一种电力数据对外交互场景下数据防泄漏方法及装置与流程

本技术属于电网数据处理，具体涉及一种电力数据对外交互场景下数据防泄漏方法及装置。

背景技术：

1、目前，随着数据成为新的生产要素，数据在流动创造更大价值的同时，也带来各种泄露风险。在数据处理各环节开展不同程度的技术防护，可以保障数据处理部分环节的相对安全。

2、现阶段，数据安全建设缺乏整体统筹，数据安全能力碎片化严重，安全防护措施未形成合力，防护策略和强度差异较大，缺少覆盖数据全生命周期的统一安全防护方案，不利于数据安全能力的扩展及复用。当前建设的数据安全能力在适应新的数据业务场景时面临新的挑战，随着新型业务的快速发展，数据共享融通加快，数据采集、下发、外发、处理等业务场景逐渐增加，海量数据集中处理、广泛共享、交叉使用，敏感程度大幅提升，安全防护压力急剧增加，需进一步加强建设数据安全防护能力。

技术实现思路

1、有鉴于此，本技术的目的在于提出一种电力数据对外交互场景下数据防泄漏方法及装置，用以解决或部分解决上述技术问题。

2、基于上述目的，本技术提供了一种电力数据对外交互场景下数据防泄漏方法，包括：

3、对数据对象进行分类分级，建立敏感数据目录，通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求；

4、根据对外交互场景下的数据访问接口，采用串行脱敏管控和旁路安全监测的形式，实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测，并配置到数据代理中以对数据脱敏进行动态管控；

5、根据指定业务传输协议、格式、对象数据特点，通过接口代理形式实现双向数据转发，对非法数据或敏感数据进行劫持，对敏感数据泄露行为进行劫持，实现对脱敏数据传输过程的管控；

6、采用自然语言处理技术，对流量日志数据进行建模分析，标记和分类web应用接口，查找应用系统中存在敏感数据流转的接口，并通过对应用流量仿真还原和学习，构建应用结构知识图谱。

7、作为电力数据对外交互场景下数据防泄漏方法优选方案，对数据访问接口采用接口监测工具对访问中的流量进行监控，通过采集旁路网络流量，对旁路网络流量解析http协议的rquest body与response body，对提取出的传输数据进行敏感数据识别与规则引擎匹配。

8、作为电力数据对外交互场景下数据防泄漏方法优选方案，还包括，对数据访问接口进行重命名并增加业务属性，将数据访问接口与应用进行绑定以对应用进行敏感数据流转分析；

9、对数据访问接口进行自定义接口标签，利用接口标签设定数据访问接口的监控等级和预警力度；

10、对数据访问接口中存在的敏感数据字段进行识别与标记，定义敏感数据识别类型。

11、作为电力数据对外交互场景下数据防泄漏方法优选方案，还包括，通过参数指标、时间指标、数据指标维度进行数据访问接口审计，所述参数指标包括http协议中的参数；通过所述时间指标针对请求时间进行按照周期、按照时间段、按照具体时间监控；通过所述数据指标针对具体的数据类型、数据量级进行监控。

12、作为电力数据对外交互场景下数据防泄漏方法优选方案，对所述敏感数据的脱敏采用sdk模式实现数据代理，将数据代理与api网关集成串接到数据访问链路中，对所述数据访问链路进行控制实现脱敏和水印处理。

13、作为电力数据对外交互场景下数据防泄漏方法优选方案，对数据脱敏进行动态管控包括：

14、对网络数据传输过程中应用协议进行分析，识别网络流量中的敏感数据，并控制网络行为，阻断数据外泄；

15、对外发文件添加数字水印，支持用户自定义水印字体、颜色、角度、透明度以及水印内容；

16、对数据安全网关进行安全审计，审计内容包括策略审计、告警审计、操作审计及日志审计。

17、作为电力数据对外交互场景下数据防泄漏方法优选方案，还包括，构建数据行为轨迹全景视图，通过所述数据行为轨迹全景视图可视化展现敏感数据访问时间段、数据类型，每个时间段对应的行为轨迹、时间段内关联的风险事件。

18、作为电力数据对外交互场景下数据防泄漏方法优选方案，还包括，通过对应用系统中正在被访问的数据接口进行采样和分析，对内部应用层面的数据进行扫描，发现包含指定类型的敏感数据的数据访问接口；从流量中识别网络中所有访问的url地址，通过url中的ip地址或者域名信息，对应用进行分类管理。

19、本技术还提供一种电力数据对外交互场景下数据防泄漏装置，包括：

20、敏感数据目录构建模块，用于对数据对象进行分类分级，建立敏感数据目录，通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求；

21、接口动态管控模块，用于根据对外交互场景下的数据访问接口，采用串行脱敏管控和旁路安全监测的形式，实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测，并配置到数据代理中以对数据脱敏进行动态管控；

22、脱敏数据管控模块，用于根据指定业务传输协议、格式、对象数据特点，通过接口代理形式实现双向数据转发，对非法数据或敏感数据进行劫持，对敏感数据泄露行为进行劫持，实现对脱敏数据传输过程的管控；

23、应用知识图谱构建模块，用于采用自然语言处理技术，对流量日志数据进行建模分析，标记和分类web应用接口，查找应用系统中存在敏感数据流转的接口，并通过对应用流量仿真还原和学习，构建应用结构知识图谱。

24、作为电力数据对外交互场景下数据防泄漏装置优选方案，所述接口动态管控模块中，对数据访问接口采用接口监测工具对访问中的流量进行监控，通过采集旁路网络流量，对旁路网络流量解析http协议的rquest body与response body，对提取出的传输数据进行敏感数据识别与规则引擎匹配；

25、所述接口动态管控模块中，对数据访问接口进行重命名并增加业务属性，将数据访问接口与应用进行绑定以对应用进行敏感数据流转分析；对数据访问接口进行自定义接口标签，利用接口标签设定数据访问接口的监控等级和预警力度；对数据访问接口中存在的敏感数据字段进行识别与标记，定义敏感数据识别类型；

26、所述接口动态管控模块中，通过参数指标、时间指标、数据指标维度进行数据访问接口审计，所述参数指标包括http协议中的参数；通过所述时间指标针对请求时间进行按照周期、按照时间段、按照具体时间监控；通过所述数据指标针对具体的数据类型、数据量级进行监控。

27、作为电力数据对外交互场景下数据防泄漏装置优选方案，所述脱敏数据管控模块中，对所述敏感数据的脱敏采用sdk模式实现数据代理，将数据代理与api网关集成串接到数据访问链路中，对所述数据访问链路进行控制实现脱敏和水印处理；

28、所述脱敏数据管控模块中，对数据脱敏进行动态管控包括：

29、对网络数据传输过程中应用协议进行分析，识别网络流量中的敏感数据，并控制网络行为，阻断数据外泄；

30、对外发文件添加数字水印，支持用户自定义水印字体、颜色、角度、透明度以及水印内容；

31、对数据安全网关进行安全审计，审计内容包括策略审计、告警审计、操作审计及日志审计。

32、作为电力数据对外交互场景下数据防泄漏装置优选方案，还包括数据行为全景视图构建模块，用于构建数据行为轨迹全景视图，通过所述数据行为轨迹全景视图可视化展现敏感数据访问时间段、数据类型，每个时间段对应的行为轨迹、时间段内关联的风险事件。

33、作为电力数据对外交互场景下数据防泄漏装置优选方案，还包括应用分类管理模块，用于通过对应用系统中正在被访问的数据接口进行采样和分析，对内部应用层面的数据进行扫描，发现包含指定类型的敏感数据的数据访问接口；从流量中识别网络中所有访问的url地址，通过url中的ip地址或者域名信息，对应用进行分类管理。

34、从上面所述可以看出，本技术提供的技术方案，对数据对象进行分类分级，建立敏感数据目录，通过所述敏感数据目录确定敏感数据的识别方式、脱敏要求和水印追溯要求；根据对外交互场景下的数据访问接口，采用串行脱敏管控和旁路安全监测的形式，实现安全管控平台管理脱敏规则配置、安全分析和脱敏数据监测，并配置到数据代理中以对数据脱敏进行动态管控；根据指定业务传输协议、格式、对象数据特点，通过接口代理形式实现双向数据转发，对非法数据或敏感数据进行劫持，对敏感数据泄露行为进行劫持，实现对脱敏数据传输过程的管控；采用自然语言处理技术，对流量日志数据进行建模分析，标记和分类web应用接口，查找应用系统中存在敏感数据流转的接口，并通过对应用流量仿真还原和学习，构建应用结构知识图谱。本技术实现了业务数据的脱敏、水印、溯源、监测分析等数据安全能力，有力提升数据业务交互安全保障能力，保障了电力核心数据全生命周期安全，保障了电力用户数据信息安全。