IT系统防数据泄密的安全管控方法、装置及计算设备与流程

it系统防数据泄密的安全管控方法、装置及计算设备
技术领域
1.本发明实施例涉及计算机技术领域，具体涉及一种it系统防数据泄密的安全管控方法、装置及计算设备。


背景技术：

2.在现有技术中，不存在针对it系统的数据安全需求而定制的一套系统装置，只存在对于本地加密的装置。并且已有的技术不适用与it系统的安全需求。已有的技术通过接受目标明文密码的加密指令；获取表明目标明文密码持有者用户身份的至少两种密钥，并根据所述至少两种密钥对所述目标明文密码进行加密处理。可应用与本地明文密钥的加密过程中。
3.在现有的技术中，数据在传输过程、存储过程中的加密行为独立，没有系统化的统一管理；还缺乏对于web应用整体加密的方法，几乎所有现有技术只针对其中特定的步骤进行了数据的加密处理。有些技术中的数据加密局限于整个系统与外部交互时数据或者报文的加密处理，而对于内部的数据交互则没有处理。


技术实现要素：

4.鉴于上述问题，本发明实施例提供了一种it系统防数据泄密的安全管控方法、装置及计算设备，克服了上述问题或者至少部分地解决了上述问题。
5.根据本发明实施例的一个方面，提供了一种it系统防数据泄密的安全管控方法，所述方法包括：获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；获取与所述流程对应的加密信息；根据所述加密信息对数据进行加密处理，并输送至出栈；将加密后的所述数据从出栈中输出继续完成所述流程数据交互。
6.在一种可选的方式中，所述获取与所述流程对应的加密信息之前，包括：配置所述it系统中任一流程加密处理中需要使用的加密信息，形成基础配置表；配置所述it系统中允许数据交互的web层主机、应用主机以及数据库主机；配置与不同的所述web层主机、所述应用主机以及所述数据库主机进行数据交互的交互配置表；将所述基础配置表以及所述交互配置表缓存至加密缓存池中。
7.在一种可选的方式中，所述配置所述it系统中任一流程加密处理中需要使用的加密信息，包括：配置所述it系统与外部交互所采用的协议类型；配置数据源端的ip地址和处理之后数据的目的端ip地址；配置不同类型数据的加密算法；将系统中所有用到的加密算法进行存储；配置所述it系统中所需要的所有的密钥，并进行统一管理。
8.在一种可选的方式中，所述获取与所述流程对应的加密信息，包括：获取交互主机的交互配置表中的加密配置；获取基础配置表中与所述流程对应的加密信息。
9.在一种可选的方式中，所述获取基础配置表中与所述流程对应的加密信息，包括：从加密缓存池的基础配置表中获取与所述流程对应的加密信息；如果没有从所述加密缓存池中获取到，则在配置中查询相应配置并将获取的所述加密信息存入所述加密缓存池。
10.在一种可选的方式中，所述根据所述加密信息对数据进行加密处理，包括：根据所述交互配置表中的加密配置对所述数据进行加密；根据所述基础配置表中与所述流程对应的加密信息对数据进行进一步的加密处理。
11.在一种可选的方式中，所述根据所述加密信息对数据进行加密处理之后，包括：记录每一次加密的加密日志并存储在数据库中，其中所述加密日志至少包括：加密的数据对象、加密行为时间以及加密所用算法。
12.根据本发明实施例的另一个方面，提供了一种it系统防数据泄密的安全管控装置，所述装置包括：入栈单元，用于获取it系统中任一流程进行数据交互的数据传输请求，将请求传输的数据暂存至入栈中；加密信息获取单元，用于获取与所述流程对应的加密信息；加密处理单元，用于根据所述加密信息对数据进行加密处理，并输送至出栈；数据传输单元，用于将加密后的所述数据从出栈中输出继续完成所述流程数据传输。
13.根据本发明实施例的另一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
14.所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述it系统防数据泄密的安全管控方法的步骤。
15.根据本发明实施例的又一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使所述处理器执行上述it系统防数据泄密的安全管控方法的步骤。
16.本发明实施例通过获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；获取与所述流程对应的加密信息；根据所述加密信息对数据进行加密处理，并输送至出栈；将加密后的所述数据从出栈中输出继续完成所述流程数据交互，通过对it系统内部数据交互的加密，极大的提高it系统的安全系数，防止敏感数据外泄。
17.上述说明仅是本发明实施例技术方案的概述，为了能够更清楚了解本发明实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
18.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
19.图1示出了本发明实施例提供的it系统防数据泄密的安全管控方法的流程示意图；
20.图2示出了本发明实施例提供的it系统防数据泄密的安全管控方法的多个数据传输流程示意图；
21.图3示出了本发明又一实施例提供的it系统防数据泄密的安全管控方法的示意图；
22.图4示出了本发明实施例提供的it系统防数据泄密的安全管控装置的结构示意图；
23.图5示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
24.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
25.图1示出了本发明实施例提供的it系统防数据泄密的安全管控方法的流程示意图。该it系统防数据泄密的安全管控方法主要应用于服务器。如图1所示，该it系统防数据泄密的安全管控方法包括：
26.步骤s11：获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中。
27.在本发明实施例中，可以是it系统中任一流程，包括与it系统外部的交互，与it系统web层主机的交互，与it系统应用层主机的交互以及与it系统数据库的交互等。如图2所示，请求的数据暂存至入栈中，以便后续进行加密处理，再将加密后的数据传输至出栈，然后输出至对应的it系统层，。
28.步骤s12：获取与所述流程对应的加密信息。
29.在本发明实施例中，在步骤s12之前，配置所述it系统中任一流程加密处理中需要使用的加密信息，形成基础配置表。包含加密规则配置，加密算法配置，加密密钥配置。具体地，配置所述it系统与外部交互所采用的协议类型；配置数据源端的ip地址和处理之后数据的目的端ip地址；配置不同类型数据的加密算法；将系统中所有用到的加密算法进行存储；配置所述it系统中所需要的所有的密钥，并进行统一管理。本发明实施例集成了所有常用的对称和非对称加密算法，包括了所有的签名加密算法，信息摘要算法(message digest algorithm，md5)，安全散列算法(secure hash algorithm，sha1)，哈希消息认证码(hash-based message authentication code，hmac)，高级加密标准(advanced encryption standard，aes)，数据加密算法(data encryption algorithm，dea)，公钥加密算法(rsa)等，可以满足所有系统的加密需求。本发明实施例常用的加密方式见表1。
30.表1常用的加密方式
[0031][0032]
以支付系统中典型的明文数据字段如银行卡号、预留手机号码、用户名称、证件号码、有效期、信用卡安全码(cvv2)为例，由于it系统要求需要对这些明文数据进行不同的加密算法，则在数据库中针对加密字段表、交互对象表以及交互协议表分别进行如下配置：
[0033]
1)加密字段表：
[0034][0035][0036]
2)交互对象表：
[0037]
交互对象交互对象源端ip目标ipweb主机1.1.1.10.0.0.0应用主机0.0.0.00.0.0.1数据库0.0.0.11.1.1.1
[0038]
3)交互协议表：
[0039]
交互协议加密方式密钥交互协议对应主机httpaes密钥1http0.0.0.1ftpdes密钥2ftp0.0.0.0sshmd5密钥3ssh0.0.0.2
[0040]
将基础配置表进行统一化管理易于后续的维护，通过修改配置可以对不同的it系统进行安全管控，极大提升了该装置的泛用性。
[0041]
出于数据安全的考虑，为了避免收到恶意的请求，只接受允许与固定的主机有数据的交互，允许交互的web主机、应用主机、数据库主机，以及与不同主机交互时的加密规则需要在基础配置模块中配置。如此，本发明实施例还配置所述it系统中允许数据交互的web层主机、应用主机以及数据库主机；配置与不同的所述web层主机、所述应用主机以及所述数据库主机进行数据交互的交互配置表。具体如下所示：
[0042]
1)web层交互配置表：
[0043]
web主机ip交互字段加密算法密钥0.0.0.0请求报文rsa1230.0.0.1请求报文rsa1230.0.0.2请求报文rsa123
[0044]
2)应用层交互配置表：
[0045]
应用主机ip交互数据(字段)加密算法密钥0.0.0.0用户证件号rsa1230.0.0.1用户名称ecc1230.0.0.2预留手机号md5123
[0046]
3)数据库交互配置表：
[0047]
数据库主机ip交互字段加密算法密钥0.0.0.0用户证件号rsa1230.0.0.0银行卡号aes1230.0.0.1用户名称ecc1230.0.0.2预留手机号md5123
[0048]
将所述基础配置表以及所述交互配置表缓存至加密缓存池中，采用缓存的方式，对加密过的数据所采用的加密算法、密钥等进行暂存处理，从而能够提高数据处理的速度。
[0049]
在步骤s12中，获取交互主机的交互配置表中的加密配置。同时获取基础配置表中与所述流程对应的加密信息。具体从加密缓存池的基础配置表中获取与所述流程对应的加密信息；如果没有从所述加密缓存池中获取到，则在配置中查询相应配置并将获取的所述加密信息存入所述加密缓存池，如此可以加快下次处理相同数据的处理速度。对于超过一定时间没有再次使用到的信息，会从加密缓存池中被清除，释放空间。
[0050]
步骤s13：根据所述加密信息对数据进行加密处理，并输送至出栈。
[0051]
在本发明实施例中，根据所述交互配置表中的加密配置对所述数据进行加密；根据所述基础配置表中与所述流程对应的加密信息对数据进行进一步的加密处理。通过对it系统内部数据交互的加密，极大的提高it系统的安全系数，被恶意入侵也能保证数据安全，
防止敏感数据外泄。
[0052]
在与it系统各个流程的交互过程中，不同的加密规则需要从上述交互配置表和基础配置表中获取相应的加密信息。在于web层向应用层发起一次数据传输的时候，会从web交互配置表和基础配置表中获取对应的信息，比如目标ip等信息，从ip地址为0.0.0.1的web主机发起的数据传输需要在装置中进行一次密钥为123的rsa加密，随后按照基础配置表中的配置将加密后的数据发送至对应的应用层主机。对于系统外部向it系统发来的请求，首先需要对该请求进行检验处理，检查该请求是否合法，如果通过验证，则将该请求加密处理后发送往对应的主机。具体加密处理完成之后将加密后的数据输送到出栈，以便输送至目的主机。
[0053]
在本发明实施例中，根据所述加密信息对数据进行加密处理之后，还记录每一次加密的加密日志并存储在数据库中，其中所述加密日志至少包括：加密的数据对象、加密行为时间以及加密所用算法。经过统一的加密后，将这些日志存贮至数据库。通过保存这样的日志，可以轻松实现掌握数据加密时的细节，易于后续的维护，而通过对日志的加密，数据的安全性也能得到保证。
[0054]
例如，于2019.10.20 19.00.00时对用户名称进行了一次aes加密。则完成加密处理后会生成如下加密日志：
[0055]
时间：2019.10.20 19.00.00
[0056]
加密算法：aes
[0057]
密钥：123
[0058]
加密所用时间：0.1s
[0059]
加密对象数据：用户名称
[0060]
加密结果：u2fsdgvkx19ldxo/yuq2ud0tqol2ehokhd3fugnlltm＝
[0061]
将上述日志根据基础配置中配置的规则进行加密如：
[0062]
u2fsdgvkx1+jnqgyf4to/vhk2ktkvafnhuu5llmtdipxtykbwx/9bs0u27xarzya
[0063]
caurnomhgzas1ihnel2mvdb03/7iizgux62lw8qfjgq4oheikluvrdi14qilc1+s
[0064]
rdr7hmhyxujjiip2n1nvfinrwcdiry22+lnsdse1otnbznsbdxr8g2wwwcskx653
[0065]
b66tmhvzhbpyr89v35bvfkno5uxhwbxdeok3psaiqojqmv/ptz5ao9pge/n1bufj
[0066]
+hsaztd8i+mwjuqqgflwow＝＝。
[0067]
再写入数据库中。
[0068]
本发明实施例通过记录加密日志的手段，实现对于数据传输流程的完全掌控，使后续维护非常便捷。
[0069]
步骤s14：将加密后的所述数据从出栈中输出继续完成所述流程数据交互。
[0070]
在本发明实施例中，例如，数据需要从it系统的web层主机传输至应用层主机时，将加密后的所述数据从出栈中输出，并传输至应用层主机。本发明实施例通过获取数据的来源和目标，实现对与同一个it系统中的不同流程进行不同规则的加密处理，相比与现有技术，十分有效的对各种不同的加密方式进行管理，极大的提高了数据安全性。
[0071]
在本发明实施例中，如图3所示，一个数据传输请求从外部发往it系统的时候，会先检验数据传输请求是否合法，检验通过后会将该数据传输请求按照对应的加密规则加密并发往对应的web层主机。web层主机随后会向应用层发起数据传输，根据web层向应用层的
数据加密规则进行加密处理，随后将数据发往应用层。最后应用层需要向数据库中写入数据，根据与数据库交互的加密规则对需要入库的数据进行加密处理。其中每一个加密流程，都需要先将要加密的数据暂存至入栈中，然后从加密缓存池中获取对应的加密配置，根据获取的加密配置对数据进行加密处理后传输至出栈中，同时记录加密日志，并将加密日志存储至数据库中，最后从出栈中输送加密处理后的数据至it系统层主机。
[0072]
本发明实施例通过获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；获取与所述流程对应的加密信息；根据所述加密信息对数据进行加密处理，并输送至出栈；将加密后的所述数据从出栈中输出继续完成所述流程数据交互，通过对it系统内部数据交互的加密，极大的提高it系统的安全系数，防止敏感数据外泄。
[0073]
图4示出了本发明实施例的it系统防数据泄密的安全管控装置的结构示意图。如图4所示，该it系统防数据泄密的安全管控装置包括：入栈单元401、加密信息获取单元402、加密处理单元403、数据传输单元404、配置单元405以及日志记录单元406。其中：
[0074]
入栈单元401用于获取it系统中任一流程进行数据交互的数据传输请求，将请求传输的数据暂存至入栈中；加密信息获取单元402用于获取与所述流程对应的加密信息；加密处理单元403用于根据所述加密信息对数据进行加密处理，并输送至出栈；数据传输单元404用于将加密后的所述数据从出栈中输出继续完成所述流程数据传输。
[0075]
在一种可选的方式中，配置单元405用于：配置所述it系统中任一流程加密处理中需要使用的加密信息，形成基础配置表；配置所述it系统中允许数据交互的web层主机、应用主机以及数据库主机；配置与不同的所述web层主机、所述应用主机以及所述数据库主机进行数据交互的交互配置表；将所述基础配置表以及所述交互配置表缓存至加密缓存池中。
[0076]
在一种可选的方式中，配置单元405用于：配置所述it系统与外部交互所采用的协议类型；配置数据源端的ip地址和处理之后数据的目的端ip地址；配置不同类型数据的加密算法；将系统中所有用到的加密算法进行存储；配置所述it系统中所需要的所有的密钥，并进行统一管理。
[0077]
在一种可选的方式中，加密信息获取单元402用于：获取交互主机的交互配置表中的加密配置；获取基础配置表中与所述流程对应的加密信息。
[0078]
在一种可选的方式中，加密信息获取单元402用于：从加密缓存池的基础配置表中获取与所述流程对应的加密信息；如果没有从所述加密缓存池中获取到，则在配置中查询相应配置并将获取的所述加密信息存入所述加密缓存池。
[0079]
在一种可选的方式中，加密处理单元403用于：根据所述交互配置表中的加密配置对所述数据进行加密；根据所述基础配置表中与所述流程对应的加密信息对数据进行进一步的加密处理。
[0080]
在一种可选的方式中，日志记录单元406用于：记录每一次加密的加密日志并存储在数据库中，其中所述加密日志至少包括：加密的数据对象、加密行为时间以及加密所用算法。
[0081]
本发明实施例通过获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；获取与所述流程对应的加密信息；根据所述加密信息对数据进行加密处理，并输送至出栈；将加密后的所述数据从出栈中输出继续完成所述流程数据交互，通
过对it系统内部数据交互的加密，极大的提高it系统的安全系数，防止敏感数据外泄。
[0082]
本发明实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的it系统防数据泄密的安全管控方法。
[0083]
可执行指令具体可以用于使得处理器执行以下操作：
[0084]
获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；
[0085]
获取与所述流程对应的加密信息；
[0086]
根据所述加密信息对数据进行加密处理，并输送至出栈；
[0087]
将加密后的所述数据从出栈中输出继续完成所述流程数据交互。
[0088]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0089]
配置所述it系统中任一流程加密处理中需要使用的加密信息，形成基础配置表；
[0090]
配置所述it系统中允许数据交互的web层主机、应用主机以及数据库主机；
[0091]
配置与不同的所述web层主机、所述应用主机以及所述数据库主机进行数据交互的交互配置表；
[0092]
将所述基础配置表以及所述交互配置表缓存至加密缓存池中。
[0093]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0094]
配置所述it系统与外部交互所采用的协议类型；
[0095]
配置数据源端的ip地址和处理之后数据的目的端ip地址；
[0096]
配置不同类型数据的加密算法；
[0097]
将系统中所有用到的加密算法进行存储；
[0098]
配置所述it系统中所需要的所有的密钥，并进行统一管理。
[0099]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0100]
获取交互主机的交互配置表中的加密配置；
[0101]
获取基础配置表中与所述流程对应的加密信息。
[0102]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0103]
从加密缓存池的基础配置表中获取与所述流程对应的加密信息；
[0104]
如果没有从所述加密缓存池中获取到，则在配置中查询相应配置并将获取的所述加密信息存入所述加密缓存池。
[0105]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0106]
根据所述交互配置表中的加密配置对所述数据进行加密；
[0107]
根据所述基础配置表中与所述流程对应的加密信息对数据进行进一步的加密处理。
[0108]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0109]
记录每一次加密的加密日志并存储在数据库中，其中所述加密日志至少包括：加密的数据对象、加密行为时间以及加密所用算法。
[0110]
本发明实施例通过获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；获取与所述流程对应的加密信息；根据所述加密信息对数据进行加密处理，并输送至出栈；将加密后的所述数据从出栈中输出继续完成所述流程数据交互，通
过对it系统内部数据交互的加密，极大的提高it系统的安全系数，防止敏感数据外泄。
[0111]
本发明实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任意方法实施例中的it系统防数据泄密的安全管控方法。
[0112]
可执行指令具体可以用于使得处理器执行以下操作：
[0113]
获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；
[0114]
获取与所述流程对应的加密信息；
[0115]
根据所述加密信息对数据进行加密处理，并输送至出栈；
[0116]
将加密后的所述数据从出栈中输出继续完成所述流程数据交互。
[0117]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0118]
配置所述it系统中任一流程加密处理中需要使用的加密信息，形成基础配置表；
[0119]
配置所述it系统中允许数据交互的web层主机、应用主机以及数据库主机；
[0120]
配置与不同的所述web层主机、所述应用主机以及所述数据库主机进行数据交互的交互配置表；
[0121]
将所述基础配置表以及所述交互配置表缓存至加密缓存池中。
[0122]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0123]
配置所述it系统与外部交互所采用的协议类型；
[0124]
配置数据源端的ip地址和处理之后数据的目的端ip地址；
[0125]
配置不同类型数据的加密算法；
[0126]
将系统中所有用到的加密算法进行存储；
[0127]
配置所述it系统中所需要的所有的密钥，并进行统一管理。
[0128]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0129]
获取交互主机的交互配置表中的加密配置；
[0130]
获取基础配置表中与所述流程对应的加密信息。
[0131]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0132]
从加密缓存池的基础配置表中获取与所述流程对应的加密信息；
[0133]
如果没有从所述加密缓存池中获取到，则在配置中查询相应配置并将获取的所述加密信息存入所述加密缓存池。
[0134]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0135]
根据所述交互配置表中的加密配置对所述数据进行加密；
[0136]
根据所述基础配置表中与所述流程对应的加密信息对数据进行进一步的加密处理。
[0137]
在一种可选的方式中，所述可执行指令使所述处理器执行以下操作：
[0138]
记录每一次加密的加密日志并存储在数据库中，其中所述加密日志至少包括：加密的数据对象、加密行为时间以及加密所用算法。
[0139]
本发明实施例通过获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；获取与所述流程对应的加密信息；根据所述加密信息对数据进行加密处理，并输送至出栈；将加密后的所述数据从出栈中输出继续完成所述流程数据交互，通
过对it系统内部数据交互的加密，极大的提高it系统的安全系数，防止敏感数据外泄。
[0140]
图5示出了本发明实施例提供的计算设备的结构示意图，本发明具体实施例并不对设备的具体实现做限定。
[0141]
如图5所示，该计算设备可以包括：处理器(processor)502、通信接口(communications interface)504、存储器(memory)506、以及通信总线508。
[0142]
其中：处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。通信接口504，用于与其它设备比如客户端或其它服务器等的网元通信。处理器502，用于执行程序510，具体可以执行上述it系统防数据泄密的安全管控方法实施例中的相关步骤。
[0143]
具体地，程序510可以包括程序代码，该程序代码包括计算机操作指令。
[0144]
处理器502可能是中央处理器cpu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本发明实施例的一个或各个集成电路。设备包括的一个或各个处理器，可以是同一类型的处理器，如一个或各个cpu；也可以是不同类型的处理器，如一个或各个cpu以及一个或各个asic。
[0145]
存储器506，用于存放程序510。存储器506可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
[0146]
程序510具体可以用于使得处理器502执行以下操作：
[0147]
获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；
[0148]
获取与所述流程对应的加密信息；
[0149]
根据所述加密信息对数据进行加密处理，并输送至出栈；
[0150]
将加密后的所述数据从出栈中输出继续完成所述流程数据交互。
[0151]
在一种可选的方式中，所述程序510使所述处理器执行以下操作：
[0152]
配置所述it系统中任一流程加密处理中需要使用的加密信息，形成基础配置表；
[0153]
配置所述it系统中允许数据交互的web层主机、应用主机以及数据库主机；
[0154]
配置与不同的所述web层主机、所述应用主机以及所述数据库主机进行数据交互的交互配置表；
[0155]
将所述基础配置表以及所述交互配置表缓存至加密缓存池中。
[0156]
在一种可选的方式中，所述程序510使所述处理器执行以下操作：
[0157]
配置所述it系统与外部交互所采用的协议类型；
[0158]
配置数据源端的ip地址和处理之后数据的目的端ip地址；
[0159]
配置不同类型数据的加密算法；
[0160]
将系统中所有用到的加密算法进行存储；
[0161]
配置所述it系统中所需要的所有的密钥，并进行统一管理。
[0162]
在一种可选的方式中，所述程序510使所述处理器执行以下操作：
[0163]
获取交互主机的交互配置表中的加密配置；
[0164]
获取基础配置表中与所述流程对应的加密信息。
[0165]
在一种可选的方式中，所述程序510使所述处理器执行以下操作：
[0166]
从加密缓存池的基础配置表中获取与所述流程对应的加密信息；
[0167]
如果没有从所述加密缓存池中获取到，则在配置中查询相应配置并将获取的所述加密信息存入所述加密缓存池。
[0168]
在一种可选的方式中，所述程序510使所述处理器执行以下操作：
[0169]
根据所述交互配置表中的加密配置对所述数据进行加密；
[0170]
根据所述基础配置表中与所述流程对应的加密信息对数据进行进一步的加密处理。
[0171]
在一种可选的方式中，所述程序510使所述处理器执行以下操作：
[0172]
记录每一次加密的加密日志并存储在数据库中，其中所述加密日志至少包括：加密的数据对象、加密行为时间以及加密所用算法。
[0173]
本发明实施例通过获取it系统中任一流程进行数据交互的数据传输请求，将请求的数据暂存至入栈中；获取与所述流程对应的加密信息；根据所述加密信息对数据进行加密处理，并输送至出栈；将加密后的所述数据从出栈中输出继续完成所述流程数据交互，通过对it系统内部数据交互的加密，极大的提高it系统的安全系数，防止敏感数据外泄。
[0174]
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0175]
在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0176]
类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
[0177]
本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0178]
此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之
一都可以以任意的组合方式来使用。
[0179]
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。