本发明实施例涉及数据安全,具体涉及一种敏感数据识别方法、、装置、设备及计算机可读存储介质。
背景技术:
1、目前,安全数据中台整合各类安全组件的能力,集中企业安全运行数据,通过识别、防护、检测、响应等策略对安全能力进行整合、调度与编排,根据模型策略进行敏感数据识别,进而防止数据泄露,保障数据安全。因此,如何基于安全数据中台进行敏感数据识别是一个十分重要的内容。
2、现有的敏感数据识别方案,会为用户分配唯一的访问权限,基于该权限识别敏感数据。例如,确定用户访问权限,识别数据源中是否存在该访问权限不允许访问的数据,若存在,则该数据为敏感数据。由于安全数据中台集中企业各种安全运行数据,数据之间存在较为复杂的关联情况,在如此复杂的数据情况下,基于预先分配的访问权限进行敏感数据识别,由于没有考虑数据之间的关联情况造成敏感数据识别遗漏,进而被泄,导致数据安全性较低。
技术实现思路
1、鉴于上述问题,本发明实施例提供了一种敏感数据识别方法、装置、设备及计算机可读存储介质,用于解决现有技术中存在的数据安全性较低问题。
2、根据本发明实施例的一个方面,提供了一种敏感数据识别方法,所述方法包括:
3、接收用户的访问请求;所述访问请求中包括所述用户的访问权限以及所要访问的目标数据表信息;
4、根据所述目标数据表信息及预设的数据拓扑图,确定所述目标数据表的对应的至少一个关联数据表之间的至少一个目标边权重;所述数据拓扑图以多个数据表及对应的多个关联数据表为节点,以各个数据表及各个关联数据表之间的关联关系为边构建而成;所述边的边权重根据所述关联关系,以及所述数据表及所述的权限信息确定;
5、根据所述至少一个目标边权重及所述用户的访问权限,确定所述目标数据表中是否存在所述用户对应的敏感数据。
6、在一种可选的方式中,所述根据所述目标数据表信息及预设的数据拓扑图,确定所述目标数据表的对应的至少一个关联数据表之间的至少一个目标边权重之前,所述方法包括:
7、分别确定各个数据表及对应的关联数据表的四元组表信息;所述四元组表信息包括数据表标识、表访问权限、字段信息及字段权限;
8、根据各个所述四元组表信息,构建所述数据拓扑图的节点。
9、在一种可选的方式中,所述根据所述目标数据表信息及预设的数据拓扑图,确定所述目标数据表的对应的关联数据表之间的边权重之前,所述方法包括:
10、确定各个所述数据表与关联数据表的关联关系;
11、获取所述数据表的权限信息及所述关联数据表的权限信息;
12、根据所述权限信息及所述关联关系,确定各个所述边的边权重。
13、在一种可选的方式中,所述权限信息包括字段权限及表权限;所述边权重包括边权限及边关系类型;所述根据所述权限信息及所述关联关系,确定各个所述边的边权重,包括:
14、根据所述关联关系,确定边关系类型;
15、根据所述字段权限及所述表权限,确定边权限;
16、根据所述边权限及所述边关系类型,确定所述边权重。
17、在一种可选的方式中,所述根据所述字段权限及所述表权限,确定边权限,包括:
18、根据所述字段权限及所述表权限,确定所述数据表及所述关联数据表的最小权限;
19、将所述最小权限作为所述边权限。
20、在一种可选的方式中,所述数据拓扑图中还包括以数据源为节点的数据源节点;
21、所述数据表的节点与所述数据源节点之间的边的权重为所述数据表的权重。
22、在一种可选的方式中,所述根据所述至少一个目标边权重及所述用户的访问权限,确定所述目标数据表中是否存在所述用户对应的敏感数据,包括:
23、当用户的访问权限小于所述目标数据表及关联数据表的表权限时,确定所述目标数据表中存在用户对应的敏感数据;
24、当用户的访问权限大于等于所述目标数据表及关联数据表的表权限时,确定所述用户的访问权限是否大于目标数据表及关联数据表的字段权限;
25、当大于等于所述字段权限时,确定所述目标数据表中不存在用户对应的敏感数据;
26、当小于所述所述字段权限时,确定所述目标数据表中存在用户对应的敏感数据。
27、根据本发明实施例的另一方面,提供了一种敏感数据识别装置,包括:
28、接收模块,用于接收用户的访问请求;所述访问请求中包括所述用户的访问权限以及所要访问的目标数据表信息;
29、第一确定模块,用于根据所述目标数据表信息及预设的数据拓扑图,确定所述目标数据表的对应的至少一个关联数据表之间的至少一个目标边权重;所述数据拓扑图以多个数据表及对应的多个关联数据表为节点,以各个数据表及各个关联数据表之间的关联关系为边构建而成;所述边的边权重根据所述关联关系,以及所述数据表及所述的权限信息确定;
30、第二确定模块,用于根据所述至少一个目标边权重及所述用户的访问权限,确定所述目标数据表中是否存在所述用户对应的敏感数据。
31、根据本发明实施例的另一方面,提供了一种敏感数据识别设备,包括:
32、处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
33、所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行所述的敏感数据识别方法的操作。
34、根据本发明实施例的又一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令在敏感数据识别设备上运行时,使得敏感数据识别设备执行所述的敏感数据识别方法的操作。
35、本发明实施例通过接收用户的访问请求;所述访问请求中包括所述用户的访问权限以及所要访问的目标数据表信息;根据所述目标数据表信息及预设的数据拓扑图,确定所述目标数据表的对应的至少一个关联数据表之间的至少一个目标边权重;所述数据拓扑图以多个数据表及对应的多个关联数据表为节点,以各个数据表及各个关联数据表之间的关联关系为边构建而成;所述边的边权重根据所述关联关系,以及所述数据表及所述的权限信息确定;根据所述至少一个目标边权重及所述用户的访问权限,确定所述目标数据表中是否存在所述用户对应的敏感数据。能够通过分别为数据表和字段设置访问权限,构建数据拓扑图,通过数据拓扑图展现所有数据源、数据表之间的关系,以及该关系的类型,数据拓扑图以及当前访问人员的访问权限识别其访问数据是否为敏感数据,在增加字段访问的灵活性的同时,提升了敏感数据识别的合理性。
36、上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
1.一种敏感数据识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标数据表信息及预设的数据拓扑图,确定所述目标数据表的对应的至少一个关联数据表之间的至少一个目标边权重之前,所述方法包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标数据表信息及预设的数据拓扑图,确定所述目标数据表的对应的关联数据表之间的边权重之前,所述方法包括:
4.根据权利要求3所述的方法,其特征在于,所述权限信息包括字段权限及表权限;所述边权重包括边权限及边关系类型;所述根据所述权限信息及所述关联关系,确定各个所述边的边权重,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述字段权限及所述表权限,确定边权限,包括:
6.根据权利要求1所述的方法,其特征在于,所述数据拓扑图中还包括以数据源为节点的数据源节点;
7.根据权利要求4所述的方法,其特征在于,所述根据所述至少一个目标边权重及所述用户的访问权限,确定所述目标数据表中是否存在所述用户对应的敏感数据,包括:
8.一种敏感数据识别装置,其特征在于,所述装置包括:
9.一种敏感数据识别设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令在敏感数据识别设备上运行时,使得敏感数据识别设备执行如权利要求1-7任意一项所述的敏感数据识别方法的操作。
