一种数据安全策略管理方法及系统与流程

1.本发明涉及网络安全技术领域，尤其是涉及一种数据安全策略管理方法及系统。


背景技术：

2.互联网已经成为世界各国人民沟通的重要工具。进入21世纪，以互联网为代表的信息化浪潮席卷世界每个角落，渗透到经济、政治、文化和国防等各个领域，对人们的生产、工作、学习、生活等产生了全面而深刻的影响，也使世界经济和人类文明跨入了新的历史阶段。然而，伴随着互联网的飞速发展，网络信息安全问题日益突出，越来越受到社会各界的高度关注。
3.在企业内部，为了逐渐适应越来越多的信息处理工作，往往都应用有企业管理系统，但是，随着企业管理系统的功能以及使用用户变多，容易出现被网络攻击的问题，为了保障企业管理系统的安全运行，常常应用的手段是采用防火墙技术，防火墙技术是将不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，相当于一个分离器、限制器或分析器，在一定程度上监控了内部网和internet之间的任何活动，但是，随着企业内部、外部的应用访问的增多，单纯依靠防火墙对企业管理系统已经无法做到有效的保护。


技术实现要素：

4.本发明的目的是提供一种能够有效防护企业管理系统的安全策略管理方法及系统。
5.所以本发明公开了一种数据安全策略管理方法，应用有安全防护主机，所述方法包括：由所述安全防护主机做出如下动作：获取数据请求信息，并针对所述数据请求信息建立临时请求储存空间，以临时储存所述数据请求信息；基于所述数据请求信息，确定对应的ip地址，并针对所述ip地址建立临时ip地址分析空间，以临时储存所述ip地址；根据预设的ip正常请求规则，分析所述临时ip地址分析空间内的ip地址，若存在不符合所述ip正常请求规则的ip地址，则将判定请求异常的ip地址拉入黑名单，并删除所述临时请求储存空间内对应的数据请求信息，若ip地址请求符合所述ip正常请求规则，则对所述ip地址对应的数据请求信息进行安全性分析，若所述数据请求信息不符合安全要求，则将所述数据请求信息删除，并拉黑对应的所述ip地址；若所述ip地址符合所述ip正常请求规则，且与所述ip地址对应的数据请求信息符合安全要求，则将所述ip地址和所述数据请求信息打包加密，并根据预设的动态ip变换规则，发送至数据库主机。
6.在本技术的一些实施例中，为了提升数据请求信息传送过程中安全性，公开了所
述动态ip变换规则的内容，所述动态ip变换规则包括若干ip地址，所述ip地址随时间进行变换。
7.在本技术的一些实施例中，为了能够提升数据请求信息传输过程中的安全性，公开了应用所述动态ip变换规则的方法，应用所述动态ip变换规则的方法包括：所述安全防护主机和所述数据库主机均内置所述动态ip变换规则；根据时间点，由所述动态ip变换规则确定选用的临时ip地址，所述数据库主机更换所述临时ip地址为当下网络通讯地址，所述安全防护主机将所述临时ip地址确定为当下发送地址。
8.在本技术的一些实施例中，为了能够提升对外网请求的安全性，所述ip正常请求规则的内容中的方法包括：获取ip地址；分析同一ip地址的请求频次，若同一ip地址的请求频次小于预设值，则确定所述ip地址符合正常请求；分析所述临时ip地址分析空间内的ip地址，若同一ip地址的请求间隔之间的差值大于预设值，则确定所述ip地址符合正常请求。
9.在本技术的一些实施例中，为了能够使所述数据库主机和安全防护主机之间的数据传输更加安全，对方法进行了改进，所述方法还包括：所述数据库主机内置有与所述安全防护主机相同的加密规则，以对所述安全防护主机发送的加密包的解密。
10.在本技术的一些实施例中，为了进一步提升所述数据主机和安全防护主机之间数据沟通的安全性，对所述方法做了进一步改进，所述安全防护主机和所述数据库主机根据时间同步变更所述加密规则。
11.在本技术的一些实施例中，为了进一步提升所述安全防护主机的防护能力，公开了判断所述数据请求信息是否符合安全要求的方法，判断所述数据请求信息是否符合安全要求的方法包括：预设有模拟动作树，所述模拟动作树用于表示对所述数据库的调用操作步骤；所述安全防护主机内置有预读取单元，所述预读取单元用于对所述数据请求信息进行预读取，并生成对所述数据库的虚拟调用步骤；若所述虚拟调用步骤符合所述模拟动作树的逐级延伸路线，则判定所述数据请求信息符合安全要求。
12.在本技术的一些实施例中，为了能够减少大规模网络攻击对所述安全防护主机带来的影响，所述ip地址分析空间的大小根据所述安全防护主机的警戒状态进行调整。
13.在本技术的一些实施例中，为了能够减少大规模网络攻击对所述安全防护主机带来的影响，对所述警戒状态的类型进行了公开，所述警戒状态分为一般警戒状态、中等警戒状态和高警戒状态；所述一般警戒状态下，所述ip地址分析空间为最大，若此时所述ip地址分析空间内的剩余空间小于预设值，则进入所述中等警戒状态，并缩小所述ip地址分析空间；若所述安全防护主机接收到遭受攻击指令，则所述安全防护主机进入高警戒状态，并封闭所述ip地址分析空间。
14.在本技术的一些实施例中，还公开了一种数据安全策略管理系统，所述系统包括安全防护主机和数据库主机，所述安全防护主机用于判断数据请求信息的安全情况，并将符合安全标准的数据请求信息发送至所述数据库主机；所述安全防护主机内只有数据获取单元、数据存储单元、分析处理单元和通讯加密单元；所述数据获取单元用于获取数据请求信息；所述数据存储单元用于根据所述数据请求信息，生成临时ip地址分析空间和临时请求储存空间，所述临时ip地址分析空间用于对ip地址进行储存，所述临时请求储存空间用于对所述数据请求信息进行储存；所述分析处理单元用于对所述ip地址和数据请求信息进行分析，分析方法包括：若存在不符合所述ip正常请求规则的ip地址，则将判定请求异常的ip地址拉入黑名单，并删除所述临时请求储存空间内对应的数据请求信息，若ip地址请求符合所述ip正常请求规则，则对所述ip地址对应的数据请求信息进行安全性分析，若所述数据请求信息不符合安全要求，则将所述数据请求信息删除，并拉黑对应的所述ip地址；所述通讯加密单元用于对符合所述ip正常请求规则的ip地址和符合安全要求的数据请求信息进行打包加密，并根据预设的动态ip变换规则，发送至数据库主机。
15.本技术公开的一种数据安全策略管理方法，通过应用安全防护主机，实现对数据请求信息的预先审查，首选根据预设的ip正常请求规则，对数据请求信息的发送ip地址进行安全性审查，然后对数据请求信息本体进行安全性审查，对于通过上述安全性审查的数据请求信息和ip地址，进行打包加密，并根据预设的ip变换规则，发送至数据主机，有效提高了数据调用的安全性。
16.下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
附图说明
17.图1为本技术实施例中一种数据安全策略管理方法的方法步骤图；图2为本技术实施例中ip正常请求规则的内容中的方法步骤图。
具体实施方式
18.以下通过附图和实施例对本发明的技术方案作进一步说明。
19.除非另外定义，本发明使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。本发明中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
20.实施例：本发明的目的是提供一种能够有效防护企业管理系统的安全策略管理方法及系
统。
21.所以本发明公开了一种数据安全策略管理方法，应用有安全防护主机，所述方法包括：参阅图1，由所述安全防护主机做出如下动作：步骤s100，获取数据请求信息，并针对所述数据请求信息建立临时请求储存空间，以临时储存所述数据请求信息。
22.步骤s200，基于所述数据请求信息，确定对应的ip地址，并针对所述ip地址建立临时ip地址分析空间，以临时储存所述ip地址。
23.步骤s300，根据预设的ip正常请求规则，分析所述临时ip地址分析空间内的ip地址，若存在不符合所述ip正常请求规则的ip地址，则将判定请求异常的ip地址拉入黑名单，并删除所述临时请求储存空间内对应的数据请求信息。
24.在本技术的一些实施例中，为了能够提升对外网请求的安全性，公开了所述ip正常请求规则的内容中的方法，参阅图2，所述ip正常请求规则的内容中的方法包括：步骤s301，获取ip地址。
25.步骤s302，分析同一ip地址的请求频次，若同一ip地址的请求频次小于预设值，则确定所述ip地址符合正常请求。
26.步骤s303，分析所述临时ip地址分析空间内的ip地址，若同一ip地址的请求间隔之间的差值大于预设值，则确定所述ip地址符合正常请求。
27.步骤s400，若ip地址请求符合所述ip正常请求规则，则对所述ip地址对应的数据请求信息进行安全性分析，若所述数据请求信息不符合安全要求，则将所述数据请求信息删除，并拉黑对应的所述ip地址。
28.步骤s500，若所述ip地址符合所述ip正常请求规则，且与所述ip地址对应的数据请求信息符合安全要求，则将所述ip地址和所述数据请求信息打包加密，并根据预设的动态ip变换规则，发送至数据库主机。
29.为了提升数据请求信息传送过程中安全性，在本技术的一些实施例中，公开了所述动态ip变换规则的内容，所述动态ip变换规则包括若干ip地址，所述ip地址随时间进行变换。
30.在本技术的一些实施例中，为了能够提升数据请求信息传输过程中的安全性，公开了应用所述动态ip变换规则的方法，应用所述动态ip变换规则的方法包括：所述安全防护主机和所述数据库主机均内置所述动态ip变换规则；根据时间点，由所述动态ip变换规则确定选用的临时ip地址，所述数据库主机更换所述临时ip地址为当下网络通讯地址，所述安全防护主机将所述临时ip地址确定为当下发送地址。
31.在本技术的一些实施例中，为了能够使所述数据库主机和安全防护主机之间的数据传输更加安全，对方法进行了改进，所述方法还包括：所述数据库主机内置有与所述安全防护主机相同的加密规则，以对所述安全防护主机发送的加密包的解密。
32.在本技术的一些实施例中，为了进一步提升所述数据主机和安全防护主机之间数据沟通的安全性，对所述方法做了进一步改进，所述安全防护主机和所述数据库主机根据时间同步变更所述加密规则。
33.所述加密规则可以为对称加密，对称加密是采用单钥密码系统的加密方式，同一
个密钥可以同时用作信息的加密和解密。
34.可以应用的算法包括但不限于：des加密算法、3des加密算法、tdea加密算法、blowfish加密算法、rc2加密算法、rc4加密算法、rc5加密算法、idea加密算法、skipjack加密算法。
35.其中，des加密算法速度较快，适用于加密大量数据的应用，3des（triple des）：是基于des，对一块数据用三个不同的密钥进行三次加密，强度更高，aes（advanced encryption standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高，支持128、192、256位密钥的加密。
36.为了实现所述安全防护主机和所述数据库主机的同时的同时更换加密规则，在同时更改加密算法的同时，也可以同时更改加密密钥，所以所述安全防护主机和数据库主机应当均设置有加密规则库，所述加密规则库用于储存不同的加密算法和加密密钥，对应于时间的变更，所述加密算法和加密密钥进行变更。
37.在本技术的一些实施例中，为了进一步提升所述安全防护主机的防护能力，公开了判断所述数据请求信息是否符合安全要求的方法，判断所述数据请求信息是否符合安全要求的方法包括：第一步，预设有模拟动作树，所述模拟动作树用于表示对所述数据库的调用操作步骤。
38.第二步，所述安全防护主机内置有预读取单元，所述预读取单元用于对所述数据请求信息进行预读取，并生成对所述数据库的虚拟调用步骤。
39.第三步，若所述虚拟调用步骤符合所述模拟动作树的逐级延伸路线，则判定所述数据请求信息符合安全要求。
40.其中，所述模拟动作树的节点为对所述数据库的一个操作步骤，为了从所述数据库内对数据进行调用，从接收数据请求信息开始，到逐步找到对应数据，到调用动作，每一个操作步骤均为所述模拟动作树的一个节点，并且，由于对对所述数据库的使用目的的不同，从根节点出发，所经历的叶节点不同，根据逐级经历的节点不同，形成了所述逐级延伸路线。
41.在本技术的一些实施例中，为了能够减少大规模网络攻击对所述安全防护主机带来的影响，所述ip地址分析空间的大小根据所述安全防护主机的警戒状态进行调整。
42.这里提到的大规模网络攻击可以是ddos分布式拒绝服务攻击，分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用。
43.对于企业管理系统来说，被使用的频次具有一定的限度，所以通过设定ip地址分析空间的大小来初步确定发送数据请求的ip源是否超过常规状态，在所述ip地址分析空间内，若内部积存的ip地址已经导致所述ip地址分析空间的剩余空间小于预设值，则可以调整所述安全防护主机的警戒状态。
44.在本技术的一些实施例中，为了能够减少大规模网络攻击对所述安全防护主机带来的影响，对所述警戒状态的类型进行了公开，所述警戒状态分为一般警戒状态、中等警戒状态和高警戒状态。
45.所述一般警戒状态下，所述ip地址分析空间为最大，若此时所述ip地址分析空间内的剩余空间小于预设值，则进入所述中等警戒状态，并缩小所述ip地址分析空间。
46.所述安全防护主机进入所述中等警戒状态后缩小所述ip地址分析空间，减少主机性能资源消耗，在这种状态下，后台管理人员会对系统状态进行分析。
47.若所述安全防护主机接收到遭受攻击指令，则所述安全防护主机进入高警戒状态，并封闭所述ip地址分析空间。
48.由后台管理人员对系统状态进行分析后，想向所述安全防护主机发送遭受攻击指令，所述安全防护主机进入高警戒状态，通过封闭所述ip地址分析空间，封闭外界攻击。
49.在本技术的一些实施例中，还公开了一种数据安全策略管理系统，所述系统包括安全防护主机和数据库主机，所述安全防护主机用于判断数据请求信息的安全情况，并将符合安全标准的数据请求信息发送至所述数据库主机。
50.所述安全防护主机内只有数据获取单元、数据存储单元、分析处理单元和通讯加密单元。
51.所述数据获取单元用于获取数据请求信息。
52.所述数据存储单元用于根据所述数据请求信息，生成临时ip地址分析空间和临时请求储存空间，所述临时ip地址分析空间用于对ip地址进行储存，所述临时请求储存空间用于对所述数据请求信息进行储存。
53.所述分析处理单元用于对所述ip地址和数据请求信息进行分析，分析方法包括：若存在不符合所述ip正常请求规则的ip地址，则将判定请求异常的ip地址拉入黑名单，并删除所述临时请求储存空间内对应的数据请求信息，若ip地址请求符合所述ip正常请求规则，则对所述ip地址对应的数据请求信息进行安全性分析，若所述数据请求信息不符合安全要求，则将所述数据请求信息删除，并拉黑对应的所述ip地址。
54.所述通讯加密单元用于对符合所述ip正常请求规则的ip地址和符合安全要求的数据请求信息进行打包加密，并根据预设的动态ip变换规则，发送至数据库主机。
55.本技术公开的一种数据安全策略管理方法，通过应用安全防护主机，实现对数据请求信息的预先审查，首选根据预设的ip正常请求规则，对数据请求信息的发送ip地址进行安全性审查，然后对数据请求信息本体进行安全性审查，对于通过上述安全性审查的数据请求信息和ip地址，进行打包加密，并根据预设的ip变换规则，发送至数据主机，有效提高了数据调用的安全性。
56.最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。