一种数据安全管理方法及系统与流程

1.本发明涉及数据安全相关领域，具体是一种数据安全管理方法及系统。


背景技术：

2.在企业、医院等由多种功能职位配合完成一系列工作的场所中，重要数据的隐私管理以及安全管理一直是十分重要的，例如在企业的一项合作工程中，相关文件涉及合作对象的多种隐私信息，且多个文件中，部分文件的内容具有较高的保密性，因此对这些文件中的隐私信息以及高保密性的文件，工作链中的部分职位人员是不需要所了解的，但剔除这些信息可能会影响文件的完整性，影响工作进行，且剔除工作量巨大。
3.现有技术中，这种情况下，企业多采取涉及人员均签订保密协议的方式进行，这样的处理方式并不能从根本上解决问题，且具有较高的风险。


技术实现要素：

4.本发明的目的在于提供一种数据安全管理方法及系统，以解决上述背景技术中提出的问题。
5.为实现上述目的，本发明提供如下技术方案：一种数据安全管理系统，包括：检测定位模块，用于获取待处理数据，通过预设的隐私特征比对库对所述待处理数据进行特征提取分析，并生成特征标记，所述隐私特征比对库用于表征不同类别隐私信息的数据特征；密钥获取模块，用于生成隐私密钥获取请求，通过预设的生物识别程序获取唯一的隐私密钥，所述生物识别程序用于对用户的生物特征信息进行提取分析以生成所述隐私密钥的数据信息；隐私加密模块，用于根据所述特征标记对所述隐私信息的数据段进行定位，通过所述隐私密钥对所述数据段进行加密，生成隐私屏蔽数据，并清空所述隐私密钥；数据分级模块，用于生成数据存储等级请求，并获取所述隐私屏蔽数据的存储等级，根据所述存储等级对所述隐私屏蔽数据进行存储，所述存储等级用于表征不同用户对所述隐私屏蔽数据的读取权限。
6.作为本发明的进一步方案：所述密钥获取模块包括：密钥请求单元，用于生成隐私密钥获取请求；信息采集单元，用于响应所述隐私密钥获取请求，通过所述生物识别程序获取用户的生物特征信息，所述生物特征信息包括用户指纹信息以及用户虹膜信息；密钥生成单元，用于通过预设的生物特征提取程序对所述生物特征信息进行提取，生成隐私密钥，所述生物特征提取程序用于以一定的信息提取规律对用户的生物特征信息进行提取分析以获取生成所述隐私密钥的数据信息；密钥暂存单元，用于存储所述隐私密钥。
7.作为本发明的再进一步方案：所述隐私加密模块包括：数据获取单元，用于根据所述特征标记对所述隐私信息的数据段进行定位，获取与所述特征标记相对应的数据段；数据加密单元，用于通过所述隐私密钥对所述数据段进行加密，生成替换数据段；数据替换单元，用于使用所述替换数据段对所述待处理数据相对应的所述数据段进行内容替换，生成隐私屏蔽数据；密钥清空单元，用于清空存储的所述隐私密钥以及所获取的数据段。
8.作为本发明的再进一步方案：包括预设的用户认证库，所述用户认证库用于存储具有数据访问权限的用户登录信息以及相对应的用户权限等级，所述用户权限等级与所述存储等级相对应，用于表征用户对不同存储等级的所述隐私屏蔽数据的读取权限。
9.作为本发明的再进一步方案：还包括身份验证模块，所述身份验证模块包括：登录信息获取单元，用于通过用户交互程序获取所述用户登录信息；登录信息验证单元，用于通过用户认证库对所述用户登录信息进行遍历验证，生成身份验证结果，若所述身份验证结果为不符合，获取用户登录信息生成记录并生成访问日志；用户权限获取单元，用于当所述身份验证结果为符合时，通过所述用户认证库获取相对应的所述用户权限等级；权限文件筛选单元，用于根据所述用户权限等级以及所述存储等级对所述隐私屏蔽数据进行筛选，隐藏所述存储等级高于所述用户权限等级的所述隐私屏蔽数据。
10.本发明实施例旨在提供一种数据安全管理方法，所述方法包括步骤：获取待处理数据，通过预设的隐私特征比对库对所述待处理数据进行特征提取分析，并生成特征标记，所述隐私特征比对库用于表征不同类别隐私信息的数据特征；生成隐私密钥获取请求，通过预设的生物识别程序获取唯一的隐私密钥，所述生物识别程序用于对用户的生物特征信息进行提取分析以生成所述隐私密钥的数据信息；根据所述特征标记对所述隐私信息的数据段进行定位，通过所述隐私密钥对所述数据段进行加密，生成隐私屏蔽数据，并清空所述隐私密钥；生成数据存储等级请求，并获取所述隐私屏蔽数据的存储等级，根据所述存储等级对所述隐私屏蔽数据进行存储，所述存储等级用于表征不同用户对所述隐私屏蔽数据的读取权限。
11.作为本发明的进一步方案：所述生成隐私密钥获取请求，通过预设的生物识别程序获取唯一的隐私密钥的步骤具体包括：生成隐私密钥获取请求；响应所述隐私密钥获取请求，通过所述生物识别程序获取用户的生物特征信息，所述生物特征信息包括用户指纹信息以及用户虹膜信息；通过预设的生物特征提取程序对所述生物特征信息进行提取，生成隐私密钥，所述生物特征提取程序用于以一定的信息提取规律对用户的生物特征信息进行提取分析以获取生成所述隐私密钥的数据信息；存储所述隐私密钥。
12.作为本发明的再进一步方案：所述根据所述特征标记对所述隐私信息的数据段进
行定位，通过所述隐私密钥对所述数据段进行加密，生成隐私屏蔽数据，并清空所述隐私密钥的步骤具体包括：根据所述特征标记对所述隐私信息的数据段进行定位，获取与所述特征标记相对应的数据段；通过所述隐私密钥对所述数据段进行加密，生成替换数据段；使用所述替换数据段对所述待处理数据相对应的所述数据段进行内容替换，生成隐私屏蔽数据；清空存储的所述隐私密钥以及所获取的数据段。
13.与现有技术相比，本发明的有益效果是：通过密钥获取模块以及隐私加密模块的设置，可以通过根据使用者的生物信息生成唯一的隐私密钥，从而对检测定位模块所检测分析出的使用者的隐私信息进行加密或是部分加密，保护在文件数据的传输过程中用户隐私信息的安全性，且通过生物信息获取和验证的隐私密钥，无法通过传统的文件加密破解方式进行轻易的解除，提高了用户隐私信息的安全性；进一步的，数据分级模块的设置可以对文件数据进行访问权限的划分，可以实现控制文件数据对不同人员的访问限制，对于企业等团体的文件管理更加方便有效。
附图说明
14.图1为一种数据安全管理系统的组成框图。
15.图2为一种数据安全管理系统中密钥获取模块的组成框图。
16.图3为一种数据安全管理系统中隐私加密模块的组成框图。
17.图4为一种数据安全管理方法的流程框图。
具体实施方式
18.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
19.以下结合具体实施例对本发明的具体实现方式进行详细描述。
20.如图1所述，为本发明一个实施例提供的一种数据安全管理系统，包括：检测定位模块100，用于获取待处理数据，通过预设的隐私特征比对库对所述待处理数据进行特征提取分析，并生成特征标记，所述隐私特征比对库用于表征不同类别隐私信息的数据特征。
21.本实施例中，在使用时，检测定位模块100的作用是对数据进行检测分析，对数据中包含的敏感数据内容进行识别，例如在医院的病人的医疗数据中，某一病人的数据在包括其病情信息以及医生所开出的治疗药物信息的同时，可能还包括病人的联系方式，个人证件信息以及联系人信息等重要的个人信息，而这些信息在医院的某些医疗步骤中并不需要被使用（例如取药时，看病时并不需要病人完整的证件信息），因此对于这些信息进行保护对于病人的隐私保护是有必要的。
22.密钥获取模块300，用于生成隐私密钥获取请求，通过预设的生物识别程序获取唯一的隐私密钥，所述生物识别程序用于对用户的生物特征信息进行提取分析以生成所述隐
私密钥的数据信息。
23.本实施例中，密钥获取模块300的本质为生物识别获取装置，例如虹膜识别装置，指纹识别装置，声纹识别装置等，通过获取用户的相关生物信息，并对生物信息进行简化处理（降低包含的信息内容体量，因为当包含的信息细节过多时，在不同的检测中会提取到不同的数据内容，因此降低信息细节，并通过多次采集分析，进而确定多个具有代表性的信息进行使用）（在需要进行加密数据的解密过程中也采用相同的方式进行），提取生成隐私密钥，因此隐私密钥是与用户一一对应的，只有对应的人员才能够对其进行授权查看，具有良好的隐私保密效果。
24.隐私加密模块500，用于根据所述特征标记对所述隐私信息的数据段进行定位，通过所述隐私密钥对所述数据段进行加密，生成隐私屏蔽数据，并清空所述隐私密钥。
25.本实施例中，隐私加密模块500的作用可以解释为对待处理数据中的隐私信息进行加密，对应病人的医疗数据，则为用户的完整证件信息中的一部分（这里仅作为举例，并非唯一使用场景），在加密完成后，对隐私密钥进行清空，作用是防止隐私密钥的泄露。
26.数据分级模块700，用于生成数据存储等级请求，并获取所述隐私屏蔽数据的存储等级，根据所述存储等级对所述隐私屏蔽数据进行存储，所述存储等级用于表征不同用户对所述隐私屏蔽数据的读取权限。
27.本实施例中，数据分级模块700在使用时会对数据进行存储级别的划分，然后再对其进行保存，存储级别的划分，可以方便对数据的访问进行方便的管控，例如在企业中，通常将数据在企业数据库中进行存储，而不同岗位和职别的人对不同文件的访问是有限制的，部分文件因其保密性，必须只对部分人放开访问权限，因此通过存储级别的划分，能够方便的实现这一管控。
28.作为本发明另一个优选的实施例，所述密钥获取模块300包括：密钥请求单元301，用于生成隐私密钥获取请求。
29.信息采集单元302，用于响应所述隐私密钥获取请求，通过所述生物识别程序获取用户的生物特征信息，所述生物特征信息包括用户指纹信息以及用户虹膜信息。
30.密钥生成单元303，用于通过预设的生物特征提取程序对所述生物特征信息进行提取，生成隐私密钥，所述生物特征提取程序用于以一定的信息提取规律对用户的生物特征信息进行提取分析以获取生成所述隐私密钥的数据信息。
31.密钥暂存单元304，用于存储所述隐私密钥。
32.本实施例中，对密钥获取模块300进行了细分，在用户输入了一份待处理数据，且检测定位模块检测出隐私信息并生成了特征标记后，密钥请求单元301便会生成并向用户发出提示，告知用户需要进行隐私信息的加密保护（当然用户有权选择可以不进行加密），从而从用户采集获取生物特征信息，并处理生成隐私密钥。
33.作为本发明另一个优选的实施例，所述隐私加密模块500包括：数据获取单元501，用于根据所述特征标记对所述隐私信息的数据段进行定位，获取与所述特征标记相对应的数据段。
34.数据加密单元502，用于通过所述隐私密钥对所述数据段进行加密，生成替换数据段。
35.数据替换单元503，用于使用所述替换数据段对所述待处理数据相对应的所述数
据段进行内容替换，生成隐私屏蔽数据。
36.密钥清空单元504，用于清空存储的所述隐私密钥以及所获取的数据段。
37.本实施例中，隐私加密模块500在执行其功能时，首先根据特征标记对隐私信息数据段的位置在待处理数据中进行定位，并读取需要进行加密处理的数据段，通过数据加密单元502使用隐私密钥对其进行加密（在这一过程中，数据加密单元502会对加密的数据段进行标记，例如通过起始字符进行数据段初始位置的标记，这样当与数据加密单元502对应的解密单元工作时，会对其进行识别，从而确定需要进行解密的数据段位置），在加密完成后，将加密后的隐私屏蔽数据对应替换待处理数据中的对应部分，并清除隐私密钥以及数据段，从而保证加密数据的安全性。
38.作为本发明另一个优选的实施例，包括预设的用户认证库，所述用户认证库用于存储具有数据访问权限的用户登录信息以及相对应的用户权限等级，所述用户权限等级与所述存储等级相对应，用于表征用户对不同存储等级的所述隐私屏蔽数据的读取权限。
39.进一步的，还包括身份验证模块，所述身份验证模块包括：登录信息获取单元，用于通过用户交互程序获取所述用户登录信息。
40.登录信息验证单元，用于通过用户认证库对所述用户登录信息进行遍历验证，生成身份验证结果，若所述身份验证结果为不符合，获取用户登录信息生成记录并生成访问日志。
41.用户权限获取单元，用于当所述身份验证结果为符合时，通过所述用户认证库获取相对应的所述用户权限等级。
42.权限文件筛选单元，用于根据所述用户权限等级以及所述存储等级对所述隐私屏蔽数据进行筛选，隐藏所述存储等级高于所述用户权限等级的所述隐私屏蔽数据。
43.本实施例中，补充了用户认证库，对应的用户权限等级以及身份验证模块，其作用是当用户登录系统进行数据的访问时，对用户的身份进行验证，并判断用户权限等级，以筛选其可以进行访问的文件数据等，进而对文件进行保护。
44.如图4所示，本发明还提供了一种数据安全管理方法，其包含：s200，获取待处理数据，通过预设的隐私特征比对库对所述待处理数据进行特征提取分析，并生成特征标记，所述隐私特征比对库用于表征不同类别隐私信息的数据特征。
45.s400，生成隐私密钥获取请求，通过预设的生物识别程序获取唯一的隐私密钥，所述生物识别程序用于对用户的生物特征信息进行提取分析以生成所述隐私密钥的数据信息。
46.s600，根据所述特征标记对所述隐私信息的数据段进行定位，通过所述隐私密钥对所述数据段进行加密，生成隐私屏蔽数据，并清空所述隐私密钥。
47.s800，生成数据存储等级请求，并获取所述隐私屏蔽数据的存储等级，根据所述存储等级对所述隐私屏蔽数据进行存储，所述存储等级用于表征不同用户对所述隐私屏蔽数据的读取权限。
48.作为本发明另一个优选的实施例，所述生成隐私密钥获取请求，通过预设的生物识别程序获取唯一的隐私密钥的步骤具体包括：生成隐私密钥获取请求。
49.响应所述隐私密钥获取请求，通过所述生物识别程序获取用户的生物特征信息，
所述生物特征信息包括用户指纹信息以及用户虹膜信息。
50.通过预设的生物特征提取程序对所述生物特征信息进行提取，生成隐私密钥，所述生物特征提取程序用于以一定的信息提取规律对用户的生物特征信息进行提取分析以获取生成所述隐私密钥的数据信息。
51.存储所述隐私密钥。
52.作为本发明另一个优选的实施例，所述根据所述特征标记对所述隐私信息的数据段进行定位，通过所述隐私密钥对所述数据段进行加密，生成隐私屏蔽数据，并清空所述隐私密钥的步骤具体包括：根据所述特征标记对所述隐私信息的数据段进行定位，获取与所述特征标记相对应的数据段。
53.通过所述隐私密钥对所述数据段进行加密，生成替换数据段。
54.使用所述替换数据段对所述待处理数据相对应的所述数据段进行内容替换，生成隐私屏蔽数据。
55.清空存储的所述隐私密钥以及所获取的数据段。
56.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（rom）、可编程rom（prom）、电可编程rom（eprom）、电可擦除可编程rom（eeprom）或闪存。易失性存储器可包括随机存取存储器（ram）或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram（sram）、动态ram（dram）、同步dram（sdram）、双数据率sdram（ddrsdram）、增强型sdram（esdram）、同步链路（synchlink） dram（sldram）、存储器总线（rambus）直接ram（rdram）、直接存储器总线动态ram（drdram）、以及存储器总线动态ram（rdram）等。
57.本领域技术人员在考虑说明书及实施例处的公开后，将容易想到本公开的其它实施方案。本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。
58.应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。