敏感数据地图的构建方法、装置、计算机设备及存储介质与流程

1.本发明涉及数据处理的技术领域，尤其涉及一种敏感数据地图的构建方法、装置、计算机设备及存储介质。


背景技术：

2.随着大数据中心接入数据日益增多，数据地图作为一种全景化、图形化展现数据资产现状、分布、关系链路的方法，可以帮助相关人员快速了解数据资产的分布情况。
3.目前，构建数据地图的方法一般为根据数据资产间的血缘关系的相关度进行数据地图展示，只能够体现出各个数据资产在血缘关系层面的相关度，无法展示各个数据资产在潜在关系层面的相关度，从而无法基于数据地图对数据资产进行全面监控，同时，当前数据地图通常包括有较多冗余数据，未构建有针对涉密、敏感、隐私等重要数据的数据地图，可能存在重要数据泄露、丢失、篡改及滥用等安全风险，亟需改善。


技术实现要素：

4.本发明的目的是提供一种敏感数据地图的构建方法、装置、计算机设备及存储介质，用于解决现有技术存在的问题。
5.为实现上述目的，本发明提供一种敏感数据地图的构建方法，包括：
6.提取目标敏感数据的轨迹特征和潜在特征；
7.基于所述轨迹特征构建初始地图；
8.基于所述潜在特征对所述基础地图进行更新得到目标地图；
9.基于所述目标地图对应生成所述目标敏感数据的监控策略，并基于所述监控策略对所述目标敏感数据进行监控。
10.进一步优选地，根据权利要求1所述的敏感数据地图的构建方法，在所述提取目标敏感数据的轨迹特征和潜在特征之前，包括：
11.获取预设的抽取规则；
12.基于所述抽取规则在数据通路中抽取对应的初始数据；
13.对所述初始数据进行过滤处理；
14.将过滤处理后的初始数据作为所述目标敏感数据。
15.进一步优选地，所述将过滤处理后的初始数据作为所述目标敏感数据，包括：
16.获取所述初始数据的字符串；
17.对所述字符串进行分词处理，得到多个数据字段；
18.基于java反射机制提取所述数据字段的代理类名称；
19.基于所述代理类名称查询对应所述数据字段的验证规则；
20.基于所述验证规则对所述数据字段进行验证，将验证正确的数据字段作为所述目标敏感数据。
21.进一步优选地，所述基于所述轨迹特征构建初始地图，包括：
22.获取所述目标敏感数据对应的数据通路作为第一目标通路；
23.获取所述第一目标通路上的多个第一涉敏系统，并将多个所述第一涉敏系统作为所述轨迹特征；
24.基于所述第一目标通路将多个所述轨迹特征相互关联并构建所述基础地图。
25.进一步优选地，所述基于所述潜在特征对所述基础地图进行更新得到目标地图，包括：
26.获取所述目标敏感数据的权限信息；
27.基于所述权限信息获取所述目标敏感数据的对应的多个第二涉敏系统，并将多个所述第二涉敏系统作为所述潜在特征；
28.获取多个所述潜在特征与所述轨迹特征的关联关系以生成多个第二目标通路；
29.基于所述第二目标通路将多个所述潜在特征相互关联并在所述基础地图上构建所述目标地图。
30.进一步优选地，所述在所述基础地图上构建所述目标地图，包括：
31.在所述基础地图上查询与所述第二目标通路相同的第一目标通路；
32.将所述第一目标通路上的轨迹特征与对应所述第二目标通路上的潜在特征进行比对；
33.若所述潜在特征与所述轨迹特征相同，则将所述潜在特征作为重复项不添加至所述基础地图；
34.若所述潜在特征与所述轨迹特征不同，则将所述潜在特征作为新增项添加至所述基础地图以构建所述目标地图。
35.进一步优选地，所述基于所述监控策略对所述目标敏感数据进行监控，包括：
36.获取所述目标敏感数据的传输对象；
37.在所述目标地图上查询与所述传输对象对应的轨迹特征或潜在特征；
38.若查询结果为有，则对所述目标敏感数据的传输进行放行；
39.若查询结果为无，则对所述目标敏感数据的传输进行拦截并将拦截结果发送至对应终端。
40.为实现上述目的，本发明还提供一种敏感数据地图的构建装置，包括：
41.提取模块，用于提取目标敏感数据的轨迹特征和潜在特征；
42.构建模块，用于基于所述轨迹特征构建初始地图；
43.更新模块，用于基于所述潜在特征对所述基础地图进行更新得到目标地图；
44.监控模块，用于基于所述目标地图对应生成所述目标敏感数据的监控策略，并基于所述监控策略对所述目标敏感数据进行监控。
45.为实现上述目的，本发明还提供一种计算机设备，包括：
46.存储器，存储至少有计算机程序；及
47.处理器，执行所述存储器中存储的计算机程序以实现上述任意一项所述的敏感数据地图的构建方法。
48.为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时以实现上述任意一项所述的敏感数据地图的构建方法。
49.上述技术方案的有益效果：
50.本发明提供的敏感数据地图的构建方法、装置、计算机设备及存储介质，通过提取目标敏感数据的轨迹特征获取目标敏感数据历史数据通路，通过潜在特征获取目标敏感数据的潜在数据通路，即主动获取目标敏感数据可能被意外泄露的泄密途径或场景，确保对目标敏感数据的资产部署、分布和流程等情况进行全线梳理以构建目标地图，并通过目标地图对目标敏感数据进行安全监控，从而避免重要数据泄露、丢失、篡改及滥用等风险。
附图说明
51.图1为本发明实施例一敏感数据地图的构建方法的一个流程示意图；
52.图2为本发明实施例二敏感数据地图的构建装置的功能模块图；
53.图3为本发明实施例三敏感数据地图的构建方法的计算机设备的结构示意图。
具体实施方式
54.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
55.实施例一
56.如图1所示，为本实施例一敏感数据地图的构建方法的一个流程示意图，从图中可以看出，包括s100-400步骤，具体如下：
57.s100：提取目标敏感数据的轨迹特征和潜在特征。
58.在示例性的实施例中，优选可从各数据通路中基于预设的抽取规则获取对应的目标敏感数据。其中，目标敏感数据用于表征内部系统数据、外部系统存储、加工及提供的数据等，内部系统数据可以理解为企业内部涉密、隐私等的数据，外部系统数据可以理解为委托外部企业存储、加工或提供等的数据，如内部系统数据可以为企业用户在企业平台在进行交易的交易数据，交易数据可包括有投资成交信息、投资委托信息、投资组合信息、交易基础信息、交易业务参数信息、交易日志信息、估值清算、持仓信息、资金划转信息、银行账务信息、结算业务参数信息、结算日志信息、行情数据等敏感数据，具体可以是个人隐私的用户姓名、手机号、身份证等信息，内部系统数据也可以为企业内部员工在生产开发等涉密工作环境下其他敏感数据；抽取规则用于表征敏感数据的定义规则，抽取规则优选通过业务人员基于业务需求进行预先设定，如将用户在企业平台在进行交易的交易数据、内部员工在生产开发等涉密工作环境下所产生的数据标记为敏感数据，基于标记对目标敏感数据进行抽取；数据通路用于表征内部系统与内部系统之间或内部系统与外部系统之间数据交换用的传送路径，如a系统向b系统调用接口c，则a系统与b系统之间用于接口c进行数据交换的传送路径为数据通路。需特别说明的是，上述各数据通路可为企业内部全部数据通路及内部与外部全部数据通路，或也可由业务人员根据业务需求选定特定数据通路作为提取时的数据通路。
59.具体的，获取预设的抽取规则，基于所述抽取规则在数据通路中抽取对应的初始数据，对所述初始数据进行过滤处理，并将过滤处理后的初始数据作为所述目标敏感数据。
60.在示例性的实施例中，业务人员基于业务需求对目标敏感数据的抽取规则进行预先设定，如可在用户在企业平台在进行交易的交易数据或内部员工在生产开发等涉密工作环境下所产生的数据中加载敏感标签以将对应数据标记为敏感数据。优选地，根据敏感数据的类型和安全级别对敏感数据进行分类分级，如交易数据根据业务类型可判定为“投资业务类”，进一步还可对“投资业务类”中的交易数据分为“交易类”、“结算类”、“行情、资讯类”、“组合类”等，根据不同分类及不同分类下的子类分类对应在数据中加载不同标签，如当交易数据判定为投资业务类中的交易类时，则对应在交易数据中加载“投资业务类”的一级标签以及“交易类”的二级标签，对不同数据进行分类，以便后续可基于分类标签对所需数据进行抓取。进一步的，基于不同分类对不同数据判定不同的安全级别，如“交易类”子类包括有“投资成交类”、“投资委托类”、“交易业务类”、“交易日志类”，基于业务需求可将“投资成交类”、“投资委托类”的安全级别设为3级，“交易业务类”、“交易日志类”的安全级别设为2级，并基于不同安全级别的判定对应在数据中加载安全级别标签；或也可基于分类标签对不同分类标签加载不同的安全级别标签等。优选可基于需求选定标签自定义生成抽取规则，并基于抽取规则在数据源中抽取对应的敏感数据作为初始数据。
61.在示例性的实施例中，初始数据中可能存在错误、重复等冗余数据，在生成目标敏感数据前，先对初始数据
62.进行过滤筛除，以确保数据的完整性和单一性，便于后期生成数据地图的准确性。具体的，获取所述初始数据的字符串；对所述字符串进行分词处理，得到多个数据字段；基于java反射机制提取所述数据字段的代理类名称，基于所述代理类名称查询对应所述数据字段的验证规则；基于所述验证规则对所述数据字段进行验证，并将验证正确的数据字段作为所述目标敏感数据。其中，代理类名称与对应的验证规则的对应关系预先存储于验证关系表中。如交易数据中个人隐私的身份证号字段经java反射机制提取到对应的代理类名称为身份证，则对应在验证关系表中查询身份证的验证规则，验证规则可由业务人员根据数据特征及业务特征进行设定，如身份证可设置字段位数为18位且前17位字段为数字格式，第18位字段为数字或字母格式，若所抽取的代理类名称为身份证的字段位数未达到18位或字段格式不对应则表征该身份证的数据错误，则将其从初始数据中过滤筛除。同时一组目标敏感数据可能在多个数据通路中进行数据传送，即在抽取目标敏感数据时可能存在重复数据的抽取，通过对目标敏感数据的标签及数据字段进行对比，若两组数据上级标签和下级标签中的全部数据字段均相同或部分相同则判定为重复数据，选取量级标签较高的一组数据保存并将另一组重复数据过滤筛除，将经验证规则过滤后验证正确的数据字段作为目标敏感数据。
63.s200：基于所述轨迹特征构建初始地图。
64.在示例性的实施例中，获取所述目标敏感数据对应的数据通路作为第一目标通路，获取所述第一目标通路上的多个第一涉敏系统，并将多个所述第一涉敏系统作为所述轨迹特征；基于所述第一目标通路将多个所述轨迹特征相互关联并构建所述基础地图。
65.本实施例中的目标敏感数据被定义为内部系统数据、外部系统存储、加工及提供的涉密隐私数据，若目标敏感数据在任一条数据通路上进行了数据交换，则表征该数据通路与目标敏感数据相关且该数据通路可用于传输涉密隐私数据，即将目标敏感数据对应被抽取的数据通路作为第一目标通路，且数据传输及数据通路包括有传送方和接收方，传送
方和接收方可为企业内部系统或企业外部系统，具体可为企业内部或外部员工所使用的终端设备，同理该第一目标通路上的传送方和接收方与目标敏感数据相关，即将对应的传送方与接收方作为第一目标通路上的多个第一涉敏系统，并将第一目标通路上的第一涉敏系统作为对应目标敏感数据的轨迹特征。
66.需特别说明的是，一条第一目标通路上至少包括有两个第一涉敏系统，即一个传送方一个接收方，当一条第一目标通路上包括两个以上的第一涉敏系统时，中间的接收方也可以作为传送方存在。如，a传输数据给b，b转发数据给c，则abc之间形成一条数据通路，且b作为a的接收方，但b作为c的传送方；或也可将abc之间传输路径分别作为两条数据通路，即a与b之间传输形成一条数据通路，b与c之间传输形成一条数据通路，每条数据通路上包括一个传送方，一个接收方。
67.一个目标敏感数据通常包括有多个第一目标通路，即一个目标敏感数据通常不止在一个数据通路中被传送，如上述举例，当数据在abc之间传输时，第一目标通路可能包括有两条。获取目标敏感数据历史历经的多个第一目标通路，即获取历史传输过目标敏感数据的数据通路，将多个第一目标通路上的多个接收方和传送方作为对应目标敏感数据的多个轨迹特征，基于接收方、传送方与第一目标通路的传输关系将多个轨迹特征相互关联构建基础地图。如，当目标敏感数据在abc之间传输时，基础地图可包括abc或abc对应系统相互连线的地图。
68.s300：基于所述潜在特征对所述基础地图进行更新得到目标地图。
69.在示例性的实施例中，获取所述目标敏感数据的权限信息；基于所述权限信息获取所述目标敏感数据的对应的多个第二涉敏系统，并将多个所述第二涉敏系统作为所述潜在特征；获取多个所述潜在特征与所述轨迹特征的关联关系以生成多个第二目标通路；基于所述第二目标通路将多个所述潜在特征相互关联并在所述基础地图上构建所述目标地图。
70.进一步的，目标敏感数据的权限信息用于表征存储有或可获取到目标敏感数据的接收方或传送方，通过权限信息可获得目标敏感数据潜在流向通路及可能接触到目标敏感数据的接收方或传送方，且将通过权限信息获得的接收方和传送方作为目标敏感数据的第二涉敏系统，即目标敏感数据的潜在特征。
71.可以理解为，轨迹特征是目标敏感数据已经被传送或已经被接收到的系统，即将已接触到目标敏感数据的系统作为目标敏感数据的第一涉敏系统，即轨迹特征；而潜在特征是目标敏感数据还未被传送至或未接收到，但可能被传送或接收到该目标敏感数据的系统，即将未接触但可能接触到目标敏感数据的系统作为目标敏感数据的第二涉敏系统，即潜在特征，通过潜在特征可主动获取到目标敏感数据可能被意外泄露的泄密途径、系统、场景等。同时，由于潜在特征为还未接收到目标敏感数据的系统，向潜在特征传输目标敏感数据的系统只能是已接触或存储有目标敏感数据的系统，即轨迹特征对应的第一涉敏系统，则将轨迹特征对应第一涉敏系统向潜在特征对应第二涉敏系统的数据传输通路作为第二目标通路，轨迹特征作为该第二目标通路的传送方，潜在特征作为该第二目标通路的接收方，或潜在特征作为中间转发系统也可作为传送方。如a传输数据给甲，甲转发数据给乙，a为轨迹特征对应的第一涉敏系统，甲乙为潜在特征对应的第二涉敏系统，则乙可作为甲的传送方，也可作为a的接收方。
72.基于潜在特征、轨迹特征及第二目标通路将潜在特征与轨迹特征相互关联并在基础地图上构建目标地图。如上述举例，当目标敏感数据的轨迹特征为abc，潜在特征为甲乙，则基础地图为abc或abc对应系统相互连线的地图，目标地图在基础地图上增加a甲乙或a甲乙对应系统相互连线的地图。
73.进一步的，为确保地图上单一性和完整性，避免重复冗余信息，在构建目标地图时，在所述基础地图上查询与所述第二目标通路相同的第一目标通路；将所述第一目标通路上的轨迹特征与对应所述第二目标通路上的潜在特征进行比对；若所述潜在特征与所述轨迹特征相同，则将所述潜在特征作为重复项不添加至所述基础地图，即避免目标地图上存在相同通路相同特征的连线；若所述潜在特征与所述轨迹特征不同，则将所述潜在特征作为新增项添加至所述基础地图以构建所述目标地图，即确保目标地图包括有对应目标敏感数据的全部涉及途径、场景或系统。
74.s400：基于所述目标地图对应生成所述目标敏感数据的监控策略，并基于所述监控策略对所述目标敏感数据进行监控。
75.在示例性的实施例中，当目标敏感数据被发起请求时，获取所述目标敏感数据的传输对象，传输对象用于表征目标敏感数据的请求目的地，可以理解为请求目标敏感数据的接收方或请求方，在所述目标地图上查询与所述传输对象对应的轨迹特征或潜在特征；若查询结果为有，则对所述目标敏感数据的传输进行放行，表征对应传输对象为有权限使用或接收该目标敏感数据的系统或场景；若查询结果为无，则对所述目标敏感数据的传输进行拦截并将拦截结果发送至对应终端，以提示对应传输对象为无权限使用或接收该目标敏感数据的系统或场景，进而避免目标敏感数据外泄，确保数据安全性。
76.实施例二
77.如图2所示，为本实施例二的敏感数据地图的构建装置的功能模块图。
78.所述敏感数据地图的构建装置3包括提取模块31、构建模块32、更新模块33及监控模块34。本发明所称的模块是指一种能够被处理器所执行，并且能够完成固定功能的一系列计算机程序段，其存储在存储器中。在本实施例中，关于各模块的功能将在后续的实施例中详述。
79.提取模块31用于提取目标敏感数据的轨迹特征和潜在特征。
80.在示例性的实施例中，获取预设的抽取规则；基于所述抽取规则在数据通路中抽取对应的初始数据；对所述初始数据进行过滤处理；获取所述初始数据的字符串；对所述字符串进行分词处理，得到多个数据字段；基于java反射机制提取所述数据字段的代理类名称基于所述代理类名称查询对应所述数据字段的验证规则；基于所述验证规则对所述数据字段进行验证，将验证正确的数据字段作为所述目标敏感数据。
81.构建模块32用于基于所述轨迹特征构建初始地图。
82.在示例性的实施例中，获取所述目标敏感数据对应的数据通路作为第一目标通路；获取所述第一目标通路上的多个第一涉敏系统，并将多个所述第一涉敏系统作为所述轨迹特征；基于所述第一目标通路将多个所述轨迹特征相互关联并构建所述基础地图。
83.更新模块33用于基于所述潜在特征对所述基础地图进行更新得到目标地图。
84.在示例性的实施例中，取所述目标敏感数据的权限信息；基于所述权限信息获取所述目标敏感数据的对应的多个第二涉敏系统，并将多个所述第二涉敏系统作为所述潜在
特征；获取多个所述潜在特征与所述轨迹特征的关联关系以生成多个第二目标通路；基于所述第二目标通路将多个所述潜在特征相互关联并在所述基础地图上构建所述目标地图。
85.监控模块34用于基于所述目标地图对应生成所述目标敏感数据的监控策略，并基于所述监控策略对所述目标敏感数据进行监控。
86.在示例性的实施例中，获取所述目标敏感数据的传输对象；在所述目标地图上查询与所述传输对象对应的轨迹特征或潜在特征；若查询结果为有，则对所述目标敏感数据的传输进行放行；若查询结果为无，则对所述目标敏感数据的传输进行拦截并将拦截结果发送至对应终端。
87.实施例三
88.如图3所示，为本实施例三敏感数据地图的构建方法的计算机设备的结构示意图。
89.在示例性的实施例中，所述计算机设备4包括但不限于:存储器41、处理器42以及存储在所述存储器41中并可在所述处理器上运行的计算机程序，例如敏感数据地图的构建程序。本领域技术人员可以理解，所述示意图仅仅是计算机设备的示例，并不构成对计算机设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述计算机设备还可以包括输入输出设备、网络接入设备、总线等。
90.所述存储器41至少包括一种类型的计算机可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等。在一些实施例中，存储器41可以是计算机设备的内部存储模块，例如该计算机设备的硬盘或内存。在另一些实施例中，存储器41也可以是计算机设备的外部存储设备，例如该计算机设备上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。当然，存储器41还可以既包括计算机设备的内部存储模块也包括其外部存储设备。本实施例中，存储器41通常用于存储安装于计算机设备的操作系统和各类应用软件。此外，存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
91.所述处理器42可以是中央处理模块(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器42是所述计算机设备的运算核心和控制中心，利用各种接口和线路连接整个计算机设备的各个部分，及执行所述计算机设备的操作系统以及安装的各类应用程序、程序代码等。
92.所述处理器42执行所述计算机设备的操作系统以及安装的各类应用程序。所述处理器42执行所述应用程序以实现上述各个敏感数据地图的构建方法实施例中的步骤，例如图1所示的步骤s100-400。
93.实施例四
94.本实施例还提供一种计算机可读存储介质，如闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器
(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘、服务器、app应用商城等等，其上存储有计算机程序，程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储实现所述敏感数据地图的构建方法的计算机程序，被处理器42执行时实现实施例一或二或三的敏感数据地图的构建方法。
95.进一步地，所述计算机可读存储介质可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据区块链节点的使用所创建的数据等。
96.本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
97.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
98.本技术可用于众多通用或专用的计算机系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络pc、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本技术可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本技术，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
99.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。
100.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。