安全防护方法及装置与流程

1.本说明书实施例涉及数据处理技术领域，特别涉及安全防护方法。


背景技术：

2.在公司内部，公司内部人员会在内部公共协作平台上分享业务文档。由于内部人员安全意识层次不齐，部分内部人员会将一些关键敏感信息，比如用户账号密码，内部平台密码泄漏在这些文档中。导致攻击者可以通过搜索这些关键密码直接进一步入侵内部平台。
3.目前的一些方案管理员通过在后台进行搜索敏感关键字配置黑名单搜索规则，当攻击者在公共协作平台进行敏感信息搜索的时候命中了搜素关键字则不在展示对应的文档。这样的防御方案不彻底，由此亟需一种更好的方案。


技术实现要素：

4.有鉴于此，本说明书实施例提供了安全防护方法。本说明书一个或者多个实施例同时涉及安全防护装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。
5.根据本说明书实施例的第一方面，提供了一种安全防护方法，包括：
6.接收发布者上传的目标文档，并确定所述目标文档的权限属性，其中，所述发布者为所述协作平台中的第一角色；
7.在所述权限属性为共享属性的情况下，确定所述第一角色对应的针对目标数据的安全规则，其中，所述共享属性用于在所述协作平台中共享文档，所述安全规则基于所述目标数据更新；
8.根据所述安全规则对所述目标文档进行扫描，确定命中结果；
9.根据所述命中结果阻断所述目标文档。
10.根据本说明书实施例的第二方面，提供了一种安全防护装置，包括：
11.数据获取模块，被配置为接收发布者上传的目标文档，并确定所述目标文档的权限属性，其中，所述发布者为所述协作平台中的第一角色；
12.规则确定模块，被配置为在所述权限属性为共享属性的情况下，确定所述第一角色对应的针对目标数据的安全规则，其中，所述共享属性用于在所述协作平台中共享文档，所述安全规则基于所述目标数据更新；
13.文档扫描模块，被配置为根据所述安全规则对所述目标数据进行扫描，确定命中结果；
14.文档阻断模块，被配置为根据所述命中结果阻断所述目标文档。
15.根据本说明书实施例的第三方面，提供了一种安全防护系统，包括协作平台和安全防护平台；
16.所述协作平台，用于接收发布者上传的目标文档，并确定所述目标文档的权限属
性，在所述权限属性为共享属性的情况下，将所述目标文档发送至所述安全防护平台，其中，所述发布者为所述协作平台中的第一角色，所述共享属性用于在所述协作平台中共享文档；
17.所述安全防护平台，用于确定所述第一角色对应的针对目标数据的安全规则，以及确定所述目标文档中的目标数据，并根据所述安全规则对所述目标数据进行扫描，确定命中结果，根据所述命中结果阻断所述目标文档，其中，所述安全规则基于所述目标数据更新。
18.根据本说明书实施例的第四方面，提供了一种计算设备，包括：
19.存储器和处理器；
20.所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，该计算机可执行指令被处理器执行时实现上述安全防护方法的步骤。
21.根据本说明书实施例的第五方面，提供了一种计算机可读存储介质，其存储有计算机可执行指令，该指令被处理器执行时实现上述安全防护方法的步骤。
22.根据本说明书实施例的第六方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述安全防护方法的步骤。
23.本说明书实施例提供安全防护方法及装置，其中所述安全防护方法包括：接收发布者上传的目标文档，并确定所述目标文档的权限属性，其中，所述发布者为所述协作平台中的第一角色；在所述权限属性为共享属性的情况下，确定所述第一角色对应的针对目标数据的安全规则，其中，所述共享属性用于在所述协作平台中共享文档，所述安全规则基于所述目标数据更新；根据所述安全规则对所述目标文档进行扫描，确定命中结果；根据所述命中结果阻断所述目标文档。通过确定第一角色对应的针对目标数据的安全规则，可以实现针对某一个角色进行更细粒度的安全规则设定，并且安全规则基于目标数据更新，实现某一个角色的安全规则动态更新，提高了检测的精细化程度。
附图说明
24.图1是本说明书一个实施例提供的一种安全防护方法的场景示意图；
25.图2是本说明书一个实施例提供的一种安全防护方法的流程图；
26.图3是本说明书一个实施例提供的一种安全防护系统的架构示意图；
27.图4是本说明书一个实施例提供的一种安全防护装置的结构示意图；
28.图5是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
29.在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本说明书内涵的情况下做类似推广，因此本说明书不受下面公开的具体实施的限制。
30.在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本说明书一个或多个实施例中使用的术语“和/或”是指并包含
一个或多个相关联的列出项目的任何或所有可能组合。
31.应当理解，尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一也可以被称为第二，类似地，第二也可以被称为第一。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
32.首先，对本说明书一个或多个实施例涉及的名词术语进行解释。
33.工作协作平台：一种给公司内其他人共同协作的平台。
34.在本说明书中，提供了安全防护方法，本说明书同时涉及安全防护装置，一种计算设备，以及一种计算机可读存储介质，在下面的实施例中逐一进行详细说明。
35.参见图1，图1示出了根据本说明书一个实施例提供的一种安全防护方法的场景示意图。
36.在企业内，公司内部人员会在内部公共协作平台110上分享业务文档，则公共协作平台110接收发布者上传的目标文档111，并确定目标文档111的权限属性112。在权限属性112为共享属性113的情况下，确定内部人员对应的针对目标数据的安全规则114，根据安全规则114对目标文档111进行扫描，确定命中结果115，并根据命中结果115阻断目标文档111。通过确定内部人员对应的针对目标数据的安全规则114，可以实现针对某一个角色进行更细粒度的安全规则114设定，并且安全规则114基于目标数据更新，实现某一个角色的安全规则114动态更新，提高了检测的精细化程度。
37.参见图2，图2示出了根据本说明书一个实施例提供的一种安全防护方法的流程图，具体包括以下步骤。
38.步骤202：接收发布者上传的目标文档，并确定所述目标文档的权限属性，其中，所述发布者为所述协作平台中的第一角色。
39.具体的，协作平台是进行团队开发、协作的系统，协作平台可以基于互联网，也可以基于专用网。协作平台的主要功能是：分工合作、进度控制、版本控制等功能。这里的协作平台可以为工作协作平台，即，用于组织或者企业内部进行工作协作的平台。需要说明的是，具有进行文件共享功能以用于内部协作的平台均可以理解为协作平台。
40.其中，发布者可以为工作协作平台的中的人员。目标文档可以为发布者上传至工作协作平台的文档，例如，工作日报和会议记录等文档。权限属性可以为文档在工作协作平台中的属性，例如，可读权限属性和可写权限属性等。协作平台中的第一角色可以理解为协作平台内为人员设置的角色，例如，小明在协作平台中对应的角色，且该角色在协作平台中具有唯一的识别编号。
41.在实际应用中，在企业内，公司内部人员会在内部公共协作平台上分享业务文档，比如在多人协作平台上传财务报表，这些上传的文档可以设置多种权限属性，例如，仅自己可见或者部门人员可见等。并且还可以对设置过权限的文件进行权限更改。
42.例如，小明在协作平台中上传了文档a，并且设置了文档a的权限属性为共享属性。小明在协作平台中的角色的标识为：“xm”。
43.本说明书实施例通过监测上传的文档，并确定文档设置的权限属性，以便于确定是否对文档进行安全检测。降低了敏感信息泄露的情况，由此提高了安全性。
44.步骤204：在所述权限属性为共享属性的情况下，确定所述第一角色对应的针对目标数据的安全规则，其中，所述共享属性用于在所述协作平台中共享文档，所述安全规则基于所述目标数据更新。
45.具体的，共享属性可以理解为与其他员工共享的权限属性。目标数据可以为需要进行检测的数据，例如，电话号码、家庭住址和身份信息数据等。安全规则可以为对文档进行处理的规则，例如，在发现了目标数据后，删除文档的规则。
46.在实际应用中，内部人员上传文档的情况下，可以选择与其他人进行共享文档，那么该文档的权限属性为共享属性，则拉取上传的人员对应的安全规则，
47.沿用上例，小明在协作平台中上传了文档a，并且设置了文档a的权限属性为共享属性。小明在协作平台中的角色的标识为：“xm”。则拉取“xm”对应的安全规则。
48.本说明书实施例通过在文档的权限属性为共享属性的情况下，判定该文档需要进行检测，从而拉取文档的上传者对应的安全规则，以实现对文档的安全检测，提高了精细化检测程度，降低了敏感信息的泄露概率。
49.安全规则可以针对每一个角色生成，可以对该角色对应的人员进行更精细化的管理，所以在拉取该角色对应的安全规则之前，还需要对该角色生成特定的安全规则，具体的实现方式如下所述。
50.在一种可实现的方式中，所述在所述权限属性为共享属性的情况下，确定所述第一角色对应的针对目标数据的安全规则之前，还包括：
51.确定所述第一角色的角色属性，根据所述角色属性确定所述第一角色对应的业务环境；
52.确定所述第一角色的角色标识，根据所述角色标识在所述业务环境中确定角色数据；
53.根据所述角色数据中的目标数据生成所述第一角色对应的针对所述目标数据的安全规则。
54.具体的，角色属性可以为人员的类别，如，客服人员和后台人员等。业务环境可以为不同的业务对应的环境，如，客服人员对应的是客服环境，开发人员对应的是开发环境。角色标识可以为角色的唯一标识符。
55.需要说明的是，不同的业务环境可以属于同一个系统，也可以属于不同的系统。如，同一系统中，既包括客服的业务环境，也包括管理人员的业务环境。另一种情况下，客服人员对应的系统为商品售卖系统，而内部开发人员对应的系统为开发系统。
56.在实际应用中，可以通过协作平台的内部人员对应的角色属性，确定该内部人员对应哪一个业务环境，从而可以根据该内部人员的唯一表示符确定在业务环境中对应的数据。相应的，业务环境中的角色标识需要与协作平台的角色标识统一，才能实现通过同一个角色标识在业务环境与协作平台中对应同一内部人员。在确定内部人员在业务环境中对应的数据之后，即可根据这些数据生成安全规则。
57.例如，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。在预先设定的密钥表中，依次选取密钥与小明在开发系统中的数据库中对应的数
据进行比对，如果比对发现与密钥一致的数据，那么可以将该密钥作为目标数据。具体的，可以将该密钥作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。
58.本说明书实施例通过确定该内部人员对应哪一个业务环境，从而可以根据该内部人员的唯一表示符确定在业务环境中对应的数据，以此查找到内部人员能够接触到的敏感数据，从而能够更加准确的生成安全规则。
59.还可以通过预先对业务环境中的目标数据设定标识的方式，从而在查找业务环境中的目标数据的情况下可以依据预先设定的标识进行匹配，具体实现方式如下所述。
60.在一种可实现的方式中，所述角色数据包括至少一个携带有预设数据标识的数据；
61.相应的，根据所述角色数据中的目标数据生成所述第一角色对应的针对所述目标数据的安全规则，包括：
62.根据预设数据标识在所述角色数据中确定目标数据，其中，所述预设数据标识用于标记所述角色数据中的敏感数据；
63.根据所述目标数据生成所述第一角色对应的针对所述目标数据的安全规则。
64.其中，预设数据标识可以为表示数据为敏感数据的标识，预设数据标识可以为字符等形式体现，本说明书实施例不对此进行限定。
65.在实际应用中，可以通过对数据添加标识的方式，从而可以基于标识查找数据。该标识可以针对目标数据设定同一个标识，也可以针对不同人员设定不同的标识。
66.例如，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。小明在开发系统中的数据库中对应的数据中，存在预先设置的预设数据标识“m”的数据，则在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，将该带有标识“m”的数据作为目标数据。具体的，可以将提取到的目标数据作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。
67.又例如，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。小明在开发系统中的数据库中对应的数据中，存在预先设置的预设数据标识“m”和“n”的数据，“m”是对应小明的标识，则在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，将该带有标识“m”的数据作为目标数据。具体的，可以将提取到的目标数据作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。
68.本说明书实施例通过预先设定的标识查找数据，可以增加目标数据查找的速度，从而提高规则生成的速度，由此提高了效率。
69.安全规则生成后，因为数据可能会存在变动，那么需要根据数据变动的情况，对安全规则进行更新。具体的更新方式如下所述。
70.在一种可实现的方式中，所述根据预设数据标识在所述角色数据中确定目标数据，包括：
71.监测所述角色数据的变更状态，在所述角色数据发生变更的情况下，根据预设数据标识在所述角色数据中进行匹配，得到匹配结果；
72.在所述匹配结果为匹配成功的情况下，将所述匹配结果对应的角色数据作为目标数据。
73.其中，变更状态可以为增加、或者删除的变更状态。
74.在实际应用中，为了保证安全规则的时效性，可以在数据库中增加或者删除数据的情况下就进行一次安全规则的更新。
75.例如，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。小明在开发系统中的数据库中对应的数据中，存在预先设置的预设数据标识“m”的数据，则在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，将该带有标识“m”的数据作为目标数据。目标数据包括数据1、数据2和数据3。具体的，可以将提取到的目标数据作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。在小明在开发系统中的数据库中对应的数据发生变更的情况下，重新对数据库中的数据进行匹配，进行目标数据的确定。在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，可以确定数据1和数据4，那么新的目标数据就为数据1和数据4。
76.又例如，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。在预先设定的密钥表中，依次选取密钥与小明在开发系统中的数据库中对应的数据进行比对，如果比对发现与密钥一致的数据，那么可以将该密钥作为目标数据，目标数据包括数据1、数据2和数据3。具体的，可以将该密钥作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。在小明在开发系统中的数据库中对应的数据发生变更的情况下，重新通过预先设定的密钥表对数据库中的数据进行匹配，进行目标数据的确定。在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，可以确定数据1和数据4，那么新的目标数据就为数据1和数据4。
77.本说明书实施例通过在数据库中增加或者删除数据的情况下就进行一次安全规则的更新，从而保证了安全规则的时效性，实现了动态更新安全规则。
78.如果不需要频繁的对安全规则进行更新，那么还可以设定更新周期，以此更新安全规则，具体的实现方式如下所述。
79.在一种可实现的方式中，所述根据预设数据标识在所述角色数据中确定目标数据，包括：
80.确定预设的时间间隔，基于所述时间间隔根据预设数据标识在所述角色数据中进行匹配，得到匹配结果；
81.在所述匹配结果为匹配成功的情况下，将所述匹配结果对应的角色数据作为目标数据。
82.其中，时间间隔可以为以月、天、时和分等单位的时间间隔。例如，时间间隔为每24小时。
83.在实际应用中，在工作的时间段，经常会使用系统较高的处理资源量，那么可以利用系统的处理量小的时间段进行安全规则的更新。
84.例如，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。小明在开发系统中的数据库中对应的数据中，存在预先设置的预设数据标识“m”的数据，则在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，将该带有标识“m”的数据作为目标数据。目标数据包括数据1、数据2和数据3。具体的，可以将提取到的目标数据作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。在小明对应的安全规则生成或者更新开始计算，每24小时，重新对数据库中的数据进行匹配，进行目标数据的确定。在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，可以确定数据1和数据4，那么新的目标数据就为数据1和数据4。
85.又例如，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。在预先设定的密钥表中，依次选取密钥与小明在开发系统中的数据库中对应的数据进行比对，如果比对发现与密钥一致的数据，那么可以将该密钥作为目标数据，目标数据包括数据1、数据2和数据3。具体的，可以将该密钥作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。在小明对应的安全规则生成或者更新开始计算，每24小时，重新通过预先设定的密钥表对数据库中的数据进行匹配，进行目标数据的确定。在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，可以确定数据1和数据4，那么新的目标数据就为数据1和数据4。
86.进一步的，还可以根据实际情况自定义时间间隔，例如，在某一时间段时间间隔为10小时，其他时间段时间间隔为24小时。
87.例如，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。小明在开发系统中的数据库中对应的数据中，存在预先设置的预设数据标识“m”的数据，则在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，将该带有标识“m”的数据作为目标数据。目标数据包括数据1、数据2和数据3。具体的，可以将提取到的目标数据作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。在小明对应的安全规则生成或者更新开始计算，若第10小时在工作时间段，则为了避免抢用数据处理资源，则不进行安全规则的更新，若到了第24小时，那么重新对数据库中的数据进行匹配，进行目标数据的确定。在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，可以确定数据1和数据4，那么新的目标数据就为数据1和数据4。
88.本说明书实施例通过设定的时间间隔更新安全规则，在必要的时间更新安全规则可以减少处理资源的使用，减少了资源成本。
89.在确定了目标数据之后，可以使用关键字的方式生成安全规则，具体实现方式如下所述。
90.在一种可实现的方式中，所述根据所述目标数据生成所述第一角色对应的针对目标数据的安全规则，包括：
91.从所述目标数据中抽取至少一条目标文本，并根据所述至少一条目标文本生成至少一条关键字匹配规则；
92.根据所述至少一条关键字匹配规则生成所述第一角色对应的针对目标数据的安全规则。
93.其中，目标文本可以为电话文本，证件号文本和身份信息文本等。关键字匹配规则可以为
94.在实际应用中，目标数据可能以数据库的数据格式展现，可以从该数据中抽取相应的文本，以文本作为关键字的方式，生成关键字匹配规则。
95.例如，目标数据包括数据1、数据2和数据3。数据1为“手机号：号码x”，数据2为“手机号：号码y”，数据3为“手机号：号码z”，那么抽取出文本“号码x”、“号码y”以及“号码z”，将“号码x”、“号码y”以及“号码z”作为关键字生成关键字匹配规则，如果命中“号码x”、“号码y”以及“号码z”中的一个，则阻断文档发布。
96.本说明书实施例通过从不同格式的数据中抽取文本，形成关键词，从而形成多条关键词规则，规则生成的方式简单，减少了复杂度，提高了规则生成的效率。
97.有些业务环境因为涉及到提取敏感信息的情况，可以对提取的数据进行掩码标记，从而保护隐私安全。具体实现方式如下所述。
98.在一种可实现的方式中，所述根据所述目标数据生成所述第一角色对应的针对目标数据的安全规则，包括：
99.从所述目标数据中抽取至少一条目标文本，对所述至少一条目标文本添加掩码标记得到至少一条掩码文本；
100.根据所述至少一条掩码文本生成至少一条关键字匹配规则；
101.根据所述至少一条关键字匹配规则生成所述第一角色对应的针对目标数据的安全规则。
102.其中，掩码标记可以为任何字符的标记，例如星号：“*”。
103.在实际应用中，可以对某些数据进行脱敏处理再进行提取，如，对于某一地区的手机号来说，共有11位数，可以屏蔽中间的四位数，保留其他位置的数字。
104.例如，目标数据包括数据1、数据2和数据3。数据1为“手机号：号码x”，数据2为“手机号：号码y”，数据3为“手机号：号码z”，那么抽取出文本“号码x”、“号码y”以及“号码z”，并对“号码x”、“号码y”以及“号码z”进行脱敏处理，屏蔽“号码x”、“号码y”以及“号码z”中间的四位数，保留其他位置的数字。将脱敏处理后的“号码x”、“号码y”以及“号码z”作为关键字生成关键字匹配规则，如果命中“号码x”、“号码y”以及“号码z”中的一个，则阻断文档发布。
105.需要说明的是，对数据进行脱敏处理还可以使用隐私计算等技术，可以实现对数据进行脱敏的功能即可，本说明书不再进行赘述。
106.本说明书实施例通过对目标数据进行脱敏处理，再生成安全规则，避免了数据的泄露，提高了数据的安全性。
107.步骤206：根据所述安全规则对所述目标文档进行扫描，确定命中结果。
108.具体的，命中结果可以为对目标文档进行扫描时命中关键字的结果。如，关键字有
二十个，在对目标文档进行扫描时，目标文档中存在十一个关键字，那么也就命中了十一个敏感词。
109.在实际应用中，在获取了安全规则之后，即可对目标文档进行扫描，从而得到上传的文档的命中结果。
110.例如，小明在协作平台中上传了文档a，并且设置了文档a的权限属性为共享属性。小明在协作平台中的角色的标识为：“xm”。则拉取“xm”对应的安全规则，安全规则为如果命中“号码x”、“号码y”以及“号码z”中的一个，则阻断文档发布。那么使用该规则对文档进行匹配，得到命中结果。
111.本说明书实施例通过全规则对所述目标文档进行扫描，确定命中结果，从而实现对文档的安全性判定，由此提高了文档发布的安全性。
112.为了进一步提升数据的安全性，可以采用哈希值计算的方式对文档进行匹配，这种方式在进行安全规则生成的过程中，即可实现，也就是不提取具体的目标数据，仅对目标数据进行哈希值计算，获取目标数据的哈希值，从而实现通过哈希值进行比对。具体实现方式如下所述。
113.在一种可实现的方式中，所述根据所述安全规则对所述目标文档进行扫描，确定命中结果，包括：
114.计算所述目标文档中目标文本的第一哈希值；
115.从所述安全规则中确定关键字文本，并计算所述关键字文本的第二哈希值；
116.根据所述第一哈希值和所述第二哈希值确定命中结果。
117.其中，哈希值的计算方式可以使用本领域的常规技术手段，例如，md5算法，本说明书实施例不对此进行限定。
118.例如，小明在协作平台中上传了文档a，并且设置了文档a的权限属性为共享属性。小明在协作平台中的角色的标识为：“xm”。则拉取“xm”对应的安全规则，安全规则为如果命中“号码x”、“号码y”以及“号码z”中的一个，则阻断文档发布。那么以该规则对文档进行匹配，具体的，计算“号码x”、“号码y”以及“号码z”的哈希值，分别计算文档中每一段落的哈希值，将“号码x”、“号码y”以及“号码z”的哈希值与计算文档中每一段落的哈希值进行对比，得到命中结果。
119.本说明书实施例通过采用哈希值计算的方式对文档进行匹配，减少了直接过去敏感数据的情况，也就减少了敏感数据泄露的风险，提高了数据的安全性。
120.步骤208：根据所述命中结果阻断所述目标文档。
121.在实际应用中，如果发现上传的文档中存在不可以发布的敏感信息，那么阻断该文档的发布，以避免敏感信息泄露。
122.沿用上例，小明在协作平台中上传了文档a，并且设置了文档a的权限属性为共享属性。小明在协作平台中的角色的标识为：“xm”。则拉取“xm”对应的安全规则，安全规则为如果命中“号码x”、“号码y”以及“号码z”中的一个，则阻断文档发布。那么使用该规则对文档进行匹配，得到命中结果。如果发现文档中存在“号码x”、“号码y”以及“号码z”中的一个，那么阻断文档a的发布。
123.本说明书实施例通过在发现文档中命中了安全规则的情况下，阻断文章的发布，从源头上避免了敏感信息的泄露，提高了安全性。
124.相应的，如果采用哈希值计算的方式，那么可以设定一个相似度阈值，即，如果第一哈希值和第二哈希值的差值小于预设差异阈值的情况下，阻断所述目标文档。具体实现方式如下所述。
125.在一种可实现的方式中，所述命中结果包括所述第一哈希值和所述第二哈希值的差值；
126.相应的，所述根据所述命中结果阻断所述目标文档，包括：
127.所述第一哈希值和所述第二哈希值的差值小于预设差异阈值的情况下，阻断所述目标文档。
128.具体的，预设差异阈值可以为判定是否命中关键词的阈值，预设差异阈值可以根据不同的角色进行调整。
129.例如，预设差异阈值为百分之十五，小明在协作平台中上传了文档a，并且设置了文档a的权限属性为共享属性。小明在协作平台中的角色的标识为：“xm”。则拉取“xm”对应的安全规则，安全规则为如果命中“号码x”、“号码y”以及“号码z”中的一个，则阻断文档发布。那么以该规则对文档进行匹配，具体的，计算“号码x”、“号码y”以及“号码z”的哈希值，分别计算文档中每一段落的哈希值，将“号码x”、“号码y”以及“号码z”的哈希值与计算文档中每一段落的哈希值进行对比，得到命中结果。若“号码x”、“号码y”以及“号码z”的哈希值与计算文档中每一段落的哈希值的任一差值超过了百分之十五，那么阻断文档a的发布。
130.如果内部人员坚持需要在文档里面配置敏感信息，则申请继续发布流程，具体实现方式如下所述。
131.在一种可实现的方式中，在所述根据命中结果阻断所述目标文档之后，还包括：
132.响应于对所述目标文档的发布请求，将所述目标文档发送至审核端；
133.接收所述审核端返回的发布指令，将所述目标文档的权限属性更改为私有属性。
134.其中，审核端可以为人工审核的一端。私有属性可以为仅自己可见的权限属性。
135.在实际应用中，如果内部人员坚持需要在文档里面配置敏感信息，则申请继续发布流程，也就是说，在安全审核人员审批过后，则进行发布，且将这篇文档视为私人可见。
136.例如，预设差异阈值为百分之十五，小明在协作平台中上传了文档a，并且设置了文档a的权限属性为共享属性。小明在协作平台中的角色的标识为：“xm”。则拉取“xm”对应的安全规则，安全规则为如果命中“号码x”、“号码y”以及“号码z”中的一个，则阻断文档发布。那么以该规则对文档进行匹配，具体的，计算“号码x”、“号码y”以及“号码z”的哈希值，分别计算文档中每一段落的哈希值，将“号码x”、“号码y”以及“号码z”的哈希值与计算文档中每一段落的哈希值进行对比，得到命中结果。若“号码x”、“号码y”以及“号码z”的哈希值与计算文档中每一段落的哈希值的任一差值超过了百分之十五，那么阻断文档a的发布。小明还要继续发布文档a，那么将文档a发送至人工审核的审核端，在人工审核的审核端发送审批通过的指令之后，在协作平台中发布文档a，并将文档a的权限属性设置为私人可见。
137.本说明书实施例提供安全防护方法及装置，其中所述安全防护方法包括：接收发布者上传的目标文档，并确定所述目标文档的权限属性，其中，所述发布者为所述协作平台中的第一角色；在所述权限属性为共享属性的情况下，确定所述第一角色对应的针对目标数据的安全规则，其中，所述共享属性用于在所述协作平台中共享文档，所述安全规则基于所述目标数据更新；根据所述安全规则对所述目标文档进行扫描，确定命中结果；根据所述
命中结果阻断所述目标文档。通过确定第一角色对应的针对目标数据的安全规则，可以实现针对某一个角色进行更细粒度的安全规则设定，并且安全规则基于目标数据更新，实现某一个角色的安全规则动态更新，提高了检测的精细化程度。
138.本说明书实施例还提供了一种安全防护系统，包括协作平台和安全防护平台；
139.所述协作平台，用于接收发布者上传的目标文档，并确定所述目标文档的权限属性，在所述权限属性为共享属性的情况下，将所述目标文档发送至所述安全防护平台，其中，所述发布者为所述协作平台中的第一角色，所述共享属性用于在所述协作平台中共享文档；
140.所述安全防护平台，用于确定所述第一角色对应的针对目标数据的安全规则，以及确定所述目标文档中的目标数据，并根据所述安全规则对所述目标数据进行扫描，确定命中结果，根据所述命中结果阻断所述目标文档，其中，所述安全规则基于所述目标数据更新。
141.参见图3，图3是示出了一种安全防护系统的系统架构示意图，在一种可实现的方式中，小明在协作平台310中上传了文档a，并且设置了文档a的权限属性为共享属性。小明在协作平台310中的角色的标识为：“xm”。则协作平台310从安全防护平台320拉取“xm”对应的安全规则，安全规则为如果命中“号码x”、“号码y”以及“号码z”中的一个，则阻断文档发布。那么协作平台310使用该规则对文档进行匹配，得到命中结果。如果发现文档中存在“号码x”、“号码y”以及“号码z”中的一个，那么阻断文档a的发布。
142.进一步的，安全防护平台320还包括对安全规则进行更新的方法，在一种可实现的方式中，小明的角色属性为开发人员，则根据该角色属性可以确定对应的开发系统p，再获取小明的角色标识，小明的角色标识为：“xm”，则根据“xm”可以获取小明在开发系统中的数据库中对应的数据。若小明为一名开发管理人员，管理开发系统中代码开发所需要的密钥。小明在开发系统中的数据库中对应的数据中，存在预先设置的预设数据标识“m”的数据，则在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，将该带有标识“m”的数据作为目标数据。目标数据包括数据1、数据2和数据3。具体的，可以将提取到的目标数据作为关键字，相应的规则为如果在文档中检测到该关键字，那么阻断文档发布。在小明对应的安全规则生成或者更新开始计算，每24小时，重新对数据库中的数据进行匹配，进行目标数据的确定。在开发系统中的数据库中对应的数据中查找带有标识“m”的数据，可以确定数据1和数据4，那么新的目标数据就为数据1和数据4。
143.本说明书实施例的安全防护系统通过确定第一角色对应的针对目标数据的安全规则，可以实现针对某一个角色进行更细粒度的安全规则设定，并且安全规则基于目标数据更新，实现某一个角色的安全规则动态更新，提高了检测的精细化程度。
144.与上述方法实施例相对应，本说明书还提供了安全防护装置实施例，图4示出了本说明书一个实施例提供的一种安全防护装置的结构示意图。如图4所示，该装置包括：
145.数据获取模块402，被配置为接收发布者上传的目标文档，并确定所述目标文档的权限属性，其中，所述发布者为所述协作平台中的第一角色；
146.规则确定模块404，被配置为在所述权限属性为共享属性的情况下，确定所述第一角色对应的针对目标数据的安全规则，其中，所述共享属性用于在所述协作平台中共享文档，所述安全规则基于所述目标数据更新；
147.文档扫描模块406，被配置为根据所述安全规则对所述目标数据进行扫描，确定命中结果；
148.文档阻断模块408，被配置为根据所述命中结果阻断所述目标文档。
149.在一些实施例中，规则确定模块404，还被配置为：
150.确定所述第一角色的角色属性，根据所述角色属性确定所述第一角色对应的业务环境；
151.确定所述第一角色的角色标识，根据所述角色标识在所述业务环境中确定角色数据；
152.根据所述角色数据中的目标数据生成所述第一角色对应的针对所述目标数据的安全规则。
153.在一些实施例中，规则确定模块404，还被配置为：
154.确定所述第一角色的角色属性，根据所述角色属性确定所述第一角色对应的业务环境；
155.确定所述第一角色的角色标识，根据所述角色标识在所述业务环境中确定角色数据，其中，角色数据包括至少一个携带有预设数据标识的数据；
156.根据预设数据标识在所述角色数据中确定目标数据，其中，所述预设数据标识用于标记所述角色数据中的敏感数据；
157.根据所述目标数据生成所述第一角色对应的针对所述目标数据的安全规则。
158.在一些实施例中，规则确定模块404，还被配置为：
159.监测所述角色数据的变更状态，在所述角色数据发生变更的情况下，根据预设数据标识在所述角色数据中进行匹配，得到匹配结果；
160.在所述匹配结果为匹配成功的情况下，将所述匹配结果对应的角色数据作为目标数据。
161.在一些实施例中，规则确定模块404，还被配置为：
162.确定预设的时间间隔，基于所述时间间隔根据预设数据标识在所述角色数据中进行匹配，得到匹配结果；
163.在所述匹配结果为匹配成功的情况下，将所述匹配结果对应的角色数据作为目标数据。
164.在一些实施例中，规则确定模块404，还被配置为：
165.从所述目标数据中抽取至少一条目标文本，并根据所述至少一条目标文本生成至少一条关键字匹配规则；
166.根据所述至少一条关键字匹配规则生成所述第一角色对应的针对目标数据的安全规则。
167.在一些实施例中，规则确定模块404，还被配置为：
168.从所述目标数据中抽取至少一条目标文本，对所述至少一条目标文本添加掩码标记得到至少一条掩码文本；
169.根据所述至少一条掩码文本生成至少一条关键字匹配规则；
170.根据所述至少一条关键字匹配规则生成所述第一角色对应的针对目标数据的安全规则。
171.在一些实施例中，文档扫描模块406，还被配置为：
172.计算所述目标文档中目标文本的第一哈希值；
173.从所述安全规则中确定关键字文本，并计算所述关键字文本的第二哈希值；
174.根据所述第一哈希值和所述第二哈希值确定命中结果。
175.在一些实施例中，文档阻断模块408，还被配置为：
176.所述命中结果包括所述第一哈希值和所述第二哈希值的差值；
177.相应的，所述根据所述命中结果阻断所述目标文档，包括：
178.所述第一哈希值和所述第二哈希值的差值小于预设差异阈值的情况下，阻断所述目标文档。
179.在一些实施例中，文档阻断模块408，还被配置为：
180.响应于对所述目标文档的发布请求，将所述目标文档发送至审核端；
181.接收所述审核端返回的发布指令，将所述目标文档的权限属性更改为私有属性。
182.本说明书实施例提供安全防护方法及装置，其中所述安全防护装置包括：接收发布者上传的目标文档，并确定所述目标文档的权限属性，其中，所述发布者为所述协作平台中的第一角色；在所述权限属性为共享属性的情况下，确定所述第一角色对应的针对目标数据的安全规则，其中，所述共享属性用于在所述协作平台中共享文档，所述安全规则基于所述目标数据更新；根据所述安全规则对所述目标文档进行扫描，确定命中结果；根据所述命中结果阻断所述目标文档。通过确定第一角色对应的针对目标数据的安全规则，可以实现针对某一个角色进行更细粒度的安全规则设定，并且安全规则基于目标数据更新，实现某一个角色的安全规则动态更新，提高了检测的精细化程度。
183.上述为本实施例的一种安全防护装置的示意性方案。需要说明的是，该安全防护装置的技术方案与上述的安全防护方法的技术方案属于同一构思，安全防护装置的技术方案未详细描述的细节内容，均可以参见上述安全防护方法的技术方案的描述。
184.图5示出了根据本说明书一个实施例提供的一种计算设备500的结构框图。该计算设备500的部件包括但不限于存储器510和处理器520。处理器520与存储器510通过总线530相连接，数据库550用于保存数据。
185.计算设备500还包括接入设备540，接入设备540使得计算设备500能够经由一个或多个网络560通信。这些网络的示例包括公用交换电话网(pstn，public switched telephone network)、局域网(lan，local area network)、广域网(wan，wide area network)、个域网(pan，personal area network)或诸如因特网的通信网络的组合。接入设备540可以包括有线或无线的任何类型的网络接口(例如，网络接口卡(nic，network interface controller))中的一个或多个，诸如ieee802.11无线局域网(wlan，wireless local area network)无线接口、全球微波互联接入(wi-max，worldwide interoperability for microwave access)接口、以太网接口、通用串行总线(usb，universal serial bus)接口、蜂窝网络接口、蓝牙接口、近场通信(nfc，near field communication)。
186.在本说明书的一个实施例中，计算设备500的上述部件以及图5中未示出的其他部件也可以彼此相连接，例如通过总线。应当理解，图5所示的计算设备结构框图仅仅是出于示例的目的，而不是对本说明书范围的限制。本领域技术人员可以根据需要，增添或替换其
他部件。
187.计算设备500可以是任何类型的静止或移动计算设备，包括移动计算机或移动计算设备(例如，平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如，智能手机)、可佩戴的计算设备(例如，智能手表、智能眼镜等)或其他类型的移动设备，或者诸如台式计算机或个人计算机(pc，personal computer)的静止计算设备。计算设备500还可以是移动式或静止式的服务器。
188.其中，处理器520用于执行如下计算机可执行指令，该计算机可执行指令被处理器执行时实现上述数据处理方法的步骤。上述为本实施例的一种计算设备的示意性方案。需要说明的是，该计算设备的技术方案与上述的安全防护方法的技术方案属于同一构思，计算设备的技术方案未详细描述的细节内容，均可以参见上述安全防护方法的技术方案的描述。
189.本说明书一实施例还提供一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现上述安全防护方法的步骤。
190.上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是，该存储介质的技术方案与上述的安全防护方法的技术方案属于同一构思，存储介质的技术方案未详细描述的细节内容，均可以参见上述安全防护方法的技术方案的描述。
191.本说明书一实施例还提供一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述安全防护方法的步骤。
192.上述为本实施例的一种计算机程序的示意性方案。需要说明的是，该计算机程序的技术方案与上述的安全防护方法的技术方案属于同一构思，计算机程序的技术方案未详细描述的细节内容，均可以参见上述安全防护方法的技术方案的描述。
193.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
194.所述计算机指令包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
195.需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本说明书实施例并不受所描述的动作顺序的限制，因为依据本说明书实施例，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本说明书实施例所必须的。
196.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部
分，可以参见其它实施例的相关描述。
197.以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书实施例的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本说明书实施例的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。