基于虚拟补丁技术实现多场景敏感数据管理方法及系统与流程

1.本发明涉及数据库访问控制技术领域，具体而言，涉及一种基于虚拟补丁技术实现多场景敏感数据管理方法及系统。


背景技术：

2.现有的数据访问控制技术在业务场景上、运维场景上、功能丰富程度上等方面存在很大的缺点：
3.业务场景方面：对于业务系统本身无法限制内部人员进行数据库访问查询信息的场景，如何针对业务人员进行访问控制，如何保障数据不被泄露。
4.运维场景方面：对于dba数据运维人员来说数据库里面的数据信息是需要与其共享的，那如何保障这些数据的安全，如何对运维人员进行访问控制。
5.功能丰富度方面：对于访问控制细粒度方面现尚有不足和欠缺。
6.且现有的数据库访问控制技术对于应用场景和业务场景有限，控制行为过于单一。


技术实现要素：

7.本发明的目的在于提供一种基于虚拟补丁技术实现多场景敏感数据管理方法，其能够实现基于透明虚拟补丁技术对数据库活动以及敏感访问行为进行访问控制结合数据脱敏模块共同为用户提供多场景多功能高效率的访问控制，保障用户数据安全。
8.本发明的另一目的在于提供一种基于虚拟补丁技术实现多场景敏感数据管理系统，其能够运行一种基于虚拟补丁技术实现多场景敏感数据管理方法。
9.本发明的实施例是这样实现的：
10.第一方面，本技术实施例提供一种基于虚拟补丁技术实现多场景敏感数据管理方法，其包括依据虚拟补丁技术对敏感数据特征和黑客攻击行为与预先配置的防护策略进行匹配从而进行访问控制；通过分析敏感数据访问行为与其访问者权限进行自动化的关联并分析；按照预设用户权限和脱敏策略处理数据并将处理过后的数据返回。
11.在本发明的一些实施例中，上述依据虚拟补丁技术对敏感数据特征和黑客攻击行为与预先配置的防护策略进行匹配从而进行访问控制包括：首先通过预设和/或自定义的防护策略和攻击行为规则匹配策略。
12.在本发明的一些实施例中，上述还包括：通过虚拟补丁技术对敏感数据和攻击行为进行规则匹配结合配置的策略形成一系列预设动作。
13.在本发明的一些实施例中，上述通过分析敏感数据访问行为与其访问者权限进行自动化的关联并分析包括：首先分析输入和/或导入数据，进行数据特征分析计算得出数据的具体敏感度。
14.在本发明的一些实施例中，上述还包括：根据分析得到的结果与预设配置好的用户权限与脱敏算法的关联关系进行匹配。
15.在本发明的一些实施例中，上述按照预设用户权限和脱敏策略处理数据并将处理过后的数据返回包括：根据脱敏算法形式处理数据，将处理过后的数据将其返回。
16.在本发明的一些实施例中，上述脱敏算法包括：根据遮蔽和/或替换脱敏算法形式处理数据。
17.第二方面，本技术实施例提供一种基于虚拟补丁技术实现多场景敏感数据管理系统，其包括访问控制模块，用于依据虚拟补丁技术对敏感数据特征和黑客攻击行为与预先配置的防护策略进行匹配从而进行访问控制；
18.分析模块，用于通过分析敏感数据访问行为与其访问者权限进行自动化的关联并分析；
19.数据脱敏模块，用于按照预设用户权限和脱敏策略处理数据并将处理过后的数据返回。
20.在本发明的一些实施例中，上述包括：用于存储计算机指令的至少一个存储器；与上述存储器通讯的至少一个处理器，其中当上述至少一个处理器执行上述计算机指令时，上述至少一个处理器使上述系统执行：访问控制模块、分析模块及数据脱敏模块。
21.第三方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如一种基于虚拟补丁技术实现多场景敏感数据管理方法中任一项的方法。
22.相对于现有技术，本发明的实施例至少具有如下优点或有益效果：
23.本发明的优点具备多场景、多功能、高效率、高适用的访问控制优势，对于虚拟补丁技术的优势来说无需改变数据库相关业务，无需停止服务和回归测试，本发明能够对于复杂的访问场景对于数据库数据进行敏感程度划分并与用户权限对应，帮助企业用户达到细粒度敏感数据管理与访问控制，保障敏感数据安全。
附图说明
24.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
25.图1为本发明实施例提供的一种基于虚拟补丁技术实现多场景敏感数据管理方法步骤示意图；
26.图2为本发明实施例提供的一种基于虚拟补丁技术实现多场景敏感数据管理方法详细步骤示意图；
27.图3为本发明实施例提供的一种基于虚拟补丁技术实现多场景敏感数据管理系统模块示意图；
28.图4为本发明实施例提供的一种电子设备。
29.图标：10-访问控制模块；20-分析模块；30-数据脱敏模块；101-存储器；102-处理器；103-通信接口。
具体实施方式
30.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
31.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
32.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
33.需要说明的是，术语“包括”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
34.下面结合附图，对本技术的一些实施方式作详细说明。在不冲突的情况下，下述的各个实施例及实施例中的各个特征可以相互组合。
35.实施例1
36.请参阅图1，图1为本发明实施例提供的一种基于虚拟补丁技术实现多场景敏感数据管理方法步骤示意图，其如下所示：
37.步骤s100，依据虚拟补丁技术对敏感数据特征和黑客攻击行为与预先配置的防护策略进行匹配从而进行访问控制；
38.在一些实施方式中，通过访问控制模块主要依据虚拟补丁技术对敏感数据特征和黑客攻击行为与预先配置的防护策略进行匹配从而进行一系列的动作。
39.在一些实施方式中，虚拟补丁技术主要由虚拟补丁策略、策略决策点(pdp)和策略执行点(pep)构成。实现的逻辑架构可以是数据平面拦截数据流，通过数据流的协议解析获取请求/响应的应用层内容。把内容送往pdp(策略决策点)进行策略评估。根据pdp的返回做出响应，阻断或者放行等。流量可通过旁路模式实现。旁路模式实时阻断较弱，但可实现告警，追溯等能力。流量串接模式则能够进行实时阻断，甚至是内容级别的阻断。
40.根据策略对pep送过来的请求进行评估，识别请求是否合法。策略可以采取多种形式：
41.正则匹配：触发漏洞的语句往往具有一定的特征，可以根据这些特征编写正则表达式。
42.语义解析：通过语义解析判断当前请求是否是攻击行为。
43.白名单形式：通过建立起正常的行为模式基线识别攻击。偏离固有的行为模式，判定存在风险。
44.访问上下文：通过检测访问上下文的各种属性，判断当前请求是否合法。
45.策略决策点的关键在于持续的评估请求合法性。根据灵活的策略库、风险库识别
当前请求是否合法，对不合法的请求阻断，将攻击扼杀在路上，从而避免被保护的资源受到攻击，受保护资源本身的漏洞也就不存在威胁。
46.实施虚拟补丁，关键点在于请求的路径上设置检测点，阻断非法请求。让受保护资源本身的漏洞隐形，不会发作，从而达到“漏洞修复”的目的。
47.在一些实施方式中，通过虚拟补丁技术对敏感数据和攻击行为进行规则匹配结合配置的策略形成一系列的动作如告警、阻断、记录、放行等。
48.步骤s110，通过分析敏感数据访问行为与其访问者权限进行自动化的关联并分析；
49.在一些实施方式中，通过数据脱敏模块主要是通过分析敏感数据访问行为与其访问者权限进行自动化的关联并分析。
50.在一些实施方式中，据提供方在需要获取数据时，会通过数据提供方的api，向数据提供方发送数据查询请求。举例而言，企业会通常会将api以url的形式开放给合作方，合作方通过在浏览器中输入目标url，进而能够通过目标url实现使用api来访问数据，在通过身份验证后，可以进一步获得敏感数据等安全性等级较高的数据。
51.然后分析判断数据访问中是否存在敏感数据访问行为，即，是否包含预设的敏感数据特征，例如可以采用分词技术，例如jieba分词技术对数据查询响应报文的内容进行分词处理，得到分词结果列表，对分词结果列表中的分词结果进行逐条判定。
52.步骤s120，按照预设用户权限和脱敏策略处理数据并将处理过后的数据返回。
53.在一些实施方式中，由脱敏模块根据分析得到的结果与预定配置好的用户权限与脱敏算法的关联关系进行匹配，然后根据脱敏算法如：遮蔽、替换等形式处理数据，将处理过后的数据将其返回。
54.在一些实施方式中，数据脱敏(data masking)是屏蔽敏感数据，对某些敏感信息(比如，身份证号、手机号、卡号、客户姓名、客户地址、邮箱地址、薪资等等)通过脱敏规则进行数据的变形，实现隐私数据的可靠保护。业界常见的脱敏规则有，替换、重排、加密、截断、掩码，用户也可以根据期望的脱敏算法自定义脱敏规则。
55.在一些实施方式中，经过脱敏的数据使用以下语法：
56.{algorithm}encoded_data
57.{algorithm}代表一个脱敏策略标识，encoded_data变量是数据加密后的值。当系统需要对数据解密时，使用脱敏策略标识来确定使用哪种算法，然后使用该算法对数据进行解密。
58.在一个脱敏策略版本里，同一脱敏数据类型(比如字符类型)可以有多个脱敏策略标识，即同一算法使用多个密钥。对敏感数据进行加密时，随机选用一种该脱敏数据类型的脱敏策略标识加密数据。例：
59.当前脱敏策略版本为如下所示：
60.脱敏策略版本脱敏策略标识状态：0关闭1启用11 000b20、000b30、000b41、000b51 1
61.表中脱敏策略标识最末尾数字代表脱敏数据类型，假设1代表字符类型，其中字符类型的脱敏策略标识有000b41、000b51两种，对应的密钥序号分别为4、5。
62.随机选用脱敏策略标识000b41、000b51对敏感字符数据明文dataa、datab、datac
加密后，假设密文分别为{000b41}encoded_a、{000b41}encoded_b、{000b51}encoded_c。
63.如果密钥序号为4的密钥泄漏，由于加密时随机选用密钥，因此该脱敏策略版本11使用密钥序号为5的脱敏策略标识{000b51}加密的数据{000b51}encoded_c仍得以保护，避免了全部数据的泄漏。
64.实施例2
65.请参阅图2，图2为本发明实施例提供的一种基于虚拟补丁技术实现多场景敏感数据管理方法详细步骤示意图，其如下所示：
66.步骤s200，通过预设和/或自定义的防护策略和攻击行为规则匹配策略。
67.步骤s210，通过虚拟补丁技术对敏感数据和攻击行为进行规则匹配结合配置的策略形成一系列预设动作。
68.步骤s220，分析输入和/或导入数据，进行数据特征分析计算得出数据的具体敏感度。
69.步骤s230，根据分析得到的结果与预设配置好的用户权限与脱敏算法的关联关系进行匹配。
70.步骤s240，根据脱敏算法形式处理数据，将处理过后的数据将其返回。
71.在一些实施方式中，通过访问控制模块主要依据虚拟补丁技术对敏感数据特征和黑客攻击行为与预先配置的防护策略进行匹配从而进行一系列的动作。
72.处理逻辑为：首先通过预制的或自定义的防护策略和攻击行为规则匹配策略等，通过虚拟补丁技术对敏感数据和攻击行为进行规则匹配结合配置的策略形成一系列的动作如告警、阻断、记录、放行等。
73.通过数据脱敏模块主要是通过分析敏感数据访问行为与其访问者权限进行自动化的关联并分析，按照预定的用户权限和脱敏策略来处理数据并将处理过后的数据返回。
74.处理逻辑为：首先分析输入或导入数据，通过访问控制模块进行数据特征分析计算得出数据的具体敏感度如敏感数据的特征属于身份证、手机号、统一信用代码、地址、邮箱等；然后由脱敏模块根据分析得到的结果与预定配置好的用户权限与脱敏算法的关联关系进行匹配然后根据脱敏算法如：遮蔽、替换等形式处理数据，将处理过后的数据将其返回。
75.实施例3
76.请参阅图3，图3为本发明实施例提供的一种基于虚拟补丁技术实现多场景敏感数据管理系统模块示意图，其如下所示：
77.访问控制模块10，用于依据虚拟补丁技术对敏感数据特征和黑客攻击行为与预先配置的防护策略进行匹配从而进行访问控制；
78.分析模块20，用于通过分析敏感数据访问行为与其访问者权限进行自动化的关联并分析；
79.数据脱敏模块30，用于按照预设用户权限和脱敏策略处理数据并将处理过后的数据返回。
80.如图4所示，本技术实施例提供一种电子设备，其包括存储器101，用于存储一个或多个程序；处理器102。当一个或多个程序被处理器102执行时，实现如上述第一方面中任一项的方法。
81.还包括通信接口103，该存储器101、处理器102和通信接口103相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器101可用于存储软件程序及模块，处理器102通过执行存储在存储器101内的软件程序及模块，从而执行各种功能应用以及数据处理。该通信接口103可用于与其他节点设备进行信令或数据的通信。
82.其中，存储器101可以是但不限于，随机存取存储器101(random access memory，ram)，只读存储器101(read only memory，rom)，可编程只读存储器101(programmable read-only memory，prom)，可擦除只读存储器101(erasable programmable read-only memory，eprom)，电可擦除只读存储器101(electric erasable programmable read-only memory，eeprom)等。
83.处理器102可以是一种集成电路芯片，具有信号处理能力。该处理器102可以是通用处理器102，包括中央处理器102(central processing unit，cpu)、网络处理器102(network processor，np)等；还可以是数字信号处理器102(digital signal processing，dsp)、专用集成电路(appl ication specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
84.在本技术所提供的实施例中，应该理解到，所揭露的方法及系统和方法，也可以通过其它的方式实现。以上所描述的方法及系统实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的方法及系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
85.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
86.另一方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器102执行时实现如上述第一方面中任一项的方法。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器101(rom，read-only memory)、随机存取存储器101(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
87.综上所述，本技术实施例提供的一种基于虚拟补丁技术实现多场景敏感数据管理方法及系统，本发明的优点具备多场景、多功能、高效率、高适用的访问控制优势，对于虚拟
补丁技术的优势来说无需改变数据库相关业务，无需停止服务和回归测试，本发明能够对于复杂的访问场景对于数据库数据进行敏感程度划分并与用户权限对应，帮助企业用户达到细粒度敏感数据管理与访问控制，保障敏感数据安全。
88.以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
89.对于本领域技术人员而言，显然本技术不限于上述示范性实施例的细节，而且在不背离本技术的精神或基本特征的情况下，能够以其它的具体形式实现本技术。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本技术的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。