一种金融数据库数据保护改造方法及其金融数据保护系统技术方案

本方案公开了一种金融数据库数据保护改造方法及其金融数据保护系统，该方案提出由AI分析引擎、数据安全标签器、数据加密器、分级加密数据库和加密数据解析器构成的一套安全系统，能够实现对传统金融数据库中数据的分级加密，并且无需对金融信息系统业务处理逻辑进行修改，能够在原本金融信息系统架构不发生改变的前提下，实现高效完成对已有金融数据的高效分级加密操作。分级加密操作。分级加密操作。

【技术实现步骤摘要】
一种金融数据库数据保护改造方法及其金融数据保护系统


[0001]本专利技术属于金融数据安全
，尤其是涉及一种金融数据库数据保护改造方法及其金融数据保护系统。

技术介绍

[0002]随着计算机技术和金融行业的发展，越来越多的金融业务在网络上展开，为此众多金融机构均开发了各自的金融信息系统，用户可以在金融信息系统上进行金融数据访问等操作。
[0003]目前，用户通过金融信息系统提供的前端页面，基于自身的身份权限可以操作相应的金融数据。金融数据在金融信息系统中的流转均是经过加密的，因此，在金融信息系统中数据安全性较高。
[0004]但是，金融数据实际上是存储在原始数据库内的，原始数据库若遭到攻击，则非常容易造成数据泄露。并且由于数据库是不加密的，所以数据库的内部人员是很容易拿到这些数据库的，实际场景中，大部分的数据泄漏是因为内部人员造成的，所以不加密的数据库，无论是从外部来说还是内部来说都是很容易造成数据泄漏的问题。
[0005]传统技术中，对数据库加密采用的是通过金融信息系统的业务层面对数据加密后保存至数据库中，使用时，再从数据库中提取数据，然后由金融信息系统解密，但是这样的方式对已有的系统非常不友好，需要对金融信息系统的业务处理逻辑进行大量修改，改造成本很大，而且此种方式也会极大程度地增加金融信息系统的数据处理负载，影响用户使用体验。
[0006]为了解决上述技术问题，人们进行了长期的研究，但是目前技术人员所提出的方案都是基于新建项目的数据库加密方式，例如提出一种数据库加密方法和数据库服务器[申请号：CN106022154B]，该方案提出了使用哈希值的方式来实现对数据库数据的加密。这样的方式能够实现数据库的加密，但是仅仅是针对新建项目的，对于旧项目，如何在系统能够正常为用户提供服务的前提下实现数据无感迁移首先是一个问题；其次，一般而言，越复杂的加密方式加密效果越好，而一套系统中，数据的保密等级是不一样的，为了兼顾效率和安全，有人提出了分级加密保存数据的方式，所以，若要实现数据的分级保存，如何对原本未加密的大量数据进行分级分类加密迁移保存是一个问题。

技术实现思路

[0007]本专利技术的目的是针对上述问题，提供一种金融数据库数据保护改造方法及其金融数据保护系统。
[0008]为达到上述目的，本专利技术采用了下列技术方案：
[0009]一种金融数据库数据保护改造方法，该方法包括，
[0010]S1.将数据提取器接入原始数据库，由数据提取器从原始数据库中提取金融数据，并将其传输给AI分析引擎；
[0011]S2.AI分析引擎对接收到的金融数据进行安全等级分类，并将其发送给数据安全标签器；
[0012]S3.数据安全标签器根据分类结果为各金融数据生成安全等级标签；
[0013]S4.数据加密器接收金融数据并根据金融数据的安全等级标签对金融数据进行加密，将加密后数据存储至分级加密数据库，并将金融数据的加密方式及其安全密钥发送给加密数据解析器；
[0014]S5.原始数据库中所有数据迁移至分级加密数据库后，将分级加密数据库通过加密数据解析器接入金融信息系统；
[0015]S6.将加密数据解析器和数据提取器接入金融信息系统后，退出原始数据库，后续用户的访问请求从分级加密数据库中提取相应数据。
[0016]在上述的金融数据库数据保护改造方法中，步骤S1中，数据提取器通过不同于金融信息系统所连接的接口接入原始数据库；
[0017]数据提取器从原始数据库中持续提取金融数据，并将提取的金融数据同时持续传输给AI分析引擎和数据加密器。
[0018]在上述的金融数据库数据保护改造方法中，所述的数据提取器包括有日志监控器，通过监控日志得到所提取金融数据的访问行为数据，并将访问行为数据一并传输给AI分析引擎，以供AI分析引擎同时根据金融数据的被访问频次对其进行安全等级分类；
[0019]所述的数据提取器还用于提取各金融数据对应的可访问权限，并将其传输给AI分析引擎，以供AI分析引擎同时根据金融数据对应的可访问权限对其进行安全等级分类；
[0020]步骤S6中，保留原始数据库，清空原始数据库中的金融数据，并将其作为日志数据库连接于金融信息系统和数据提取器。
[0021]在上述的金融数据库数据保护改造方法中，所述的AI分析引擎包括数据分类因子模块和安全等级分类模块，数据分类因子模块用于提取每条金融数据中必要的数据分类因子并传输至安全等级分类模块，安全等级分类模块用于根据数据分类因子对金融数据进行安全等级分类。
[0022]在上述的金融数据库数据保护改造方法中，所述的原始数据库中存储有各用户的用户密码及用户权限，此类数据同样作为金融数据被分级保存至加密数据库，且加密级别为最低级别；
[0023]所述的加密数据解析器和数据加密器被部署于运行于可信执行环境中，且步骤S4中，加密数据解析器在可信执行环境中使用自身在可信执行环境中的运行数据哈希值加解密安全密钥。
[0024]一种金融数据保护系统，包括数据提取器、AI分析引擎、数据安全标签器、数据加密器、分级加密数据库和加密数据解析器，所述的数据提取器连接于为用户提供服务的金融信息系统，所述的AI分析引擎和数据加密器连接于所述的数据提取器，数据安全标签器连接于所述的AI分析引擎，所述的数据加密器连接于所述的数据安全标签器、加密数据解析器和分级加密数据库，所述的加密数据解析器还连接于所述的金融信息系统和分级加密数据库。
[0025]在上述的金融数据保护系统中，用户访问金融数据时在金融信息系统的前端页面输入用户密码和访问请求，金融信息系统通过用户密码验证用户权限，并将用户权限和访
问请求传输至加密数据解析器，或者金融信息系统将包含用户密码的访问请求传输至加密数据解析器，加密数据解析器根据用户密码验证用户权限；
[0026]加密数据解析器从分级加密数据库中提取对应于访问请求且在用户权限范围内的金融数据，使用相应的安全密钥解密金融数据后将解密数据返回至金融信息系统；
[0027]用户在金融信息系统的前端页面输入用户密码并创建金融数据时，金融信息系统将新数据通过数据提取器传输至AI分析引擎和数据加密器，AI分析引擎分析新数据安全等级，数据安全标签器根据AI分析引擎的分析结果为新数据设置对应的安全等级标签；
[0028]数据加密器根据新数据的安全等级标签对新数据使用相应的加密方式加密后存入分级加密数据库，加密数据解析器从数据加密器端获取新数据的加密方式及对应的安全密钥。新数据的可用权限设定与金融信息系统原有设定方式一样，原本是什么样，现在就是什么样，此部分不进行修改。
[0029]对同一等级的金融数据可以使用同一密钥进行保存，也可以使用不同的密钥进行保存。密钥可以定时或不定时进行更新。
[0030]在上述的金融数据保护系统中，数据提取器包括有日志监控器，本系统还包括日志数据库，日志数据库连接于所述的金融信息系统和数据提取器，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种金融数据库数据保护改造方法，其特征在于，该方法包括，S1.将数据提取器(3)接入原始数据库(2)，由数据提取器(3)从原始数据库中提取金融数据，并将其传输给AI分析引擎(4)；S2.AI分析引擎(4)对接收到的金融数据进行安全等级分类，并将其发送给数据安全标签器(5)；S3.数据安全标签器(5)根据分类结果为各金融数据生成安全等级标签；S4.数据加密器(6)接收金融数据并根据金融数据的安全等级标签对金融数据进行加密，将加密后数据存储至分级加密数据库(7)，并将金融数据的加密方式及其安全密钥发送给加密数据解析器(8)；S5.原始数据库(2)中所有数据迁移至分级加密数据库(7)后，将分级加密数据库(7)通过加密数据解析器(8)接入金融信息系统(1)；S6.将加密数据解析器(8)和数据提取器(3)接入金融信息系统后，退出原始数据库(2)，后续用户的访问请求从分级加密数据库(7)中提取相应数据。2.根据权利要求1所述的金融数据库数据保护改造方法，其特征在于，步骤S1中，数据提取器(3)通过不同于金融信息系统(1)所连接的接口接入原始数据库(2)；数据提取器(3)从原始数据库中提取金融数据，并将提取的金融数据同时传输给AI分析引擎(4)和数据加密器(6)。3.根据权利要求1所述的金融数据库数据保护改造方法，其特征在于，所述的数据提取器(3)包括有日志监控器，通过监控日志得到所提取金融数据的访问行为数据，并将访问行为数据一并传输给AI分析引擎(4)，以供AI分析引擎(4)同时根据金融数据的被访问频次对其进行安全等级分类；所述的数据提取器(3)还用于提取各金融数据对应的可访问权限，并将其传输给AI分析引擎(4)，以供AI分析引擎(4)同时根据金融数据对应的可访问权限对其进行安全等级分类；步骤S6中，保留原始数据库(2)，清空原始数据库(2)中的金融数据，并将其作为日志数据库(9)连接于金融信息系统(1)和数据提取器(3)。4.根据权利要求3所述的金融数据库数据保护改造方法，其特征在于，所述的AI分析引擎(4)包括数据分类因子模块和安全等级分类模块，数据分类因子模块用于提取每条金融数据中必要的数据分类因子并传输至安全等级分类模块，安全等级分类模块用于根据数据分类因子对金融数据进行安全等级分类。5.根据权利要求1所述的金融数据库数据保护改造方法，其特征在于，所述的原始数据库中存储有各用户的用户密码及用户权限，此类数据同样作为金融数据被分级保存至加密数据库；所述的加密数据解析器(8)和数据加密器(6)被部署于运行于可信执行环境中，且步骤S4中，加密数据解析器(8)在可信执行环境中使用自身在可信执行环境中的运行数据哈希值加解密安全密钥。6.一种金融数据保护系统，其特征在于，包括数据提取器(3)、AI分析引擎(4)、数据安全标签器(5)、数据加密器(6)、分级加密数据库(7)和加密数据解析器(8)，所述的数据提取器(3)连接于为用户提供服务的金融信息系统(1)，所述的AI分析引擎(4)和数据加密器(6)
连接于所述的数据提取器(3)，数据安全标签器(5)连接于所述的AI分析引擎(4)，所述的数据加密器(6)连接于所述的数据安全标签器(5)、加密数据解析器(8)和分级加密数据库(...

【专利技术属性】
技术研发人员：赵京，谭凤宜，陈少清，楼兴兵，
申请(专利权)人：广东海术云电子科技有限公司，
类型：发明
国别省市：