数据访问监视和控制制造技术

提供了用于监视和控制数据访问的机制。响应于拦截来自服务器的对来自客户端设备的针对信息的请求的响应，安全系统代理使用预定义的敏感数据模式规则集合来应用模式匹配，以标识在响应中所包括的至少一个敏感数据访问。响应于标识与预定义的敏感数据模式规则集合中的一个或多个敏感数据访问匹配的至少一个敏感数据访问，安全系统代理通过将至少一个敏感数据访问标记为敏感来修改来自客户端的请求，从而形成所修改的请求。安全系统代理将所修改的请求发送到安全系统，从而使得安全系统以处理所修改的请求，而不访问与所标记的至少一个敏感数据访问相关联的敏感数据。敏感数据访问相关联的敏感数据。敏感数据访问相关联的敏感数据。

【技术实现步骤摘要】
数据访问监视和控制

技术介绍

[0001]本申请一般涉及改进的数据处理装置和方法，并且更具体地涉及用于监视和控制数据访问的机制。
[0002]安全分析是使用数据收集、聚合和分析工具用于安全监视和威胁检测的过程。取决于所安装的工具的类型，安全分析解决方案可以将大并且多样的数据集合合并到它们的检测算法中。安全分析数据可以被以数个方式收集，包括从：
[0003]·
网络流量
[0004]·
端点和用户行为数据
[0005]·
云资源
[0006]·
商业应用
[0007]·
非IT上下文数据
[0008]·
身份和访问管理数据
[0009]·
外部威胁情报源
[0010]安全分析中的最近技术进步包括基于经验和学习来微调检测模型的自适应学习系统以及异常检测逻辑。这些技术积累并且分析实时数据，包括：
[0011]·
资产元数据
[0012]·
地理定位
[0013]·
威胁情报
[0014]·...

【技术保护点】

【技术特征摘要】
1.一种在数据处理系统中用于监视和控制数据访问的方法，所述方法包括：响应于拦截来自服务器的对来自客户端设备的针对信息的请求的响应，由被安装在与安全系统分离的服务器中的安全系统代理使用预定义的敏感数据模式规则集合应用模式匹配，以标识所述响应中所包括的至少一个敏感数据访问；由所述安全系统代理确定所述至少一个敏感数据访问是否与所述预定义的敏感数据模式规则集合中的一个或多个敏感数据模式规则匹配；响应于所述至少一个敏感数据访问与所述预定义的敏感数据模式规则集合中的一个或多个敏感数据模式规则匹配，由所述安全系统代理通过将所述至少一个敏感数据访问标记为敏感以修改来自所述客户端的所述请求，从而形成所修改的请求；以及由所述安全系统代理将具有所标记的所述至少一个敏感数据访问的所述所修改的请求发送到所述安全系统，从而使得所述安全系统处理所述所修改的请求，而由于所述所修改的请求中的所标记的所述至少一个敏感数据访问而不访问与所标记的所述至少一个敏感数据访问相关联的所述敏感数据。2.根据权利要求1所述的方法，其中所述预定义的敏感数据模式规则集合被从所述安全系统接收，并且其中初始地，由所述客户端设备的用户标识所述预定义的敏感数据模式规则集合。3.根据权利要求1所述的方法，其中响应于所述安全系统从所述安全系统代理接收到具有所标记的所述至少一个敏感数据访问的所述所修改的请求，所述方法进一步包括：由所述安全系统从所述所修改的请求中提取与每个访问相关联的所有对象；由所述安全系统过滤掉被标识为假肯定的至少一个对象；以及由所述安全系统将任何剩余对象添加到敏感对象的列表。4.根据权利要求3所述的方法，其中过滤掉被标识为假肯定的所述至少一个对象包括：由所述安全系统确定所述至少一个对象是否因为所述至少一个对象被接合到访问敏感数据的另一对象而被标识为敏感对象；以及响应于所述至少一个对象由于所述至少一个对象被接合到访问敏感数据的另一对象而被标识为敏感对象，由所述安全系统将至少一个对象作为假肯定而过滤掉。5.根据权利要求3所述的方法，进一步包括：由所述安全系统使用所述敏感对象的列表作为用于实现安全策略中的一个或多个安全策略的标准。6.根据权利要求1所述的方法，其中所述至少一个敏感数据访问是对以下中的一个或多个的访问：信用卡号、社会保险号、密码、患者记录或者地理位置坐标。7.根据权利要求1所述的方法，进一步包括：响应于将具有所标记的所述至少一个敏感数据访问的所述所修改的请求发送到所述安全系统，由所述安全系统代理允许包括与每次访问相关联的所检索的数据的所述响应被返回到所述客户端。8.一种包括计算机可读存储介质的计算机程序产品，所述计算机可读存储介质具有存储在其中的用于监视和控制数据访问的计算机可读程序，其中所述计算机可读程序当在被安装在与安全系统分离的服务器中的设备安全系统代理上被执行时，使得所述计算设备以：
响应于拦截来自服务器的对来自客户端设备的针对信息的请求的响应，使用预定义的敏感数据模式规则集合应用模式匹配以标识所述响应中所包括的至少一个敏感数据访问；确定所述至少一个敏感数据访问是否与所述预定义的敏感数据模式规则集合中的一个或多个敏感数据模式规则匹配；响应于所述至少一个敏感数据访问与所述预定义的敏感数据模式规则集合中的一个或多个敏感数据模式规则匹配，通过将所述至少一个敏感数据访问标记为敏感的来修改来自所述客户端的所述请求，从而形成所修改的请求；以及将具有所标记的所述至少一个敏感数据访问的所述所修改的请求发送到所述安全系统，从而使得所述安全系统处理所述所修改的请求，而由于所述所修改的请求中的所标记的所述至少一个敏感数据访问而不访问与所标记的所述至少一个敏感数据访问相关联的所述敏感数据。9.根据权利要求8所述的计算机程序产品，其中所述预定义的敏感数据模式规则集合被从所述安全系统接收，并且其中初始地，由所述客户端设备的用户标识所述预定义的敏感数据模式规则集合。10.根据权利要求8所述的计算机程序产品，其中响应于所述安全系...

【专利技术属性】
技术研发人员：T，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：