【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种确定敏感数据扩散行为的方法及装置。
技术介绍
敏感数据是一个企业或个人较为保密的信息,每个企业或个人都拥有敏感数据,例如:商业秘密、知识产权、关键业务信息、业务合作伙伴信息或客户信息、个人保密资料等。针对数据库中存储的大量敏感数据,用户的某些操作可能会导致敏感数据的扩散,即将敏感数据从一个数据表A复制到另一个数据表B中,从而,敏感数据的存储位置发生了变化。为了能够很好的监管数据库,现有的敏感数据扩散行为的发现和定位主要采用两种方式:人共梳理以及软件扫描。其中,人工梳理主要通过相关人员基于对业务功能的了解,梳理与敏感数据相应的业务功能,通过与开发人员沟通,将这些业务功能对应的敏感数据的存储位置直接找出来进行标识,例如个人详单信息、吉祥号码等。软件扫描则是通过分析敏感数据的内容特征,利用自动化的内容分析工具,在指定区域内发现具备敏感数据的内容特征的数据,借此定位敏感数据所在的存储位置,包括初始的存储位置以及扩散后的存储位置。然而,人工梳理一般只能依据敏感数据业务功能或者数据存储习惯进行人为判定,例如:查看CRM系统存储用户信息的数据表或者查找BAS系统后台是否有按月生成的数据表。利用这种方式发现敏感数据的效率不高,且发现范围有限。最重要的是,并不能有效获知敏感数据的扩散行为。软件扫描方式一般是进行内容扫描,根据预定义的内容特征发现是否存在敏感数据,例如关...
【技术保护点】
一种确定敏感数据扩散行为的方法,其特征在于,所述方法包括:解析任一数据库的操作日志列表中包含的结构化查询语言SQL语句,将各个解析结果存储到解析表中,其中,所述解析结果中包括操作行为和至少一个操作对象,所述操作对象为数据库中的数据表;针对所述解析表中的每个解析结果依次分别执行:将所述解析结果的操作行为分别与扩散操作特征库中包含的扩散操作的操作行为进行匹配,并在匹配成功时,确定该解析结果对应的操作行为是扩散行为,其中,所述扩散操作特征库中包含所有类型的扩散操作;查找预置的敏感表中是否存在与该解析结果中的至少一个操作对象相匹配的至少一个敏感数据表,并在查找成功时,确定该解析结果对应的操作行为是针对查找到的所述至少一个敏感数据表的敏感数据扩散行为,其中,所述敏感表中包含有多个敏感数据表。
【技术特征摘要】
1.一种确定敏感数据扩散行为的方法,其特征在于,所述方法包括:
解析任一数据库的操作日志列表中包含的结构化查询语言SQL语句,将
各个解析结果存储到解析表中,其中,所述解析结果中包括操作行为和至少一
个操作对象,所述操作对象为数据库中的数据表;
针对所述解析表中的每个解析结果依次分别执行:
将所述解析结果的操作行为分别与扩散操作特征库中包含的扩散操作的
操作行为进行匹配,并在匹配成功时,确定该解析结果对应的操作行为是扩散
行为,其中,所述扩散操作特征库中包含所有类型的扩散操作;
查找预置的敏感表中是否存在与该解析结果中的至少一个操作对象相匹
配的至少一个敏感数据表,并在查找成功时,确定该解析结果对应的操作行为
是针对查找到的所述至少一个敏感数据表的敏感数据扩散行为,其中,所述敏
感表中包含有多个敏感数据表。
2.如权利要求1所述的方法,其特征在于,所述敏感数据表中包含有敏
感数据字段,以及所述解析结果中还包括操作对象的数据字段;
在所述确定该解析结果对应的操作行为是针对查找到的所述至少一个敏
感数据表的敏感数据扩散行为之后,还包括:
将所述解析结果中的操作对象的数据字段与所述至少一个敏感数据表中
的敏感数据字段进行比对,并在比对成功时,确定该解析结果对应的操作行为
是针对该敏感数据字段的敏感数据扩散行为。
3.如权利要求1所述的方法,其特征在于,所述解析结果中还包括操作
目标;
在确定该解析结果对应的操作行为是针对查找到的所述至少一个敏感数
据表的敏感数据扩散行为之后,还包括:
将该解析结果添加到敏感数据扩散实例列表中,以进行敏感数据扩散行为
的管理操作;
查找预置的敏感表中是否存在与该解析结果中的操作目标相匹配的敏感
数据表,并在查找结果为不存在时,将所述操作目标添加到所述敏感表中,以
更新所述敏感表。
4.如权利要求2所述的方法,其特征在于,所述解析结果中还包括操作
目标;
在确定该解析结果对应的操作行为是针对该敏感数据字段的敏感数据扩
散行为之后,还包括:
将该解析结果添加到敏感数据扩散实例列表中,以进行敏感数据扩散行为
的管理操作;
查找预置的敏感表中是否存在与该解析结果中的操作目标相匹配的敏感
数据表,并在查找结果为不存在时,则将所述操作目标添加到所述敏感表中,
以更新所述敏感表。
5.如权利要求4所述的方法,其特征在于,在分析完解析表中的所有解
析结果之后,还包括:
针对发生扩散行为的敏感数据字段,根据敏感数据扩散实例列表中记录的
解析结果,统计该敏感数据字段对应的原敏感数据表和多个扩散敏感数据表,
其中,所述原敏感数据表为所述敏感数据字段在该数据库中的初始默认存储位
置,所述扩散敏感数据表为所述敏感数据字段发生扩散行为后的存储位置;
根据该敏感数据字段对应的原敏感数据表的存储安全状态,确定原敏感数
据表的存储安全值,以及根据该敏感数据字段在原敏感数据表的扩散行为状
态,确定原敏感数据表的扩散安全值,并利用加权平均得到原敏感数据表的安
全值;
针对统计得到的该敏感数据字段对应的各个扩散敏感数据表分别执行:
根据扩散敏感数据表的存储安全状态,确定扩散敏感数据表的存储安全
值,以及根据该敏感数据字段在该扩散敏感数据表的扩散行为状态,确定该扩
散敏感数据表的扩散安全值,并利用加权平均得到该扩散敏感数据表的安全
\t值;
将原敏感数据表的安全值和各个扩散敏感数据表的安全值加权平均得到
当前敏感数据字段的安全值,以进行敏感数据的安全管理。
6.如权利要求5所述的方法,其特征在于,
所述存储安全值通过以下公式确定:
MS=SE*M1+SO*M2+SM*M3+SA*M4(1)
其中,所述MS表示存储安全值,SE表示加密状态,SO表示模糊化状态,
SM表示操作管控状态,SA表示审计状态;M1~M4分别为各个存储安全状态
的预置权重值;
所述扩散安全值通过以下公式确定:
ES=F1(N1*A、N2*B、N3*C、N4*D、N5*E、N6*F、N7*G)(2)
其中,所述ES表示扩散安全值,F1表示对加权后的各个扩散行为状态取
平均,A表示根据单位分析时间段扩散敏感数据表的影响数量,B表示新增扩
散敏感数据表的数量,C表示扩散批次,D表示单次平均扩散数量,E表示单
扩散点最高扩散批次,F表示单扩散点最高扩散影响数量,G表示异常扩散行
为数量,N1~N7分别为各个扩散行为状态的预置权重值。
7.如权利要求3或4所述的方法,其特征在于,在将所述操作目标添加
到所述敏感表中之后,所述方法还包括:
根据该解析结果对应的扩散行为确定扩散路径;
根据该解析结果对应的操作对象确定该扩散路径对应的扩散对象,以及根
据该解析结果对应的操作目标确定该扩散路径对应的扩散目标,其中,所述扩
散对象为原敏感数据表或扩散敏感数据表,所述扩散目标为扩散敏感数据表;
利用绘图软件将确定的扩散对象、扩散目标和扩散路径连接起来,生成对
应该敏感数据扩散行为的扩散地图。
8...
【专利技术属性】
技术研发人员:蒋小雨,徐志成,陆浩,郭华,
申请(专利权)人:中国移动通信集团江苏有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。