网络安全数据共享与管控方法及系统

摘要

本申请提供了一种网络安全数据共享与管控方法及系统，共享与管控方法包括：对数据进行分类并编制成数据目录；为数据访问方开通账户，绑定IP，并分配数据管理员角色；获取数据访问方的数据访问和数据操作权限的工单并进行审批，对于审批通过的给予相应数据的操作权限，访问和操作权限加密后写入授权表中；将SDK引入获得操作权限的数据访问方的项目中；由SDK对数据访问方的IP进行鉴权；由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权；将数据库的访问和查询行为与数据库性能指标做关联分析；预设数据访问规则，若数据访问方触发访问规则，则熔断查询并告警。本申请能够保证数据共享过程的可审计、可监控和可告警。

说明书

技术领域

本申请属于网络安全技术领域，具体涉及一种网络安全数据共享与管控方法及系统。

背景技术

网络安全数据通常包括安全事件日志、威胁情报数据、漏洞情报数据、 IT资产以及流量等。目前，网络安全领域数据共享与管控方面的产品相对较少，主要是数据库审计方面的产品。例如，安华金和数据库安全审计系统属于数据库审计方面的产品，安华金和数据库安全审计系统基于数据库协议分析与控制技术来实现数据库的安全审计和防护。

现有的数据库审计方面的产品存在以下问题：首先，数据库审计方面的产品面向的是数据库运维人员和安全管理人员，更着重体现的是数据库的安全防控，更注重数据本身的安全。其次，对于承载数据量较小的结构化数据库来说，数据库协议分析与控制技术技术是有效的，然而对于实时性要求极高的海量日志数据的流式处理引擎以及近实时的全文搜索引擎来说，这种单点访问控制的设计是不能满足需求的。再次，数据库审计方面的产品并没有实现数据的细粒度控制以及对数据的分权限管控。没有实现数据在系统中的操作权限以及数据访问权限的统一。最后，数据库审计方面的产品并没有对数据的使用与数据责任方做数据的审批流程。

发明内容

为至少在一定程度上克服相关技术中存在的问题，本申请提供了一种网络安全数据共享与管控方法及系统。

根据本申请实施例的第一方面，本申请提供了一种网络安全数据共享与管控方法，其包括以下步骤：

对数据进行分类并编制成数据目录，以向外提供数据共享；

为数据访问方开通账户，绑定数据访问方的IP，并为数据访问方分配数据管理员角色；

获取数据访问方的数据访问和数据操作权限的工单并进行审批，对于审批通过的数据访问方给予其相应数据的操作权限，并将该数据访问权限和数据操作权限加密后写入授权表中；

将SDK引入获得操作权限的数据访问方的项目中；

由SDK对数据访问方的IP进行鉴权；

由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权，对于获得相应操作权限的数据访问方放行其操作；

数据访问方通过客户端对象访问Elasticsearch时，由SDK对数据访问方对Elasticsearch的操作进行数据埋点操作，并将埋点日志写入Elasticsearch 的索引中，以接受审计与管理；

将记录的数据库的访问和查询行为与数据库性能指标做关联分析，以确定数据库的性能影响因素；

预设数据访问规则，如果数据访问方触发访问规则，则熔断查询，并且生成告警，通知数据责任方。

上述网络安全数据共享与管控方法中，所述将SDK引入获得操作权限的数据访问方的项目中的具体过程为：

获得操作权限的数据访问方下载SDK及其使用文档；

将SDK引入数据访问方的项目中。

上述网络安全数据共享与管控方法中，所述由SDK对数据访问方的IP 进行鉴权的具体过程为：

SDK获取数据访问方的IP；

SDK对获取的IP进行远程查询，并判断获取的IP是否存在于预设的授权表中；

如果获取的IP存在于预设的授权表中，则SDK向数据访问方发放客户端对象；

数据访问方通过客户端对象访问数据库。

上述网络安全数据共享与管控方法中，所述由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权的具体过程为：

SDK根据数据访问方要进行的操作的索引匹配授权表；

如果授权表中有对应该操作的授权，则放行该操作。

根据本申请实施例的第二方面，本申请还提供了一种网络安全数据共享与管控系统，其包括：

权限管理模块，用于为请求注册的数据访问方分配数据管理员角色，还用于为数据责任方分配系统管理员角色；

数据目录模块，用于收录数据责任方提供的各类数据，并编制成数据目录；

工单审批模块，用于对数据访问方提交的请求使用某类数据的工单进行审批；

SDK模块，用于为数据访问方提供可下载的SDK；

授权模块，用于对通过鉴权的数据访问方进行授权，以便于数据访问方对数据库进行相应操作，获取所需要的数据。

上述网络安全数据共享与管控系统中，还包括网络安全数据共享与管控系统，其特征在于，还包括埋点日志审计模块，所述埋点日志审计模块用于对SDK写入Elasticsearch的索引中的埋点日志进行审计和管理。

上述网络安全数据共享与管控系统中，还包括关联分析模块，所述关联分析模块用于将记录的数据库的访问和查询行为与数据库性能指标做关联分析，以确定数据库的性能影响因素。

上述网络安全数据共享与管控系统中，还包括查询熔断模块，所述查询熔断模块用于对触发访问规则的数据访问方的操作进行熔断，并生成告警信息，通知数据责任方。

上述网络安全数据共享与管控系统中，所述SDK模块提供的SDK中封装的功能包括：根据数据访问方所在的IP以及要进行的操作的索引去匹配网络安全数据共享与管控系统中预设的授权表，如果在授权表中获得相应操作的授权，则放行其操作；对数据访问方所有对数据库的操作均做数据埋点操作，并将操作日志写入Elasticsearch的索引中，以接受网络安全数据共享与管控系统的审计与管理。

根据本申请的上述具体实施方式可知，至少具有以下有益效果：本申请通过采用SDK引入的方式，在控制数据访问方权限的同时，还能够通过数据埋点的方式监控并管理数据访问方对数据的访问，由于在这种情况下，数据不会通过应用系统，因此不会对网络安全数据共享与管控系统造成性能压力，从而不影响网络安全数据共享与管控系统的访问速度。本申请通过工单来实现数据使用的审批，对于某类数据的使用必须经过数据责任方审批完成后才能被访问和使用。

本申请能够使得大型企业中集中存储的网络安全相关的数据在对外共享的同时，保证数据共享的安全性，保证数据在共享时不会造成大数据集群和全文搜素引擎的集群性能上的损失，并能够保证数据的存储安全。同时，本申请能够做到整个共享与管控流程的可审计，可监控，可告警，同时做到数据皆有责任人，相应数据访问方必须经过审批后才能查看、操作以及使用数据。

应了解的是，上述一般描述及以下具体实施方式仅为示例性及阐释性的，其并不能限制本申请所欲主张的范围。

附图说明

下面的所附附图是本申请的说明书的一部分，其示出了本申请的实施例，所附附图与说明书的描述一起用来说明本申请的原理。

图1为本申请具体实施方式提供的一种网络安全数据共享与管控方法的流程图。

图2为数据访问方与本申请具体实施方式提供的一种网络安全数据共享与管控系统之间的交互过程示意图。

图3为数据访问方的流程图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚明白，下面将以附图及详细叙述清楚说明本申请所揭示内容的精神，任何所属技术领域技术人员在了解本申请内容的实施例后，当可由本申请内容所教示的技术，加以改变及修饰，其并不脱离本申请内容的精神与范围。

本申请的示意性实施例及其说明用于解释本申请，但并不作为对本申请的限定。另外，在附图及实施方式中所使用相同或类似标号的元件/构件是用来代表相同或类似部分。

关于本文中所使用的“包含”、“包括”、“具有”、“含有”等等，均为开放性的用语，即意指包含但不限于。

关于本文中所使用的“及/或”，包括所述事物的任一或全部组合。

关于本文中的“多个”包括“两个”及“两个以上”；关于本文中的“多组”包括“两组”及“两组以上”。

某些用以描述本申请的用词将于下或在此说明书的别处讨论，以提供本领域技术人员在有关本申请的描述上额外的引导。

图1为本申请具体实施方式提供的一种网络安全数据共享与管控方法的流程图。

如图1所示，本申请提供的网络安全数据共享与管控方法包括以下步骤：

S1、对数据进行概括性分类并编制成数据目录，以向外提供数据共享。

其中，可以将数据分成以下四类：流式数据、热数据、离线数据和配置管理类稳定数据。

S2、为数据访问方开通账户，绑定数据访问方的IP，并为数据访问方分配数据管理员角色。

S3、获取数据访问方的数据访问和数据操作权限的工单并进行审批，对于审批通过的数据访问方给予其相应数据的操作权限，并将该数据访问权限和数据操作权限加密后写入授权表中。例如，将数据访问方对table1的读权限或者写权限加密后写入授权表中。

S4、将SDK(Software Development Kit，软件开发工具包)引入获得操作权限的数据访问方的项目中，其具体包括，获得操作权限的数据访问方下载SDK及其使用文档，将SDK引入其项目中。

S5、由SDK对数据访问方的IP进行鉴权，其具体过程为：

SDK获取数据访问方的IP；其中，考虑多网卡的情况，如果存在多网卡，则获取所有网卡的IP。

SDK对获取的IP进行远程查询，并判断获取的IP是否存在于预设的授权表中；如果存在，则SDK向数据访问方发放客户端对象client，以便于数据访问方能够通过客户端对象client访问mysql、HDFS、kafka等数据库或者Elasticsearch等全文搜索引擎；否则，SDK不向数据访问方发放客户端对象client。

S6、由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权，对于获得相应操作权限的数据访问方放行其操作，否则拒绝其操作。

其中，由SDK对IP存在于预设的授权表中的数据访问方的操作权限进行鉴权的具体过程为：

SDK根据数据访问方要进行的操作的索引匹配授权表；

如果授权表中没有对应该操作的授权，则拒绝该操作；否则，放行该操作。

S7、数据访问方通过客户端对象client访问Elasticsearch时，SDK对数据访问方对Elasticsearch的操作进行数据埋点操作，并将埋点日志写入 Elasticsearch的索引中，以接受审计与管理。

S8、将记录的数据库的访问和查询行为与数据库性能指标做关联分析，以确定数据库的性能影响因素。

S9、预设数据访问规则，如果数据访问方触发访问规则，则熔断查询，并且生成告警，以短信或者邮件的方式通知数据责任方。

本申请还提供了一种网络安全数据共享与管控系统，其包括权限管理模块、数据目录模块、工单审批模块、SDK模块和授权模块。其中，权限管理模块用于为请求注册的数据访问方分配数据管理员角色，还用于为数据责任方分配系统管理员角色；数据目录模块用于收录数据责任方提供的各类数据，并编制成数据目录，以供数据共享。工单审批模块用于对数据访问方提交的请求使用某类数据的工单进行审批。SDK模块用于为数据访问方提供可下载的SDK，以便于数据访问方将下载的SDK引入其项目中，由SDK对数据访问方进行鉴权。

需要说明的是，SDK模块提供的SDK中对常用的数据库的查询、删除、搜索以及创建索引的接口都做了封装，封装主要实现以下功能：一、根据数据访问方所在的IP以及要进行的操作的索引去匹配网络安全数据共享与管控系统中预设的授权表，如果在授权表中没有获得相应操作的授权，则SDK 拒绝其操作；否则，放行其操作；二、对数据访问方所有对数据库的操作均做数据埋点操作，并将操作日志写入数据库的索引中，以接受网络安全数据共享与管控系统的审计与管理。

本申请采用SDK引入的方式，在控制数据访问方权限的同时，还能够通过数据埋点的方式监控并管理数据访问方对数据的访问，由于在这种情况下，数据不会通过应用系统，因此不会对网络安全数据共享与管控系统造成性能压力，从而不影响网络安全数据共享与管控系统的访问速度。

授权模块用于对通过鉴权的数据访问方进行授权，以便于数据访问方对数据库进行相应操作，获取所需要的数据。

本申请提供的网络安全数据共享与管控系统中还包括埋点日志审计模块，埋点日志审计模块用于对SDK写入Elasticsearch的索引中的埋点日志进行审计和管理。本申请提供的网络安全数据共享与管控系统中还包括关联分析模块，关联分析模块用于将记录的数据库的访问和查询行为与数据库性能指标做关联分析，以确定数据库的性能影响因素。

本申请提供的网络安全数据共享与管控系统中还包括查询熔断模块，查询熔断模块用于对触发访问规则的数据访问方的操作进行熔断，并生成告警信息，以短信或者邮件的形式通知数据责任方。

需要说明的是，上述实施例提供的网络安全数据共享与管控系统仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将网络安全数据共享与管控系统的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的网络安全数据共享与管控系统与网络安全数据共享与管控方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图2为数据访问方与本申请具体实施方式提供的一种网络安全数据共享与管控系统之间的交互过程示意图。

如图2所示，下面对数据访问方与本申请提供的网络安全数据共享与管控系统之间的交互过程进行说明。

数据访问方请求网络安全数据共享与管控系统开通账户，并分配数据管理员角色。

网络安全数据共享与管控系统为数据访问方开通账户，绑定数据访问方的IP，并为数据访问方分配数据管理员角色。

数据访问方向网络安全数据共享与管控系统提交需要访问的数据资源列表的工单。

网络安全数据共享与管控系统的数据责任方对数据访问方的工单进行审批，对于审批通过的工单，授权数据访问方登录网络安全数据共享与管控系统中开通的账户。

数据访问方登录账户，并从网络安全数据共享与管控系统下载SDK，并将SDK引入其项目中。

SDK对数据访问方进行鉴权。

权限认证通过后，数据访问方通过从SDK获取的相应连接访问数据库。其中，数据库具体包括大数据集群、结构化数据库、全文搜索引擎和流处理引擎等。

数据库将需要的数据反馈给数据访问方。

需要说明的是，数据访问方在获取授权后，数据的访问不会经过本申请提供的网络安全数据共享与管控系统，而是直接查询数据库或者大数据集群；然而，由于这些访问有SDK本身对访问行为的监控，因此，虽然数据的访问不经过本申请提供的网络安全数据共享与管控系统，但是在本申请提供的网络安全数据共享与管控系统中仍然可以直接进行审计、告警和熔断。

图3为数据访问方的流程图。如图3所示，下面对数据访问方的访问流程进行具体说明。

数据访问向网络安全数据共享与管控系统发送用户注册请求，获取数据管理员角色。

数据访问方登录网络安全数据共享与管控系统查看数据目录，选择需要访问的数据。

数据访问方向网络安全数据共享与管控系统提交访问申请。

网络安全数据共享与管控系统对访问申请进行审批和授权，如果审批通过并授权，则数据访问方从网络安全数据共享与管控系统获取SDK；否则，结束。

数据访问方在代码中引入SDK，SDK对数据访问方进行鉴权。

数据访问方获得权限后根据API文档获取客户端对象。数据访问方通过客户端对象直接查询数据库，并获取所需的数据。

本申请能够实现mysql、HDFS、Elasticsearch、kafka等各种数据库的数据共享，能够实现流式数据的可控共享订阅。

本申请还能够实现灵活的数据表、索引、主题、文件的细粒度授权控制。

本申请在客户端进行鉴权，鉴权方式较为灵活；另外，由于在客户端进行鉴权，数据的查询能够去中心化，数据不通过网络安全数据共享与管控系统，在数据量大的前提下，由大数据集群直接承接查询压力，避免网络安全数据共享与管控系统因为数据查询压力而变的缓慢从而崩溃。

对于全文搜索引擎来说，为了维持Elasticsearch的稳定性，本申请把第三方即数据访问方的访问行为与Elasticsearch的性能指标进行关联分析，根据在同一时间的访问行为和性能指标的变化对比后，可以协助运维人员找到影响集群稳定性的用户。此功能可以扩展到mysql、HDFS和kafka中。

本申请将可共享的数据根据数据库的类别自动录入数据目录模块，让数据访问方可以直观看到数据库的数据列表。本申请以工单的形式完成数据审批，能够让数据的共享有完整的记录。

上述的本申请实施例可在各种硬件、软件编码或两者组合中进行实施。例如，本申请的实施例也可为在数据信号处理器中执行上述方法的程序代码。本申请也可涉及计算机处理器、数字信号处理器、微处理器或现场可编程门阵列执行的多种功能。可根据本申请配置上述处理器执行特定任务，其通过执行定义了本申请揭示的特定方法的机器可读软件代码或固件代码来完成。可将软件代码或固件代码发展为不同的程序语言与不同的格式或形式。也可为不同的目标平台编译软件代码。然而，根据本申请执行任务的软件代码与其他类型配置代码的不同代码样式、类型与语言不脱离本申请的精神与范围。

以上所述仅为本申请示意性的具体实施方式，在不脱离本申请的构思和原则的前提下，任何本领域的技术人员所做出的等同变化与修改，均应属于本申请保护的范围。