本发明专利技术公开了一种面向泛在电力物联网敏感数据的动态脱敏方法,包括以下步骤:对数据源中敏感数据字段识别定位;对获取的字段内容采样匹配敏感信息脱敏规则,根据脱敏规则对源数据处理得到脱敏数据;对登录用户进行登录控制,通过数据安全审计授权进行敏感数据访问控制。本发明专利技术不仅能实现对敏感数据进行脱敏漂白工作;同时,它也将加强敏感数据访问防护,实现对敏感数据进行全生命周期的安全保护。
A dynamic desensitization method for ubiquitous power Internet of things sensitive data
【技术实现步骤摘要】
一种面向泛在电力物联网敏感数据的动态脱敏方法
本专利技术涉及数据安全保护
,尤其是一种面向泛在电力物联网敏感数据的动态脱敏方法。
技术介绍
随着国网公司全业务统一数据中心的建设推进,数据分析域作为公司全业务、全类型、全时间维度数据的汇集中心,数据挖掘以及业务应用数据访问将会越来越多,有必要提前做好分析域数据资源安全保护以及数据脱敏处理。对国网公司而言,敏感数据信息包括两大类:一种是公司自身敏感信息,如战略规划、财务信息等,这些信息不为大众所知,但具有实用性,能为企业带来贡献。第二类是用户的个人信息,随着公司业务的快速发展,业务生产系统积累了大量包含身份证件号码、住址、电话号码、账号、用户姓名等敏感数据,如果这些数据缺乏安全保障以致于发生泄漏或被篡改,会给公司及用户造成重大损失,不利于国网公司全业务统一数据中心的建设推进。当前,市面上确实出现了一些数据脱敏系统,但大多技术尚未成熟,没有有效的实现和开展。多数系统为了保障敏感数据,偏重于增强外围防护,这种方式不仅效率低,防护效果差,并且限制了对敏感数据的有效分析和利用。部分企业根据自身情况采用了一些以静态脱敏为主要技术的方案,这种系统扩展性差,脱敏算法简陋和固定,对敏感数据的保护有限。
技术实现思路
本专利技术的目的是提供一种面向泛在电力物联网敏感数据的动态脱敏方法,对在国网云平台、全业务数据中心的大规模数据分析访问和数据共享时,加强对敏感数据的访问防护以及敏感数据脱敏,以保障数据访问和共享的安全性。为实现上述目的,本专利技术采用下述技术方案:一种面向泛在电力物联网敏感数据的动态脱敏方法,包括以下步骤:对数据源中敏感数据字段识别定位;对获取的字段内容采样匹配敏感信息脱敏规则,根据脱敏规则对源数据处理得到脱敏数据;对登录用户进行登录控制,通过数据安全审计授权进行敏感数据访问控制。进一步地,所述对数据源中敏感数据字段识别定位,具体包括:采用包括但不限于正则匹配或DFA匹配的方法对数据源原始数据中需要进行脱敏保护的数据字段进行识别定位。进一步地,所述对获取的字段内容采样匹配敏感信息脱敏规则,根据脱敏规则对源数据处理得到脱敏数据,具体包括:获取需要脱敏保护的数据字段,扫描获取的敏感数据字段内容;采样匹配敏感信息脱敏规则,根据脱敏规则进行数据变形得到脱敏数据。进一步地,所述脱敏规则包括但不限于同义替换、数据覆盖、随机替换、加密、映射、可逆脱敏、本地隐私数据漂白规则算法。进一步地,所述脱敏数据保持源数据的业务数据逻辑关系及约束关系。进一步地,所述对登录用户进行登录控制,通过数据安全审计授权进行敏感数据访问控制步骤之前,还包括:将核心数据进行分类分级:将同类数据进行归类,形成资产集合;将资产集合的访问授权分配给包括个人用户、应用用户、运维用户在内的不同角色人员。进一步地,所述对登录用户进行登录控制,通过数据安全审计授权进行敏感数据访问控制,具体包括:通过对用户登录时的用户名、密码、IP、MAC地址信息以及使用的应用、工具信息的采集分析,对不同登录用户进行分权管理;在用户进行访问时,通过数据安全审计授权,防止用户对敏感数据执行危险操作,并对误操作进行快速恢复;记录运维人员对系统运维操作时的运维审计数据,监控运维过程。进一步地,所述记录运维人员对系统运维操作时的运维审计数据,监控运维过程,具体包括:识别数据库基础字典表的地址分配、字段偏移量、内存起始地址和大小;持续不断扫描内存段获取审计数据和SQL操作语句;解析成可读内容,保存至审计日志服务器。
技术实现思路
中提供的效果仅仅是实施例的效果,而不是专利技术所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:1、增强数据保护的稳定性随着国家电网业务规模的不断扩大,数据中心所承载的敏感数据也越来越多,并且大量敏感数据集中在云中存储,如果不能对敏感数据进行有效保护,将会造成重大的损失。本专利技术提出了用户登录控制和访问控制,通过对用户登录时信息的采集和分析,对不同登录用户进行分权管理,并且将核心数据进行分类分级,将同类数据进行归类,再将不同的访问权限分配给不同的用户,从而进一步增强了数据保护的稳定性。2、提升数据服务运维效率当前国网数据业务规模庞大,数据种类多样,这都对数据运维人员的运维水平和维护能力提出了极高的要求。在运维人员人员数量有限,运维能力有限的状况下,本方案的提出运维审计分析方法危险性操作防御技术,会进一步提升运维人员工作效率,增大了运维人员在数据维护工作中的容错率。3、保证数据服务质量通过对敏感数据的自动发现,自动定位原始数据中需要脱敏保护的数据的数据字段;获得需要脱敏保护的数据字段后,通过脱敏数据逻辑关系保持技术和脱敏数据约束关系管理技术,使得数据通过既定规则库进行脱敏处理后,新数据依旧保持源数据中的业务逻辑关系,能够完全支持业务的数据类使用和操作。附图说明图1是本专利技术方法实施例一流程图;图2是本专利技术方法实施例二流程图;图3是本专利技术方法实施例三流程图;图4是本专利技术方法实施例四流程图;图5是本专利技术方法实施例五流程图。具体实施方式为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本专利技术进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开,下文中对特定例子的部件和设置进行描述。此外,本专利技术可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本专利技术省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本专利技术。如图1所示,一种面向泛在电力物联网敏感数据的动态脱敏方法,包括以下步骤:S1、对数据源中敏感数据字段识别定位;S2、对获取的字段内容采样匹配敏感信息脱敏规则,根据脱敏规则对源数据处理得到脱敏数据;S3、对登录用户进行登录控制,通过数据安全审计授权进行敏感数据访问控制。如图2所示,一种面向泛在电力物联网敏感数据的动态脱敏方法,包括以下步骤:S1、对数据源中敏感数据字段识别定位;S2、对获取的字段内容采样匹配敏感信息脱敏规则,根据脱敏规则对源数据处理得到脱敏数据;S3、将核心数据进行分类分级:将同类数据进行归类,形成资产集合;将资产集合的访问授权分配给包括个人用户、应用用户、运维用户在内的不同角色人员;S4、对登录用户进行登录控制,通过数据安全审计授权进行敏感数据访问控制。作为本申请的一个实施例,步骤S1中,对数据源中敏感数据字段识别定位,具体包括:采用包括但不限于正则匹配或DFA匹配的方法对数据源原始数据中需要进行脱敏保护的数据字段进行识别定位。本本文档来自技高网...
【技术保护点】
1.一种面向泛在电力物联网敏感数据的动态脱敏方法,其特征是,包括以下步骤:/n对数据源中敏感数据字段识别定位;/n对获取的字段内容采样匹配敏感信息脱敏规则,根据脱敏规则对源数据处理得到脱敏数据;/n对登录用户进行登录控制,通过数据安全审计授权进行敏感数据访问控制。/n
【技术特征摘要】
1.一种面向泛在电力物联网敏感数据的动态脱敏方法,其特征是,包括以下步骤:
对数据源中敏感数据字段识别定位;
对获取的字段内容采样匹配敏感信息脱敏规则,根据脱敏规则对源数据处理得到脱敏数据;
对登录用户进行登录控制,通过数据安全审计授权进行敏感数据访问控制。
2.如权利要求1所述的面向泛在电力物联网敏感数据的动态脱敏方法,其特征是,所述对数据源中敏感数据字段识别定位,具体包括:
采用包括但不限于正则匹配或DFA匹配的方法对数据源原始数据中需要进行脱敏保护的数据字段进行识别定位。
3.如权利要求1所述的面向泛在电力物联网敏感数据的动态脱敏方法,其特征是,所述对获取的字段内容采样匹配敏感信息脱敏规则,根据脱敏规则对源数据处理得到脱敏数据,具体包括:
获取需要脱敏保护的数据字段,扫描获取的敏感数据字段内容;
采样匹配敏感信息脱敏规则,根据脱敏规则进行数据变形得到脱敏数据。
4.如权利要求3所述的面向泛在电力物联网敏感数据的动态脱敏方法,其特征是,所述脱敏规则包括但不限于同义替换、数据覆盖、随机替换、加密、映射、可逆脱敏、本地隐私数据漂白规则算法。
5.如权利要求3所述的面向泛在电力物联网敏感数据的动态脱敏方法,其特征是,所述脱敏数据保持源数...
【专利技术属性】
技术研发人员:殷齐林,黄振,徐浩,郭爽爽,张悦,韩圣亚,李宁,汤琳琳,刘子雁,郑海杰,郭小燕,王惠剑,韩兴旺,马领,刘学,
申请(专利权)人:国网山东省电力公司信息通信公司,国家电网有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。