客户信息外拷行为的处理方法、装置、电子设备及介质

技术领域

本申请涉及计算机网络技术，具体涉及大数据、数据分析与挖掘技术，信息防泄露技术领域，尤其涉及一种客户信息外拷行为的处理方法、装置、电子设备及介质。

背景技术

随着计算机网络技术的发展，企业在网络安全设置时一般采用内外网络隔离的方式保障网络安全，因此，员工通过即时通讯软件等泄露或传播客户信息的难度较大。此外，内部邮件系统中对于客户信息的相关拦截手段已经较为成熟且全面，这也进一步抑制了客户信息网络泄露的可能性。

但是，由于金融领域中的部分业务具有对外数据交流的需求，为此在企业移动存储设备使用管理中，仍保留了一部分可对外数据拷贝功能，因此，对外拷贝客户信息的精准监测作为客户信息防泄漏的重要环节，这对于避免大批量客户信息泄露具有重要意义。

发明内容

本申请提供一种客户信息外拷行为的处理方法、装置、电子设备及介质，用以解决现有技术中无法精准监测客户信息外拷行为的问题，实现精准监测客户信息外拷行为，以避免大批量客户信息泄露的技术效果。

一方面，本申请提供一种客户信息外拷行为的处理方法，包括：

获取用户的客户信息外拷行为的用户行为特征，其中，上述客户信息外拷行为用于表征上述用户采用移动存储设备从终端设备外拷客户信息；

基于上述用户行为特征确定上述用户所属的用户类型；

根据上述用户类型监测上述客户信息外拷行为，得到外拷行为监测结果；

展示上述外拷行为监测结果。

进一步地，上述获取用户的客户信息外拷行为的用户行为特征，包括：

从移动存储设备使用日志中获取文件外拷日志，其中，上述移动存储设备使用日志中记录有上述用户使用移动存储设备进行的所有文件操作，上述文件操作包括：文件导入操作，文件外拷操作，复制粘贴操作；

从上述文件外拷日志中获取上述用户的上述客户信息外拷行为；

对上述用户的上述客户信息外拷行为进行分析，得到上述用户行为特征。

进一步地，上述对上述用户的上述客户信息外拷行为进行分析，得到上述用户行为特征，包括：

获取预先确定的行为分析参考信息，其中，上述行为分析参考信息包括以下至少之一：上述用户与所属单位中分支机构的第一对应关系、上述用户登录各个分支机构内部系统的登录信息、上述用户所配备的终端设备的设备信息、各个上述分支机构的用户数量、各个上述分支机构中具有信息外拷权限的用户比例、各个上述分支机构中具有信息外拷权限的用户，与所配备的终端设备之间的第二对应关系；

根据上述行为分析参考信息，对上述用户的上述客户信息外拷行为进行分析，得到上述用户行为特征。

进一步地，上述根据上述用户类型监测上述客户信息外拷行为，得到外拷行为监测结果，包括：

若上述用户类型指示上述用户为一类用户，则监测上述一类用户使用本人的登录账号以及本人所配备的终端设备，登录单位内部系统所进行的上述客户信息外拷行为，得到上述外拷行为监测结果，其中，上述一类用户为单位在职用户。

进一步地，上述根据上述用户类型监测上述客户信息外拷行为，得到外拷行为监测结果，包括以下至少之一：

若上述用户类型指示上述用户为二类用户，则监测上述二类用户使用本人的登录账号以及本人所配备的终端设备，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果；

若上述用户类型指示上述用户为二类用户，则监测上述二类用户借用他人的登录账号或他人所配备的终端设备，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果，其中，上述二类用户为单位离职用户。

进一步地，上述监测上述二类用户借用他人的登录账号，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果，包括：

若监测到上述二类用户未使用本人的登录账号，登录单位内部系统执行上述客户信息外拷行为，则确定上述二类用户登录上述单位内部系统的常用终端设备；

基于终端登录日志，确定在上述常用终端设备登录过的上述他人的登录账号，其中，上述他人的登录账号至少具备文件外拷权限；

根据文件外拷日志筛选上述他人的登录账号对应的上述客户信息外拷行为，得到上述外拷行为监测结果。

进一步地，上述监测上述二类用户借用他人所配备的终端设备，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果，包括：

若监测到上述二类用户未使用本人所配备的终端设备，登录上述单位内部系统执行上述客户信息外拷行为，则获取在离职日期之前，上述二类用户内部发送客户信息文件的发送记录；

根据上述发送记录确定接收上述客户信息文件的用户信息；

基于上述用户信息，确定上述二类用户借用的上述他人所配备的终端设备；

根据文件外拷日志筛选上述他人所配备的终端设备对应的上述客户信息外拷行为，得到上述外拷行为监测结果。

进一步地，上述方法还包括：

根据上述客户信息外拷行为确定对应的外拷文件；

采用预先确定的客户信息关键字，对外拷文件的文件名进行分析，得到上述外拷文件的文件类型；

根据上述外拷文件的文件类型，对上述客户信息外拷行为进行风险等级划分，得到风险等级划分结果。

进一步地，上述外拷行为监测结果，包括如下至少之一：上述用户所属单位中各个分支机构的外拷文件数量、文件外拷详情信息、文件外拷趋势信息、客户信息外拷行为的风险等级划分结果、上述移动存储设备的外拷权限数量与比例信息、各类上述移动存储设备的权限策略分配信息。

另一方面，本申请提供一种客户信息外拷行为的处理装置，上述装置包括：

获取模块，用于获取用户的客户信息外拷行为的用户行为特征，其中，上述客户信息外拷行为用于表征上述用户采用移动存储设备从终端设备外拷客户信息；

确定模块，用于基于上述用户行为特征确定上述用户所属的用户类型；

监测模块，用于根据上述用户类型监测上述客户信息外拷行为，得到外拷行为监测结果；

展示模块，用于展示上述外拷行为监测结果。

另一方面，本申请提供一种电子设备，包括：处理器，以及与上述处理器连接的存储器；上述存储器存储计算机执行指令；上述处理器执行上述存储器存储的计算机执行指令，以实现如任一项上述的方法。

另一方面，本申请提供一种计算机可读存储介质，上述计算机可读存储介质中存储有计算机执行指令，上述计算机执行指令被处理器执行时用于实现如任一项上述的方法。

另一方面，本申请提供一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现任一项上述的方法。

本申请提供一种客户信息外拷行为的处理方法、装置、电子设备及介质。该方法通过获取用户的客户信息外拷行为的用户行为特征，由于该客户信息外拷行为用于表征用户采用移动存储设备从终端设备外拷客户信息；通过分析上述确定的用户行为特征，可以确定用户所属的用户类型，例如，在职员工或者离职员工，由于不同用户类型的用户执行客户信息外拷行为，需要进行不同的监测处理。之后，根据用户所属的用户类型确定不同的监测策略，以采用不同的监测策略，精准监测不同用户类型的用户所执行的客户信息外拷行为，因此，可以得到更加准确的外拷行为监测结果。最后，通过展示上述外拷行为监测结果，基于该外拷行为监测结果对员工的外拷行为及时的进行干预，可以实现避免大批量客户信息泄露的技术效果。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1是本申请实施例所提供的一种客户信息外拷行为的处理方法的流程示意图；

图2是本申请实施例所提供的一种客户信息外拷行为的监测系统的架构示意图；

图3是本申请实施例所提供的一种可选的客户信息外拷行为的处理方法的流程示意图；

图4是本申请实施例所提供的一种可选的客户信息外拷行为的处理方法的流程示意图；

图5是本申请实施例所提供的一种可选的客户信息外拷行为的处理方法的流程示意图；

图6为本申请实施例提供的一种客户信息外拷行为的处理装置的结构框图；

图7为本申请实施例提供的一种电子设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

首先对本申请所涉及的名词进行解释：

移动存储设备：是一种便携式的存储介质，例如，U盘、光盘等，大型机器、不容易携带移动的设备都不属于移动存储设备。使用过程中，只需要将移动存储设备连接到新设备的USB接口，就可以直接修改、查阅资料。

U盘：是USB(USB flash disk)盘的简称，据谐音也称“优盘”。U盘是闪存的一种，故有时也称作闪盘。U盘与硬盘的最大不同是，它不需物理驱动器，即插即用，且其存储容量远超过软盘，极便于携带。

个人信息泄露已经成为大数据时代的一大“毒瘤”，与互联网等其他行业不同，金融业尤其是银行机构掌握大量客户资金与客户个人关键信息，一旦发生客户信息泄露事件造成的客户资金损失更大，社会影响范围更广，资金追溯难度更大。因此银行等金融机构需要从流程管理到技术监督等多方便提升个人客户信息保护能力，承担起保障金融体系稳定运行的社会责任。

随着计算机网络技术的发展，企业在网络安全设置时一般采用内外网络隔离的方式保障网络安全，因此员工通过即时通讯软件等泄露或传播客户信息的难度较大，此外，内部邮件系统中对于客户信息的相关拦截手段已经较为成熟且全面，这也进一步抑制了客户信息网络泄露的可能性。但由于业部分业务具有对外数据交流的需求，因此在企业U盘使用管理中保留了一部分可对外数据拷贝的U盘功能，因此对U盘拷贝客户信息的精准管控是客户信息防泄漏的重要一环，这对于避免大批量客户信息泄露具有重要意义。

目前，U盘监测工作面临以下几方面的问题：1.U盘类别难以区分，内部U盘拷贝数据导致误报；2.无法准确识别客户信息，客户信息文件与其他文件混淆，导致数据结果可用性差；3.风险未分级管控，无法对不同风险等级的安全事件采取不同等级的处理措施；4.缺少对员工行为模式或行为特征的建模，导致数据接入较为局限；5.数据分析结果呈现单一，无法满足不同管理层级的数据使用需求；6.自动化程度不足，过于依赖人工排查。

本申请提供的客户信息外拷行为的处理方法，旨在解决现有技术的如上技术问题。下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

本申请提供一种客户信息外拷行为的处理方法，图1是本申请实施例所提供的一种客户信息外拷行为的处理方法的流程示意图，如图1所示，该方法包括：

S101，获取用户的客户信息外拷行为的用户行为特征。

其中，上述客户信息外拷行为用于表征上述用户采用移动存储设备从终端设备外拷客户信息。

S102，基于上述用户行为特征确定上述用户所属的用户类型。

S103，根据上述用户类型监测上述客户信息外拷行为，得到外拷行为监测结果。

S104，展示上述外拷行为监测结果。

可选的，上述移动存储设备可以为U盘，U盘是一种集磁盘存储技术、闪存技术及通用串行总线技术于一体的存储设备。USB的端口连接电脑，是数据输入/输出的通道；U盘采用闪存Flash芯片保存数据，与计算机的内存不同，即使在断电后数据也不会丢失。

可选的，上述终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、个人数字助理(Personal Digital Assistant，简称PDA)、平板电脑(PortableAndroid Device，简称PAD)、便携式多媒体播放器(Portable Media Player，简称PMP)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。

可选的，上述用户为任意类型的单位或者集体管理系统内的员工，具体为使用U盘，从单位或者集体管理系统的终端设备(即内部终端)上对外导出或拷贝数据的员工。

本申请实施例所提供的一种客户信息外拷行为的处理方法，涉及计算机网络技术，具体涉及信息防泄露技术领域，可以用于企业单位、事业单位、私有制单位、合伙企业单位等等，例如掌握大量客户资金与客户个人关键信息的银行机构等金融单位，但是，只要员工可以从单位或者集体管理系统内部，对外导出或拷贝数据，则均可以采用本申请实施例提供的客户信息外拷行为的处理方法。

容易理解的是，采用本申请实施例，还可以对其他数据外拷行为进行监测和处理，例如，上述其他数据可以为单位内部的机密文件、培训文件、员工私人数据、财务数据等等。

本申请实施例中，上述U盘可分为加密U盘与非加密U盘。加密U盘仅用于单位内部的终端设备，无法在未安装单位内部的安全软件的终端上使用，又称为单位内部的U盘。非加密U盘未经过任何处理，既可用于单位内部的终端也可用于单位外设备，又称为普通U盘。本申请实施例中，采用非加密U盘的监测方案，以同时用于监测单位内部的终端与外部的U盘，区分U盘类别，可以减少仅用于单位内部的终端的加密U盘的文件拷贝的误报。

示例性的，单位员工在内部终端上进行任何操作前，需要登录单位内部的安全软件账号进行身份认证，因此在文件外拷日志(即，员工-U盘导出文件操作日志)中包含员工的登录账号信息，本申请实施例中所指的登录账号(用户ID)，为用户在此单位内部的安全软件账号，为全单元内部员工的身份唯一标识符，可以用于登录内部系统，例如，文件管理系统、业务处理系统、通信系统等。

为了实现精细化管理，单位对于每位员工的登录账号都有相应的策略管理，对于U盘拷贝权限而言，只有部分经过申请、审批的员工才具备普通U盘导出权限。

可选的，上述客户信息外拷行为的用户行为特征可以包括如下至少之一：用户执行客户信息外拷行为的日期、用户的登录账号、终端设备的登录ID、MAC地址、IP地址、登录时间、登出时间、内部系统编号、登录名、用户姓名、机构编号、数据来源、认证关联终端的时间权重、认证关联终端的相距天数。

通过分析上述确定的用户行为特征，可以确定用户所属的用户类型，例如，在职员工或者离职员工，由于不同用户类型的用户执行客户信息外拷行为，需要进行不同的监测处理。之后，根据用户所属的用户类型确定不同的监测策略，以采用不同的监测策略，精准监测不同用户类型的用户所执行的客户信息外拷行为，因此，可以得到更加准确的外拷行为监测结果。最后，通过展示上述外拷行为监测结果，基于该外拷行为监测结果对员工的外拷行为及时的进行干预，可以实现避免大批量客户信息泄露的技术效果。

一种可选的实施例中，上述外拷行为监测结果，包括如下至少之一：上述用户所属单位中各个分支机构的外拷文件数量、文件外拷详情信息、文件外拷趋势信息、客户信息外拷行为的风险等级划分结果、上述移动存储设备的外拷权限数量与比例信息、各类上述移动存储设备的权限策略分配信息。

例如，图2是本申请实施例所提供的一种客户信息外拷行为的监测系统的架构示意图，如图2所示，可以在客户信息外拷行为的管理系统上，采用不同的多个展示界面展示上述外拷行为监测结果，例如，在拷贝记录查询界面上展示各个机构的员工，使用U盘拷贝客户敏感信息文件的文件数量与文件拷贝详情信息，对此界面上的信息，管理员可以进行分类查询和分类下载。

例如，管理系统的大屏展示界面上，展示各个分支机构U盘拷贝文件的近一年与近一个月整体趋势、各个分支机构的宽松策略总体数量的风险地图，与各个分支机构分配U盘宽松策略的整体数量与比例情况。其中，管理系统的终端安全策略计算功能，可以为U盘宽松策略查询提供了数据支持，对分配到用户、终端、IP段等的U盘宽松策略进行统一化处理，搭建全单位统一考核的数据口径。对此界面上的信息，管理员可以进行分机构对比和趋势分析。

再例如，管理系统的宽松策略查询界面上，可以展示分行各类U盘宽松策略分配信息，便于管理员进行宽松策略查询，例如，管理员可以针对各类U盘宽松策略分配信息，进行策略种类和策略详情的查询。

本申请实施例，采用U盘操作日志、文件外拷日志等进行数据分析与建模以发现企业员工疑似U盘泄露客户信息的行为，并对监测结果进行多维度展示，助力实现客户信息泄露风险的分级管控，避免发生客户信息泄露事件造成的客户资金损失。同时可以采用客户信息外拷行为的监测系统，全流程线上进行数据分析、监测结果展示、监测结果排查确认，实现数据分析到最终监测结果排查的自动化，尽最大可能减少客户信息泄露监测与监测结果排查过程中的人为干预。

一种可选的实施例中，上述获取用户的客户信息外拷行为的用户行为特征，包括：

S201，从移动存储设备使用日志中获取文件外拷日志。

S202，从上述文件外拷日志中获取上述用户的上述客户信息外拷行为。

S203，对上述用户的上述客户信息外拷行为进行分析，得到上述用户行为特征。

可选的，上述移动存储设备使用日志中记录有上述用户使用移动存储设备进行的所有文件操作，上述文件操作包括：文件导入操作，文件外拷操作，复制粘贴操作。

示例性的，上述文件外拷日志(即员工U盘导出日志)来源于移动存储设备使用日志(即U盘使用日志)，U盘使用日志中详细记录了全单元人员进行的U盘文件操作，本申请实施例为提高处理效率和准确性，对U盘使用日志进行了过滤处理，仅保留了员工使用U盘进行文件导出的日志记录，对于文件从U盘或移动硬盘等设备的导入记录，或文件在移动设备之间的复制粘贴记录，没有进行分析处理。

由于文件外拷日志用于记录每个用户的客户信息外拷行为，因此可以从中获取用户的上述客户信息外拷行为，之后，对用户的客户信息外拷行为进行数据分析，可以得到用户行为特征。

本申请实施例中的日志分析部分，可以但不限于基于海量日志采集装卸系统展开，日志采集装卸系统在服务器处理系统上，采用分布式软件系统Hadoop、分布式计算引擎Spark技术对日志数据进行合并、解压、转结构化、筛选等处理，为安全事件关联性分析，违规操作和安全事件的及时发现和准确处理提供了便捷的系统环境。

例如，员工终端登录日志、员工U盘文件操作日志等，可以通过syslog发送到采集服务器，再经过标准化处理存储进索引及搜索服务ES集群和Hadoop集群。Hadoop分布式服务器中的日志将会按照不同的计算逻辑做关联分析，最终风险展示界面将会对监测结果数据进行多维展示。海量日志采集装卸系统为本申请实施例提供了基础的日志数据支撑，除了上述员工终端登录日志以及U盘操作日志外，员工基本信息数据等系统所需源数据表无需进行数据采集，系统接入后便可直接进行关联分析等。

本申请实施例，通过利用U盘操作日志对客户信息外拷行为进行数据分析，以发现企业员工疑似U盘泄露客户信息的行为，并对外拷行为监测结果进行多维度展示，解决了现有技术中的监测结果呈现单一，无法满足不同管理层级的数据使用需求的问题。

一种示例中，上述对上述用户的上述客户信息外拷行为进行分析，得到上述用户行为特征，包括：

S301，获取预先确定的行为分析参考信息。

S302，根据上述行为分析参考信息，对上述用户的上述客户信息外拷行为进行分析，得到上述用户行为特征。

其中，上述行为分析参考信息包括以下至少之一：上述用户与所属单位中分支机构的第一对应关系、上述用户登录各个分支机构内部系统的登录信息、上述用户所配备的终端设备的设备信息、各个上述分支机构的用户数量、各个上述分支机构中具有信息外拷权限的用户比例、各个上述分支机构中具有信息外拷权限的用户，与所配备的终端设备之间的第二对应关系。

一种示例中，仍如图2所示，本申请实施例中的监测系统，可以将文件外拷日志、员工机构表、员工系统登录表、员工设备表、单位人员明细表、终端策略分配表作为数据源，以得到上述行为分析参考信息。

例如，员工机构表中记录有员工与所属单位中分支机构的第一对应关系，记录字段包括员工姓名、员工编号、机构名、机构编号等。

再例如，员工系统登录表中记录有员工登录单位中内部系统的登录记录信息，包括员工姓名、员工编号、IP地址、MAC地址登录时间等。

再例如，员工设备表中记录有在进行设备分配时记录的员工和员工名下计算机设备的设备信息。由于员工设备表中仅记录了设备编号，数据较为局限，因此可以与员工系统登录表联合进行分析。

再例如，单位人员明细表中记录有各个分支机构的人数数据，此表数据用于计算各个分支机构，具有普通U盘外拷使用权限(简称U盘宽松策略)的员工比例。

又例如，终端策略分配表中记录有各个上述分支机构中具有信息外拷权限的用户，与所配备的终端设备之间的第二对应关系，即各个分支机构具有普通U盘外拷权限的用户、设备等数据，用于分行U盘宽松策略的整体情况分析。

示例性的，仍如图2所示，本申请实施例中的监测系统，采用数据关联与分析模块，即根据上述行为分析参考信息，对上述用户的上述客户信息外拷行为进行一系列数据分析，得到上述用户行为特征。可以理解的是，分析出用户行为特征是U盘导出敏感信息筛查工作的基础，实现了针对不同类型的员工进行对应不同监测策略。

一种示例中，上述根据上述用户类型监测上述客户信息外拷行为，得到外拷行为监测结果，包括：

S401，若上述用户类型指示上述用户为一类用户，则监测上述一类用户使用本人的登录账号以及本人所配备的终端设备，登录单位内部系统所进行的上述客户信息外拷行为，得到上述外拷行为监测结果。

可选的，上述一类用户为单位在职用户。

由于在职员工使用U盘导出客户信息的行为特征较为单一，仅需要使用本人账号和本人设备进行文件操作，无需复杂的行为建模与分析，因此，监测在职用户使用本人的登录账号以及本人所配备的终端设备，登录单位内部系统所进行的客户信息外拷行为，即可得到精准的外拷行为监测结果。

本申请实施例中的“本人”与“他人”概念中，“本人”指离职员工本人，“他人”指离职员工为实现文件导出借用的账号或者设备的所有者，即在离职员工导出客户信息行为中除离职员工以外的他人。

另一种示例中，上述根据上述用户类型监测上述客户信息外拷行为，得到外拷行为监测结果，包括以下至少之一：

S501，若上述用户类型指示上述用户为二类用户，则监测上述二类用户使用本人的登录账号以及本人所配备的终端设备，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果。

S502，若上述用户类型指示上述用户为二类用户，则监测上述二类用户借用他人的登录账号或他人所配备的终端设备，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果，其中，上述二类用户为单位离职用户。

一种示例中，当离职员工本人具有普通U盘拷贝权限时，离职员工的行为特征被定义为“本人的登录账号”，即离职员工本人使用本人的登录账号，登录本人所配备的终端设备进行文件导出操作。本申请实施例所采用的监测规则为离职员工离职前内有客户信息敏感文件导出记录，此行为特征对应的监测规则较为简单，一种可选的监测结果的字段信息如下表1所示，详情界面字段信息如下表2所示：

表1

表2

一种示例中，如图3所示，上述监测上述二类用户借用他人的登录账号，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果，包括：

S601，若监测到上述二类用户未使用本人的登录账号，登录单位内部系统执行上述客户信息外拷行为，则确定上述二类用户登录上述单位内部系统的常用终端设备。

S602，基于终端登录日志，确定在上述常用终端设备登录过的上述他人的登录账号，其中，上述他人的登录账号至少具备文件外拷权限。

S603，根据文件外拷日志筛选上述他人的登录账号对应的上述客户信息外拷行为，得到上述外拷行为监测结果。

上述实施例中，若监测到离职员工没有使用本人的登录账号，登录单位内部系统执行上述客户信息外拷行为，则可以确定离职员工需要使用他人的登录账号，对此情况，需要先确定离职用户登录单位内部系统的常用终端设备。

在确定常用终端设备之后，再根据上述终端登录日志，筛选得到在常用终端设备登录过的，具备文件外拷权限的他人的登录账号。之后，再根据文件外拷日志筛选上述他人的登录账号对应的上述客户信息外拷行为，得到上述外拷行为监测结果。

示例性的，当离职员工本人不具备普通U盘外拷权限时，此处将离职员工行为建模为离职员工借用他人的登录账号进行文件导出，此处他人的登录账号为具有普通U盘拷贝权限的账号，离职员工在离职前使用他人的登录账号登录本人终端进行文件导出操作。

针对此行为特征，可以使用员工-设备分析模型对离职员工常用终端设备进行定位，其中，预先根据终端登录日志、认证登录日志、员工信息构建得到员工-设备分析模型，该员工-设备分析模型用于辅助离职员工借用他人登录账号或他人所配备的计算机设备进行敏感信息导出的行为筛查处理。

示例性的，在使用终端设备的MAC地址对员工使用终端进行定位后，采用上述员工-设备分析模型识别出离职员工的常用终端设备，并结合终端登录日志，筛选出在离职员工在常用终端设备上，登录过的具有普通U盘导出权限的他人账号。针对筛选出的他人账号结合U盘文件导出日志，进一步筛选出在离职员工设备上登录过的他人账号的敏感客户信息导出记录，作为模型监测结果。一种可选的监测结果的字段信息如下表3所示，详情界面字段信息如下表4所示：

表3

表4

另一种示例中，如图4所示，上述监测上述二类用户借用他人所配备的终端设备，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果，包括：

S701，若监测到上述二类用户未使用本人所配备的终端设备，登录上述单位内部系统执行上述客户信息外拷行为，则获取在离职日期之前，上述二类用户内部发送客户信息文件的发送记录。

S702，根据上述发送记录确定接收上述客户信息文件的用户信息；

S703，基于上述用户信息，确定上述二类用户借用的上述他人所配备的终端设备。

S704，根据文件外拷日志筛选上述他人所配备的终端设备对应的上述客户信息外拷行为，得到上述外拷行为监测结果。

示例性的，当离职员工本人不具备普通U盘外拷权限时，此处将离职员工行为建模为离职员工通过单位内部的通信系统将敏感文件传输给他人，借用他人的登录账号在他人所配备设备上进行客户敏感信息导出，此处他人的登录账号为具有普通U盘拷贝权限的账号。

上述实施例中，若监测到离职员工没有使用本人所配备的终端设备，登录单位内部系统执行上述客户信息外拷行为，则可以确定离职员工需要使用他人所配备的终端设备。

对此情况，可以核查离职员工在离职前单位内部的通信系统的客户信息文件发送记录，获得接收文件的员工信息，并使用员工-设备分析模型定位接收方员工的终端设备，结合U盘文件导出日志进行客户敏感信息导出记录的定位。并且，输出的监测结果的字段信息仍如上表3所示，详情界面字段信息如上表4所示。

本申请实施例中，构建的上述员工-设备分析模型，为敏感文件U盘外拷行为分析提供了数据支撑，该模型的基础数据主要来源于终端登录日志、认证登录日志、员工信息三个部分。该模型主要目标场景为：使用员工信息、终端登录日志和认证登录日志构建得到员工-设备分析模型，以基于员工-设备分析模型发现员工的常用终端设备信息。

一种可选的实施例中，终端登录日志的关键字段包含如下：用户编号userid、终端编号terminalid、MAC地址macaddress、IP地址ipaddress、登录时间time、登录名loginname、用户所属机构编号userorgcode、用户名username。

一种可选的实施例中，终端登录日志的关键字段包含如下：用户编号userid、终端编号terminalid、MAC地址macaddress、IP地址ipaddress、登录时间time、登录名loginname、用户所属机构编号userorgcode、用户名username。

一种可选的实施例中，认证登录日志的关键字段如下：用户编号user_id、IP地址ip、登录开始时间begin_time、登录名login_name、用户所属机构编号org_code、用户名user_name、应用系统编号app_code、扩展字段2，里面有部分用户编号extend2、错误码error_code、返回信息return_msg。

一种可选的实施例中，员工信息表的关键字段如下：员工编号ccb_empid、登录名empe_id_land_nm、员工姓名usr_nm、数据开始时间start_date、数据结束时间end_date。

一种示例中，如图5所示，上述方法还包括：

S801，根据上述客户信息外拷行为确定对应的外拷文件。

S802，采用预先确定的客户信息关键字，对外拷文件的文件名进行分析，得到上述外拷文件的文件类型。

S803，根据上述外拷文件的文件类型，对上述客户信息外拷行为进行风险等级划分，得到风险等级划分结果。

本申请实施例中，根据上述终端登录日志的关键字段、终端登录日志的关键字段、员工信息表的关键字段，可以筛查得到基于客户信息相关常用的多个客户信息关键字，对员工外拷文件的文件名进行数据分析。之后，根据上述外拷文件的文件类型，对上述客户信息外拷行为进行风险等级划分，得到风险等级划分结果。

一种可选的示例中，上述风险等级划分处理，是指在员工U盘拷贝结果页面中对于不同类型的外拷文件进行了高、中、低三个风险等级的划分，便于对不同风险等级的拷贝行为采用不同等级的管控手段。

通过上述实施例，可以实现对不同风险等级的安全事件采取不同等级的处理措施，分级管理信息泄露行为，不仅可以提升管理能效，并且，可以最大可能减少风险发现与核查过程中的人为干预。

通过本申请实施例，可以实现对员工采用U盘导出客户信息文件行为的监测，对此类员工异常行为“强监控，查路径，堵出口”。本申请实施例中，不仅可以对U盘类别进行区分，提升监测精度；对客户信息分类管控，实现精准识别客户信息，不会将客户信息文件与其他文件混淆，提升监测结果可用性；还可以实现分级管理信息泄露行为，提升管理能效；以及对员工行为进行建模，实现多路径综合分析；最后对监测结果可以进行多维展示，满足多层次数据需求。

此外，还存在更细致的实施方式，本申请实施例根据用户设备登录数据，分别从用户、设备角度分析终端/认证的短期高频登录行为和长期持续登录行为，进行综合评分后识别用户的常用终端设备。本申请实施例可以将用户设备的登录行为总结为以下8个特征：

1)近一周内该离职员工在终端设备上登录的次数占该用户总终端登录次数的比例；2)近一周内该离职员工在终端设备上登录的次数占该设备上总终端登录次数的比例；3)近一周内该离职员工在终端设备上认证登录的次数占该用户总认证登录次数的比例；4)近一周内该离职员工在终端设备上认证登录的次数占该设备上总认证登录次数的比例；5)近3个月内该离职员工在终端设备上登录的天数占该用户总终端登录天数的比例；6)近3个月内该离职员工在终端设备上登录的天数占该设备上总终端登录天数的比例；7)近3个月内该离职员工在终端设备上认证登录的天数占该用户总认证登录天数的比例；8)近3个月内该离职员工在终端设备上认证登录的天数占该设备上总认证登录天数的比例。

此外，作为一种可选的实施例，为了保证监测结果的准确性，员工-设备分析模型结合权重对各特征或者最终的置信度进行了加权评分：由于认证登录日志没有设备信息，只能通过IP地址和终端登录日志关联，由于IP地址是动态IP，因此认证和终端的登录时间间隔越久，在终端登录认证系统的可信度越低；用户可能由于出差、休假等原因前一周没有登录信息，因此，可以继续向前确定前2周、前3周的登录信息。但是由于时间相距越久，可能存在更换设备等情况，最终的可信度也会降低；由于终端和认证登录日志的数据质量有差异，因此在最终计算置信度时可以对终端和认证的登录行为赋予不同的权重；由于存在更换设备后很长一段时间内没有登录设备，导致常用终端设备可能识别为旧设备的情况，因此根据最后登出时间与处理时间的距离设置权重。

根据本申请的上述实施例，员工-设备分析模型的模型设计主要分为四个部分，分别为数据治理、用户登录行为明细提取、公用设备判断、以及用户常用终端设备定位。

例如，上述数据治理主要目的为剔除脏数据、通过关联补齐用户设备等信息，补充认证、终端登出时间，此处不展开描述。

再例如，上述用户登录行为明细提取部分通过分析源数据，从终端登录日志、认证登录日志中提取成功登录的数据，并通过IP地址对终端登录日志与认证登录日志进行关联，形成登录行为明细表。最终提取的主要信息如下：用户ID、终端ID、MAC地址、IP地址、登录时间、登出时间、系统编号、登录名、用户姓名、机构编号、数据来源、认证关联终端的时间权重、认证关联终端的相距天数。

再例如，上述公用设备判断规则设置如下：1)分别从终端登录和认证登录两个角度进行确定：3个月内超过3周，每周多于3个人使用终端，则将该公用设备的置信度设为1；2)合并终端登录和认证登录的置信度，权重分别为2和1，最终总置信度为3，分值越高为公用设备的可能性越大。

再例如，用户常用终端设备定位的主要内容为：

1)构建员工-设备分析模型：从用户和设备维度计算每天的登录次数，构建得到员工-设备分析模型；

2)特征处理：为了解释模型用到的特征，下面以公式的形式进行说明，α为认证和终端登录的间隔天数的时间权重。β为用户在某终端设备上登录次数计算的时间权重，如果前一周有登录信息，则β＝1；如果前一周没有登录信息，使用前2周的登录数据，此时β＝0.8；如果前2周也没有登录信息，则使用前3周的登录数据，此时β＝0.6。

一周内用户在设备上终端登录的次数占该用户总终端登录次数的比例p

近一周内用户在设备上终端登录的次数占该设备上总终端登录次数的比例p

近一周内用户在设备上认证登录的加权次数占该用户总认证登录次数的比例p

近一周内用户在设备上认证登录的加权次数占该设备上总认证登录次数的比例p

近3个月内用户在设备上终端登录的天数占该用户总终端登录天数的比例p

近3个月内用户在设备上终端登录的天数占该设备上总终端登录天数的比例p

近3个月内用户在设备上认证登录的加权天数占该用户总认证登录天数的比例p

近3个月内用户在设备上认证登录的加权天数占该设备上总认证登录天数的比例p

其中，tx为一台设备近一周终端登录的总次数；t

3)计算最终置信度和准确率：

计算终端登录和认证登录的8个特征值后，二者权重暂时都设置为1，总置信度为8；根据最后登出时间与处理时间的相距天数对置信度设置权重γ：天数≤7，γ＝1；天数≤14，γ＝0.8；天数≤21，γ＝0.6；其他，γ＝0.4；则最终置信度zxd为：

zxd＝γ*(p

准确率为：p＝zxd/8。

4)用户设备结果表，该表以用户为中心记录常用终端设备：

以用户为中心，找出置信度最高的设备，作为该用户的主设备；以终端设备为中心，找出置信度最高的用户，作为该用户的次设备。

合并上述结果到用户设备结果表，该表每周日计算上述8个特征，更新用户设备信息，同时保留记录前3个月内的MAC地址、IP地址、登录名、周期内最早登录时间、周期内最晚登录时间等信息。

5)设备用户结果表，该表以设备为中心记录常用用户：

以设备为中心，找出置信度最高的用户，作为该设备的主用户；以用户为中心，找出置信度最高的设备，作为该设备的次用户；合并上述结果到设备用户结果表，该表每周日计算上述8个特征，更新用户设备信息，同时保留计算前3个月内的MAC地址、IP地址、登录名、周期内最早登录时间、周期内最晚登录时间等信息。

6)用户主设备拉链表，该表记录用户的各主设备的使用时间区间：

判断每周日计算的当前主设备与历史主设备是否一致，如果主设备发生改变，则修改前主设备的结束时间，将新主设备的开始时间设为计算周期的开始时间(上周日)，例如，结束时间设为“2999-12-31”，将结果输出到用户主设备拉链表，每个分区记录历史全量数据。

根据本申请的一个或多个实施例，提供了一种客户信息外拷行为的处理装置，图6为本申请实施例提供的一种客户信息外拷行为的处理装置的结构框图，如图6所示，上述装置600包括：

获取模块601，用于获取用户的客户信息外拷行为的用户行为特征，其中，上述客户信息外拷行为用于表征上述用户采用移动存储设备从终端设备外拷客户信息；

确定模块602，用于基于上述用户行为特征确定上述用户所属的用户类型。

监测模块603，用于根据上述用户类型监测上述客户信息外拷行为，得到外拷行为监测结果。

展示模块604，用于展示上述外拷行为监测结果。

根据本申请的一个或多个实施例，上述获取模块，包括：

第一获取单元，用于从移动存储设备使用日志中获取文件外拷日志，其中，上述移动存储设备使用日志中记录有上述用户使用移动存储设备进行的所有文件操作，上述文件操作包括：文件导入操作，文件外拷操作，复制粘贴操作。

第二获取单元，用于从上述文件外拷日志中获取上述用户的上述客户信息外拷行为。

分析单元，用于对上述用户的上述客户信息外拷行为进行分析，得到上述用户行为特征。

根据本申请的一个或多个实施例，上述分析单元，包括：

获取子单元，用于获取预先确定的行为分析参考信息，其中，上述行为分析参考信息包括以下至少之一：上述用户与所属单位中分支机构的第一对应关系、上述用户登录各个分支机构内部系统的登录信息、上述用户所配备的终端设备的设备信息、各个上述分支机构的用户数量、各个上述分支机构中具有信息外拷权限的用户比例、各个上述分支机构中具有信息外拷权限的用户，与所配备的终端设备之间的第二对应关系。

分析子单元，用于根据上述行为分析参考信息，对上述用户的上述客户信息外拷行为进行分析，得到上述用户行为特征。

根据本申请的一个或多个实施例，上述监测模块，包括：

第一监测单元，用于若上述用户类型指示上述用户为一类用户，则监测上述一类用户使用本人的登录账号以及本人所配备的终端设备，登录单位内部系统所进行的上述客户信息外拷行为，得到上述外拷行为监测结果，其中，上述一类用户为单位在职用户。

根据本申请的一个或多个实施例，上述监测模块，还包括以下至少之一：

第二监测单元，用于若上述用户类型指示上述用户为二类用户，则监测上述二类用户使用本人的登录账号以及本人所配备的终端设备，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果。

第三监测单元，用于若上述用户类型指示上述用户为二类用户，则监测上述二类用户借用他人的登录账号或他人所配备的终端设备，登录单位内部系统执行的上述客户信息外拷行为，得到上述外拷行为监测结果，其中，上述二类用户为单位离职用户。

根据本申请的一个或多个实施例，上述第三监测单元，包括：

第一确定子单元，用于若监测到上述二类用户未使用本人的登录账号，登录单位内部系统执行上述客户信息外拷行为，则确定上述二类用户登录上述单位内部系统的常用终端设备。

第二确定子单元，用于基于终端登录日志，确定在上述常用终端设备登录过的上述他人的登录账号，其中，上述他人的登录账号至少具备文件外拷权限。

第一筛选子单元，用于根据文件外拷日志筛选上述他人的登录账号对应的上述客户信息外拷行为，得到上述外拷行为监测结果。

根据本申请的一个或多个实施例，上述第三监测单元，包括：

第三确定子单元，用于若监测到上述二类用户未使用本人所配备的终端设备，登录上述单位内部系统执行上述客户信息外拷行为，则获取在离职日期之前，上述二类用户内部发送客户信息文件的发送记录。

第四确定子单元，用于根据上述发送记录确定接收上述客户信息文件的用户信息。

第五确定子单元，用于基于上述用户信息，确定上述二类用户借用的上述他人所配备的终端设备；

第二筛选子单元，用于根据文件外拷日志筛选上述他人所配备的终端设备对应的上述客户信息外拷行为，得到上述外拷行为监测结果。

根据本申请的一个或多个实施例，上述装置还包括：

文件确定模块，用于根据上述客户信息外拷行为确定对应的外拷文件；

文件分析模块，用于采用预先确定的客户信息关键字，对外拷文件的文件名进行分析，得到上述外拷文件的文件类型。

风险确定模块，用于根据上述外拷文件的文件类型，对上述客户信息外拷行为进行风险等级划分，得到风险等级划分结果。

在示例性实施例中，本申请实施例还提供了一种电子设备，包括：处理器，以及与上述处理器连接的存储器；

上述存储器存储计算机执行指令；

上述处理器执行上述存储器存储的计算机执行指令，以实现如任一项上述的方法。

在示例性实施例中，本申请实施例还提供了一种计算机可读存储介质，上述计算机可读存储介质中存储有计算机执行指令，上述计算机执行指令被处理器执行时用于实现如任一项上述的方法。

在示例性实施例中，本申请实施例还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现任一项上述的方法。

为了实现上述实施例，本申请实施例还提供了一种电子设备。

参考图7，其示出了适于用来实现本申请实施例的电子设备700的结构示意图，该电子设备700可以为终端设备或服务器。其中，终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、个人数字助理(Personal Digital Assistant，简称PDA)、平板电脑(Portable Android Device，简称PAD)、便携式多媒体播放器(Portable MediaPlayer，简称PMP)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图7示出的电子设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图7所示，电子设备700可以包括处理装置(例如中央处理器、图形处理器等)701，其可以根据存储在只读存储器(Read Only Memory，简称ROM)702中的程序或者从存储装置708加载到随机访问存储器(Random Access Memory，简称RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中，还存储有电子设备700操作所需的各种程序和数据。处理装置701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。

通常，以下装置可以连接至I/O接口705：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置706；包括例如液晶显示器(Liquid CrystalDisplay，简称LCD)、扬声器、振动器等的输出装置707；包括例如磁带、硬盘等的存储装置708；以及通信装置709。通信装置709可以允许电子设备700与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的电子设备700，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置709从网络上被下载和安装，或者从存储装置708被安装，或者从ROM 702被安装。在该计算机程序被处理装置701执行时，执行本申请实施例的方法中限定的上述功能。

需要说明的是，本申请上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备执行上述实施例所示的方法。

可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LocalArea Network，简称LAN)或广域网(Wide Area Network，简称WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。

在本申请的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。