一种信息化管理方法、装置、系统及分析设备与流程

本发明涉及业务信息化支撑领域，尤其涉及一种信息化管理方法、装置、系统及分析设备。

背景技术：

随着电子商务、移动互联网、物联网信息技术的飞速发展，人们的生活和工作越来越依赖各种互联网应用，其支撑业务平台也越来越复杂，业务系统数据库积累了大量的商业经营数据、用户个人数据和访问操作记录。

然而，随着数据分析被越来越广泛的使用，也带来了对个人隐私信息和企业商业机密的安全防护的挑战。在数据的管理使用中，关键是要确认数据使用方是否经过正确的授权且访问许可范围的数据，需要给数据制定安全属性标签，标识清楚数据的安全等级、价值等级和访问权限级别，进行分类管控。

现有技术中，识别数据库敏感信息的方法主要有：

1、人工采集数据库的少量样本数据，人工辨别确认其敏感信息分类和设置敏感级别。

2、采用程序方式分析，采集数据库的大量样本数据，采用正则表达匹配识别敏感信息。

但是，采用人工的方式，难以应对大数据量的数据识别；采用程序方式分析，难以应对缺乏规则的数据识别。而且，这两种方式都需要访问生产数据库用户表数据内容，获取部分数据内容用以识别敏感信息，容易造成敏感信息泄露；而且，直接访问生产数据库的方式，也有潜在风险。另外，对于数据库的动态变化调整，难以自动识别变化部分的敏感信息，也很难自动调整敏感信息的分类分级状况。

技术实现要素：

有鉴于此，本发明实施例期望提供一种信息化管理方法、装置、系统及分析设备，能解决因直接访问数据库业务表而导致的敏感信息泄密的问题，同时能监控数据库的变化，动态调整敏感信息的分类分级结果。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种信息化管理方法，所述方法包括：

采集待分析数据库的元数据信息，并将所述元数据信息解析到第一数据库，以通过所述第一数据库对所述元数据信息进行管理；

根据预设算法判断所述元数据信息中是否含有第一信息，如果有，将排除所述第一信息的元数据信息发送至分析设备，以由所述分析设备对第二信息进行分类识别，并确定所述第二信息在所述待分析数据库中的分布。

优选地，所述元数据信息至少包括：所述待分析数据库的逻辑模型的第一元数据信息、所述待分析数据库的物理模型的第二元数据信息。

优选地，所述采集待分析数据库的元数据信息，包括：

通过多数据集成接口适配器采集所述待分析数据库中的元数据信息。

优选地，所述采集待分析数据库的元数据信息，还包括：

利用ETL技术定期抽取所述待分析数据库中的元数据信息；

提取所述元数据信息中的数据模型；

将所述数据模型与基准数据模型进行对比，生成比较结果；

将所述对比结果通知所述分析设备。

优选地，所述由所述分析设备对第二信息进行分类识别，确定所述第二信息在所述待分析数据库中的分布，包括：

通过选定的文本特征和分类算法，对所述排除所述第一信息的元数据信息进行自动识别与分类；

依据识别与分类结果，配置访问控制策略。

本发明实施例还提供了一种信息化管理装置，所述信息化管理装置包括采 集单元、判断单元和发送单元；其中，

所述采集单元，用于采集待分析数据库的元数据信息，并将所述元数据信息解析到第一数据库：

所述判断单元，用于根据预设算法判断所述元数据信息中是否含有第一信息；

所述发送单元，用于将排除所述第一信息的元数据信息发送至分析设备，以由所述分析设备对第二信息进行分类识别，并确定所述第二信息在所述待分析数据库中的分布。

优选地，所述采集单元，还用于：

通过多数据集成接口适配器采集所述待分析数据库中的元数据信息。

优选地，所述采集单元，还用于：

利用ETL技术定期抽取所述待分析数据库中的元数据信息；

提取所述元数据信息中的数据模型；

将所述数据模型与基准数据模型进行对比，生成比较结果；

将所述对比结果通知所述分析设备。

本发明实施例还提供了一种分析设备，所述分析设备包括获取单元、识别单元和配置单元；其中，

所述获取单元，用于获取已排除所述第一信息的元数据信息；

所述识别单元，用于通过选定的文本特征和分类算法，对所述排除所述第一信息的元数据信息进行自动识别与分类；

所述配置单元，用于依据识别与分类结果，配置访问控制策略。

本发明实施例还提供了一种信息化管理系统，所述信息化管理系统包括信息化管理装置和分析设备；其中，

所述信息化管理装置为上文所述的信息化管理装置；

所述分析设备为上文所述的分析设备。

本发明实施例所提供的信息化管理方法、装置、系统及分析设备，采集待分析数据库的元数据信息，并将所述元数据信息解析到第一数据库，以通过所 述第一数据库对所述元数据信息进行管理；根据预设算法判断所述元数据信息中是否含有第一信息，如果有，将排除所述第一信息的元数据信息发送至分析设备，以由所述分析设备对第二信息进行分类识别，并确定所述第二信息在所述待分析数据库中的分布；如此，能解决因直接访问数据库业务表而导致的敏感信息泄密的问题，同时能监控数据库的变化，动态调整敏感信息的分类分级结果。

具体地，采用本发明实施例所述技术方案，不直接接触数据库业务表，不触碰敏感信息内容，只对描述待识别内容的元数据信息进行分析，不会造成敏感信息泄密；采用自动化的识别方法，可以对大规模的数据进行敏感信息分类，与采用人工方式或采用正则匹配方式对敏感信息进行分类识别相比，效率和准确度均有较大提高；采用多数据集成接口适配器和ETL技术来采集待分析数据库的元数据信息，能监控数据库的变化，动态调整敏感信息的分类分级结果。

附图说明

图1为本发明实施例提供的信息化管理方法的实现流程图一；

图2为本发明实施例提供的信息化管理方法的实现流程图二；

图3为本发明实施例提供的信息化管理装置的组成结构示意图；

图4为本发明实施例提供的分析设备的组成结构示意图；

图5为本发明实施例提供的信息化管理系统的组成结构示意图。

具体实施方式

为了能够更加详尽地了解本发明的特点与技术内容，下面结合附图对本发明的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本发明。

本发明中，ETL是Extraction Transformation Loading的简称，其中文名称为“数据提取、转换和加载”。

图1为本发明实施例提供的信息化管理方法的实现流程图一，如图1所示，所述方法主要包括以下步骤：

步骤101：采集待分析数据库的元数据信息，并将所述元数据信息解析到第一数据库，以通过所述第一数据库对所述元数据信息进行管理。

优选地，所述元数据信息至少可包括：

所述待分析数据库的逻辑模型的第一元数据信息、所述待分析数据库的物理模型的第二元数据信息。

这里，所述第一数据库由用户数据拥有方负责管理，并对与其相关的所有操作进行实时监控审计。

这里，所述待分析数据库可以是生产系统的用户表。

优选地，所述采集待分析数据库的元数据信息，可以包括：

通过多数据集成接口适配器采集所述待分析数据库中的元数据信息。

优选地，所述采集待分析数据库的元数据信息，还可以包括：

利用ETL技术定期抽取所述待分析数据库中的元数据信息；

提取所述元数据信息中的数据模型；

将所述数据模型与基准数据模型进行对比，生成比较结果；

将所述对比结果通知所述分析设备。

具体地，所述数据模型可以包括物理模型、逻辑模型。

步骤102：根据预设算法判断所述元数据信息中是否含有第一信息，如果有，将排除所述第一信息的元数据信息发送至分析设备，以由所述分析设备对第二信息进行分类识别，并确定所述第二信息在所述待分析数据库中的分布。

需要说明的是，所述第一信息的保密等级大于所述第二信息的保密等级。

这里，所述第二信息是指授权分析设备来分析的敏感信息。

这里，所述第一信息是由用户数据拥有方来设定的。

当然，所述第一信息可以是空条件，即将待分析数据库的所有元数据信息均交由分析设备来分析。

优选地，所述由所述分析设备对第二信息进行分类识别，确定所述第二信息在所述待分析数据库中的分布，可以包括：

通过选定的文本特征和分类算法，对所述排除所述第一信息的元数据信息 进行自动识别与分类；

依据识别与分类结果，配置访问控制策略。

这里，所述访问控制策略，可以包括：公开级、内部授权级、机密受限级。

具体地，配置访问控制策略，可以包括：

为第二信息标记安全属性标签；

根据第二信息标记的安全属性标签，制定按使用者级别授予其对相关数据访问与使用权限的数据访问控制策略。

上述步骤101、102的执行主体均可为信息化管理装置。

需要说明的是，所述待分析数据库可以是多个数据库，也可以是不同类型的数据库，如oracle数据库、DB2数据库、My SQL数据库、Teradate数据库、Metadate数据库等。

本实施例中所述信息化管理方法，采集待分析数据库的元数据信息，并将所述元数据信息解析到第一数据库，以通过所述第一数据库对所述元数据信息进行管理；根据预设算法判断所述元数据信息中是否含有第一信息，如果有，将排除所述第一信息的元数据信息发送至分析设备，以由所述分析设备对第二信息进行分类识别，并确定所述第二信息在所述待分析数据库中的分布；如此，能解决因直接访问数据库业务表而导致的敏感信息泄密的问题，同时能监控数据库的变化，动态调整敏感信息的分类分级结果。

图2为本发明实施例提供的信息化管理方法的实现流程图二，如图2所示，所述方法主要包括以下步骤：

步骤201：利用ETL技术定期抽取所述待分析数据库中的元数据信息。

步骤202：提取所述元数据信息中的数据模型。

具体地，所述数据模型可以包括物理模型、逻辑模型。

步骤203：将所述数据模型与基准数据模型进行对比，生成比较结果。

这里，所述基准数据模型可存储于实施例一的第一数据库中，或存储于服务器中、或存储于所述信息化管理装置的存储器中，等等。

步骤204：将所述对比结果通知所述分析设备。

优选地，所述将所述对比结果通知所述分析设备时，还可以包括：

更新所述第一数据库中的元数据信息。

上述步骤201～步骤204的执行主体均可为信息化管理装置。

步骤205：所述分析设备对第二信息进行分类识别，并重新确定所述第二信息在所述待分析数据库中的分布。

优选地，所述由所述分析设备对第二信息进行分类识别，并重新确定所述第二信息在所述待分析数据库中的分布，可以包括：

通过选定的文本特征和分类算法，对所述排除所述第一信息的元数据信息进行自动识别与分类；

依据识别与分类结果，重新配置访问控制策略。

本实施例中所述信息化管理方法，适用于有规则的数据。例如：电话号码、银行账号、身份证号码、地址信息、邮箱等。

本实施例中所述信息化管理方法，也适用于缺乏规则的数据。例如：密码、关键经营数据(客户量，业务量)、财务报表(营业收入额，利润额)等。

本实施例中所述信息化管理方法，利用ETL技术定期抽取所述待分析数据库中的元数据信息；提取所述元数据信息中的数据模型；将所述数据模型与基准数据模型进行对比，生成比较结果；所述分析设备对第二信息进行分类识别，并重新确定所述第二信息在所述待分析数据库中的分布。如此，能通过获得的第二信息识别与分类结果，可以实时校正系统中的敏感库表设置，对新增的敏感库表及时配置访问控制策略进行防护。

图3为本发明实施例提供的信息化管理装置的组成结构示意图，如图3所示，所述信息化管理装置包括采集单元31、判断单元32和发送单元33；其中，

所述采集单元31，用于采集待分析数据库的元数据信息，并将所述元数据信息解析到第一数据库：

所述判断单元32，用于根据预设算法判断所述元数据信息中是否含有第一信息；

所述发送单元33，用于将排除所述第一信息的元数据信息发送至分析设 备，以由所述分析设备对第二信息进行分类识别，并确定所述第二信息在所述待分析数据库中的分布。

优选地，所述采集单元31，还用于：

通过多数据集成接口适配器采集所述待分析数据库中的元数据信息。

优选地，所述采集单元31，还用于：

利用ETL技术定期抽取所述待分析数据库中的元数据信息；

提取所述元数据信息中的数据模型；

将所述数据模型与基准数据模型进行对比，生成比较结果；

将所述对比结果通知所述分析设备。

优选地，可以周期性的利用ETL技术抽取所述待分析数据库中的元数据信息。

上述信息化管理装置由用户数据的拥有方负责管理，并对所有操作进行实时监控审计。

实际应用中，所述采集单元31、判断单元32和发送单元33可由所述信息化管理装置所在终端中的中央处理器(CPU，Central Processing Unit)、微处理器(MPU，Micro Processor Unit)、数字信号处理器(DSP，Digital Signal Processor)或现场可编程门阵列(FPGA，Field Programmable Gate Array)实现。

图4为本发明实施例提供的分析设备的组成结构示意图，如图4所示，所述分析设备包括获取单元41、识别单元42和配置单元43；其中，

所述获取单元41，用于获取已排除所述第一信息的元数据信息；

所述识别单元42，用于通过选定的文本特征和分类算法，对所述排除所述第一信息的元数据信息进行自动识别与分类；

所述配置单元43，用于依据识别与分类结果，配置访问控制策略。

优选地，所述配置单元44，还用于更新访问控制策略。

实际应用中，所述获取单元41、识别单元42和配置单元43可由所述分析设备所在终端中的CPU、MPU、DSP或FPGA实现。

图5为本发明实施例提供的信息化管理系统的组成结构示意图，如图5所 示，所述信息化管理系统包括信息化管理装置和分析设备；其中，

所述信息化管理装置51，用于采集待分析数据库的元数据信息，并将所述元数据信息解析到第一数据库，以通过所述第一数据库对所述元数据信息进行管理；根据预设算法判断所述元数据信息中是否含有第一信息，如果有，将排除所述第一信息的元数据信息发送至分析设备；

所述分析设备52，用于对第二信息进行分类识别，并确定所述第二信息在所述待分析数据库中的分布。

优选地，所述信息化管理装置51，还用于：

通过多数据集成接口适配器采集所述待分析数据库中的元数据信息。

优选地，所述信息化管理装置51，还用于：

利用ETL技术定期抽取所述待分析数据库中的元数据信息；

提取所述元数据信息中的数据模型；

将所述数据模型与基准数据模型进行对比，生成比较结果；

将所述对比结果通知所述分析设备。

上述信息化管理装置51由用户数据的拥有方负责管理，并对所有操作进行实时监控审计。

上述分析设备52可以由经用户数据拥有方授权的第三方来负责管理。

这里，所述信息化管理装置51的具体的组成结构可如图3所示；所述客户端设备52的具体的组成结构可如图4所示。

通过上述技术方案，在分析设备和待分析数据库(数据源)之间，引入了隔离隐蔽生产环境的中间设备——信息化管理装置。该中间设备，由用户数据拥有方负责管理并对所有操作进行实时监控审计。分析设备不触碰生产环境和用户表中的敏感用户数据内容，避免了分析设备直接接触敏感信息内容而导致泄密的机会，且不影响生产系统的运行。同时，通过ETL动态抽取采集数据库模型元数据，可以按指定时间周期抽取数据库的元数据信息，形成实时的数据库模型信息，可实现动态分析敏感信息的分布变化。分析设备按敏感信息自动化分析识别流程，可以对采集到的数据库模型数据进行自动化的敏感信息分类 识别。

在本发明所提供的几个实施例中，应该理解到，所揭露的方法、设备和系统，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明实施例上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储 介质包括：移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。