一种多源业务平台数据安全组件监控方法及系统

摘要

本申请公开一种多源业务平台数据安全组件监控方法及系统，包括对数据安全组件平台中各个功能组件进行配置管理；向数据安全组件平台发送传输数据调用某一功能组件；识别传输数据中有效负载的数据字段，根据数据安全组件配置调用对应功能组件，以及对传输数据进行格式转换；记录功能组件及传输数据的运行日志与运行明细信息；根据数据安全组件上报模块的数据安全组件上报规则，将运行日志明细信息上报至数据安全管控平台；对接收到的运行日志与运行明细信息进行统计分析和可视化展示；根据统计分析和可视化展示结果进行告警及告警管理。通过对功能组件进行配置管理实现对多个功能组件的统一管控，通过数据清洗功能实现对不同业务数据格式的整合。

说明书

技术领域

本申请涉及数据处理技术领域，尤其涉及一种多源业务平台数据安全组件监控方法及系统。

背景技术

随着互联网的发展，信息安全、数据泄露事件也频发不断，很多企业在享受着互联网带来的便利和机遇的同时，也承担着同样的高风险，企业在遭受着数据外泄带来的形象及实际利益带来的重大损害。如何在大数据环境下做好信息安全防护措施、避免数据泄露，成为很多企业机构的重点研究命题。

近年来，随着数据安全需求的提升，数据安全防护技术与组件也日渐成熟，在数据加密、数据脱敏、数据水印、数据分类分级等多个领域均发展出了成熟的功能组件。例如，当前市场上主流的数据安全管控平台有闪捷数据安全管理平台和数据安全智能管理平台亿赛通，闪捷数据安全管理平台是一款以全面盘点数据资产、实现数据动态跟踪、保障数据安全合规等为重点内容和目标的综合管理平台。平台旨在通过数据资产梳理规划，帮助企业管理者全面了解核心数据资产，自动识别敏感信息，发现泄漏风险，从而不断优化数据资产管理规范，提升数据资产安全防御能力。亿赛通是一款融合机器学习、大数据分析、文档加密、访问控制、关联分析、数据标识等技术的综合性数据智能安全产品，可帮助用户对结构化和非结构化数据进行数据治理（资产统计、分类、聚类、分级、密级标识等）、安全管控（数据加密、权限管理，数据脱敏、边界防护、应用准入、行为审计、数据防护等）、态势感知（趋势分析、风险预警、溯源、风险人员画像等），为用户的核心数据资产从终端、网络、存储、应用等全方位提供全生命周期保护，在确保组织敏感数据安全前提下，不管控、不影响非敏感业务开展的体验度，实现安全与效率的双向平衡。

针对不同的业务模块和业务场景，大型企业下的多个业务系统往往会根据各自的业务需求，选择一个或多个数据安全组件的组合来保护业务数据的安全，但当前市场上主流的数据安全管控平台以提供数据安全管控功能为主，例如数据加密、权限管理，数据脱敏、边界防护、应用准入、行为审计、数据防护等，每一个功能通过各自的功能组件实现，缺乏对功能运行数据的整体管控分析，如何在企业级别实现对多源系统数据安全组件的统一管控、数据分析、风险预警，就成为了一个亟待解决的问题。

发明内容

基于上述技术问题，本申请提供一种多源业务平台数据安全组件监控方法及系统，以解决多源系统数据安全组件无法进行统一管控的问题。

第一方面，本申请提供了一种多源业务平台数据安全组件监控方法，方法包括：

对数据安全组件平台中各个功能组件进行配置管理；

通过向数据安全组件平台发送传输数据调用所述数据安全组件平台中的某一功能组件；

识别所述传输数据中有效负载的数据字段，根据数据安全组件配置调用对应所述功能组件，以及对所述传输数据进行格式转换；

记录所述功能组件及所述传输数据的运行日志与运行明细信息；

根据数据安全组件上报模块的数据安全组件上报规则，将所述运行日志与运行明细信息上报至数据安全管控平台；

对接收到的运行日志与运行明细信息进行统计分析和可视化展示；

根据所述统计分析和可视化展示结果进行告警及告警管理。

第二方面，本申请还提供了一种对应于第一方面的一种多源业务平台数据安全组件监控系统，包括：多个源端的业务平台、处理所述业务平台业务数据的数据安全组件平台、对接所述业务平台及所述数据安全组件平台的数据微服务平台、以及对所述数据安全组件平台的业务数据处理结果进行管控的数据安全管控平台，其中：

数据安全管控平台被配置为执行下述步骤：

对数据安全组件平台中各个功能组件进行配置管理；

业务平台被配置为执行下述步骤：

通过向数据安全组件平台发送传输数据调用所述数据安全组件平台中的某一功能组件；

数据微服务平台被配置为执行下述步骤：

识别所述传输数据中有效负载的数据字段，根据数据安全组件配置调用对应所述功能组件，以及对所述传输数据进行格式转换；

数据安全组件平台被配置为执行下述步骤：

记录所述功能组件及所述传输数据的运行日志与运行明细信息；

根据数据安全组件上报模块的数据安全组件上报规则，将所述运行日志与运行明细信息上报至数据安全管控平台；所述数据安全组件上报模块部署在所述数据安全管控平台中；

数据安全管控平台进一步被配置为执行下述步骤：

对接收到的运行日志与运行明细信息进行统计分析和可视化展示；

根据所述统计分析和可视化展示结果进行告警及告警管理。

由以上技术方案可知，本申请提供一种多源业务平台数据安全组件监控方法及系统，包括：对数据安全组件平台中各个功能组件进行配置管理；通过向数据安全组件平台发送传输数据调用所述数据安全组件平台中的某一功能组件；识别所述传输数据中有效负载的数据字段，根据数据安全组件配置调用对应所述功能组件，以及对所述传输数据进行格式转换；记录所述功能组件及所述传输数据的运行日志与运行明细信息；根据数据安全组件上报模块的数据安全组件上报规则，将所述运行日志与运行明细信息上报至数据安全管控平台；对接收到的运行日志与运行明细信息进行统计分析和可视化展示；根据所述统计分析和可视化展示结果进行告警及告警管理。通过在数据安全管控平台对数据安全组件平台中各个功能组件进行配置管理，实现对多个功能组件的统一管控，通过数据微服务平台的数据清洗功能，实现对多源业务平台不同业务数据格式的整合。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为一种多源业务平台数据安全组件监控方法场景架构示意图；

图2为一种多源业务平台数据安全组件监控方法流程示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。以下结合附图，详细说明本申请各实施例提供的技术方案。

参见图1，图1为一种多源业务平台数据安全组件监控方法场景架构示意图，由图1可见，本方法所涉及的数据安全组件监控应用架构中，主要包括4个执行主体，具体为多个源端的业务平台、数据安全组件平台、数据微服务平台以及数据安全管控平台，执行主体之间的逻辑关系为：多个源端的业务平台提供多种业务数据，数据安全组件平台处理业务平台中的业务数据，数据微服务平台负责业务平台及数据安全组件平台之间的对接，数据安全管控平台对数据安全组件平台的业务数据处理结果进行管控，包括对业务数据处理结果进行汇总、统计、展示、分析、告警等。其中，在数据安全管控平台中，有底层的基础支撑如系统管理、日志管理、消息管理、权限管理、数据管理、接口管理、网关服务、负载均衡等功能供数据安全管控平台调用。

参见图2，图2为一种多源业务平台数据安全组件监控方法流程示意图，由图2可知，一种多源业务平台数据安全组件监控方法，包括：

S1:对数据安全组件平台中各个功能组件进行配置管理；

结合图1，数据安全管控平台对数据安全组件平台提供配置管理功能，其中，数据安全管控平台具体的配置管理项目取决于数据安全组件平台具体有哪几个组件功能，为了便于对本申请的进一步理解，本申请实施例举例进行说明，以下示例只是示意性的进行说明，与实际工作流程可能并不完全一致。

例如，数据安全组件平台中包括数据脱敏、数据加密、数据水印和数据分类分级四个功能组件，其中，数据脱敏是指对需要在业务平台前端展示的敏感数据进行脱敏处理，如将手机号脱敏成138****8888；数据加密是指对重要数据、商密数据等数据进行传输加密；数据水印是指对文件进行加水印处理；数据分类分级是指对业务数据进行分类分级，分类分级结果用于数据脱敏和数据加密（决定是否脱敏，用何种方式加密等）。相应的，数据安全管控平台实现对数据安全组件平台组件配置的统一管理，即是对数据安全组件平台中各个功能组件进行配置管理，包括对数据脱敏、数据加密、数据水印以及数据分类分级的配置管理，即分别为数据脱敏管理（如脱敏白名单管理）、加密方式管理、数据水印配置管理及数据分类分级管理，以此实现对数据安全组件平台中多个功能组件的统一配置管理。

通常，数据安全管控平台会按照预先设定的配置规则对数据安全组件平台各个功能组件的配置界面进行提前配置，即，数据安全组件配置按照预先设定的配置规则配置在数据安全管控平台中，用于对功能组件设置配置界面。其中，配置规则由业务平台、数据微服务平台、数据安全组件平台及数据安全管控平台预先协商设置，可以根据实际工作需要拟定各个配置项，例如，在对数据脱敏功能组件进行配置管理时，可以对脱敏白名单管理的配置界面按需配置（脱敏白名单，即在对敏感数据进行脱敏时，有些业务场景需要业务人员使用这些敏感数据，需设置白名单使这一部分敏感数据不脱敏，使业务可以正常推进），如脱敏白名单配置项可以包括对页面场景白名单的设置、选定不脱敏数据项、描述不脱敏理由、对脱敏白名单设置审核项、设置归档等。再如，在对数据分类分级功能进行进行配置管理时，可以对业务数据配置分类等级、是否脱敏、是否加密以及脱敏及加密方式等，分类分级的结果供数据脱敏和数据加密使用，以此作为关联。

S2:通过向数据安全组件平台发送传输数据调用数据安全组件平台中的某一功能组件；

源端业务平台想要调用数据安全组件平台中的某一功能组件时，需从业务平台向向数据安全组件平台发送传输数据，数据微服务平台负责业务平台及数据安全组件平台之间的对接。

S3:识别传输数据中有效负载的数据字段，根据数据安全组件配置调用对应功能组件，以及对传输数据进行格式转换；

源端业务平台通过数据微服务平台实现与数据安全组件平台之间的对接交互，在源端业务平台与数据安全组件平台交互过程中，数据微服务平台主要实现以下功能：

一是数据识别功能：当业务平台向数据安全组件平台发送业务数据调用数据安全组件平台时，数据微服务平台识别传输数据中有效负载的数据字段，根据预先设定的配置规则调用对应的功能组件，例如，业务数据有效负载中包含手机号码字段：{“phone”：138****8888}，此处出于安全考虑，未将手机号全公开，通过数据微服务平台调用数据脱敏组件时，根据数据脱敏组件配置对字段进行识别，如识别方式可以包括正则匹配和精确识别，正则匹配按json数组中的值识别，例如识别所有1开头11位纯数字为手机号，精确识别按json数组中的键识别，例如识别“phone”字段为手机号，识别出手机号码后，则调用数据脱敏组件手机号码的脱敏规则（例如中间四位加星），将字段改写为{“phone”：138****8888}。

二是数据清洗功能：

数据微服务平台对传输数据进行格式转换的步骤包括：将非json格式的传输数据转换为json数组格式，对于非json格式的数据，数据微服务平台会尝试识别键值将其转换为json数组格式。其中，json (JavaScript Object Notation, JS对象简谱) 是一种轻量级的数据交换格式，可被各个安全组件识别，它基于 ECMAScript (欧洲计算机协会制定的js规范)的一个子集，采用完全独立于编程语言的文本格式来存储和表示数据，简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言，易于用户阅读和编写，同时也易于机器解析和生成，并有效地提升网络传输效率。通过数据微服务平台的数据清洗功能，将不同业务平台的数据格式统一转换成为可被各个安全组件识别的json键值串格式，从而实现对多源业务平台不同业务数据格式的整合。

S4:记录功能组件及传输数据的运行日志与运行明细信息；

数据安全组件平台会记录各个功能组件的运行日志与运行明细信息，例如，运行日志与运行明细信息可以包括数据脱敏功能组件脱敏了多少个字段、数据加密功能组件加密了多少字段、用了什么加密方式、加密场景、加密数据类型信息等。

S5:根据数据安全组件上报模块的数据安全组件上报规则，将运行日志与运行明细信息上报至数据安全管控平台；

参见图1，数据安全组件上报模块部署在数据安全管控平台中，用于对接数据安全组件平台及数据安全管控平台。数据安全组件上报模块包括多个上报接口，上报接口用于将各个对应的功能组件运行信息上报至数据安全管控平台。例如，如图1所示，图1中数据安全组件上报模块包含脱敏上报接口、加密上报接口、水印上报接口和一个数据清洗（接口），数据安全组件平台根据数据安全组件上报模块的数据安全组件上报规则，将运行日志与运行明细信息上报至数据安全管控平台，其中，数据安全组件上报规则由数据安全组件平台及数据安全管控平台预先协商设置，例如本申请实施例中，数据安全组件平台中各个功能组件在数据安全组件上报模块中有对应的上报接口，如图1中所示，数据脱敏组件有脱敏上报接口，数据加密组件有加密上报接口等，数据安全组件平台将各个功能组件的运行日志及明细信息等记录通过对应的接口上报至数据安全管控平台中，实现对数据安全组件平台运行日志及明细信息等的统一收集管理，数据安全组件上报模块通过各个上报接口实现对加密记录、脱敏记录、水印记录进行实时采集和监控，具体接口字段设置等本申请不作具体限制。

另外，数据安全组件上报模块还配置有数据清洗功能（接口），这里的清洗对象是针对上报的运行日志与运行明细信息，同样是将非json数据转化为json数据，即通过数据安全组件上报模块实现了对不同业务平台业务数据运行记录进行模板统一和数据格式的转换。

S6:对接收到的运行日志与运行明细信息进行统计分析和可视化展示；

数据安全管控平台通过前端界面层对接收到的运行日志与运行明细信息统计分析和可视化展示，即数据安全管控平台对数据安全组件平台运行的日志及明细信息进行可视化统计分析，例如，可以对数据加密统计情况按照文字和列表的形式分析以柱状图的形式直观展示，可以对数据脱敏情况按照饼状图分析与直观展示等。

S7:根据统计分析和可视化展示结果进行告警及告警管理。

结合图1，配置管理中还包括告警管理和安全策略配置。具体地，数据安全管控平台根据运行日志与运行明细信息的分析与展示结果，可以对潜在异常流量进行实时告警，可对告警项目进行管理配置，例如可以弹出告警窗口，设置告警级别、设置告警方式等。同时，还可以在安全策略配置中设置什么情况下会触发告警，以及触发的告警等级等。

由以上技术方案可知，本申请提供一种多源业务平台数据安全组件监控方法，包括：对数据安全组件平台中各个功能组件进行配置管理；通过向数据安全组件平台发送传输数据调用所述数据安全组件平台中的某一功能组件；识别所述传输数据中有效负载的数据字段，根据数据安全组件配置调用对应所述功能组件，以及对所述传输数据进行格式转换；记录所述功能组件及所述传输数据的运行日志与运行明细信息；根据数据安全组件上报模块的数据安全组件上报规则，将所述运行日志与运行明细信息上报至数据安全管控平台；对接收到的运行日志与运行明细信息进行统计分析和可视化展示；根据所述统计分析和可视化展示结果进行告警及告警管理。通过在数据安全管控平台对数据安全组件平台中各个功能组件进行配置管理，实现对多个功能组件的统一管控，通过数据微服务平台的数据清洗功能，将不同业务平台的数据格式统一转换成为可被各个安全组件识别的json键值串格式，从而实现对多源业务平台不同业务数据格式的整合。数据安全组件平台将各个功能组件的运行日志及明细信息等记录通过对应的接口上报至数据安全管控平台中，实现对数据安全组件平台运行日志及明细信息等的统一收集管理，数据安全组件上报模块通过各个上报接口实现对加密记录、脱敏记录、水印记录进行实时采集和监控，对接收到的运行日志与运行明细信息进行统计分析和可视化展示，对潜在异常流量进行实时告警等。

另外，本申请还提供了一种对应于上述方法的一种多源业务平台数据安全组件监控系统，包括：多个源端的业务平台、处理业务平台业务数据的数据安全组件平台、对接业务平台及数据安全组件平台的数据微服务平台、以及对数据安全组件平台的业务数据处理结果进行管控的数据安全管控平台，其中：

数据安全管控平台被配置为执行下述步骤：

对数据安全组件平台中各个功能组件进行配置管理；

业务平台被配置为执行下述步骤：

通过向数据安全组件平台发送传输数据调用数据安全组件平台中的某一功能组件；

数据微服务平台被配置为执行下述步骤：

识别传输数据中有效负载的数据字段，根据数据安全组件配置调用对应功能组件，以及对传输数据进行格式转换；

数据安全组件平台被配置为执行下述步骤：

记录功能组件及传输数据的运行日志与运行明细信息；

根据数据安全组件上报模块的数据安全组件上报规则，将运行日志与运行明细信息上报至数据安全管控平台；数据安全组件上报模块部署在数据安全管控平台中；

数据安全管控平台进一步被配置为执行下述步骤：

对接收到的运行日志与运行明细信息进行统计分析和可视化展示；

根据统计分析和可视化展示结果进行告警及告警管理。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。