敏感信息的操作监测方法及装置

技术领域

本申请涉及数据监测技术领域，具体涉及一种敏感信息的操作监测方法及装置。

背景技术

目前，金融系统中对客户的敏感信息的保护，通常是为工作人员配置相应的权限。当工作人员对某个敏感信息进行操作时，会检测工作人员的账号信息是否具备访问该敏感信息的权限，若有，则允许对该敏感信息进行操作。然而，仅通过设定权限来进行敏感信息的操作监控，无法有效地保障敏感信息的安全性。如当账号信息被盗用时，会出现大量敏感信息泄露。

发明文件

本申请旨在至少解决相关技术中存在的技术问题之一。为此，本申请提出一种敏感信息的操作监测方法，能够有效地对敏感信息进行监控，提高敏感信息的安全性。

本申请还提出一种敏感信息的操作监测装置。

本申请还提出一种电子设备。

本申请还提出一种计算机可读存储介质。

根据本申请第一方面实施例的敏感信息的操作监测方法，包括：

根据终端设备发送的登录信息，确定所述终端设备的访问权限；

将所述访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与所述终端设备对所述目标敏感信息的当前操作频率进行匹配；

确定所述当前操作频率大于所述预设操作频率，拦截所述终端设备访问的所述目标敏感信息并生成告警信息；

其中，所述目标敏感信息为所述访问权限中允许所述终端设备访问的敏感信息。

本申请实施例提供的敏感信息的操作监测方法，通过基于终端设备发送的登录信息，为终端设备分配对应的访问权限，并将访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与终端设备对目标敏感信息的当前操作频率进行匹配，在当前操作频率大于预设操作频率时，拦截终端设备访问的目标敏感信息并生成告警信息，从而能够对敏感信息的操作进行有效监控，减少敏感信息泄露的可能，提高敏感信息的安全性。

根据本申请的一个实施例，根据终端设备发送的登录信息，确定所述终端设备的访问权限，包括：

获取所述终端设备的IP地址；

确定所述IP地址与至少一个预设标识相匹配，根据所述登录信息中的账号信息，确定与所述账号信息对应的职位信息；

根据所述职位信息，为所述终端设备分配与所述职位信息对应的访问权限，以根据所述访问权限确定所述终端设备对各所述敏感信息的预设操作频率；

其中，所述预设标识为预设终端的IP地址。

根据本申请的一个实施例，所述预设终端根据所述账号信息确定。

根据本申请的一个实施例，还包括：

确定所述当前操作频率大于所述预设操作频率，禁用所述访问权限。

根据本申请的一个实施例，还包括：

确定所述当前操作频率小于所述预设操作频率，获取终端设备对所述目标敏感信息的当前操作请求；

将所述当前操作请求，与所述访问权限中针对所述目标敏感信息的各预设操作请求进行匹配，确定所述当前操作请求与各预设操作请求不匹配，拦截所述当前操作请求。

根据本申请的一个实施例，在确定所述当前操作请求与各预设操作请求不匹配之后，还包括：

向监控设备发送包括所述当前操作请求的提示信息。

根据本申请第二方面实施例的敏感信息的操作监测装置，包括：

权限确定模块，用于根据终端设备发送的登录信息，确定所述终端设备的访问权限；

操作匹配模块，用于将所述访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与所述终端设备对所述目标敏感信息的当前操作频率进行匹配；

操作监测模块，用于确定所述当前操作频率大于所述预设操作频率，拦截所述终端设备访问的所述目标敏感信息并生成告警信息；

其中，所述目标敏感信息为所述访问权限中允许所述终端设备访问的敏感信息。

根据本申请第三方面实施例的电子设备，包括处理器和存储有计算机程序的存储器，所述处理器执行所述计算机程序时实现上述任一实施例所述的敏感信息的操作监测方法。

根据本申请第四方面实施例的计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一实施例所述的敏感信息的操作监测方法。

根据本申请第五方面实施例的计算机程序产品，包括：所述计算机程序被处理器执行时实现如上述任一实施例所述的敏感信息的操作监测方法。

本申请实施例中的上述一个或多个技术方案，至少具有如下技术效果之一：

通过基于终端设备发送的登录信息，为终端设备分配对应的访问权限，并将访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与终端设备对目标敏感信息的当前操作频率进行匹配，在当前操作频率大于预设操作频率时，拦截终端设备访问的目标敏感信息并生成告警信息，从而能够对敏感信息的操作进行有效监控，减少敏感信息泄露的可能，提高敏感信息的安全性。

进一步的，通过基于终端设备发送的登录信息，根据登陆请求中的账号信息，先确定与账号信息对应的职位信息，再基于职位信息为终端设备分配对应的访问权限，使得用户在每次登录时均会对其职位信息进行检测以分配对应的访问权限，使用户在出现工作调动时能够及时基于其调动的部门来更新对敏感信息的预设操作频率，从而提高后续对敏感信息操作的监控准确性，进而提高敏感信息的安全性。

进一步的，通过在接收到用户的登录信息时，先根据终端设备的IP地址，与至少一个预设终端的预设标识相匹配，来验证终端设备的登录权限，并在确定IP地址与至少一个预设标识相匹配时，再根据登录信息中的账号信息来确定职位信息，从而避免任何终端设备均可以利用具有权限的账号信息进行敏感信息访问，减少敏感信息泄露的可能性，进而进一步提高敏感信息的安全性。

附图说明

为了更清楚地说明本申请或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的敏感信息的操作监测方法的流程示意图；

图2是本申请实施例中对图1的敏感信息的操作监测方法的访问权限的确定做进一步细化的流程示意图；

图3是本申请又一实施例提供的敏感信息的操作监测方法的流程示意图；

图4是本申请实施例提供的敏感信息的操作监测装置的结构示意图；

图5是本申请实施例提供的电子设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面，将通过几个具体的实施例对本申请实施例提供的敏感信息的操作监测方法及装置进行详细介绍和说明。

在一实施例中，提供了一种敏感信息的操作监测方法，该方法应用于服务器，用于进行用户的敏感信息的操作监测。其中，服务器可以是独立的服务器或者是多个服务器组成的服务器集群来实现，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能采样点设备等基础云计算服务的云服务器。

如图1所示，本实施例提供的一种敏感信息的操作监测方法包括：

步骤101，根据终端设备发送的登录信息，确定所述终端设备的访问权限；

步骤102，将所述访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与所述终端设备对所述目标敏感信息的当前操作频率进行匹配；

步骤103，确定所述当前操作频率大于所述预设操作频率，拦截所述终端设备访问的所述目标敏感信息并生成告警信息；

其中，所述目标敏感信息为所述访问权限中允许所述终端设备访问的敏感信息。

通过基于终端设备发送的登录信息，为终端设备分配对应的访问权限，并将访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与终端设备对目标敏感信息的当前操作频率进行匹配，在当前操作频率大于预设操作频率时，拦截终端设备访问的目标敏感信息并生成告警信息，从而能够对敏感信息的操作进行有效监控，减少敏感信息泄露的可能，提高敏感信息的安全性。

在一实施例中，访问权限记录有对某个敏感信息的预设操作频率。敏感信息可以是指用户的金融隐私信息，如用户姓名、金融账号、流水记录、客户贷款信息等等。预设操作频率可以是指单位时间内，如24小时内对某个敏感信息的访问次数，如24小时内访问用户姓名的次数，或24小时内访问金融账号的次数，或24小时内访问流水记录的次数，或24小时内访问客户贷款信息的次数等。

登录信息中包括有用于识别用户身份的账号信息，不同的账号信息在服务器中预设有对应的访问权限。示例性的，假设账号信息为A，其对应的访问权限A’可以被配置为包括：24小时内允许访问用户姓名20次；24小时内允许访问金融账号20次；24小时内允许访问流水记录10次；24小时内允许访问客户贷款信息10次。在从终端设备获取到登录信息后，对登录信息进行解析，获取该登录信息中的账号信息。若登录信息中的账号信息为A，则可从服务器中查找到对应的访问权限为A’，从而确定发送该登录信息的终端设备的访问权限为A’。

为提高对敏感信息操作的监测准确性，在一实施例中，如图2所示，根据终端设备发送的登录信息，确定所述终端设备的访问权限，包括：

步骤201，获取所述终端设备的IP地址；

步骤202，确定所述IP地址与至少一个预设标识相匹配，根据所述登录信息中的账号信息，确定与所述账号信息对应的职位信息；

步骤203，根据所述职位信息，为所述终端设备分配与所述职位信息对应的访问权限，以根据所述访问权限确定所述终端设备对各所述敏感信息的预设操作频率；

其中，所述预设标识为预设终端的IP地址。

在一实施例中，由于一个账号信息对应一个用户，因此可根据该账号信息，从存储有多个用户信息表的数据库中，查找与该账号信息对应的用户信息表。其中，用户信息表用于记录用户的姓名信息、学历信息、职位信息以及关联的终端信息等。在查找到与该账号信息对应的用户信息表后，便可从该用户信息表中提取职位信息，并将该职位信息确定为与账号信息对应的职位信息。

在一实施例中，服务器在获取到终端设备发送的登录信息后，先从登录信息中提取该终端设备的IP地址。在获取到终端设备的IP地址后，将该IP地址与多个预设标识进行匹配，以判断该终端设备是否为具有登录权限的终端设备。其中，预设标识为被指定的预设终端的IP地址。示例性的，预设终端可以是接入企业局域网的终端设备，或者受企业监管系统监管的终端设备。预设终端可以是一个或多个，相应的，预设标识可以存在一个或多个。若各预设标识均不与该IP地址相同，则表示与该IP地址对应的终端设备并不具有登录权限，此时向终端设备发送用于提示拒绝登录信息的提示信息，使终端设备登录失败，以避免任何终端设备均可以利用具有权限的账号信息进行敏感信息的访问，减少信息泄露的可能性。

若各预设标识中某个预设标识与该IP地址相同，则表示与该IP地址对应的终端设备具有登录权限，此时则获取登录信息中的账号信息，并根据该账号信息确定对应的职位信息。

在确定职位信息后，即可根据该职位信息，从记录有每个职位信息对应的访问权限的映射关系表中，查找与该职位信息对应的访问权限，从而确定终端设备对服务器中各敏感信息的预设操作频率。

通过基于终端设备发送的登录信息，根据登陆请求中的账号信息，先确定与账号信息对应的职位信息，再基于职位信息为终端设备分配对应的访问权限，使得用户在每次登录时均会对其职位信息进行检测以分配对应的访问权限，使用户在出现工作调动时能够及时基于其调动的部门来更新对敏感信息的预设操作频率，从而提高后续对敏感信息操作的监控准确性，进而提高敏感信息的安全性。

此外，通过将终端设备的IP地址，与至少一个预设终端的预设标识相匹配，来验证终端设备的登录权限，并在确定IP地址与至少一个预设标识相匹配时，再根据账号信息来确定职位信息，从而避免任何终端设备均可以利用具有权限的账号信息进行敏感信息访问，减少敏感信息泄露的可能性，进而进一步提高敏感信息的安全性。

在一实施例中，预设终端可以根据账号信息确定。即针对任一账号信息，均预先分配可供其登录的终端作为预设终端，从而使得用户只能通过与账号信息对应的预设终端来进行登录，而无法通过其他终端来实现登录，减少出现信息泄露的可能性。

在根据职位信息为终端设备分配与职位信息对应的访问权限后，由于不记录在访问权限的敏感信息终端设备无法访问，因此无需针对这类敏感信息作为目标敏感信息，仅需将访问权限中允许该终端设备访问的任意一个敏感信息作为目标敏感信息。在接收到终端设备对目标敏感信息的访问请求时，获取终端设备对该目标敏感信息的当前操作频率。在获取终端设备对该目标敏感信息的当前操作频率后，将该当前操作频率与访问权限中针对该目标敏感信息的预设操作频率进行比较，判断当前操作频率是否大于预设操作频率。若当前操作频率小于或等于预设操作频率，则允许终端设备对目标敏感信息进行访问和执行相应操作。若当前操作频率大于预设操作频率，则判断该终端设备对目标敏感信息的操作为异常操作，此时则拦截该目标敏感信息，使终端设备无法访问该目标敏感信息。

示例性的，假设目标敏感信息为客户贷款信息，终端设备的访问权限中包括24小时内允许访问客户贷款信息10次。当检测到终端设备当前对客户贷款信息的访问次数为24小时内的第11次，大于10次的设定，则拦截该客户贷款信息。当检测到终端设备到终端设备当前对客户贷款信息的访问次数为24小时内的第10次，未超过10次的设定，则允许终端设备访问该客户贷款信息。

为进一步提高安全性，在一实施例中，在确定对目标敏感信息的当前操作频率大于预设操作频率后，除拦截目标敏感信息外，还可以删除访问权限，使用户不再具备访问任何敏感信息的权限，进一步提高安全性。

此外，还在确定对目标敏感信息的当前操作频率大于预设操作频率后，还可以生成包括目标敏感信息的当前操作频率的告警信息发送至监控设备进行告警。

在一实施例中，服务器还可以针对目标敏感信息设定多个不同的预设操作频率，如设定第一预设操作频率、第二预设操作频率以及第三预设操作频率等，第一预设操作频率、第二预设操作频率以及第三预设操作频率依次递增，如第一预设操作频率可以为24小时内允许访问流水记录10次，第二预设操作频率可以为24小时内允许访问流水记录20次，第三预设操作频率可以为24小时内允许访问流水记录30次。同时，针对不同的预设操作频率，分别设定对应的监测策略，如设定大于第一预设操作频率小于等于第二预设操作频率的第一监测策略，如生成告警信息发送至监控设备进行告警；设定大于第二预设操作频率小于等于第三预设操作频率的第二监测策略，如生成告警信息发送至监控设备进行告警，并拦截目标敏感信息；以及大于第三预设操作频率的第三监测策略，如生成告警信息发送至监控设备进行告警，并拦截目标敏感信息以及删除访问权限。在获取到终端设备针对目标敏感数据的当前操作频率后，将该当前操作频率与各预设操作频率进行匹配，以根据匹配结果执行相应的监测策略。

当检测到当前操作频率小于所述预设操作频率时，可向终端设备发送该目标敏感信息，以允许终端设备对目标敏感信息进行访问。而考虑到访问请求包括终端设备指定的敏感信息，以及对敏感信息的操作请求，如对客户贷款信息进行下载，而操作操作请求通常有多种，如下载、查看、修改等。因此在向终端设备发送目标敏感信息以允许终端设备对目标敏感信息进行访问后，还需检测终端设备对目标敏感信息的操作，以进一步提高敏感信息的安全性。具体的，如图3所示，向所述终端设备发送所述目标敏感信息后，还包括：

步骤301，获取终端设备对所述目标敏感信息的当前操作请求；

步骤302，将所述当前操作请求，与所述访问权限中针对所述目标敏感信息的各预设操作请求进行匹配，确定所述当前操作请求与各预设操作请求不匹配，拦截所述当前操作请求。

在一实施例中，访问权限中还包括有对不同敏感信息的预设操作请求，如允许对客户贷款信息的下载操作，允许对用户姓名进行查看等。在确定当前操作频率小于预设操作频率，即用户对其要访问的敏感信息的访问频率未达到访问权限中规定的预设操作频率，则向所述终端设备发送所述目标敏感信息。然后，检测终端设备针对该目标敏感信息的当前操作请求，是否为访问权限中允许的对目标敏感信息的预设操作。若是，则允许执行该当前操作请求；否则，拦截该当前操作请求。

如目标敏感信息为客户贷款信息，访问权限中的预设操作请求为允许对客户贷款信息的下载操作，而当前操作请求为对客户贷款信息执行修改操作，则拦截该当前操作请求。若当前操作请求为对客户贷款信息执行下载操作，则相应该下载操作，将该客户贷款信息下载至终端设备。

通过在向终端设备发送目标敏感信息后，在将终端设备对目标敏感信息的当前操作请求，与访问权限中针对目标敏感信息的各预设操作请求进行匹配，以进一步判断用户对目标敏感信息的操作是否具备权限。并在确定用户对目标敏感信息的操作不具备权限时，拦截当前操作请求，从而能够针对用户执行的敏感信息操作进行有效监控，进一步提高敏感信息的安全性。

在一实施例中，在确定当前操作请求与各预设操作请求不匹配之后，还可以生成包括针对目标敏感信息的前操作请求的提示信息，并将该提示信息发送至监控设备进行告警。

下面对本申请提供的敏感信息的操作监测装置进行描述，下文描述的敏感信息的操作监测装置与上文描述的敏感信息的操作监测方法可相互对应参照。

在一实施例中，如图4所示，提供了一种敏感信息的操作监测装置，包括：

权限确定模块210，用于根据终端设备发送的登录信息，确定所述终端设备的访问权限；

操作匹配模块220，用于将所述访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与所述终端设备对所述目标敏感信息的当前操作频率进行匹配；

操作监测模块230，用于确定所述当前操作频率大于所述预设操作频率，拦截所述终端设备访问的所述目标敏感信息并生成告警信息；

其中，所述目标敏感信息为所述访问权限中允许所述终端设备访问的敏感信息。

通过基于终端设备发送的登录信息，为终端设备分配对应的访问权限，并将访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与终端设备对目标敏感信息的当前操作频率进行匹配，在当前操作频率大于预设操作频率时，拦截终端设备访问的目标敏感信息并生成告警信息，从而能够对敏感信息的操作进行有效监控，减少敏感信息泄露的可能，提高敏感信息的安全性。

在一实施例中，权限确定模块210具体用于：

获取所述终端设备的IP地址；

确定所述IP地址与至少一个预设标识相匹配，根据所述登录信息中的账号信息，确定与所述账号信息对应的职位信息；

根据所述职位信息，为所述终端设备分配与所述职位信息对应的访问权限，以根据所述访问权限确定所述终端设备对各所述敏感信息的预设操作频率；

其中，所述预设标识为预设终端的IP地址。

在一实施例中，所述预设终端根据所述账号信息确定。

在一实施例中，操作监测模块230还用于：

确定所述当前操作频率小于所述预设操作频率，向所述终端设备发送所述目标敏感信息。

在一实施例中，操作监测模块230还用于：

向所述终端设备发送所述目标敏感信息后，获取终端设备对所述目标敏感信息的当前操作请求；

将所述当前操作请求，与所述访问权限中针对所述目标敏感信息的各预设操作请求进行匹配，确定所述当前操作请求与各预设操作请求不匹配，拦截所述当前操作请求。

在一实施例中，操作监测模块230还用于：

在确定所述当前操作请求与各预设操作请求不匹配之后，向监控设备发送包括所述当前操作请求的提示信息。

图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)810、通信接口(Communication Interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的计算机程序，以执行敏感信息的操作监测方法，例如包括：

根据终端设备发送的登录信息，确定所述终端设备的访问权限；

将所述访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与所述终端设备对所述目标敏感信息的当前操作频率进行匹配；

确定所述当前操作频率大于所述预设操作频率，拦截所述终端设备访问的所述目标敏感信息并生成告警信息；

其中，所述目标敏感信息为所述访问权限中允许所述终端设备访问的敏感信息。

此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本申请实施例还提供一种存储介质，存储介质包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，计算机程序被处理器执行时，计算机能够执行上述各实施例所提供的敏感信息的操作监测方法，例如包括：

根据终端设备发送的登录信息，确定所述终端设备的访问权限；

将所述访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与所述终端设备对所述目标敏感信息的当前操作频率进行匹配；

确定所述当前操作频率大于所述预设操作频率，拦截所述终端设备访问的所述目标敏感信息并生成告警信息；

其中，所述目标敏感信息为所述访问权限中允许所述终端设备访问的敏感信息。

另一方面，本申请实施例还提供一种处理器可读存储介质，处理器可读存储介质存储有计算机程序，计算机程序用于使处理器执行上述各实施例提供的方法，例如包括：

根据终端设备发送的登录信息，确定所述终端设备的访问权限；

将所述访问权限中针对各敏感信息中任一目标敏感信息的预设操作频率，与所述终端设备对所述目标敏感信息的当前操作频率进行匹配；

确定所述当前操作频率大于所述预设操作频率，拦截所述终端设备访问的所述目标敏感信息并生成告警信息。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。