本技术涉及数据处理,具体而言,涉及一种基于数据指纹的数据安全监测方法及装置。
背景技术:
1、现如今企业对数据安全合规的需求也越来越强烈,数据安全市场随之快速增长。数据库安全、数据防泄漏、数据脱敏等单点数据安全产品是市场的主流,大多数据安全厂商都在这些领域有多年积累。
2、但随着数据安全法律体系和标准体系逐渐完善,数据安全建设开始由产品向体系化发展。目前现状为:1、体系化数据安全治理不成熟。大多数单点数据安全产品都基于自身产品定位进行数据安全防护,拥有较为成熟的技术路线,而缺少体系化的数据安全治理解决方案。全生命周期数据安全监测难。2、单点的数据安全监测往往以用户行为为中心,缺少以数据为中心的数据安全监测方案,无法将数据各阶段的安全风险进行整体分析,不利于数据全生命周期的安全防护。
3、因此如何解决上述问题成为了本领域技术人员所要研究的方向之一。
技术实现思路
1、本技术的目的在于,为了克服现有的技术缺陷,提供了一种基于数据指纹的数据安全监测方法及装置,通过文件和库表数据安全监测解决无法使用单一手段监测的问题,实现数据全生命周期的安全监测。
2、本技术目的通过下述技术方案来实现:
3、第一方面,本技术提出了一种基于数据指纹的数据安全监测方法,所述方法包括:
4、对数据进行指纹提取得到提取数据,将所述提取数据按照数据库字段项和最小文件建立敏感数据指纹库;
5、将所述敏感数据指纹库结合行为动作和响应动作建立数据安全策略模型;
6、提取文件的数据指纹与敏感数据指纹库进行对比得到第一指纹属性,通过第一指纹属性与数据安全策略模型进行文件数据安全监测;
7、提取库表数据的路径信息与敏感数据指纹库进行比对得到第二指纹属性,通过第二指纹属性与数据安全策略模型进行库表数据安全监测。
8、在一种可能的实施方式中,所述敏感数据指纹库的核心字段包括数据名称、数据md5、模糊hash、数据路径、安全等级以及数据分类。
9、在一种可能的实施方式中,将所述敏感数据指纹库结合行为动作和响应动作建立数据安全策略模型的步骤,包括:
10、将安全等级和数据分类作为分类分级属性,将数据md5、模糊hash、数据路径作为指纹属性,将分类分级属性和指纹属性组合得到策略数据对象;
11、结合策略数据对象,分别确定数据匹配方式、选择行为动作和响应动作建立数据安全策略模型。
12、在一种可能的实施方式中,提取文件的数据指纹与敏感数据指纹库进行对比得到第一指纹属性,通过第一指纹属性与数据安全策略模型进行文件数据安全监测的步骤,包括:
13、提取日志行为中的内容得到数据指纹;
14、计算数据指纹中的数据md5和模糊hash的值;
15、将数据指纹与敏感数据指纹库进行对比得到第一指纹属性,所述第一指纹属性为与数据md5和模糊hash的值的相似度超过预设阈值的数据;
16、根据第一指纹属性的分类分级属性判定是否触发数据安全策略模型中的数据安全策略,若触发则表示日志行为有数据安全风险,若不触发则表示日志行为无数据安全风险。
17、在一种可能的实施方式中,提取库表数据的路径信息与敏感数据指纹库进行比对得到第二指纹属性,通过第二指纹属性与数据安全策略模型进行库表数据安全监测的步骤,包括:
18、采集并解析数据库访问日志得到库表数据的路径信息;
19、将库表数据的路径信息与敏感数据指纹库进行比对得到第二指纹信息;
20、根据第二指纹信息的分类分级属性来判断是否触发数据安全策略模型中的数据安全策略,若触发在则表示数据库访问日志有数据安全风险,若不触发则表示数据安全风险无数据安全风险。
21、第二方面,本技术提出了一种基于数据指纹的数据安全监测装置,所述装置包括:
22、提取模块,用于对数据进行指纹提取得到提取数据,将所述提取数据按照数据库字段项和最小文件建立敏感数据指纹库;
23、模型建立模块,用于将所述敏感数据指纹库结合行为动作和响应动作建立数据安全策略模型;
24、文件数据监测模块,用于提取文件的数据指纹与敏感数据指纹库进行对比得到第一指纹属性,通过第一指纹属性与数据安全策略模型进行文件数据安全监测;
25、库表数据监测模块,用于提取库表数据的路径信息与敏感数据指纹库进行比对得到第二指纹属性,通过第二指纹属性与数据安全策略模型进行库表数据安全监测。
26、在一种可能的实施例中,所述敏感数据指纹库的核心字段包括数据名称、数据md5、模糊hash、数据路径、安全等级以及数据分类。
27、在一种可能的实施例中,模型建立模块,还用于:
28、将安全等级和数据分类作为分类分级属性,将数据md5、模糊hash、数据路径作为指纹属性,将分类分级属性和指纹属性组合得到策略数据对象;
29、结合策略数据对象,分别确定数据匹配方式、选择行为动作和响应动作建立数据安全策略模型。
30、在一种可能的实施例中,文件数据监测模块,还用于:
31、提取日志行为中的内容得到数据指纹;
32、计算数据指纹中的数据md5和模糊hash的值;
33、将数据指纹与敏感数据指纹库进行对比得到第一指纹属性,所述第一指纹属性为与数据md5和模糊hash的值的相似度超过预设阈值的数据;
34、根据第一指纹属性的分类分级属性判定是否触发数据安全策略模型中的数据安全策略,若触发则表示日志行为有数据安全风险,若不触发则表示日志行为无数据安全风险。
35、在一种可能的实施例中,库表数据监测模块,还用于:
36、采集并解析数据库访问日志得到库表数据的路径信息;
37、将库表数据的路径信息与敏感数据指纹库进行比对得到第二指纹信息;
38、根据第二指纹信息的分类分级属性来判断是否触发数据安全策略模型中的数据安全策略,若触发在则表示数据库访问日志有数据安全风险,若不触发则表示数据安全风险无数据安全风险。
39、上述本技术主方案及其各进一步选择方案可以自由组合以形成多个方案,均为本技术可采用并要求保护的方案;且本技术,(各非冲突选择)选择之间以及和其他选择之间也可以自由组合。本领域技术人员在了解本技术方案后根据现有技术和公知常识可明了有多种组合,均为本技术所要保护的技术方案,在此不做穷举。
40、本技术公开了一种基于数据指纹的数据安全监测方法及装置,先对数据进行指纹提取得到提取数据,按照数据库字段项和最小文件建立敏感数据指纹库,并结合行为动作和响应动作建立数据安全策略模型,然后提取文件的数据指纹与敏感数据指纹库进行对比得到第一指纹属性,通过第一指纹属性与数据安全策略模型进行文件数据安全监测,提取库表数据的路径信息与敏感数据指纹库进行比对得到第二指纹属性,通过第二指纹属性与数据安全策略模型进行库表数据安全监测。通过数据安全策略模型来统一制定数据安全策略,防止单点产品间的数据安全策略冲突,通过文件和库表数据安全监测解决无法使用单一手段监测的问题,实现数据全生命周期的安全监测。