本申请公开了一种敏感数据的溯源方法、装置及设备,涉及数据安全技术领域,能够保证敏感数据的流转测绘内容更准确、完整,从而在发生数据安全事件时第一时间准确定位敏感数据的路径,提升敏感数据的溯源效率。其中方法包括:获取业务资产清单,对业务资产清单中的网络传输流量进行全链路流转检测,在检测到发生数据安全事件时,针对数据安全事件中的敏感数据进行识别,得到敏感数据的流转属性信息,响应于敏感数据的溯源指令,接收待溯源任务资产的线索描述信息,根据线索描述信息生成溯源任务,根据溯源任务,利用流转属性信息对待溯源任务资产中敏感数据的流转路径进行测绘还原,得到敏数据在不同线索链路上的溯源结果。得到敏数据在不同线索链路上的溯源结果。得到敏数据在不同线索链路上的溯源结果。
【技术实现步骤摘要】
敏感数据的溯源方法、装置及设备
[0001]本申请涉及数据安全
,尤其是涉及到一种敏感数据的溯源方法、装置及设备。
技术介绍
[0002]随着数据时代的到来,数据安全越来越受到国家、行业和企业的重视。通常情况下,数据安全实践由单个部门主导,由于在战略层面缺少足够的顶层支撑和驱动,难以全面建立安全治理架构,使得数据安全仅在部分关键业务或部门有限范围内实施保障,难以面向整个组织有效展开。
[0003]在相关技术中,无论企业内部使用还是对外使用,都不可避免的要通过即时通信工具、网络、邮件等方式发送敏感数据,例如:合同、财务报表、技术研发、设计等,在互联网上敏感数据的外发风险时刻存在,并可能造成重大数据泄露事故。由于敏感数据分布组织的各个角度,敏感数据的泄露可能发生在组织中的任何人身上,也可能发生在任何时间,而传统的溯源方式往往只记录针对数据库自身的访问请求,缺少对用户账号、应用、接口、数据库等上下文信息,一方面,对内部敏感数据的分布、流向、外发等情况难以实时跟踪态势,另一方面,在发生泄密事件后,有效溯源和清晰追责具有较高的难度,这使得敏感数据的泄露很难去溯源定位,需要投入大量人工排查,导致敏感数据的溯源效率低下。
技术实现思路
[0004]有鉴于此,本申请提供了一种敏感数据的溯源方法、装置及设备,主要目的在于解决现有技术中敏感数据的泄露很难去溯源定位,需要投入大量人工排查,导致敏感数据的溯源效率低下的问题。
[0005]根据本申请的第一个方面,提供了一种敏感数据的溯源方法,包括:/>[0006]获取业务资产清单,对所述业务资产清单中的网络传输流量进行全链路流转检测;
[0007]在检测到发生数据安全事件时,针对所述数据安全事件中的敏感数据进行识别,得到敏感数据的流转属性信息;
[0008]响应于敏感数据的溯源指令,接收待溯源任务资产的线索描述信息,根据所述线索描述信息生成溯源任务;
[0009]根据所述溯源任务,利用所述流转属性信息对所述待溯源任务资产中敏感数据的流转路径进行测绘还原,得到敏数据在不同线索链路上的溯源结果。
[0010]进一步地,所述获取业务资产清单,对所述业务资产清单中的网络传输流量进行全链路流转检测,包括:
[0011]采用旁路镜像流量采集的方式对接入业务系统中各种协议类型的流量进行资产识别,获取业务资产清单;
[0012]通过规则引擎中设置的资源字段对所述业务资产清单中的网络传输流量进行结
构化提取,形成固定资产格式进行沉淀;
[0013]针对固定资产格式的网络资产流量进行资产关联得到业务视角下的流动资产地图,对所述业务视角下的流动资地图进行全链路流转检测,确定业务清单包含的涉敏资产。
[0014]进一步地,在所述针对所述数据安全事件中的敏感数据进行识别,得到敏感数据的流转属性信息之前,所述方法还包括:
[0015]在检测到发生数据安全事件时,针对所述数据安全事件中的敏感数据进行应用层协议流量采集,并在采集过程中按照应用协议类型和数据库协议类型对所述应用层协议流量进行分层处理;
[0016]对分层处理后的应用层协议流量进行过滤处理,保留业务所需的敏感数据作为数据安全事件中的敏感数据。
[0017]进一步地,所述在检测到发生数据安全事件时,针对所述数据安全事件中的敏感数据进行识别,得到敏感数据的流转属性信息,包括:
[0018]在检测到发生数据安全事件时,获取所述数据安全事件中敏感数据的应用服务资产;
[0019]以所述应用服务资产为出发点,对敏感数据的数据流向、数据路径和流转事件进行识别,得到敏感数据的流转属性信息。
[0020]进一步地,所述以所述应用服务资产为出发点,对敏感数据的数据流向、数据路径和流转事件进行识别,得到敏感数据的流转属性信息,包括:
[0021]以所述应用服务资产为出发点,使用血缘分析法围绕敏感数据构建数据关系网,所述数据关系网中记录有敏感数据在应用服务资产上的关联关系;
[0022]利用所述敏感数据在应用服务资产上的关联关系进行数据流转图溯源,对敏感数据的数据流向、数据路径和流转事件进行监控,得到敏感数据的流转属性信息。
[0023]进一步地,在所述根据所述溯源任务,利用所述流转属性信息对所述待溯源任务资产中敏感数据的流转路径进行测绘还原,得到敏数据在不同线索链路上的溯源结果之前,所述方法还包括:
[0024]使用荧光标记测绘技术将任务资产中敏感数据作为荧光标记,利用所述流转属性信息对所述敏感数据流经的所有节点进行标记测绘,以使得每个出现且被标记的节点带上敏感信息后存储至数据库中,形成历史路径信息;
[0025]相应的,所述根据所述溯源任务,利用所述流转属性信息对所述待溯源任务资产中敏感数据的流转路径进行测绘还原,得到敏数据在不同线索链路上的溯源结果,包括:
[0026]根据所述溯源任务,利用所述流转属性信息监控所述历史路径信息中带有敏感信息的节点流向,确定待溯源任务资源中敏感数据的流转路径;
[0027]对所述待溯源任务资源中敏感数据的流转路径进行拼接还原,得到敏数据在不同线索链路上的溯源结果。
[0028]进一步地,所述对所述待溯源任务资源中敏感数据的流转路径进行拼接还原,得到敏数据在不同线索链路上的溯源结果,包括:
[0029]获取敏感数据在每个节点上表征的前后关联关系,所述前后关联关系为使用荧光标记测绘得到不同粒度的关联关系;
[0030]根据所述前后关联关系对所述待溯源任务资源中敏感数据的流转路径进行拼接
还原,得到敏数据在不同线索链路上的溯源结果。
[0031]根据本申请的第二个方面,提供了一种敏感数据的溯源装置,包括:
[0032]获取单元,用于获取业务资产清单,对所述业务资产清单中的网络传输流量进行全链路流转检测;
[0033]识别单元,用于在检测到发生数据安全事件时,针对所述数据安全事件中的敏感数据进行识别,得到敏感数据的流转属性信息;
[0034]接收单元,用于响应于敏感数据的溯源指令,接收待溯源对象的线索描述信息,根据所述线索描述信息生成溯源任务;
[0035]溯源单元,用于根据所述溯源任务,利用所述流转属性信息对所述待溯源任务资产中敏感数据的流转路径进行测绘还原,得到敏数据在不同线索链路上的溯源结果。
[0036]进一步地,所述获取单元,具体用于采用旁路镜像流量采集的方式对接入业务系统中各种协议类型的流量进行资产识别,获取业务资产清单;通过规则引擎中设置的资源字段对所述业务资产清单中的网络传输流量进行结构化提取,形成固定资产格式进行沉淀;针对固定资产格式的网络资产流量进行资产关联得到业务视角下的流动资产地图,对所述业务视角下的流动资地图进行全链路流转检测,确定业务清单包含的涉敏资产。
[0037]进一步地,所述装置还包括:
[0038]处理单元,用于在所述针对所述数据安全事件本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种敏感数据的溯源方法,其特征在于,包括:获取业务资产清单,对所述业务资产清单中的网络传输流量进行全链路流转检测;在检测到发生数据安全事件时,针对所述数据安全事件中的敏感数据进行识别,得到敏感数据的流转属性信息;响应于敏感数据的溯源指令,接收待溯源任务资产的线索描述信息,根据所述线索描述信息生成溯源任务;根据所述溯源任务,利用所述流转属性信息对所述待溯源任务资产中敏感数据的流转路径进行测绘还原,得到敏数据在不同线索链路上的溯源结果。2.根据权利要求1所述的方法,其特征在于,所述获取业务资产清单,对所述业务资产清单中的网络传输流量进行全链路流转检测,包括:采用旁路镜像流量采集的方式对接入业务系统中各种协议类型的流量进行资产识别,获取业务资产清单;通过规则引擎中设置的资源字段对所述业务资产清单中的网络传输流量进行结构化提取,形成固定资产格式进行沉淀;针对固定资产格式的网络资产流量进行资产关联得到业务视角下的流动资产地图,对所述业务视角下的流动资地图进行全链路流转检测,确定业务清单包含的涉敏资产。3.根据权利要求1所述的方法,其特征在于,在所述针对所述数据安全事件中的敏感数据进行识别,得到敏感数据的流转属性信息之前,所述方法还包括:在检测到发生数据安全事件时,针对所述数据安全事件中的敏感数据进行应用层协议流量采集,并在采集过程中按照应用协议类型和数据库协议类型对所述应用层协议流量进行分层处理;对分层处理后的应用层协议流量进行过滤处理,保留业务所需的敏感数据作为数据安全事件中的敏感数据。4.根据权利要求1所述的方法,其特征在于,所述在检测到发生数据安全事件时,针对所述数据安全事件中的敏感数据进行识别,得到敏感数据的流转属性信息,包括:在检测到发生数据安全事件时,获取所述数据安全事件中敏感数据的应用服务资产;以所述应用服务资产为出发点,对敏感数据的数据流向、数据路径和流转事件进行识别,得到敏感数据的流转属性信息。5.根据权利要求4所述的方法,其特征在于,所述以所述应用服务资产为出发点,对敏感数据的数据流向、数据路径和流转事件进行识别,得到敏感数据的流转属性信息,包括:以所述应用服务资产为出发点,使用血缘分析法围绕敏感数据构建数据关系网,所述数据关系网中记录有敏感数据在应用服务资产上的关联关系;利用所述敏感数据在应用服务资产上的关联关系进行数据流转图溯源,对敏感数据的数据流向、数据路径和流转事件...
【专利技术属性】
技术研发人员:衡相忠,金宝,章昕,周英,崔新立,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。