本申请涉及数据安全领域,尤其涉及一种操作执行方法及装置。
背景技术:
随着无纸化办公的流行,企业员工使用自用的用户终端处理事务变得越来越普遍。比如,企业员工可能会利用自用的手机,安装企业提供的工作专用软件,从而可以采用工作专用软件,进行会议室预定、与客户进行视频通话或者进行工作情况汇报等事务。该些事务过程产生或传输的数据,往往都与工作有关,可以称为工作数据。
除工作专用软件能够产生工作数据外,手机等用户终端上安装的一部分应用软件,比如电子邮件,也有可能会产生或传输工作数据。
由于上述应用软件的数据,通常会被操作系统存储到指定的存储空间或存储到应用软件自身的存储空间中,这些存储空间往往很容易被其他应用软件访问、复制、传输或修改等等,如果所述其他应用软件是期望窃取工作数据的恶意软件,则工作数据会面临非常大的安全风险。
目前,如何保证该些工作数据的安全性,成为亟待解决的问题。
技术实现要素:
本申请实施例提供一种操作执行方法,用以提供一种保证数据安全的方案。
本申请实施例还提供一种操作执行装置,用以提供一种保证数据安全的方案。
本申请实施例采用下述技术方案:
一种操作执行方法,包括:
第一应用软件确定第二应用软件的具备指定特征的数据;
将所述具备指定特征的数据迁移至属于第一应用软件的数据存储空间中,并对保存在所述数据存储空间中的数据执行预先设置的用于保证数据安全的操作。
一种操作执行装置,包括:
处理模块,用于确定第二应用软件的具备指定特征的数据;
执行模块,用于将处理模块确定的数据迁移至属于第一应用软件的数据存储空间中,并对保存在所述数据存储空间中的数据执行预先设置的用于保证数据安全的操作。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
由于第一应用软件可以将第二应用软件中具备指定特征的数据,迁移至第一应用软件的数据存储空间内,并对此数据存储空间内的数据执行预先设置的用于保证数据安全的操作,从而保证了第二应用软件的具备指定特征的数据的安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明实施例提供的一种操作执行方法的实现流程示意图;
图2为本发明实施例提供的一种操作执行装置示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的 实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
实施例1
本申请实施例提供一种操作执行方法,用以保证数据安全。具体地,实施例1提供的一种操作执行方法的实现流程示意图如图1所示,包括如下主要步骤:
步骤11,第一应用软件确定第二应用软件的具备指定特征的数据;
其中,第一应用软件,可以是用户终端安装的用于保证数据安全的应用软件。通常可以具备以下特点:
对第一应用软件的数据存储空间中的数据可以采取加密措施;
其他应用软件访问第一应用软件的数据存储空间中的数据时,第一应用软件可以对其他应用软件是否具备该存储空间的访问权限进行判断,并根据判断结果,确定是否允许所述其他应用软件访问该存储空间。
此外,第一应用软件也可以具备下述功能:
监控访问第一应用软件的数据存储空间的应用软件;
对第一应用软件的数据存储空间内的数据执行定期清理操作。
第二应用软件,一般是指安装有第一应用软件的用户终端所安装的其他任意的应用软件。比如,当所述用户终端为移动设备时,第二应用软件可以是短信应用、电话应用或邮件应用等。
第二应用软件的数据,比如可以是指第二应用软件获取、生成、传输或保存的数据。第二应用软件的具备指定特征的数据,比如可以是第二应用软件的、具备工作数据特征的数据。
以第二应用软件为“短信应用”为例,若短信应用生成的某条短信的发送 方号码或者接收方号码,与预先设置的企业通讯录(相当于“工作数据特征清单”)中的某号码相同,则说明该条短信具备工作数据特征,从而确定该条短信为具备指定特征的数据。以电子邮件应用发送的某封电子邮件为例,若该封电子邮件的接收方邮箱的后缀或者发送方邮箱的后缀,与监控软件获取到的企业邮箱的后缀(相当于“工作数据特征”)相同,则说明该封电子邮件具备工作数据特征,从而确定该封电子邮件为具备指定特征的数据。
本申请实施例中,第一应用软件可以但不限于采用下述方式之一,获取用于确定具备指定特征的数据的所述指定特征:
1、第一应用软件获取预先设置在本地的所述指定特征。
比如,第一应用软件可以获取设置在第一应用软件的安装包中的、包含所述指定特征的特征列表。该特征列表,比如可以是第一应用软件的软件开发人员设置的。
或者,第一应用软件可以获取由操作系统保存到第一应用的数据存储空间内的所述指定特征。
2、第一应用软件接收服务器发送的所述指定特征。
比如,第一应用软件可以向服务器发送特定特征获取请求,以触发服务器向第一应用软件发送所述指定特征;或者,服务器也可以主动向第一应用软件发动所述指定特征。
3、第一应用软件获取用户输入的所述指定特征。
第一应用软件通过上述至少一种方式获取所述指定特征后,可以直接通过调用第二应用软件向第一应用软件开放的应用程序编程接口(Application Programming Interface,API),向第二应用软件发送所述指定特征,以触发第二应用软件确定具备所述指定特征的数据。
或者,第一应用软件也可以通过所述API,请求访问第二应用软件的数据库。第一应用软件通过对第二应用软件的数据库的访问,可以确定所述数据库中,是否存在具备所述指定特征的数据。
以第二应用软件为“电子邮件应用”为例,每封电子邮件通常都会具备收件人、发件人、主题、以及正文内容等等元素。若第一应用软件确定的指定特征为某发件人名称,那么,当某封电子邮件的发件人名称与第一应用确定的该发件人名称一致时,则第一应用软件确定该封电子邮件为具备所述指定特征的数据。
步骤12,第一应用软件将通过执行步骤11确定的具备所述指定特征的数据迁移至属于第一应用软件的数据存储空间中,并对保存在所述数据存储空间中的数据执行预先设置的用于保证数据安全的操作。
比如,第一应用软件可以通过调用第二应用软件向第一应用软件开放的API,获取第二应用软件的具备所述指定特征的数据并迁移至属于第一应用软件的数据存储空间中;或第一应用软件接收由第二应用软件主动迁移的、第二应用软件的具备所述指定特征的数据。
本申请实施例中,所述“迁移”是指将数据从原存储空间“剪切”至目标存储空间,即当数据从原存储空间转移至目标存储空间后,原存储空间中的该数据被删除。
在将第二应用软件的具备所述指定特征的数据迁移至第一应用软件的数据存储空间之前,第一应用软件可以向操作系统发送请求,请求操作系统为第一应用软件分配第一应用软件的所述数据存储空间,以便存储迁移的其他应用软件的数据。或者,操作系统也可以主动为第一应用软件分配该数据存储空间,以便存储迁移的其他应用软件的数据。
当第一应用软件的剩余存储空间不足以存储第二应用软件的具备所述指定特征的数据时,第一应用软件可以但不限于采用下述方式之一获取更多的剩余存储空间,比如:
1、第一应用软件可以为数据存储空间内的各数据设定有效期限,并根据有效期限,对失效的数据进行删除从而释放该数据存储空间的部分或全部空间。
2、第一应用软件可以根据数据的重要程度,为数据存储空间内的数据设置权重值,并当待存储的数据的权重值高于数据存储空间的某些数据的权重值时,则可以按照权重值由低至高的顺序,对相应的数据依次进行删除,直至数据存储空间内的剩余空间足以存储待存储的数据。
比如:第一应用软件存储的数据类型分别为A、B、C,预设的权重值关系为A>B>C。若假设D类数据为待存储数据,且第一应用软件的数据存储空间的当前剩余存储空间不足以存储D类数据,则第一应用软件在确定出D类数据的权重值高于A、B、C类数据的权重值时,第一应用软件可以删除C类数据、在删除C类数据剩余存储空间还不足以存储D类数据,继续删除权重较低的B类数据,依次类推,直至D类数据能够存储在该存储空间内。若D类数据的权重值仅高于C类数据的权重值,则将C类数据进行删除,剩余空间用以存储D类数据。若D类数据的权重值比已保存的A、B、C类数据的权重值都要低,则第一应用软件可以丢弃D类数据。
3、第一应用软件还可以向操作系统发送请求,请求操作系统为第一应用软件分配更多的存储空间。
第一应用软件通过对数据存储空间的调整,能够有效的保证具备所述指定特征的数据存储在指定的存储空间内。
以下进一步介绍第一应用软件如何对保存在所述数据存储空间中的数据执行预先设置的用于保证数据安全的操作。
其中,数据安全,可以但不限于包括五方面的内容,即保证数据的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。数据安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。本实施例主要针对保存在第一应用软件的数据存储空间(该数据存储空间比如可以是数据库)中的数据的保密性、未授权拷贝进行说明。
本申请实施例中,为了保证保存在第一应用软件的数据存储空间的数据的 安全,第一应用软件针对待保存在所述数据存储空间中的数据执行预先设置的用于保证数据安全的操作,具体可以包括:
第一应用软件对所述数据存储空间内的全部数据或者具备所述指定特征的数据进行加密。
本申请实施例中,对数据进行加密,可以包括通过加密算法和加密密钥将明文转变为密文。这可以使得其他应用软件从第一应用软件的所述数据存储空间内获取到的具备所述指定特征的数据,是加密数据,那么,对于不知悉解密方法的应用软件而言,不能实现对于所述加密数据的解密,从而从一定程度上保证了具备所述指定特征的数据的安全性。
本申请实施例中,第一应用软件可以预先确定不会对第一应用软件数据安全产生威胁的应用软件,并将加密密钥和解密算法,通知给确定出的该些应用软件。没有被通知到的应用软件,则无法实现对所述数据存储空间的加密数据的解密。
在本实施例中,对具备所述指定特征的数据采用的加密算法的执行标准可以是高级加密标准(Advanced Encryption Standard,缩写:AES)。所述AES的基本要求是,采用对称分组密码体制,密钥长度的最少支持为128、192、256,分组长度128位,算法应易于各种硬件和软件实现。
第一应用软件除了可以对存储空间内的数据进行加密外,还可以对该存储空间的数据库进行加密和/或对存储路径加密,等等。加密算法也可以采用AES。
第一应用软件除了可以对保存在所述数据存储空间中的数据执行上文所述的加密操作外,第一应用软件还可以在监控到发生与所述数据存储空间中的数据相关的指定事件时,对保存在所述数据存储空间中的数据执行预先设置的用于保证数据安全的操作。
上述指定事件比如可以是其他应用软件对具备所述指定特征的数据进行访问或者调用。
执行与该事件对应的用于保证待监控应用软件数据安全的操作,比如可以 包括:
判断该事件是否符合规定的访问条件;若否,则禁止该请求访问事件的发起方访问具备所述指定特征的数据;若是,则允许该请求访问事件的发起方访问具备所述指定特征的数据。
上述的访问条件,具体可以包括下述至少一种:
1、请求访问事件的发起方具备访问具备所述指定特征的数据的权限。
比如,第一应用软件可以保存有一份“白名单”,该白名单中设置有具备访问第一应用软件的数据存储空间的应用软件的名称。比如,在实际应用中,可以预先确定不会对第一应用软件数据安全产生威胁的应用软件,并将确定的应用软件作为受信任软件,生成包含受信任软件的名称的白名单。
基于预先设置的该白名单,第一应用软件在监控到请求访问事件(即第一应用软件接收到第一应用软件的数据存储空间访问请求)时,可以判断该事件的发起方(所述访问请求的发起方)的名称是否在白名单中;若是,则判定该发起方具备访问第一应用软件的数据存储空间的权限,从而允许该发起方访问该数据存储空间;若否,则判定该发起方具备访问第一应用软件的数据存储空间的权限,从而禁止该发起方访问该数据存储空间。比如,该第一应用软件可以向操作系统发送禁止请求,以触发操作系统拦截该发起方对于该数据存储空间的操作指令。
这里所说的发起方,可能是服务器或其他应用软件。
2、请求访问事件的发生时间,处于预设时间范围。
比如,第一应用软件可以设置时间范围“7点至21点”,在此时间范围内,允许第一应用软件访问其他应用软件或被其他应用软件访问。本实施例提供的时间范围仅作参考实例,并不对时间范围进行限制。比如,在实际应用中,可以预先确定不会对第一应用软件数据安全产生威胁的应用软件,并将设置的该时间范围,通知给确定出的该些应用软件。
以短信应用作为发起方访问电子邮件应用为例,若电子邮件应用作为第一 应用软件,且第一应用软件设置了电子邮件应用允许被访问的时间范围为7点至21点,那么当短信应用作为发起方访问电子邮件应用的数据存储空间时,若该数据存储空间的请求访问事件发生在第一应用软件设定的7点至21点之间,则可以允许短信应用访问该数据存储空间,而若在此时间范围外,则禁止短信应用访问电子邮件应用。
本申请实施例中,判断请求访问事件的发起方是否具备规定的访问条件,也可以是既判断请求访问事件的发起方是否具备访问第一应用软件的数据存储空间的权限,又判断请求访问事件的发生时间是否处于预设时间范围。若得到的判断结果均为是,则允许该请求访问事件的发起方访问第一应用软件的数据存储空间,否则,则禁止该请求访问事件的发起方访问第一应用软件的数据存储空间。
本申请实施例中,通过第一应用软件对是否发生与第一应用软件的数据存储空间中的数据相关的指定事件进行实时监控,并在监控到发生指定事件时,以权限和/预设时间范围,作为禁止不被信任的应用软件对于第一应用软件的相关操作的依据,从而有效保证了第一应用软件的数据存储空间的数据安全性。
采用本申请提供的方法,由于第一应用软件可以将第二应用软件中具备指定特征的数据,迁移至第一应用软件的数据存储空间内,并对此数据存储空间内的数据执行预先设置的用于保证数据安全的操作,从而保证了第二应用软件的具备指定特征的数据的安全性。
实施例2
本申请实施例提供一种操作执行装置,用以保证数据安全。该装置的具体结构示意图如图2所示,包括:
处理模块21,用于确定第二应用软件的具备指定特征的数据;
执行模块22,用于将处理模块21确定的数据迁移至属于第一应用软件的数据存储空间中,并对保存在所述数据存储空间中的数据执行预先设置的用于 保证数据安全的操作。
可选的,处理模块21可以用于确定待保护的数据的特征;根据确定的待保护的数据的特征,确定第二应用软件的具备所述特征的数据。
其中,待保护的数据的特征可以通过下述至少一种方式确定:
接收服务器发送的所述待保护的数据的特征;
获取预先设置并保存在本地的所述待保护的数据的特征;
获取用户输入的所述待保护的数据的特征。
在一种实施方式中,执行模块22可以通过两种方式将处理模块21确定的数据迁移至属于第一应用软件的数据存储空间中。
具体地,执行模块22可以调用第二应用软件的应用程序编程接口API,获取所述具备指定特征的数据并迁移至属于第一应用软件的数据存储空间中;或接收第二应用软件迁移的所述具备指定特征的数据。
在一种实施方式中,执行模块22对保存在所述数据存储空间中的数据执行预先设置的用于保证数据安全的操作,可以包括下述至少一种:
对保存在数据存储空间中的数据进行加密;
在监控到发生与具备指定数据存储空间中的数据相关的指定事件时,对保存在该数据存储空间中的数据执行预先设置的用于保证数据安全的操作。
在一种实施方式中,所述装置还可以包括:
存储空间请求模块23,用于请求操作系统为第一应用软件分配所述数据存储空间。
采用本申请提供的上述装置,由于可以将第二应用软件中具备指定特征的数据,迁移至第一应用软件的数据存储空间内,并对此数据存储空间内的数据执行预先设置的用于保证数据安全的操作,从而保证了第二应用软件的具备指定特征的数据的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结 合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。