本发明专利技术涉及一种敏感信息安全保护方法及系统,包括以下步骤:当接收到用户的请求时,解析所述请求,确定与用户、请求相对应的目标脱敏规则;将请求转发至业务系统;获取业务系统返回的数据,按照所述目标脱敏规则对业务系统返回的数据进行脱敏处理,得到脱敏数据;将脱敏数据返回用户。与现有技术相比,本发明专利技术提供一套完整的敏感信息保护方案,采用非侵入设计方案,业务系统无需做任何改造即可实现信息脱敏,通过代理服务方式,业务系统的敏感信息经过代理服务节点后进行脱敏,脱敏后的信息再回传至用户终端,此接入方式相较于传统的系统集成方式可减少对既有业务系统的大规模接入改造,节省额外的开发、测试成本。节省额外的开发、测试成本。节省额外的开发、测试成本。
【技术实现步骤摘要】
一种敏感信息安全保护方法及系统
[0001]本专利技术涉及信息安全
,尤其是涉及一种敏感信息安全保护方法及系统。
技术介绍
[0002]数据脱敏是对敏感数据(例如:手机号码、姓名、身份证号码、通信地址)通过一定的脱敏规则进行数据转换,实现隐私数据的可靠保护。
[0003]对于业务系统进行敏感信息安全保护改造,主要采用动态脱敏方案。目前主流的动态脱敏技术是数据库层脱敏,通过在业务系统后端服务与数据库之间设置代理功能,拦截业务系统所提交的SQL语句,并根据脱敏规则对SQL进行必要的修改,提交至数据库进行执行,执行结果即脱敏后的数据。
[0004]数据库层脱敏技术局限性在于,对于业务系统架构存在一定的侵入性,敏感信息被SQL语句修改后,无法作为系统间参数进行传递,各业务系统为保持原有业务功能正常使用需要做大量改造。
技术实现思路
[0005]本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种敏感信息安全保护方法及系统。
[0006]本专利技术的目的可以通过以下技术方案来实现:
[0007]一种敏感信息安全保护方法,包括以下步骤:
[0008]当接收到用户的请求时,解析所述请求,确定与用户、请求相对应的目标脱敏规则;
[0009]将请求转发至业务系统;
[0010]获取业务系统返回的数据,按照所述目标脱敏规则对业务系统返回的数据进行脱敏处理,得到脱敏数据;
[0011]将脱敏数据返回用户。
[0012]进一步地,确定与用户、请求相对应的目标脱敏规则具体为:
[0013]基于所述请求确定用户信息,获取预配置的用户权限信息;
[0014]确定所述请求的类型,获取预配置的请求脱敏信息;
[0015]基于所述用户权限信息和请求脱敏信息确定目标脱敏规则。
[0016]进一步地,基于所述请求确定用户信息具体为:
[0017]预存储用户账户与IP的匹配关系,获取所述请求的IP信息,根据所述IP信息查询用户账户,获取用户账户下预配置的用户权限信息。
[0018]进一步地,基于所述请求确定用户信息具体为:
[0019]通过业务系统获取用户账户与session会话的对应关系,获取所述请求的session会话信息,根据所述session会话信息查询用户账户,获取用户账户下预配置的用户权限信息。
[0020]进一步地,若业务系统返回的数据需要实时脱敏,则使用第一脱敏模型对业务系统返回的数据进行脱敏处理,否则,使用第二脱敏模型对业务系统返回的数据进行脱敏处理。
[0021]进一步地,所述第一脱敏模型采用ELECTRA模型,所述第二脱敏模型采用BERT模型。
[0022]进一步地,所述第一脱敏模型和第二脱敏模型定期更新。
[0023]一种敏感信息安全保护系统,包括多个代理服务节点,每个代理服务节点对应一个业务系统,所述代理服务节点用于执行上述的敏感信息安全保护方法,包括:
[0024]当接收到用户的请求时,解析所述请求,确定与用户、请求相对应的目标脱敏规则;
[0025]将请求转发至业务系统;
[0026]获取业务系统返回的数据,按照所述目标脱敏规则对业务系统返回的数据进行脱敏处理,得到脱敏数据;
[0027]将脱敏数据返回用户。
[0028]进一步地,敏感信息安全保护系统还包括日志模块,所述日志模块用于记载敏感数据操作行为。
[0029]进一步地,敏感信息安全保护系统还包括安全审计模块,所述安全审计模块搭载有异常检测模型,用于检测异常敏感数据操作行为。
[0030]与现有技术相比,本专利技术具有以下有益效果:
[0031](1)通过代理服务方式,业务系统的敏感信息经过代理服务节点后进行脱敏,脱敏后的信息再回传至用户终端,此接入方式相较于传统的系统集成方式可减少对既有业务系统的大规模接入改造,节省额外的开发、测试成本。
[0032](2)脱敏服务内置实时脱敏模型和离线脱敏模型。实时脱敏模型准确性稍低,时效性高,离线脱敏模型准确率可达95%+,通过两个模型互补,实现脱敏时效性、准确率的提升,同时解决非结构化文本中敏感信息难以识别和脱敏的痛点。
[0033](3)日志模块用于记载敏感数据操作行为,提供敏感数据使用溯源功能,在发生安全事件时可快速定位敏感数据关联系统和使用人,快速控制安全事件的影响范围,减小风险损失。安全审计模块搭载有异常检测模型,用于检测异常敏感数据操作行为,通过员工日常行为识别偏离基线的敏感数据操作行为并告警,避免安全风险。
附图说明
[0034]图1为敏感信息安全保护方法的流程图;
[0035]图2为敏感信息安全保护系统的结构图;
[0036]图3为业务系统接入示例图。
具体实施方式
[0037]下面结合附图和具体实施例对本专利技术进行详细说明。本实施例以本专利技术技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例,本专利技术的保护范围不限于下述的实施例。基
于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。
[0038]此处所称的“一个实施例”或“实施例”是指可包含于本专利技术至少一个实现方式中的特定特征、结构或特性。在本专利技术的描述中,需要理解的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0039]本说明书提供了如实施例或流程示意图的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)或者调整没有时序限制的步骤的执行顺序。
[0040]实施例1:
[0041]一种敏感信息安全保护方法,如图1所示,包括以下步骤:
[0042]S1、当接收到用户的请求时,解析请求,确定与用户、请求相对应的目标脱敏规则;
[0043]S2、将请求转发至业务系统;
[0044]S3、获取业务系统返回的数据,按照目标脱敏规则对业务系统返回的数据进行脱敏处理,得到脱敏数据;
[0045]S4、将脱敏数据返回用户。
[0046]步骤S1中,确定与用户、请求相对应的目标脱敏规则具体为:基于请求确定用户信息,获取预配置的用户权限信息;确定本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种敏感信息安全保护方法,其特征在于,包括以下步骤:当接收到用户的请求时,解析所述请求,确定与用户、请求相对应的目标脱敏规则;将请求转发至业务系统;获取业务系统返回的数据,按照所述目标脱敏规则对业务系统返回的数据进行脱敏处理,得到脱敏数据;将脱敏数据返回用户。2.根据权利要求1所述的一种敏感信息安全保护方法,其特征在于,确定与用户、请求相对应的目标脱敏规则具体为:基于所述请求确定用户信息,获取预配置的用户权限信息;确定所述请求的类型,获取预配置的请求脱敏信息;基于所述用户权限信息和请求脱敏信息确定目标脱敏规则。3.根据权利要求2所述的一种敏感信息安全保护方法,其特征在于,基于所述请求确定用户信息具体为:预存储用户账户与IP的匹配关系,获取所述请求的IP信息,根据所述IP信息查询用户账户,获取用户账户下预配置的用户权限信息。4.根据权利要求2所述的一种敏感信息安全保护方法,其特征在于,基于所述请求确定用户信息具体为:通过业务系统获取用户账户与session会话的对应关系,获取所述请求的session会话信息,根据所述session会话信息查询用户账户,获取用户账户下预配置的用户权限信息。5.根据权利要求1所述的一种敏感信息安全保护方法,其特征在于,若业...
【专利技术属性】
技术研发人员:铁锦程,马岩,王椭,魏超伟,蔡俊霖,袁媛,陈俊,周霄龙,顾半东,
申请(专利权)人:上海浦东发展银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。