一种基于软件资产审计的数据防泄漏方法及装置

摘要

本发明提供一种基于软件资产审计的数据防泄漏方法及装置，所述方法包括：采集管理阶段，配置数据采集策略；数据采集阶段，根据所述数据采集策略，定义数据抽取策略，并采集数据；根据采集到的数据，分析用户的访问行为，并对用户进行安全事件审计；审计数据资产、分析采集到的数据；由报表引擎自定义报表结构，对分析的各类指标，生成相应的报表。根据本发明的方案，能够及时定位隐患源头并进行告警响应，大大避免了企业可能发生的信息安全隐患，保障企业的信息安全，做到防患于未然。通过对基于软件监测所采集的网络数据,识别其可能存在的漏洞，给出数据泄露方面的风险预测,去避免安全隐患的发生。

说明书

技术领域

本发明涉及数据处理领域，尤其涉及一种基于软件资产审计的数据防泄漏方法及装置。

背景技术

随着信息技术的日新月异和网络信息系统应用的发展，网络技术的的应用层次正在从传统的、小型业务系统逐渐转向大型、关键业务系统扩展，政府、企业用户的网络应用也逐渐增多。

信息安全是一个动态的过程，在为自身业务提供高效的网络运营平台同时，日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来潜在的威胁，如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问(TELNET、FTP等)等方式被篡改、泄露和窃取；访问非法网站、发布非法言论等违规上网行为泛滥；严重破坏政府、企业的信息系统安全。

防火墙、入侵检测等传统网络安全手段，可实现对网络异常行为的管理和监测，如网络连接和访问的合法性进行控制、监测网络攻击事件等，但是不能监控网络内容和已经授权的正常内部网络访问行为，因此对正常网络访问行为导致的信息泄密事件、网络资源滥用行为(即时通讯、论坛、在线视频、P2P下载、网络游戏等)也无能为力，也难以实现针对内容、行为的监控管理及安全事件的追查取证。

如何有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是企业迫切需要解决的问题。

因此，迫切需要一种安全手段对上述问题进行有效监控和管理。信息防泄漏正是在这样的背景下产生。数据防泄漏是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略，对于任何一个安全体系来说，审计追查手段是整个安全体系中不可缺少的重要组成部分。随着企业安全意识的提高，审计的作用逐渐被大家所深知。审计不仅可以对所有终端应用行为及数据全生命周期进行全面了解，还可以从中找出自身信息安全管理的漏洞，发生信息泄露时还可以追源溯本找出真正泄密者。通过采集软件信息，也可以发现可能存在的漏洞。同时可以通过日志记录可以把数据的所有使用过程，像访问、修改、复制或者是删除等全部记录下来，审计这些日志可以快速发现是否有泄密的行为。另一方面日志记录可以反映出员工最真实工作状态，一些高频的行为也能看出该员工是否有违规的问题，进行数据泄漏的风险预测。现有技术CN107122669A公开了对用户的敏感数据操作进行风险分析，但该方案并未分析数据资产可能存在的漏洞。企业内部业务系统访问行为和敏感信息传播等依然存在层出不穷的安全事件。

发明内容

为解决上述技术问题，本发明提出了一种基于软件资产审计的数据防泄漏方法及装置，所述方法及装置，用以解决现有技术中，防火墙、入侵检测等传统的网络安全手段，虽然可以实现对网络异常行为的管理和监控，但不能监控到网络内容和已经授权的正常内部网络访问行为，难以实现针对内容、行为的监控管理及安全事件的追查取证的问题。

根据本发明的第一方面，提供一种基于软件资产审计的数据防泄漏方法，所述方法包括以下步骤：

步骤S101：采集管理阶段，配置数据采集策略；

步骤S102：数据采集阶段，根据所述数据采集策略，定义数据抽取策略，并采集数据；

步骤S103：根据采集到的数据，分析用户的访问行为，并对用户进行安全事件审计；审计数据资产、分析采集到的数据；

步骤S104：由报表引擎自定义报表结构，对分析的各类指标，生成相应的报表。

进一步地，所述步骤S102：数据采集阶段，根据所述数据采集策略，定义数据抽取策略，并采集数据，包括：

在数据采集阶段，具有全量数据采集模式和增量数据采集模式；

还包括对抽取的数据的字段进行动态修改；在数据抽取过程中能够设置断点，对抽取行为进行跟踪与监控；并在数据采集过程中对采集到的数据记录数据条目数、采集开始时间、采集完成时间、以及对错误信息进行记录、保存。

进一步地，所述步骤S103：根据采集到的数据，分析用户的访问行为，并对用户进行安全事件审计；审计数据资产、分析采集到的数据，包括：

所述分析用户的访问行为，是对个人的行为进行分析，分析项目包括告警分析、安全事件分析、DLP事件统计；对用户进行安全事件审计，包括安全事件统计、绘制安全事件地图、安全事件分析；

所述审计数据资产，是对采集到的数据的数据分布进行分析及进行敏感文件追溯，对采集到的数据的数据分布进行分析包括数据导入、导出统计，导入数据分布及统计、DLP数据分布及统计；所述进行敏感文件追溯，包括文件数据关联、溯源数据封装等审计操作；

所述分析采集到的数据，包括：提供数据实时分析和离线分析历史数据的方式，针对不同种类用户行为输出的安全事件进行统计、分析；依据管理员当前的管理权限，结合时间、安全事件种类、安全事件级别，通过多个维度进行统计分析。

进一步地，所述步骤S104：由报表引擎自定义报表结构，对分析的各类指标，生成相应的报表，包括：

通过报表引擎自定义报表的结构，依据待分析的各类指标，生成事件统计报表、个人行为报表、周期汇报报表等多角度的实时和/或非实时报表。

根据本发明第二方面，提供一种基于软件资产审计的数据防泄漏装置，所述装置包括：

配置模块：配置为采集管理阶段，配置数据采集策略；

数据采集模块：配置为数据采集阶段，根据所述数据采集策略，定义数据抽取策略，并采集数据；

分析模块：配置为根据采集到的数据，分析用户的访问行为，并对用户进行安全事件审计；审计数据资产、分析采集到的数据；

报表生成模块：配置为由报表引擎自定义报表结构，对分析的各类指标，生成相应的报表。

进一步地，所述数据采集模块：

数据采集模式子模块：配置为在数据采集阶段，具有全量数据采集模式和增量数据采集模式；

数据存储子模块：配置为对抽取的数据的字段进行动态修改；在数据抽取过程中能够设置断点，对抽取行为进行跟踪与监控；并在数据采集过程中对采集到的数据记录数据条目数、采集开始时间、采集完成时间、以及对错误信息进行记录、保存。

进一步地，所述分析模块，包括：

用户访问行为分析子模块：配置为对个人的行为进行分析，分析项目包括告警分析、安全事件分析、DLP事件统计；对用户进行安全事件审计，包括安全事件统计、绘制安全事件地图、安全事件分析；

数据资产审计子模块，配置为对采集到的数据的数据分布进行分析及进行敏感文件追溯，对采集到的数据的数据分布进行分析包括数据导入、导出统计，导入数据分布及统计、DLP数据分布及统计；所述进行敏感文件追溯，包括文件数据关联、溯源数据封装等审计操作；

分析子模块，配置为提供数据实时分析和离线分析历史数据的方式，针对不同种类用户行为输出的安全事件进行统计、分析；依据管理员当前的管理权限，结合时间、安全事件种类、安全事件级别，通过多个维度进行统计分析。

进一步地，所述报表生成模块，包括：

报表配置及生成子模块：配置为通过报表引擎自定义报表的结构，依据待分析的各类指标，生成事件统计报表、个人行为报表、周期汇报报表等多角度的实时和/或非实时报表。

根据本发明第三方面，提供一种基于软件资产审计的数据防泄漏系统，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的基于软件资产审计的数据防泄漏方法。

根据本发明第四方面，提供一种计算机可读存储介质，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如前所述的基于软件资产审计的数据防泄漏方法。

根据本发明的上述方案，首先进行采集管理的相关配置，然后进入数据采集阶段，获取用来进行风险分析的数据信息。然后进行数据分析，提供了实时分析和离线分析两种方式，通过数据资产审计和行为信息分析等方面，多角度的去进行风险评估，最后得出分析结论，产出基于数据防泄露的风险报表。管理员也可以根据自身的需要对相关日志进行统计分析，在完成分析之后，还可以将统计结果导出可视化报表，方便向其他业务部门、上级领导进行汇报。采用了基于软件监测的方式，来采集软件信息、使用习惯，并识别其可能存在的漏洞，做数据泄露的风险预测。相比传统的网络安全手段和管理措施，该方案通过采集数据信息来做泄漏的风险预测，可以及时定位隐患源头并进行告警响应，大大避免了企业可能发生的信息安全隐患，保障企业的信息安全，做到防患于未然。通过对基于软件监测所采集的网络数据,识别其可能存在的漏洞，给出数据泄露方面的风险预测,去避免安全隐患的发生。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明提供如下附图进行说明。在附图中：

图1为本发明一个实施方式的基于软件资产审计的数据防泄漏方法流程图；

图2为本发明一个实施方式的基于软件资产审计的数据防泄漏的数据流向示意图；

图3为本发明又一个实施方式的基于软件资产审计的数据防泄漏的结构示意图；

图4为本发明一个实施方式的基于软件资产审计的数据防泄漏装置结构框图。

具体实施方式

定义及解释：

安全审计：安全审计(security audit)是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法。它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。

信息资产：信息资产是一个知识体系，作为一个单一的实体来组织和管理。与其他的公司资产相似，一个组织机构的信息资产有其财务价值。信息资产价值增值直接关系到能有效利用信息的人数。因为信息有一个短暂的周期，它往往会像其他公司资产类型一样随着时间的推移而贬值。信息丢失其价值的速度取决于资产所代表的信息的类型以及信息随时间流逝所能保持的精确度。在一些组织机构里，没有用处的信息会被认为是一个拖累。信息资产可以根据任何标准进行分类，而不仅仅依照其使用频率的相对价值。举个例子，数据可以根据不同的规则进行拆分：建立时间、建立地点以及其经常为人事部门所用还是为管理部门所用。

首先结合图1说明为本发明一个实施方式的基于软件资产审计的数据防泄漏方法流程图。如图1-2所示，所述方法包括以下步骤：

步骤S101：采集管理阶段，配置数据采集策略；

步骤S102：数据采集阶段，根据所述数据采集策略，定义数据抽取策略，并采集数据；

步骤S103：根据采集到的数据，分析用户的访问行为，并对用户进行安全事件审计；审计数据资产、分析采集到的数据；

步骤S104：由报表引擎自定义报表结构，对分析的各类指标，生成相应的报表。

所述步骤S101：配置数据采集策略，其中：

所述数据采集策略包括采集器策略、监视器策略等采集策略，并进行交换信息配置、交换业务配置及系统管理配置；所述交换信息配置包括配置节点信息、通道信息，所述交换业务配置包括配置业务数据等，例如，在采集管理阶段，配置包括交换节点、交换通道、交换拓扑、数据发布、数据订阅统一配置管理等数据采集策略。

进一步地，可以在图形化管理界面对数据交换任务进行配置和部署，以便在运行时进行控制。

所述步骤S102：数据采集阶段，根据所述数据采集策略，定义数据抽取策略，并采集数据，包括：

本实施例中，在数据采集阶段，具有全量数据采集模式和增量数据采集模式。

数据抽取策略包括时间戳方式、日志表方式、全表比对方式、全表删除插入方式、设置触发器方式，能够灵活定义多种数据抽取策略；

本实施例中，还包括对抽取的数据的字段进行动态修改；在数据抽取过程中能够设置断点，对抽取行为进行跟踪与监控；并在数据采集过程中对采集到的数据记录数据条目数、采集开始时间、采集完成时间、以及对错误信息进行记录、保存。

所述步骤S103：根据采集到的数据，分析用户的访问行为，并对用户进行安全事件审计；审计数据资产、分析采集到的数据，包括：

所述分析用户的访问行为，是对个人的行为进行分析，分析项目包括告警分析、安全事件分析、DLP事件统计；对用户进行安全事件审计，包括安全事件统计、绘制安全事件地图、安全事件分析；

所述审计数据资产，是对采集到的数据的数据分布进行分析及进行敏感文件追溯，对采集到的数据的数据分布进行分析包括数据导入、导出统计，导入数据分布及统计、DLP数据分布及统计；所述进行敏感文件追溯，包括文件数据关联、溯源数据封装等审计操作；

所述分析采集到的数据，包括：提供数据实时分析和离线分析历史数据的方式，针对不同种类用户行为输出的安全事件进行统计、分析；依据管理员当前的管理权限，结合时间、安全事件种类、安全事件级别，通过多个维度进行统计分析。

本实施例中，可以对实时数据进行分析，也可以对历史数据进行离线分析。

所述步骤S104：由报表引擎自定义报表结构，对分析的各类指标，生成相应的报表，包括：

通过报表引擎自定义报表的结构，依据待分析的各类指标，生成事件统计报表、个人行为报表、周期汇报报表等多角度的实时和/或非实时报表。

本实施例通过软件监测来进行数据防泄漏方面的风险预测。首先进行采集管理的相关配置，然后进入数据采集阶段，获取用来进行风险分析的数据信息。然后进行数据分析，提供了实时分析和离线分析两种方式，通过数据资产审计和行为信息分析等方面，多角度的去进行风险评估，最后得出分析结论，产出基于数据防泄露的风险报表。管理员也可以根据自身的需要对相关日志进行统计分析，在完成分析之后，还可以将统计结果导出可视化报表，方便向其他业务部门、上级领导进行汇报。

本发明的又一个实施方式的基于软件资产审计的数据防泄漏的结构，如图3所示，用于实现基于软件资产审计的数据防泄漏的方法。

首先，配置相关采集策略；

按照采集策略，从多角度进行数据采集，比如自研产品、DLP系统、第三方系统等，获取软件资产信息、用户行为信息等数据；

利用分析引擎进行数据资产审计与行为信息分析；

可以实时数据进行分析，也可以对历史数据进行离线分析；

在报表引擎中配置报表模板，通过分析出的各类指标，得出数据泄露方面的风险预测报表。

本发明实施例进一步给出一种基于软件资产审计的数据防泄漏装置，如图4所示，所述装置包括：

配置模块：配置为采集管理阶段，配置数据采集策略；

数据采集模块：配置为数据采集阶段，根据所述数据采集策略，定义数据抽取策略，并采集数据；

分析模块：配置为根据采集到的数据，分析用户的访问行为，并对用户进行安全事件审计；审计数据资产、分析采集到的数据；

报表生成模块：配置为由报表引擎自定义报表结构，对分析的各类指标，生成相应的报表。

本发明实施例进一步给出一种基于软件资产审计的数据防泄漏系统，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的一种基于软件资产审计的数据防泄漏方法。

本发明实施例进一步给出一种计算机可读存储介质，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如前所述的基于软件资产审计的数据防泄漏方法。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，实体机服务器，或者网络云服务器等，需安装Windows或者Windows Server操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(RandomAccess Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。