CN116723212A - 数据处理方法、装置、电子设备和计算机可读存储介质 - Google Patents

数据处理方法、装置、电子设备和计算机可读存储介质 Download PDF

Info

Publication number
CN116723212A
CN116723212A CN202310614335.1A CN202310614335A CN116723212A CN 116723212 A CN116723212 A CN 116723212A CN 202310614335 A CN202310614335 A CN 202310614335A CN 116723212 A CN116723212 A CN 116723212A
Authority
CN
China
Prior art keywords
employee
data
log
behavior
service system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310614335.1A
Other languages
English (en)
Inventor
何艳波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202310614335.1A priority Critical patent/CN116723212A/zh
Publication of CN116723212A publication Critical patent/CN116723212A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提供了数据处理方法、装置、电子设备和计算机可读存储介质,可应用于大数据技术领域。该方法包括:获取至少一个员工的行为数据,该行为数据包括:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、该业务***的数据库操作日志和该业务***的服务器操作日志;基于该行为数据和这至少一个员工的基本信息,确定每个员工的行为是否存在安全风险,每个员工的基本信息包括以下至少一项:姓名、身份标识、手机号、或所使用的办公终端的地址,该身份标识为身份证号或工号。通过将员工的基本信息和各种行为数据进行融合,找到行为与员工的对应关系,以便于及时发现员工的异常行为,可以降低企业内部数据安全风险。

Description

数据处理方法、装置、电子设备和计算机可读存储介质
技术领域
本申请涉及大数据技术领域,尤其涉及数据处理方法、装置、电子设备和计算机可读存储介质。
背景技术
近年来,随着信息技术和人类生产生活交汇融合,通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。对于企业来说,数据安全也尤为重要。
但随着比特币、暗网等增强网络匿名性技术的出现和发展,逐渐产生了一些利用数据进行牟利的产业链,给企业员工和组织内部人员提供了利用数据进行牟利的途径,这无疑会催生严重的企业内部数据安全风险,例如,一些业务人员可能通过泄露企业的秘密数据等来牟利。
因此,希望提供一种方法,能够及时分析员工的行为是否存在安全风险,降低企业内部数据安全风险。
发明内容
本申请提供一种数据处理方法、装置、电子设备和计算机可读存储介质,以及时发现员工的异常行为,降低企业内部数据安全风险。
第一方面,本申请提供一种数据处理方法,包括:获取至少一个员工的行为数据,该行为数据包括:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、该业务***的数据库操作日志和该业务***的服务器操作日志;基于该行为数据和这至少一个员工的基本信息,确定每个员工的行为是否存在安全风险,每个员工的基本信息包括以下至少一项:姓名、身份标识、手机号、或所使用的办公终端的地址,该身份标识为身份证号或工号。
第二方面,本申请提供一种数据处理装置,包括:获取模块和确定模块;该获取模块用于获取至少一个员工的行为数据,该行为数据包括:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、该业务***的数据库操作日志和该业务***的服务器操作日志;该确定模块用于基于该行为数据和这至少一个员工的基本信息,确定每个员工的行为是否存在安全风险,每个员工的基本信息包括以下至少一项:姓名、身份标识、手机号、或所使用的办公终端的地址,该身份标识为身份证号或工号。
第三方面,本申请提供一种电子设备,包括处理器和存储器;其中,存储器用于存储计算机指令,处理器用于执行存储器中存储的计算机指令,以实现如前所述的方法。
第四方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机指令,该计算机指令被执行时使得前述数据处理方法被实现。
第五方面,本申请提供一种计算机程序产品,包括计算机程序,该计算机程序被执行时使得前述数据处理方法被实现。
本申请提供的数据处理方法、装置、电子设备和计算机可读存储介质,通过将员工的基本信息和各种行为数据进行深度融合,找到行为与员工的对应关系,也即,确定哪些行为是哪个员工做出的,进而分析员工的行为是否存在安全风险,以便于及时发现员工的异常行为,可以降低企业内部数据安全风险,避免造成更大的损失。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为适用于本申请实施例提供的数据处理方法的***示意图;
图2为本申请实施例提供的数据处理方法的示意性流程图;
图3和图4为本申请实施例提供的数据处理方法的另外两种示意性流程图;
图5为本申请实施例提供的数据处理装置的示意性框图;
图6为本申请实施例提供的电子设备的示意性框图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是,本申请所涉及的员工的基本信息(可以包括但不限于用户地址信息、员工个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经员工授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关法律法规和标准,并提供有相应的操作入口,供员工选择授权或者拒绝。
需要说明的是,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
在本申请的实施例中,预设时长、阈值和预设标签,例如第一预设时长、第二预设时长、第一阈值、第二阈值、第三阈值、第一预设标签和第二预设标签,可以是预定义的,也可以是数据处理装置的操作人员配置的,各预设时长的取值可以相同也可以不同,各阈值的取值可以相同也可以不同,各预设标签的取值可以相同也可以不同,本申请对此不作限定。
需要说明的是,本申请提供的数据处理方法和装置可应用于大数据技术领域,也可应用于除大数据技术领域之外的任意领域,本申请对数据处理方法和装置的应用领域不做限定。
近年来,随着信息技术和人类生产生活交汇融合,通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。对于企业来说,数据安全也尤为重要。但随着比特币、暗网等增强网络匿名性技术的出现和发展,逐渐产生了一些利用数据进行牟利的产业链,给企业员工和组织内部人员提供了利用数据进行牟利的途径,这无疑会催生严重的企业内部数据安全风险,例如,一些业务人员可能通过泄露企业的秘密数据等来牟利。
基于上述问题,本申请实施例提供了一种数据处理方法、装置、电子设备和计算机可读存储介质,通过将员工的基本信息和各种行为数据进行深度融合,进而分析员工的行为是否存在安全风险,以便于及时发现员工的异常行为,避免造成更大的损失。
为了便于更好地理解本申请所提供的数据处理方法,首先对适用于本申请实施例提供的数据处理方法的***进行简单说明。
图1是适用于本申请实施例提供的数据处理方法的***示意图。
本申请提供的数据处理方法可以由数据处理装置来执行,数据处理装置包括但不限于计算机、服务器或服务器集群等电子设备。数据处理装置可以与多个服务器和多个办公终端进行通信连接,以获取各种行为数据,并对这些行为数据进行分析和处理。
如图1所示,适用于本申请实施例提供的数据处理方法的***可以包括计算机110、邮箱的服务器120、打印机的服务器130、办公终端140、业务***的服务器150和业务***的数据库160。
其中,计算机110可以是数据处理装置的一个示例,计算机110可以与邮箱的服务器120进行通信,从邮箱的服务器120获取到邮件发送日志;计算机110可以与打印机的服务器130进行通信,从打印机的服务器130获取到文件打印日志;计算机110可以与办公终端140进行通信,从办公终端140获取到远程操控办公终端日志;计算机110可以与业务***的服务器150进行通信,从业务***的服务器150获取到该业务***的服务器日志和该业务***的服务器操作日志;计算机110可以与业务***的数据库160进行通信,从业务***的数据库160获取到该业务***的数据库操作日志。业务***的数据库可以部署在业务***的服务器上。本申请所涉及到的服务器可以是实体的服务器设备,也可以是云端服务器,本申请对此不作任何限定。
可以理解的是,虽然图1中的办公终端140是以计算机为例示出的,但在实际应用场景中,办公终端可以包括但不限于计算机、笔记本电脑、平板电脑、或手机等。另外,本申请所涉及到的业务***包括员工办公时所用到的软件***。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
参看图2,图2是本申请实施例所提供的数据处理方法的示意性流程图。图2所示的方法可以由数据处理装置执行,也可以由数据处理装置中的部件(例如由芯片或芯片***)执行。数据处理装置可以通过软件和/或硬件的方式实现,本申请对此不作限定。
如图2所示,数据处理方法200可以包括步骤210和步骤220,下面对图2中的各步骤进行说明。
在步骤210中,获取至少一个员工的行为数据。
行为数据可以包括但不限于:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、该业务***的数据库操作日志和该业务***的服务器操作日志。
邮件发送日志可以包括但不限于:发件邮箱账号、收件邮箱账号、抄送的邮箱账号、发件时间、邮件标题、邮件内容和附件,以及发送邮件的电子设备的地址。
文件打印日志可以包括但不限于:发出打印指令的办公终端的地址、文件内容、文件打印时间和打印份数等信息。
本申请所涉及的电子设备的地址或办公终端的地址可以包括但不限于介质访问控制(media access control,MAC)地址和/或互联网协议(internet protocol,IP)地址等。
远程操控办公终端日志可以包括但不限于:发起对办公终端的远程控制指令的电子设备的地址、发起对办公终端的远程控制指令的时间、被远程控制的办公终端的地址和远程控制办公终端的时长等。
业务***的服务器日志包括但不限于:登录业务***的电子设备的地址、登录时间,以及登录业务***的业务***账号在业务***上的浏览记录和操作记录,其中,操作记录包括但不限于从业务***下载数据的数据内容、下载量和下载时间。
业务***的数据库操作日志可以理解为对业务***的数据库进行操作的日志,对数据库具有管理权限的员工可以利用数据库管理账号登录数据库,可以对数据库中的表和表中的数据进行增、删、改和下载数据等操作,也即,对数据库的操作行为类型包括下载数据、增加新表、删除表和修改表,其中,修改表可以包括修改表名、增加表中的字段、增加表中的数据项、删除表中的字段、删除表中的数据项、修改表中的字段、修改表中的数据项等。业务***的数据库操作日志可以包括但不限于:利用数据库管理账号登录业务***的数据库的电子设备的地址、被登录的数据库的IP地址、对数据库进行操作的时间和操作行为类型等。
业务***的服务器操作日志可以理解为对业务***的服务器进行操作的日志,对业务***的服务器具有管理权限的员工可以利用服务器管理账号登录服务器,对业务***进行更新。业务***的服务器操作日志可以包括但不限于:登录业务***的服务器管理账号的时间和电子设备的地址、对业务***进行更新的时间和更新的内容等。
数据处理装置或数据处理装置中的部件可以从与该数据处理装置具有通信连接的服务器和办公终端获取相应的行为数据。详细描述可以参看图1中的相关描述,为了简洁,此处不再赘述。
在步骤220中,基于行为数据和这至少一个员工的基本信息,确定每个员工的行为是否存在安全风险。
每个员工的基本信息包括以下至少一项:姓名、身份标识、手机号、或所使用的办公终端的地址,该身份标识为身份证号或工号。这至少一个员工的基本信息可以是通过人工预先录入并存储的,也可以是从数据库中直接读取的,本申请对此不作限定。
可以理解的是,每个员工的基本信息可以包括但不限于:姓名、身份标识、手机号、或所使用的办公终端的地址。例如,还可以包括年龄、性别、入职时间、职务、所属部门和岗位状态等,其中岗位状态可以包括在职、休假、离职期和离职等,本申请对此不作任何限定。
数据处理装置或数据处理装置中的部件可以基于行为数据和员工的基本信息,将员工、邮箱账号和业务***账号等进行身份归一化,也即,确定哪个账号对应于哪个员工,从而可以基于行为数据分析出与这些账号相关的行为是哪个员工的行为,进而可以确定哪个员工的行为存在安全风险。
基于上述技术内容,通过将员工的基本信息和各种行为数据进行深度融合,找到行为与员工的对应关系,也即,确定哪些行为是哪个员工做出的,进而分析员工的行为是否存在安全风险,以便于及时发现员工的异常行为,可以降低企业内部数据安全风险,避免造成更大的损失。
在一些实现方式中,前述步骤210包括:从邮箱的服务器获取邮件发送日志、从打印机的服务器获取文件打印日志、从办公终端获取远程操控办公终端日志、从业务***的服务器获取业务***的服务器日志和业务***的服务器操作日志、以及从业务***的数据库获取业务***的数据库操作日志。
数据处理装置可以与多个服务器和多个办公终端进行通信连接,以获取各种行为数据。数据处理装置或数据处理装置中的部件可以与邮箱的服务器进行通信,从邮箱的服务器获取到邮件发送日志;数据处理装置或数据处理装置中的部件可以与打印机的服务器进行通信,从打印机的服务器获取到文件打印日志;数据处理装置或数据处理装置中的部件可以与办公终端进行通信,从办公终端获取到远程操控办公终端日志;数据处理装置或数据处理装置中的部件可以与业务***的服务器进行通信,从业务***的服务器获取到该业务***的服务器日志和该业务***的服务器操作日志;数据处理装置或数据处理装置中的部件可以与业务***的数据库进行通信,从业务***的数据库获取到该业务***的数据库操作日志。详细描述可以参看图1的相关描述,为了简洁,此处不再赘述。
可以理解的是,数据处理装置或数据处理装置中的部件可以周期性地从与该数据处理装置具有通信连接的服务器和办公终端获取相应的行为数据;或者,与该数据处理装置具有通信连接的服务器和办公终端也可以周期性地向该数据处理装置或数据处理装置中的部件上报相应的行为数据,本申请对此不作限定。
在实际应用场景中,周期的时长可以根据需求来设定,例如,周期的时长可以为4小时、8小时、12小时、24小时、或48小时等等,本申请对此不作任何限定。
在一些实现方式中,上述至少一个员工包括第一员工,第一员工为这至少一个员工中的任意一个,前述步骤220包括:从行为数据中抽取出账号信息,账号信息包括邮箱账号、业务***账号、业务***的数据库的管理账号和该业务***的服务器的管理账号;确定账号信息与该第一员工的对应关系;基于行为数据和该对应关系,得到该第一员工的行为链,该行为链是以时间为链将该第一员工的行为串联而形成的;基于该行为链,确定该第一员工的行为是否存在安全风险。
数据处理装置或数据处理装置中的部件可以从行为数据中抽取账号信息,例如,可以从邮件发送日志中抽取出发件邮箱账号;可以从业务***的服务器日志中抽取出登录业务***的业务***账号;可以从业务***的数据库操作日志中抽取出登录该数据库的数据库管理账号,还可以抽取出利用数据库管理账号登录业务***的数据库的电子设备的地址;可以从业务***的服务器操作日志中抽取出登录该服务器的业务***的服务器的管理账号,还可以抽取出利用该服务器的管理账号登录业务***的服务器的电子设备的地址。
在抽取出账号信息后,可以对抽取出的账号信息和这至少一个员工的基本信息进行分析,确定哪些账号属于第一员工,也即,确定账号信息与该第一员工的对应关系。
例如,一些账号在注册或设置时包括员工的姓名的拼音,例如邮箱账号为“zhangsan@***”,可以在这至少一个员工的基本信息中找到与拼音“zhangsan”匹配的名字,例如“张三”。在只存在一个与该拼音匹配的姓名的情况下,可以确定该邮箱账号属于该员工;在存在多个与该拼音匹配的姓名的情况下,可以再根据该邮箱账号所关联的电话号、邮件落款中所涉及到的姓名、部门、身份标识等来信息再进行分析,分析出与该邮箱账号相关性最高的员工,则可以确定该邮箱账号属于该员工。
对确定业务***账号与其对应的员工的方式的详细描述,可以参看上文确定邮箱账号与其对应的员工的方式的相关描述,为了简洁,此处不再赘述。
对于业务***的数据库的管理账号,对于具有登录业务***的数据库的权限的员工,可以根据登录业务***的数据库的电子设备的地址进行分析,确定该电子设备属于哪个员工,可以认为该电子设备所属的员工具有登录业务***的数据库的权限,则可以确定该员工与业务***的数据库的管理账号具有对应关系。
对确定业务***的服务器的管理账号与其对应的员工的方式的详细描述,可以参看上文确定业务***的数据库的管理账号与其对应的员工的方式的相关描述,为了简洁,此处不再赘述。
在确定了账号信息与员工的对应关系后,可以基于行为数据和该对应关系,以时间为链将该第一员工的行为串联起来,形成该员工的行为链;继而可以基于该行为链,确定该第一员工的行为是否存在安全风险。
在一些实现方式中,基于该行为链,确定第一员工的行为是否存在安全风险,包括:基于该行为链,在第一员工的行为满足以下任一项条件的情况下,确定该第一员工的行为存在安全风险:在第一预设时长内在不同地理位置登录业务***;或,在第二预设时长内发送邮件的数量大于第一阈值;或,从业务***对带有第一预设标签的数据的下载量大于第二阈值;或,从业务***的数据库对带有第二预设标签的数据的下载量大于第三阈值;或,打印的文件内容涉及带有第三预设标签的数据;或,所使用的办公终端被远程控制的时长大于第三预设时长。
例如,在第一员工在第一预设时长内在不同地理位置登录业务***的情况下,可以确定该第一员工的行为存在安全风险。其中,第一预设时长可以是较短的时长,例如可以设置为5分钟、10分钟、20分钟等等,本申请对此不作限定。
再例如,在第一员工在第二预设时长内发送邮件的数量大于第一阈值的情况下,可以确定该第一员工的行为存在安全风险。其中,第二预设时长可以是单位时长,例如可以设置为20分钟、30分钟、1小时、2小时等等,本申请对此不作限定。第一阈值可以根据需求来设置,例如可以设置为5、10、20等等,本申请对此不作限定。
可以理解的是,在实际应用中,第二预设时长可以与第一预设时长相等,也可以与第一预设时长不相等,本申请对此不作任何限定。
又例如,在第一员工从业务***对带有第一预设标签的数据的下载量大于第二阈值的情况下,可以确定该第一员工的行为存在安全风险。其中,第一预设标签是预先设置的,例如可以给一些重要的数据设置标签,本申请对此不作限定。第二阈值可以根据需求来设置,例如可以设置为1吉字节(Gigabyte,GB)、2GB、5GB、10GB等等,本申请对此不作限定。
还例如,在第一员工从业务***的数据库对带有第二预设标签的数据的下载量大于第三阈值的情况下,可以确定该第一员工的行为存在安全风险。其中,与第一预设标签类似,第二预设标签是预先设置的,例如可以给一些重要的数据设置标签,本申请对此不作限定。第三阈值可以根据需求来设置,例如可以设置为1GB、2GB、5GB、10GB等等,本申请对此不作限定。
可以理解的是,第三阈值可以与第二阈值相同,也可以与第二阈值不相同,本申请对此不作限定。
还例如,在第一员工打印的文件内容涉及带有第三预设标签的数据的情况下,可以确定该第一员工的行为存在安全风险。其中,第三预设标签与第一预设标签和第二预设标签类似,第三预设标签是预先设置的,例如可以给一些重要的数据设置标签,本申请对此不作限定。
还例如,在第一员工的所使用的办公终端被远程控制的时长大于第三预设时长的情况下,可以确定该第一员工的行为存在安全风险。其中,第三预设时长可以是较长的时长,例如可以设置为1小时、2小时、4小时等等,本申请对此不作限定。
可以理解的是,在实际应用中,第三预设时长可以与第二预设时长相等,也可以与第二预设时长不相等,本申请对此不作任何限定。
在实际应用中不限于上述几种条件,例如,在员工的基本信息包括岗位状态时,在第一员工的岗位状态是离职期,且该第一员工从业务***对带有第一预设标签的数据的下载量或从业务***的数据库对带有第二预设标签的数据的下载量大于第四阈值的情况下,可以确定该第一员工的行为存在安全风险。第四阈值可以根据需求来设置,例如可以设置为0.5GB、1GB、2GB等等,本申请对此不作限定。第四阈值可以与第二阈值或第三阈值相同,也可以与第二阈值或第三阈值不相同,本申请对此不作限定。
在一些实现方式中,前述方法200还包括:在第一员工的行为存在安全风险的情况下,生成告警信息,该告警信息包括第一员工、存在安全风险的行为和存在安全风险的行为所涉及的时间,该第一员工为上述至少一个员工中的任意一个;基于该告警信息进行预警。
在第一员工的行为存在安全风险的情况下,数据处理装置或数据处理装置中的部件可以生成告警信息,告警信息包括第一员工、存在安全风险的行为和存在安全风险的行为所涉及的时间,例如,“张三,在**时段,大量外发邮件”,继而可以基于该告警信息发起预警,以提醒相关管理人员多加留意,做好应急措施,避免造成更大的损失。
在一些实现方式中,基于告警信息进行预警,包括:向预先设置的邮箱账号或手机号发送该告警信息。
在生成告警信息后,数据处理装置或数据处理装置中的部件可以向预先设置的邮箱账号或手机号发送该告警信息,提醒相关管理人员多加留意,及时预警。
在一些实现方式中,告警信息还包括该存在安全风险的行为所对应的风险类型,向预先设置的邮箱账号或手机号发送该告警信息,包括:基于该风险类型所对应的告警模板,向预先设置的邮箱账号或手机号发送该告警信息。
也就是说,数据处理装置或数据处理装置中的部件中可以预先存储有与风险类型对应的至少一种告警模板,在生成告警信息后,数据处理装置或数据处理装置中的部件可以从这至少一个告警模板中确定出风险类型所对应的告警模板,并基于该告警模板向预先设置的邮箱账号或手机号发送该告警信息。
另外,在实际应用中,除了上述所提及的向预先设置的邮箱账号或手机号发送告警信息的预警方式以外,也可以通过用户界面显示告警信息,以及时提醒相关管理人员,本申请对此不作限定。
为了便于更好地理解本方案所提供的数据处理方法,以下结合图3和图4在此对本申请所提供的数据处理方法进行说明。
图3和图4为本申请实施例提供的数据处理方法的另外两种示意性流程图。
如图3所示,本申请所提供的数据处理方法可以包括步骤301至步骤306。
在步骤301中,获取数据。
可以对应于图4中的数据获取,也即,数据处理装置或数据处理装置中的部件可以获取多种来源的不同结构的数据,例如,前文所述的行为数据,也即包括有各种行为信息的日志,包括但不限于:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、该业务***的数据库操作日志和该业务***的服务器操作日志等;还可以获取员工的基本信息,基本信息可以包括但不限于:姓名、身份标识、手机号、或所使用的办公终端的地址等。员工的基本信息可以是通过人工预先录入并存储的,也可以是从数据库中直接读取的,本申请对此不作限定。
在步骤302中,数据融合。
可以对应于图4中的深度融合,也即,数据处理装置或数据处理装置中的部件可以基于行为数据和员工的基本信息,将员工、邮箱账号和业务***账号等进行身份归一化,也即,确定哪个账号对应于哪个员工,以及哪些行为是哪个员工做出的,构建形成知识图谱。例如,图4中示出的部分知识图谱的内容,其中,包括的实体有第一员工、办公终端A、办公终端B、邮箱账号C、业务***账号D、业务***和打印机等,以及包括这些实体之间的关系,例如,第一员工拥有邮箱账号C、办公终端A被第一员工所使用、办公终端B被第一员工所使用、第一员工用于业务***账号D等等,进而可以再基于行为数据得到第一员工的行为链。关于行为链的详细描述可以参看方法200中的相关描述,为了简洁,此处不再赘述。
在步骤303中,行为分析。
可以对应于图4中的智能分析,也即,数据处理装置或数据处理装置中的部件可以基于员工的行为链进行行为分析。
在步骤304中,异常行为发现。
可以对应于图4中的异常行为发现,也即,数据处理装置或数据处理装置中的部件可以对员工的行为链进行行为分析后,基于预设的条件发现员工的行为存在安全风险,换言之,发现员工存在异常行为,例如,包括但不限于:在短时间内内在不同地理位置登录业务***、在单位时间内大量外发邮件、从业务***下载大量敏感数据、离职期员工频繁下载敏感数据等。
在步骤305中,异常行为预警。
在发现员工存在异常行为后,数据处理装置或数据处理装置中的部件可以及时向安全管理部门进行异常行为预警,例如,包括但不限于向预先设置的邮箱账号或手机号发送该告警信息等。
在步骤306中,行为溯源。
在安全管理部门的人员查看到告警信息后,数据处理装置可以响应于安全管理部门的人员的操作,对行为存在安全风险的员工进行行为溯源,对该员工的行为进行进一步地分析,并做出相应的处理,例如,可以包括但不限于撤销或缩小该员工的某些权限等等。
基于上述技术内容,通过将员工的基本信息和各种行为数据进行深度融合,找到行为与员工的对应关系,也即,确定哪些行为是哪个员工做出的,进而分析员工的行为是否存在安全风险,以便于及时发现员工的异常行为,并及时进行异常行为预警,可以降低企业内部数据安全风险,避免造成更大的损失。
以上内容结合附图说明了本申请实施例所提供的数据处理方法,接下来结合图5对本申请实施例提供的数据处理装置进行说明。
图5是本申请实施例提供的数据处理装置的示意性框图。如图5所示,该数据处理装置500可以包括获取模块510和确定模块520。该数据处理装置500可用于实现前述图2至图4中任一项所示的实施例中的步骤。
示例性地,获取模块510用于获取模块和确定模块;该获取模块用于获取至少一个员工的行为数据,该行为数据包括:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、该业务***的数据库操作日志和该业务***的服务器操作日志;确定模块520用于基于该行为数据和这至少一个员工的基本信息,确定每个员工的行为是否存在安全风险,每个员工的基本信息包括以下至少一项:姓名、身份标识、手机号、或所使用的办公终端的地址,该身份标识为身份证号或工号。
可选地,获取模块510具体可以用于从邮箱的服务器获取所述邮件发送日志、从打印机的服务器获取所述文件打印日志、从办公终端获取所述远程操控办公终端日志、从业务***的服务器获取所述业务***的服务器日志和所述业务***的服务器操作日志、以及从所述业务***的数据库获取所述业务***的数据库操作日志。
可选地,至少一个员工包括第一员工,第一员工为这至少一个员工中的任意一个;确定模块520具体可以用于从行为数据中抽取出账号信息,账号信息包括邮箱账号、业务***账号、业务***的数据库的管理账号和业务***的服务器的管理账号;确定账号信息与第一员工的对应关系;基于行为数据和对应关系,得到第一员工的行为链,行为链是以时间为链将第一员工的行为串联而形成的;基于行为链,确定第一员工的行为是否存在安全风险。
可选地,确定模块520具体可以用于基于行为链,在第一员工的行为满足以下任一项条件的情况下,确定第一员工的行为存在安全风险:在第一预设时长内在不同地理位置登录业务***;或,在第二预设时长内发送邮件的数量大于第一阈值;或,从业务***对带有第一预设标签的数据的下载量大于第二阈值;或,从业务***的数据库对带有第二预设标签的数据的下载量大于第三阈值;或,打印的文件内容涉及带有第三预设标签的数据;或,所使用的办公终端被远程控制的时长大于第三预设时长。
可选地,该数据处理装置500还可以包括预警模块,该预警模块可以用于在第一员工的行为存在安全风险的情况下,生成告警信息,告警信息包括第一员工、存在安全风险的行为和存在安全风险的行为所涉及的时间,该第一员工为上述至少一个员工中的任意一个;基于告警信息进行预警。
可选地,预警模块可以具体用于向预先设置的邮箱账号或手机号发送告警信息。
可选地,告警信息还包括存在安全风险的行为所对应的风险类型,预警模块可以具体用于基于风险类型所对应的告警模板,向预先设置的邮箱账号或手机号发送告警信息。
应理解,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。作为示例而非限定,数据处理装置还可以划分为日志采集模块、数据融合模块、行为分析模块、行为预警模块和行为溯源模块。其中,日志采集模块可以用于采集各种行为数据,包括但不限于邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、该业务***的数据库操作日志和该业务***的服务器操作日志等;数据融合模块可以用于基于行为数据和员工的基本信息,将员工、邮箱账号和业务***账号等进行身份归一化,也即,确定哪个账号对应于哪个员工,以及哪些行为是哪个员工做出的,构建形成知识图谱,进而可以再基于行为数据得到第一员工的行为链;行为分析模块可以用于基于员工的行为链进行行为分析,基于预设的条件判断员工的行为是否存在安全风险;行为预警模块可以用于及时向安全管理部门进行异常行为预警;行为溯源模块可以用于响应于安全管理部门的人员的操作,对行为存在安全风险的员工进行行为溯源,对该员工的行为进行进一步地分析,并做出相应的处理。本申请对此不作任何限定。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是各自独立存在。各模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
图6是根据一示例性实施例示出的一种电子设备的框图,该电子设备可以是计算机、服务器、服务器集群、云端服务器等。可用于实现上述图2至图4中任一项所示的实施例中所述的方法。
如图6所示,该电子设备600可以包括至少一个处理器610,用于实现图2至图4中任一项所示的实施例中所述的方法。
示例性地,处理器610可以用于获取至少一个员工的行为数据,该行为数据包括:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、该业务***的数据库操作日志和该业务***的服务器操作日志;基于该行为数据和这至少一个员工的基本信息,确定每个员工的行为是否存在安全风险,每个员工的基本信息包括以下至少一项:姓名、身份标识、手机号、或所使用的办公终端的地址,该身份标识为身份证号或工号。具体参见方法示例中的详细描述,此处不做赘述。
该电子设备600还可以包括至少一个存储器620,可以用于存储程序指令和/或数据。存储器620被配置为存储各种类型的数据以支持在电子设备600的操作。存储器620可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(static random access memory,SRAM)、只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)、磁存储器,快闪存储器,磁盘或光盘。
存储器620可以和处理器610耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器610可能和存储器620协同操作。处理器610可能执行存储器620中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。
该电子设备600还可以包括接收器630和发送器640,用于通过传输介质和其它设备进行通信,从而使得该电子设备600可以和其它设备进行通信。处理器610可利用接收器630接收数据和/或信息,利用发送器640发送数据和/或信息,并用于实现图2至图4中任一项所示的实施例中所述的方法。
本申请实施例中不限定上述处理器610、存储器620、接收器630以及发送器640之间的具体连接介质。
在示例性实施例中,电子设备600可以被一个或多个应用专用集成电路(application specific integrated circuit,ASIC)、数字信号处理器(digital signalprocessor,DSP)、数字信号处理设备(DSP device,DSPD)、可编程逻辑器件(programmablelogic device,PLD)、现场可编程门阵列(field programmable gate array,FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器620,上述指令可由电子设备600的处理器610执行以完成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(random accessmemory,RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本申请还提供一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得计算机执行如图2至图4任一项所示的实施例中所述的方法。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序(也可以称为代码,或指令)。当所述计算机程序被运行时,使得计算机执行如图2或图3所示的实施例中所述的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step),能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。在本申请所提供的几个实施例中,应该理解到,所揭露的装置、设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
在上述实施例中,各功能模块的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令(程序)。在计算机上加载和执行所述计算机程序指令(程序)时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,数字通用光盘(digital video disc,DVD))、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (10)

1.一种数据处理方法,其特征在于,包括:
获取至少一个员工的行为数据,所述行为数据包括:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、所述业务***的数据库操作日志和所述业务***的服务器操作日志;
基于所述行为数据和所述至少一个员工的基本信息,确定每个员工的行为是否存在安全风险,每个员工的基本信息包括以下至少一项:姓名、身份标识、手机号、或所使用的办公终端的地址,所述身份标识为身份证号或工号。
2.如权利要求1所述的方法,其特征在于,所述获取至少一个员工的行为数据,包括:
从邮箱的服务器获取所述邮件发送日志、从打印机的服务器获取所述文件打印日志、从办公终端获取所述远程操控办公终端日志、从业务***的服务器获取所述业务***的服务器日志和所述业务***的服务器操作日志、以及从所述业务***的数据库获取所述业务***的数据库操作日志。
3.如权利要求2所述的方法,其特征在于,所述至少一个员工包括第一员工,所述第一员工为所述至少一个员工中的任意一个;
所述基于所述行为数据和所述至少一个员工的基本信息,确定所述至少一个员工中的每个员工的行为是否存在安全风险,包括:
从所述行为数据中抽取出账号信息,所述账号信息包括邮箱账号、业务***账号、所述业务***的数据库的管理账号和所述业务***的服务器的管理账号;
确定所述账号信息与所述第一员工的对应关系;
基于所述行为数据和所述对应关系,得到所述第一员工的行为链,所述行为链是以时间为链将所述第一员工的行为串联而形成的;
基于所述行为链,确定所述第一员工的行为是否存在安全风险。
4.如权利要求3所述的方法,其特征在于,所述基于所述行为链,确定所述第一员工的行为是否存在安全风险,包括:
基于所述行为链,在所述第一员工的行为满足以下任一项条件的情况下,确定所述第一员工的行为存在安全风险:
在第一预设时长内在不同地理位置登录所述业务***;或,
在第二预设时长内发送邮件的数量大于第一阈值;或,
从所述业务***对带有第一预设标签的数据的下载量大于第二阈值;或,
从所述业务***的数据库对带有第二预设标签的数据的下载量大于第三阈值;或,
打印的文件内容涉及带有第三预设标签的数据;或,
所使用的办公终端被远程控制的时长大于第三预设时长。
5.如权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
在第一员工的行为存在安全风险的情况下,生成告警信息,所述告警信息包括所述第一员工、存在安全风险的行为和所述存在安全风险的行为所涉及的时间,所述第一员工为所述至少一个员工中的任意一个;
基于所述告警信息进行预警。
6.如权利要求5所述的方法,其特征在于,所述基于所述告警信息进行预警,包括:
向预先设置的邮箱账号或手机号发送所述告警信息。
7.如权利要求6所述的方法,其特征在于,所述告警信息还包括所述存在安全风险的行为所对应的风险类型,所述向预先设置的邮箱账号或手机号发送所述告警信息,包括:
基于所述风险类型所对应的告警模板,向预先设置的邮箱账号或手机号发送所述告警信息。
8.一种数据处理装置,其特征在于,包括:
获取模块,用于获取至少一个员工的行为数据,所述行为数据包括:邮件发送日志、文件打印日志、远程操控办公终端日志、业务***的服务器日志、所述业务***的数据库操作日志和所述业务***的服务器操作日志;
确定模块,用于基于所述行为数据和所述至少一个员工的基本信息,确定每个员工的行为是否存在安全风险,每个员工的基本信息包括以下至少一项:姓名、身份标识、手机号、或所使用的办公终端的地址,所述身份标识为身份证号或工号。
9.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器用于存储计算机指令;
所述处理器用于执行所述存储器存储的计算机指令,以实现如权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机指令,所述计算机指令被执行时使得如权利要求1至7中任一项所述的方法被实现。
CN202310614335.1A 2023-05-29 2023-05-29 数据处理方法、装置、电子设备和计算机可读存储介质 Pending CN116723212A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310614335.1A CN116723212A (zh) 2023-05-29 2023-05-29 数据处理方法、装置、电子设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310614335.1A CN116723212A (zh) 2023-05-29 2023-05-29 数据处理方法、装置、电子设备和计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN116723212A true CN116723212A (zh) 2023-09-08

Family

ID=87874393

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310614335.1A Pending CN116723212A (zh) 2023-05-29 2023-05-29 数据处理方法、装置、电子设备和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN116723212A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116938595A (zh) * 2023-09-11 2023-10-24 北京格尔国信科技有限公司 验证终端设备身份安全的方法、***、终端及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116938595A (zh) * 2023-09-11 2023-10-24 北京格尔国信科技有限公司 验证终端设备身份安全的方法、***、终端及存储介质
CN116938595B (zh) * 2023-09-11 2023-12-26 北京格尔国信科技有限公司 验证终端设备身份安全的方法、***、终端及存储介质

Similar Documents

Publication Publication Date Title
CN110443041B (zh) 设备权限的管理方法及装置、***、存储介质、电子装置
US10616254B2 (en) Data stream surveillance, intelligence and reporting
US9477574B2 (en) Collection of intranet activity data
CN103026345A (zh) 用于事件监测优先级的动态多维模式
CN103827810A (zh) 资产模型导入连接器
US10275476B2 (en) Machine to machine data aggregator
CN111078455A (zh) 基于时间轴的异常行为序列关联处理方法以及装置、设备、存储介质
CN107679819B (zh) 财务数据处理方法、装置、计算机设备和存储介质
CN116723212A (zh) 数据处理方法、装置、电子设备和计算机可读存储介质
CN104811506A (zh) 基于无线传感器网络的油脂储藏远程监管***及方法
CN106598813B (zh) 一种工作监控键鼠装置及其监控使用电脑过程的方法
CN103490978A (zh) 终端、服务器和消息监视方法
CN110716973A (zh) 基于大数据的安全事件上报平台及方法
CN113205352A (zh) 一种溯源链平台***数据交互管理方法及***
CN108965317B (zh) 一种网络数据防护***
CN112732539A (zh) 一种基于人员组织、岗位信息异动的数据责任调整预警方法及***
CN107526759A (zh) 信息处理设备和信息处理方法
US9424552B2 (en) Managing website registrations
CN111209171B (zh) 安全风险的闭环处置方法、装置及存储介质
US11170449B2 (en) Signals-based data syndication and collaboration
CN104469713B (zh) 一种应急处置流程短信智能操作***
CN112632128A (zh) 一种稽查敏感数据的方法、***及电子设备
CN112686742A (zh) 销项***风险预警方法、装置、存储介质及电子设备
CN112580089A (zh) 信息泄露的预警方法及装置、***、存储介质、电子装置
CN115830734B (zh) 防止代打卡方法及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination