信任风险事件的追踪方法、装置、电子设备和存储介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种信任风险事件的追踪方法、装置、电子设备和存储介质。


背景技术：

2.在零信任领域中，平台或应用的安全访问边界不再是传统的局域网等物理边界。用户每一次使用资源的权限都是被严格限制的，因此，当用户需要访问某些资源且被动态授权时，管理员和/或用户等都可能希望能够追踪到该用户被动态授权的具体原因。
3.例如，当用户在使用零信任整体解决方案时，如果用户在使用设备登录并需要访问某个应用时，该用户的访问被阻断，此时的管理员和/或用户可能仅知道该用户的访问被阻断了，但并不知道该用户的访问被阻断的具体原因，管理员也并不清楚现有零信任方案中的实施效果。也就是说，在现有技术中的零信任系统中，如果仅获知信任计算结果，虽然能实现实现动态授权和访问控制，但当用户的访问被阻断时，用户无法知道被阻断的具体原因，也就无法知道具体应该如何才能解决现有的风险，恢复或获得相应的访问权限。
4.另外，现有技术中的零信任系统中所使用的很多溯源追踪技术都仅考虑了现有场景和系统的溯源需求，而没有对于扩展性有相应的设计。
5.此外，现有技术中大多是基于单一数据源的数据，而并未考虑不同数据源在溯源系统中的数据统一性。


技术实现要素：

6.有鉴于此，本发明提供了一种信任风险事件的追踪方法、装置、电子设备和存储介质，从而可以在获得信任计算结果后，对于产生结果的原因实现对具体风险事件的追踪。
7.第一方面，本发明实施例提供了一种信任风险事件的追踪方法，该方法包括：
8.对接收到的数据进行处理，将数据中的预先指定的字段写入到预设的预留字段中；
9.根据处理后的数据进行风险分析；当风险分析结果中包括风险事件时，根据预留字段和风险分析结果生成对应的风险分析快照数据，并将风险分析快照数据存储到快照数据库中；
10.根据风险分析结果进行信任分析，根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
11.进一步的，该方法还进一步包括：
12.根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
13.进一步的，所述根据预留字段和风险分析结果生成对应的风险分析快照数据，并将风险分析快照数据存储到快照数据库中包括：
14.根据预留字段和风险分析结果中的风险事件中的关键数据生成对应的风险分析
快照数据，并将所述风险分析快照数据存储到快照数据库中，且在快照数据库中为所述风险分析快照数据设置一个唯一的快照标识。
15.进一步的，所述根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据存储到快照数据库中包括：
16.根据预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照标识，生成对应的信任分析快照数据，并将所述信任分析快照数据存储到快照数据库中，且在快照数据库中为所述信任分析快照数据设置一个唯一的快照标识；
17.根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个风险事件对应的信任分析快照数据的快照标识，生成信任等级快照数据，并将所述信任等级快照数据存储到快照数据库中，且在快照数据库中为所述信任等级快照数据设置一个唯一的快照标识。
18.进一步的，所述信任分析快照数据中携带有对应的各个风险分析快照数据的快照标识的信息；
19.所述信任等级快照数据中携带有各个事件对应的信任分析快照数据的快照标识的信息。
20.进一步的，根据各种快照数据的快照标识组成一个溯源树，将信任等级快照数据的快照标识作为溯源树的根节点，将对应的各条信任分析快照数据的快照标识作为溯源树的中间结点，将各条风险分析快照数据的快照标识作为溯源树的叶子结点。
21.进一步的，该方法还进一步包括：
22.根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据，生成相应的数据列表。
23.进一步的，所述数据为单一来源或多个来源的日志数据。
24.进一步的，所述日志数据为应用访问数据、api调用数据、用户认证数据中的任意一种数据或任意多种数据的组合。
25.进一步的，所述风险事件包括：内部风险事件和外部风险事件。
26.第二方面，本发明实施例还提供了一种信任风险事件的追踪装置，所述追踪装置包括：数据处理模块、风险分析模块、信任分析模块和快照数据库；
27.所述数据处理模块，用于对接收到的数据进行处理，将数据中的预先指定的字段写入到预设的预留字段中；
28.所述风险分析模块，用于根据处理后的数据进行风险分析；当风险分析结果中包括风险事件时，根据预留字段和风险分析结果生成对应的风险分析快照数据，并将风险分析快照数据发送给快照数据库，将风险分析结果发送给所述信任分析模块；
29.所述信任分析模块，用于根据风险分析结果进行信任分析，生成并输出信任分析结果；根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据发送给快照数据库；
30.所述快照数据库，用于存储风险分析快照数据、信任分析快照数据和信任等级快照数据，为每一条风险分析快照数据、信任分析快照数据和信任等级快照数据均设置一个唯一的快照标识，并将风险分析快照数据、信任分析快照数据和信任等级快照数据的快照
标识发送给信任分析模块。
31.进一步的，所述追踪装置还进一步包括：写入模块；
32.所述风险分析模块将风险分析快照数据发送给所述写入模块；
33.所述信任分析模块将信任分析快照数据和信任等级快照数据发送给所述写入模块；
34.所述写入模块，用于将接收到的风险分析快照数据、信任分析快照数据和信任等级快照数据存储到快照数据库中。
35.进一步的，所述追踪装置还进一步包括：查询模块；
36.所述查询模块与所述快照数据库连接，用于根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
37.进一步的，所述查询模块还用于根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据，生成相应的数据列表。
38.第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器、总线及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如第一方面所述信任风险事件的追踪方法的步骤。
39.第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如第一方面所述信任风险事件的追踪方法的步骤。
40.如上可见，在本发明中的信任风险事件的追踪方法、装置、电子设备和存储介质中，由于在对数据进行处理时，将数据中的预先指定的字段写入到预设的预留字段中；然后根据处理后的数据进行风险分析，生成风险分析快照数据并存储到快照中；再根据风险分析结果进行信任分析，生成对应的信任分析快照数据和信任等级快照数据并存储到快照中，从而可以在获得信任计算结果(即信任分析结果)后，对于产生结果的原因实现对具体风险事件的追踪。
附图说明
41.图1为本发明实施例中的信任风险事件的追踪方法的流程示意图。
42.图2为本发明实施例中的信任风险事件的追踪装置的示意图。
43.图3为本发明实施例中的溯源树的示意图。
44.图4为本发明一个实施例中的电子设备的结构示意图。
具体实施方式
45.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
46.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用
的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
47.图1为本发明实施例中的信任风险事件的追踪方法的流程图。
48.如图1所示，本发明实施例中的信任风险事件的追踪方法包括如下所述步骤：
49.步骤11，对接收到的数据进行处理，将数据中的预先指定的字段写入到预设的预留字段中。
50.在本发明的技术方案中，在接收到数据后，将先对所接收到的数据进行处理。
51.例如，作为示例，在本发明的一个较佳的具体实施例中，所述数据可以是各种日志数据。
52.例如，作为示例，在本发明的一个较佳的具体实施例中，所述日志数据可以是应用访问数据、api调用数据、用户认证数据中的任意一种数据或任意多种数据的组合。
53.因此，在本发明的技术方案中，并不仅限于对单一来源的日志数据进行处理和分析，也可以对多源(即多个来源)的日志数据进行处理和分析。
54.具体来说，例如，作为示例，在本发明的一个较佳的具体实施例中，在接收到日志数据后，可以将该日志数据中的一些字段(即预先指定或确定的字段，例如，用户或管理员比较关注的一些字段)提取出来，并将提取出来的字段写入到与该日志数据对应的预留字段中。
55.例如，作为示例，在本发明的一个较佳的具体实施例中，当用户a使用一台未曾使用过的且携带有病毒的计算机b在某个“统一登录平台”登录时，所接收到的日志数据为该用户a使用计算机b进行登录时的登录日志数据(用户认证数据中的一种数据)。此时，可以对该登录日志数据进行处理，将该登录日志数据中的预先指定的字段(例如，该用户a的用户id、用户名、登录时的ip地址以及计算机b的设备id等)提取出来，并将提取出来的字段写入到与该登录日志数据对应的预留字段中。
56.步骤12，根据处理后的数据进行风险分析；当风险分析结果中包括风险事件时，根据预留字段和风险分析结果生成对应的风险分析快照数据，并将风险分析快照数据存储到快照数据库中。
57.在本发明的技术方案中，在对接收到的日志数据进行处理之后，还将根据处理后的数据进行风险分析，并得到风险分析结果。其中，该风险分析结果中可能会包括风险事件，而所述风险事件可以包括两类事件：内部风险事件和外部风险事件。其中，内部风险事件一般是指系统通过自动分析发现的风险事件，而外部风险事件一般是指从系统外部获知的风险事件，例如，从系统接入的第三方风险发现平台获知的风险事件等。
58.在根据处理后的数据进行风险分析时，如果产生了风险事件，则可以根据预留字段和风险分析结果生成对应的风险分析快照数据，并将所生成的风险分析快照数据存储到预设的快照数据库中，且为该风险分析快照数据设置一个唯一的快照标识(id)。
59.例如，作为示例，在本发明的一个较佳的具体实施例中，假设上述的用户a使用未曾使用过的且携带有病毒的计算机b在“统一登录平台”登录。在对登录日志数据进行处理
之后，还将根据处理后的数据进行风险分析，并得到风险分析结果。此时，该风险分析结果包括：内部风险事件和外部风险事件；其中，内部风险事件为：用户a使用了新的设备(即计算机b)登录；而外部风险事件为：计算机b中携带有病毒。
60.此时，可以根据预留字段和风险分析结果中的风险事件中的关键数据生成对应的风险分析快照数据，并将该风险分析快照数据存储到预设的快照数据库中，且在快照数据库中为该风险分析快照数据设置一个唯一的快照标识(id)。
61.例如，作为示例，对于风险分析结果中的上述内部风险事件，可以将预留字段和内部风险事件中的关键数据(举例来说，用于描述事件的关键信息。例如，所述关键数据可以是：用户标识、设备标识、时间和事件标识等信息，也可以是其它的关键信息)传输给写入模块；而写入模块则可将预留字段中的字段取出，并根据所取出的字段以及内部风险事件中的关键数据生成一条风险分析快照数据，并将该风险分析快照数据存储到预设的快照数据库中。快照数据库将为该风险分析快照数据设置一个唯一的快照标识(即快照id)，例如，快照id01。
62.同理，作为示例，对于风险分析结果中的上述外部风险事件，也可以将预留字段和外部风险事件中的关键数据(例如，所述关键数据也可以是：用户标识、设备标识、时间、事件标识等信息，也可以是其它的关键信息)传输给写入模块；而写入模块则可将预留字段中的字段取出，并根据所取出的字段以及外部风险事件中的关键数据生成一条风险分析快照数据，并将该风险分析快照数据也存储到预设的快照数据库中。快照数据库也将为该风险分析快照数据设置一个唯一的快照id，例如，快照id02。
63.因此可知，通过上述的步骤，就可以在根据处理后的数据进行风险分析，并在得到的风险分析结果中包括风险事件时，根据预留字段和风险分析结果生成对应的风险分析快照数据，并将风险分析快照数据存储到预设的快照数据库中，且为每一条风险分析快照数据都分别设置一个唯一的快照id。
64.通过上述的操作，即可完成在风险分析阶段对所接收到的各种日志数据的标记(即如果产生风险事件，则可通过风险分析快照数据以及相应的快照id对日志数据进行标记)。
65.步骤13，根据风险分析结果进行信任分析，根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
66.在本发明的技术方案中，在根据处理后的数据进行风险分析得到风险分析结果之后，如果风险分析结果中包括风险事件，则还将对风险分析结果进行信任分析，并得到信任分析结果。其中，该信任分析结果中可以包括：对风险事件的分析结果以及各个风险事件对应的信任等级。
67.在得到信任分析结果之后，可以根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据存储到预设的快照数据库中，且为信任分析快照数据和信任等级快照数据均设置一个唯一的快照id。
68.例如，作为示例，在本发明的一个较佳的具体实施例中，假设上述的用户a使用未曾使用过的且携带有病毒的计算机b在“统一登录平台”登录时，产生了上述的内部风险事件和外部风险事件，则在本步骤中，将根据上述的内部风险事件和外部风险事件分别进行
信任分析，并分别得到信任分析结果；然后，再根据上述的预留字段中的字段、信任分析结果中的关键数据以及各个风险事件对应的风险分析快照数据的快照id，生成对应的信任分析快照数据，并将信任分析快照数据存储到预设的快照数据库中，且在快照数据库中为所述信任分析快照数据设置一个唯一的快照标识。
69.例如，作为示例，在本发明的一个较佳的具体实施例中，当风险分析结果中出现内部风险事件时，将对该内部风险事件进行信任分析，得到相应的信任分析结果；然后，再根据预留字段中的字段、信任分析结果中的关键数据(举例来说，用于描述结果的关键信息。例如，所述关键数据可以是：用户标识、设备标识、时间等信息，也可以是其它的关键信息)以及该内部风险事件对应的风险分析快照数据的快照id(例如，快照id01)，生成一条信任分析快照数据，并将该信任分析快照数据也存储到预设的快照数据库中。快照数据库也将为该信任分析快照数据设置一个唯一的快照id，例如，快照id03。也就是说，快照id03所对应的信任分析快照数据中携带有对应的风险分析快照数据的快照id01的信息。
70.同理，作为示例，在本发明的一个较佳的具体实施例中，当风险分析结果中出现外部风险事件时，将对该外部风险事件进行信任分析，得到相应的信任分析结果；然后，再根据预留字段中的字段、该信任分析结果中的关键数据(例如，所述关键数据也可以是：用户标识、设备标识、时间等信息，也可以是其它的关键信息)以及该外部风险事件对应的风险分析快照数据的快照id(例如，快照id02)，生成一条信任分析快照数据，并将该信任分析快照数据也存储到预设的快照数据库中。快照数据库也将为该信任分析快照数据设置一个唯一的快照id，例如，快照id04。也就是说，快照id04所对应的信任分析快照数据中携带有对应的风险分析快照数据的快照id02的信息。
71.另外，在本发明的技术方案中，在对风险分析结果进行信任分析时，该信任分析阶段可以由多层的分析组成，从而可以对风险分析结果中的各个风险事件逐层进行多层分析。
72.当对风险事件进行第一层分析时，可以生成与该风险事件对应的第一层的信任分析快照数据并存储到快照数据库中，具体生成方法与上述内部风险事件和外部风险事件的信任分析快照数据的生成方法相同，在此不再赘述。
73.当对风险事件进行第二层分析时，可以按照生成上述第一层的信任分析快照数据时所使用的相同或相类似的方法，生成与该风险事件对应的第二层的信任分析快照数据并存储到快照数据库中，并使得该第二层的信任分析快照数据中还携带有第一层的信任分析快照数据的快照id；依次类推，直至生成最后一层的信任分析快照数据，并存储到快照数据库中。
74.也就是说，在进行某一层的分析时，所生成的信任分析快照数据中都携带有上一层分析所生成的信任分析快照数据的id，从而可以便于在后续的查询过程进行溯源。
75.另外，作为示例，在本发明的一个较佳的具体实施例中，在对风险分析结果进行信任分析之后，还将根据预留字段中的字段、信任分析结果中各个事件对应的信任等级以及各个事件对应的信任分析快照数据的快照id，生成信任等级快照数据，并将该信任等级快照数据存储到预设的快照数据库中。快照数据库将为该信任等级快照数据也设置一个唯一的快照id(例如，快照id05)。也就是说，快照id05所对应的信任等级快照数据中携带有各个事件对应的信任分析快照数据的快照id03和快照id04的信息。
76.因此可知，通过上述的步骤，就可以在根据风险分析结果进行信任分析，并得到信任分析结果时，根据预留字段和信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据存储到预设的快照数据库中，且为每一条信任分析快照数据和信任等级快照数据都分别设置一个唯一的快照id。
77.通过上述的操作，即可完成在信任分析阶段对所接收到的各种日志数据的标记(即通过信任分析快照数据和信任等级快照数据以及相应的快照id对日志数据进行标记)。
78.因此，通过上述的步骤11～13，即可在数据进行处理、分析时的每一个环节都做好标记，并在标记环节时每一个关键计算都会产生一个具有唯一快照id的快照数据。
79.更进一步的，在本发明的技术方案中，当需要根据信任分析结果做相应的决策处理时，可以将信任分析结果和最后阶段产生的信任等级快照数据的快照id告知用户和/或管理员，用户和/或管理员即可根据该快照id追踪到具体的风险事件。
80.在根据信任分析结果和信任等级快照数据的快照id追溯风险事件的阶段，实际上就是上述标记阶段的逆向溯源的过程。此时，可以将各种快照数据的快照id组成一个溯源树，例如，如图3所示。信任等级快照数据的快照id(即图3中的“等级快照id”)相当于溯源树的根节点，多次、层次信任分析产生的各条信任分析快照数据的快照id(即图3中的“分析快照id”)相当于溯源树的中间结点，而各条风险分析快照数据的快照id(即图3中的各个风险事件的快照id)则相当于溯源树的叶子结点。
81.在上述的标记阶段，由于在每个处理、分析过程中都记录了与相应原因相关的快照数据以及对应的快照id，因此，溯源树中的每一个结点都能溯源到唯一的子节点。所以，通过信任等级快照数据的的快照id，层层找到对应的子节点，便能迅速构建并产生对应的唯一溯源树，例如，可以使用广度优先算法构建溯源树，并找到溯源树上的所有结点，也可以找到产生信任等级快照数据的快照id所对应的所有风险事件。所以，通过上述的溯源树，即可根据信任分析结果和对应的信任等级快照数据查询到相对应的各个风险事件，从而实现对风险事件的追溯操作。
82.因此，作为示例，在本发明的一个较佳的具体实施例中，所述信任风险事件的追踪方法还可以进一步包括：
83.步骤14，根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
84.在本发明的技术方案中，在对事件进行信任分析之后，将生产相应的信任分析结果以及对应的信任等级快照数据。因此，如果有需要(例如，当用户被零信任拦截，即信任等级较低，需要查看拦截原因时)，则可以根据该信任分析结果和对应的信任等级快照数据的快照id查询到相对应的所有风险事件。
85.例如，作为示例，在本发明的一个较佳的具体实施例中，当用户a使用一台未曾使用过的且携带有病毒的计算机b在某个“统一登录平台”登录时，通过上述的步骤11～13可以生成信任分析结果以及多条快照数据，各条快照数据将存储到预设的快照数据库中，且均具有对应的快照id。
86.而当用户a完成登录后，在使用上述计算机b访问某一个需要高信任等级才能访问的应用c时，系统可以根据信任分析结果查询该用户a和计算机b的信任等级，同时也可以获取对应的信任等级快照数据的快照id(例如，快照id05)。
87.由于信任等级低(即用户a+计算机b这个主体没有访问权限)，因此用户a被阻断。
当用户a和/或管理员需要查看为何被阻断时，可以通过该用户a对应的信任等级快照数据的快照id(例如，快照id05)，查询到该快照id对应的整条信任等级快照数据的内容；然后，可以从该信任等级快照数据中查询到各个事件对应的信任分析快照数据的快照id的信息(例如，快照id03和快照id04)；随后，再根据各条信任分析快照数据的快照id，查询到各条信任分析快照数据，并从查询到的各条信任分析快照数据中查询到各个事件对应的风险分析快照数据的快照id的信息(例如，快照id01和快照id02)；接着，就可以根据查询到的各条风险分析快照数据获知各个风险事件的具体情况。例如，计算机b中存在病毒，用户a使用新设备登录。然后，即可将各个风险事件的具体情况告知用户和/或管理员，从而完成了本发明的风险事件的追溯操作。
88.另外，在本发明的技术方案中，可以根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据，生成相应的数据列表，以便于用户和/或管理员进行查询和/或管理。
89.例如，作为示例，在本发明的一个较佳的具体实施例中，可以根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据，生成一个如下所述的数据列表：
[0090][0091]
表1
[0092]
通过上述的列表，用户和/或管理员可以获知从风险事件到信任结果的全过程，并可以通过最上层的信任等级结果，查询找到最底层的风险事件。
[0093]
例如，在上述列表中，每一列的数据含义如上述列表所示。从每一行来看，首先，用户和/或管理员看到的上述列表的第一行是最终的信任等级结果。当用户和/或管理员对该信任等级结果感兴趣，并需要知道产生信任等级结果的原因时，可以点击展开，可以看到列表的下面几行的具体结果。其中，上述列表的第二行是由信任等级结果下面一层的信任分析过程的结果(即信任分析结果)，上述列表的第三行则是风险事件的结果(即风险分析结果)。
[0094]
另外，在本技术的技术方案中，还提出了一种信任风险事件的追踪装置。
[0095]
如图2所示，本发明实施例中的信任风险事件的追踪装置包括：数据处理模块21、风险分析模块22、信任分析模块23和快照数据库24；
[0096]
所述数据处理模块21，用于对接收到的数据进行处理，将数据中的预先指定的字段写入到预设的预留字段中；
[0097]
所述风险分析模块22，用于根据处理后的数据进行风险分析；当风险分析结果中包括风险事件时，根据预留字段和风险分析结果生成对应的风险分析快照数据，并将风险分析快照数据发送给快照数据库24，将风险分析结果发送给所述信任分析模块23；
[0098]
所述信任分析模块23，用于根据风险分析结果进行信任分析，生成并输出信任分析结果；根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据发送给快照数据库24；
[0099]
所述快照数据库24，用于存储风险分析快照数据、信任分析快照数据和信任等级快照数据，为每一条风险分析快照数据、信任分析快照数据和信任等级快照数据均设置一个唯一的快照标识，并将风险分析快照数据、信任分析快照数据和信任等级快照数据的快照标识发送给信任分析模块23。
[0100]
更进一步的，作为示例，在本发明的一个较佳的具体实施例中，所述信任风险事件的追踪装置还可以进一步包括：写入模块25；
[0101]
所述风险分析模块22将风险分析快照数据发送给所述写入模块25；
[0102]
所述信任分析模块23将信任分析快照数据和信任等级快照数据发送给所述写入模块25；
[0103]
所述写入模块25，用于将接收到的风险分析快照数据、信任分析快照数据和信任等级快照数据存储到快照数据库24中。
[0104]
更进一步的，作为示例，在本发明的一个较佳的具体实施例中，所述信任风险事件的追踪装置还可以进一步包括：查询模块(图2中未示出)；
[0105]
所述查询模块与所述快照数据库24连接，用于根据信任分析结果和对应的信任等级快照数据查询相对应的风险事件。
[0106]
更进一步的，作为示例，在本发明的一个较佳的具体实施例中，所述查询模块还可以用于根据信任分析结果以及对应的信任分析快照数据和信任等级快照数据，生成相应的数据列表，以便于用户和/或管理员进行查询和/或管理。
[0107]
另外，本发明实施例提供的信任风险事件的追踪装置，可以用于执行前述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
[0108]
图4示出了本发明一实施例提供的一种电子设备的结构示意图，如图4所示，该电子设备可以包括处理器401、存储器402、总线403以及存储在存储器402上并可在处理器401上运行的计算机程序，其中，处理器401和存储器402通过总线403完成相互间的通信。所述处理器401执行所述计算机程序时实现上述方法的步骤，例如包括：对接收到的数据进行处理，将数据中的预先指定的字段写入到预设的预留字段中；根据处理后的数据进行风险分析；当风险分析结果中包括风险事件时，根据预留字段和风险分析结果生成对应的风险分析快照数据，并将风险分析快照数据存储到快照数据库中；根据风险分析结果进行信任分析，根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
[0109]
另外，本发明一实施例中还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法的步骤，例如包括：对接收到的数据进行处理，将数据中的预先指定的字段写入到预设的预留字段中；根据处理后的数据进行风险分析；当风险分析结果中包括风险事件时，根据预留字段和风险分析结果生成对应的风险分析快照数据，并将风险分析快照数据存储到快照数据库中；根据风险分析结果进行信任分析，根据信任分析结果生成对应的信任分析快照数据和信任等级快照数据，并将信任分析快照数据和信任等级快照数据存储到快照数据库中。
[0110]
综上所述，在本发明的技术方案中，由于在对数据进行处理时，将数据中的预先指定的字段写入到预设的预留字段中；然后根据处理后的数据进行风险分析，生成风险分析快照数据并存储到快照中；再根据风险分析结果进行信任分析，生成对应的信任分析快照
数据和信任等级快照数据并存储到快照中，从而可以在获得信任计算结果(即信任分析结果)后，对于产生结果的原因实现对具体风险事件的追踪和追溯。
[0111]
在使用本发明的技术方案后，对于用户来说，当用户被阻断访问后，可以使用户迅速地获知被阻断的具体原因，甚至可以根据该具体原因解决相应的风险，重新获得相应的访问权限；而对于管理员来说，可以清楚零信任中每一次动态策略的具体原因，根据被阻断的结果和预期的偏差及时调整动态策略，达到更好的零信任实施效果。
[0112]
另外，在本发明的技术方案中，既可以对单一来源的数据进行处理和分析，也可以对多源(即多个来源)数据进行处理和分析。其中，多源数据不仅包括收集来的多种多样的原始数据，也可以包括内部风险事件和外部风险事件的多源数据。
[0113]
进一步的，在本发明的技术方案中，由于设置了预留字段，在原数据收集和风险事件记录时，都考虑到了扩展性，因此本发明的技术方案具有很好的扩展性，便于在需求和技术演进过程中添加所需要的扩展属性。
[0114]
例如，上述的扩展性主要考虑了横向扩展。由于数据收集和风险收集分别是由统一的数据处理模块和风险分析模块处理的，例如，当风险事件的上游需求更多的数据时，可以通过进行风险收集的风险分析模块，将数据写入到风险数据源中；或者在数据进入上游时，由数据处理模块将新增的数据统一写入到数据中。例如：比如上游需求中需要新增用户的数据，可以首先在原数据收集时，将需要的用户数据写入预留字段中，此时，预留字段的内容将被带到数据处理模块，数据处理模块可以将用户数据写入需求的数据中。
[0115]
因此可知，本发明的技术方案具有良好的扩展性，从而便于更快地适应产品和需求的演进。
[0116]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0117]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0118]
最后应说明的是：以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。