一种数据安全治理方法、系统及存储介质与流程

本发明属于数据安全，具体提供了一种数据安全治理方法、系统及存储介质。

背景技术：

1、现有的数据安全存储多使用磁盘阵列技术、数据备份技术及数据加密技术。磁盘阵列是指把多个类型、容量、接口甚至品牌一致的专用磁盘或普通硬盘组成一个阵列，使其以更快的速度，准确、安全的方式读写磁盘数据，从而达到数据读取速度和安全性的一种手段。通过磁盘阵列技术，能够提供针对数据的可靠存储环境和有效的恢复机制。当发生安全事故时，数据被破坏了，可以通过技术手段快速恢复数据。但是仅通过数据存储及恢复机制，不能够有效识别关键、敏感数据并严格保护数据不被恶意人员窃取及利用。当恶意人员接触到数据后，可以针对有价值的数据，实施敏感数据泄漏等行为。所以，磁盘阵列技术对于数据识别及发现、防止重要、敏感的数据泄漏无能为力。

2、数据备份技术是指利用备份系统实现数据备份和恢复的技术。通过备份技术可以将重要的、敏感的数据进行本地或者异地备份。当本地的数据被恶意行为造成破坏后，可以通过另一地点的数据进行恢复，从而保障业务系统的持续、可靠运行。

3、数据备份技术仅提供容灾的功能。通过数据备份技术，不能保证重要的、敏感的数据不被恶意人员窃取，造成网络安全事件。数据备份技术对于数据识别及发现、防止重要、敏感的数据泄漏无能为力。

4、数据加密技术包含加密技术和解决技术两部分。加密是指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密技术是对数据信息进行保护的一种可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护数据信息安全的作用。

5、1)性能效率问题。数据加密技术涉及的加密、解密、脱敏等技术，比较消耗设备资源，一定程度上会影响到应用使用的效率；

6、2)无法防范内部人员的恶意的攻击行为。企业内部中有相应的权限、可以接触到敏感数据的人员，有可能采取恶意的行为，针对已经解密的敏感数据进行违规拷贝、向外部传播、贩卖，从而获取利益。单纯通过数据加密技术并无有效办法避免以上问题的发生。当问题发生后，也无法进行有效的风险用户追溯和风险行为审查。

技术实现思路

1、鉴于上述问题，本发明提供了一种数据安全治理方法，包括如下步骤，

2、s1:基于深度学习的数据安全分级分类方法，对资产数据进行分类分级；

3、s2:基于对上述数据的分类分级定义不同等级的敏感数据进行敏感数据的探测，获得敏感数据在数据资产中的分布定位；

4、s3:基于对敏感数据的分布定位进行实时监控，形成审计机制，对终端用户的数据传输行为进行监控审计。

5、进一步的，所述的数据分类分级包括如下步骤，

6、s101：采集业务数据，获取多组安全数据流流向序列组合，并进行分级并标记；

7、s102：提取安全数据流流向序列组合特征；

8、s103：构建基于深度学习的数据安全分级模型。

9、s104：使用该分级模型实时的对该业务信息系统正在发生的内、外数据流进行动态的监控。

10、进一步的，所述s101中安全数据流流向序列组合，包括采集位于原始业务信息系统ⅰ的源头数据产生的安全数据流流向序列，将产生全数据流流向序列按照a核心数据、b重要数据、c一般数据三级进行数据分级，形成一组安全数据流流向序列组合m1，及以原始业务信息系统ⅰ中的数据为源数据，在有下行数据流向关联的n个业务信息系统中产生的多组安全数据流流向序列组合n1,……,nn，二者组合形成该场景下以原始业务信息系统ⅰ为源头的安全数据流流向序列组合m1，n1,……,nn；则在多场景下采集以原始业务信息系统ⅰ为源头的安全数据流流向序列组合m1’,n1’,……,nn’；m1”,n1”,……,nn”；……；对由在多场景下采集的原始业务信息系统ⅰ为源头的所有安全数据流流向序列组合标记为安全，并对数据按照a核心数据、b重要数据、c一般数据三级进行划分标记。

11、进一步的，s102中获取各场景原始业务信息系统数据流的内部功能应用特征向量fvm以及个人信息特征向量ivm、原始业务信息系统与其他关联业务信息系统形成的外部功能应用的特征向量以及个人信息特征向量。

12、进一步的，s103：对于安全的数据流及基于的原始业务信息系统进行数据安全分级成熟模型训练，具体包括，

13、1)确定原始业务信息系统中的信息提取单元，并针对信息提取单元定义系统标志位；

14、2)根据数据流向确定需要分析的、与原始业务信息系统有数据流转关系的特征提取单元和格式提取单元的内容，并将上述信息与系统标志位进行动态关联；

15、3)按照步骤2)进行不同场景原始业务信息系统数据流的内部功能应用,以及原始业务信息系统与其他关联业务信息系统形成的外部功能应用的特征向量fv以及个人信息特征向量ivm的提取；

16、4)最终根据特征提取单元和格式提取单元中的特征向量计算生成数据输出单元，即形成数据分类分级的特征信息。

17、进一步的，s2中，还包括对敏感数据进行检测，发现违规存放敏感信息的用户、终端；对敏感数据的检测采用结构化数据指纹算法、非结构化数据指纹及二进制数据指纹算法，其中，

18、结构化数据指纹算法，将待检测的数据与数据库中的表、csv或者excel等结构化存储的数据源之间进行精确匹配，判断其是否通过全部拷贝、部分拷贝、或乱序拷贝将敏感信息从数据源泄漏出去：

19、进一步的，s3中，具体的，

20、(1)获取用户登录信息；

21、(2)对所述用户登录信息进行水印信息生成处理，确定屏幕水印；

22、(3)对所述初始屏幕图像进行二维快速傅立叶变换处理，确定图像频域；

23、(4)通过水印嵌入算法将所述屏幕水印嵌入至所述图像频域中；

24、(5)对所述目标屏幕图像进行泄密处理，确定泄密图像；

25、(6)通过水印提取算法对泄密图像进行屏幕水印提取，并对屏幕水印进行解码操作，确定泄密用户信息。

26、进一步的，步骤(2)中确定屏幕水印通过如下步骤实现，

27、对所述用户登录信息进行矩阵处理，确定信息像素矩阵；

28、对所述信息像素矩阵进行编码处理，确定屏幕水印。

29、进一步的，步骤(4)中，确定目标屏幕图像,具体为：

30、对载体图像作dft变换；

31、以密钥k为种子对水印图像随机置乱；

32、根据水印数据(0或1)，利用邻近值算法对载体图像的dft中低频系数的幅度进行修改，嵌入水印信息，dft系统的相位保持不变；

33、对修改后的dft变换域系数，做idft，得到嵌入水印的图像。

34、进一步的，步骤(6)中，确定泄密用户信息，具体为：

35、对受到攻击后的含水印图像进行边缘提取和图像的尺寸提取size；

36、对边缘图像进行radon变换，计算出图像的放置角度θ，

37、对图像反向旋转θ角，作size大小的dft变换；

38、利用邻近值算法，从dft的中低频系数中提取出置乱后的水印信息；

39、以密钥k为种子，对数据进行置乱恢复，提取嵌入的水印。

40、本发明还提供了一种数据安全治理系统，包括，

41、数据分类分级单元，基于深度学习的数据安全分级分类方法，对资产数据进行分类分级；

42、数据探测定位单元，基于对上述数据的分类分级定义不同等级的敏感数据进行敏感数据的探测，获得敏感数据在数据资产中的分布定位；

43、数据监控审计单元，基于对敏感数据的分布定位进行实时监控，形成审计机制，对终端用户的数据传输行为进行监控审计确定泄密用户信息。

44、进一步的，所述数据分类分级单元包括，

45、信息提取单元，用于采集业务数据，获取多组安全数据流流向序列组合，并进行分级并标记；

46、特征提取单元，用于提取安全数据流流向序列组合特征；

47、模型构建单元：构建基于深度学习的数据安全分级模型；

48、监控单元，使用该分级模型实时的对该业务信息系统正在发生的内、外数据流进行动态的监控。

49、一种计算机存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法。

50、本发明的优势在于：

51、通过先进的分类分级数据内容识别智能引擎以及人工智能算法技术建立数据安全治理架构，有效解决数据分布集中展示、敏感数据使用、敏感数据传输风险预警、用户行为预警的难题。实现用户的异常行为分析、直观展示数据资产的分布情况、数据识别及发现、防止重要、敏感的数据泄漏以及通过技术手段实现风险事件的审计及处置。

52、1)数据识别功能：

53、根据梳理出的备案数据资产，进行敏感数据的自动探测，通过特征探测定位敏感数据分布在哪些数据资产中。

54、针对敏感的数据资产进行分级分类标记，分类出敏感数据所有者(部门、系统、管理人员等)。

55、根据已分类的数据资产由业务部门进行敏感分级，将分类的数据资产划分公开、内部、敏感等不同的敏感级别。

56、可以有效发现攻击数据，识别dns隐蔽隧道外传数据等高级内部外部威胁手法。

57、2)数据识别的范围：

58、可发现终端本地存储、网络共享存储、数据库以及云对象存储中的数据，并记录分布情况。

59、可设置网络共享数据发现策略，支持发现smb/cifs、nfs、ftp、sftp等常见网络共享存储服务器中的数据存储，并记录分布情况。

60、支持发现扫描存储在数据库中的敏感数据，支持oracle、sqlserver、mysql、postgres、db2等数据库。

61、3)屏幕水印功能：

62、终端水印监控技术可以在被管控用户的终端上设置可见或不可见的屏幕水印，用户一旦在终端桌面上将含有敏感内容的数据通过屏幕截屏或手机拍照等方式外泄，可将外泄的图片上传到管理中心，通过水印溯源功能，可以追溯到泄露源头，反查出这张图片是在哪个用户的终端截屏的，能够提高安全管理人员针对风险用户追溯和风险行为审查的效率。

63、有时候员工不将原文档带出公司，而是通过对重要文档拍照截图的方式泄露。添加屏幕水印后，这样即使截图或照片泄露出去后，安全团队可以将泄露的图片上传到管理中心进行水印查询，通过图片上的终端水印信息定位到人，方便后续追责。

64、终端水印监控技术可以监控并阻止敏感数据通过打印机打印。同时，可以控制打印的时候是否添加水印，并可以选择水印类型如当前ip，当前mac地址，当前用户名，当前系统时间或者自定义打印水印内容。