式中，由具有上述硬件配置的根据本发明的实施例的装置执行的处理通过存储在rom等中的软件和装置的硬件资源的协作来实现。例如，通过处理器(cpu)将存储在rom等中的根据本技术的应用程序(应用)加载到ram中以执行它，实现了根据本发明的用于构建敏感数据资产的方法。为了实现这些块，可以适当地使用专用硬件。
78.诸如应用的应用程序从例如全球网络安装在根据本发明的实施例的装置中。或者，应用程序可以经由记录介质安装在根据本发明的实施例的装置中。
79.根据本发明的实施例的方法、系统和装置在原有数据资产的基础上，通过日志、流量监控数据分析，并结合第三方安全特征库等，动态获取数据资产的访问细节、数据资产之间的依赖关系以及数据资产的访问权限；以数据资产为核心，对数据资产进行多维度风险量化计算，得到风险评估值；并且基于风险评估值与基准值之间的关系构建敏感数据资产，从而形成和完善敏感数据资产库。
80.根据本发明的实施例的方法、系统和装置可广泛应用于数据资产量大、数据敏感度差异大、调用方式多、数据资产之间依赖关系复杂且需要动态调整敏感数据库等的数据安全领域场景。
81.本领域技术人员应当知道，本公开被实施为一方法、系统、装置或作为计算机应用程序产品的计算机可读媒体(例如非瞬态存储介质)。因此，本公开可以实施为各种形式，例如完全的硬件示例性实施例、完全的软件示例性实施例(包括固件、常驻软件、微应用程序代码等)，或者也可实施为软件与硬件的实施形式，在以下会被称为“电路”、“模块”或“系统”。此外，本公开也可以任何有形的媒体形式实施为计算机应用程序产品，其具有计算机可使用应用程序代码存储于其上。
82.本公开的相关叙述参照根据本公开具体示例性实施例的方法、系统、装置及计算机应用程序产品的流程图和/或框图来进行说明。可以理解每一个流程图和/或框图中的每一个块，以及流程图和/或框图中的块的任何组合，可以使用计算机应用程序指令来实施。这些计算机应用程序指令可供通用型计算机或特殊计算机的处理器或其他可编程数据处理装置所组成的机器来执行，而指令经由计算机或其他可编程数据处理装置处理以便实施流程图和/或框图中所说明的功能或操作。
83.在附图中显示根据本公开各种示例性实施例的方法、系统、装置及计算机应用程序产品可实施的架构、功能及操作的流程图及框图。因此，流程图或框图中的每个块可表示一模块、区段、或部分的应用程序代码，其包括一个或多个可执行指令，以实施指定的逻辑功能。另外应当注意，在某些其他的示例性实施例中，块所述的功能可以不按图中所示的顺序进行。举例来说，两个图示相连接的块事实上也可以同时执行，或根据所涉及的功能在某些情况下也可以按图标相反的顺序执行。此外还需注意，每个框图和/或流程图的块，以及框图和/或流程图中块的组合，可藉由基于专用硬件的系统来实施，或者藉由专用硬件与计算机指令的组合，来执行特定的功能或操作。
84.如在此所使用的，词语“示例性的”意指“用作示例、实例或说明”，而不是作为将被精确复制的“模型”。在此示例性描述的任意实现方式并不一定要被解释为比其它实现方式优选的或有利的。而且，本公开不受在上述技术领域、背景技术、发明内容或具体实施方式中所给出的任何所表述的或所暗示的理论所限定。
85.如在此所使用的，词语“基本”意指包含由设计或制造的缺陷、器件或元件的容差、环境影响和/或其它因素所致的任意微小的变化。词语“基本”还允许由寄生效应、噪音以及可能存在于实际的实现方式中的其它实际考虑因素所致的与完美的或理想的情形之间的差异。
86.另外，仅仅为了参考的目的，还可以在本文中使用“第一”、“第二”等类似术语，并且因而并非意图限定。例如，除非上下文明确指出，否则涉及结构或元件的词语“第一”、“第二”和其它此类数字词语并没有暗示顺序或次序。
87.还应理解，“包括/包含”一词在本文中使用时，说明存在所指出的特征、整体、步骤、操作、单元和/或组件，但是并不排除存在或增加一个或多个其它特征、整体、步骤、操作、单元和/或组件以及/或者它们的组合。
88.在本公开中，术语“提供”从广义上用于涵盖获得对象的所有方式，因此“提供某对象”包括但不限于“购买”、“制备/制造”、“布置/设置”、“安装/装配”、和/或“订购”对象等。
89.本领域技术人员应当意识到，在上述操作之间的边界仅仅是说明性的。多个操作可以结合成单个操作，单个操作可以分布于附加的操作中，并且操作可以在时间上至少部分重叠地执行。而且，另选的示例性实施例可以包括特定操作的多个实例，并且在其他各种示例性实施例中可以改变操作顺序。但是，其它的修改、变化和替换同样是可能的。因此，本说明书和附图应当被看作是说明性的，而非限制性的。
90.另外，本公开的实施方式还可以包括以下示例：
91.(1)一种用于构建敏感数据资产的方法，包括：
92.对数据资产进行日志和流量数据的统计和相关性分析，得到各数据资产的相关性数据；
93.对各数据资产进行风险性分析，包括
94.对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d；
95.对各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d进行权重分配；以及
96.基于各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d以及对应权重来计算各数据资产的风险值r；
97.以及
98.基于各数据资产的风险值r与基准值的关系，构建敏感数据资产。
99.(2)根据(1)所述的方法，其特征在于，
100.所述相关性数据包括数据资产调用方式数据、数据资产调用频率数据、数据资产依赖关系数据以及数据资产访问权限数据。
101.(3)根据(2)所述的方法，其特征在于，
102.所述数据资产调用方式数据指示数据资产被调用的方式；
103.所述数据资产调用频率数据指示数据资产被调用的频率；
104.所述数据资产依赖关系数据指示数据资产与其他数据资之间的访问关联度；以及
105.所述数据资产访问权限数据指示数据资产的保密级别。
106.(4)根据(2)所述的方法，其特征在于，对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d包括：
107.对所述数据资产调用方式数据、所述数据资产调用频率数据、所述数据资产依赖关系数据以及所述数据资产访问权限数据进行量化赋值。
108.(5)根据(4)所述的方法，其特征在于，对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d还包括：
109.将各数据资产的所述数据资产调用方式数据和所述数据资产调用频率数据的量化值相乘，得到各数据资产的访问度值an；以及
110.对各数据资产的访问度值an进行归一化处理，得到各数据资产的所述归一化资产访问度值a。
111.(6)根据(5)所述的方法，其特征在于，对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d还包括：
112.将各数据资产的所述数据资产依赖关系数据的量化值与所述归一化资产访问度值a相乘，得到各数据资产的依赖度值cn；以及
113.对各数据资产的依赖度值cn进行归一化处理，得到各数据资产的所述归一化依赖度值c。
114.(7)根据(5)所述的方法，其特征在于，对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d还包括：
115.将各数据资产的所述数据资产访问权限数据的量化值与所述归一化资产访问度值a相乘，得到各数据资产的权限值dn；以及
116.对各数据资产的权限值dn进行归一化处理，得到各数据资产的所述归一化权限值d。
117.(8)根据(1)所述的方法，其特征在于，计算各类数据资产的风险值r包括：
118.将各数据资产的所述归一化访问度值a、所述归一化依赖度值c和所述归一化权限值d分别与对应权重相乘，并对得到的数值进行求和，得到所述风险值r。
119.(9)根据(1)所述的方法，其特征在于，
120.如果数据资产的风险值r大于基准值，则将该类数据资产构建为敏感数据资产。
121.(10)根据(1)所述的方法，其特征在于，还包括：
122.基于敏感数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d，对敏感数据资产进行可视化展示。
123.(11)一种用于构建敏感数据资产的系统，包括：
124.日志和流量分析模块，被配置为对数据资产进行日志和流量数据的相关性分析，得到各数据资产的相关性数据；
125.数据资产风险性分析模块，被配置为
126.对各数据资产的相关性数据进行量化处理，得到各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d；
127.对各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d进行权重分配；以及
128.基于各数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d以及对应权重来计算各数据资产的风险值r；
129.以及
130.敏感数据资产构建模块，被配置为基于各数据资产的风险值r与基准值的关系，构建敏感数据资产。
131.(12)根据(11)所述的系统，其特征在于，还包括：
132.可视化模块，被配置为基于敏感数据资产的归一化访问度值a、归一化依赖度值c和归一化权限值d，对敏感数据资产进行可视化展示。
133.(13)一种用于构建敏感数据资产的装置，包括：
134.存储器，其上存储有指令；以及
135.处理器，所述处理器耦合到所述存储器，并且被配置为在执行所述指令时使得所述装置执行根据权利要求1-10中的任一项所述的方法。
136.(14)一种其上存储有可执行指令的计算机可读存储介质，当所述可执行指令由计算机执行时，使所述计算机执行根据权利要求1-10中的任一项所述的方法。
137.虽然已经通过示例对本公开的一些特定示例性实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。在此公开的各示例性实施例可以任意组合，而不脱离本公开的精神和范围。本领域的技术人员还应理解，可以对示例性实施例进行多种修改而不脱离本公开的范围和精神。本公开的范围由所附权利要求来限定。