涉及应用程序的数据安全的方法及装置制造方法及图纸

一种涉及应用程序的数据安全的方法，所述应用程序包括代码库并且与数据库关联，包括：对所述数据库中的敏感信息进行打标；基于经打标的敏感信息，对所述代码库进行扫描，以确定涉及经打标的敏感信息的应用信息并对其进行标记；基于经标记的应用信息，进行敏感信息泄漏途径的排查；使用安全测试来确定所述应用程序是否有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息；以及基于有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息，对所述应用程序进行检测以发现进一步的敏感信息泄漏途径。本公开的其他方面还涉及相应的装置。

【技术实现步骤摘要】
涉及应用程序的数据安全的方法及装置
本公开一般涉及数据安全，尤其涉及用户隐私数据泄漏途径的发现和监控。
技术介绍
随着互联网行业对大数据技术的重视和应用，各互联网公司内获得用户的数据也越来越多。然而，一些掌握了大量用户数据的互联网公司对数据安全的重视程度不足，并且对用户数据泄漏途径缺乏有效的发现和监控能力，导致数据泄露事件频出。数据泄露的方式形式很多，如：合作伙伴泄露、业务逻辑上的缺陷导致的泄露、应用代码中的安全漏洞导致被黑客攻击泄露，要防止泄露关键是需要找到这些用户信息的泄漏场景。很多公司缺乏对用户隐私信息泄漏的监控和发现能力，少部分尽管具备一定的监控及发现能力，但较为单一且不成体系。因此，本领域需要改善对用户隐私数据泄漏途径的发现和监控，以提高数据安全的整体水位。
技术实现思路
本公开的一方面涉及一种涉及应用程序的数据安全的方法，所述应用程序包括代码库并且与数据库关联，包括：对所述数据库中的敏感信息进行打标；基于经打标的敏感信息，对所述代码库进行扫描，以确定涉及经打标的敏感信息的应用信息并对其进行本文档来自技高网...

【技术保护点】
1.一种涉及应用程序的数据安全的方法，所述应用程序包括代码库并且与数据库关联，包括：/n对所述数据库中的敏感信息进行打标；/n基于经打标的敏感信息，对所述代码库进行扫描，以确定涉及经打标的敏感信息的应用信息并对其进行标记；/n基于经标记的应用信息，进行敏感信息泄漏途径的排查；/n使用安全测试来确定所述应用程序是否有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息；以及/n基于有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息，对所述应用程序进行检测以发现进一步的敏感信息泄漏途径。/n

【技术特征摘要】
1.一种涉及应用程序的数据安全的方法，所述应用程序包括代码库并且与数据库关联，包括：
对所述数据库中的敏感信息进行打标；
基于经打标的敏感信息，对所述代码库进行扫描，以确定涉及经打标的敏感信息的应用信息并对其进行标记；
基于经标记的应用信息，进行敏感信息泄漏途径的排查；
使用安全测试来确定所述应用程序是否有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息；以及
基于有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息，对所述应用程序进行检测以发现进一步的敏感信息泄漏途径。


2.如权利要求1所述的方法，还包括：
发布并运行所述应用程序；以及
执行以下至少一个操作以进一步发现并监控敏感信息泄漏途径：
监控所述数据库的日志，以确定是否有未标记的应用信息涉及所述经打标的敏感信息，并对所述未标记的应用信息进行补标和分析；以及
对所述应用程序进行流量检测，以监控所述应用程序的每个接口和页面对所述经打标的敏感信息的输出，并将与敏感信息的输出相关联的流量入库。


3.如权利要求2所述的方法，其中，对所述未标记的应用信息进行分析包括，确定是否因黑客攻击导致所述未标记的应用信息不当地访问或操纵所述经打标的敏感信息。


4.如权利要求2所述的方法，其中，对所述未标记的应用信息进行分析包括，确定是否因所述数据库中有敏感信息漏标导致所述应用未被标记。


5.如权利要求4所述的方法，其中，若所述数据库中有敏感信息漏标，则对所述代码库进行针对漏标的敏感信息的全量代码扫描以发现进一步的敏感信息漏标或敏感信息泄漏途径。


6.如权利要求2所述的方法，还包括：
对所述与敏感信息的输出相关联的流量进行黑盒检测以确定是否存在导致所述敏感信息泄露的风险。


7.如权利要求1所述的方法，其中，
对所述数据库中的敏感信息进行打标还包括，将经打标的所述敏感信息存储在经打标敏感信息列表中；以及对增量数据库表和/或经修改的数据库表的敏感信息进行打标。


8.如权利要求1所述的方法，其中，
对涉及经打标的敏感信息的应用信息进行标记包括，将所述应用信息存储在经标记应用信息列表中，并且
对未标记的涉及所述经打标的敏感信息的应用信息进行标记包括，将未标记的涉及所述经打标的敏感信息的应用信息添加到所述经标记应用信息列表中。


9.如权利要求1所述的方法，其中，所述敏感信息包括所述数据库的敏感表以及敏感字段。


10.如权利要求1所述的方法，其中，所述应用信息包括所述应用程序的页面以及接口。


11.如权利要求1所述的方法，还包括，对所述入库的与敏感信息的输出相关联的流量进行离线分析和数据泄露溯源。


12.如权利要求2所述的方法，其中，监控所述数据库的日志还包括：
确定反复或大量向所述数据库查询并返回所述经打标的敏感信息的接口或页面；以及
记录所述接口或页面的信息并告警。


13.如权利要求2所述的方法，其中，对所述应用程序进行流量检测还包括：
监控所述应用程序中的以下一种或多种情况或其任何组合：
a.单个请求返回多条用户隐私数据；
b.每个接口每天的用户隐私数据泄漏量超出阈值；
c.每个用户的每个IP对用户隐私数据的访问次数异常；以及
d.访问是否通过爬虫或其他自动化工具；并且
当监控到任何上述情况时，记录相关信息并进行告警。


14.一种涉及应用程序的数据安全的装置，所述应用程序包括代码库并且与数据库关联，所述装置包括：
用于对所述数据库中的敏感信息进行...

【专利技术属性】
技术研发人员：朱浩文，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33