[发明专利]一种基于关键字技术的数据防泄漏方法

说明书

本发明公开了一种基于关键字技术的数据防泄漏方法，包括以下步骤：第一步，对业务流程进行数据调研，找出业务流程中涉及的敏感数据；第二步，数据泄露风险评估；第三步，数据定义：通过关键字技术对各种场景下各种文档模型进行预先定义，找出能够表征数据价值的关键字体系，扫描待检测数据，通过是否被命中关键字来判断是否属于敏感数据；第四步，敏感数据监控和阻止，处理抓到的恶意企图和恶意事件。本发明确保在任何位置任何使用方式下，数据泄露风险都能得到有效降低，提升了数据泄露防护的工作效率；保护了用户终端上非结构化数据的安全，使数据泄露防护工作更加规范化、标准化和智能化。

技术领域

本发明涉及一种数据防泄漏方法，尤其涉及一种应用于石油石化企业中、基于关键字技术的非结构化数据防泄漏方法，属于数据防泄漏技术领域。

背景技术

数据作为企业的核心资产，国内外大量敏感数据的泄露会对企业利益带来巨大的损害，包括客户流失、信誉度下降、核心技术丢失、事件曝光造成声誉损失、法律问题和经济赔偿等。根据专业数据泄露防护研究机构统计，89％的企业遭受过敏感信息泄露；超过85％的安全泄密来自企业内部，经济损失达6056.5亿美元，是黑客造成损失的16倍，是病毒造成损失的12倍。目前市场上成熟的数据泄露防护(简称DLP)系统能侦测到敏感内容并阻止它，或者在传输前进行加密，任何需要保护敏感数据的企业都需要数据泄露防护(DLP)技术的帮助。

伴随着信息系统的依赖性增加，石油石化企业的数据量、数据重要性日益增大，随之增大的还有数据泄露风险。作为拥有大量关键核心数据的龙头国企，数据泄露对于石油石化企业而言不仅仅是经济损失，更有可能影响到国家机密，导致不可估量的后果。保证各类业务敏感数据不被泄露，已经成为石油石化企业信息化建设过程中的迫切需求和需要重视的问题。

石油石化企业数据安全现状：虽然目前国内外厂商已经基于不同用户需求开发出了数据泄露防护产品，石油石化企业也制定了初步的数据定义和管控策略，但是石油石化企业在实施数据安全工作过程中普遍存在数据资产识别不充分，方法落地难，DLP设置策略的制定不够客观和充分，数据泄露防护场景考虑不全面等问题。信息安全建设更多的考虑了人员和数据，而忽视了业务流程和特定场景等重要因素。

在技术层面，没有完整的对石油石化企业的敏感数据进行调研和梳理，识别出石油石化企业需要防护的敏感数据，DLP策略的制定仅仅依靠安全产品的内定策略和技术人员的主观决定。

在管理层面，石油石化企业的现有数据安全工作更多的是在企业层面对数据进行宏观的定义，没有深入到特定业务部门对数据进行有针对性的细分，导致业务部门对数据安全感知度不高，信息中心对数据敏感程度把握不够，数据泄露防护工作的效果有限。

根据业界分析，大批量数据的典型泄露主要通过网络和终端两种途径，但本质上数据泄露还是发生在终端，真正的数据保护需要在终端实现。由于工作流程的不完善，以及日常工作中的不规范行为导致的敏感数据泄露时有发生。对于每天使用这些数据的员工来说，已经对这些数据的敏感性及数据对企业的重要性日渐麻木，因此时常会通过终端有意无意地(例如发送邮件)轻易将某些数据外发出去。为了工作方便，有时也会将某些数据上传到网盘或共享空间等。甚至有些员工只是为了炫耀个人的才能，而将自己新编写的代码或者设计图纸上传至专业网站或论坛等与人分享。这使得企业敏感数据遭到外泄，企业自身损失惨重。因此，关注终端通过邮件、web通道、U盘拷贝、刻录、打印等通道泄露敏感信息已经变得尤其重要。

另外，信息分为结构化数据和非结构化数据，我们都知道结构化数据是怎样的，并知道它驻留在哪里，所以必须严格地控制谁能访问它，对于结构化数据，定义和应用安全控制相对简单，可以使用结构内置的特性或者专门的特定设计的第三方工具。相比之下，非结构化数据更难以管理和保护。非结构化数据能存在任何地方，以任何形式，在任何设备上，能够跨越任何网络。试想一下，假如一个客户的个人信息从数据库中提取出来，显示在一个网页上，并将其从网页中复制到数据表格中，附在电子邮件中，然后发送到另外的位置。