一种防止数据丢失的数据安全管理平台制造技术

本发明专利技术涉及数据安全管理技术领域，具体为一种防止数据丢失的数据安全管理平台，包括数据安全防控和检测、数据安全识别能力和数据安全防控能力和数据安全检测能力，所述数据安全防控和检测包括溯源图技术、攻击检测绕过技术、木马通信识别技术、攻击检测技术、数据分类分级技术、数据流转追踪技术、泄漏溯源技术。本发明专利技术针对性开展数据安全运营能力提升，定期完成数据梳理工作，制定数据安全策略，构建敏感数据地图和数据风险态势等至少两个层次的可视化分析能力，进而辅助日常数据安全运营工作，加强数据泄露的快速感知、及时响应、协同处置、全程溯源运营能力，提升数据泄露事件的应急响应能力。急响应能力。急响应能力。

【技术实现步骤摘要】
一种防止数据丢失的数据安全管理平台


[0001]本专利技术涉及数据安全管理
，具体为一种防止数据丢失的数据安全管理平台。

技术介绍

[0002]目前常见的数据安全管理平台，基本属于根据传统资产CMDB基础上发展来的平台或是利用传统的运维管理平台进行改造，缺乏整体式针对性的数据安全管理平台。
[0003]传统的数据安全平台存在以下问题：
[0004]1、数据资产不清：当前对数据资产家底缺乏有效的梳理，如数据库中敏感数据的内容、数据类型、数据的位置等，由于数据业务系统众多，人工梳理无法满足当前管理的需求，缺乏自动化梳理手段，对数据进行有效的梳理。
[0005]2、安全防护能力不足：数据安全事件20％来自于外部，而80％的来自于内部。各种外部攻击的防护非常受重视，但内部人员造成的数据泄露往往更加隐蔽、更难发现和管控，针对内部人员的安全管控是更加不足，这对数据安全的防护造成了新的挑战。
[0006]3、安全策略管理缺失：虽然很多单位都有安全管理制度，但安全策略往往过于抽象，从安全管理制度到具体的数据安全产品策略，这之间有巨大的真空，虽然部署了多种数据安全产品，但各种产品各自为政，无法获知整体安全风险，安全管理制度也无法真正落地。
[0007]4、缺乏有效溯源能力：在数据共享或者传输过程中发生的泄露，目前缺乏有效的数据标识能力，一旦发生数据泄露，无法有效进行溯源，定位相关责任人，也无法对数据泄露形成有效的威慑。
[0008]5、数据安全风险未知：有审计无分析，针对运维操作、应用操作、接口访问行为只是记录，甚至还未记录，同时缺乏有效的数据安全风险分析识别能力，无法对用户历史行为变化和同类型用户的行为进行有效分析，数据风险不能有效防范。
[0009]6、传统的威胁检测手段由于使用特征库匹配，所以检测维度比较单一，导致经常会出现大量误报的情况，每天数以千条甚至上万条告警极大的增加了数据安全管理人员的工作负担，数据安全管理和运营人员每天疲于处置冗余和误报告警，根本无法及时关注真正有价值的告警信息。
[0010]因此亟需一种防止数据丢失的数据安全管理平台来解决上述问题。

技术实现思路

[0011]本专利技术的目的在于提供一种防止数据丢失的数据安全管理平台，以解决上述
技术介绍
中提出现有的数据安全平台数据资产不清、安全防护能力不足、安全策略管理缺失、缺乏有效溯源能力、数据安全风险未知、数据安全风险未知检测维度比较单一，导致经常会出现大量误报的情况的问题。
[0012]为实现上述目的，本专利技术提供如下技术方案：一种防止数据丢失的数据安全管理
平台，包括数据安全防控和检测、数据安全识别能力和数据安全防控能力和数据安全检测能力，数据安全遵循安全规划、安全建设、安全运营的安全三同步原则，所述数据安全防控和检测包括溯源图技术、攻击检测绕过技术、木马通信识别技术、攻击检测技术、数据分类分级技术、数据流转追踪技术、泄漏溯源技术；
[0013]溯源图技术是基于标签的溯源图技术，通过内核级溯源图采集工具采集溯源信息，通过解析审计日志和应用日志获取审计级和应用级溯源信息，使用标签对多种溯源图进行统一化存储与版本管理，精准识别、还原攻击的全过程；
[0014]攻击检测绕过技术是基于机器学习的攻击检测绕过技术，采用基于3
‑
gram的算法，自动检测http流量中的恶意攻击，读取数据中的所有文件内的攻击语句，通过插值的方法来统计每个三元组出现的频率，记录每种攻击类型中出现的三元组以及相应的频率信息作为模型；
[0015]木马通信识别技术是基于深度学习的木马通信识别技术，采用LSTM(Longshort
‑
termmemory长短期记忆网络)来学习字符序列(域名的模式，LSTM是一种能够拥有记忆模式的神经网络模型，利用超过千万条的记录DGA(DomainGenerationAlgorithm域名生成算法)域名和正常域名通过LSTM神经网络来训练出能够比较准确判断DGA域名的模型；
[0016]攻击检测技术是基于语义分析的攻击检测技术，通过语义分析检测技术，将待分析字符串进行模板语句拼接，然后进行词法语法分析，成功解析并建立语法树(AST)的认为是一个SQL语句，对语法树(AST)进行遍历，根据攻击类SQL语句的常用函数进行攻击特征提取；
[0017]数据分类分级技术是基于聚类算法的数据分类分级技术，利用深层神经网络结构对原始数据进行特征学习，基于K
‑
Means聚类算法在低维空间进行聚类，实施持续的迭代训练和学习，使得机器能够自动发现高价值或敏感数据，实现数据分类分级的自动化、智能化；
[0018]数据流转追踪技术是基于加密标签的数据流转追踪技术，采用强加密算法加密传输的数据字段生成数据标签，每生成一个数据标签对应采用一个独有的密钥，生成数据标签后附着在传输的数据块上，结合数据标签可实时识别出合法授权的数据共享数据流；
[0019]泄漏溯源技术是基于数据元组的泄露溯源技术，通过利用数据库水印技术中的伪行算法，使用数据字典来生成字符型属性，利用伪随机生成器生成数值型属性，实现数据元组中各个属性的生成，并利用一定的嵌入算法选择元组嵌入位置，在数据泄露以后，通过水印提取算法进行水印的提取，并将处理后的数据与泄露数据进行比对从而确定出泄密者。
[0020]优选的，所述数据安全识别能力包括数据安全资产梳理和数据分类分级两个部分，所述数据安全识别能力构建贯穿数据全生命周期的安全识别能力，从采集、传输、存储、共享、使用、销毁各环节，实现数据资产自动识别的能力，可对结构化数据、非结构化数据进行识别，利用敏感数据自动识别机制识别出数据中的敏感数据，依据数据分类分级方法将数据标识为不同的类别级别，为后续的数据使用、共享阶段提供防护依据，降低数据泄露风险，同时可对数据库服务的分布以及数据库中的数据资产进行发现，并对数据的分布情况进行分析和展示，有效识别现有数据管理措施，以及安全管控措施的落地，明确并完善数据安全管理组织和制度体系，保障各层级数据安全责任到人，管控措施落实到位，同时所述数据安全资产梳理通过自动扫描方式，对所有数据进行梳理，建立数据资产清单，依据数据分
类分级方法，判定数据的敏感类别和级别，并将数据的类别级别等属性信息纳入数据资产清单，所述数据分类分级通过多维数据特征准确描述并识别基础数据类型，实施对归集数据的有效管理，并能按类别正确开发利用数据资源，从而实现政府数据价值的最大挖掘利用，数据分级目的在于确定各类型数据资源的敏感程度，从而为不同类型数据的开放和共享策略的制定提供支撑，不限于在主题、行业和服务维度对数据资源进行分类。
[0021]优选的，所述数据分类分级包括数据资源管理、数据资产发现和敏感数据识别、数据资产目录和数据分类分级，所述数据资源管理提高圈定数据资源的使用目的、方式和范围，包括部门组织架构关系，以便针对数据资产开展责任认定，明确数据资产归属，对接入数据源进行鉴别，防止本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防止数据丢失的数据安全管理平台，其特征在于：包括数据安全防控和检测、数据安全识别能力和数据安全防控能力和数据安全检测能力，数据安全遵循安全规划、安全建设、安全运营的安全三同步原则，所述数据安全防控和检测包括溯源图技术、攻击检测绕过技术、木马通信识别技术、攻击检测技术、数据分类分级技术、数据流转追踪技术、泄漏溯源技术；溯源图技术是基于标签的溯源图技术，通过内核级溯源图采集工具采集溯源信息，通过解析审计日志和应用日志获取审计级和应用级溯源信息，使用标签对多种溯源图进行统一化存储与版本管理，精准识别、还原攻击的全过程；攻击检测绕过技术是基于机器学习的攻击检测绕过技术，采用基于3
‑
gram的算法，自动检测http流量中的恶意攻击，读取数据中的所有文件内的攻击语句，通过插值的方法来统计每个三元组出现的频率，记录每种攻击类型中出现的三元组以及相应的频率信息作为模型；木马通信识别技术是基于深度学习的木马通信识别技术，采用LSTM(Longshort
‑
termmemory长短期记忆网络)来学习字符序列(域名的模式，LSTM是一种能够拥有记忆模式的神经网络模型，利用超过千万条的记录DGA(DomainGenerationAlgorithm域名生成算法)域名和正常域名通过LSTM神经网络来训练出能够比较准确判断DGA域名的模型；攻击检测技术是基于语义分析的攻击检测技术，通过语义分析检测技术，将待分析字符串进行模板语句拼接，然后进行词法语法分析，成功解析并建立语法树(AST)的认为是一个SQL语句，对语法树(AST)进行遍历，根据攻击类SQL语句的常用函数进行攻击特征提取；数据分类分级技术是基于聚类算法的数据分类分级技术，利用深层神经网络结构对原始数据进行特征学习，基于K
‑
Means聚类算法在低维空间进行聚类，实施持续的迭代训练和学习，使得机器能够自动发现高价值或敏感数据，实现数据分类分级的自动化、智能化；数据流转追踪技术是基于加密标签的数据流转追踪技术，采用强加密算法加密传输的数据字段生成数据标签，每生成一个数据标签对应采用一个独有的密钥，生成数据标签后附着在传输的数据块上，结合数据标签可实时识别出合法授权的数据共享数据流；泄漏溯源技术是基于数据元组的泄露溯源技术，通过利用数据库水印技术中的伪行算法，使用数据字典来生成字符型属性，利用伪随机生成器生成数值型属性，实现数据元组中各个属性的生成，并利用一定的嵌入算法选择元组嵌入位置，在数据泄露以后，通过水印提取算法进行水印的提取，并将处理后的数据与泄露数据进行比对从而确定出泄密者。2.根据权利要求1所述的一种防止数据丢失的数据安全管理平台，其特征在于：所述数据安全识别能力包括数据安全资产梳理和数据分类分级两个部分，所述数据安全识别能力构建贯穿数据全生命周期的安全识别能力，从采集、传输、存储、共享、使用、销毁各环节，实现数据资产自动识别的能力，可对结构化数据、非结构化数据进行识别，利用敏感数据自动识别机制识别出数据中的敏感数据，依据数据分类分级方法将数据标识为不同的类别级别，为后续的数据使用、共享阶段提供防护依据，降低数据泄露风险，同时可对数据库服务的分布以及数据库中的数据资产进行发现，并对数据的分布情况进行分析和展示，有效识别现有数据管理措施，以及安全管控措施的落地，明确并完善数据安全管理组织和制度体系，保障各层级数据安全责任到人，管控措施落实到位，同时所述数据安全资产梳理通过自动扫描方式，对所有数据进行梳理，建立数据资产清单，依据数据分类分级方法，判定数据
的敏感类别和级别，并将数据的类别级别等属性信息纳入数据资产清单，所述数据分类分级通过多维数据特征准确描述并识别基础数据类型，实施对归集数据的有效管理，并能按类别正确开发利用数据资源，从而实现政府数据价值的最大挖掘利用，数据分级目的在于确定各类型数据资源的敏感程度，从而为不同类型数据的开放和共享策略的制定提供支撑，不限于在主题、行业和服务维度对数据资源进行分类。3.根据权利要求2所述的一种防止数据丢失的数据安全管理平台，其特征在于：所述数据分类分级包括数据资源管理、数据资产发现和敏感数据识别、数据资产目录和数据分类分级，所述数据资源管理提高圈定数据资源的使用目的、方式和范围，包括部门组织架构关系，以便针对数据资产开展责任认定，明确数据资产归属，对接入数据源进行鉴别，防止数据源伪冒，定数据导入、导出安全操作流程及规范，对不同类别数据制定不同的安全管理策略和保障措施，对数据清洗、转换和加载过程中，明确操作方法、手段和流程，避免数据遗漏和丢失，开展安全审计，对超规模、超范围使用数据等异常行为进行监控，所述所述数据资产发现和敏感数据识别通过数据安全自适应风险与信任评估的运营体系要求首先具备发现数据能力，既包括发现静态存储数据，也包括动态流转数据，梳理清楚数据资产之后，按照分类分级策略和标准为不同的数据分类并打标签，同时针对不同敏感级别或重要程度的数据、根据动态的环境变化，实现数据操作配置的动态变更，并针对流动数据和存储数据的情况，做出风险评估，对于无法做或不适合做标记的数据保护单元，需要对其分类分级或敏感特征制作识别规则模型，对平台内数据库服务的分布以及数据库中的敏感数据资产进行发现，并对敏感数据的分布情况进行分析和展示，所述数据资产目录通过依靠数据资产发现能力，对大数据平台内可用于分析和应用的数据进行提炼，结合业务场景和数据资源关联关系，建立数据资产清单目录，所述所述数据分类分级通过平台内各部门和行业数据，依据各相关部门和行业数据安全规范，按部门和行业分别制定数据分级标准，进行数据分级，对不同部门和行业之间因相关数据安全规范差异产生的数据分级标准差异，应保留差异，分别进行数据分级，并对不同部门和行业来源的数据在大数据平台执行与来源部门和行业的数据分级保护标准相应的管控措施，然后与各单位、部门、业务口或场景的具体管控措施进行差异化关联，并落地具体管控措施，针对应用系统中各类重要数据、敏感信息，数据分类分级和敏感特征的细化制作与管控措施关联，由点到面、由粗到细的原则逐步进行，优先最重要、高级别的数据，并按业务场景分别进行。4.根据权利要求1所述的一种防止数据丢失的数据安全管理平台，其特征在于：所述数据安全防控能力包括数据特权管控、数据流转管控、数据加密控制、数据脱敏管控和数据泄露管控，所述数据安全防护能力从基础安全、架构安全、数据安全、应用安全入手，包括覆盖数据全周期的安全防护能力，提供其原生的安全组件进行防护，其设计的核心目标是为了在进行防护的同时不能影响到平台整体运行性能，通过对大数据共享交换平台的整体业务流程进行详细分析，在数据采集、数据传输、数据存储、数据使用、数据共享阶段会涉及到诸多安全防护点，同时所述数据安全防控能力也包括基础安全、架构安全、数据安全和应用安全四个方面，所述基础安全是解决数据平台外联单位前置系统涉及技术层面解安全接入认证能力，涉及管理层面统一权限管理能力，所述架构安全是解决传输阶段链路加密、数据加密能力，数据存储阶段数据灾备及可用性能力，所述数据安全是解决采集阶段数据治理控制、分类分级管理、敏感数据保护能力，数据存储阶段敏感数据加密、数据备份能力，数据使
用阶段访问权限管理、数据再利用能力，数据共享阶段数据共享交换、策略管控能力，所述应用安全是解决数据采集阶段安全控制，数据传输阶段数据接口安全、传输加密能力，数据使用阶段接口访问、数据调用、权限管控能力。5.根据权利要求4所述的一种防止数据丢失的数据安全管理平台，其特征在于：所述数据特权管控包括特权场景管控、特权账号统一发现、特权账号统一纳管、特权账号访问控制、特权账号自动改密和特权会话管理，其中所述特权场景管控又包括特权账号管控、特权行为管控、特权账号审计分析，所述特权场景管控通过明确特权账号的使用场景和使用规则，并配套建立审批授权机制，能够详细记录特权账号的访问过程、操作记录和特权行为，配备事后审计机制，所述特权账号管控通过建立特权保护机制，确保用户对数据合理的授权访问，建立特权管控平台，统一特权访问入口，面向特权账号发现、纳管、授权、改密、审计与分析，所述特权行为管控通过建立对特权异常行为有效阻断能力，识别与拦截高危操作、管控威胁命令及资源访问控制，建立对敏感数据有效保护能力，数据和传输加密、权限管理、静/动态脱敏、数据流动限制，建立数据交换及共享边界控制能力，终端、网络、应用级的数据防泄密，数据隔离及共享交换层面的数据防泄露，所述特权账号审计分析通过建立数据访问和违规行为审计能力，开展特权操作分析与审计、敏感数据访问与内容审计、应用业务安全审计、数据库访问及运维审计，所述特权账号统一发现通过构建全类型资产的特权账号统一发现能力，采集和发现应用开发、测试、运维、应用调用和临时场景下多用途、多途径的特权账号，覆盖大数据平台内的全量资产类型，如IOT设备、网络设备、操作系统、大数据平台、大数据组件、数据库、中间件、安全设备、Devops开发工具等，所述特权账号统一纳...

【专利技术属性】
技术研发人员：朱其忠，朱春龙，穆晨，刘维兰，刘兴旺，
申请(专利权)人：贵州商学院，
类型：发明
国别省市：