一种数据库安全防护用数据防泄漏系统的制作方法

本发明涉及大数据管理技术领域，特别涉及一种数据库安全防护用数据防泄漏系统。

背景技术：

当前，全球大数据产业正值活跃发展期，技术演进和应用创新并行加速推进，非关系型数据库、分布式并行计算以及机器学习、深度挖掘等新型数据存储、计算和分析关键技术应运而生并快速演进，大数据挖掘分析在电信、互联网、金融、交通、医疗等行业创造商业价值和应用价值的同时，开始向传统第一、第二产业传导渗透，大数据逐步成为国家基础战略资源和社会基础生产要素。

与此同时，大数据安全问题逐渐暴露。大数据因其蕴藏的巨大价值和集中化的存储管理模式成为网络攻击的重点目标，针对大数据的勒索攻击和数据泄露问题日趋严重，全球大数据安全事件呈频发态势。相应的，大数据安全需求已经催生相关安全技术、解决方案及产品的研发和生产，但与产业发展相比，存在滞后现象，数据的泄露和受到病毒攻击一般发生在，数据与数据库进行传输过程中、数据库保存数据过程中和数据访问转发过程中，而传统的数据防泄漏协同无法对这三个方面进行全方位防护，只能单一的防护无法满足实际需求。

技术实现要素：

本发明的目的就在于为了解决上述数据防泄漏系统无法对数据保存、交互这一过程进行全方位防护，安全性较低的问题而提供一种数据库安全防护用数据防泄漏系统，具有通过对数据上传、数据保存、数据访问这一系列过程进行安全防护，增加数据管理的安全性的优点。

本发明通过以下技术方案来实现上述目的，一种数据库安全防护用数据防泄漏系统，包括用户层、服务层、应用层和数据层；

所述用户层通过提供web浏览器作为交互界面，使用户和所述服务层之间进行数据交互；

所述服务层包括数据智能分类模块和入侵防护模块，通过所述智能分类模块将所述用户层上传的数据进行分类，通过所述入侵防护模块对交互的场景进行保护；

所述应用层为该数据防泄漏系统核心功能层，包括数据保护模块、文档安全模块和事件溯源模块；

所述数据层用于为该数据防泄漏系统提供硬件支持。

优选的，所述数据智能分类模块包括文件内容识别分类、文件压缩识别分类、文件嵌套识别分类、关键词匹配识别分类、文件智能打标分类和ocr图像识别分类。

优选的，所述入侵防护模块包括防火墙管理、邮件安全管理和磁盘定期杀毒。

优选的，所述数据保护模块包括网络dlp、终端dlp和邮件dlp，通过网络dlp对通过网络交互的流量数据进行内容扫描和安全防护，通过终端dlp对终端使用监控，通过邮件dpl对邮件交互的数据进行内容扫描和安全防护。

优选的，所述文档安全模块包括智能加密、权限管理和外发控制，通过智能加密对包含敏感数据的文件进行加密，通过权限管理对访问该文件的用户进行管理，通过外发控制对文件转发进行管控。

优选的，所述事件溯源模块包括文件溯源、事件日志和事件取证，通过文件溯源对文件的流动进行追溯，通过事件日志记录每次访问文件的操作日志，通过事件取证对发生泄露的事件进行记录。

优选的，所述数据层包括文件服务器、数据存储服务器和web服务器。

与现有技术相比，本发明的有益效果是：通过服务层对数据库和用户的交互进行安全防护，应用层对文件进行安全防护，从而对数据上传、交互和自身安全进行全方位保护，使数据使用更加安全。

附图说明

图1为本发明的整体系统示意图。

图2为本发明的服务层功能模块示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1所示，一种数据库安全防护用数据防泄漏系统，包括用户层、服务层、应用层和数据层；所述用户层通过提供web浏览器作为交互界面，使用户和所述服务层之间进行数据交互，用户可以通过web浏览器提供的窗口完成数据上传和访问操作；所述服务层包括数据智能分类模块和入侵防护模块，通过所述智能分类模块将所述用户层上传的数据进行分类，通过所述入侵防护模块对交互的场景进行保护，服务层作为用户和数据库之间的关卡，对上传的数据进行分类和交互过程的防护，服务层为双向防护，不仅保护了用户也保护了数据库；所述应用层为该数据防泄漏系统核心功能层，包括数据保护模块、文档安全模块和事件溯源模块，通过数据保护模块对数据库内的数据进行保护，文档安全模块对文档进行保护，事件溯源模块用来在发生泄漏事件时进行追溯，有效地制止泄漏事件造成的损失扩大；所述数据层用于为该数据防泄漏系统提供硬件支持。

如图2所示，所述数据智能分类模块包括文件内容识别分类、文件压缩识别分类、文件嵌套识别分类、关键词匹配识别分类、文件智能打标分类和ocr图像识别分类，文件内容识别分类支持超过1000种文件类型的内容识别，包括所有市面上常见的文件类型，如：doc、xls、ppt、wps、txt、dwg、c、java、h、rar、zip、7z等，同时支持近20种常用格式的高性能内容识别，将内容识别完毕的文件进行分类，文件压缩识别分类对于压缩过的文件类型，系统可以对压缩文件进行穿透，自动识别多层压缩文件里的文件内容和文件类型，并可自定义设置需要穿透的压缩层数，从而识别出压缩文件的内容按照内容进行分类，文件嵌套识别分类能够识别各种通过对像插入等多重嵌套的文件内容，如word、excel、ppt等，根据识别出的内容进行分类，关键词匹配识别分类系统提供关键字匹配功能，可通过预设敏感数据关键字对文件内容进行精确匹配和模糊匹配，还可以设置相应的关键字权重，可根据不同的权重与不同的匹配次数来触发不同的执行动作，使关键词识别的内容更加精准，将识别后的文件按照内容进行分类，文件智能打标分类采用文件智能打标技术，能够对企业内部的敏感文件，按照文件内容的类别和内容敏感程度，对每一个文件标注分类、分级标签，该标签会伴随文件的整个生命周期，可在数据存储、使用、传输、销毁过程中，通过识别文件的分类、分级标签来对其进行监管和防护，ocr图像识别分类内置ocr识别引擎，能够对图片内容进行识别，可以识别出图片上的文字内容，按照内容将图片进行分类。

所述入侵防护模块包括防火墙管理、邮件安全管理和磁盘定期杀毒，防火墙管理用来隔绝网络连接中的病毒或者漏洞，邮件安全管理通过扫描数据库向用户发送的邮件对漏洞和病毒进行检查，磁盘定期杀毒用于对数库进行硬件磁盘扫描，防止数据库保存的数据存在安全隐患，所述数据保护模块包括网络dlp、终端dlp和邮件dlp，通过网络dlp对通过网络交互的流量数据进行内容扫描和安全防护，通过终端dlp对终端使用监控，通过邮件dpl对邮件交互的数据进行内容扫描和安全防护，所述文档安全模块包括智能加密、权限管理和外发控制，通过智能加密对包含敏感数据的文件进行加密，通过权限管理对访问该文件的用户进行管理，通过外发控制对文件转发进行管控，智能加密是通过秘钥对包含敏感数据的文件进行加密，权限管理是获得用户访问的权限，只有通过权限的用户私钥对加密的文件进行解密，才可以访问到数据内容，外发控制包括外发文件封装，其中外发文件封装的内容包括：封装文件开启权限和内置身份验证模块，在加密文件需要外发时，通过转发控制模块可对该文件进行封装，而文件在离开数据库节点使用时，再通过秘钥进行解密验证身份，杜绝二次扩散。所述事件溯源模块包括文件溯源、事件日志和事件取证，通过文件溯源对文件的流动进行追溯，通过事件日志记录每次访问文件的操作日志，通过事件取证对发生泄露的事件进行记录。

所述数据层包括文件服务器、数据存储服务器和web服务器，文件服务器用来提供文件管理功能，包括文件加密解密、文件分类和文件收发，数据存储服务器用来存储用户上传的数据和将数据分发给用户，web服务器提供交互端口，供用户与数据库之间的数据交互。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。