本发明涉及计算机网络技术领域,尤其涉及一种用于非结构化数据安全处理的方法、装置及其系统。
背景技术:
产品设计数据是制造型企业的核心资产,一旦发生泄露,将会给企业带来不可估量的损失。而在企业进行数字化转型中,以mbd为代表的研发模式成为主流,产品设计数据也随之进行了数字化,体现以二维或三维数字模型为代表的非结构化数据。各种与产品相关的信息,都会体现在这些非结构化数据之中,包括创新设计信息、工艺信息、应用材料信息等。如何保护产品数据资产的安全,成为每个企业在数字化时代保持核心竞争力所要面临的巨大挑战。
特别是在mbd模式下,三维数字模型是企业产品研制业务的核心,在随业务流程被及时传递并被充分利用中,为企业创造价值;而要保证产品的三维数字模型不被窃取和泄露,减小模型中包含的敏感信息的被接触范围是理想的解决手段,这就形成了矛盾。在不同的业务环节,业务处理人员并非需要三维数字模型的全部信息,只需使用本业务环节所要关注的信息即可,因此,对敏感信息进行脱敏后,再将三维数字模型进行传递,可解决上述的矛盾问题。
但是,当前业界使用的脱敏技术等安全处理方法都是以数据库字段信息为对象,解决结构化信息的安全问题,而对于三维数字模型这种非结构化数据的安全处理,还没有解决方案。因此,需要一种针对三维数字模型等非结构化数据进行安全处理的方法,既能够在保障企业业务各环节正常运用的同时,也能够最大程度的保护企业数据安全。
技术实现要素:
本发明提供了一种用于非结构化数据安全处理的方法、装置和系统,通过预置安全处理策略,可以实时针对请求者进行数据的安全处理,特别是对访问的非结构化数据进行敏感信息的安全处理,其中实现了针对敏感组成内容的脱敏,保障了非结构化数据能够被安全地使用。
为了实现上述目的,本发明提供一种用于非结构化数据安全处理的方法,该方法包括:
安全处理策略的设置步骤,在安全处理装置中进行策略设置;
获取访问请求步骤,安全处理装置获取应用用户端的访问请求并进行解析;
匹配判定安全处理策略步骤,安全处理装置将访问请求与策略库中的安全处理策略进行匹配和判定,得到针对服务器响应结果的响应结果处理方法;
获取响应结果步骤,安全处理装置获取应用服务器针对访问请求的应用服务器响应结果;
执行安全处理步骤,根据所述响应结果处理方法,对所述应用服务器响应结果执行安全处理;
返回响应结果步骤,安全处理装置将安全处理后的响应结果返回给应用用户端。
进一步的,所述安全处理对象包括非结构化数据的主内容及其属性信息,针对非结构化数据的主内容的安全处理方法包括替换或者加密,针对非结构化数据的属性信息的安全处理方法包括遮盖、加密或者混淆。
进一步的,所述非结构化数据包括工程设计中产生的二维图纸数据、或者三维数字模型数据。
进一步的,在所述安全处理策略的设置步骤中,所述安全处理策略通过自定义进行设置,或者将安全处理策略预置在安全处理装置中;安全处理策略包括触发安全处理执行的访问请求的特征信息,对被访问客体的敏感内容的定义以及与其对应的响应结果处理方法;访问请求的特征信息包括访问主体的属性信息、访问环境的属性信息以及被访问客体的属性信息。
进一步的,所述安全处理策略被保存在安全处理装置的策略库中,所述安全处理装置获取应用用户端的访问请求后,与策略库中保存的所述安全处理策略进行匹配判定,匹配到安全处理策略之后,得到针对应用服务器响应结果的响应结果处理方法。
进一步的,所述安全处理装置获取应用用户端的访问请求后,如果策略库中没有安全处理策略与之匹配,则对应用服务器响应结果不做任何处理,直接返回给应用用户端。
进一步的,所述安全处理装置获取应用用户端的访问请求后,如果匹配到策略库中的安全处理策略,则将安全处理后的响应结果返回给应用用户端。
进一步的,如果安全处理装置判定出应当给应用用户端返回的结果只包含被安全处理后的内容,则所述安全处理后的响应结果可以由安全处理装置直接提供,或者也可以在将访问请求转发给应用服务器并获取相应的应用服务器响应结果后,对该应用服务器响应结果进行安全处理后产生。
进一步的,如果安全处理装置判定出应当给应用用户端返回的结果不只包含被安全处理后的内容,则需要将访问请求转发给应用服务器并获取相应的应用服务器响应结果后,再对该应用服务器响应结果进行安全处理。
进一步的,在所述获取响应结果步骤中,安全处理装置将访问请求转发给应用服务器,并从应用服务器获取到针对该访问请求反馈的应用服务器响应结果,
在所述执行安全处理步骤中,安全处理装置根据所述的响应结果处理方法,对敏感内容进行安全处理。
进一步的,所述响应结果处理方法针对非结构化数据的主内容,使用安全处理策略指定的安全处理方式,对解析出的包含敏感信息的组成部分进行安全处理,通过使用不包含敏感信息的组成部分进行替换、加密或者丢弃安全处理方式,同时不破坏应用服务器响应结果中的内容结构,保留必要的需要向应用用户端传递的信息;所述响应结果的处理方法针对非结构化数据的属性信息,采用遮盖、加密或者混淆方式进行脱敏处理。
为了实现上述目的,本发明提供一种用于非结构化数据安全处理的装置,该装置包括:控制面板、策略库、接收器、策略处理器、安全处理器以及转发器;
所述控制面板,用于对安全处理策略进行设置,用户根据需求在此模块上按照步骤提示进行安全处理策略的配置;
所述策略库,用于将配置完成的安全处理策略进行存储,形成策略库;
所述接收器,用于接收应用用户端的访问请求,并将安全处理后的响应结果返回给应用用户端;
所述转发器,用于将应用用户端的访问请求转发给应用服务器,以及接收应用服务器返回的应用服务器响应结果;
所述策略处理器,用于将应用用户端的访问请求与策略库中的安全处理策略进行匹配和判定,返回所述的响应结果处理方法;及
所述安全处理器,根据返回的响应结果处理方法,将获取的应用服务器响应结果进行安全处理,生成处理后的响应结果。
为了实现上述目的,本发明提供一种用于非结构化数据安全处理的系统,该系统包括:应用用户端、安全处理装置和应用服务器;
所述安全处理装置包括策略管理模块和处理引擎;
所述策略管理模块包括策略编辑和策略存储;所述策略编辑用于新建和编辑安全处理策略,用户根据需求按照步骤提示进行安全处理策略的配置;所述策略存储用于保存设置完成后的安全处理策略,形成安全处理策略的数据库;
所述处理引擎包括接收模块、转发模块和处理模块;所述接收模块,用于接收应用用户端的访问请求,并将安全处理后的响应结果返回给应用用户端;所述转发模块,用于将所述访问请求转发给应用服务器,以及接收应用服务器返回的应用服务器响应结果;所述处理模块,用于将所述访问请求与策略库中的安全处理策略进行匹配和判定,得到响应结果处理方法,并对应用服务器响应结果进行安全处理;
所述应用用户端,是指要进行安全处理的目标数据的请求发起方;以及
所述应用服务器,接收应用用户端访问请求,处理访问请求,并生成应用服务器响应结果。
与现有技术相比,通过在目标应用的应用用户端和应用服务器之间部署安全处理装置,可以在不改造目标应用的前提下,针对非结构化数据形式的响应结果进行安全处理,特别是对非结构化数据中包含的敏感内容进行解析和安全处理,在应用用户端未被授权的情况下,既可以保证数据在应用用户端可用,保留使用所必须的信息,同时也可以保护数据包含的敏感信息不被泄露。
附图说明
图1为本发明一实施例的安全处理方法示意图;
图2为本发明一实施例的安全处理系统的拓扑示意图。
具体实施方式
为使本发明实施例的目的、技术方案及优点更加清楚,下面将结合附图及实施例,对本发明实施例中的技术方案进行进一步的详细说明。很显然,此处所描述的具体实施例是本发明一部分实施例,而不是全部的实施例,仅仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明安全处理方法实施例的示意图,具体处理步骤如下:
步骤s0、进入安全处理装置的策略控制面板,新增或者编辑安全处理策略。进一步的,根据控制面板中提示来设置策略步骤,包括:步骤s01、确定要进行控制的访问主体,设置相应的主体属性判定条件;步骤s02、确定主体访问客体所处的环境,设置相应的环境属性判定条件;步骤s03、确定要控制的被访问客体,设置相应的客体属性判定条件;步骤s04、定义被访问客体的敏感内容;步骤s05、确定要控制的访问主体的操作行为;步骤s06、确定针对敏感内容进行处理的方法;步骤s07、完成本次安全处理策略的设置。本次新增或者编辑的安全处理策略完成后,会被保存在策略库中。
步骤s1、目标应用的应用用户端发起访问请求,目的是得到包含有三维数字模型的非结构化数据的响应结果。接收器接收到应用用户端的访问请求,将本次访问请求相关的信息转发给策略处理器,信息包括访问主体的属性信息、访问环境的属性信息、被访问客体的属性信息、访问主体的操作行为信息。
步骤s2、策略处理器收到接收器发来的访问请求以及相关信息,随即与策略库中的所有安全处理策略进行匹配和判定,匹配的过程包括访问主体是否符合、访问环境是否符合、被访问的客体是否符合、访问主体的操作行为是否符合。如果匹配到均符合的安全处理策略,则该安全处理策略匹配成功,得到针对被访问客体的敏感内容定义以及相应的安全处理方法;如果至少有一项不符合,则表示策略库中不存在安全处理策略与本次访问请求相对应,本次访问请求不会被安全处理装置处理。策略处理器会将匹配成功的安全处理策略的相关信息以及针对响应结果的响应结果安全处理方法,传递给安全处理器。
步骤s3、策略处理器完成策略匹配判定后,转发器将访问请求转发给目标应用的应用服务器,等待应用服务器返回应用服务响应。
步骤s4、转发器获取到目标应用的应用服务器针对访问请求的应用服务器响应结果,本实施例中,应用服务器响应结果包含了三维数字模型,并将该应用服务器响应结果转发给安全处理器。
步骤s5、安全处理器获取到转发器发来的应用服务器响应结果,根据策略处理器发来的安全处理策略相关信息以及响应结果处理方法,进行安全处理。根据策略信息定位解析出应用服务器响应结果中的敏感内容,在本实施例中,敏感信息主要体现为三维数字模型的某个零组件模型及其部分属性信息。安全处理器根据响应结果处理方法,将不含敏感信息的零组件模型,替换包含敏感信息的零组件模型,将包含敏感信息的属性值进行遮盖,同时保持整个应用服务器响应结果的可用性。安全处理器将安全处理完成后的响应结果传递给接收器。
步骤s6、接收器接收到安全处理器传来的响应结果,并将该响应结果回传给应用用户端,使本次应用用户端的访问请求得到响应结果,从而形成完整的闭环。
如图2所示,本发明提供一种用于非结构化数据安全处理的系统,包括:
应用用户端,是指要进行安全处理的目标数据的请求发起方;
应用服务器,接收应用用户端访问请求,处理访问请求,并生成应用服务器响应结果;
以及针对应用服务器响应结果包含的非结构化数据进行安全处理的安全处理装置。
进一步的,安全处理装置部署在应用用户端和应用服务器之间,包括:
策略管理模块进行策略编辑和策略存储。策略编辑用于新建和编辑安全处理策略,用户可以根据需求按照步骤提示进行安全处理策略的配置;策略存储用于保存设置完成后的安全处理策略,形成策略库;
接收模块,用于接收应用用户端的访问请求,并将安全处理后的响应结果返回给应用用户端;
转发模块,用于将应用用户端访问请求转发给应用服务器,以及接收应用服务器返回的响应;
策略处理模块,用于将访问请求与策略库中的安全处理策略进行匹配和判定,返回响应结果处理方法。
安全处理模块,根据返回的响应结果处理方法,将获取的应用服务器响应结果进行安全处理,生成处理后的响应结果。
综上所述,本发明通过将安全处理装置部署于目标应用的应用用户端和应用服务器之间,无需改造目标应用本身,可以实现应用服务器响应结果中非结构化数据敏感内容的安全处理。安全处理装置获取应用用户端向应用服务器发起的访问请求,通过进行安全处理策略的匹配判定,安全处理装置再获取应用服务器返回的应用服务器响应结果,根据策略匹配的判定结果,对应用服务器响应结果中的非结构化数据进行安全处理,最终将不含敏感信息的响应结果返回给应用用户端。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用计算机或任何其他类似硬件设备来实现。同样的,本发明的软件程序可以被存储到计算机可读存储介质中,例如,ram存储器,磁或光驱动器或软磁盘及类似设备。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的存储介质中,和/或通过广播或其它信号承载媒体中的数据流而被传输,和/或被存储在根据程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且不背离本发明的精神或基本特征的情况下,能够以其它的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其它模块或步骤,单数不排除复数。权利要求中陈述的多个模块或装置也可以由一个模块或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。