一种防数据库敏感数据泄漏的方法及系统与流程

本发明属于敏感数据保护技术领域，具体涉及一种防数据库敏感数据泄漏的方法及系统。

背景技术：

随着互联网和移动互联网的高速发展以及普及，互联网应用已经成为日常个人、企业或政府部门等获得信息和发布信息的主要手段，因此也使得互联网数据库中的数据量越来越大，对应数据中的敏感数据也越来越多，如个人身份证、银行卡号、个人家庭住址、电话号码、移动地理轨迹等。

目前，为保证终端设备和互联网数据库之间的数据安全，互联网运营商通过统一安全管理平台实现对终端设备访问互联网数据库的控制，而该管理平台基于验证密钥的方式实现对终端设备的身份验证，然后这种方式仍存在一定的安全问题；例如：某一用户的终端设备被盗时，盗窃者即可通过该终端从数据库进行敏感数据的查看，从而造成敏感数据的泄露。

技术实现要素：

鉴于此，为解决上述背景技术中所提出的问题，本发明的目的在于提供一种防数据库敏感数据泄漏的方法及系统。

为实现上述目的，本发明提供如下技术方案：

一种防数据库敏感数据泄漏的方法，涉及可通信连接的访问终端和服务器，所述服务器中设有一包含多个子库的数据库，且多个子库用于分级储存敏感数据；其方法包括如下步骤：

s1.在所述服务器中接收由第一访问终端发送的数据访问请求；

s2.判断所述数据访问请求中是否包含期望访问位置；是，进入步骤s3；否，进入步骤s4；

s3.识别所述第一访问终端的第一访问权限；

s4.判断所述期望访问位置与所述第一访问权限是否匹配；是，进入步骤s5；否，进入步骤s6；

s5.依照所述期望访问位置执行数据访问；

s6.执行异常访问警报、阻止访问并清除第一访问终端的第一访问权限。

优选的，在接收所述数据访问请求之前，还包括敏感数据的分级存储：

对数据库的多个子库进行敏感等级标记；

识别待储存目标数据的敏感等级，并根据所述敏感等级将所述目标数据储存于对应子库中。

优选的，任意一个所述子库的敏感等级标记均为0％-100％之间的任意整数范围，且每个子库的敏感等级标记均不相同。

进一步的，识别待储存目标数据的敏感等级时，包括：

获取所述目标数据中的敏感信息；

计算所述敏感信息在所述目标数据总信息中的所占比例，并根据所占比例确定所述目标数据的敏感等级。

优选的，在接收所述数据访问请求之前，还包括设置第一访问终端的第一访问权限：

接收所述第一访问终端发送的权限设置请求，且所述权限设置请求中包括第一访问终端的身份信息和期望设定的目标权限；

获取当前具有所述目标权限的所有第二访问终端；

向所有第二访问终端发送所述权限设置请求；

接收所有第二访问终端的请求反馈，并根据所述请求反馈执行权限设置操作。

具体的，当所有第二访问终端的请求反馈均为同意时，将所述目标权限设置为所述第一访问终端的第一访问权限；当至少有一个第二访问终端的请求反馈均为拒绝时，驳回所述第一访问终端的权限设置请求。

优选的，访问权限至少包括查看权限和下载权限，且：在所述期望访问位置仅与查看权限匹配时，进入期望访问位置中的第一访问页面；在所述期望访问位置与查看权限和下载权限均匹配时，进入期望访问位置中的第二访问页面。

一种防数据库敏感数据泄漏的系统，涉及可通信连接的访问终端和服务器，所述服务器中设有一包含多个子库的数据库，且多个子库用于分级储存敏感数据；所述系统包括：

第一接收模块；设置于所述服务器中，并用于接收由第一访问终端发送的数据访问请求；

第一分析模块；设置于所述服务器中，并用于从所述第一接收模块所接收的数据访问请求中分析获得所述第一访问终端的期望访问位置；

识别模块；设置于所述服务器中，并用于识别所述第一访问终端的第一访问权限；

判断模块；设置于所述服务器中，并用于判断所述期望访问位置与所述第一访问权限是否匹配；

第一执行模块；设置于所述服务器中，并用于根据所述第一分析模块的分析结果或者所述判断模块的判断结果执行警报或访问。

优选的，所述系统还包括：

标记模块；设置于所述服务器中，并用于对所述数据库的多个子库进行敏感等级标记；

计算模块；设置于所述服务器中，并用于计算所述数据库每个储存数据的敏感等级；

分级储存模块；设置于所述服务器中，并用于根据所述计算模块的计算结果将每个储存数据分级储存于对应子库中。

优选的，所述系统还包括：

第二接收模块；设置于所述服务器中，并用于接收由所述第一访问终端发送的权限设置请求；还用于接收所有第二访问终端的请求反馈；

第二分析模块；设置于所述服务器中，并用于从所述第二接收模块所接收的权限设置请求中分析获得所述第一访问终端期望设定的目标权限；

获取模块；设置于所述服务器中，并用于获取当前具有所述目标权限的所有第二访问终端；

发送模块；设置于所述服务器中，并用于向所有第二访问终端发送所述权限设置请求；

第二执行模块；设置于所述服务器中，并用于根据所述第二接收模块所接收的请求反馈执行权限设置操作。

本发明与现有技术相比，具有以下有益效果：

基于本发明所提供的防数据库敏感数据泄漏的方法及系统，将敏感数据分级储存与数据库的多个子库中，并且在进行数据访问时执行定点访问，由此通过对比访问终端的期望访问位置和访问权限，以达到判定是否存在异常访问的效果，在异常访问时及时警报，从而能有效避免出现敏感数据泄漏的现象。

另外，在本发明中，执行某一访问终端的目标访问权限的设置时，还需要征求其他具有该目标访问权限的访问终端的同意，由此进一步提升了整体数据库的数据访问安全性，从而进一步提升敏感数据防泄漏的效果。

附图说明

图1为本发明防数据库敏感数据泄漏的方法流程图；

图2为本发明防数据库敏感数据泄漏的系统结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明中，具体涉及可通信连接的访问终端100和服务器200，服务器200中设有一包含多个子库的数据库，且多个子库用于分级储存敏感数据。针对该数据库中敏感数据的安全储存及访问，提供如下实施例。

实施例一

请参阅图1所示，本发明实施例中提供了一种防数据库敏感数据泄漏的方法，且该方法包括如下步骤：

s1.在服务器中接收由第一访问终端发送的数据访问请求；

s2.判断数据访问请求中是否包含期望访问位置；是，进入步骤s3；否，进入步骤s4；具体，该期望访问位置即第一访问终端所期望访问的子库；

s3.识别第一访问终端的第一访问权限；具体，该第一访问权限即第一访问终端在当前限制权限下所能够访问的子库；

s4.判断期望访问位置与第一访问权限是否匹配；是，进入步骤s5；否，进入步骤s6；

s5.依照期望访问位置执行数据访问；

s6.执行异常访问警报、阻止访问并清除第一访问终端的第一访问权限。基于此，使得第一访问终端一旦出现异常访问的情况，则无法再次执行访问，从而有效提高整体数据库的访问安全性。另外，若为误操作，则可通过访问权限设置的方式进行恢复访问。

具体，访问权限设置应在服务器接收数据访问请求之前执行，以设置第一访问终端的第一访问权限为例：

接收第一访问终端发送的权限设置请求，且权限设置请求中包括第一访问终端的身份信息和期望设定的目标权限；

获取当前具有目标权限的所有第二访问终端；

向所有第二访问终端发送权限设置请求；

接收所有第二访问终端的请求反馈：当所有第二访问终端的请求反馈均为同意时，将目标权限设置为第一访问终端的第一访问权限；当至少有一个第二访问终端的请求反馈均为拒绝时，驳回第一访问终端的权限设置请求。

值得说明的是：访问权限至少包括查看权限和下载权限，且，在期望访问位置仅与查看权限匹配时，进入期望访问位置中的第一访问页面(在第一访问页面中，所访问的数据处于不可下载状态)；在期望访问位置与查看权限和下载权限均匹配时，进入期望访问位置中的第二访问页面(在第二访问页面中，所访问的数据处于可下载状态)。

在本实施例中，进一步的，在接收数据访问请求之前，还包括敏感数据的分级存储：

对数据库的多个子库进行敏感等级标记；具体的，任意一个子库的敏感等级标记均为0％-100％之间的任意整数范围，且每个子库的敏感等级标记均不相同。假设数据库中包含5个子库，则可将5个子库的敏感等级分别标记为0％-20％(一级)，20％-40％(二级)，40％-60％(三级)，60-80％(四级)，80％-100％(五级)。

获取待储存目标数据中的敏感信息；计算敏感信息在目标数据总信息中的所占比例，并根据所占比例确定目标数据的敏感等级；具体：当所述目标数据为文档时，所述目标数据总信息即为整体文档中所包含的全部字符，敏感信息即为整体文档中的敏感字符，此时计算目标数据的敏感等级方式即为：敏感字符数量/全部字符数量。当所述目标数据为图片时，所述目标数据总信息即为整体图片中所包含的全部图像，敏感信息即为整体图片中的敏感图像，此时计算目标数据的敏感等级方式即为：敏感图像面积/全部图像数量。

根据敏感等级将目标数据储存于对应子库中。

由上可知，其期望访问位置则为一级至五级子库中的任意一个子库，第一访问权限也为一级至五级子库中的任意一个子库。具体：当期望访问位置为三级子库，第一访问权限为二级子库时，则表示期望访问位置与第一访问权限不匹配；当期望访问位置为三级子库，第一访问权限为三级子库时，则表示期望访问位置与第一访问权限匹配。

另外，当第一访问权限为三级子库时，在依照期望访问位置执行数据访问后，还可对一级子库和二级子库进行任意访问，但不可对四级子库和五级子库进行访问。由此可知，当一个访问权限为三级子库的访问终端进行数据库访问时，应当向服务器发送包含期望访问位置为三级子库的数据访问请求，以此作为访问验证步骤，在完成验证后，再执行对一级子库、二级子库和三级子库的对应访问。

实施例二

请参阅图2所示，本发明实施例中提供了一种防数据库敏感数据泄漏的系统，且该系统包括：

第一接收模块210；设置于服务器200中，并用于接收由第一访问终端100发送的数据访问请求；

第一分析模块211；设置于服务器200中，并用于从第一接收模块210所接收的数据访问请求中分析获得第一访问终端100的期望访问位置；

识别模块212；设置于服务器200中，并用于识别第一访问终端100的第一访问权限；

判断模块213；设置于服务器200中，并用于判断期望访问位置与第一访问权限是否匹配；

第一执行模块214；设置于服务器200中，并用于根据第一分析模块211的分析结果或者判断模块213的判断结果执行警报或访问。

进一步的，该系统还包括：

标记模块215；设置于服务器200中，并用于对数据库的多个子库进行敏感等级标记；

计算模块216；设置于服务器200中，并用于计算数据库每个储存数据的敏感等级；

分级储存模块217；设置于服务器200中，并用于根据计算模块216的计算结果将每个储存数据分级储存于对应子库中。

更进一步的，该系统还包括：

第二接收模块218；设置于服务器200中，并用于接收由第一访问终端100发送的权限设置请求；还用于接收所有第二访问终端100的请求反馈；

第二分析模块219；设置于服务器200中，并用于从第二接收模块218所接收的权限设置请求中分析获得第一访问终端100期望设定的目标权限；

获取模块220；设置于服务器200中，并用于获取当前具有目标权限的所有第二访问终端100；

发送模块221；设置于服务器200中，并用于向所有第二访问终端100发送权限设置请求；

第二执行模块222；设置于服务器200中，并用于根据第二接收模块218所接收的请求反馈执行权限设置操作。

综上，在本实施例中，所述的防数据库敏感数据泄漏的系统通过上述实施例一中所公开的方法执行。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。