用户信息分级保护方法以及系统技术方案

本公开涉及用户信息分级保护方法以及系统，其中该方法包括：用户信息安全等级确定步骤，根据数据安全分级标准来确定待处理的用户数据的用户信息安全等级；零信任认证强度分级步骤，根据用户信息安全等级来自动选择和调整零信任认证机制强度等级；异常行为监测控制精度分级步骤，根据用户信息安全等级来选择统一安全接口的异常行为基线分析及异常行为监测判断的异常临界阈值的异常行为监测安全强度等级；以及加密算法强度分级步骤，针对不同用户信息安全等级的用户数据选择相应等级的加密算法及密钥的安全强度，以在需要进行数据的加解密时采用相应等级的加密算法及密钥。加解密时采用相应等级的加密算法及密钥。加解密时采用相应等级的加密算法及密钥。

【技术实现步骤摘要】
用户信息分级保护方法以及系统


[0001]本公开总体上涉及网络信息安全领域，更具体地涉及用户信息分级保护方法以及系统。

技术介绍

[0002]随着通信和网络技术的演进，当前众多企业和组织已预见到大数据的发展潜力，纷纷部署大数据分析与处理平台以处理大型数据集，各类大数据处理平台和架构层出不穷并不断演进。然而，在各类大数据平台帮助企业和用户快速分析及处理数据的同时，也带来了新的数据安全风险。例如具有各种需求的不同级别的用户可以访问大数据平台中的数据，极易导致数据泄露，如何保证大数据平台中所存储的敏感数据、尤其是涉及用户信息的数据的安全至关重要。
[0003]对此，为了更好地保障用户信息的安全，需要专用的用户信息保护监测系统，对包含大量用户信息的应用系统进行全面监控，通过采集被监测的业务系统实时流量并进行数据分析，识别出用户信息的使用行为，建立应用系统、账号、行为、接口等的清单和画像，在此基础上利用基本和专用的风险识别模型，识别出用户信息使用的风险，例如批量下载、共享使用、对外传输等关键环节存在的数据泄露风险，发现账号异常访问、违规接口调用等问题，使得能够通过加强用户信息的安全管控技术手段，实现用户信息保护工作的自动化、常态化、智能化。其中对于采集的实时流量数据，在经过ETL(Extract
‑
Transform
‑
Load，数据仓库技术)后，还需要进一步根据用户信息敏感程度分级保护和数据安全生命周期管理要求，对相关敏感信息数据进行必要的加解密和脱敏处理。
[0004]现有技术中已提出一种大数据平台数据透明加解密方案，能够在一定程度上解决用户信息的数据的安全保障问题。该方案能够保护海量数据存储安全，并且不会影响大数据平台的正常业务访问。具体而言，该方案通过利用数据加解密和密钥生命周期管理，能够在大数据平台中对用户和机器生成的许多不同类型数据进行加解密操作。然而，现有技术中的方案没有考虑到这样的用户信息保护大数据监控平台与加解密和脱敏服务管理系统接口存在信任和欺诈风险，所以既没有根据数据安全等级要求来设置相应等级的安全接口策略机制，也没有考虑到使用相应等级的加解密算法和脱敏服务管理策略以及“零信任，反欺诈”风险控制策略。
[0005]可见，当前在用户信息分级保护的大数据监控应用场景中，为了提升用户信息保护和系统整体的安全性，急需新的基于用户信息分级保护的大数据监控平台统一安全接口方法以及系统。

技术实现思路

[0006]针对当前大数据平台用户信息分级保护的问题，本公开的目的在于提供一种用户信息分级保护方法以及系统，在现有的面向大数据平台的加解密服务体系基础上，通过新增数据分类分级及密钥强度选择功能、零信任统一认证鉴权功能、统一接口的异常行为基
线分析及监测功能，能够对现有系统可能存在的信任和欺诈风险进行有效管控，提高了现有系统的整体安全性。
[0007]在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。
[0008]根据本公开的一个方面，提供一种用户信息分级保护方法，为基于用户信息分级保护的大数据监控平台的统一安全接口方法，该方法可以包括：用户信息安全等级确定步骤，在作为用户信息处理平台的大数据监控平台中，根据数据安全分级标准来确定待处理的用户数据的用户信息安全等级，在需要进行数据的加解密时，对选择的加解密密钥数据进行动态加密，然后向统一安全接口发送加密通信请求；零信任认证强度分级步骤，根据所确定的用户信息安全等级来自动选择和调整零信任认证机制强度等级，以在需要进行数据的加解密时实现加解密功能的零信任鉴权；异常行为监测控制精度分级步骤，根据所确定的用户信息安全等级来选择统一安全接口的异常行为基线分析及异常行为监测判断的异常临界阈值的异常行为监测安全强度等级；以及加密算法强度分级步骤，针对不同用户信息安全等级的用户数据选择相应等级的加密算法及密钥的安全强度，以在需要进行数据的加解密时采用相应等级的加密算法及密钥。
[0009]根据本公开的另一个方面，提供一种用户信息分级保护装置，该装置可以包括：存储器，其上存储有指令；以及处理器，被配置为执行存储在所述存储器上的指令，以执行根据本公开的上述方面所述的用户信息分级保护方法。
[0010]根据本公开的又一个方面，提供一种计算机可读存储介质，其包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行根据本公开的上述方面所述的用户信息分级保护方法。
[0011]根据本公开的再一个方面，提供一种计算机程序产品，其包括计算机程序/指令，其特征在于，该计算机程序/指令被处理器执行时实现根据本公开的上述方面所述的用户信息分级保护方法的步骤。
[0012]根据本公开的再一个方面，提供一种用户信息分级保护系统，为基于用户信息分级保护的大数据监控平台统一安全接口系统，该系统可以包括：用户信息处理平台，根据数据安全分级标准来确定待处理的用户数据的用户信息安全等级，在需要进行数据的加解密时，对选择的加解密密钥数据进行动态加密，然后向统一安全接口发送加密通信请求；零信任认证强度分级单元，根据所确定的用户信息安全等级来自动选择和调整零信任认证机制强度等级，以在需要进行数据的加解密时实现加解密功能的零信任鉴权；异常行为监测控制精度分级单元，根据所确定的用户信息安全等级来选择统一安全接口的异常行为基线分析及异常行为监测判断的异常临界阈值的异常行为监测安全强度等级；以及加密算法强度分级单元，针对不同用户信息安全等级的用户数据选择相应等级的加密算法及密钥的安全强度，以在需要进行数据的加解密时采用相应等级的加密算法及密钥。
[0013]根据本公开的用户信息分级保护方法以及系统，由于在现有的面向大数据平台的加解密服务体系基础上新增数据分类分级以及基于该数据分类分级的密钥强度选择功能、零信任统一认证鉴权功能、统一接口的异常行为基线分析及监测功能，能够对现有系统可
能存在的信任和欺诈风险进行有效管控，提高了现有系统的整体安全性。
附图说明
[0014]构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。
[0015]参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：
[0016]图1示出了根据本公开的实施例的用户信息分级保护方法100的示例性流程图；
[0017]图2示出了根据本公开的实施例的用户信息分级保护系统200的示例性结构图；
[0018]图3示出了根据本公开的实施例的户信息分级保护方法100在用户信息分级保护系统200的具体执行过程的示例性流程图300；
[0019]图4示出了可以实现根据本公开的实施例的计算设备40本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用户信息分级保护方法，为基于用户信息分级保护的大数据监控平台的统一安全接口方法，该方法的特征在于包括：用户信息安全等级确定步骤，在作为用户信息处理平台的大数据监控平台中，根据数据安全分级标准来确定待处理的用户数据的用户信息安全等级，在需要进行数据的加解密时，对选择的加解密密钥数据进行动态加密，然后向统一安全接口发送加密通信请求；零信任认证强度分级步骤，根据所确定的用户信息安全等级来自动选择和调整零信任认证机制强度等级，以在需要进行数据的加解密时实现加解密功能的零信任鉴权；异常行为监测控制精度分级步骤，根据所确定的用户信息安全等级来选择统一安全接口的异常行为基线分析及异常行为监测判断的异常临界阈值的异常行为监测安全强度等级；以及加密算法强度分级步骤，针对不同用户信息安全等级的用户数据选择相应等级的加密算法及密钥的安全强度，以在需要进行数据的加解密时采用相应等级的加密算法及密钥。2.根据权利要求1所述的用户信息分级保护方法，还包括：零信任认证鉴权处理步骤，在需要进行数据的加解密时，基于在所述零信任认证强度分级步骤中选择的认证机制强度等级，对接收的信息进行判别，使得判别为符合要求的信息继续进行后继数据加解密处理，并且提供通信加解密非对称密钥，对密钥数据进行加密，对于判别为不符合要求的信息则中断处理。3.根据权利要求1所述的用户信息分级保护方法，还包括：接口异常行为监测处理步骤，基于在所述异常行为监测控制精度分级步骤中选择的异常行为监测安全强度等级，对接口访问行为进行统计分析，形成异常行为基线，依据基于所述异常行为监测安全强度的异常临界阈值的风险事件判断规则，监测接口异常访问行为。4.根据权利要求3所述的用户信息分级保护方法，其中，在所述接口异常行为监测处理步骤中，形成异常行为基线的方法包括基于分类的算法、基于聚类的算法、基于异常值检测的算法，基于分类的算法包括支持向量机SVM，基于聚类的算法包括密度聚类算法DBSCAN，基于异常值检测的算法为孤立森林算法isolation tree。5.根据权利要求3所述的用户信息分级保护方法，其中，所述接口异常访问行为包括以下行为中的至少任意一项：高频登陆尝试、爬虫访问、非工作时间获取敏感数据、访问源IP地址异常、特权账号登陆、访问频次超出需要、大量敏感信息数据下载。6.根据权利要求1所述的用户信息分级保护方法，还包括：加解密服务处理步骤，基于在所述加密算法强度分级步骤中选择的...

【专利技术属性】
技术研发人员：蔡逆水，梁朝霞，吴浩，邓竹祥，戴逸婷，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：