一种敏感信息泄露主动监控与责任认定方法与装置制造方法及图纸

本发明专利技术公开了一种敏感信息泄露主动监控与责任认定方法：定义敏感信息及确定其所存储的设备；根据所述定义的敏感数据，制定和管理敏感信息访问/外访策略；对敏感数据所存储的设备进行网络流量数据采集及预处理；根据所述的敏感信息访问策略对所述采集处理后的流量数据进行非法访问/外访识别，找出敏感信息的异常访问发起程序和异常外访接收程序；针对所述获得的非法访问/接收程序进行敏感信息泄露责任认定，确定非法访问帐户和相关人员信息。还公开了一种敏感信息泄露主动监控与责任认定装置。通过敏感数据访问流量的分析，从可能造成数据泄露的过程进行主动分析和控制，可实现对任何未知攻击产生的客户敏感信息泄露进行识别控制和责任认定。

【技术实现步骤摘要】

本专利技术涉及敏感信息安全管理领域，尤其涉及一种敏感信息访问/泄露主动监控与责任认定方法与装置。
技术介绍
现有的企业敏感信息都普遍存放于数据库服务器、主机服务器、采集服务器等设备，目前采用的敏感信息防泄露的方法主要都是针对某种特定场景，比如DLP信息防泄露是通过被动地对外发邮件过程进行识别控制、DRM文档加密是对下载到终端机器的数据传输过程进行识别控制等，这些技术都是基于对生成的敏感信息实体和敏感信息特征码(例如某人姓名、电话号码)进行的一种监控，容易出现漏判和误判，而且对于侵入企业服务器的各种病毒和木马、甚至未知攻击造成的持续性敏感信息泄露则无法进行监控，更加无法进行信息泄露人员的责任追溯和认定。如图1所示的一个典型现有技术框架，左边是一个典型通信企业计费系统的服务器群，其中敏感信息大部分存在于数据库服务器，中间为各种访问计费系统服务器群的路径，右边为访问这些服务器群的终端或者第三方企业的接口服务器。分析现有技术反映出的缺点如下：1.目前很多企业都建立集中化的账号、认证、授权和审计系统(4A平台)，对于企业敏感信息(例如客户信息等)的人工访问已经实现了较好的访问控制和审计。但是对于企业敏感信息的访问有很大一部分来自于自动化程序或者脚本，对于此类自动化程序或者脚本的访问目前业界还是缺乏很好的控制手段。2.目前很多企业都建立了终端管理平台，但是终端管理平台主要针对终端上的客户信息和敏感信息能够实现传输和访问的控制，但是对于不通过终端流转的敏感信息目前没有响应的机制进行监控和防护。3.目前企业普遍重视IT支撑设备的合规检查和安全加固，但是还有大量的漏洞由于应用需要等原因造成无法加固，这都给各种黑客、病毒、木马、蠕虫等非法程序以可乘之机。这些非法程序利用自身特有的攻击手段建立非法的数据访问通道，对企业敏感信息进行非法获取；部分非法程序甚至通过长期的潜伏，针对特定对象实施长期、有计划性和组织性地数据窃取。4.实际面临的客户敏感信息访问和业务需求经过多年变更，无法精确的控制、记录和管理，导致防不胜防，出现一个问题堵上一个访问渠道，整个泄露防护技术和管理工作被动。5.目前企业的敏感数据防护，大多是基于敏感数据的特征码进行识别，基于特征码的敏感数据识别很容易出现误判和漏判等情况，导致信息泄露防护不到位。
技术实现思路
本专利技术的目的是提供一种敏感信息泄露主动监控与责任认定方法与装置，解决现有技术中敏感信息由于一些自动化程序或者脚本与其所在设备建立隐蔽的数据通道造成的信息泄露问题。本专利技术提案通过对敏感数据被访问时或者对敏感数据向外发送外访数据时产生的访问流量数据进行实时分析，主动发现异常的数据访问行为，同时对于访问行为发起的可疑程序或者脚本(包括程序/脚本名称、启动端口、所在主机IP)进行追溯；锁定非法程序或者脚本后，对于非法程序或者脚本的上传运行时间、上传人员、启动人员等信息进行确认。以此来识别发现异常程序或脚本、僵木蠕等信息并进行责任人的身份认定。不论是黑客、非法访问、长期未维护的访问关系，都有可能产生敏感信息泄露。因此，我们不从泄露的原因和动机去监控和特征识别，而是对敏感数据存储的主机进行监控，实时监控敏感数据的访问过程，识别非法访问，并找最终定位到自然人。本专利技术采用的技术方案如下:一种敏感信息泄露主动监控与责任认定方法，包括步骤：敏感数据定义与管理，及确定其所存储的设备；根据所述定义的敏感数据，制定和管理敏感信息访问/外访策略；对敏感数据所存储的设备进行网络流量数据采集及预处理；根据所述的敏感信息访问策略对所述采集处理后的流量数据进行非法访问/外访识别，找出敏感信息的异常访问发起程序和异常外访接收程序；针对所述获得的非法访问/接收程序进行敏感信息泄露责任认定，确定非法访问帐户和相关人员信息。进一步地，所述的敏感信息访问/外访策略，包括白名单的合法访问/外访策略和黑名单的非法访问/外访策略；将敏感信息被其它设备正常访问或者敏感信息正常外访到其它设备的情况列入白名单，将敏感信息被其它设备异常访问或者敏感信息异常外访到其它设备的情况列入黑名单，将待确认的访问/外访情况列入灰名单。进一步地，所述的非法访问/外访识别过程是：根据白名单的合法访问/外访策略和黑名单的非法访问/外访策略，对所述采集处理后的流量数据进行策略匹配，符合黑名单的非法访问/外访策略时，找出非法访问设备及其上的异常访问发起程序信息，找出非法接收设备及其上的异常外访接收程序信息；对于无法与所述白名单策略和黑名单策略匹配上的访问/外访情况，列入灰名单,并将灰名单相关程序信息再与预设的正常业务清单进行业务比较识别，如果是正常业务程序，将所述正常访问/外访情况从灰名单中删除并列入白名单策略，否则列入黑名单策略；记录所述的异常程序所在设备名称、访问/外访数据流的传送时间、修改时间、启动时间，形成非法访问发起程序/非法外访接收程序列表。进一步地，所述的敏感信息泄露责任认定过程是：根据所述非法访问发起程序/非法外访接收程序列表找出非法程序所在设备上异常程序的生成、修改、运行时间，并追溯这些时间内登录所述设备的账号和相关人员信息，实现敏感信息泄露责任认定。进一步地，所述的敏感信息访问策略，是由访问源IP、访问源端口、访问目的IP、访问目的端口、外访源IP、外访源端口、外访目的IP、外访目的端口、访问/外访流量、访问/外访通讯协议、访问/外访时间、访问/外访频次这些因素的组合逻辑表达式组成。另外，本方案还提出了一种敏感信息泄露主动监控与责任认定装置，包括：敏感数据定义管理模块、访问策略管理模块、数据采集处理模块、非法访问识别与非法程序确认模块和非法访问责任认定模块；所述的敏感数据定义管理模块，用于定义和管理敏感信息及确定其所存储的设备；所述的访问策略管理模块，根据敏感数据定义管理模块定义的敏感数据，制定和管理敏感信息访问/外访策略；所述的数据采集处理模块，对敏感数据定义管理模块定义的敏感数据所存储的设备进行网络流量数据采集及预处理，输出给非法访问识别与非法程序确认模块；所述的非法访问识别与非法程序确认模块，根据访问策略管理模块输出的敏感信息访问/外访策略对所述采集处理后的的流量数据进行非法访问/外访识别，找出敏感信息的异常访问发起程序和异常外访接收程序；所述本文档来自技高网...

【技术保护点】
一种敏感信息泄露主动监控与责任认定方法，其特征在于，包括步骤：敏感数据定义与管理，及确定其所存储的设备；根据所述定义的敏感数据，制定和管理敏感信息访问/外访策略；对敏感数据所存储的设备进行网络流量数据采集及预处理；根据所述的敏感信息访问策略对所述采集处理后的流量数据进行非法访问/外访识别，找出敏感信息的异常访问发起程序和异常外访接收程序；针对所述获得的非法访问/接收程序进行敏感信息泄露责任认定，确定非法访问帐户和相关人员信息。

【技术特征摘要】
1.一种敏感信息泄露主动监控与责任认定方法，其特征在于，包
括步骤：
敏感数据定义与管理，及确定其所存储的设备；
根据所述定义的敏感数据，制定和管理敏感信息访问/外访策略；
对敏感数据所存储的设备进行网络流量数据采集及预处理；
根据所述的敏感信息访问策略对所述采集处理后的流量数据进行非法
访问/外访识别，找出敏感信息的异常访问发起程序和异常外访接收程序；
针对所述获得的非法访问/接收程序进行敏感信息泄露责任认定，确定
非法访问帐户和相关人员信息。
2.根据权利要求1所述的方法，其特征在于，所述的敏感信息访
问/外访策略，包括白名单的合法访问/外访策略和黑名单的非法访问/外访策
略；将敏感信息被其它设备正常访问或者敏感信息正常外访到其它设备的情
况列入白名单，将敏感信息被其它设备异常访问或者敏感信息异常外访到其
它设备的情况列入黑名单，将待确认的访问/外访情况列入灰名单。
3.根据权利要求2所述的方法，其特征在于，所述的非法访问/外
访识别过程是：
根据白名单的合法访问/外访策略和黑名单的非法访问/外访策略，对所
述采集处理后的流量数据进行策略匹配，符合黑名单的非法访问/外访策略时，
找出非法访问设备及其上的异常访问发起程序信息，找出非法接收设备及其
上的异常外访接收程序信息；对于无法与所述白名单策略和黑名单策略匹配
上的访问/外访情况，列入灰名单；将灰名单相关程序信息再与预设的正常业
务清单进行业务比较识别，如果是正常业务程序，将所述正常访问/外访情况
从灰名单中删除并列入白名单策略，否则列入黑名单策略；记录所述的异常
程序所在设备名称、访问/外访数据流的传送时间、修改时间、启动时间，形
成非法访问发起程序/非法外访接收程序列表。
4.根据权利要求3所述的方法，其特征在于，所述的敏感信息泄
露责任认定过程是：
根据所述非法访问发起程序/非法外访接收程序列表找出非法程序所在
设备上异常程序的生成、修改、运行时间，并追溯这些时间内登录所述设备
的账号和相关人员信息，实现敏感信息泄露责任认定。
5.根据权利要求3或4所述的方法，其特征在于，所述的敏感信息

\t访问策略，是由访问源IP、访问源端口、访问目的IP、访问目的端口、外访
源IP、外访源端口、外访目的IP、外访目的端口、访问/外访流量、访问/外
访通讯协议、访问/外访时间、访问/外访频次这些因素的组合逻辑表达式组
成。
6.一种敏感信息泄露主动监控与责任认定装置，其特征在于，包括敏感
数据定义管理模块、访问策略管理模块、数据采集处理模块、非法访问识别
与非法程序确认模块和非法访问责任认定模块；
所述的敏感数据定义管理模块，用于定义和管理敏感信息及确定其所存
储的设备；
所述的访问策略管理模块，根据敏感数据定义管理模块定义的敏感数据，
制定和管理敏感信息访问/外访策略；
所述的数据采集处理模块，对敏感数据定义管理模块定义的敏感数据所
存储的设备进行网络流量数据采集及预处理，输出给非法访问识别与非法程
序确认模块；
所述的非法访问识别与非法程序确认模块，根据访问策略管理模块输出
的敏感信息访问/外访策略对所述采集处理后的流量数据进行非法访问/外访
识别，找出敏感信息的异常访问发起程序和异常外访接收程序；
所述的非法访问责任认定模块，针对从非法访问识别与非法程序确认模
块获得的非法访问/接收程序进行敏感信息泄露责任认定，确定非法访问帐户
和相关人员信息。
7.根据权利要求6所...

【专利技术属性】
技术研发人员：黄建东，王龙，
申请(专利权)人：亿阳安全技术有限公司，
类型：发明
国别省市：北京;11