本发明专利技术涉及一种数据跨境合规管控方法及装置,所述方法包括通过数据访问代理agent访问业务系统API接口的关键执行点,获取API接口的数据执行条数和数据类型,以及根据数据执行条数和数据类型获取其对应的元数据及元数据对应的安全属性级别;根据元数据及其相应的安全属性级别生成数据流转安全地图,以及根据数据执行条数和数据类型得到数据流转tracing日志,并根据数据流转tracing日志生成数据实时流转地图;对比数据流转安全地图和数据实时流转地图,判断API接口的传输数据是否合规。本发明专利技术能够在不修改原业务系统代码的情况,帮助企业做好数据出境评估和常态化精准监控。业做好数据出境评估和常态化精准监控。业做好数据出境评估和常态化精准监控。
【技术实现步骤摘要】
数据跨境合规管控方法及装置
[0001]本专利技术属于大数据
,具体涉及一种数据跨境合规管控方法及装置。
技术介绍
[0002]现有实现数据跨境合规评估的方法主要以人工方式为主,导致出现周期长、敏感数据识别不精准等问题。
[0004]相关技术中,现有的解决数据跨境合规的方案和产品,都需要大量的人工成本或系统设计开发成本,实施落地难、完成周期长、见效缓慢。如果对原业务系统进行改造开发,系统里会产生大量的数据合规安全控制逻辑,安全代码混合在原业务系统代码里,会出现巨大的安全风险。
[0005]因此,目前亟需一种能够精准识别敏感数据的数据跨境合规评估方法。
技术实现思路
[0006]有鉴于此,本专利技术的目的在于克服现有技术的不足,提供一种数据跨境合规管控方法及装置,以解决现有技术中数据跨境合规评估的方法敏感数据识别不精准的问题。
[0007]为实现以上目的,本专利技术采用如下技术方案:一种数据跨境合规管控方法,包括:
[0008]通过数据访问代理agent访问业务系统API接口的关键执行点,获取所述API接口的数据信息,以及根据所述数据信息获取其对应的元数据及所述元数据对应的安全属性级别;
[0009]根据所述元数据及其相应的安全属性级别生成数据流转安全地图,以及根据所述数据信息得到数据流转tracing日志,并根据所述数据流转tracing日志生成数据实时流转地图;
[0010]对比所述数据流转安全地图和数据实时流转地图,判断所述API接口的传输数据是否合规;其中,所述传输数据包括接入数据和输出数据。
[0011]进一步的,所述流转tracing日志判断所述API接口的传输数据存在的敏感数据以及敏感数据的数量。
[0012]进一步的,所述数据信息包括数据执行条数和数据类型;所述获取所述API接口的数据信息,包括:
[0013]获取API接口的关键执行点的API名称、API入参和出参、API接口查询的数据条数、API接口查询的数据库表和字段;
[0014]根据预配置的数据安全分级属性,确定所述数据库表的安全属性级别及字段的安全属性级别;
[0015]将所述API名称、API入参和出参、API接口查询的数据条数、数据库表的安全属性级别及字段的安全属性级别存储至tracing日志搜索引擎中,以确定API接口的数据执行条数和数据类型。
[0016]进一步的,根据所述元数据及其相应的安全属性级别生成流转安全地图,包括:
[0017]根据所述元数据及其相应的安全属性级别构建数据关系图;
[0018]结合业务数据逻辑流向维度和安全管控流向维度生成数据流转安全地图。
[0019]进一步的,对API接口的传输数据进行登记,当发现API接口的传输数据未登记时,进行预警。
[0020]进一步的,设置元数据及其相应的安全属性级别;其中,所述安全属性级别包括多个,不同元数据对应不同的安全属性级别。
[0021]进一步的,对传输数据进行通道加密。
[0022]本申请实施例提供一种数据跨境合规管控装置,包括:
[0023]获取模块,用于通过数据访问代理agent访问业务系统API接口的关键执行点,获取所述API接口的数据信息,以及根据所述数据信息获取其对应的元数据及所述元数据对应的安全属性级别;
[0024]生成模块,用于根据所述元数据及其相应的安全属性级别生成流转安全地图,以及根据所述数据信息得到数据流转tracing日志,并根据数据流转tracing日志生成实时流转地图;
[0025]评估模块,用于对比所述流转安全地图和实时流转地图,评估所述API接口的传输数据是否合规;其中,所述传输数据包括接入数据和输出数据。
[0026]进一步的,还包括:
[0027]判断模块,用于流转tracing日志判断所述API接口的传输数据存在的敏感数据以及敏感数据的数量。
[0028]本专利技术采用以上技术方案,能够达到的有益效果包括:
[0029]本专利技术提供一种数据跨境合规管控方法及装置,本申请通过数据访问代理agent访问业务系统API接口的关键执行点,无需对业务系统代码进行改变,根据获取的数据执行条数和数据类型找到其对应的元数据及对应的安全属性级别,从而根据元数据得到现有规范的数据流转安全地图,根据数据执行条数和数据类型生成实际的数据实时流转地图;然后通过对比数据流转安全地图和数据实施流转地图,通过对比找出存在的差异,如果存在差异则认为API接口传输数据存在异常,从而帮助企业做好数据出境评估和常态化精准监控。
附图说明
[0030]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0031]图1为本专利技术数据跨境合规管控方法的步骤示意图;
[0032]图2为本专利技术数据跨境合规管控装置的结构示意图
[0033]图3为本专利技术数据跨境合规管控方法涉及的计算机设备的结构示意图。
具体实施方式
[0034]为使本专利技术的目的、技术方案和优点更加清楚,下面将对本专利技术的技术方案进行
详细的描述。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本专利技术所保护的范围。
[0035]下面结合附图介绍本申请实施例中提供的一个具体的数据跨境合规管控方法及装置。
[0036]如图1所示,本申请实施例中提供的数据跨境合规管控方法,包括:
[0037]S101,通过数据访问代理agent访问业务系统API接口的关键执行点,获取所述API接口的数据信息,以及根据所述数据信息获取其对应的元数据及所述元数据对应的安全属性级别;
[0038]API是企业与业务伙伴数据之间数据共享的主要途径,API的域外调用跟踪,则在企业应用系统与合作伙伴应用系统之间为数据安全流动构建了新的“边界”。
[0039]本申请在业务系统的服务器或者其他位置构建了DAM微代理模块,基于DAM微代理模块对安全平行切面技术做了落地实现,具体为通过以agent代理的方式切入到业务系统API接口的关键执行点,从而通过“DAM微代理”对系统中的API接口逻辑进行探测,在后台API逻辑的关键数据库操作执行点进行面向切面AOP拦截,获取数据执行条数、数据类型,然后调用查询后台权限中心,返回拦截到的数据的元数据定义信息、数据安全分级属性,从而记录敏感和重要数据。
[0040]S102,根据所述元数据及其相应的安全属性级别生成数据流转安全地图,以及根据所述数据信息得到数据流转tracing日志,并根据数据流转tracing日志生成数据实时流本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据跨境合规管控方法,其特征在于,包括:通过数据访问代理agent访问业务系统API接口的关键执行点,获取所述API接口的数据信息,以及根据所述数据信息获取其对应的元数据及所述元数据对应的安全属性级别;根据所述元数据及其相应的安全属性级别生成数据流转安全地图,以及根据所述数据信息得到数据流转tracing日志,并根据所述数据流转tracing日志生成数据实时流转地图;对比所述数据流转安全地图和数据实时流转地图,判断所述API接口的传输数据是否合规;其中,所述传输数据包括接入数据和输出数据。2.根据权利要求1所述的方法,其特征在于,所述流转tracing日志判断所述API接口的传输数据存在的敏感数据以及敏感数据的数量。3.根据权利要求1所述的方法,其特征在于,所述数据信息包括数据执行条数和数据类型;所述获取所述API接口的数据信息,包括:获取API接口的关键执行点的API名称、API入参和出参、API接口查询的数据条数、API接口查询的数据库表和字段;根据预配置的数据安全分级属性,确定所述数据库表的安全属性级别及字段的安全属性级别;将所述API名称、API入参和出参、API接口查询的数据条数、数据库表的安全属性级别及字段的安全属性级别存储至tracing日志搜索引擎中,以确定API接口的数据执行条数和数据类型。4.根据权利要求1所述的方法,其特征在于,根据所述元数据...
【专利技术属性】
技术研发人员:范鹏,陈岌,李文军,
申请(专利权)人:北京夏石科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。