数据使用风险评估方法、装置和系统与流程

本发明涉及信息领域，尤其涉及一种数据使用风险评估方法、装置和系统。

背景技术：

数据泄露是每个公司都会面临的问题，根据第三方机构的统计，公司核心数据泄露、企业商业机密泄漏大部分是由内部员工引发的，并且常常是员工主动而为的泄密行为。因此，防止内部员工泄露公司机密信息是公司数据防泄漏、企业文件防泄密的核心目标。

应该注意，上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

技术实现要素：

为了解决内部员工引发的数据泄露问题，本发明实施例提供了一种数据使用风险评估方法、装置和系统。

根据本发明实施例的第一方面，提供了一种数据使用风险评估方法，其中，所述方法包括：

收集所有员工的操作日志，对所述操作日志进行解析和处理，生成标准化数据；

根据预先设定的多个安全维度对所述标准化数据进行特征提取，得到对应每个安全维度的特征数据；

使用对应各个安全维度的特征数据对评分卡模型进行训练，得到员工安全分预测模型；

使用所述员工安全分预测模型对待评估员工在每个安全维度的分数进行计算；

根据所述待评估员工在每个安全维度的分数对所述待评估员工的数据使用风险进行评估。

根据本发明实施例的第二方面，提供了一种数据使用风险评估装置，其中，所述装置包括：

预处理单元，其收集所有员工的操作日志，对所述操作日志进行解析和处理，生成标准化数据；

提取单元，其根据预先设定的多个安全维度对所述标准化数据进行特征提取，得到对应每个安全维度的特征数据；

训练单元，其使用对应各个安全维度的特征数据对评分卡模型进行训练，得到员工安全分预测模型；

分数评估单元，其使用所述员工安全分预测模型对待评估员工在每个安全维度的分数进行计算；

风险评估单元，其根据所述待评估员工在每个安全维度的分数对所述待评估员工的数据使用风险进行评估。

根据本发明实施例的第三方面，提供了一种计算机系统，其中，所述系统包括前述第二方面所述的数据使用风险评估装置。

根据本发明实施例的其他方面，提供了一种存储有计算机可读程序的存储介质，其中所述计算机可读程序使得计算机执行前述第一方面所述的数据使用风险评估方法。

本发明的有益效果在于：本发明实施例通过量化的方法来衡量企业内部员工的数据使用风险，进而，可以对员工的数据使用风险进行预警和防控。

参照后文的说明和附图，详细公开了本发明的特定实施方式，指明了本发明的原理可以被采用的方式。应该理解，本发明的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内，本发明的实施方式包括许多改变、修改和等同。

针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用，与其它实施方式中的特征相组合，或替代其它实施方式中的特征。

应该强调，术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在，但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。

附图说明

在本发明实施例的一个附图或一种实施方式中描述的元素和特征可以与一个或更多个其它附图或实施方式中示出的元素和特征相结合。此外，在附图中，类似的标号表示几个附图中对应的部件，并可用于指示多于一种实施方式中使用的对应部件。

所包括的附图用来提供对本发明实施例的进一步的理解，其构成了说明书的一部分，用于例示本发明的实施方式，并与文字描述一起来阐释本发明的原理。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1是一个实施例的数据使用风险评估方法的示意图；

图2是一个实施例的数据使用风险评估方法的一个实施方式的数据处理示意图；

图3是一个实施例的数据使用风险评估装置的示意图；

图4是一个实施例的计算机系统的示意图。

具体实施方式

参照附图，通过下面的说明书，本发明实施例的前述以及其它特征将变得明显。在下面的说明和附图中，具体公开了本发明实施例的特定实施方式，其表明了其中可以采用本发明实施例的原则的部分实施方式，应了解的是，本发明实施例不限于所描述的实施方式，相反，本发明实施例包括落入所附权利要求的范围内的全部修改、变型以及等同物。

在本发明实施例中，术语“第一”、“第二”等用于对不同元素从称谓上进行区分，但并不表示这些元素的空间排列或时间顺序等，这些元素不应被这些术语所限制。术语“和/或”包括相关联列出的术语的一种或多个中的任何一个和所有组合。术语“包含”、“包括”、“具有”等是指所陈述的特征、元素、元件或组件的存在，但并不排除存在或添加一个或多个其他特征、元素、元件或组件。

在本发明实施例中，单数形式“一”、“该”等包括复数形式，应广义地理解为“一种”或“一类”而并不是限定为“一个”的含义；此外术语“所述”应理解为既包括单数形式也包括复数形式，除非上下文另外明确指出。此外术语“根据”应理解为“至少部分根据……”，术语“基于”应理解为“至少部分基于……”，除非上下文另外明确指出。

下面结合附图对本发明实施例的各种实施方式进行说明。这些实施方式只是示例性的，不是对本发明实施例的限制。

本实施例提供了一种数据使用风险评估方法，图1是本实施例的数据使用风险评估方法的示意图，如图1所示，该方法包括：

步骤101：收集所有员工的操作日志，对所述操作日志进行解析和处理，生成标准化数据。

步骤102：根据预先设定的多个安全维度对所述标准化数据进行特征提取，得到对应每个安全维度的特征数据。

步骤103：使用对应各个安全维度的特征数据对评分卡模型进行训练，得到员工安全分预测模型。

步骤104：使用所述员工安全分预测模型对待评估员工在每个安全维度的分数进行计算。

步骤105：根据所述待评估员工在每个安全维度的分数对所述待评估员工的数据使用风险进行评估。

通过本实施例的方法，将员工的操作日志抽象出多个维度的特征数据，能够全方位地勾勒出员工的数据使用现状与风险的可能性。由此，通过量化的方法来衡量企业内部员工的数据使用风险，可以对员工的数据使用风险进行预警和防控。

在本实施例中，在步骤101中，员工的操作日志包括员工在企业中各种行为的操作日志，例如员工所使用的终端、员工所进行的数据操作、员工的权限、员工的主动操作和被动反馈行为等等。在步骤101中，通过对这些原始的操作日志进行标准化处理，可以生成所需格式的数据，例如，对这些操作日志进行解析和处理，生成固定格式、固定信息的数据表。本实施例对解析和处理的方式不作限制，对生成的数据表的形式也不作限制，例如，可以采用分布式数据处理技术，数据表的格式可以是分布式数据库或者非关系型的数据库等，具体可以参考现有技术，此处不再赘述。

在本实施例中，在步骤102中，可以对标准化处理后的员工的操作日志(简称为标准化数据)进行量化处理，抽象出多个安全维度的特征数据。在本实施例中，这多个安全维度是预先设定的，例如，这多个安全维度可以是下面五种安全维度的任意组合：信息技术(informationtechnology，it)安全、数据安全、权限安全、行为安全、安全意识。

在本实施例中，在上述五种安全维度的基础上，每一种安全维度还可以延伸出一种或者多种子维度，例如，it安全维度可以包括下面的子维度的任意组合：数据泄露防护(dataleakageprevention，dlp)安装、弱密码账号、恶意网站访问、杀毒软件安装、终端域控介入、终端高危漏洞、以及终端高风险软件；数据安全维度可以包括下面的子维度的任意组合：数据外发风险、以及闲置数据表权限；权限安全维度可以包括下面的子维度的任意组合：互斥权限、长期有效角色、闲置通用角色、闲置非通用角色、以及高风险裸操作权限；行为安全维度可以包括下面的子维度：高风险行为；安全意识维度可以包括下面的子维度的任意组合：信息安全考试、审计反馈效率、以及未完成反馈任务。由此，可以将标准化数据抽象出五个安全维度18个子维度的特征数据。

在本实施例中，对安全维度的数量和每个安全维度扩展出来的子维度的数量不作限制，例如，多个安全维度可以在上面五种安全维度的基础上增加新的安全维度或者减少部分安全维度，每一种安全维度在前述子维度的基础上还可以增加其他子维度或者减少部分子维度。

在本实施例中，在步骤103中，可以使用前述抽象出来的各个安全维度的特征数据对评分卡模型进行训练，得到员工安全分预测模型，例如将步骤102中得到的特征数据输入评分卡模型，得到该员工安全分预测模型。这里，评分卡模型例如为广泛应用于金融公司的信用评分的评分卡模型，在本实施例中，将其用于员工安全度的衡量场景中。在本实施例中，对该员工安全分预测模型的具体构建方式不作限制，可以参考现有的模型构建方式，例如可以使用开源工具、spark或阿里的pai平台等。由于该员工安全分预测模型是基于各个员工的历史行为数据和实时数据构建的，因此，其可以用于根据某员工的历史行为评估该员工在各个安全维度和/或各个子维度上的得分，具体将在下面进行说明。

在本实施例中，步骤101-102是对员工的原始操作日志进行预处理的过程，步骤103是训练员工安全分预测模型的过程，在对员工的数据使用风险进行评估的过程中，可以使用建立起来的预测模型进行数据使用风险的评估，而不会每次评估都执行步骤103。

在本实施例中，在步骤104中，可以使用上述员工安全分预测模型对待评估员工在每个安全维度上的分数进行计算。例如，可以将该待评估员工在每个安全维度的特征数据输入上述预测模型，进而得到该待评估员工在每个安全维度上的分数。再例如，在每个安全维度包括一个或多个子维度的情况下，可以将待评估员工在每个子维度的特征数据输入所述员工安全分预测模型，得到所述待评估员工在每个子维度的分数。

在步骤104中，该待评估员工在每个安全维度上的特征数据是通过步骤101-102得到的，也即是通过收集该待评估员工的操作日志，对其进行标准化处理，并根据各个安全维度进行特征提取得到的，具体如前所述，此处不再赘述。此外，步骤104的待评估员工可以是步骤101-102所涉及的员工中的其中一个，也可以不是步骤101-102所涉及的员工。

在本实施例中，在步骤105中，得到了待评估员工在每个安全维度或每个子维度的分数，即可据此对该待评估员工的数据使用风险进行评估。例如，可以将待评估员工在每个安全维度的分数进行加权求平均，得到该待评估员工的安全分；然后根据预先设定的规则和/或相似度计算的方式确定该待评估员工的扣分原因和/或优化建议。再例如，可以将该待评估员工在每个子维度的分数进行加权求平均，得到该待评估员工的整体安全分和在各个安全维度的安全分；然后根据预先设定的规则和/或相似度计算的方式确定该待评估员工的扣分原因和/或优化建议。

在步骤105中，可以根据历史数据和专家经验总结出可能的扣分原因和优化项建议，并采用规则推荐和相似度计算两种方式生成安全分扣分原因解释和安全分优化项建议。在本实施例中，对规则推荐和相似度计算的方式均不作限制，例如可以采用关联规则、协同过滤等算法。可以参考现有技术。

在本实施例中，如图1所示，可选的，该方法还可以包括：

步骤106：根据所述待评估员工的安全分变化趋势，生成并输出所述待评估员工的异动提醒。

由此，通过生成安全分扣分原因、优化项建议和异动提醒，可以达到“现状描绘→风险预警→原因描述→解决方案推荐”一站式风险防控的目的。

在本实施例中，安全分变化趋势是根据待评估员工的历史安全分产生的，本实施例对该变化趋势的形式不作限制，可以是曲线形式、柱体形式等。此外，本实施例对异动提醒的输出方式不作限制，可以是声音、灯光或提示框等。

图2是本实施例的数据使用分析评估方法的一个示例的示意图，如图2所示，根据本实施例的方法，当员工安全分预测模型建立起来之后，对于每个待评估员工，先将标准化后的该待评估员工的操作日志(终端数据、数据操作、权限数据、主动操作行为、被动操作行为)抽象为五个安全维度(it安全、数据安全、权限安全、行为安全、以及安全意识)18个子维度(dlp安装、弱密码账号、恶意网站访问、杀毒软件安装、终端域控介入、终端高危漏洞、以及终端高风险软件；数据外发风险、以及闲置数据表权限；互斥权限、长期有效角色、闲置通用角色、闲置非通用角色、以及高风险裸操作权限；高风险行为；信息安全考试、审计反馈效率、以及未完成反馈任务)的特征数据，然后将其输入预先建立起来的员工安全分预测模型，得到该待评估员工的整体安全分、各安全维度的安全分、安全分扣分原因解释、安全分优化项建议、以及安全分异动提醒。

在本实施例的上述方法中，通过量化的方法来衡量企业内部员工的数据使用风险，可以对员工的数据使用风险进行预警和防控。

本实施例提供一种数据使用风险评估装置。由于该装置解决问题的原理与上述实施例的方法类似，因此其具体的实施可以参照上述实施例的方法的实施，内容相同之处不再重复说明。

图3是本实施例的数据使用风险评估装置的示意图，如图3所示，该数据使用风险评估装置300包括：预处理器单元301、提取单元302、训练单元303、分数评估单元304、以及风险评估单元305。

预处理单元301收集所有员工的操作日志，对所述操作日志进行解析和处理，生成标准化数据；提取单元302根据预先设定的多个安全维度对所述标准化数据进行特征提取，得到对应每个安全维度的特征数据；训练单元303使用对应各个安全维度的特征数据对评分卡模型进行训练，得到员工安全分预测模型；分数评估单元304使用所述员工安全分预测模型对待评估员工在每个安全维度的分数进行计算；风险评估单元305根据所述待评估员工在每个安全维度的分数对所述待评估员工的数据使用风险进行评估。

在本实施例中，所述操作日志可以包括员工所使用的终端、员工所进行的数据操作、员工的权限、员工的主动操作、员工的被动反馈行为。

在本实施例中，所述多个安全维度可以包括以下维度的任意组合：it安全、数据安全、权限安全、行为安全、以及安全意识。

在本实施例中，所述it安全的维度可以包括以下子维度的任意组合：dlp安装、弱密码账号、恶意网站访问、杀毒软件安装、终端域控介入、终端高危漏洞、以及终端高风险软件；所述数据安全的维度可以包括以下子维度的任意组合：数据外发风险、以及闲置数据表权限；所述权限安全的维度可以包括以下子维度的任意组合：互斥权限、长期有效角色、闲置通用角色、闲置非通用角色、以及高风险裸操作权限；所述行为安全的维度可以包括以下子维度：高风险行为；所述安全意识的维度可以包括以下子维度的任意组合：信息安全考试、审计反馈效率、以及未完成反馈任务。

在一个实施例中，分数评估单元304可以将所述待评估员工在每个安全维度的特征数据输入所述员工安全分预测模型，得到所述待评估员工在每个安全维度的分数。

在这个实施例中，风险评估单元305可以将所述待评估员工在每个安全维度的分数进行加权求平均，得到所述待评估员工的安全分；根据预先设定的规则和/或相似度计算的方式确定所述待评估员工的扣分原因和/或优化建议。

在另一个实施例中，每个安全维度包括一个或多个子维度，分数评估单元304可以将所述待评估员工在每个子维度的特征数据输入所述员工安全分预测模型，得到所述待评估员工在每个子维度的分数。

在这个实施例中，风险评估单元305可以将所述待评估员工在每个子维度的分数进行加权求平均，得到所述待评估员工的安全分和各个安全维度的安全分；根据预先设定的规则和/或相似度计算的方式确定所述待评估员工的扣分原因和/或优化建议。

在本实施例中，如图3所示，该装置300还可以包括：

输出单元306，其根据所述待评估员工的安全分变化趋势，生成并输出所述待评估员工的异动提醒。

在本实施例的上述装置中，通过量化的方法来衡量企业内部员工的数据使用风险，可以对员工的数据使用风险进行预警和防控。

本实施例还提供了一种计算机系统，该计算机系统可以包括上述实施例所述的数据使用风险评估装置。

图4是本实施例的计算机系统的构成示意图，如图4所示，该计算机系统400可以包括：中央处理器(cpu)401和存储器402；存储器402耦合到中央处理器401。其中该存储器402可存储各种数据；此外还存储信息处理的程序，并且在中央处理器401的控制下执行该程序。

在一个实施方式中，上述实施例所述的数据使用风险评估装置的功能可以被集成到中央处理器401中。

在另一个实施方式中，上述实施例所述的数据使用风险评估装置可以与中央处理器401分开配置，例如可以将数据使用风险评估装置配置为与中央处理器401连接的芯片，通过中央处理器401的控制来实现数据使用风险评估装置的功能。

此外，如图4所示，该计算机系统400还可以包括：输入装置403和输出装置404等；其中，上述部件的功能与现有技术类似，此处不再赘述。值得注意的是，计算机系统400也并不是必须要包括图4中所示的所有部件；此外，计算机系统400还可以包括图4中没有示出的部件，可以参考现有技术。

通过本实施例的计算机系统，通过量化的方法来衡量企业内部员工的数据使用风险，可以对员工的数据使用风险进行预警和防控。

本发明实施例还提供一种存储有计算机可读程序的存储介质，其中所述计算机可读程序使得计算机执行上述实施例所述的方法。

本发明以上的装置和方法可以由硬件实现，也可以由硬件结合软件实现。本发明涉及这样的计算机可读程序，当该程序被逻辑部件所执行时，能够使该逻辑部件实现上文所述的装置或构成部件，或使该逻辑部件实现上文所述的各种方法或步骤。逻辑部件例如现场可编程逻辑部件、微处理器、计算机中使用的处理器等。本发明还涉及用于存储以上程序的存储介质，如硬盘、磁盘、光盘、dvd、flash存储器等。

结合本发明实施例描述的方法/装置可直接体现为硬件、由处理器执行的软件模块或二者组合。例如，图中所示的功能框图中的一个或多个和/或功能框图的一个或多个组合，既可以对应于计算机程序流程的各个软件模块，亦可以对应于各个硬件模块。这些软件模块，可以分别对应于图中所示的各个步骤。这些硬件模块例如可利用现场可编程门阵列(fpga)将这些软件模块固化而实现。

软件模块可以位于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、移动磁盘、cd-rom或者本领域已知的任何其它形式的存储介质。可以将一种存储介质耦接至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息；或者该存储介质可以是处理器的组成部分。处理器和存储介质可以位于asic中。该软件模块可以存储在移动终端的存储器中，也可以存储在可插入移动终端的存储卡中。例如，若设备(如移动终端)采用的是较大容量的mega-sim卡或者大容量的闪存装置，则该软件模块可存储在该mega-sim卡或者大容量的闪存装置中。

针对附图中描述的功能方框中的一个或多个和/或功能方框的一个或多个组合，可以实现为用于执行本发明所描述功能的通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。针对附图描述的功能方框中的一个或多个和/或功能方框的一个或多个组合，还可以实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、与dsp通信结合的一个或多个微处理器或者任何其它这种配置。

以上结合具体的实施方式对本发明进行了描述，但本领域技术人员应该清楚，这些描述都是示例性的，并不是对本发明保护范围的限制。本领域技术人员可以根据本发明的精神和原理对本发明做出各种变型和修改，这些变型和修改也在本发明的范围内。