[发明专利]一种面向业务的数据安全治理系统及方法

说明书

本发明涉及数据安全技术领域，具体涉及一种面向业务的数据安全治理系统及方法，包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理，实现的业务系统页面及页面字段及API及敏感字段自动发现，实现的业务人员字段访问记录及控制的数据权限立方体引擎；包括实现业务无感知及数据职责分离的数据安全治理平台，所述数据安全治理平台包括应用安全网关、统一认证网关、通用脱敏模块和前端页面字段展示处理模块。解决了接数据安全治理人员供不应求且成本居高不下；人力驱动的数据安全治理滞后于业务发展变化；很难对动态变动的业务需求建立持续性的数据安全治理机制；无法覆盖业务场景中敏感数据的方方面面，存在盲区的问题。

技术领域

本发明涉及数据安全技术领域，具体涉及一种面向业务的数据安全治理系统及方法。

背景技术

互联网和大数据的蓬勃发展给数据安全和隐私保护带来前所未有的挑战。数据泄露事件层出不穷，对社会、企业、个人均带来严重不良影响。因业务强需求，数据必须暴露或者流转，如果在数据的暴露和流转环节不加以合理的管控，很容易导致数据泄露事件的发生。

面向业务的数据安全治理应运而生，用以实现数据最小权限、数据最小暴露(敏感数据字段脱敏)、数据职责分离(SODD:Segregation of Data Duties)等，以业务人员广泛使用的业务系统为出发点，对业务系统中的敏感、隐私数据进行合理管控，规范数据正当使用，降低数据泄露风险。

但是现阶段的数据安全治理以人力驱动为主，存在以下问题：数据安全治理人员供不应求且成本居高不下；人力驱动的数据安全治理滞后于业务发展变化；很难对动态变动的业务需求建立持续性的数据安全治理机制；无法覆盖业务场景中敏感数据的方方面面，存在盲区。

发明内容

针对现有技术的不足，本发明公开了一种面向业务的数据安全治理系统及方法，用于解决接数据安全治理人员供不应求且成本居高不下；人力驱动的数据安全治理滞后于业务发展变化；很难对动态变动的业务需求建立持续性的数据安全治理机制；无法覆盖业务场景中敏感数据的方方面面，存在盲区的问题。

本发明通过以下技术方案予以实现：

第一方面，本发明公开了一种面向业务的数据安全治理系统，包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理，实现的业务系统页面及页面字段及API及敏感字段自动发现，实现的业务人员字段访问记录及控制的数据权限立方体引擎；包括实现业务无感知及数据职责分离的数据安全治理平台，所述数据安全治理平台包括应用安全网关、统一认证网关、通用脱敏模块和前端页面字段展示处理模块。

更进一步的，所述数据权限立方体引擎包括将业务系统页面及字段、API名及API字段、业务部门及部门角色进行统一管理的数据权限立方体；基于爬虫技术实现的业务系统页面及页面字段自动发现模块；基于流量分析技术实现的API及敏感字段发现模块；用于发现和识别各个业务部门及人员在各个业务系统敏感页面和页面敏感字段的存量访问权限的基于流量分析技术和业务系统日志分析实现的业务人员字段访问记录模块；面向数据安全治理人员的控制平面模块。

更进一步的，所述数据权限立方体使用关系数据库和图数据库，其X轴用于记录业务系统页面、页面菜单及页面字段；

Y轴用于记录API名及API字段，并对API敏感字段进行标记；

Z轴用于记录业务部门及部门角色；

(X,Y)平面用于记录页面及页面字段与API名及API字段的对应关系，并将Y轴标记的API敏感字段映射至前端页面字段，对前端页面敏感字段进行标记；

(X,Z)平面向数据安全治理人员，用于支撑业务视角的数据安全治理，将业务部门及角色在各个页面及页面敏感字段的访问权限与脱敏需求汇总形成权限矩阵；