本发明涉及数据安全,特别涉及一种关系型数据的分类分级保护方法。
背景技术:
1、数据的开放共享是数据经济发展的基石,通过大数据工具的有效运用,整合各类孤立的、碎片的、离散的信息,能够让数据充分流动起来创造更大价值。
2、目前,对于数据的存储,一般都采用关系型结构,即将数据保存在不同的表中,以提高数据的存储读取速度和灵活性。
3、而在关系型数据的整合与优化过程中,实施数据分级分类保护是数据合理利用的基础条件和迈向数据精细化管理的重要一步,同时也是加强数据交换共享、保障数据流通安全、激活数据价值的必要条件。对于复杂多样、数量庞大的数据而言,有效的分类分级保护管理尤其重要。
4、目前,对于敏感数据的分类分级方法,主要用于具有明显数据特征的敏感数据,在基于全局数据识别的前提下,还需要结合大量的人工干预才能实现,传统方法缺乏自主聚类分析的能力,并且获取的分类结果准确性和效率也较低,导致无法为重要敏感数据提供及时、准确的安全保护操作。
5、因此,提出一种关系型数据的分类分级保护方法。
技术实现思路
1、为解决上述技术问题,本发明提供一种关系型数据的分类分级保护方法,用以解决传统技术中敏感数据分类分级准确性和效率较低,无法为敏感数据的数据保护操作提供可靠依据的问题。
2、本发明实施例中提供了一种关系型数据的分类分级保护方法,包括:
3、检测关系型数据所在的数据库源;
4、对所述数据库源进行标记,建立数据源台账;
5、通过高权限账号,从数据源台账中的数据库源抽取采样数据;
6、对所述采样数据中的敏感字段进行识别,获取敏感数据;
7、基于聚类分析算法,对所述敏感数据进行分类,获取数据分类结果;
8、基于数据定级规则,对所述敏感数据进行分级,获取数据分级结果;
9、根据所述敏感数据对应的数据分类结果和数据分级结果,对所述敏感数据执行相应的数据保护操作。
10、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,包括:
11、所述敏感数据,包括个人信息数据、企业数据和业务数据;
12、个人信息数据,包括自然人信息和个人权益信息数据;
13、企业数据,包括具有企业性质的团体所相关的属性数据;
14、业务数据,包括业务系统内与交易数据、订单及建模统计数据以及系统运营使用数据。
15、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,所述步骤:对所述采样数据中的敏感字段进行识别,获取敏感数据,包括:
16、设所述数据库源中共有k行数据;
17、采样数据中共有ln行数据;
18、ln=x+(k-x)*y
19、其中,x为k行数据中的前x行数据,(k-x)为剩余数据,y为预设百分比;
20、k≥ln,基于预设规则检测ln行数据中的字段,当对所述字段的命中次数p≥ln*c时,则判断所述字段为敏感字段;
21、k<ln,基于预设规则检测ln行数据中的字段,当对所述字段的命中次数p≥k*c时,则判断所述字段为敏感字段;
22、根据所述敏感字段,组成敏感数据;
23、其中,c为预设权重比例因子。
24、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,
25、所述预设规则,包括预定义的敏感数据规则特征、基于字段注释和字段标签特征以及敏感数据字典匹配。
26、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,所述步骤:基于聚类分析算法,对所述敏感数据进行分类,获取数据分类结果,包括:
27、根据样本数据,构建训练集;
28、计算所述敏感数据与所述训练集中所有样本数据的相似度,包括
29、
30、其中,待分类的敏感数据为(x0,y0),训练集中第1个样本数据为(x1,y1),ρ01为待分类的敏感数据(x0,y0)与样本数据(x1,y1)的欧式距离;
31、设所述训练集中共有n个样本数据,获取所述敏感数据与所述训练集中所有样本数据的相似度集合ρ=[ρ01,…,ρ0n],ρ0n为待分类的敏感数据(x0,y0)与第n个样本数据(xn,yn)的欧式距离;
32、对所述相似度集合中的欧式距离进行递增次序排序;
33、根据排序后的相似度集合,在所述训练集中选取与所述敏感数据欧式距离最近的m个样本数据;
34、统计m个样本数据归属的分类结果,获取频率最高的分类结果作为所述敏感数据的数据分类结果。
35、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,所述步骤:基于数据定级规则,对所述敏感数据进行分级,获取数据分级结果,包括:
36、根据所述敏感数据的字段信息,确定所述敏感数据的颗粒度信息;
37、根据所述颗粒度信息,识别所述敏感数据的分级要素,基于数据定级规则,获取初始评级结果;
38、综合分析所述敏感数据的数据规模、数据时效性以及数据形态因素,对所述初始评级结果进行复核调整,获取调整评级结果,形成数据安全级别评定表和定级台账;
39、对所述敏感数据的定级流程进行审核,审核通过后,将所述调整评级结果作为所述敏感数据的数据分级结果。
40、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,所述敏感数据的数据分级结果,包括机密数据、秘密数据、内部数据、公开数据四个等级。
41、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,所述步骤:根据所述敏感数据对应的数据分类结果和数据分级结果,对所述敏感数据执行相应的数据保护操作,包括:
42、根据所述敏感数据的数据分级结果,执行相应的监控操作,包括:
43、当所述敏感数据的数据分级结果为公开数据时,监控基于所述敏感数据的访问、操作行为,保留完整的审计记录;所述审计记录,包括:用户、访问时间、源ip、目标服务器ip、端口、语句执行时长、返回结果集、详细操作语句以及保留预设时限的访问日志;
44、当所述敏感数据的数据分级结果为内部数据、秘密数据或机密数据时,监控基于所述敏感数据的审计记录,并制定访问预警规则,对所述敏感数据进行访问、操作的未知用户、风险账号以及风险ip进行实施监控告警;
45、根据所述敏感数据的数据分级结果,执行相应的防护操作,包括:
46、当所述敏感数据的数据分级结果为内部数据、秘密数据或机密数据时,根据指定访问源、操作类型和返回结果集,设置数据量阈值,配置访问控制策略,获取用户对所述敏感数据实施增加、删减、修改、查找操作和批量导出时的返回结果集,当所述返回结果集达到所述数据量阈值,进行告警和拦截。
47、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,所述步骤:根据所述敏感数据对应的数据分类结果和数据分级结果,对所述敏感数据执行相应的数据保护操作,还包括:
48、根据所述敏感数据的数据分级结果,基于应用场景执行相应的脱敏操作,包括:
49、当所述敏感数据的数据分级结果为内部数据、秘密数据或机密数据时,在所述敏感数据用于测试开发、数据分析、科研教学应用场景时,对所述敏感数据进行静态脱敏操作;所述静态脱敏操作,包括:替换、遮蔽、无效化、乱序以及对称加密;
50、当所述敏感数据的数据分级结果为内部数据、秘密数据或机密数据时,在所述敏感数据用于运维操作、对外共享、生产访问应用场景时,对所述敏感数据进行动态脱敏操作;所述动态脱敏操作,包括:替换、遮蔽以及置空。
51、优选的,本发明实施例提供一种关系型数据的分类分级保护方法,所述步骤:根据所述敏感数据对应的数据分类结果和数据分级结果,对所述敏感数据执行相应的数据保护操作,还包括:
52、根据所述敏感数据的数据分级结果,在数据传输和存储过程中,执行相应的加密操作,包括:
53、当所述敏感数据的数据分级结果为内部数据、秘密数据或机密数据时,在数据传输和存储过程中,对所述敏感数据进行加密操作,用以实现所述敏感数据的防监听、防拖库;
54、根据所述敏感数据的数据分级结果,在数据共享过程中,执行相应的安全防护操作,包括:
55、当所述敏感数据的数据分级结果为内部数据、秘密数据或机密数据时,在数据共享过程中,对所述敏感数据进行共享审批、身份鉴别、加密传输、加密存储、访问监控、多因素/二次认证、脱敏、api链路监控、数字水印、访问控制、日志审计操作。
56、与传统技术相比,本发明的有益效果在于:基于聚类分析算法和数据定级规则,实现了对敏感数据的分类分级,并根据数据分类结果和数据分级结果,对敏感数据实行差异化的数据保护操作,以保护敏感数据的数据安全;与传统技术相比,上述方法基于数据库源中的采样数据进行敏感分析,获取敏感数据,解决了传统技术中需基于全局数据识别的不便,无需人工干预,能够实现对敏感数据的自动分类分级,进一步提高了获取数据分类结果和数据分级结果的准确性和效率,为对敏感数据实施数据保护操作提供了可靠依据。
57、本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
58、下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。