一种用于对数据和应用进行并行安全审核的方法及系统

摘要

本发明公开了一种用于对数据和应用进行并行安全审核的方法和系统，所述方法包括：接收针对指定数据的业务请求，审核所述业务请求；当所述业务请求通过审核后，对所述指定数据的定制应用进行审核；对所述定制应用进行审核，当所述定制应用的行为与所述业务请求的行为一致时，确定所述定制应用通过审核；当所述定制应用通过审核后，在预先设定的安全区域内对所述指定数据进行处理，生成用于输出的定制数据；对所述用于输出的定制数据进行审核，当所述用于输出的定制数据通过审核后，将所述用于输出的定制数据提供给经过数据消费授权的定制应用。

说明书

技术领域

本发明涉及数据应用安全技术领域，更具体地，涉及一种用于对数据和应用进行并行安全审核的方法及系统。

背景技术

随着云计算、大数据、人工智能飞速发展新一轮IT热潮来临，随着互联网技术的飞速发展，整个社会被推入“大数据”时代。大数据中蕴藏着巨大的价值，是宝贵财富，对“大数据”的正确应用，会带来巨大的价值。随着数据变得越来越重要，大多数公司、行业、个人的重要数据、信息基本上都是存放在现代化的存储介质中。数据安全是信息系统的重要课题，其包含三个方面：数据完整性、数据私密性、数据验证。伴随着大数据、智慧城市的时代持续推进，拥有海量数据和信息的大数据业务公司已经不胜枚数，他们获取和整合涵盖科技、信用、交通、医疗等数十大领域的大规模数据，以此为基础，为客户提供专业数据采集、处理、共享及数据云服务。而获取和处理的数据体量越庞大、涉及的范围越广，数据的安全风险和隐患也就越大。

然而，“大数据”的应用中，特别对隐私数据应用过程中的保护，是对“大数据”的安全应用的极大挑战。对于不能离网的大数据，如涉及个人信息或企业信息在应用过程中如何受到合理的保护，保护个人或企业的隐私数据在应用调用过程中不被公开或泄露，以防止隐私数据泄露造成的意外麻烦和各种损失，是急需解决的问题。

因此，需要一种技术，以实现用于对数据和应用进行并行安全审核的技术。

发明内容

本发明技术方案提供了一种用于对数据和应用进行并行安全审核的方法及系统，以解决如何对数据和应用进行并行安全审核的问题。

为了解决上述问题，本发明提供了一种用于对数据和应用进行并行安全审核的方法，所述方法包括：

接收针对指定数据的业务请求，审核所述业务请求；当所述业务请求通过审核后，对所述指定数据的定制应用进行审核；

对所述定制应用进行审核，当所述定制应用的行为与所述业务请求的行为一致时，确定所述定制应用通过审核；

当所述定制应用通过审核后，在预先设定的安全区域内对所述指定数据进行处理，生成用于输出的定制数据；

对所述用于输出的定制数据进行审核，当所述用于输出的定制数据通过审核后，将所述用于输出的定制数据提供给经过数据消费授权的定制应用。

优选地，审核所述业务请求，包括：审核所述业务请求提交者身份和所述业务请求的行为。

优选地，对所述定制应用进行审核，包括：对所述定制应用的代码进行审核，审核所述定制应用是否有多余行为、审核所述定制应用是否有漏洞、审核所述定制应用是否有病毒。

优选地，对所述定制应用进行审核，包括：对所述定制应用输出的定制数据的形态进行审核。

优选地，所述对所述用于输出的定制数据进行审核，包括：对所述输出定制数据的网关进行审核，记录对所述输出的定制数据调用的日志，对所述日志按照预定的时间间隔进行审核。

优选地，所述对所述用于输出的定制数据进行审核，包括：将所述输出的定制数据存储至数据外部交换区，对所述输出的定制数据的内容真实性进行审核，以及对所述输出的定制数据的调用者身份进行审核。

优选地，还包括：对所述定制应用是否有将所述输出的定制数据存储至数据外部交换区的权限进行审核。

优选地，所述对所述用于输出的定制数据进行审核，包括：所述指定数据不能用于输出。

优选地，所述确定所述定制应用通过审核，还包括：生成所述定制应用的指纹，并将所述指纹存储至指纹库中。

优选地，所述当所述定制应用通过审核后，在预先设定的安全区域内对所述指定数据进行处理，包括：

将所述定制应用的指纹与所述指纹库中的指纹进行匹配，当所述定制应用的指纹匹配成功后，所述定制应用在预先设定的安全区域内对所述指定数据进行处理。

优选地，所述输出的定制数据为一次性输出的定制数据，或为持续输出的定制数据。

优选地，对所述定制应用进行数据消费授权。

基于本发明的另一方面，提供一种用于对数据和应用进行并行安全审核的系统，所述系统包括：

请求审核单元，用于接收针对指定数据的业务请求，审核所述业务请求；当所述业务请求通过审核后，对所述指定数据的定制应用进行审核；

应用审核单元，对所述定制应用进行审核，当所述定制应用的行为与所述业务请求的行为一致时，确定所述定制应用通过审核；

运行审核单元，当所述定制应用通过审核后，在预先设定的安全区域内对所述指定数据进行处理，生成用于输出的定制数据；

输出审核单元，对所述用于输出的定制数据进行审核，当所述用于输出的定制数据通过审核后，将所述用于输出的定制数据提供给经过数据消费授权的定制应用。

优选地，所述请求审核单元还用于：审核所述业务请求提交者身份和所述业务请求的行为。

优选地，所述应用审核单元还用于：对所述定制应用的代码进行审核，审核所述定制应用是否有多余行为、审核所述定制应用是否有漏洞、审核所述定制应用是否有病毒。

优选地，所述应用审核单元还用于：对所述定制应用输出的定制数据的形态进行审核。

优选地，所述输出审核单元还用于：对所述输出定制数据的网关进行审核，记录对所述输出的定制数据调用的日志，对所述日志按照预定的时间间隔进行审核。

优选地，所述输出审核单元还用于：将所述输出的定制数据存储至数据外部交换区，对所述输出的定制数据的内容真实性进行审核，以及对所述输出的定制数据的调用者身份进行审核。

优选地，所述输出审核单元还用于：对所述定制应用是否有将所述输出的定制数据存储至数据外部交换区的权限进行审核。

优选地，所述输出审核单元，用于对所述用于输出的定制数据进行审核，包括：所述指定数据不能用于输出。

优选地，所述应用审核单元用于确定所述定制应用通过审核，还包括：生成所述定制应用的指纹，并将所述指纹存储至指纹库中。

优选地，所述当所述定制应用通过审核后，在预先设定的安全区域内对所述指定数据进行处理，包括：

将所述定制应用的指纹与所述指纹库中的指纹进行匹配，当所述定制应用的指纹匹配成功后，所述定制应用在预先设定的安全区域内对所述指定数据进行处理。

优选地，所述输出的定制数据为一次性输出的定制数据，或为持续输出的定制数据。

优选地，还包括消费审核单元，用于对所述定制应用进行数据消费授权。

本发明技术方案提供一种用于对数据和应用进行并行安全审核的方法和系统，其中方法包括：接收针对指定不能离网的隐私数据的业务请求，审核业务请求，判断业务请求是否是允许进行的业务请求。当业务请求通过审核后，对指定数据的定制应用进行审核，以排除恶意应用和对数据不安全的应用。对定制应用进行审核，当定制应用的行为与业务请求的行为一致时，确定定制应用通过审核。当定制应用通过审核后，被认可能够调用指定数据后，在预先设定的安全区域内允许定制应用对指定数据进行处理，生成用于输出的定制数据。本发明技术方案对用于输出的定制数据进行审核，当用于输出的定制数据通过审核后，将用于输出的定制数据提供给经过数据消费授权的定制应用。本发明的技术方案，通过对定制应用以及定制应用的业务请求进行审核，并将通过审核的定制应用在对指定数据进行调用时在预先设定的安全区域中进行，当定制应用在调后指定数据后，会生成用于输出的定制数据，本发明技术方案对定制数据的形态进行审核，并对申请定制数据的定制应用进行审核，以保证输出的定制数据应用于安全的定制应用。本申请实现了对于不可离网隐私数据的正常调用，以及实现了应用通过正常调用隐私数据产生可公开的输出定制数据的安全离网。

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为根据本发明实施方式的用于对数据和应用进行并行安全审核的方法流程图；以及

图2为根据本发明实施方式的用于对数据和应用进行并行安全审核的系统结构图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

图1为根据本发明实施方式的用于对数据和应用进行并行安全审核的方法流程图。本发明实施方式提供一种用于对数据和应用进行并行安全审核的方法，包括：接收针对指定不能离网的隐私数据的业务请求，审核业务请求，判断业务请求是否是允许进行的业务请求。当业务请求通过审核后，对指定数据的定制应用进行审核，以排除恶意应用和对数据不安全的应用。对定制应用进行审核，当定制应用的行为与业务请求的行为一致时，确定定制应用通过审核。当定制应用通过审核后，被认可能够调用指定数据后，在预先设定的安全区域内允许定制应用对指定数据进行处理，生成用于输出的定制数据。本发明实施方式对用于输出的定制数据进行审核，当用于输出的定制数据通过审核后，将用于输出的定制数据提供给经过数据消费授权的定制应用。根据本申请的实施方式，特定应用如消费行为分析应用，能够调用消费者的身份数据和购买行为数据，对身份数据和购买行为数据进行处理，分析得出不同年龄消费者的特定购买行为。其中，消费者的身份数据和购买行为数据是消费行为分析应用需要调用的指定数据，属于不能离网的隐私数据；不同年龄消费者的特定购买行为属于定制数据，不包含消费者的个人信息等隐私数据，能够提供给有权限的特定应用进行消费。如图1所示，一种用于对数据和应用进行并行安全审核的方法，包括：

优选地，在步骤101：接收针对指定数据的业务请求，审核业务请求；当业务请求通过审核后，对指定数据的定制应用进行审核。优选地，审核业务请求，包括：审核业务请求提交者身份和业务请求的行为。本申请中，当定制应用需要发起对指定数据的业务请求时，首先对业务请求的行为意图，以及业务请求提交者身身份进行验证，当业务请求通过审核后，声明该业务请求合格，进入下一步定制应用审核程序。本申请中的指定数据，指包括不宜公开的隐私数据，如身份证号码等。

优选地，在步骤102：对定制应用进行审核，当定制应用的行为与业务请求的行为一致时，确定定制应用通过审核。优选地，对定制应用进行审核，包括：对定制应用的代码进行审核，审核定制应用是否有多余行为、审核定制应用是否有漏洞、审核定制应用是否有病毒。优选地，对定制应用进行审核，包括：对定制应用输出的定制数据的形态进行审核。本申请对定制应用进行审核，通过审核定制应用的代码，判断定制应用的业务与业务请求的行为是否一致，以及审核定制应用是否有多会的行为、审核定制应用是否有漏洞、审核定制应用是否有病毒，通过对定制应用进行审核，以保障定制应用在调用指定数据时，保证指定数据的使用以及输出数据的安全。

优选地，确定定制应用通过审核，还包括：生成定制应用的指纹，并将指纹存储至指纹库中。优选地，当定制应用通过审核后，在预先设定的安全区域内对指定数据进行处理，包括：将定制应用的指纹与指纹库中的指纹进行匹配，当定制应用的指纹匹配成功后，定制应用在预先设定的安全区域内对指定数据进行处理。本申请中，为实现对定制应用的审核，生成定制应用的指纹，并将安全的定制应用的指纹存储至指纹库中，当需要对定制应用进行审核时，将定制应用的指纹与指纹库中的指纹进行匹配，当定制应用的指纹匹配成功后，定制应用在预先设定的安全区域内对指定数据进行处理。

优选地，在步骤103：当定制应用通过审核后，在预先设定的安全区域内对指定数据进行处理，生成用于输出的定制数据。本申请，在定制应用通过审核后，在预先设定的安全区域内，如生产沙箱中，允许定制应用对指定数据进行处理，在独立安全的区域内，保证定制应用使用的指定数据的安全。

优选地，在步骤104：对用于输出的定制数据进行审核，当用于输出的定制数据通过审核后，将用于输出的定制数据提供给经过数据消费授权的定制应用。优选地，对用于输出的定制数据进行审核，包括：对输出定制数据的网关进行审核，记录对输出的定制数据调用的日志，对日志按照预定的时间间隔进行审核。本申请中，定制应用对指定数据在安全区域中进行分析、处理后，获取用于输出的定制数据，并对输出的定制数据进行审核，通过对定制数据的网关进行审核，记录对输出的定制数据调用的日志，记录调用流水日志，并对流水日志进行定时审计，例如按天、周或月为周期对流水日志进行审计，审核是否有违规数据或多余的输出数据。

优选地，对用于输出的定制数据进行审核，包括：将输出的定制数据存储至数据外部交换区，对输出的定制数据的内容真实性进行审核，以及对输出的定制数据的调用者身份进行审核。优选地，还包括：对定制应用是否有将输出的定制数据存储至数据外部交换区的权限进行审核。本申请中，输出的定制数据以文件的形式存储至外部交换区，在将输出的定制数据以文件的形式存储至外部交换区之前，审核应用是否有在外部交换区存储输出定制数据的权限，并且需要验证输出的定制数据的真实性。

优选地，对用于输出的定制数据进行审核，包括：指定数据不能用于输出。本申请中，指定数据是包括隐私信息的数据，指定数据不能离网输出，只能在网内通过审核在指定的安全范围内由定制应用进行调用。

优选地，输出的定制数据为一次性输出的定制数据，或为持续输出的定制数据。本申请中，定制应用在安全区域内对指定数据进行处理，生成一次性输出的定制数据，或生成持续输出的定制数据。

优选地，对定制应用进行数据消费授权。本申请中，当定制应用产生能够输出的定制数据时，定制应用可以对输出的定制数据进行下载消费。在定制应用对定制数据消费时，需要对定制应用进行数据消费的授权，获取数据消费授权的定制应用，才有权限获取输出的定制数据。

本发明的实施方式实现了定制应用对包括隐私的数据在指定数据内进行调用，对产生的定制数据，进行安全输出，输出给具有消费权限的定制应用，实现了隐私数据在网内应用，并可对定制应用产生的输出结果，不包含隐私的数据进行离网消费。

图2为根据本发明实施方式的用于对数据和应用进行并行安全审核的系统结构图。如图2所示，一种用于对数据和应用进行并行安全审核的系统，包括：

请求审核单元201，用于接收针对指定数据的业务请求，审核业务请求；当业务请求通过审核后，对指定数据的定制应用进行审核。优选地，请求审核单元201还用于：审核业务请求提交者身份和业务请求的行为。本申请中，当定制应用需要发起对指定数据的业务请求时，首先对业务请求的行为意图，以及业务请求提交者身身份进行验证，当业务请求通过审核后，声明该业务请求合格，进入下一步定制应用审核程序。本申请中的指定数据，指包括不宜公开的隐私数据，如身份证号码等。

应用审核单元202，对定制应用进行审核，当定制应用的行为与业务请求的行为一致时，确定定制应用通过审核。优选地，应用审核单元202还用于：对定制应用的代码进行审核，审核定制应用是否有多余行为、审核定制应用是否有漏洞、审核定制应用是否有病毒。优选地，应用审核单元202还用于：对定制应用输出的定制数据的形态进行审核。本申请对定制应用进行审核，通过审核定制应用的代码，判断定制应用的业务与业务请求的行为是否一致，以及审核定制应用是否有多会的行为、审核定制应用是否有漏洞、审核定制应用是否有病毒，通过对定制应用进行审核，以保障定制应用在调用指定数据时，保证指定数据的使用以及输出数据的安全。

优选地，应用审核单元202用于确定定制应用通过审核，还包括：生成定制应用的指纹，并将指纹存储至指纹库中。优选地，当定制应用通过审核后，在预先设定的安全区域内对指定数据进行处理，包括：将定制应用的指纹与指纹库中的指纹进行匹配，当定制应用的指纹匹配成功后，定制应用在预先设定的安全区域内对指定数据进行处理。本申请中，为实现对定制应用的审核，生成定制应用的指纹，并将安全的定制应用的指纹存储至指纹库中，当需要对定制应用进行审核时，将定制应用的指纹与指纹库中的指纹进行匹配，当定制应用的指纹匹配成功后，定制应用在预先设定的安全区域内对指定数据进行处理。

运行审核单元203，当定制应用通过审核后，在预先设定的安全区域内对指定数据进行处理，生成用于输出的定制数据。本申请，在定制应用通过审核后，在预先设定的安全区域内，如生产沙箱中，允许定制应用对指定数据进行处理，在独立安全的区域内，保证定制应用使用的指定数据的安全。

输出审核单元204，对用于输出的定制数据进行审核，当用于输出的定制数据通过审核后，将用于输出的定制数据提供给经过数据消费授权的定制应用。优选地，输出审核单元204还用于：对输出定制数据的网关进行审核，记录对输出的定制数据调用的日志，对日志按照预定的时间间隔进行审核。本申请中，定制应用对指定数据在安全区域中进行分析、处理后，获取用于输出的定制数据，并对输出的定制数据进行审核，通过对定制数据的网关进行审核，记录对输出的定制数据调用的日志，记录调用流水日志，并对流水日志进行定时审计，例如按天、周或月为周期对流水日志进行审计，审核是否有违规数据或多余的输出数据。

优选地，输出审核单元204还用于：将输出的定制数据存储至数据外部交换区，对输出的定制数据的内容真实性进行审核，以及对输出的定制数据的调用者身份进行审核。优选地，输出审核单元204还用于：对定制应用是否有将输出的定制数据存储至数据外部交换区的权限进行审核。本申请中，输出的定制数据以文件的形式存储至外部交换区，在将输出的定制数据以文件的形式存储至外部交换区之前，审核应用是否有在外部交换区存储输出定制数据的权限，并且需要验证输出的定制数据的真实性。

优选地，输出审核单元204，用于对用于输出的定制数据进行审核，包括：指定数据不能用于输出。本申请中，指定数据是包括隐私信息的数据，指定数据不能离网输出，只能在网内通过审核在指定的安全范围内由定制应用进行调用。

优选地，输出的定制数据为一次性输出的定制数据，或为持续输出的定制数据。本申请中，定制应用在安全区域内对指定数据进行处理，生成一次性输出的定制数据，或生成持续输出的定制数据。

优选地，还包括消费审核单元，用于对定制应用进行数据消费授权。本申请中，当定制应用产生能够输出的定制数据时，定制应用可以对输出的定制数据进行下载消费。在定制应用对定制数据消费时，需要对定制应用进行数据消费的授权，获取数据消费授权的定制应用，才有权限获取输出的定制数据。

已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。