一种用于分布式数据安全防护的装置、方法及其系统与流程

[0001]
本发明涉及计算机网络技术领域，尤其涉及一种用于分布式数据安全防护的装置、方法及其系统。


背景技术：

[0002]
企业信息系统中流转着大量高价值数据，这些数据一般存储在数据库或者文件存储系统中，是企业的核心资产，同时也是攻击者觊觎的目标。数据一旦泄露，会给企业带来不可估量的损失。为了维护企业利益，必须重视保护企业的数据安全，对企业数据存储中关键、敏感、重要的数据进行安全防护。
[0003]
企业中往往会建设众多的信息系统，每个信息系统都会产生相应的敏感数据需要进行安全保护，而针对每一个信息系统都部署一套数据安全防护解决方案或者产品，不仅增加了实施的难度，也会给企业造成巨大的财力和人力的开销，而且从管理上增加了复杂度，带来了后期大量复杂的运维工作。
[0004]
因此，需要一种针对企业内所有需要安全保护的信息系统，能够统一管理并精准实现每个信息系统中数据安全防护的方法，在保护企业数据资产的同时，也能够给企业带来管理和运维上的便利。


技术实现要素：

[0005]
本发明提供了一种用于分布式数据安全防护的装置、方法及其系统，通过预置数据安全防护策略，可以实时针对信息系统存储的数据执行安全防护措施，保障企业数据安全。
[0006]
为了实现上述目的，本发明提供一种用于分布式数据安全防护的装置，其包括一个数据安全管理平台和两个以上数据安全防护插件；
[0007]
所述数据安全管理平台用于进行数据安全防护策略的设置，包括控制面板、策略管理模块和密钥管理模块；
[0008]
所述控制面板为可视化界面，用户通过所述控制面板对所述策略管理模块和所述密钥管理器进行设置；
[0009]
所述策略管理模块，用于制定和管理针对信息系统的安全防护策略，具体包括制定、修改、删除和查询安全防护策略，每个信息系统的数据安全防护策略在策略管理模块中通过自定义进行设置，策略管理模块将安全防护策略发送给相应信息系统的数据安全防护插件；
[0010]
所述密钥管理器，用于向分布式部署的数据安全防护插件提供加解密数据所用的密钥；
[0011]
所述数据安全防护插件为信息系统提供免改造的主客体精细控制；所述数据安全防护插件分布式的部署在两个以上信息系统中，所述数据安全防护插件与策略管理模块和密钥管理器进行交互，从策略管理模块获取数据安全防护策略，从密钥管理器获取加解密
数据所用的密钥；
[0012]
当信息系统发生业务操作和数据访问时，所述数据安全防护插件在其通讯、数据访问或程序运行流程中进行拦截，获取通讯内容、数据访问内容或程序数据，解析并识别出拦截到的内容中的要素信息，根据所述要素信息，决策出适用于本次所述业务操作和数据访问的有效安全防护策略，执行决策出的所述有效安全防护策略；
[0013]
所述用于分布式数据安全防护的装置是一种集中式管理，由集中式的数据安全管理平台，分布式部署在各个信息系统中的安全防护插件共同实现，数据安全管理平台作为管理端，安全防护插件作为执行端，管理端与执行端之间是一对多的关系。
[0014]
优选的，所述数据安全防护插件，能够单独或者同时为信息系统中存储于数据库中的结构化数据和存储于文件系统中的非结构化数据提供安全保护。
[0015]
优选的，所述信息系统发生业务操作和数据访问时，所述数据安全防护插件在其通讯、数据访问或程序运行流程中进行拦截，获取通讯内容、数据访问内容或程序数据，具体包括：以通讯中介、代理或旁路监听的方式，获取所述信息系统的客户端与服务端之间的通讯内容，或获取所述信息系统与数据库之间的通讯内容；以驻留在数据库或文件系统中的组件、模块、服务、驱动或者嵌入代码方式，在所述信息系统访问数据库或文件数据时，获取到数据访问内容。
[0016]
优选的，所述数据安全防护插件解析并识别出通讯内容、数据访问内容或程序数据中的要素信息，具体包括：所述识别模块从所述拦截模块拦截到的内容中解析并识别出要素信息，所述要素信息可以用来构建描述访问行为的抽象信息模型对象的各个成员：执行业务操作和数据访问的主体；所要执行的业务操作和数据访问动作；被访问的数据库或文件的客体数据资源；访问动作发生的上下文环境、条件，包括时间、客户端ip地址、客户端地理位置、客户端设备类型及硬件规格、客户端操作系统类型及版本、客户端软件类型及标识。
[0017]
优选的，所述数据安全防护插件执行决策出的所述有效安全防护策略，具体场景包括：所请求的业务操作和数据访问在所述有效安全防护策略中不被允许，则给用户端返回拒绝访问的响应；通讯内容、数据访问内容、程序数据的流向是从用户端传向服务端或数据库、文件系统的后端，则对其中的在策略中指定的重要数据进行加密，并将处理后的内容沿原流转路径继续向后端传送；当通讯内容、数据访问内容、程序数据的流向是从后端传向用户端，则对其中的在策略中指定的重要数据进行解密或者遮掩、替代或模糊化的脱敏，并将处理后的内容沿原流转路径继续向用户端传送；进行审计操作，以记录所述信息系统中所发生的业务操作和数据访问行为和事件，以及所进行的处理。
[0018]
优选的，所述数据安全防护插件解析并识别出拦截到的内容中的要素信息具体为：
[0019]
a、执行业务操作和数据访问的主体subject，以其某些特征或属性来指定；如果没有指定，则所述安全防护策略默认适用于所有主体；
[0020]
b、所要执行的业务操作和数据访问动作operation，如果是业务性质的操作，或程序中的过程及方法，或对数据库、文件的某种操作，能通过名称或属性来指定；如果没有指定，则所述安全防护策略默认适用于任何业务操作和数据访问动作；
[0021]
c、被访问的客体数据资源object，如果是数据库或者文件，通过其特征或属性来
指定；如果没有指定，则所述安全防护策略默认适用于所有数据资源；
[0022]
d、业务操作和数据访问发生的上下文环境或条件context，包括时间、客户端ip地址、客户端地理位置、客户端设备类型及硬件规格、客户端操作系统类型及版本、客户端软件类型及标识或版本、本次会话已经发生的访问操作，如果没有指定环境条件，则所述安全防护策略默认适用于所有环境条件；
[0023]
e、针对所述主体在所述上下文环境条件下执行所述业务操作和数据访问动作来访问所述客体数据资源时，应该采取的防护措施。
[0024]
优选的，策略管理模块将安全防护策略发送给相应信息系统的数据安全防护插件，下发的时机包括策略初始化、策略新建、策略更新以及策略删除。
[0025]
本发明还公开了一种用于分布式数据安全防护的装置进行分布式数据安全防护的方法，其具体包括以下步骤：
[0026]
s1、在数据安全管理平台中的控制面板进行数据安全防护策略和密钥的设置，具体包括：
[0027]
s11、确定要进行安全保护的数据所在的信息系统；
[0028]
s12、确定要进行安全防护的数据所在的数据库表的列或者所在的文件目录；
[0029]
s13、确定加解密所要使用的密钥；
[0030]
s14、确定所要使用的安全防护策略；
[0031]
s15、确认完成数据安全防护策略的设置；
[0032]
s2、策略管理模块将本次新增或者编辑的数据安全防护策略进行保存，并下发给相应的信息系统的数据安全防护插件；
[0033]
s3、数据安全防护插件向密钥管理器申请密钥，密钥管理器获得申请后，向数据安全防护插件传递密钥；
[0034]
s4、数据安全防护插件获得信息系统要写入数据的相关信息，并执行安全防护步骤，具体包括：
[0035]
s41、当信息系统发生业务操作和数据访问时，安装在此信息系统的所述数据安全防护插件在其通讯或数据访问路径中进行拦截以获取通讯内容、数据访问内容或程序数据；
[0036]
s42、数据安全防护插件从中解析并识别出要素信息，并决策出适用于本次所述业务操作和数据访问的有效安全防护策略，
[0037]
s43、数据安全防护插件执行有效安全防护策略，为信息系统提供安全防护能力。
[0038]
本发明还公开了一种用于分布式数据安全防护的系统，其包括信息系统、数据安全防护管理系统和数据存储系统；
[0039]
数据存储系统用于存储信息系统的数据；
[0040]
信息系统是指要进行数据安全防护保护的目标应用系统；分布式数据安全防护系统中存在两个以上信息系统；
[0041]
数据安全防护管理系统包括一个数据安全管理模块和两个以上数据安全防护插件模块；
[0042]
数据安全管理模块包括控制模块、策略管理模块和密钥管理模块；
[0043]
控制模块用于对策略管理模块和密钥管理模块进行可视化设置；
[0044]
策略管理模块用于策略编辑、策略存储、策略查询和策略下发；策略编辑用于新建和编辑数据安全防护策略，用户根据需求进行数据安全防护策略的集中配置；所述策略存储用于集中保存设置完成后的数据安全防护策略，形成数据安全防护策略的数据库；策略查询用于查询相应信息系统所对应的数据安全防护策略；策略下发用于将数据安全防护策略发送给数据安全防护插件模块，以供执行数据安全防护措施；
[0045]
密钥管理模块，用于为分布式部署的数据安全防护插件模块提供加解密所使用的密钥；
[0046]
数据安全防护插件模块安装在信息系统中，用于接收策略管理模块发送的数据安全防护策略，和密钥管理模块发送的数据加解密密钥，在所部署的信息系统中执行相应的数据安全防护措施。
[0047]
与现有技术相比，本发明具有以下有益效果：
[0048]
通过分布式地在多个目标信息系统中部署数据安全防护插件，这些安全防护插件统一、集中式地由数据安全管理平台进行管理，实施周期短、简便易用，特别是在企业拥有大量信息系统的数据需要安全防护的情况下，快速实现，为企业保障数据安全。
附图说明
[0049]
图1为本发明一实施例的分布式数据安全防护系统的拓扑示意图；
[0050]
图2为本发明一实施例的分布式数据安全防护方法示意图。
具体实施方式
[0051]
为使本发明实施例的目的、技术方案及优点更加清楚，下面将结合附图及实施例，对本发明实施例中的技术方案进行进一步的详细说明。很显然，此处所描述的具体实施例是本发明一部分实施例，而不是全部的实施例，仅仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本发明保护的范围。
[0052]
如图1所示，用于分布式数据安全防护的装置，是一种集中式管理，分布式安全防护的装置，适合于信息系统数量多，分布广的场景。用于分布式数据安全防护的装置，由集中式的数据安全管理平台，分布式部署在各个信息系统中的安全防护插件共同实现，数据安全管理平台作为管理端，安全防护插件作为执行端，管理端与执行端之间是一对多的关系。数据安全防护插件，可单独或者同时为信息系统中存储于数据库中的结构化数据和存储于文件系统中的非结构化数据提供安全保护。
[0053]
集中式管理的数据安全管理平台，可分别与分布式部署于各个信息系统中的数据安全防护插件进行交互，交互的内容根据信息系统的不同而不同。在数据安全管理平台中，可以根据每个信息系统的实际情况，有针对性地设置相互独立的安全策略和密钥。在部署了数据安全防护插件的信息系统与安全管理平台交互时，会进行双向的身份认证，以确保分布式的各个执行端与管理端的安全连接，并且通过“信息系统令牌”的识别来确保能够将安全策略和密钥安全准确地传递给对应的信息系统，由部署于信息系统中的数据安全防护插件进行缓存和执行。当安全防护插件接收到管理端发来的策略和密钥后，会进行完整性校验，以确保接收到的策略和密钥的正确性。当策略在管理平台上更新时，管理平台可以通
过消息队列的方式下发给相应的信息系统进行更新。通过以上方式，实现了“一系统一策略”、“一系统一密钥”的效果，并且信息系统令牌可保证这些策略和密钥能够准确传递给各自的信息系统。
[0054]
具体的，在信息系统1和信息系统n中分别部署了数据安全防护插件，在信息系统1中防护的目标是数据库中的结构化数据，即数据库加密保护，在信息系统n中防护的目标是文件存储中的非结构化数据，即文件加密保护。这两个信息系统安全防护的目标不同，但都可以在数据安全管理平台上进行统一管理。针对信息系统1，在数据安全管理平台中会设置相应的信息系统1的策略和密钥；针对信息系统n，在数据安全管理平台中会设置相应的信息系统n的策略和密钥。这两个系统中的安全防护插件分别与管理平台进行交互获取各自相应的策略和密钥，即可各自实现数据安全防护目标，体现了分布式实现数据安全防护的特点。
[0055]
分布式数据安全防护的装置具体包括：数据安全防护插件和数据安全管理平台。
[0056]
在数据安全管理平台中进行数据安全防护策略的设置；数据安全管理平台包括控制面板、策略管理模块和密钥管理模块；
[0057]
控制面板为可视化界面，用户通过控制面板对策略管理模块和密钥管理器进行设置，控制面板还为用户提供了策略管理模块和密钥管理器设置的步骤提示，用户根据需求在此模块上按照步骤提示进行数据安全防护策略的集中配置，减少了用户的配置工作复杂度；
[0058]
策略管理模块，用于制定和管理针对信息系统的安全防护策略，具体包括制定、修改、删除和查询安全防护策略。每个信息系统的数据安全防护策略在策略管理模块中通过自定义进行设置。策略管理模块将安全防护策略发送给相应信息系统的数据安全防护插件。
[0059]
密钥管理器，用于向多个信息系统中分布式部署的数据安全防护插件提供加解密数据所用的密钥，密钥可以由密钥管理器从用户设定或从其它设备获得，也可以来自于密钥管理器自身的硬件安全模块(hsm)。
[0060]
数据安全防护插件为信息系统提供免改造的主客体精细控制，数据安全防护插件分布式的部署在多个信息系统中，需要与数据安全管理平台中的策略管理模块和密钥管理器进行交互。数据安全防护插件从策略管理模块获取数据安全防护策略；信息系统中的数据安全防护插件与数据安全管理平台保持连接，数据安全防护插件中的安全防护策略通过数据安全管理平台下发，下发的时机包括策略初始化、策略新建、策略更新、策略删除。数据安全防护插件从密钥管理器获取加解密数据所用的密钥。
[0061]
当信息系统发生业务操作和数据访问时，在其通讯、数据访问或程序运行流程中进行拦截，获取通讯内容、数据访问内容或程序数据，解析并识别出拦截到的内容中的要素信息，根据要素信息，决策出适用于本次业务操作和数据访问的有效安全防护策略，执行决策出的有效安全防护策略中的防护措施，具体为：
[0062]
当信息系统发生业务操作和数据访问时，数据安全防护插件在其通讯或数据访问路径中进行拦截以获取通讯内容、数据访问内容或程序数据，包括以通讯中介、代理或旁路监听的方式，获取信息系统的客户端与服务端之间的通讯内容，或获取信息系统与数据库之间的通讯内容；以驻留在数据库或文件系统中的组件、模块、服务、驱动或者嵌入代码方
式，在信息系统访问数据库或文件数据时，获取到数据访问内容；
[0063]
数据安全防护插件解析并识别出通讯内容、数据访问内容或程序数据中的要素信息，要素信息可以用来构建描述访问行为的抽象信息模型对象的各个成员，包括以下几类：
[0064]
a、执行业务操作和数据访问的主体subject，以其某些特征或属性来指定；如果没有指定，则安全防护策略默认适用于所有主体；
[0065]
b、所要执行的业务操作和数据访问动作operation，如果是业务性质的操作，或程序中的过程及方法，或对数据库、文件的某种操作，能通过名称或属性来指定；如果没有指定，则安全防护策略默认适用于任何业务操作和数据访问动作；
[0066]
c、被访问的客体数据资源object，如果是数据库或者文件，通过其特征或属性来指定；如果没有指定，则安全防护策略默认适用于所有数据资源；
[0067]
d、业务操作和数据访问发生的上下文环境或条件context，包括时间、客户端ip地址、客户端地理位置、客户端设备类型及硬件规格、客户端操作系统类型及版本、客户端软件类型及标识或版本、本次会话已经发生的访问操作，如果没有指定环境条件，则安全防护策略默认适用于所有环境条件；
[0068]
e、针对主体在上下文环境条件下执行业务操作和数据访问动作来访问客体数据资源时，应该采取的防护措施。
[0069]
数据安全防护插件根据要素信息，决策出适用于本次业务操作和数据访问的有效安全防护策略，插件从策略管理模块获取针对信息系统的安全防护策略，并对本地缓存的安全防护策略进行更新。
[0070]
数据安全防护插件执行有效安全防护策略中的防护措施，具体场景包括所请求的业务操作和数据访问在有效安全防护策略中不被允许，则给用户端返回拒绝访问的响应；通讯内容、数据访问内容、程序数据的流向是从用户端传向服务端或数据库、文件系统的后端，则对其中的在策略中指定的重要数据进行加密，并将处理后的内容沿原流转路径继续向后端传送；和/或通讯内容、数据访问内容、程序数据的流向是从后端传向用户端，则对其中的在策略中指定的重要数据进行解密或者遮掩、替代或模糊化的脱敏，并将处理后的内容沿原流转路径继续向用户端传送；进行审计操作，以记录信息系统中所发生的业务操作和数据访问行为和事件，以及所进行的处理。
[0071]
本发明还提供一种用于分布式数据安全防护系统，该系统包括：信息系统、数据安全防护管理系统和数据存储系统；
[0072]
数据存储系统用于存储信息系统的数据；
[0073]
信息系统是指要进行数据安全防护保护的目标应用系统；分布式数据安全防护系统中存在两个以上信息系统。
[0074]
数据安全防护管理系统包括一个数据安全管理模块和两个以上数据安全防护插件模块；
[0075]
数据安全管理模块包括控制模块、策略管理模块和密钥管理模块。
[0076]
控制模块用于对策略管理模块和密钥管理模块进行可视化设置；
[0077]
策略管理模块用于策略编辑、策略存储、策略查询和策略下发；策略编辑用于新建和编辑数据安全防护策略，用户根据需求进行数据安全防护策略的集中配置；策略存储用于集中保存设置完成后的数据安全防护策略，形成数据安全防护策略的数据库；策略查询
用于查询相应信息系统所对应的数据安全防护策略；策略下发用于将数据安全防护策略发送给数据安全防护插件模块，以供执行数据安全防护措施。
[0078]
密钥管理模块，用于为分布式部署的数据安全防护插件模块提供加解密所使用的密钥。
[0079]
数据安全防护插件模块安装在信息系统中，用于接收策略管理模块的数据安全防护策略，和密钥管理模块的数据加解密密钥，在所部署的信息系统中执行相应的数据安全防护措施。
[0080]
如图2所示，使用分布式数据安全防护的装置来进行分布式数据安全防护的方法，包括：
[0081]
一个数据安全管理平台集中管理多个分别部署在不同信息系统中的安全防护插件，数据安全管理平台向安全防护插件分别下发各自的安全防护策略；数据安全管理平台作为管理端，安全防护插件作为执行端，管理端与执行端之间是一对多的关系；具体步骤为：
[0082]
s1、在数据安全管理平台中的控制面板进行数据安全防护策略和密钥的设置，具体包括：
[0083]
s11、确定要进行安全保护的数据所在的信息系统；
[0084]
s12、确定要进行安全防护的数据所在的数据库表的列或者所在的文件目录；
[0085]
s13、确定加解密所要使用的密钥；
[0086]
s14、确定所要使用的安全防护策略；
[0087]
s15、确认完成数据安全防护策略的设置；
[0088]
s2、策略管理模块将本次新增或者编辑的数据安全防护策略进行保存，并下发给相应的信息系统的数据安全防护插件；
[0089]
s3、数据安全防护插件向密钥管理器申请密钥，密钥管理器获得申请后，向数据安全防护插件传递密钥；
[0090]
s4、数据安全防护插件截获信息系统要写入数据的相关信息，并根据解析出的要素信息执行安全防护步骤，具体包括：
[0091]
s41、当信息系统发生业务操作和数据访问时，安装在此信息系统的数据安全防护插件在其通讯或数据访问路径中进行拦截以获取通讯内容、数据访问内容或程序数据；
[0092]
s42、数据安全防护插件从中解析并识别出要素信息，并决策出适用于本次业务操作和数据访问的有效安全防护策略，
[0093]
s43、数据安全防护插件执行有效安全防护策略，为信息系统提供安全防护能力。
[0094]
需要注意的是，本发明可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用计算机或任何其他类似硬件设备来实现。同样的，本发明的软件程序可以被存储到计算机可读存储介质中，例如，ram存储器、磁或光驱动器或软磁盘及类似设备。
[0095]
另外，本发明的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令，可能被存储在固定的或可移动的存储介质中，和/或通过广播或其它信号承载媒体中的数据流而被传输，和/或被存储在根据程序指令运行的计算机设备的工作存储器中。在此，根据本发明的一个实施例包括一个装置，该装置包括用于存
储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被处理器执行时，触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
[0096]
对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且不背离本发明的精神或基本特征的情况下，能够以其它的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其它模块或步骤，单数不排除复数。权利要求中陈述的多个模块或装置也可以由一个模块或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。