一种基于数据分类分级的端点安全响应的方法及装置

技术领域

本发明涉及数据处理领域，尤其涉及一种基于数据分类分级的端点安全响应的方法及装置。

背景技术

随着信息化技术飞速发展，信息系统的应用愈加广泛和深入，数据作为IT建设的核心资产，其安全性也面临着前所未有的威胁，引起了各行业的重点关注。信息系统往往承载了各部门或企业的核心数据，比如金融行业的账户信息，运营商行业的通信信息，公安行业的人口信息，住建行业的房产信息等等；上述信息一旦被恶意访问、篡改或者泄漏，不仅严重侵犯个人隐私，还会造成企业或社会的经济损失，重则影响到政府形象及社会安全。

大部分传统解决方案都定位于外部威胁问题，但企业的专网或内网环境，面临的内部安全威胁更为严重。根据国外权威机构调查，85％的数据泄漏是来于内部威胁，75％的内部威胁事件没有对外报告出来，53％的企业认为内部威胁的危害要远大于外部威胁。企业内部部署了种类较多的内网及边界安全设备，但是每个边界设备只能解决一类问题，在单一设备上，也只能查询用户在该设备上的日志。企业的内网设备、应用等实体也可能存在风险，单一的设备无法有效的发现内部威胁。

因此，迫切需要一种安全手段对上述问题进行有效监控和管理。信息防泄漏正是在这样的背景下产生。对于任何一个安全体系来说，审计追查手段是整个安全体系中不可缺少的重要组成部分，而数据防泄漏防护是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。通过采集软件信息，别其可能存在的漏洞，采集用户使用习惯等信息，进行数据泄漏的风险预测。现有技术CN107122669A是本发明最接近的现有技术，公开了一种评估数据泄露风险的方法和装置，但其解决方案是建立终端用户的行为模型，对行为进行风险评估，没有考虑到数据资产自身可能存在的漏洞。

发明内容

为解决上述技术问题，本发明提出了一种基于数据分类分级的端点安全响应的方法及装置，所述方法及装置，用以解决现有技术中，进行风险评估，没有考虑到数据资产自身可能存在的漏洞的问题。

根据本发明的第一方面，提供一种基于数据分类分级的端点安全响应的方法，所述方法包括以下步骤：

步骤S101：采集用户需要进行数据分类分级的业务元数据、技术元数据以及分类规则，所述业务元数据为用户所有的业务名称字段，所述技术元数据为用户数据库中的字段名称；

步骤S102：存储采集到的数据，并对不完整的数据进行重新采集或手动修复；

步骤S103：对存储的用户信息数据进行数据去重，并将业务元数据与技术元数据进行匹配，将业务元数据与数据标准规范和数据分类分级标准进行匹配；

步骤S104：展示匹配完成的数据，所述匹配完成的数据具有匹配成功的数据和匹配未成功的数据两类，以数据资产清单、业务活动图以及数据分类分级的结果的形式进行展示。

进一步地，将业务元数据与技术元数据进行匹配的方式为对业务元数据名称与技术元数据名称进行匹配。

进一步地，所述数据分类分级标准包括：

第一阶段，对业务进行细分，确定业务的一级子类，即基本业务条线；再确定每个基本业务条线下所有的业务管理主体；进而确定每个业务管理主体对应的管理范围，确定业务管理主体之间的对应关系；得到各个业务二级子类的管理范围；

第二阶段，对数据归类，基于各个业务二级子类的管理范围，确定业务二级子类的管理范围对应的管理对象，即查找到业务二级子类下的全部数据；对各个单类业务数据总和分别细分，得到数据一级子类；对数据一级子类命名；

对数据分类分级的依据为：将基本业务条线确定为一级子类；每个业务条线下所有的业务管理主体为二级子类，一般情况下，一组数据间的映射关系即为一个业务二级子类；按照数据细分方法对各个单类业务数据总和分别细分，得到数据一级子类；对已划分明确的数据一级子类进一步细分，细分后生成一个或多个数据子集，得到数据二级子类。

进一步地，所述方法还包括根据匹配结果查询相关的日志记录；使用报表引擎配置报表，根据匹配结果获取待分析数据，生成待分析数据的事件统计报表、个人行为报表、周期汇报报告。

根据本发明第二方面，提供一种基于数据分类分级的端点安全响应的装置，所述装置包括：

采集模块：配置为采集用户需要进行数据分类分级的业务元数据、技术元数据以及分类规则，所述业务元数据为用户所有的业务名称字段，所述技术元数据为用户数据库中的字段名称；

存储模块：配置为存储采集到的数据，并对不完整的数据进行重新采集或手动修复；

匹配模块：配置为对存储的用户信息数据进行数据去重，并将业务元数据与技术元数据进行匹配，将业务元数据与数据标准规范和数据分类分级标准进行匹配；

展示模块：配置为展示匹配完成的数据，所述匹配完成的数据具有匹配成功的数据和匹配未成功的数据两类，以数据资产清单、业务活动图以及数据分类分级的结果的形式进行展示。

进一步地，将业务元数据与技术元数据进行匹配的方式为对业务元数据名称与技术元数据名称进行匹配。

进一步地，所述数据分类分级标准包括：

第一阶段，对业务进行细分，确定业务的一级子类，即基本业务条线；再确定每个基本业务条线下所有的业务管理主体；进而确定每个业务管理主体对应的管理范围，确定业务管理主体之间的对应关系；得到各个业务二级子类的管理范围；

第二阶段，对数据归类，基于各个业务二级子类的管理范围，确定业务二级子类的管理范围对应的管理对象，即查找到业务二级子类下的全部数据；对各个单类业务数据总和分别细分，得到数据一级子类；对数据一级子类命名；

对数据分类分级的依据为：将基本业务条线确定为一级子类；每个业务条线下所有的业务管理主体为二级子类，一般情况下，一组数据间的映射关系即为一个业务二级子类；按照数据细分方法对各个单类业务数据总和分别细分，得到数据一级子类；对已划分明确的数据一级子类进一步细分，细分后生成一个或多个数据子集，得到数据二级子类。

进一步地，所述基于数据分类分级的端点安全响应的装置还包括日志模块，配置为根据匹配结果查询相关的日志记录；报表模块，配置为使用报表引擎配置报表，根据匹配结果获取待分析数据，生成待分析数据的事件统计报表、个人行为报表、周期汇报报告。

根据本发明第三方面，提供一种基于数据分类分级的端点安全响应的系统，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的基于数据分类分级的端点安全响应的方法。

根据本发明第四方面，提供一种计算机可读存储介质，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如前所述的基于数据分类分级的端点安全响应的方法。

根据本发明的上述方案，以用户视角采集终端、主机、业务应用等多种类型数据，进行企业内部人员异常行为的探索发现和风险人员的精准定位，持续审计、跟踪并进行风险预警；系统内置多种规则和策略模型，配合基线学习、机器学习等多种分析方法，检测各种用户异常行为，通过深钻和关联促进分析结果更加准确，及时应对各类用户群体诸如越权访问、无意数据泄漏、主动数据窃取等安全威胁。从技术层面为用户提供异常行为安全分析支撑，从制度方面促进信息系统的规范化管理，帮助客户提高工作透明度、防范信息泄漏导致的风险，是新一代的动态分析和防御利器。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明提供如下附图进行说明。在附图中：

图1为本发明一个实施方式的基于数据分类分级的端点安全响应的方法流程图；

图2为本发明一个实施方式的基于数据分类分级的端点安全响应的系统结构示意图；

图3为本发明一个实施方式的对敏感数据进行分类分级的示意图；

图4为本发明一个实施方式的对敏感数据进行分类分级的流程图；

图5为本发明一个实施方式的对业务进行细分(MS-MS)的方法示意图；

图6为本发明一个实施方式的对数据归类(MS-MO)的方法示意图；

图7为本发明一个实施方式的对数据进行细分的方法示意图；

图8为本发明一个实施方式的基于数据分类分级的端点安全响应的装置结构框图。

具体实施方式

定义及解释：

EDR：端点检测与响应(Endpoint Detection&Response，EDR)。是一种主动的安全方法，可以实时监控端点，并搜索渗透到公司防御系统中的威胁。这是一种新兴的技术，可以更好地了解端点上发生的事情，提供关于攻击的上下文和详细信息。EDR服务可以让用户知道攻击者是否及何时进入你的网络，并在攻击发生时检测攻击路径ーー帮助你在记录的时间内对事件作出反应。

分类分级：数据的分级是数据重要性的直观化展示，是组织内部管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配精力及力度的基础(80％精力关注重要数据，20％精力关注普通数据)。

首先结合图1说明为本发明一个实施方式的基于数据分类分级的端点安全响应的方法流程图。如图1所示，所述方法包括以下步骤：

步骤S101：采集用户需要进行数据分类分级的业务元数据、技术元数据以及分类规则，所述业务元数据为用户所有的业务名称字段，所述技术元数据为用户数据库中的字段名称；

步骤S102：存储采集到的数据，并对不完整的数据进行重新采集或手动修复；

步骤S103：对存储的用户信息数据进行数据去重，并将业务元数据与技术元数据进行匹配，将业务元数据与数据标准规范和数据分类分级标准进行匹配；

步骤S104：展示匹配完成的数据，所述匹配完成的数据具有匹配成功的数据和匹配未成功的数据两类，以数据资产清单、业务活动图以及数据分类分级的结果的形式进行展示。

进一步地，还包括根据匹配结果查询相关的日志记录。

进一步地，还包括使用报表引擎配置报表，根据匹配结果获取待分析数据，生成待分析数据的事件统计报表、个人行为报表、周期汇报报告。

如图2所示，本方法可以在基于数据分类分级的端点安全响应的系统上部署并实现，所述基于数据分类分级的端点安全响应的系统包括采集层、存储层、处理层以及展示层。

具体地，所述采集层包括数据采集模块，用于采集用户需要进行数据分类分级的业务元数据、技术元数据以及分类规则。所述存储层包括数据存储模块、数据维护模块，数据存储模块用于存储采集到的数据，数据维护模块用于对不完整的数据进行重新采集或手动修复。所述处理层包括数据去重模块、数据完成性判断模块、影响范围确认模块，数据去重模块用于存储的用户信息数据进行数据去重，所述数据完成性判断模块用于查看数据匹配的成功率，所述影响范围确认模块用于查看高风险数据所涉及的业务。所述展示层包括数据资产清单模块、业务用例图生成模块、风险评估报告模块、数据活动图生成模块、数据流图生成模块、分类分级展示模块，数据资产清单模块用于生成并展示数据资产清单，业务用例图生成模块用于根据匹配的数据生成业务用例图，风险评估报告模块用于根据匹配的数据生成风险评估报告，数据活动图生成模块用于根据匹配的数据生成数据活动图，数据流图生成模块用于根据匹配的数据生成数据流图，分类分级展示模块用于根据匹配的数据进行分类分级展示。

本实施例中，采用户视角采集终端、主机、业务应用等多种类型数据，进行企业内部人员异常行为的探索发现和风险人员的精准定位，持续审计、跟踪并进行风险预警；系统内置多种规则和策略模型，配合基线学习、机器学习等多种分析方法，检测各种用户异常行为，通过深钻和关联促进分析结果更加准确，及时应对各类用户群体诸如越权访问、无意数据泄漏、主动数据窃取等安全威胁。从技术层面为用户提供异常行为安全分析支撑，从制度方面促进信息系统的规范化管理，帮助客户提高工作透明度、防范信息泄漏导致的风险。

所述步骤S103：对存储的用户信息数据进行数据去重，并将业务元数据与技术元数据进行匹配，将业务元数据与数据标准规范和数据分类分级标准进行匹配，其中：

将业务元数据与技术元数据进行匹配的方式为对业务元数据名称与技术元数据名称进行匹配；

本实施例对数据分类分级进行反复实验，确定以下数据分类分级方式，形成数据分类分级标准，如图3-7所示，所述数据分类分级标准包括：

第一阶段，对业务进行细分，确定业务的一级子类，即基本业务条线；再确定每个基本业务条线下所有的业务管理主体(MS)；进而确定每个业务管理主体对应的管理范围，确定业务管理主体之间的对应关系(MS-MS)；得到各个业务二级子类的管理范围；

第二阶段，对数据归类，基于各个业务二级子类的管理范围，确定业务二级子类的管理范围对应的管理对象，即查找到业务二级子类下的全部数据；对各个单类业务数据总和分别细分，得到数据一级子类；对数据一级子类命名；

对数据分类分级的依据为：将基本业务条线确定为一级子类；每个业务条线下所有的业务管理主体为二级子类，一般情况下，一组数据间的映射关系即为一个业务二级子类；按照数据细分方法对各个单类业务数据总和分别细分，得到数据一级子类；对已划分明确的数据一级子类进一步细分，细分后生成一个或多个数据子集，得到数据二级子类。

将业务元数据与数据标准规范和数据分类分级标准进行匹配，包括：

将业务元数据的名称字段与数据标准规范进行匹配，得到的结果用于确认哪些业务元数据不符合数据标准规范；再将业务元数据名称字段与分类分级标准匹配，得到的结果用于确认业务元数据所对应的分级。

步骤S104：展示匹配完成的数据，所述匹配完成的数据具有匹配成功的数据和匹配未成功的数据两类，以数据资产清单、业务活动图以及数据分类分级的结果的形式进行展示，其中：

用户可以自行查看匹配完成的数据，并对匹配完成的数据中，不合理的数据进行修改。

本发明实施例进一步给出一种基于数据分类分级的端点安全响应的装置，如图8所示，所述装置包括：

采集模块：配置为采集用户需要进行数据分类分级的业务元数据、技术元数据以及分类规则，所述业务元数据为用户所有的业务名称字段，所述技术元数据为用户数据库中的字段名称；

存储模块：配置为存储采集到的数据，并对不完整的数据进行重新采集或手动修复；

匹配模块：配置为对存储的用户信息数据进行数据去重，并将业务元数据与技术元数据进行匹配，将业务元数据与数据标准规范和数据分类分级标准进行匹配；

展示模块：配置为展示匹配完成的数据，所述匹配完成的数据具有匹配成功的数据和匹配未成功的数据两类，以数据资产清单、业务活动图以及数据分类分级的结果的形式进行展示。

本发明实施例进一步给出一种基于数据分类分级的端点安全响应的系统，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的基于数据分类分级的端点安全响应的方法。

本发明实施例进一步给出一种计算机可读存储介质，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如前所述的基于数据分类分级的端点安全响应的方法。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，实体机服务器，或者网络云服务器等，需安装Windows或者Windows Server操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(RandomAccess Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。