[发明专利]基于标签的敏感数据追踪溯源方法

说明书

本发明涉及一种基于标签的敏感数据追踪溯源方法，涉及数据安全技术领域。本发明针对大数据平台中结构化数据的追踪溯源问题，创新性地提出面向结构化数据的、基于标签的敏感数据追踪溯源方法，同时针对标签技术中元数据占用存储高的标签统一格式定义、标签提取、标签存储、存储优化、可视化展示环节展开设计，实现面向敏感数据的全路径追踪溯源，可对数据泄露源头进行回溯、定位。

技术领域

本发明涉及数据安全技术领域，具体涉及一种基于标签的敏感数据追踪溯源方法。

背景技术

(一)追踪溯源

近年来，数据库审计、数据防泄漏等数据防护手段日渐成熟，但数据泄露事件仍频繁发生，“事后”追踪溯源变得越来越重要，一方面可实现数据泄露事件发生后泄漏源头追溯和责任定位，一方面可从管理角度上起到一定的威慑作用。目前主流的追踪溯源技术包括标注法、数字水印等。

(1)标注法

传统数据溯源追踪方法是标注法，这是一种简单且有效的数据溯源方法。通过记录处理相关的信息来追溯数据的历史状态，即用标注的方式来记录原始数据的一些重要信息，并让标注和数据一起传播，通过查看目标数据的标注来获得数据的溯源。采用标注法来进行数据溯源实现简单，容易管理，但其缺点是只适合小型系统，对于大型系统而言很难为细粒度的数据提供详细的数据溯源信息，因为可能导致元数据比原始数据还多，需要额外的存储空间，对存储造成很大的压力，而且效率低。

(2)数字水印

数字水印同样是为了保持对分发后的数据进行流向追踪的技术,在数据泄露行为发生后，对造成数据泄露的源头可进行回溯。对于结构化数据，在分发数据中掺杂不影响运算结果的数据，采用增加伪行、增加伪列等方法,拿到泄密数据的样本,可追溯数据泄露源。对于非结构化数据,数字水印可以应用于数字图像、音频、视频、打印、文本、条码等数据信息中，在数据外发的环节加上隐蔽标识水印，可以追踪数据扩散路径。但目前的数字水印方案大多还是针对静态的数据集，满足数据量巨大、更新速度极快的水印方案尚不成熟。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种针对大数据平台中结构化数据的追踪溯源方法，实现面向敏感数据的全路径追踪溯源，可对数据泄露源头进行回溯、定位。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于标签的敏感数据追踪溯源方法，包括以下步骤：

第一步、标签统一格式定义

为审计记录中敏感数据相关的操作行为打标签，标签中的信息包括操作主体、操作客体、客体所在位置、课题敏感等级、操作类型、操作时间、操作主体主机IP和操作主体应用系统账号；所述操作主体为操作行为责任人，操作客体为敏感数据；所示操作类型包括数据增删改查；

第二步、标签提取

将涉及敏感数据的审计日志进行解析，通过正则表达式匹配的方式，将每条审计日志中相关信息提取出来，生成标签；

其中，针对数据增删查操作，生成一个标签，针对数据修改操作，生成分别对应为修改前后两个表格的操作行为标签；

第三步、标签存储

提取标签后将其单独存储在数据库中，存储中间件设计为由server模块、console模块、异构源统一模块、优化模块和服务状态监视器多个模块组成；

所述Server模块用于提供多协议的支持；

console模块包括系统配置、部署管理、集群管理内容，用于提供读取数据库配置文件和保存配置信息的接口，对server模块中集群扩展功能进行管理；