实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0028]敏感资源包括敏感资产和敏感数据,敏感资产指的是敏感数据所在物理设备;敏感数据是指包含客户信息或企业高价值信息的敏感文件或者数据数据表,比如客户信息,客户通话信息,客户资金信息等。
[0029]实施例一
[0030]本发明实施例提供了一种敏感数据模糊化装置,作为可访问敏感数据所在服务器的客户端的数据需求应用的辅助配件,如图2所示本装置包括数据获取模块M101、数据分析模块Ml 02、数据处理模块Ml 03和数据响应模块Ml 04。
[0031]所述的数据获取模块MlOl,用于从数据需求应用获取其从服务器请求访问的返回数据,传递给数据分析模块。从服务器请求访问的返回数据直接给应用程序使用,可能会造成敏感数据泄露,其中可能含有重要的关系企业商业秘密的信息。因此,本装置通过数据采集、抓取等方式获得这些数据并准备做消除数据敏感性的处理,传递给数据分析模块M102。
[0032]所述的数据分析模块M102,用于敏感数据特征匹配策略制定与管理,按照敏感数据特征匹配策略对从数据获取模块MlOl传递来的数据进行匹配,找出符合特征的敏感数据,传递给数据处理模块M103。每一个数据需求应用都会有自己的敏感数据特征定义,由于应用的需求的不同,对敏感数据特征和范围也不同,不同的数据需求应用会有不同的敏感数据特征定义,例如员工工资对于业务部门的业务管理应用来说是敏感数据,但是对于人力管理部门的人力管理应用来说就不是敏感数据。可以按照使用需求将敏感数据按照敏感度进行分级,例如定义一级敏感度具有一定的特征,再增加一些特征可定义二级敏感度,还可以增加特征定义三级敏感度,敏感度越高,识别出来的数据范围越小,因此,敏感数据特征的定义决定了敏感数据特征匹配策略的复杂度,根据应用需求的不同,要制定满足各自应用需求的敏感数据特征匹配策略,通常可以使用正则表达式来表达。
[0033]敏感数据特征匹配策略的管理,可以包括编辑、制定、增加、删除、备份等管理功會K。
[0034]所述的数据处理模块M103,用于制定与数据分析模块M102制定的敏感数据特征匹配策略相适合的敏感数据模糊化策略并管理,按照所述敏感数据模糊化策略对从数据分析模块M102传递来的敏感数据进行模糊化处理,得到模糊化的非敏感数据,传递给数据响应模块M104。不同的敏感数据特征匹配策略应有相适应的敏感数据模糊化策略,遵循共同的敏感数据特征,从而将敏感数据转化为非敏感数据。高级别敏感度数据匹配策略对应的数据模糊化要求也更高,相应地模糊策略更为复杂一些。敏感数据模糊化策略通常也可以使用正则表达式来表达,模糊化数据处理的过程就是去除数据敏感性的过程。
[0035]敏感数据模糊化策略的管理,可以包括编辑、制定、增加、删除、备份等管理功能。
[0036]数据响应模块M104,将收到的经过模糊化的非敏感数据返回给数据需求者或数据需求应用。
[0037]实施例二
[0038]如图3所示,其中的数据分析模块M102又可以进一步包括敏感数据特征匹配策略制定与管理单元M1021,用于制定敏感数据特征匹配策略并管理;特征匹配单元M1022,用于按照敏感数据特征匹配策略对从数据获取模块MlOl传递来的数据进行匹配,找出符合特征的敏感数据,传递给数据处理模块Ml 03。
[0039]实施例三
[0040]如图4所示,其中的数据处理模块M103又可以进一步包括敏感数据模糊化策略制定与管理单元M1031,用于制定与数据分析模块M102制定的敏感数据特征匹配策略相适合的敏感数据模糊化策略并管理;敏感数据模糊化处理单元M1032,用于按照敏感数据模糊化策略对从数据分析模块M102传递来的敏感数据进行模糊化处理,得到模糊化的敏感数据,传递给数据响应模块Ml 04。
[0041 ]实施例四
[0042]如图5所示,提供了一种敏感数据模糊化装置,作为可访问敏感数据所在服务器的客户端的数据需求应用的辅助配件,如图5所示装置包括数据获取模块M301、特征匹配单元M302、敏感数据特征匹配策略制定与管理单元M3021、敏感数据模糊化处理单元M303、敏感数据模糊化策略制定与管理单元M3031和数据响应模块M304。
[0043]所述的M301从数据需求应用获取其从服务器请求访问的数据,传递给M302,M302按照M3021制定的敏感数据特征匹配策略对从M301传递来的数据进行匹配,找出符合特征的敏感数据,传递给M303,M303按照M3031制定的敏感数据模糊化策略对从M302传递来的敏感数据进行模糊化处理,得到模糊化的敏感数据,传递给M304,M304将收到的经过模糊化的非敏感数据返回给数据需求者或数据需求应用。
[0044]实施例五
[0045]本发明实施例还提供了一种敏感数据模糊化装置的两种应用情形。如图6所示,作为可访问敏感数据所在服务器的客户端的数据需求应用的辅助配件,辅助配件可以是数据需求应用所在客户端设备的串行设备,可与数据需求应用进行数据通讯,实践中可以通过路由器协助实现数据调度,控制应用请求返回的数据需要先经过串行设备进行敏感数据模糊化处理,然后将模糊化处理的结果返回到客户端,以满足客户端的应用需求,比如浏览器要将结果数据显示给终端客户。如图7所示,辅助配件可以安装于可访问敏感数据所在服务器的客户端,作为客户端上数据需求应用的组件或者插件使用。无论是在客户端设置串行设备还是在客户端安装组件或者插件,本技术方案由于是在客户端完成敏感数据模糊化过程,消耗客户端的机器资源和性能,对远端的服务器性能不会带来性能影响。
[0046]实施例六
[0047]所述的数据需求应用可以是浏览器,浏览器是对服务器中的数据内容进行查询统计的普遍性工具,从而满足各种应用需求。在浏览器将从服务器中获得数据之后准备显示之前,可以将获得的数据交给本装置进行处理,从而将敏感数据识别出来并进行模糊化处理,得到非敏感数据,然后再给用户显示,就规避了泄露敏感数据的危险。
[0048]所述的数据需求应用可以是IE浏览器,可通过ActiveX方式获取从服务器请求访问的返回数据,例如某企业预先制定了敏感数据特征匹配策略,确定含有客户姓名、客户电话号码、销售额的内容属于敏感信息,则有正则表达式“如果数据包含敏感电话号码“010-88158000”或者客户联系人“张光明”或者“销售额”,那么该数据写入敏感数据区;然后又制定了相应的敏感数据模糊化策略,将含有敏感电话号码“010-88158000”的数据修改为“010-8815XXXX”,将其中“张光明”修改为“张XX”,将其中“销售额”删除,再进行模糊化处理,从敏感数据区取出数据,运用模糊化规则处理,得到修改后的数据放入新闻播放区,将新闻播放区内容返回给IE浏览器,则IE浏览器只会显示经过处理之后的新闻播放内容。
[0049]实施例七
[0050]本发明实