本发明专利技术提供了基于大数据的安全云平台系统,包括安全云平台引擎、管理终端、SaaS服务,所述安全云平台引擎包括监视单元,用于检测正在使用的平台SaaS服务的应用接口以及通过所述服务应用接口执行的活动;基于服务应用接口解析数据流并识别在云端服务中共享的内容,从而确定通过所述服务应用接口执行的活动;使用内容检验规则检索内容中与安全性相关的片段;并且响应于在所解析的数据流中发现与安全性相关的片段,触发安全操作。本发明专利技术提出了基于大数据的安全云平台系统,允许数据所有者建立可变粒度的访问策略,识别风险行为和可能发生的数据泄露,精确指定需要保护的数据范围,以提高与云端服务的交互的安全性和效率。
【技术实现步骤摘要】
基于大数据的安全云平台系统
本专利技术涉及云安全,特别涉及基于大数据的安全云平台系统。
技术介绍
随着SaaS服务的日益普及,企业都在依赖云平台来创建、编辑和存储数据。教育行业用户可以更容易地从多个设备访问云端提供的教育服务,数据共享变得更方便,但数据容易脱离所有者的控制。当机密信息泄露时,企业只能花费大量金钱和时间进行修复。而且现有的数据泄露预警技术缺乏基于用户活动的上下文,因此预警准确率不高。
技术实现思路
为解决上述现有技术所存在的问题,本专利技术提出了基于大数据的安全云平台系统,所述云平台系统包括安全云平台引擎、管理终端、SaaS服务,其特征在于,所述安全云平台引擎包括:监视单元,用于检测正在使用的平台SaaS服务的应用接口以及通过所述服务应用接口执行的活动;基于服务应用接口解析数据流并识别在云端服务中共享的内容,从而确定通过所述服务应用接口执行的活动;使用内容检验规则检索内容中与安全性相关的片段;并且响应于在所解析的数据流中发现与安全性相关的片段,触发安全操作。优选地,所述安全操作包括将相关内容进行隔离。优选地,所述SaaS服务包括隔离存储区,其特征在于:所述隔离操作进一步包括,在云端服务创建隔离存储区之后,将安全性相关的内容条件地存储在隔离存储区中,等待管理员用户的授权或拒绝;所述有条件地存储在隔离存储区中包括生成与目标内容相关联的镜像文件;所述隔离存储区是在不同于共享内容的第一服务的第二服务中创建的。优选地,所述安全操作包括针对特定文档进行加密。优选地,所述安全云平台引擎包含密钥管理器,所述密钥管理器托管在使用云平台服务的数据所有者的本地数据中心,并且所述加密操作进一步包括:访问具有数据所有者标识、应用标识和区域代码的三元组的密钥管理器;接收三元组密钥和用于唯一识别三元组密钥的密钥组标识;对于具有文档标识的文档:从三元组密钥、文档标识的组合中导出每个文档的独立密钥;广播加密的文档、文档标识和密钥三元组标识;使用每个文档的独立密钥来加密文档;其中导出每个文档密钥还包括,使用哈希密钥导出函数从三元组密钥、文档标识的组合导出每个文档的独立密钥。优选地,基于文档的内容检查,将文档分类标签应用于文档;使用文档分类标签来控制对文档的访问。优选地,生成验证文档完整性的数据完整性标签;以及保存数据完整性标签。优选地,所述使用内容检验规则检索内容中与安全性相关的片段,还包括:基于多个内容检验规则来定义内容检查简档,并将其包括在云端服务的策略中。基于在云端服务的策略中定义的多个条件变量来触发安全操作。本专利技术相比现有技术,具有以下优点:本专利技术提出了基于大数据的安全云平台系统,允许数据所有者建立可变粒度的访问策略,识别风险行为和可能发生的数据泄露,精确指定需要保护的数据范围,以提高与云端服务的交互的安全性和效率。附图说明图1是根据本专利技术实施例的基于大数据的安全云平台系统的框图。具体实施方式下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定,并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。图1是根据本专利技术实施例的基于大数据的安全云平台系统框图。本专利技术的一方面提供了基于大数据的安全云平台系统,所述云平台系统包括安全云平台引擎、管理终端、SaaS服务、普通客户端。本专利技术允许数据所有者建立可变粒度的访问策略,识别风险行为和可能的数据丢失或泄露,以提高与云端服务的交互的安全性和效率。对于云平台上的每一项数据内容,所述安全云平台引擎基于描述内容详细信息(如文档类型、文档名)的内容简档以及多个内容简档的对比,来识别与机密数据的共享相关的活动。内容简档提供了机密数据的上下文和活动感知检测。基于内容配置文件,本专利技术安全云平台引擎的实时地实施可变粒度的访问策略,以防止可能发生的数据泄露。根据该内容简档可以追溯SaaS服务,从而发现可能已经被共享的机密数据。一旦检测到任何不安全事件,安全云平台引擎触发多个安全操作,包括阻止、警报、隔离、记录或加密。安全操作的类型可以基于内容访问策略的类型、正在执行的内容的活动和内容类型中的至少一个。本专利技术通过在细粒度的上下文中保护数据,包括用户组、位置、设备、服务或类别、活动和内容,通过粒度的缩小,允许数据所有者精确指定需要保护的数据范围,以锁定真正风险而不必加密所有内容。安全云平台引擎通过管理平面和数据平面提供各种功能。优选地,数据平面包括抽取引擎、分类引擎和安全引擎。这些功能连同普通客户端共同提供与SaaS服务的安全接口。所述安全云平台引擎包括监视单元和存储单元。存储单元存储内容访问策略、内容简档、内容检验规则、企业数据、客户端和用户身份。优选地,存储单元将来自租户的信息存储到公共数据库映像的表中,以形成按需数据库服务。数据库映像可以包括关系数据库管理系统、面向对象的数据库管理系统、分布式文件系统或任何其他数据存储系统。所述管理终端具有由安全云平台引擎提供的安全接口,以定义和管理内容访问策略。管理终端的用户只能改变与其数据所有者相关联的内容访问策略。优选地,管理终端被分配角色,并且基于角色来控制对安全云平台引擎的数据的访问。企业管理员可以配置SaaS服务,以对安全云平台引擎的对企业用户的请求提供响应,防止普通客户端绕过安全云平台引擎实施的策略。企业可以在内容访问策略中为所有用户建立策略。对于涉及内容操作的每个活动,安全云平台引擎将调用内容检验规则。如果确定内容属于机密数据,则触发安全操作以防止包含机密数据内容的的泄露或篡改。云端服务被托管在公共云、私有云和数据中心中的至少一个。优选地,对存储在云平台服务上的内容进行监控的过程具体包括:首先检测正在使用的平台SaaS服务应用接口。通过实时检查服务调用事务,发现与数据所有者的服务接口对应的SaaS服务。然后,通过描述执行活动时的事务的事件日志项,确定通过服务应用接口执行的活动是否是基于内容的活动。可选地,所述抽取引擎基于服务应用接口来解析数据流,并识别包括内容操作的活动。如果确定被执行的活动不是基于内容的,则采用基于活动的策略。基于活动的策略包括但不限于,防止在数据所有者之外共享已经上传的文档,或执行应用签名的生成过程,该应用签名抽取云端服务的域名和地址,如果域名或地址在黑名单中,则根据基于活动的策略选择性地旁路该地址。在上述步骤之后,采用内容检验规则来发现内容中与安全性相关的片段。优选地,分类引擎用于确定抽取的内容是否与在适用的内容检验规则中定义的参数相匹配。内容检验规则用于在与安全性相关的内容相关联的元数据中检索片段。更优选地,基于多个内容检验规则来定义内容检查简档,并将其包括在云端服务的策略中。本文档来自技高网...
【技术保护点】
1.基于大数据的安全云平台系统,所述云平台系统包括安全云平台引擎、管理终端、SaaS服务,其特征在于,所述安全云平台引擎包括:/n监视单元,用于检测正在使用的平台SaaS服务的应用接口以及通过所述服务应用接口执行的活动;基于服务应用接口解析数据流并识别在云端服务中共享的内容,从而确定通过所述服务应用接口执行的活动;使用内容检验规则检索内容中与安全性相关的片段;并且响应于在所解析的数据流中发现与安全性相关的片段,触发安全操作。/n
【技术特征摘要】
1.基于大数据的安全云平台系统,所述云平台系统包括安全云平台引擎、管理终端、SaaS服务,其特征在于,所述安全云平台引擎包括:
监视单元,用于检测正在使用的平台SaaS服务的应用接口以及通过所述服务应用接口执行的活动;基于服务应用接口解析数据流并识别在云端服务中共享的内容,从而确定通过所述服务应用接口执行的活动;使用内容检验规则检索内容中与安全性相关的片段;并且响应于在所解析的数据流中发现与安全性相关的片段,触发安全操作。
2.根据权利要求1所述的基于大数据的安全云平台系统,其特征在于:
所述安全操作包括将相关内容进行隔离。
3.根据权利要求2所述的基于大数据的安全云平台系统,SaaS服务包括隔离存储区,其特征在于:
所述隔离操作进一步包括,在云端服务创建隔离存储区之后,将安全性相关的内容条件地存储在隔离存储区中,等待管理员用户的授权或拒绝;所述有条件地存储在隔离存储区中包括生成与目标内容相关联的镜像文件;所述隔离存储区是在不同于共享内容的第一服务的第二服务中创建的。
4.根据权利要求1所述的基于大数据的安全云平台系统,其特征在于:所述安全操作包括针对特定文档进行加密。
5.根据权利要求4所述的基于大数据的安全云平台系统,其特征在于,所...
【专利技术属性】
技术研发人员:不公告发明人,
申请(专利权)人:广州知弘科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。