CN106534174A - 一种敏感数据的云防护方法、装置及*** - Google Patents
一种敏感数据的云防护方法、装置及*** Download PDFInfo
- Publication number
- CN106534174A CN106534174A CN201611117649.7A CN201611117649A CN106534174A CN 106534174 A CN106534174 A CN 106534174A CN 201611117649 A CN201611117649 A CN 201611117649A CN 106534174 A CN106534174 A CN 106534174A
- Authority
- CN
- China
- Prior art keywords
- local device
- access
- cloud server
- data
- log information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000002265 prevention Effects 0.000 claims description 104
- 230000001012 protector Effects 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 15
- 239000000203 mixture Substances 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000035945 sensitivity Effects 0.000 claims description 4
- 230000000694 effects Effects 0.000 abstract description 6
- 230000000875 corresponding effect Effects 0.000 description 38
- 238000004458 analytical method Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000007405 data analysis Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000011897 real-time detection Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 241000894007 species Species 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种敏感数据的云防护方法、装置及***,涉及网络安全技术领域,主要目的在于兼顾敏感数据安全性的同时增强云防护的防护针对性,提高云防护的防护效果。本发明主要的技术方案为:云端服务器接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息;根据所述日志信息为所述本地设备配置防护策略;将所述防护策略发送至所述本地设备,由本地设备根据所述防护策略执行安全防护操作。本发明主要用于对敏感数据的安全防护。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种敏感数据的云防护方法、装置及***。
背景技术
随着Internet互联网的不断普及,网络带宽的增加,高速广泛连接的网络给大家带来了方便,也为网络攻击创造了极为有利的条件。而利用网络攻击进行恶意竞争、敲诈勒索已经形成了一条完善的黑客产业链。并且,发动网络攻击成本极低,在网上可以轻松搜索到很多的网络攻击器,技术要求也越来越低。于此相反的是,专业防护网络攻击的价格十分昂贵,而且对于攻击源的追查难度也极大,使得防护成本远远大于攻击成本,导致网络攻击事件频发,尤其是对DDos攻击,现有单一的安全防护体系及被动的策略难以有效应对。对此,云防护的出现可以有效针对DDos攻击的特点,通过整合已有的DDos防护资源形成强大的云防护***。
然而,现有的云防护***所进行防护操作要基于本地的网络数据,通过数据分析进行具体的防护操作,因此,本地的网络数据需要或部分需要上传云端以供云端进行数据分析。但是,对于部分特殊的用户,其本地的数据属于敏感数据,不方便上传云端进行数据分析,如涉及安全、财务的信息数据等,对此,现有的云防护***的防护策略只能采用标准的防护方案,而缺少具有针对性的防护,导致防护效果不佳。
发明内容
有鉴于此,本发明提供一种敏感数据的云防护方法、装置及***,主要目的在于兼顾敏感数据安全性的同时增强云防护的防护针对性,提高云防护的防护效果。
依据本发明的第一个方面,提出了一种敏感数据的云防护方法,该方法包括:
云端服务器接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息;
根据所述日志信息为所述本地设备配置防护策略;
将所述防护策略发送至所述本地设备,以便本地设备根据所述防护策略执行安全防护操作。
依据本发明的第二个方面,提出了一种敏感数据的云防护方法,该方法包括:
本地设备向云端服务器上报本地的日志信息,以便所述云端服务器根据所述日志信息配置防护策略;
根据接收的所述防护策略,对本地的访问数据进行检测;
若所述访问数据命中所述防护策略,则拦截所述访问数据对应的访问操作。
依据本发明的第三个方面,提出了一种敏感数据的云防护装置,该装置包括:
接收单元,用于接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息;
配置单元,用于根据所述接收单元接收的日志信息为所述本地设备配置防护策略;
发送单元,用于将所述配置单元配置的防护策略发送至所述本地设备,以便本地设备根据所述防护策略执行安全防护操作。
依据本发明的第四个方面,提出了一种敏感数据的云防护装置,该装置包括:
发送单元,用于向云端服务器上报本地的日志信息,以便所述云端服务器根据所述日志信息配置防护策略;
接收单元,用于根据接收的所述防护策略,对本地的访问数据进行检测;
执行单元,用于当所述访问数据命中所述接收单元接收的防护策略时,拦截所述访问数据对应的访问操作。
依据本发明的第五个方面,提出了一种敏感数据的云防护***,该***由含有上述第三个方面所提出的敏感数据的云防护装置的云端服务器和含有上述第四个方面提出的敏感数据的云防护装置的本地设备所组成;
其中,所述云端服务器用于,接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息,根据所述日志信息为所述本地设备配置防护策略,并将所述防护策略发送至所述本地设备;
所述本地设备用于,向云端服务器上报本地的日志信息,根据接收的防护策略,对本地的访问数据进行检测,若访问数据命中所述防护策略,则拦截所述访问数据对应的访问操作。
本发明所采用的一种敏感数据的云防护方法、装置及***,是由云端服务器完成防护策略的制定,由本地设备进行具体执行防护操作,由于防护策策略的配置仅需要本地设备提供相关的日志统计数据,而不需要提供具体的本地数据,因此,可以确保本地设备中敏感数据的安全性,同时,由于云端服务器能够实时地更新本地设备中的防护策略,使得本地设备能够更有针对性的防护网络攻击,提高防护效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提出的一种敏感数据的云防护方法流程图;
图2示出了本发明实施例提出的第二种敏感数据的云防护方法流程图;
图3示出了本发明实施例提出的第三种敏感数据的云防护方法流程图;
图4示出了本发明实施例提出的一种敏感数据的云防护装置的组成框图;
图5示出了本发明实施例提出的第二种敏感数据的云防护装置的组成框图;
图6示出了本发明实施例提出的第三种敏感数据的云防护装置的组成框图;
图7示出了本发明实施例提出的第四种敏感数据的云防护装置的组成框图;
图8示出了本发明实施例提出的一种敏感数据的云防护装置的组成框图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种敏感数据的云防护方法,该方法应用于云防护***的云端服务器中,具体步骤如图1所示,包括:
101、接收本地设备发送的日志信息。
本发明实施例中,云端服务器主要负责对日志信息的统计分析,而本地设备则是存储有敏感数据终端设备,其中,敏感数据包括涉密数据、公共安全数据等,由于这些敏感数据只能再有限的范围内进行保密传播,因此,对于这些数据的网络化应用就需要特别的注意。在本发明实施例中的云端服务器一般会服务于同一网络中的多个本地设备,这些本地设备之间允许私密数据的相互传输,而云端服务器只接收各个本地设备所发送的日志信息。
云端服务器在接收本地设备的日志信息时,由于本地设备一般为多台,因此,在保存日志信息时,将根据对应的本地设别进行区别存储,以此保证后续应用日志信息时可根据不同的日志信息为所对应的本地设备匹配防护策略。
102、根据日志信息为本地设备配置防护策略。
在配置防护策略时,云端服务器将根据对日志信息的分析优化已有的防护策略,以生成新的防护策略。其中,主要的防护包括针对Ddos攻击(Distributed Denial ofservice,分布式拒绝服务)、CC攻击(Challenge Collapsar,属于DDoS攻击的一种),Web应用攻击等攻击形式的防护策略。
在进行防护策略配置时,云端服务器会根据不同本地设备提供的日志信息进行差别化的配置,以使本地设备的防护效果达到最优。
103、将防护策略发送至本地设备。
在得到防护策略后,根据日志对应的本地设备,云端服务器将把对应的防护策略发送至本地设备中。
通过上述本发明实施例提供的应用在云端服务器中的一种敏感数据的云防护方法可见,云端服务器所执行的仅为日志信息的分析以及防护策略的设置,而不参与防护操作的具体实施,因此,对于云端服务器而言,其任务压力相对于现有的云端服务器就减轻了许多,据此,本发明实施例中的云端服务器所能够服务的本地设备的数量就更多,对云端服务器自身的配置要求也会有所降低,从而降低配置云防护的成本。
对应于云端服务器中所实现的云防护方法,其主要完成防护策略的配置,而对于云防护的主要操作则需要由本地设备来执行,因此,针对本地设备的具体防护操作,本发明实施例还提供一种敏感数据的云防护方法,该方法中的本地设备可以是数据服务器,如网站服务器,也可以是数据中心中的服务器集群,在本发明实施例中的本地设备内存储有敏感数据,而这些敏感数据处于安全性的需要一般是不能够上传云端服务器的,因此,本地设备就需要在本地实现安全防护操作,同时,也需要通过云端进行实时的防护策略更新,具体方法如图2所示,包括:
201、向云端服务器上报本地的日志信息。
本地设备通过日志的方式记录本地的各种操作,包括日常操作以及安全防护的操作。由于本地设备中的安全防护策略除了在用户人为修改的情况下基本上是固定不变的,不能根据攻击手段的变化进行有效的策略调整,因此,本发明实施例中,需要将本地设备与云端服务器相结合,利用云端服务器所具有的数据更新能力来实时更新本地设备中的安全防护策略。
本地设备在上报本地的日志信息时,由于云端服务器所服务的设备众多,因此,本地设备在上报日志信息时,需要对所上报日志标注本地设备的标签以使云端服务器加以识别。
此外,对于上报日志信息的时机,本发明实施例不限定是实时上报或者是根据预定的时间间隔进行上报。
202、根据接收的防护策略,对本地的访问数据进行检测。
本地设备在上报日志信息后,将接收到云端服务器根据所上报的日志信息对应的安全防护策略,将该防护策略替换本地设备中原有的安全防护策略,并启用该防护策略对本地的访问数据进行实时地检测,以判断访问数据中是否存在网络攻击行为。其中,访问数据主要是指针对本地设备的网络访问请求,通过检测访问请求中是否存在有防护策略中记载的网络攻击的特征来进行判断。该访问数据也包括用户访问过程所传输的具体数据。
本发明实施例中,防护策略中一般会包含有对防护多种网络攻击的策略,由于对不同的网络攻击的检测方式不尽相同,因此,对具体的检测方式也不做具体限定。
203、当访问数据命中防护策略时,拦***问数据对应的访问操作。
根据更新的防护策略进行访问数据的检测,在访问数据命中防护策略时,即检测出访问数据中含有网络攻击的特征,并根据防护策略确定该访问数据属于网络攻击,此时,本地设备将拦截该访问数据对应的访问操作,具体的,针对访问请求本地设备将拒绝该访问,对于数据传输操作本地设备将中断该操作并将以接收的数据进行删除。
在拦***问操作的同时,本地设备将该拦截操作记录在对应的日志信息中。
针对上述本发明实施例提供的应用在本地设备中的一种敏感数据的云防护方法可知,本地设备对于访问数据的安全防护操作是在本地完成的,并且其与云端服务器的交互仅限于日志的上报以及对应防护策略的接收的操作,而不需要将本地的敏感数据上报给云端服务器,因此,本地设备在应对网络访问时,就避免了将敏感数据外泄的风险,提高了敏感数据的安全性。
上述两个实施例分别从云端服务器以及本地设备两端分别说明了对于敏感数据在网络化应用的场景下,如何确保敏感数据的网络安全性的同时增加本地设备的安全防护能力。其中,云端服务器用于对日志信息的数据分析与统计,同时生成对应的防护策略,而本地设备则用于向云端服务器体用日志信息,并根据防护策略对访问数据进行实时检测。通过两端的相互配合实现对敏感数据基于云端的防护效果。进一步的,为了更加详细的说明上述提供的敏感数据的云防护方法在实际应用中的具体实现,特别是对云端服务器与本地设备间的交互以及具体的应用场景,为此,本发明实施例还提供了一种敏感数据的云防护方法,该方法所应用的场景是基于多个IDC(Internet Data Center,互联网数据中心)机房设置的云防护***,其中,每个IDC机房中的服务器相当于本地设备,而云端服务器则是设置在云端的控制中心,云端服务器为每个IDC机房配置对应的防护策略,同时,对于多个IDC机房中的数据流向也可以由云端服务器通过实施的检测来确定具体的策略,从而优化用户对IDC机房中数据的访问。具体的步骤如图3所示,包括:
301、本地设备向云端服务器上报本地的日志信息。
其中,本地设备对应于IDC机房中的服务器,以下简称为机房服务器。机房服务器将本地的所有操作以日志的形式加以记录,并定时上报日志信息。定时上报的目的主要在于累计一定的日志信息数据,因为云端服务器在基于日志信息进行分析时,数据量的大小决定了分析的准确性,即数据量越大,对于该机房服务器的访问数据的描述就越清晰,在分析时也就越能够有针对性的配置对应的防护策略。因此,本发明实施例优选的是定时上报日志信息,而定时的具体时间间隔可根据实际的应用场景进行自由设定。
此外,与定时上报对应的方式是实时上报,也就是日志信息不在本地进行存储,生成即上报至云端服务器,这种方式的好处是可以节省本地的存储空间,但是对应的问题是上报操作频繁将占用一定的带宽资源以及部分的处理资源,而对于云端服务器而言,实时接收日志信息对于分析则只能是基于日志信息增量的分析,即通过增加的日志与原有的日志进行共同分析,得到防护策略,这种分析方式所得到的防护策略由于增加的日志数量较少,对最终得到的防护策略影响也较少,大多是在到达一定数量的后,所得到的防护策略才会发生变化,所以,对于实时上报日志信息的方式,机房服务器是实时上报,但是云端服务器则是在所计算的防护策略发生变化时才会反馈给机房服务器。
302、云端服务器根据日志信息为本地设备配置防护策略,并发送至本地设备。
其中,云端服务器在分析日志信息时,重点分析的是机房服务器中的用户访问日志,以及拦***问攻击的日志,由云端服务器结合网络大数据信息的内容,针对日志的访问数据计算生成防护策略,并将其发送至机房服务器中进行应用。
此外,云端服务器在配置防护策略的同时,对于同一网络内的多个IDC中的机房服务器还具有配置访问策略的能力,也就是机房服务器在上报日志信息的同时,还将该服务器的资源信息一同上报给云端,其中的资源信息是指服务器自身的处理资源信息以及对应的网络资源信息,而非存储的敏感数据信息。云端服务器根据资源信息为该机房服务器配置网络访问策略,该访问策略用于机房服务器确定其是否允许用户访问或者是为访问请求规划访问路径,以路径规划的策略为例,设定两个异地的IDC机房A和B,当云端服务器根据A上报的资源信息分析得到其网络访问的入口出现故障而无法访问时,云端服务器将修改对A的访问路径,修改为由B接收访问请求并间接向A发起访问。再例如,A和B是具有相同敏感数据的IDC机房服务器,A与B互为备份,当云端服务器分析A和B的资源信息得到B当前的处理资源已经饱和时,云端服务器调整访问策略,将访问B的请求转移到A中,由A进行响应。因此,云端服务器在向机房服务器发送防护策略时,可以先判断是否存在需要更新的访问策略,若存在则一同发送至机房服务器,反之亦然。
303、本地设备更新防护策略并对本地的访问数据进行检测。
机房服务器在接收云端服务器反馈的防护策略后,需要将其替换现有的防护策略,对此,本发明实施例不限定是自动更新或者是根据用户的指示进行更新。
对访问数据的检测具体可参见上述实施例中的步骤202中的内容,本发明实施例不再赘述。
304、云端服务器制作防护操作报表。
本步骤是在机房服务器根据更新的防护策略执行防护操作后,针对所执行的结果进行的汇总统计,以防护操作报表的形式加以展现。其中,云端服务器要制作该报表,就需要获取对应的操作数据,而对于机房服务器执行的操作数据,上报云端的方式同样是可以实时上报或者是先记录在本地的日志中定时上报。对于实时上报方式,机房服务器将不保存该操作数据,以及对应的日志,这些信息完全由云端服务器代理完成,因此,在执行完成一个拦截操作时,机房服务器直接将该操作的执行结果以及相关信息上报给云端服务器,同时将保存在本地种的执行结果进行删除。对于日志定时上报的方式则与本发明实施例中的步骤301的内容相同,具体可参见上文,此处不再赘述。
根据本发明实施例中对云端服务器以及机房服务器的说明可知,云端服务器负责安全防护的逻辑控制,而机房服务器则是安全防护的具体执行主体。但是,对于一些特殊的情况,如在机房服务器遭遇大量攻击导致本地不足以应对这些网络攻击时,本发明实施例中提供一键模式切换的功能,即由云端服务器执行具体的防护操作,具体的,由云端服务器对机房服务器进行实时检测,判断当前机房服务器对网络攻击的应对能力,可通过判断机房服务器拦截网络攻击的速率以及自身的处理资源进行判断,当确定机房服务器自身的防护能力不足时,将获取该机房服务器的防护操作权限,替代机房服务器执行相应的防护操作。此外,也可以是由机房服务器主动发出模式切换的请求,当云端服务器接收到该请求时,就直接获取操作权限并执行相应的防护操作。
以上详细说明了本发明实施例中基于云防护对敏感数据的具体防护操作,作为对应实现上述方法的具体装置,本发明实施例还提供了一种敏感数据的云防护装置,该装置应用于云端服务器中,主要用于根据日志信息制定匹配的安全防护策略并下发给本地设备,具体如图4所示,该装置包括:
接收单元41,用于接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息;
配置单元42,用于根据所述接收单元41接收的日志信息为所述本地设备配置防护策略;
发送单元43,用于将所述配置单元42配置的防护策略发送至所述本地设备,以便本地设备根据所述防护策略执行安全防护操作。
进一步的,如图5所示,所述装置还包括:
获取单元44,用于获取所述本地设备执行所述防护策略的执行结果;
统计生成单元45,用于统计所述获取单元44获取的执行结果并生成对应所述防护策略的防护操作报表。
进一步的,如图5所示,所述装置还包括:
检测单元46,用于检测所述本地设备的资源信息,所述资源信息包括处理资源信息和网络资源信息;
所述配置单元42还用于,根据所述检测单元46检测的资源信息为所述本地设备配置访问策略,所述访问策略包括确定所述本地设备是否允许访问以及访问的路径信息;
所述发送单元43还用于,将所述配置单元42配置的访问策略发送至所述本地设备。
进一步的,如图5所示,所述装置还包括:
执行单元47,用于当所述本地设备因受到网络攻击而无法在本地执行安全防护操作时,获取所述本地设备的安全防护操作权限,利用所述权限对所述本地设备执行所述安全防护操作。
对应于上述的应用于云端服务器中的装置实施例,本发明实施例还提供了一种敏感数据的云防护装置,该装置应用于本地设备中,主要用于根据接收的安全防护策略执行对应的安全防护操作,具体如图6所示,该装置包括:
发送单元51,用于向云端服务器上报本地的日志信息,以便所述云端服务器根据所述日志信息配置防护策略;
接收单元52,用于根据接收的所述防护策略,对本地的访问数据进行检测;
执行单元53,用于当所述访问数据命中所述接收单元52接收的防护策略时,拦截所述访问数据对应的访问操作。
进一步的,如图7所示,所述装置还包括:
所述发送单元51还用于,在拦截所述访问数据对应的访问操作之后,将拦截操作的结果上报所述云端服务器,以便云端服务器根据所述拦截操作统计防护操作报表;
获取单元54,用于向所述云端服务器获取所述防护操作报表;
删除单元55,用于在所述发送单元51发送拦截操作的结果之后,删除所述拦截操作的结果。
进一步的,所述装置的发送单元51还用于,向云端服务器发送本地的资源信息,所述资源信息包括处理资源信息和网络资源信息,以便所述云端服务器根据所述资源信息配置对应的访问策略;
所述执行单元53还用于,执行所述云端服务器发送的访问策略,所述访问策略包括确定所述本地设备是否允许访问以及访问的路径信息。
此外,本发明实施例还提供了一种敏感数据的云防护***,如图8所示,该***由云端服务器81和本地设备82所组成,其中,远端服务器和本地设备中分别应用了上述实施例中介绍的对应的敏感数据的云防护装置。
云端服务器81用于,接收本地设备82发送的日志信息,所述日志信息是基于敏感数据得到的日志信息,根据所述日志信息为所述本地设备配置防护策略,并将所述防护策略发送至所述本地设备;
本地设备82用于,向云端服务器81上报本地的日志信息,根据接收的防护策略,对本地的访问数据进行检测,若访问数据命中所述防护策略,则拦截所述访问数据对应的访问操作。
综上所述,本发明实施例所提供的一种敏感数据的云防护方法、装置及***,是通过在云端为本地设备配置相应的防护策略后,由本地设备根据该防护策略自行执行具体的防护操作,这样可以避免本地设备将敏感数据上传云端导致的数据外泄的风险,而通过云端服务器来配置防护策略可以充分利用云的大数据分析的能力有效提高防护的效率,特别是针对本地上传的日志信息进行有针对性的策略分析更能提高防护的针对性。同时,由于云的加入还可以实现多个本地设备之间的数据流向控制,访问路径的优化等一系列优化操作,从而提高本地的数据处理能力,而在本地设备的防护能力无法有效应对网络攻击时,云端服务器同样可以通过模式切换的方式实现对本地设备的防护操作的控制。以此,本发明实施例通过多维度的设置有效地增强了存储有敏感数据设备的网络防护能力以及多设备的数据协调能力。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述云端服务器及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述云端服务器实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的云端服务器、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的云端服务器解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何云端服务器或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内连接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的云端服务器的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明实施例还公开了如下方案:
A1、一种敏感数据的云防护方法,所述方法包括:
云端服务器接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息;
根据所述日志信息为所述本地设备配置防护策略;
将所述防护策略发送至所述本地设备,以便本地设备根据所述防护策略执行安全防护操作。
A2、根据A1所述的方法,所述方法还包括:
获取所述本地设备执行所述防护策略的执行结果;
统计所述执行结果并生成对应所述防护策略的防护操作报表。
A3、根据A1或A2所述的方法,所述方法还包括:
检测所述本地设备的资源信息,所述资源信息包括处理资源信息和网络资源信息;
根据所述资源信息为所述本地设备配置访问策略,所述访问策略包括确定所述本地设备是否允许访问以及访问的路径信息;
将所述访问策略发送至所述本地设备。
A4、根据A1所述的方法,所述方法还包括:
当所述本地设备因受到网络攻击而无法在本地执行安全防护操作时,获取所述本地设备的安全防护操作权限,由所述云端服务器执行所述安全防护操作。
B5、一种敏感数据的云防护方法,所述方法包括:
本地设备向云端服务器上报本地的日志信息,以便所述云端服务器根据所述日志信息配置防护策略;
根据接收的所述防护策略,对本地的访问数据进行检测;
若所述访问数据命中所述防护策略,则拦截所述访问数据对应的访问操作。
B6、根据B5所述的方法,在拦截所述访问数据对应的访问操作之后,所述方法还包括:
将拦截操作的结果上报所述云端服务器,以便云端服务器根据所述拦截操作统计防护操作报表;
获取所述防护操作报表;
删除所述拦截操作的结果。
B7、根据B5或B6所述的方法,所述方法还包括:
向云端服务器发送本地的资源信息,所述资源信息包括处理资源信息和网络资源信息,以便所述云端服务器根据所述资源信息配置对应的访问策略;
执行所述云端服务器发送的访问策略,所述访问策略包括确定所述本地设备是否允许访问以及访问的路径信息。
C8、一种敏感数据的云防护装置,所述装置包括:
接收单元,用于接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息;
配置单元,用于根据所述接收单元接收的日志信息为所述本地设备配置防护策略;
发送单元,用于将所述配置单元配置的防护策略发送至所述本地设备,以便本地设备根据所述防护策略执行安全防护操作。
C9、根据C8所述的装置,所述装置还包括:
获取单元,用于获取所述本地设备执行所述防护策略的执行结果;
统计生成单元,用于统计所述获取单元获取的执行结果并生成对应所述防护策略的防护操作报表。
C10、根据C8或C9所述的装置,所述装置还包括:
检测单元,用于检测所述本地设备的资源信息,所述资源信息包括处理资源信息和网络资源信息;
所述配置单元还用于,根据所述检测单元检测的资源信息为所述本地设备配置访问策略,所述访问策略包括确定所述本地设备是否允许访问以及访问的路径信息;
所述发送单元还用于,将所述配置单元配置的访问策略发送至所述本地设备。
C11、根据C8所述的装置,所述装置还包括:
执行单元,用于当所述本地设备因受到网络攻击而无法在本地执行安全防护操作时,获取所述本地设备的安全防护操作权限,利用所述权限对所述本地设备执行所述安全防护操作。
D12、一种敏感数据的云防护装置,所述装置包括:
发送单元,用于向云端服务器上报本地的日志信息,以便所述云端服务器根据所述日志信息配置防护策略;
接收单元,用于根据接收的所述防护策略,对本地的访问数据进行检测;
执行单元,用于当所述访问数据命中所述接收单元接收的防护策略时,拦截所述访问数据对应的访问操作。
D13、根据D12所述的装置,所述装置还包括:
所述发送单元还用于,在拦截所述访问数据对应的访问操作之后,将拦截操作的结果上报所述云端服务器,以便云端服务器根据所述拦截操作统计防护操作报表;
获取单元,用于向所述云端服务器获取所述防护操作报表;
删除单元,用于在所述发送单元发送拦截操作的结果之后,删除所述拦截操作的结果。
D14、根据D12或D13所述的装置,所述装置还包括:
所述发送单元还用于,向云端服务器发送本地的资源信息,所述资源信息包括处理资源信息和网络资源信息,以便所述云端服务器根据所述资源信息配置对应的访问策略;
所述执行单元还用于,执行所述云端服务器发送的访问策略,所述访问策略包括确定所述本地设备是否允许访问以及访问的路径信息。
E15、一种敏感数据的云防护***,所述***由含有如C8-C11中任一项所述的敏感数据的云防护装置的云端服务器和含有如D12-D14中任一项所述的敏感数据的云防护装置的本地设备组成;
其中,所述云端服务器用于,接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息,根据所述日志信息为所述本地设备配置防护策略,并将所述防护策略发送至所述本地设备;
所述本地设备用于,向云端服务器上报本地的日志信息,根据接收的防护策略,对本地的访问数据进行检测,若访问数据命中所述防护策略,则拦截所述访问数据对应的访问操作。
Claims (10)
1.一种敏感数据的云防护方法,其特征在于,所述方法包括:
云端服务器接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息;
根据所述日志信息为所述本地设备配置防护策略;
将所述防护策略发送至所述本地设备,以便本地设备根据所述防护策略执行安全防护操作。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述本地设备执行所述防护策略的执行结果;
统计所述执行结果并生成对应所述防护策略的防护操作报表。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
检测所述本地设备的资源信息,所述资源信息包括处理资源信息和网络资源信息;
根据所述资源信息为所述本地设备配置访问策略,所述访问策略包括确定所述本地设备是否允许访问以及访问的路径信息;
将所述访问策略发送至所述本地设备。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述本地设备因受到网络攻击而无法在本地执行安全防护操作时,获取所述本地设备的安全防护操作权限,由所述云端服务器执行所述安全防护操作。
5.一种敏感数据的云防护方法,其特征在于,所述方法包括:
本地设备向云端服务器上报本地的日志信息,以便所述云端服务器根据所述日志信息配置防护策略;
根据接收的所述防护策略,对本地的访问数据进行检测;
若所述访问数据命中所述防护策略,则拦截所述访问数据对应的访问操作。
6.根据权利要求5所述的方法,其特征在于,在拦截所述访问数据对应的访问操作之后,所述方法还包括:
将拦截操作的结果上报所述云端服务器,以便云端服务器根据所述拦截操作统计防护操作报表;
获取所述防护操作报表;
删除所述拦截操作的结果。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
向云端服务器发送本地的资源信息,所述资源信息包括处理资源信息和网络资源信息,以便所述云端服务器根据所述资源信息配置对应的访问策略;
执行所述云端服务器发送的访问策略,所述访问策略包括确定所述本地设备是否允许访问以及访问的路径信息。
8.一种敏感数据的云防护装置,其特征在于,所述装置包括:
接收单元,用于接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息;
配置单元,用于根据所述接收单元接收的日志信息为所述本地设备配置防护策略;
发送单元,用于将所述配置单元配置的防护策略发送至所述本地设备,以便本地设备根据所述防护策略执行安全防护操作。
9.一种敏感数据的云防护装置,其特征在于,所述装置包括:
发送单元,用于向云端服务器上报本地的日志信息,以便所述云端服务器根据所述日志信息配置防护策略;
接收单元,用于根据接收的所述防护策略,对本地的访问数据进行检测;
执行单元,用于当所述访问数据命中所述接收单元接收的防护策略时,拦截所述访问数据对应的访问操作。
10.一种敏感数据的云防护***,其特征在于,所述***由含有如权利要求8所述的敏感数据的云防护装置的云端服务器和含有如权利要求9所述的敏感数据的云防护装置的本地设备组成;
其中,所述云端服务器用于,接收本地设备发送的日志信息,所述日志信息是基于敏感数据得到的日志信息,根据所述日志信息为所述本地设备配置防护策略,并将所述防护策略发送至所述本地设备;
所述本地设备用于,向云端服务器上报本地的日志信息,根据接收的防护策略,对本地的访问数据进行检测,若访问数据命中所述防护策略,则拦截所述访问数据对应的访问操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611117649.7A CN106534174A (zh) | 2016-12-07 | 2016-12-07 | 一种敏感数据的云防护方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611117649.7A CN106534174A (zh) | 2016-12-07 | 2016-12-07 | 一种敏感数据的云防护方法、装置及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106534174A true CN106534174A (zh) | 2017-03-22 |
Family
ID=58341714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611117649.7A Pending CN106534174A (zh) | 2016-12-07 | 2016-12-07 | 一种敏感数据的云防护方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106534174A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234469A (zh) * | 2017-12-28 | 2018-06-29 | 江苏通付盾信息安全技术有限公司 | 移动终端应用安全防护方法、装置及*** |
| CN111740884A (zh) * | 2020-08-25 | 2020-10-02 | 云盾智慧安全科技有限公司 | 一种日志处理方法及电子设备、服务器、存储介质 |
| CN113225334A (zh) * | 2021-04-30 | 2021-08-06 | 中国工商银行股份有限公司 | 终端安全管理方法、装置、电子设备及存储介质 |
| CN114124429A (zh) * | 2021-08-23 | 2022-03-01 | 阿里巴巴新加坡控股有限公司 | 数据处理方法和装置、电子设备及计算机可读存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006297A (zh) * | 2010-11-23 | 2011-04-06 | 中国科学院软件研究所 | 一种基于两级策略决策的访问控制方法及其*** |
| CN103428177A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 云环境审计日志和/或安全事件的配置、生成方法及装置 |
| US20140129792A1 (en) * | 2011-09-26 | 2014-05-08 | Google Inc. | Permissions of objects in hosted storage |
| CN103916376A (zh) * | 2013-01-09 | 2014-07-09 | 台达电子工业股份有限公司 | 具攻击防护机制的云端***及其防护方法 |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及*** |
| CN104767689A (zh) * | 2014-01-07 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 控制网络访问接入量的方法及服务器 |
| CN104955043A (zh) * | 2015-06-01 | 2015-09-30 | 成都中科创达软件有限公司 | 一种智能终端安全防护*** |
| CN105678193A (zh) * | 2016-01-06 | 2016-06-15 | 杭州数梦工场科技有限公司 | 一种防篡改的处理方法和装置 |
| CN105827627A (zh) * | 2016-04-29 | 2016-08-03 | 北京网康科技有限公司 | 一种信息获取方法和装置 |
| CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
-
2016
- 2016-12-07 CN CN201611117649.7A patent/CN106534174A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006297A (zh) * | 2010-11-23 | 2011-04-06 | 中国科学院软件研究所 | 一种基于两级策略决策的访问控制方法及其*** |
| US20140129792A1 (en) * | 2011-09-26 | 2014-05-08 | Google Inc. | Permissions of objects in hosted storage |
| CN103428177A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 云环境审计日志和/或安全事件的配置、生成方法及装置 |
| CN103916376A (zh) * | 2013-01-09 | 2014-07-09 | 台达电子工业股份有限公司 | 具攻击防护机制的云端***及其防护方法 |
| CN104767689A (zh) * | 2014-01-07 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 控制网络访问接入量的方法及服务器 |
| CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及*** |
| CN105991628A (zh) * | 2015-03-24 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的识别方法和装置 |
| CN104955043A (zh) * | 2015-06-01 | 2015-09-30 | 成都中科创达软件有限公司 | 一种智能终端安全防护*** |
| CN105678193A (zh) * | 2016-01-06 | 2016-06-15 | 杭州数梦工场科技有限公司 | 一种防篡改的处理方法和装置 |
| CN105827627A (zh) * | 2016-04-29 | 2016-08-03 | 北京网康科技有限公司 | 一种信息获取方法和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234469A (zh) * | 2017-12-28 | 2018-06-29 | 江苏通付盾信息安全技术有限公司 | 移动终端应用安全防护方法、装置及*** |
| CN111740884A (zh) * | 2020-08-25 | 2020-10-02 | 云盾智慧安全科技有限公司 | 一种日志处理方法及电子设备、服务器、存储介质 |
| CN113225334A (zh) * | 2021-04-30 | 2021-08-06 | 中国工商银行股份有限公司 | 终端安全管理方法、装置、电子设备及存储介质 |
| CN114124429A (zh) * | 2021-08-23 | 2022-03-01 | 阿里巴巴新加坡控股有限公司 | 数据处理方法和装置、电子设备及计算机可读存储介质 |
| CN114124429B (zh) * | 2021-08-23 | 2024-05-24 | 阿里巴巴创新公司 | 数据处理方法和装置、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12015644B2 (en) | System and method for utilization of threat data for network security | |
| US10505953B2 (en) | Proactive prediction and mitigation of cyber-threats | |
| US8429751B2 (en) | Method and apparatus for phishing and leeching vulnerability detection | |
| AU2014244137B2 (en) | Internet protocol threat prevention | |
| US9781133B2 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
| US9124622B1 (en) | Detecting computer security threats in electronic documents based on structure | |
| US9008617B2 (en) | Layered graphical event mapping | |
| US9712557B2 (en) | Remediating computer security threats using distributed sensor computers | |
| WO2016160847A1 (en) | Distribution of security rules among sensor computers | |
| CN107659583A (zh) | 一种检测事中攻击的方法及*** | |
| US20190044961A1 (en) | System and methods for computer network security involving user confirmation of network connections | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| CN106534174A (zh) | 一种敏感数据的云防护方法、装置及*** | |
| CN103283202A (zh) | 用于针对恶意软件的网络级保护的***和方法 | |
| WO2010091186A2 (en) | Method and system for providing remote protection of web servers | |
| CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
| KR101991737B1 (ko) | 공격자 가시화 방법 및 장치 | |
| KR102260273B1 (ko) | 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체 | |
| CN107277080A (zh) | 一种基于安全即服务的互联网风险管理方法及*** | |
| KR102314557B1 (ko) | 보안 통제 관리 시스템 및 그 방법 | |
| KR101991736B1 (ko) | 공격자 상관정보 가시화 방법 및 장치 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| US20060059554A1 (en) | System and method for information technology intrusion prevention | |
| CN115296936A (zh) | 一种反网络犯罪辅侦的自动化方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant after: QAX Technology Group Inc. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170322 |