数据风险预测方法、装置、设备、存储介质和程序产品与流程

1.本公开实施例涉及数据管理技术领域，特别是涉及一种数据风险预测方法、装置、设备、存储介质和程序产品。


背景技术：

2.伴随着全球信息化的高速发展，各企业的业务不断走向数据化，为企业发展、业务增长、产品研发等提供了重要的数据支撑。在当前的信息化环境下，数据无处不在，从管理者到一线开发人员都需要使用和共享数据。
3.数据流通和共享后才会发挥更大价值，同时数据安全性显得至关重要。但大数据环境下，数据共享和数据流通带来数据许多安全问题。基于此，各组织和企业有多样的加密和控制手段，但这限制了数据共享的便利性，降低大数据的使用效率。对此问题，各企业制定了各种各样的数据安全管理规范，为数据生命周期中的产生、存储、使用、传输、披露、销毁等环节进行安全控制，并依据规范进行数据管理和共享。然而，这些规范只能对数据安全工作进行相应的指导，企业内部也不一定会按照规范去展开日常工作。
4.因此，当前仅有数据安全管理规范是不够的，现有技术中仍缺乏对企业内部的整体大数据进行安全风险评估治理的体系。


技术实现要素：

5.本公开实施例提供一种数据风险预测方法、装置、设备、存储介质和程序产品，可以用于解决现有技术中仍缺乏对企业内部的整体大数据进行安全风险评估治理的体系的缺陷，实现客观地进行数据安全风险预测，从而精确地、快速地对数据生命周期中的各环节进行安全控制，极大地保障了各组织中大数据的安全性。
6.第一方面，本公开实施例提供一种数据风险预测方法，该方法包括：
7.获取目标组织的权限闲置风险值、敏感数据存储风险值、数据异常使用风险值；
8.其中，权限闲置风险值表示目标组织中数据权限闲置引起的数据安全风险程度；敏感数据存储风险值表示目标组织中敏感数据引起的数据安全风险程度；数据异常使用风险值表示目标组织中异常使用引起的数据安全风险程度；
9.根据权限闲置风险值、敏感数据存储风险值、数据异常使用风险值，确定目标组织的数据安全风险的预测值。
10.第二方面，本公开实施例提供一种数据风险预测装置，该装置包括：
11.风险值获取模块，获取目标组织的权限闲置风险值、敏感数据存储风险值、数据异常使用风险值；
12.其中，权限闲置风险值表示目标组织中数据权限闲置引起的数据安全风险程度；敏感数据存储风险值表示目标组织中敏感数据引起的数据安全风险程度；数据异常使用风险值表示目标组织中异常使用引起的数据安全风险程度；
13.预测值确定模块，用于根据权限闲置风险值、敏感数据存储风险值、数据异常使用
风险值，确定目标组织的数据安全风险的预测值。
14.第三方面，本公开实施例提供一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述的方法。
15.第四方面，本公开实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面所述的方法。
16.第五方面，本公开实施例提供一种计算机程序产品，包括计算机程序/指令，该计算机程序/指令被处理器执行时实现上述第一方面所述的方法。
17.本公开实施例提供的一种数据风险预测方法、装置、设备、存储介质和程序产品，通过获取目标组织中表示目标组织中数据权限闲置引起的数据安全风险程度的权限闲置风险值、表示目标组织中敏感数据引起的数据安全风险程度的敏感数据存储风险值、以及表示目标组织中异常使用引起的数据安全风险程度数据异常使用风险值后，根据权限闲置风险值、敏感数据存储风险值、数据异常使用风险值，确定出目标组织的数据安全风险的预测值。由于权限闲置风险值、敏感数据存储风险值、数据异常使用风险值分别对应数据权限风险、数据存储风险、数据使用风险三种风险类别，其覆盖了整个组织内部大数据的数据安全场景，使得可以全面地量化出整个组织中大数据的安全风险预测值，以量化的角度客观地对整个组织的数据安全风险程度进行预测，从而使得根据该安全风险预测值可以精确地、快速地对数据生命周期中的各环节进行安全控制，极大地保障了各组织中大数据的安全性。
附图说明
18.图1为一个实施例中数据风险预测方法的应用环境图；
19.图2为一个实施例中数据风险预测方法的流程示意图；
20.图3为另一个实施例中数据风险预测方法的流程示意图；
21.图4为另一个实施例中数据风险预测方法的流程示意图；
22.图5为另一个实施例中数据风险预测方法的流程示意图；
23.图6为另一个实施例中数据风险预测方法的流程示意图；
24.图7为另一个实施例中数据风险预测方法的流程示意图；
25.图8为另一个实施例中数据风险预测方法的流程示意图；
26.图9为另一个实施例中数据风险预测方法的流程示意图；
27.图10为另一个实施例中数据风险预测方法的流程示意图；
28.图11为一个实施例中数据风险预测装置的结构框图；
29.图12为另一个实施例中数据风险预测装置的结构框图；
30.图13为另一个实施例中数据风险预测装置的结构框图；
31.图14为另一个实施例中数据风险预测装置的结构框图；
32.图15为另一个实施例中数据风险预测装置的结构框图；
33.图16为另一个实施例中数据风险预测装置的结构框图；
34.图17为另一个实施例中数据风险预测装置的结构框图；
35.图18为另一个实施例中数据风险预测装置的结构框图；
36.图19为一个实施例中电子设备的内部结构图；
37.图20为一个实施例中服务器的内部结构图。
具体实施方式
38.为了使本公开实施例的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本公开实施例进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本公开实施例，并不用于限定本公开实施例。
39.首先，在具体介绍本公开实施例的技术方案之前，先对本公开实施例基于的技术背景或者技术演进脉络进行介绍。通常情况下，任何组织或者个人，包括不限于团体、工会、企业等，其日常工作都离不开数据的流通和共享。而对于数据共享和数据流通过程中的安全问题，相关技术中无论是对数据进行加密和控制，还是通过制定的数据安全管理规范对数据进行安全控制，都不能够对数据进行有效的安全保障。因此，需要建立一个相应地数据安全风险评估体系，以对组织或者个人的整体大数据进行安全风险监控、预测，得到评估结果，使得组织内部可根据风险评估指标掌握组织内部整体大数据的安全风险。同时，能根据风险的评估结果相应的对组织的大数据进行安全治理，保障组织内部以比较低的安全风险进行数据的流通和共享，这对组织的大数据安全治理具有重大意义。
40.下面结合本公开实施例所应用的场景，对本公开实施例涉及的技术方案进行介绍。
41.本公开实施例提供的数据风险预测方法，可以应用于如图1所示的系统架构中。该系统架构包括风险预测设备01、多个计算机设备02；不同计算机设备可以是不同类型的设备，例如，可以是组织内部的各服务器、用户设备、以及其他电子设备，图1中以一个计算机设备示意，但不以此为限定；其中，风险预测设备01通过网络与计算机设备02通信，用于根据组织中各计算机设备02的数据分析预测目标组织的数据安全风险。其中，风险预测设备01可以是服务器或者电子设备；其中，电子设备包括但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备；服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
42.下面将通过实施例并结合附图具体地对本公开的技术方案以及本公开的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。需要说明的是，本公开提供的一种数据风险预测方法，图2
‑
图10的执行主体为风险预测设备，其中，其执行主体还可以是数据风险预测装置，其中该装置可以通过软件、硬件或者软硬件结合的方式实现成为风险预测设备的部分或者全部。
43.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。
44.在一个实施例中，如图2所示，提供了一种数据风险预测方法，该实施例涉及的是风险预测设备通过获取目标组织的权限闲置风险值、敏感数据存储风险值、数据异常使用风险值后，确定出该目标组织的数据安全风险的预测值的具体过程，该实施例包括以下步骤：
45.s101，获取目标组织的权限闲置风险值、敏感数据存储风险值、数据异常使用风险值；其中，权限闲置风险值表示目标组织中数据权限闲置引起的数据安全风险程度；敏感数据存储风险值表示目标组织中敏感数据引起的数据安全风险程度；数据异常使用风险值表示目标组织中异常使用引起的数据安全风险程度。
46.其中，目标组织可以是任何一个按照一定的宗旨和目标建立起来的集体，例如，工厂、机关、学校、医院、各个层次的经济实体等等。实际应用中，以企业为例，任何一个企业的大数据安全风险均可从三大类的风险类别识别：数据权限风险、数据存储风险、数据使用风险。
47.针对数据权限风险：一般企业中会设置多种数据权限类型，并根据员工的工作职能对其授权合适的权限。例如，大数据权限可以采用访问控制列表(access control list，acl)，直接给员工授权某个权限，也可以采用基于角色的访问控制(role
‑
based access control，rabc)对某一业务域的员工授权角色权限，还可以采用acl和rabc相结合的方式进行授权等，本公开实施例对此不作限定。
48.通常，数据权限申请都会有相应的流程审批在里面，例如，申请权限的审批流程、使用数据权限进行日常工作的审批流程等等。但实际上，企业因业务的发展或者员工工作的变动，经常会产生大量的闲置权限。权限一旦闲置，就表示该权限的员工不再负责相应的业务域，此时，若仍保留该权限，就会产生相应的泄露数据的风险，例如，通过该闲置的权限可窃取到不应该获的业务数据，从而形成数据泄露。因此，识别数据权限风险这一类别时，可通过监控企业中闲置的数据权限，获取权限闲置风险值，而该权限闲置风险值表示的就是目标组织中数据权限闲置引起的数据安全风险程度。
49.针对数据存储风险：企业中的数据可根据重要程度进行等级划分，例如，分为c1(公开数据)、c2(内部数据)、c3(私密数据)、c4(机密数据)。其中，公开数据是指企业已通过正规渠道正式对外发布的数据。内部数据指那些不适合对外公开，但是对企业内部人员访问基本无限制的数据；内部数据一旦被泄露或者公开，不会对数据主体造成直接损害。秘密数据指企业专有或企业保密的数据，秘密数据一旦被泄露或者公开，会对数据主体造成直接或者间接损害。机密数据指具有最高安全属性要求，适合于极少数人可见的数据，如果机密数据出现外泄可能导致公司法律或商业上造成重大影响或损失，例如，机密数据可包括高敏感pii数据，由于pii数据有关一个人的任何数据，这些数据能帮助识别这个人，包括姓名、指纹或其他生物特征资料、电子邮件地址、电话号码或社会安全号码等，因此pii数据一旦泄露，将会造成重大影响。其中，不同的企业因业务不同，对同一个数据的安全等级定级也是不同的，实际应用中，可以结合具体地业务特征，对数据等级进行相应的等级划分，本公开实施例对此不加以限制。
50.数据存储带来的风险主要针对的是敏感数据，该敏感数据可根据实际业务重要度进行划分，例如，包括上述中的c3(私密数据)、c4(机密数据)。企业的很多业务场景都有使用敏感数据的需求，因此，可以通过控制企业中各数据存储表中敏感数据的存储范围来抑制数据存储中数据泄露的风险。因此，识别数据存储风险这一类别时，可通过监控企业中敏感数据存储情况获取敏感数据存储风险值，而该敏感数据存储风险值表示的就是目标组织中敏感数据引起的数据安全风险程度。
51.针对数据使用风险：企业中数据的异常使用会引起数据泄露，而异常使用包括异
常下载和异常访问，例如，异常下载可以是员工在工作过程中大量下载企业的敏感数据，而异常访问可以是该员工跨权限(例如跨部门、跨级别、跨业务域等)查看企业数据。因此，识别数据使用风险这一类别时，可通过监控企业中每个员工的数据异常使用行为获取数据异常使用风险值，而该数据异常使用风险值表示的就是目标组织中异常使用引起的数据安全风险程度。
52.鉴于此，本公开实施例中通过从数据权限风险、数据存储风险、数据异常使用风险三大类对组织中大数据的安全风险进行监控、分别获取权限闲置风险值、敏感数据存储风险值、数据异常使用风险值，即可对组织的大数据进行全面监控。
53.可选地，在获取权限闲置风险值、敏感数据存储风险值、数据异常使用风险值时，其获取方式可以是分别针对各风险类别建立风险监控模型，例如，采用权限风险监控模型监控企业中的闲置权限的闲置情况，然后对闲置情况进行分析获的权限闲置风险值；采用存储风险监控模型监控企业中的敏感数据的存储情况，然后对敏感数据的存储情况进行分析获的敏感数据存储风险值；采用使用风险监控模型监控企业中的敏感数据的异常使用情况，然后对敏感数据的异常使用情况进行分析获的数据异常使用风险值。
54.s102，根据权限闲置风险值、敏感数据存储风险值、数据异常使用风险值，确定目标组织的数据安全风险的预测值。
55.基于上述三大类风险类别监控得到的获取的权限闲置风险值、敏感数据存储风险值、数据异常使用风险值，进一步地，可确定出该目标组织的数据安全风险的预测值。该预测值表示的就是目标组织的整体大数据当前的安全风险程度，以该预测值为一个具体的数值，因此可直观地判断出目标组织内部大数据的安全风险，例如，设定大数据安全风险预测值的范围是[0，100]，预测值越高数据越安全，预测值越低数据越危险，本公开实施例并不以此为限。
[0056]
可选地，可以将权限闲置风险值、敏感数据存储风险值、数据异常使用风险值相加，得到目标组织的数据安全风险的预测值。或者，还可以将权限闲置风险值、敏感数据存储风险值、数据异常使用风险值求平均值，得到目标组织的数据安全风险的预测值。或者，还可以根据预设的风险类别权重系数，对权限闲置风险值、敏感数据存储风险值、数据异常使用风险值进行加权求和，得到目标组织的数据安全风险的预测值。其中，风险类别权重系数可以根据企业的业务特征以及安全诉求进行调节，例如，权限闲置风险值的风险类别权重系数是0.4、敏感数据存储风险值的风险类别权重系数是0.3、数据异常使用风险值的风险类别权重系数是0.3，本公开实施例对此不作限定。
[0057]
若确定的预测值表明当前目标组织内部大数据的存在较大的泄露风险，那么可根据预测值确定过程定位出具体风险项，例如，该具体风险项可以是某几个数据存储表中的敏感数据存储量较大，存在敏感数据泄露风险。或者，该具体风险项为企业中某个员工下载了大量敏感数据，存在敏感数据泄露风险。定位出具体风险项之后，就可进行相应治理，从而达到对企业大数据安全风险监控、预测和治理的目的。
[0058]
本实施例提供的数据风险预测方法，通过获取目标组织中表示目标组织中数据权限闲置引起的数据安全风险程度的权限闲置风险值、表示目标组织中敏感数据引起的数据安全风险程度的敏感数据存储风险值、以及表示目标组织中异常使用引起的数据安全风险程度数据异常使用风险值后，根据权限闲置风险值、敏感数据存储风险值、数据异常使用风
险值，确定出目标组织的数据安全风险的预测值。由于权限闲置风险值、敏感数据存储风险值、数据异常使用风险值分别对应数据权限风险、数据存储风险、数据使用风险三种风险类别，其覆盖了整个组织内部大数据的数据安全场景，使得可以全面地量化出整个组织中大数据的安全风险预测值，以量化的角度客观地对整个组织的数据安全风险程度进行预测，从而使得根据该安全风险预测值可以精确地、快速地对数据生命周期中的各环节进行安全控制，极大地保障了各组织中大数据的安全性。
[0059]
基于上述实施例，下面分别针对上述实施例中获取目标组织的权限闲置风险值、获取目标组织的敏感数据存储风险值、获取目标组织的数据异常使用风险值的过程提供一种对应的实施例进行详细说明。
[0060]
则在一个实施例中，如图3所示，上述获取目标组织的权限闲置风险值过程包括以下步骤：
[0061]
s201，获取目标组织中每个数据权限的闲置风险值，和每个数据权限的安全权限系数；安全权限系数为根据各数据权限的安全风险和重要度确定。
[0062]
以企业为例，前面实施例中提及，一般企业中会设置多种数据权限类型，例如，c1(公开数据)权限、c2(内部数据)权限、c3(私密数据)权限、c4(机密数据)权限、pii(pii数据)权限、db(数据库)权限、角色权限等等。
[0063]
针对每种数据权限类型可以对应获取其闲置风险值，即，需要以权限类型为单元，监控整个企业内部每个数据权限类型的闲置风险值。例如，可预设一算法，将单个数据权限类型的闲置数据(例如闲置天数)输入至该算法中，即可得到该数据权限类型的闲置风险值。又例如，可预设一映射表，该映射表设定多种数据权限类型的闲置数据与对应闲置风险值的映射关系，然后根据该映射表，确定出每一个数据权限类型的实际闲置数据确定出对应的闲置风险值。
[0064]
其中，对每个数据权限类型预先设定一个安全权限系数。可选地，该安全权限系数为根据各数据权限的安全风险和重要度确定。其表示的是不同的权限类型的权重，实际中，可调整重要数据权限类型的安全权限系数较大。例如，可参见下表1中，列举中几种数据权限类型的设定的安全权限系数。
[0065]
表1
[0066]
数据权限类型安全权限系数c3权限1c4权限3pii权限7db权限8角色权限8
[0067]
s202，根据每个数据权限的闲置风险值和安全权限系数，确定目标组织的权限闲置风险值。
[0068]
在获取到每个数据权限的闲置风险值和每个数据权限的安全权限系数之后，可确定出目标组织的权限闲置风险值。例如，可将安全权限系数作为对应数据权限的闲置风险值的缩放系数，将安全权限系数与对应数据权限的闲置风险值进行相乘，对数据权限的闲置风险值进行差异化处理，然后求取差异化处理后的各数据权限的闲置风险值加权和，将
该加权和作为目标组织的权限闲置风险值。又例如，也可根据数据权限的闲置风险值与对应安全权限系数之间的比值，并将各比值的平均值作为目标组织的权限闲置风险值。本公开实施例对确定目标组织的权限闲置风险值的方式不作限定。
[0069]
可选地，如图4所示，一种确定目标组织的权限闲置风险值的实施例包括：
[0070]
s301，获取目标组织中各数据权限的第一风险参考值之和，第一风险参考值为根据数据权限的闲置风险值和对应的安全权限系数确定。
[0071]
其中，可先根据数据权限的闲置风险值和对应的安全权限系数确定第一风险参考值，每一个数据权限类型确定一个第一风险参考值，然后将目标组织中各数据权限的第一风险参考值求和。
[0072]
例如，可将数据权限的闲置风险值和对应的安全权限系数的乘积确定为该数据权限类型的第一风险参考值，即第一风险参考值＝单个数据权限闲置风险值*对应安全权限系数，然后获取各数据权限的第一风险参考值之和，即sum(单个数据权限闲置风险值*对应安全权限系数)。
[0073]
需要说明的是，这里的第一风险参考值，以及后续实施例中的第二风险参考值、第三风险参考值，只是用于区分不同风险类别中风险参考值，不用于其他方面信息的限定。
[0074]
s302，根据各数据权限的第一风险参考值之和、各数据权限的安全权限系数之和，确定目标组织的权限闲置风险值。
[0075]
确定了各数据权限的第一风险参考值之和之后，根据各数据权限的第一风险参考值之和与各数据权限的安全权限系数之和，确定目标组织的权限闲置风险值。例如，可将各数据权限的第一风险参考值之和与各数据权限的安全权限系数之和的比值确定为目标组织的权限闲置风险值，即目标组织的权限闲置风险值＝sum(单个数据权限闲置风险值*对应安全权限系数)/sum(安全权限系数)。
[0076]
本实施例提供的数据风险预测方法，通过获取目标组织中每个数据权限的闲置风险值和每个数据权限的安全权限系数，并根据每个数据权限的闲置风险值和安全权限系数，确定目标组织的权限闲置风险值。该方法中，以单个数据权限为单元，确定出每个数据权限的闲置风险值，细化到每个数据权限，再结合以不同数据权限的重要度预设的安全权限系数，对不同数据权限给予不同关注度，从而使得确定出的权限闲置风险值更加可以精确地反映整个目标组织的数据权限安全性。
[0077]
在确定每个数据权限的闲置风险值时，可以结合各个数据权限具体的闲置数据进行确定，例如，各数据权限实际的闲置天数，或者，各数据权限本身就可允许的闲置天数等。则在一个实施例中，获取每个数据权限的闲置风险值包括：根据每个数据权限的最近一次闲置天数、预设的各数据权限的允许闲置天数和闲置系数，确定每个数据权限的闲置风险值；闲置系数表示不同阶段的数据权限的安全要求程度。可选地，闲置系数与数据权限的安全要求程度的量化值正相关，允许闲置天数与数据权限的权限类型安全风险程度的量化值负相关。
[0078]
其中，最近一次闲置天数指的是最近一次该数据权限连续闲置的实际天数。预先对每个数据权限设置允许闲置天数，例如，可根据不同的数据权限类型存在的安全风险，设置该数据权限的允许闲置天数。
[0079]
数据权限除了授权方式不相同之外，各数据权限中的数据安全等级也不相同，因
而，各数据权限类型中的数据存在不同的安全风险，基于此因素，可以可根据不同的数据权限类型存在的安全风险等级，设置该数据权限的允许闲置天数。可选地，允许闲置天数与数据权限的权限类型安全风险程度的量化值负相关，即安全风险等级越低的数据权限，其可闲置的天数越多。例如，请参见表2列举出不同数据权限类型的允许闲置天数，表2中c3权限安全风险等级最低，故要求最低，可允许闲置183天。而pii权限最敏感，安全风险等级要求也最高，只允许闲置33天，一个月不使用需要立即释放该权限。
[0080]
表2
[0081][0082][0083]
随着企业中不同的阶段各数据权限的安全要求程度也不相同，例如，旺季时，各业务数据操作、更新、处理比较频繁，那么，为避免频繁的操作引起数据泄露，对于这些业务数据的数据权限的安全要求程度就较高。反之，在其他阶段，可能就对部分数据权限的安全要求程度较低。因此，针对此因素，可对每个数据权限设置一闲置系数，该闲置系数表示的就是不同阶段的数据权限的安全要求程度，即，闲置系数是针对不同阶段一个数据权限的安全要求设定的系数，例如，淡季的某个数据权限的安全要求一般，可适当放小该数据权限的闲置系数，设置闲置系数为1，而到了旺季，该数据权限中流通较频繁，权限安全要求比较高，可设定闲置系数3。
[0084]
可选地，闲置系数与数据权限的安全要求程度的量化值正相关，即数据权限的安全要求越大，闲置系数越大。例如，请参见表3列举出不同数据权限类型的闲置系数。可以理解的是，同一阶段，不同数据权限的安全要求程度可以是不相同的，也可以是相同的；而不同阶段，同一个数据权限的安全要求程度可以是不相同的，也可以是相同的。具体可根据实际情况而定，本公开实施例对此不作限定。
[0085]
表3
[0086]
数据权限类型闲置系数c3权限1c4权限2pii权限3db权限1角色权限1
[0087]
其中，在确定单个数据权限最近一次闲置天数时，可先判断该最近一次闲置天数是否小于允许闲置天数，若是，确定该数据权限没有出现闲置，这种情况下表示该数据权限当前没有风险，直接确定该数据权限的闲置风险值为预设的低风险临界值。
[0088]
这里需要说明下，本公开实施例中涉及的低风险临界值和高风险临界值，均是为了以量化角度确定目标组织数据安全风险预测值设定的量化值临界值。本公开实施例中涉及的各风险值均控制在预设的低风险临界值和高风险临界值之间，不超出该低风险临界值和高风险临界值构成的区间。例如，低风险临界值为100，高风险临界值为0，即[0,100]，也即100表示没有风险，0表示风险最大，量化出来的风险值越接近高风险临界值为0，表示当前该数据权限越不安全。后续对于出现的低风险临界值和高风险临界值均可参考此说明，将不再赘述。
[0089]
对于最近一次闲置天数大于允许闲置天数的情况，表示的该数据权限当前出现了闲置，对此情况，在一个实施例中，根据每个数据权限的最近一次闲置天数、预设的各数据权限的允许闲置天数和闲置系数，确定每个数据权限的闲置风险值的一种方式包括：获取最近一次闲置天数与允许闲置天数之间的差值；根据差值与闲置系数的乘积、预设的低风险临界值，确定每个数据权限的闲置风险值。
[0090]
其中，最近一次闲置天数与允许闲置天数之间的差值表示是该数据权限的闲置幅度，该差值越大，闲置越久，闲置幅度越大。即闲置幅度＝最近一次闲置天数
–
允许闲置天数。然后结合预设的该数据权限的闲置系数，放大该闲置幅度，即将闲置幅度与闲置系数进行相乘，即通过闲置系数放大该闲置幅度得到差值与闲置系数的乘积＝(最近一次闲置天数
–
允许闲置天数)*闲置系数。
[0091]
接着根据差值与闲置系数的乘积、预设的低风险临界值，确定每个数据权限的闲置风险值。例如，可将预设的低风险临界值与上述乘积之间的差值，确定为该数据权限的闲置风险值，以预设的低风险临界值＝100为例，数据权限的闲置风险值＝100
‑
(最近一次闲置天数
–
允许闲置天数)*闲置系数。
[0092]
或者，还可以将预设的低风险临界值与上述乘积之间的比值确定为该数据权限的闲置风险值。本公开实施例对确定每个数据权限的闲置风险值的方式不作限定。
[0093]
本实施例提供的数据风险预测方法，通过获取各数据权限的最近一次闲置天数、预设的各数据权限的允许闲置天数和闲置系数，确定每个数据权限的闲置风险值。以每个数据权限实际的闲置幅度，结合各数据权限对应的闲置系数，确定的数据权限的闲置风险值，使得确定出每个数据权限的闲置风险值可以精确地量化出单个数据权限因闲置引起的风险程度。
[0094]
在一个实施例中，如图5所示，上述获取目标组织的敏感数据存储风险值过程包括以下步骤：
[0095]
s401，获取目标组织中每个数据存储表的存储风险值，和每个数据存储表的存储表权重系数；存储表权重系数为根据对应数据存储表的总数量确定的。
[0096]
以企业为例，前面实施例中提及，可以通过控制企业中各数据存储表中敏感数据的存储范围来抑制数据存储中数据泄露的风险。敏感数据可根据实际业务重要度进行划分，例如，包括上述中的c3(私密数据)、c4(机密数据)。因此，可对应获取每个数据存储表的存储风险值。
[0097]
数据存储表的存储风险值与该数据存储表中敏感数据的存储情况相关，所以，一种方式中，可根据每个数据存储表中存储的敏感数据的量来确定该数据存储表的存储风险值，例如，可预设一映射表，该映射表设定多种数据存储表中存储的敏感数据的量与对应存储风险值的映射关系，然后根据该映射表，确定出每一个数据存储表的实际存储的敏感数据的量确定出对应的存储风险值。或者，预设一算法模型，将单个数据存储表的敏感数据的量输入至该算法模型中，即可得到该数据存储表的存储风险值。
[0098]
不同数据存储表由于其实际存储数据的总量不同，其对存储的敏感数据的带来的安全风险也是不相同的，因此，可对每个数据存储表预先设定一个存储表权重系数。可选地，该存储表权重系数为根据对应数据存储表的总数量确定的。例如，存储表权重系数＝该数据存储表的总数量开立方后得到的值。设定了该存储表权重系数之后，可根据存储表权重系数对单个数据存储表的存储风险值进行适当放大或者缩小，以体现各数据存储表的中敏感数据的带来的安全风险差异。
[0099]
s402，根据每个数据存储表的存储风险值和存储表权重系数，确定目标组织的敏感数据存储风险值。
[0100]
在获取到每个数据存储表的存储风险值和每个数据存储表的存储表权重系数之后，可确定出目标组织的敏感数据存储风险值。例如，可将存储表权重系数与对应数据存储表的存储风险值进行相乘，对各数据存储表的存储风险值进行差异化放大，然后求取放大后各数据存储表的存储风险值的加权和，将该加权和作为目标组织的敏感数据存储风险值。又例如，也可根据各数据存储表的存储风险值与对应存储表权重系数之间的比值，将各比值的平均值作为目标组织的敏感数据存储风险值。本公开实施例对确定目标组织的敏感数据存储风险值的方式不作限定。
[0101]
可选地，如图6所示，在一个实施例中，一种确定目标组织的敏感数据存储风险值的方式包括：
[0102]
s501，获取目标组织中各数据存储表的第二风险参考值之和，第二风险参考值为根据数据存储表的存储风险值和对应的存储表权重系数确定的。
[0103]
先根据数据存储表的存储风险值和对应的存储表权重系数确定第二风险参考值，每一个数据存储表确定一个第二风险参考值，然后将目标组织中各数据存储表的第二风险参考值求和。
[0104]
例如，可将数据存储表的存储风险值和对应的存储表权重系数的乘积确定为该数据存储表的第二风险参考值，即第二风险参考值＝单个数据存储表的存储风险值*对应存储表权重系数，然后获取各数据存储表的第二风险参考值之和，即sum(单个数据存储表的存储风险值*对应存储表权重系数)。
[0105]
s502，根据各数据存储表的第二风险参考值之和、各数据存储表的存储表权重系数之和，确定目标组织的敏感数据存储风险值。
[0106]
确定了各数据存储表的第二风险参考值之和之后，根据各数据存储表的第二风险参考值之和与各数据存储表的存储表权重系数之和，确定目标组织的敏感数据存储风险值。例如，可将各数据存储表的第二风险参考值之和与各数据存储表的存储表权重系数之和的比值，确定为目标组织的敏感数据存储风险值，即目标组织的敏感数据存储风险值＝sum(单个数据存储表的存储风险值*对应存储表权重系数)/sum(存储表权重系数)。
[0107]
本实施例提供的数据风险预测方法，通过获取目标组织中每个数据存储表的存储风险值，和每个数据存储表的存储表权重系数，并根据每个数据存储表的存储风险值和存储表权重系数，确定目标组织的敏感数据存储风险值。该方法中，以单个数据存储表为单元，确定出每个数据存储表的存储风险值，细化到每个数据存储表，再结合以不同数据存储表的数据量对敏感数据引起的安全风险的影响定义的存储表权重系数，对不同数据存储表的存储风险值进行差异化放大，从而使得确定出的敏感数据存储风险值更加可以精确地反映整个目标组织的敏感数据存储安全性。
[0108]
在上述确定每个数据存储表的存储风险值时，可结合各数据存储表中存储的敏感数据的字段数量和预设的风险系数来确定，那么对此方式，提供一实施例进行说明，如图7所示，该实施例包括：
[0109]
s601，获取每个数据存储表中存储的敏感数据的字段数量。
[0110]
一般地，一个组织中所涉及的数据存储表多种多样，在获取每个数据存储表中存储的敏感数据的字段数量时，其获取方式可以是通过实时关键字搜索识别的方式来确定该数据存储表中存储的敏感数据的字段数量。该获取方式也可以是通过每个数据存储表的数据类型明细来查询该数据存储表中存储的敏感数据的字段数量；其中，这里的数据类型明细指的是从建立一个数据存储表之处截止当前时刻，记录了一个数据存储表中所有数据的类型以及每种数据类型对应的数据量，进一步地该数据存储表中的数据的所有操作明细也可进行记录，方便后续查询。
[0111]
其中，数据存储表中敏感数据的字段数量也就是该数据存储表中存储的敏感数据的列的个数，即一列等同于一个字段。
[0112]
s602，根据每个数据存储表中存储的敏感数据的字段数量、预设的各数据存储表的风险系数，确定每个数据存储表的存储风险值；风险系数表示目标组织对数据存储表的风险控制程度。
[0113]
实际应用中，组织中对不同数据存储表的风险控制程度是不相同的，基于此，可设定风险系数，该风险系数表示目标组织对数据存储表的风险控制程度。实际应用中，每个数据存储表的风险系数可根据组织内部对该数据存储表的风险控制的程度进行自适应调节，本公开实施例对此不作限定。可选地，一个组织中各数据存储表的风险系数均相同。例如，假设一个数据存储表中的敏感数据的字段数量为n，该风险系数＝预设低风险临界值/n。
[0114]
根据上述每个数据存储表中存储的敏感数据的字段数量和预设的各数据存储表的风险系数可确定出每个数据存储表的存储风险值。可选地，该确定方式可以是通过将字段数量和风险系数的乘积作为存储风险值。
[0115]
可选地，该确定方式还可以是：根据每个数据存储表中存储的敏感数据的字段数量和风险系数，确定每个数据存储表的风险量化值；根据预设的低风险临界值和每个数据存储表的风险量化值，确定每个数据存储表的存储风险值。
[0116]
先确定出每个数据存储表的风险量化值，该风险量化值根据数据存储表中存储的敏感数据的字段数量和风险系数确定，例如，数据存储表中存储的敏感数据的字段数量和风险系数的乘积，即风险量化值＝风险系数*敏感数据的字段数量。然后根据预设的低风险临界值和每个数据存储表的风险量化值，确定每个数据存储表的存储风险值。例如，将低风险临界值和每个数据存储表的风险量化值之差确定为每个数据存储表的存储风险值，以低
风险临界值为100为例，单个数据存储表的存储风险值＝100
‑
风险系数*敏感数据的字段数量。又例如，还可以将低风险临界值和每个数据存储表的风险量化值的比值确定为每个数据存储表的存储风险值，本公开实施例对此不做限定。
[0117]
可针对不同组织设定较小数据存储表的存储风险值范围，如果确定出一个数据存储表的存储风险值高于这个范围的高风险边界，则确定该数据存储表中的敏感数据已经在整个大数据体系中开始蔓延，数据泄露的风险特别大，需要进行警示，以进行相应治理，保障数据的安全性。
[0118]
本实施例提供的数据风险预测方法，获取每个数据存储表中存储的敏感数据的字段数量，根据每个数据存储表中存储的敏感数据的字段数量、预设的各数据存储表的风险系数，确定每个数据存储表的存储风险值；该方法中，结合各数据存储表中存储的敏感数据的字段数量和预设的风险系数来确定每个数据存储表的存储风险值，使得确定出每个数据存储表的存储风险值可以精确地量化出单个数据存储表中敏感数据存储安全程度。
[0119]
在一个实施例中，如图8所示，上述获取目标组织的数据异常使用风险值过程包括以下步骤：
[0120]
s701，获取目标组织中每个用户的异常下载风险值，和每个用户的跨权限访问风险值。
[0121]
数据异常使用一般是由用户的个人对数据的使用行为引起的，因此，需以每个用户为单元监控每一个用户对数据的使用情况。
[0122]
可选地，可从监控用户的对数据的下载行为和数据的访问行为两方面来确定。具体地，获取每个用户的异常下载风险值和跨权限访问风险值，其中，异常下载风险值表示的是每个用户下载数据时的异常行为引起的数据安全风险程度，例如，用户下载数据时的异常行为指的是用户下面敏感数据行为；跨权限访问风险值表示的是每个用户跨权限访问数据引起的数据安全风险程度，例如，一般数据是有业务特征的，有些数据是基础数据，允许所有业务域的用户使用，但有些数据只对本业务域的用户使用，若用户跨业务域去访问数据，就属于跨权限访问。
[0123]
示例地，可以监测每个用户日常下载的数据的类型、数量等数据信息，然后根据检测的这些数据信息通过预设的算法或者预设的数据信息与风险值的对应关系等方式来确定该用户下载的数据引起的风险值，并将此风险值作为该用户的异常下载风险值。相应的，监测该用户日常工作中跨权限访问数据的频率、时间信息以及访问目的这些数据访问信息，然后根据监测的这些数据访问信息，通过预设的算法或者预设的数据访问信息与风险值的对应关系等方式进一步确定该用户跨权限访问数据引起的风险值，并将此风险值作为该用户的跨权限访问风险值。本公开实施例对获取用户的异常下载风险值和跨权限访问风险值的方式不作限定。
[0124]
s702，根据每个用户的异常下载风险值和跨权限访问风险值，确定每个用户的异常使用风险值。
[0125]
基于上述确定的每个用户的异常下载风险值和跨权限访问风险值，就可确定出每个用户的异常使用风险值。可选地，一种方式是将每个用户的异常下载风险值和跨权限访问风险值的均值作为该用户的用户的异常使用风险值。
[0126]
可选地，另一种方式是根据预设的权重系数，对每个用户的异常下载风险值和跨
权限访问风险值进行加权求和，得到为每个用户的异常使用风险值。例如，单个用户的异常使用风险值＝异常下载风险值*权重系数+(1
‑
权重系数)*跨权限访问风险值。其中，在设定权重系数时，可根据组织内部对异常下载行为和跨权限访问行为的影响度来设定，例如，异常下载行为相较于跨权限访问行为对数据安全带来的风险更大，那么就可设定异常下载风险值的权重系数为0.6，跨权限访问风险值的权重系数为0.4。
[0127]
s703，根据目标组织中各用户的异常使用风险值，确定目标组织的数据异常使用风险值。
[0128]
在上述过程中，可确定出组织内部每个用户的异常使用风险值，进一步地，根据每单个用户的异常使用风险值，可计算出整个组织内部的数据异常使用风险值，例如，可将目标组织中各用户的异常使用风险值均值或者和值确定为该目标组织的数据异常使用风险值。
[0129]
本实施例提供的一种数据风险预测方法，通过获取目标组织中每个用户的异常下载风险值和每个用户的跨权限访问风险值，并根据每个用户的异常下载风险值和跨权限访问风险值，确定每个用户的异常使用风险值，然后根据目标组织中各用户的异常使用风险值，确定目标组织的数据异常使用风险值。该方法中，监控到组织内部的每个用户的数据使用情况，全面掌控整个组织内每个用户的异常使用风险值，使得确定的组织整体的数据异常使用风险值更加精确。且在确定每个用户的异常使用风险值时，从异常下载风险值和跨权限访问风险值两方面确定，覆盖了数据的全部使用场景，进一步，提高了确定的组织整体的数据异常使用风险值的精确性。
[0130]
在一个实施例中，提供获取目标组织中每个用户的异常下载风险值的方式，该实施例包括：通过预设的量化策略，对每个用户的异常数据下载行为进行量化，得到的量化值作为每个用户的异常下载风险值；量化策略包括异常数据下载量与量化值之间的对应关系。
[0131]
本实施例中，预先制定一种包括异常数据下载量与量化值之间对应关系的量化策略，将该量化策略存储在数据库中，在获取用户的异常下载风险值时，直接调用该量化策略来对该用户的异常数据下载行为进行量化，得到的量化值作为该用户的异常下载风险值。
[0132]
用户的异常数据下载行为主要针对的是组织内部的敏感数据，但是实际应用中，存在一些特殊的业务是有下载使用敏感数据的诉求的，因此，在确定用户的异常下载风险值时，需要针对具体场景进行针对性分析。示例地，可以在制定量化策略时，对敏感数据的下载量进行量化，根据敏感数据下载量对该用户预设的安全量化值进行量化值扣除。例如，如下表4中示出了一种敏感数据下载量与对应扣除量化值之间的对应关系。
[0133]
表4
[0134]
敏感数据下载量扣除量化值0
‑
10万010
‑
30万4030
‑
100万60100
‑
1000万801000万以上100
[0135]
以单个用户预设的安全量化值为100为例，根据以上述表4设定的扣除量化值方
式，对单个用户的预设的安全量化值进行扣除，即从100开始扣除，若该用户的安全量化值扣除至0时，则禁止该用户下载敏感数据，并触发该用户的异常下载风险预警，以提醒组织该用户存在敏感数据异常下载行为，从而保障了组织中敏感数据的安全。且设定扣除量化值的量化策略，允许用户下载一定范围数据量的敏感数据，避免了用户是因特殊的业务诉求进行敏感数据下载，使得确定用户的异常下载风险值更加灵活、客观。
[0136]
本实施例中，通过预设的量化策略，对每个用户的异常数据下载行为进行量化，并将得到的量化值作为每个用户的异常下载风险值。将异常数据下载行为进行量化，以具体的数据来衡量用户的异常下载风险行为，使得确定的异常下载风险更加客观地反映数据异常风险程度。
[0137]
如图9所示，在一个实施例中，也提供了一种获取每个所述用户的跨权限访问风险值包括的实现方式，该实施例包括：
[0138]
s801，获取每个用户的各数据权限的访问风险值和各数据权限的安全等级系数。
[0139]
前面提及一个组织中存在多种数据权限类型，同样，组织内部的一个用户基于其负责的具体业务也存在分配了多种数据权限类型。因此，获取每个用户的跨权限访问风险值时，以该用户的单个数据权限的访问风险值来综合确定。其中，一个用户的单个数据权限的访问风险值可以通过判断该用户在访问某一个数据权限对应的业务域时是否允许访问来确定。
[0140]
可选地，获取每个用户的各数据权限的访问风险值，包括：若用户的数据权限为允许访问，确定用户的数据权限的访问风险值为预设的低风险临界值；若用户的数据权限为禁止访问，确定用户的数据权限的访问风险值为预设的高风险临界值。
[0141]
例如，以目标组织是企业、预设的低风险临界值是100，预设的高风险临界值是0为例，将企业中的数据分为基础数据和不同业务域的数据，其中，基础数据允许企业中所有用户访问，而不同业务域中，一个业务域对应一种数据权限，主要只针对有数据权限的各业务域的访问，则对于一个用户，若其访问的业务域的数据权限是允许访问，那么确定该用户该数据权限的访问风险值为预设的低风险临界值，即100，但若其访问的业务域的数据权限是禁止访问，那么确定该用户该数据权限的访问风险值为预设的高风险临界值，即0。
[0142]
当然，在实际应用中，设定用户访问某个业务域中数据时，除了通过授权对应数据权限，针对一些业务域支持特殊配置，例如，定制业务域访问规则，指定某些用户在访问时，若命中该规则就允许访问该业务域，否则不允许访问该业务域，允许直接取预设的低风险临界值100，不允许直接取预设的高风险临界值0。
[0143]
其中，每种数据权限还设定有对应的安全等级系数，该安全等级系数可根据各数据权限的安全重要度的大小顺序由小到大进行设定，例如，安全重要度排序：c1(公开数据)权限<c2(内部数据)权限<c3(私密数据)权限<c4(机密数据)权限<pii(pii数据)权限，那么设定这些数据权限对应的安全等级系数分别为1、2、3、4、5。本公开实施例对各数据权限的安全等级系数不作限定。
[0144]
s802，根据每个用户的各数据权限的访问风险值和对应的安全等级系数，确定每个用户的跨权限访问风险值。
[0145]
在获取到每个用户的各数据权限的访问风险值和每个用户的各数据权限的安全等级系数之后，可确定出每个用户的跨权限访问风险值。例如，可将安全等级系数与对应数
据权限的访问风险值进行相乘，对各数据权限的访问风险值进行差异化处理，然后求取处理后各数据权限的访问风险值的加权和，将该加权和作为该用户的跨权限访问风险值。又例如，也可根据各数据权限的访问风险值与对应安全等级系数之间的比值，将各比值的平均值作为该用户的跨权限访问风险值。本公开实施例对确定每个用户的跨权限访问风险值的方式不作限定。
[0146]
可选地，如图10所示，在一个实施例中，一种确定每个用户的跨权限访问风险值的方式包括：
[0147]
s901，获取每个用户的各数据权限的第三风险参考值之和，第三风险参考值为根据每个用户的数据权限的访问风险值和对应的安全等级系数确定的。
[0148]
先根据单个用户的单个数据权限的访问风险值和对应的安全等级系数确定第三风险参考值，每一个用户的单个数据权限确定一个第三风险参考值，然后将该用户的各数据权限的第三风险参考值求和。
[0149]
例如，可将单个数据权限的访问风险值和对应的安全等级系数的乘积确定为该用户的单个数据权限的第三风险参考值，即第三风险参考值＝单个数据权限的访问风险值*对应安全等级系数，然后获取该用户的单个数据权限的第三风险参考值之和，即sum(单个数据权限的访问风险值*对应安全等级系数)。
[0150]
s902，根据每个用户的各数据权限的第三风险参考值之和、每个用户的各数据权限的安全等级系数之和，确定每个用户的跨权限访问风险值。
[0151]
确定了每个用户的各数据权限的第三风险参考值之和之后，根据单个用户的各数据权限的第三风险参考值之和与该用户的各数据权限的安全等级系数之和，确定该用户的跨权限访问风险值。例如，可将该用户的各数据权限的第三风险参考值之和与该用户的各数据权限的安全等级系数之和的比值，确定为该用户的跨权限访问风险值，即该用户的跨权限访问风险值＝sum(单个数据权限的访问风险值*对应安全等级系数)/sum(安全等级系数)。
[0152]
本实施例提供的数据风险预测方法，通过获取每个用户的各数据权限的访问风险值和各数据权限的安全等级系数，并根据每个用户的各数据权限的访问风险值和对应的安全等级系数，确定每个用户的跨权限访问风险值。该方法中，以单个数据权限为单元，确定出每个数据权限的访问风险值，细化到每个数据权限，再结合以不同数据权限的安全等级系数，对不同数据权限的访问风险值进行差异化处理，从而使得确定出的跨权限访问风险值更加可以精确地反映单个用户的跨权限访问数据的安全性。
[0153]
应该理解的是，虽然图2
‑
10的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2
‑
10中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0154]
在一个实施例中，如图11所示，提供了一种数据风险预测装置，该装置包括：风险值获取模块10、预测值确定模块11，其中：
[0155]
风险值获取模块10，获取目标组织的权限闲置风险值、敏感数据存储风险值、数据
异常使用风险值；
[0156]
其中，权限闲置风险值表示目标组织中数据权限闲置引起的数据安全风险程度；敏感数据存储风险值表示目标组织中敏感数据引起的数据安全风险程度；数据异常使用风险值表示目标组织中异常使用引起的数据安全风险程度；
[0157]
预测值确定模块11，用于根据权限闲置风险值、敏感数据存储风险值、数据异常使用风险值，确定目标组织的数据安全风险的预测值。
[0158]
在一个实施例中，如图12所示，提供了一种数据风险预测装置，上述风险值获取模块10包括：权限参数获取单元101和权限风险值确定单元102；其中，
[0159]
权限参数获取单元101，用于获取目标组织中每个数据权限的闲置风险值，和每个数据权限的安全权限系数；安全权限系数为根据各数据权限的安全风险和重要度确定；
[0160]
权限风险值确定单元102，用于根据每个数据权限的闲置风险值和安全权限系数，确定目标组织的权限闲置风险值。
[0161]
在一个实施例中，如图13所示，提供了一种数据风险预测装置，上述权限参数获取单元101包括：单权限风险值确定子单元1011，用于根据每个数据权限的最近一次闲置天数、预设的各数据权限的允许闲置天数和闲置系数，确定每个数据权限的闲置风险值；闲置系数表示不同阶段的数据权限的安全要求程度。
[0162]
在一个实施例中，提供了一种数据风险预测装置，上述单权限风险值确定子单元1011，具体用于获取最近一次闲置天数与允许闲置天数之间的差值；根据差值与闲置系数的乘积、预设的低风险临界值，确定每个数据权限的闲置风险值。
[0163]
在一个实施例中，如图14所示，提供了一种数据风险预测装置，上述权限风险值确定单元102包括：第一风险参考值子单元1021和权限风险值子单元1022；其中，
[0164]
第一风险参考值子单元1021，用于获取目标组织中各数据权限的第一风险参考值之和，第一风险参考值为根据数据权限的闲置风险值和对应的安全权限系数确定；
[0165]
权限风险值子单元1022，用于根据各数据权限的第一风险参考值之和、各数据权限的安全权限系数之和，确定目标组织的权限闲置风险值。
[0166]
在一个实施例中，如图15所示，提供了一种数据风险预测装置，上述风险值获取模块10包括：存储表参数获取单元103和存储表风险确定单元104；其中，
[0167]
存储表参数获取单元103，用于获取目标组织中每个数据存储表的存储风险值，和每个数据存储表的存储表权重系数；存储表权重系数为根据对应数据存储表的总数量确定的；
[0168]
存储表风险确定单元104，用于根据每个数据存储表的存储风险值和存储表权重系数，确定目标组织的敏感数据存储风险值。
[0169]
在一个实施例中，如图16所示，提供了一种数据风险预测装置，上述存储表参数获取单元103包括：敏感字段量获取子单元1031和单存储表风险值确定子单元1032；其中，
[0170]
敏感字段量获取子单元1031，用于获取每个数据存储表中存储的敏感数据的字段数量；
[0171]
单存储表风险值确定子单元1032，用于根据每个数据存储表中存储的敏感数据的字段数量、预设的各数据存储表的风险系数，确定每个数据存储表的存储风险值；风险系数表示目标组织对数据存储表的风险控制程度。
[0172]
在一个实施例中，提供了一种数据风险预测装置，上述单存储表风险值子确定单元1032，具体用于根据每个数据存储表中存储的敏感数据的字段数量和风险系数，确定每个数据存储表的风险量化值；根据预设的低风险临界值和每个数据存储表的风险量化值，确定每个数据存储表的存储风险值。
[0173]
在一个实施例中，提供了一种数据风险预测装置，上述存储表风险确定单元104，具体用于获取目标组织中各数据存储表的第二风险参考值之和；根据各数据存储表的第二风险参考值之和、各数据存储表的存储表权重系数之和，确定目标组织的敏感数据存储风险值；第二风险参考值为根据数据存储表的存储风险值和对应的存储表权重系数确定的。
[0174]
在一个实施例中，如图17所示，提供了一种数据风险预测装置，上述风险值获取模块10包括：异常参数获取单元105、单用户风险确定单元106、异常使用风险确定单元107；其中，
[0175]
异常参数获取单元105，用于获取目标组织中每个用户的异常下载风险值，和每个用户的跨权限访问风险值；
[0176]
单用户风险确定单元106，用于根据每个用户的异常下载风险值和跨权限访问风险值，确定每个用户的异常使用风险值；
[0177]
异常使用风险确定单元107，用于根据目标组织中各用户的异常使用风险值，确定目标组织的数据异常使用风险值。
[0178]
在一个实施例中，提供了一种数据风险预测装置，上述异常参数获取单元105，具体用于通过预设的量化策略，对每个用户的异常数据下载行为进行量化，得到的量化值作为每个用户的异常下载风险值；量化策略包括异常数据下载量与量化值之间的对应关系。
[0179]
在一个实施例中，如图18所示，提供了一种数据风险预测装置，上述异常参数获取单元105包括：跨权限访问参数获取子单元1051和跨权限访问风险确定子单元1052；其中，
[0180]
跨权限访问参数获取子单元1051，用于获取每个用户的各数据权限的访问风险值和各数据权限的安全等级系数；
[0181]
跨权限访问风险确定子单元1052，用于根据每个用户的各数据权限的访问风险值和对应的安全等级系数，确定每个用户的跨权限访问风险值。
[0182]
在一个实施例中，提供了一种数据风险预测装置，上述跨权限访问参数获取子单元1051，具体用于若用户的数据权限为允许访问，确定用户的数据权限的访问风险值为预设的低风险临界值；若用户的数据权限为禁止访问，确定用户的数据权限的访问风险值为预设的高风险临界值。
[0183]
在一个实施例中，提供了一种数据风险预测装置，上述跨权限访问风险确定子单元1052，具体用于获取每个用户的各数据权限的第三风险参考值之和，第三风险参考值为根据每个用户的数据权限的访问风险值和对应的安全等级系数确定的；根据每个用户的各数据权限的第三风险参考值之和、每个用户的各数据权限的安全等级系数之和，确定每个用户的跨权限访问风险值。
[0184]
在一个实施例中，提供了一种数据风险预测装置，上述单用户风险确定单元106，具体用于根据预设的权重系数，对每个用户的异常下载风险值和跨权限访问风险值进行加权求和，得到为每个用户的异常使用风险值。
[0185]
关于数据风险预测装置的具体限定可以参见上文中对于数据风险预测方法的限
定，在此不再赘述。上述数据风险预测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以以硬件形式内嵌于或独立于电子设备中的处理器中，也可以以软件形式存储于电子设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0186]
图19是根据一示例性实施例示出的一种电子设备1300的框图。例如，电子设备1300可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。参照图19，电子设备1300可以包括以下一个或多个组件：处理组件1302，存储器1304，电源组件1306，多媒体组件1308，音频组件1310，输入/输出(i/o)的接口1312，传感器组件1314，以及通信组件1316。其中，存储器上存储有在处理器上运行的计算机程序或者指令。
[0187]
处理组件1302通常控制电子设备1300的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件1302可以包括一个或多个处理器1320来执行指令，以完成上述方法的全部或部分步骤。此外，处理组件1302可以包括一个或多个模块，便于处理组件1302和其他组件之间的交互。例如，处理组件1302可以包括多媒体模块，以方便多媒体组件1308和处理组件1302之间的交互。
[0188]
存储器1304被配置为存储各种类型的数据以支持在电子设备1300的操作。这些数据的示例包括用于在电子设备1300上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器1304可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
[0189]
电源组件1306为电子设备1300的各种组件提供电力。电源组件1306可以包括电源管理系统，一个或多个电源，及其他与为电子设备1300生成、管理和分配电力相关联的组件。
[0190]
多媒体组件1308包括在所述电子设备1300和用户之间的提供一个输出接口的触控显示屏。在一些实施例中，触控显示屏可以包括液晶显示器(lcd)和触摸面板(tp)。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件1308包括一个前置摄像头和/或后置摄像头。当电子设备1300处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
[0191]
音频组件1310被配置为输出和/或输入音频信号。例如，音频组件1310包括一个麦克风(mic)，当电子设备1300处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1304或经由通信组件1316发送。在一些实施例中，音频组件1310还包括一个扬声器，用于输出音频信号。
[0192]
i/o接口1312为处理组件1302和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和
锁定按钮。
[0193]
传感器组件1314包括一个或多个传感器，用于为电子设备1300提供各个方面的状态评估。例如，传感器组件1314可以检测到电子设备1300的打开/关闭状态，组件的相对定位，例如所述组件为电子设备1300的显示器和小键盘，传感器组件1314还可以检测电子设备1300或电子设备1300一个组件的位置改变，用户与电子设备1300接触的存在或不存在，电子设备1300方位或加速/减速和电子设备1300的温度变化。传感器组件1314可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件1314还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件1314还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
[0194]
通信组件1316被配置为便于电子设备1300和其他设备之间有线或无线方式的通信。电子设备1300可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件1316经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件1316还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。
[0195]
在示例性实施例中，电子设备1300可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述数据风险预测方法。
[0196]
图20是根据一示例性实施例示出的一种服务器1400的框图。参照图20，服务器1400包括处理组件1420，其进一步包括一个或多个处理器，以及由存储器1422所代表的存储器资源，用于存储可由处理组件1420执行的指令或者计算机程序，例如应用程序。存储器1422中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1420被配置为执行指令，以执行上述数据风险预测的方法。
[0197]
服务器1400还可以包括一个电源组件1424被配置为执行设备1400的电源管理，一个有线或无线网络接口1426被配置为将设备1400连接到网络，和一个输入输出(i/o)接口1428。服务器1400可以操作基于存储在存储器1422的操作系统，例如window14 14ervertm，mac o14 xtm，unixtm,linuxtm，freeb14dtm或类似。
[0198]
在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器1304，上述指令可由电子设备1300的处理器1320执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd
‑
rom、磁带、软盘和光数据存储设备等。
[0199]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本公开实施例所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取
存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0200]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0201]
以上所述实施例仅表达了本公开实施例的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本公开实施例构思的前提下，还可以做出若干变形和改进，这些都属于本公开实施例的保护范围。因此，本公开实施例专利的保护范围应以所附权利要求为准。