基于数据块的敏感数据过滤的方法和系统的制作方法
【专利摘要】本发明公开了一种基于数据块的敏感数据过滤的方法和系统,涉及数据安全领域。本发明提供的技术方案,通过将数据划分成数据块,基于数据块,计算敏感数据的特征码和用户访问的数据的特征码,并对两种特征码进行比较,当与敏感数据的特征码相同的用户访问的数据的特征码的数量达到设定的阈值时,则可以判定用户访问的数据即为敏感数据,并禁止用户继续访问,从而实现敏感数据的保护。由于各种格式的文件都可以划分成一定大小的数据块,都可以计算数据块对应的特征码,因此,本发明可以实现对各种格式的文件进行敏感数据数据的过滤,保证所有格式的文件都不具有泄密风险。
【专利说明】基于数据块的敏感数据过滤的方法和系统
【技术领域】
[0001]本发明涉及数据安全领域,尤其涉及一种基于数据块的敏感数据过滤的方法和系统。
【背景技术】
[0002]随着计算机办公的普遍应用,数据安全在各领域中都变得越来越重要,尤其是对于一些保密性强的行业,如果机密性资料外泄,则可能带来严重的后果,甚至带来巨大的损失。
[0003]目前,对敏感数据进行敏感词过滤是数据安全领域中常用的一种方法。这种方法需要读取数据流,并对数据流进行解析,读取解析后的数据内容,通过检索数据中的敏感词,判断解析出的数据是否为敏感数据。
[0004]由于无法对压缩文件进行解析,所以上述方法不能对压缩文件进行敏感数据过滤,从而使压缩文件具有泄密风险。
【发明内容】
[0005]本发明的目的在于提供一种基于数据块的敏感数据过滤的方法和系统,从而解决现有技术中存在的前述问题。
[0006]为了实现上述目的,本发明采用的技术方案如下:
[0007]本发明实施例一方面提供了一种基于数据块的敏感数据过滤的方法,该方法包括如下步骤:
[0008]SI,基于数据块,计算敏感数据特征码,构建敏感数据特征码库;
[0009]S2,监控用户访问数据的行为,监控到用户访问数据的行为时,按照步骤SI中所述计算敏感数据特征码的方法,计算用户访问的数据的特征码;
[0010]S3,将所述用户访问的数据的特征码与所述敏感数据特征码库比对,获得与所述敏感数据特征码相同的所述用户访问的数据的特征码,并存储累计;
[0011]S4,当步骤S3中获得与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量达到设定的阈值时,可以判定所述用户访问的数据是敏感数据;当与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量未达到所述设定的阈值时,重复步骤S2-S4,直到用户访问行为结束;
[0012]S5,若所述用户访问的数据是敏感数据,则禁止用户继续访问数据。
[0013]进一步地,步骤S5中,所述禁止用户继续访问数据之前还包括步骤,显示警告信肩、O
[0014]其中,所述显示警告信息,具体采用弹出提示框的方式。
[0015]进一步地,步骤S5中,所述禁止用户继续访问数据的同时或之后还包括步骤,记录并存储用户访问行为,并将所述用户访问数据的行为信息发送至管理员。
[0016]其中,所述将所述用户访问数据的行为信息发送至管理员,具体采用发送邮件的方式。
[0017]具体地,所述数据块根据所述敏感数据的大小进行划分。
[0018]优选地,所述数据块的大小为4kb。
[0019]其中,步骤SI中所述计算敏感数据特征码,具体为,计算敏感数据的MD5值。
[0020]其中,步骤S5中,所述禁止用户继续访问数据,具体采用锁定计算机的方式。
[0021]本发明实施例的另一个方面提供了一种基于数据块的敏感数据过滤的系统,该系统包括:
[0022]特征码计算模块:用于基于数据块,计算敏感数据特征码和计算用户访问的数据的特征码;
[0023]敏感数据特征码库:用于存储敏感数据特征码;
[0024]数据监控模块:用于监控用户访问的数据;
[0025]数据比对模块:用于将所述用户访问的数据的特征码与所述敏感数据特征码库比对;还用于比较与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量和设定的阈值。
[0026]本发明的有益效果是:通过将数据划分成数据块,基于数据块,计算敏感数据的特征码和用户访问的数据的特征码,并对两种特征码进行比较,当与敏感数据的特征码相同的用户访问的数据的特征码的数量达到设定的阈值时,则可以判定用户访问的数据即为敏感数据,并禁止用户继续访问,从而实现敏感数据的保护。由于各种格式的文件都可以划分成一定大小的数据块,都可以计算数据块对应的特征码,因此,本发明实施例提供的基于数据块的敏感数据过滤的方法和系统,可以实现对各种格式的文件进行敏感数据数据的过滤,保证所有格式的文件都不具有泄密风险。
【专利附图】
【附图说明】
[0027]图1是本发明实施例提供的基于数据块的敏感数据过滤的方法的流程图。
【具体实施方式】
[0028]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图,对本发明进行进一步详细说明。应当理解,此处所描述的【具体实施方式】仅仅用以解释本发明,并不用于限定本发明。
[0029]如图1所示,本发明实施例提供了一种基于数据块的敏感数据过滤的方法,包括如下步骤:
[0030]SI,基于数据块,计算敏感数据特征码,构建敏感数据特征码库。
[0031]其中,所述数据块根据所述敏感数据的大小进行划分。假如敏感数据是些小文件,比如都是些I兆的小文件,则划分的数据块就可以小一些,反之如果敏感数据是比较大的文件,比如都是几百兆的大文件,则划分的数据块就可以大一些。因为,数据块越小,对应的特征码越多,进行数据过滤时准确率就会越高,越不容易出错,但是,数据块越小,计算特征码的次数越多,则系统的效率越低。所以在划分数据块时,可以参考敏感数据的文件大小。
[0032]本发明实施例中,所述数据块的大小为4kb。对于大多数的敏感数据而言,可以既保证过滤的精确度,也可以保证计算的效率。
[0033]另外,本发明实施例中,步骤SI中所述计算敏感数据特征码,具体为,计算敏感数据的MD5值。
[0034]由于MD5计算时,将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生一个唯一的MD5信息摘要,即MD5值。所以,对于一个文件,只存在一个MD5值,如果该文件进行了任意的变动,MD5值都会发生变化,故对数据进行MD5计算,得到的MD5值作为数据对应的特征码会更加准确。
[0035]在本发明实施例中,以MD5值作为敏感数据的数据块对应的特征码,可以准确的标记这些数据块,从而在数据过滤时,可以实现被访问数据是否为敏感数据的准确的判定,而不会出现误判或错判的情况。
[0036]如本领域普通技术人员可以理解的,还可以采用其他的本领域常用的特征码和计算特征码的方法。
[0037]S2,监控用户访问数据的行为,监控到用户访问数据的行为时,按照步骤SI中所述计算敏感数据特征码的方法,计算用户访问的数据的特征码。
[0038]本发明实施例中,为了在敏感数据的特征码库中检索用户访问的数据的特征码相同的敏感数据特征码,判定该特征码对应的用户访问数据的数据块是否为敏感数据块,所以在计算用户访问数据的特征码时,采用与敏感数据特征码相同的计算方法和相同的特征码。
[0039]在本发明实施例中,当步骤SI中的敏感数据特征码为MD5值时,步骤S2中的用户访问的数据的特征码也为MD5值,该MD5值的计算方法也同步骤SI中的计算MD5值的方法。
[0040]S3,将所述用户访问的数据的特征码与所述敏感数据特征码库比对,获得与所述敏感数据特征码相同的所述用户访问的数据的特征码,并存储累计;
[0041]S4,当步骤S3中获得与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量达到设定的阈值时,可以判定所述用户访问的数据是敏感数据;当与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量未达到所述设定的阈值时,重复步骤S2-S4,直到访问行为结束;
[0042]其中,阈值的设定可以根据敏感数据的安全级别、被访问的次数等参数进行设定。本发明实施例中,设定的阈值为5。即规定用户访问的数据的特征码累计超过5个敏感数据特征码时,即可以判定用户访问的数据为敏感数据,当用户累积访问的数据的特征码累计未超过5个敏感数据特征码时,即可以判定用户访问的数据为非敏感数据,则继续进行数据过滤,直到用户访问行为结束。
[0043]S5,若所述用户访问的数据是敏感数据,则禁止用户继续访问数据。
[0044]其中,所述禁止用户继续访问数据,具体可以采用锁定计算机的方式。这种方式操作简单,实现比较容易。
[0045]在实际使用过程中,在用户的电脑上安装软件,该软件监控用户的访问行为,一旦软件监控到用户访问数据的行为,则启动敏感数据过滤方法,用户访问数据进行的同时,对访问的数据按照数据块计算特征码,当发现与敏感数据特征码相同的访问数据的特征码时,则判定该特征码对应的数据块为敏感数据块,当与敏感数据特征码相同的访问数据的特征码的数量达到提前设定的阈值时,则判定这些特征码对应的数据块所在的数据为敏感数据。从而实现敏感数据的过滤。由于该敏感数据过滤的过程是同访问行为同时进行的,所以可以及时的发现被访问的数据是否为敏感数据,从而保证了对敏感数据的及时过滤,不存在泄密的风险。
[0046]在本发明的一个实施例中,基于数据块的敏感数据过滤的方法,步骤S5中,所述禁止用户继续访问数据之前还包括步骤,显示警告信息。
[0047]其中,警告信息可以采用弹出提示框的方式,在警告提示框中写注明警告的内容。通过显示警告信息,可以提示用户尽快结束对该数据的访问行为。
[0048]如本领域普通技术人员可以理解的,还可以采用其他的形式,显示警告信息,以提示用户所访问的数据为敏感数据。
[0049]在本发明的一个实施例中,基于数据块的敏感数据过滤的方法,步骤S5中,所述禁止用户继续访问数据的同时或之后还包括步骤,记录并存储用户访问行为,并将所述用户访问数据的行为信息发送至管理员。
[0050]其中,管理员是对用户进行监督管理的人员。通过将用户访问敏感数据的行为信息发送至管理员,可以让管理员对用户行为进行了解和掌握,同时也能对用户进行一个警示作用。
[0051]本发明的实施例中,具体可以采用发送邮件的方式将所述用户访问数据的行为信息发送至管理员。如本领域普通技术人员可以理解的,还可以采用其他的常用技术手段将所述用户访问数据的行为信息发送至管理员。
[0052]本发明实施例提供了一种基于数据块的敏感数据过滤的系统,包括
[0053]特征码计算模块:用于基于数据块,计算敏感数据特征码和计算用户访问的数据的特征码;
[0054]敏感数据特征码库:用于存储敏感数据特征码;
[0055]数据监控模块:用于监控用户访问的数据;
[0056]数据比对模块:用于将所述用户访问的数据的特征码与所述敏感数据特征码库比对;还用于比较与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量和设定的阈值。
[0057]该系统可以用于基于数据块的敏感数据的过滤。
[0058]通过采用本发明公开的上述技术方案,得到了如下有益的效果:本发明通过将数据划分成数据块,基于数据块,计算敏感数据的特征码和用户访问的数据的特征码,并对两种特征码进行比较,当与敏感数据的特征码相同的用户访问的数据的特征码的数量达到设定的阈值时,则可以判定用户访问的数据即为敏感数据,从而实现敏感数据的保护。由于各种格式的文件都可以划分成一定大小的数据块,都可以计算数据块对应的特征码,因此,本发明实施例提供的基于数据块的敏感数据过滤的方法和系统,可以实现对各种格式的文件进行敏感数据数据的过滤,保证所有格式的文件都不具有泄密风险。
[0059]本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
[0060]本领域人员应该理解的是,上述实施例提供的方法步骤的时序可根据实际情况进行适应性调整,也可根据实际情况并发进行。
[0061]上述实施例涉及的方法中的全部或部分步骤可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机设备可读取的存储介质中,用于执行上述各实施例方法所述的全部或部分步骤。所述计算机设备,例如:个人计算机、服务器、网络设备、智能移动终端、智能家居设备、穿戴式智能设备、车载智能设备等;所述的存储介质,例如:RAM、ROM、磁碟、磁带、光盘、闪存、U盘、移动硬盘、存储卡、记忆棒、网络服务器存储、网络云存储坐寸ο
[0062]最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0063]以上所述仅是本发明的优选实施方式,应当指出,对于本【技术领域】的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
【权利要求】
1.一种基于数据块的敏感数据过滤的方法,其特征在于,包括如下步骤: SI,基于数据块,计算敏感数据特征码,构建敏感数据特征码库; S2,监控用户访问数据的行为,监控到用户访问数据的行为时,按照步骤SI中所述计算敏感数据特征码的方法,计算用户访问的数据的特征码; S3,将所述用户访问的数据的特征码与所述敏感数据特征码库比对,获得与所述敏感数据特征码相同的所述用户访问的数据的特征码,并存储累计; S4,当步骤S3中获得与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量达到设定的阈值时,可以判定所述用户访问的数据是敏感数据;当与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量未达到所述设定的阈值时,重复步骤S2-S4,直到用户访问行为结束; S5,若所述用户访问的数据是敏感数据,则禁止用户继续访问数据。
2.根据权利要求1所述的基于数据块的敏感数据过滤的方法,其特征在于,步骤S5中,所述禁止用户继续访问数据之前还包括步骤,显示警告信息。
3.根据权利要求2所述的基于数据块的敏感数据过滤的方法,其特征在于,所述显示警告信息,具体采用弹出提示框的方式。
4.根据权利要求1所述的基于数据块的敏感数据过滤的方法,其特征在于,步骤S5中,所述禁止用户继续访问数据的同时或之后还包括步骤,记录并存储用户访问行为,并将所述用户访问数据的行为信息发送至管理员。
5.根据权利要求4所述的基于数据块的敏感数据过滤的方法,其特征在于,所述将所述用户访问数据的行为信息发送至管理员,具体采用发送邮件的方式。
6.根据权利要求1所述的基于数据块的敏感数据过滤的方法,其特征在于,所述数据块根据所述敏感数据的大小进行划分。
7.根据权利要求6所述的基于数据块的敏感数据过滤的方法,其特征在于,所述数据块的大小为4kb。
8.根据权利要求1所述的基于数据块的敏感数据过滤的方法,其特征在于,步骤SI中所述计算敏感数据特征码,具体为,计算敏感数据的MD5值。
9.根据权利要求1所述的基于数据块的敏感数据过滤的方法,其特征在于,步骤S5中,所述禁止用户继续访问数据,具体采用锁定计算机的方式。
10.一种基于数据块的敏感数据过滤的系统,其特征在于,包括 特征码计算模块:用于基于数据块,计算敏感数据特征码和计算用户访问的数据的特征码; 敏感数据特征码库:用于存储敏感数据特征码; 数据监控模块:用于监控用户访问的数据; 数据比对模块:用于将所述用户访问的数据的特征码与所述敏感数据特征码库比对;还用于比较与所述敏感数据特征码相同的所述用户访问的数据的特征码的数量和设定的阈值。
【文档编号】G06F17/30GK104331414SQ201410510353
【公开日】2015年2月4日 申请日期:2014年9月28日 优先权日:2014年9月28日
【发明者】杨耀敏, 赵君翔 申请人:北京云巢动脉科技有限公司