[发明专利]一种基于数据分类的数据防泄漏方法及其系统

说明书

技术领域

    本发明涉及一种数据防泄漏方法以及采用此方法的数据防泄漏系统，尤其涉及一种基于数据分类的数据防泄漏方法及其系统。

背景技术

数据泄露防护（Data Leakage Prevention， DLP）是通过一定的技术和管理手段，防止指定数据或信息资产以违反安全策略的形式被存储、使用和传输。数据泄露防护具有保护国家数据安全的战略地位和保障信息安全的重要作用，是国家安全的重要组成部分。对企业而言，数据泄露更是一个更需要重视的问题。无论企业处于何种规模，都存在数据泄密的风险，而这些风险将会让企业面临安全、知识产权、财产、隐私和法规遵从方面的威胁，从而导致企业时间、资金的双重浪费，进而会影响企业的声誉。当前，信息内容安全主要表现为文档或数据的安全，其威胁主要包括黑客入侵、国外间谍人员的窃密或内部泄密造成的文档或者数据泄露，如黑客通过网络攻击等非法手段获取用户文件，计算机病毒盗取文件资料，员工无保密意识的误操作、移动存储设备的遗失等。传统的信息安全产品如：防火墙、防病毒、入侵检测、漏洞扫描分别属于以防护（Prevention）、检测（Detection）和响应（Response）为核心的PDR模型和以策略（Policy）、保护（Protection）、检测（Detection）、反应（Response）为核心的闭环控制P2DR模型中的防护和检测环节，它们是从网络层或者应用层进行安全防护，缺乏对网络中存储和传输的数据层面进行保护。

数据泄露防护产品目前主要采用如下四类技术：权限控制技术、加密技术、虚拟化技术和数据识别技术，其中数据识别技术是针对数据本身进行防护，具有准确率高、管理简单、部署容易等特点，也是目前国外产品采用的主流技术。上述的数据包括结构化数据和非结构化数据，而对于非结构化数据，数据识别技术的优势更加明显。目前普遍采用的数据识别技术主要包括：关键字、数据字典、正则表达式、特定的验证规则（如：身份证）、数据描述属性、样本数据指纹、基于训练样本的分类算法等技术，不同的产品包括其中多种或全部识别技术，但是已有的产品都是基于以上技术的简单逻辑组合，并不能准确描述真实世界的数据内容，同时对于用户的专业知识要求较高，如用户需要理解复杂的逻辑表达式，逻辑运算符的优先级等，因此，用户对产品的使用和最终的数据泄露防护效果都不尽满意。

发明内容

针对现有技术的上述缺陷，本发明提供一种基于数据分类的数据防泄漏方法，该方法通过形成各数据识别领域的特定语言，用户根据该领域特定语言（Domain Specific Languages，DSL）定义策略描述各种需要保护的数据，进而进行准确的数据泄露防护；本发明的另一方面，提供一种基于数据分类的数据防泄漏系统。

为实现上述发明目的，本发明采用如下的技术方案：

一种基于数据分类的数据防泄漏方法，包括如下步骤：

A. 设计基础数据分类器；按特定的数据分类方法，设计基础数据分类器，以此检测目标数据中是否包含特定分类法中指定的数据特征，同时返回该特征的信息；

B. 定义领域特定语言的各个要素，由用户形成由领域特定语言描述的数据泄露策略库；

C. 根据领域特定语言策略库对输入的数据进行检测，并执行策略中定义的响应，将违反策略的时间写入数据泄露事件库；

D. 获取数据，包括静态存储的数据、来自网络的数据以及正在使用的各类数据；

E. 对违规数据执行已定义的响应操作；

F. 对违规的数据泄露事件进行统计分型，并在客户端展示。

进一步地，步骤A中的数据分类方法包括下述的一种或多种：关键字/短语分类法、数据字典分类法、正则表达式分类法、样本数据指纹分类法、数据描述属性分类法，特定验证规则分类法以及基于训练样本的分类算法。

进一步地，步骤B包括下述三个步骤：

B1、定义DSL的类型，根据用户需要用到的特定数据分类方法的种类，定义相应数量的类型；

B2、从用户描述数据的需求中抽象和定义DSL的关键字；

B3、定义DSL的语法，采用用户便于理解同时程序也可以解析的表达方式。

一种基于数据分类的数据防泄漏系统，其特征在于：包括基本分类器管理模块、DSL策略定义和编辑模块、DSL策略解析执行模块、数据访问模块、数据防护响应模块以及事件管理模块。