一种基于数据分析的数据安全监管系统及方法与流程

本发明涉及工业数据安全，具体为一种基于数据分析的数据安全监管系统及方法。

背景技术：

1、工业数据是指从工业部门收集和记录的各种相关数据，这些数据可以涵盖许多方面，如生产量、销售量、设备运行状况、能源消耗、劳动力利用率等；工业数据对于监测和评估工业生产的效率和效果非常重要，它可以帮助企业了解生产过程中的问题和瓶颈，以便采取相应的改进措施；此外，工业数据还可以用于预测市场需求、制定生产计划和优化资源配置。

2、工业领域中的数据往往包含企业的核心竞争力和商业机密，工业系统的稳定运行对于企业的生产和运营至关重要，如果工业数据遭到未经授权的访问或篡改，可能导致设备故障、生产中断或产品质量问题，给企业带来巨大的损失；工业数据包含了企业的技术专长和研发成果，是企业的重要资产，如果数据被泄露或盗取，将导致企业失去创新优势；为了保护工业数据，如何针对不同的人员，开放不同数据访问权限成为一个需要解决的问题。

技术实现思路

1、本发明的目的在于提供一种基于数据分析的数据安全监管系统及方法，以解决上述背景技术中提出的问题。

2、第一方面，提供一种基于数据分析的数据安全监管系统，包括：

3、数据采集模块、安全模块、服务器、数据库和移动终端；所述数据采集模块的输出端与所述服务器的输入端相互连接，用于收集用户的访问申请数据，并将访问申请数据发送给所述服务器；所述安全模块与所述服务器之间相互连接，用于存储用户和绑定的移动终端信息，对移动终端发出的新的数据访问权限请求进行审批；所述服务器与所述数据库之间相互连接，根据接收到的申请数据和数据库中已有的历史申请数据给用户开放数据访问权限，并将申请数据和权限数据发送到所述数据库；所述数据库用于存储工业数据、申请数据和权限数据；所述移动终端与所述服务器相互连接，与用户进行一对一绑定，用于访问数据时的安全验证，发出开放新的数据访问权限的请求。

4、优选地，数据库将工业数据分成多个区域，一次开放一个区域的工业数据给用户进行读操作或者写操作；工业数据划分可以按照相关人员的职能进行划分，每个区域都有至少一个人进行数据操作，并且在同一工业数据区域进行数据操作的人数尽可能最少。

5、服务器接收到的申请数据和数据库中已有的历史申请数据，确定开放给用户的数据访问权限，所述数据访问权限包括工业数据区域权限、客户对工业数据进行操作的时长和操作权限，所述操作权限包括读权限和写权限，用户通过绑定的移动终端进行安全验证后发出请求，通过安全模块审批后才能够增加数据访问权限。

6、移动终端与用户之间进行一对一绑定，安全模块中存储有用户、管理者及其绑定的移动终端信息，当用户通过绑定的移动终端进行安全验证后，移动终端向安全模块发出开放新的数据访问权限的请求，由管理者对请求进行审批，通过审批之后，用户才能获得新的数据访问权限。

7、可选地，申请数据特征包括访问时间a1、ip地址a2和解密方式a3，数据访问权限数据包括工业数据区域权限b1、操作时长b2和操作权限b3。

8、第二方面，提供一种基于数据分析的数据安全监管方法，包括以下步骤：

9、s5-1，用户发出数据访问申请，服务器获取申请数据、历史申请数据和历史权限数据；申请数据特征包括访问时间a1、ip地址a2和解密方式a3，权限数据包括工业数据区域权限b1、操作时长b2和操作权限b3；其中访问时间以30分钟为时间间隔，将每天分成48个时间间隔，第一个时间间隔赋值1，之后的时间间隔赋值逐个加1；ip地址a2，按照ip地址的区别分别进行赋值为正整数，若申请数据的ip地址在历史申请数据中不存在，则赋值为0；解密方式包括密码、指纹和面部，对这三种解密方式分别赋值1、2和3；数据库将工业数据分成多个区域，对不同区域赋予不同的值；操作时长b2以10分钟为单位，对10分钟赋值为1，之后时长每多10分钟，赋值增加1；操作权限b3包括读权限和写权限，读权限赋值为1，写权限赋值为2；赋值的作用主要是离散的申请数据特征和权限数据进行区分，不同的赋值对结果并没有什么影响；访问时间和操作时长按照大小顺序进行赋值，用于后续在步骤s6-5使得聚类更加合理，这也是不同赋值方式对本方法的唯一影响；

10、s5-2，服务器根据步骤s5-1中获取的数据确定开放给的用户数据访问权限；

11、s5-3，用户获取数据访问权限之后，检查数据访问权限是否满足需求，若数据访问权限满足需求，则进入s5-6，若数据访问权限不满足需求，则进入s5-4；

12、s5-4，发现数据访问权限不能满足需求之后，用户通过移动终端进行安全验证，通过移动终端验证之后，用户使用移动终端向安全模块发出开放新的数据访问权限的请求；

13、s5-5，安全模块接收移动终端发出的开放新的数据访问权限的请求，并将将开放新的数据访问权限的请求和用户身份发送给管理者，管理者对请求进行审批，审批之后开放新的数据访问权限给用户；

14、s5-6，用户获得的数据访问权限能够满足需求，用户利用数据访问权限进行数据操作，同时更新数据库中的申请数据和权限数据。

15、根据步骤s5-1中获取的数据确定开放的数据访问权限还包括以下分析步骤：

16、s6-1，用户使用密钥在服务器进行登录，服务器根据用户登录时使用的密钥，确定用户的身份和绑定的移动终端；

17、s6-2，服务器对申请数据进行分析，从申请数据中提取出n维特征向量，形式为[a1…an]，将任意一个特征记为ai，对申请数据的任意一个特征ai，判断是否存在与申请数据特征相同的历史申请数据；若对于申请数据的每个特征，都存在与申请数据特征相同的历史申请数据特征，则进入s6-3；若对于申请数据的每个特征，都不存在与申请数据特征相同的历史申请数据特征，则进入s6-4；若申请数据的特征，既存在申请数据特征与历史申请数据特征相同，也存在申请数据特征与历史申请数据特征不同，则进入s6-5；其中，i＝1、...、n，i1和i2各不相同，i1和i2的各自的取值集合合并后与的i取值集合相同，n为申请数据特征个数，n1为与历史申请数据特征相同的申请数据特征个数，n2为与历史申请数据特征不同的申请数据特征个数，为与历史申请数据特征相同的任意一个申请数据特征，为与历史申请数据特征不同的任意一个申请数据特征；

18、s6-3，服务器获得所有的申请数据特征ai，将申请数据的特征ai作为已知条件，确定开放给用户的工业数据区域权限b1、操作时长b2和操作权限b3，结束；

19、s6-4，服务器未获得任何申请数据特征ai，服务器向移动终端发出安全验证的信息，用户需要通过移动终端进行验证，若未通过安全验证，则无法访问数据库；若通过安全验证，则从历史权限数据中，选择出现频率最高的工业数据区域b1、操作时长b2和操作权限b3组合作为用户的访问权限，结束；

20、s6-5，服务器获得部分申请数据特征服务器向移动终端发出安全验证的信息，用户需要通过移动终端进行验证，若未通过安全验证，则无法访问数据库；若通过安全验证，则服务器将作为已知条件，对部分申请数据特征进行分析，确定剩余的申请数据将和组合成新的ai，进入s6-3。

21、对于工厂的相关人员来说，他可能只负责某一部分的数据，在固定的时间端内进行固定的读操作或写操作，操作时间也在某个范围区间为，因此开放合适的数据库区域，设置合适的操作时间和操作权限可以在不影响生成效率的情况下，保证数据安全；如果相关人员在特殊情况下需要增加数据访问权限，可以通过与其绑定的移动终端进行安全验证，通过安全验证之后向安全模块发出增加数据访问权限的请求，由工厂管理者对请求进行审批，审批通过之后可以增加数据访问权限。

22、工厂的相关人员大多数情况下会在一定的时间段内，通过固定的设备，采用固定的解密方式登录数据库，并进行固定的数据操作，因此可以根据申请数据特征初步确定开放给工厂的相关人员的数据访问权限；如果申请数据特征中既存在与历史申请数据特征相同的，也存在与历史申请数据特征不同的，申请数据特征总是同时出现的，因此可以根据与历史申请数据特征相同的申请数据特征，将与历史申请数据特征不同的申请数据特征调整为历史申请数据特征相同的申请数据特征，进而初步确定数据访问权限；如果所有的申请数据特征都与历史申请数据特征不同，那么申请数据特征无法作为数据访问权限的参考，只能选择出现频率最高的工业数据区域、操作时长和操作权限组合作为用户的数据访问权限。

23、在步骤s6-3中，将申请数据的特征ai作为已知条件，确定开放给用户的工业数据区域权限b1、操作时长b2和操作权限b3还包括以下分析步骤：

24、s7-1，服务器对已知条件ai下的随机变量b1、b2和b3的每个取值的概率进行分析，按照以下公式进行计算：

25、

26、

27、

28、其中p1为在已知申请数据特征的情况下，随机变量b1等于的u概率，p2为在已知申请数据特征的情况下，随机变量b2等于的v概率，p3为在已知申请数据特征的情况下，随机变量b3等于的w概率，u、v和w均为变量，u的取值范围为所有历史工业数据区域权限集合，v的取值范围为所有历史操作时长集合，w的取值范围为所有历史操作权限集合；

29、s7-2，服务器得到已知条件ai下的随机变量b1、b2和b3的每个取值的概率后，根据概率判断随机变量b1、b2和b3的取值能否唯一确定，即能否固定随机变量b1、b2和b3的取值，按照以下方式进行判断：

30、服务器将计算得到的所有p1、p2和p3与阈值k作比较，若存在b1的取值，使得p1≥k，则b1的值固定为使p1≥k时u的取值，若存在b2的取值，使得p2≥k，则b2的值固定为使p2≥k时v的取值，若存在b3的取值，使得p3≥k，则b3的值固定为使p3≥k时w的取值；若b1、b2和b3都被固定，则进入s7-6，若b1、b2和b3都未被固定，则进入s7-5，若b1、b2和b3中有一个被固定的，两个未被固定，则进入s7-3；若b1、b2和b3中有两个被固定的，一个未被固定，则进入s7-4；

31、以k为95％为例，如果p1大于等于k，则意味着在本次申请数据特征的情况下，随机变量b1等于的u概率大于等于95％，几乎就可以确定随机变量b1的值了，u的取值范围为所有历史工业数据区域权限集合，在u的取值范围中，至多只有一个u的取值满足p1≥95％的条件，p2和p3与p1相同，每有一个大于95％，就可以固定一个随机变量的值，k需要设置为大于50％的常数；随机变量b1、b2和b3分别对应工业数据区域权限、操作时长和操作权限，若b1、b2和b3都被固定，则可以根据b1、b2和b3被固定的值开放对应权限；

32、b1、b2和b3单独的条件概率最高，并不能说明b1、b2和b3组合时，条件概率也最高，因为b1、b2和b3之间存在相关性，如果p1、p2和p3都不大于95％，在这种情况下，不能分三次选择单独条件概率时b1、b2和b3的值，只能选择在本次申请数据特征条件下，条件概率最高的组合固定b1、b2和b3的取值；

33、当p1、p2或p3既存在大于95％的，也存在小于95％，可以先部分固定条件概率大于95％的b1、b2或b3的值；b1、b2或b3部分固定之后，在进行数据操作时，工业数据区域权限b1、操作时长b2和操作权限b3总是同时出现的，b1、b2和b3之间具有较强的相关性，因此将b1、b2或b3中被固定的当做已知条件，选择条件概率最高的b1、b2或b3中未被固定的组合，对每个u、v和w的取值都进行一次计算；

34、s7-3，服务器确定一个随机变量，对剩余两个随机变量进行分析，服务器将b1、b2和b3中，被固定一个的随机变量作为已知条件，对剩余两个随机变量取值组合在已知条件下的条件概率进行分析，根据分析结果将两个被固定的随机变量取值固定为条件概率最高的两个随机变量取值组合，进入s7-6；

35、s7-4，服务器确定两个随机变量，对剩余一个随机变量进行分析，将b1、b2和b3中，被固定两个的随机变量作为已知条件，对剩余一个随机变量取值在已知条件下的条件概率进行分析，根据分析结果将一个未被固定的随机变量取值固定为条件概率最高的随机变量取值，进入s7-6；

36、s7-5，服务器未确定任何随机变量，将a1、...、an作为已知条件，计算三个随机变量取值组合在已知条件下的条件概率，将三个随机变量取值固定为条件概率最高的三个随机变量取值组合；

37、s7-6，服务器确定所有的随机变量，根据三个随机变量所固定的取值，确定数据访问权限。

38、在步骤s6-5中，服务器将作为已知条件，对部分申请数据特征进行分析，确定剩余的申请数据将和组合成新的ai还包括以下分析步骤：

39、s8-1，服务器分析申请数据和历史申请数据之间的相关性，将申请数据和历史申请数据通过聚类得到多个簇；

40、s8-2，服务器确定了申请数据所属的簇，利用申请数据所属簇中的历史申请数据对申请数据进行分析，在申请数据所属簇中，将与历史申请数据特征相同的申请数据特征作为已知条件，分析剩余的与历史申请数据特征不同的申请数据特征组合在已知条件下的条件概率；

41、s8-3，服务器对步骤s8-2得到的条件概率进行分析，将取值组合固定为条件概率最高的取值组合；

42、s8-4，服务器确定了剩余的申请数据特征将已确定的申请数据特征和组合后得到新的所有申请数据特征ai。

43、若有些申请数据特征在历史申请数据特征中不存在，则无法直接作为已知条件进行使用，需要将历史申请数据特征中不存在的申请数据特征转化为历史申请数据特征中存在的申请数据特征之后才能够使用；而由于历史申请数据特征过的，与本次申请数据特征的相似性也不一致，因此采用聚类算法先确定申请数据特征所属的簇，簇中的历史申请数据特征与申请数据特征相似性较高，将与历史申请数据特征相同的申请数据特征作为已知条件，在簇中计算其他特征组合方式在已知条件下的条件概率，将概率最高的特征组合方式暂时替代与历史申请数据特征不同的申请数据特征，替代完成之后所有本次申请数据特征在历史申请数据特征都存在，可以作为确定数据访问权限的依据。

44、与现有技术相比，本发明所达到的有益效果是：根据访问者的申请数据特征决定访问者的数据访问权限，当访问者的密钥被窃取或访问者自身利用数据进行不当得利时，受到影响的只有访问者权限内的部分数据，进而增加了工业数据的安全性。