数据安全管控方法、装置、电子设备和可读存储介质与流程

本发明涉及数据安全，具体而言，涉及一种数据安全管控方法、装置、电子设备和可读存储介质。

背景技术：

1、在内网和外网隔离的场景下，也存在外网访问、开发联调等需求。为了维护内网用户对于外网的访问，以避免内网用户对外网的随意访问以及避免内网的敏感信息泄露等，需要对内网对于外网的访问请求进行管控。

2、现有的管控方案中往往通过管理ip白名单和session id白名单实现数据安全管控。现有技术中的常用方式缺乏安全操作规范，并且对于敏感信息的上传和外发无法感知和管控。

技术实现思路

1、本发明的目的包括，例如，提供了一种数据安全管控方法、装置、电子设备和可读存储介质，其能够保障安全操作规范、避免敏感信息外发。

2、本发明的实施例可以这样实现：

3、第一方面，本发明提供一种数据安全管控方法，所述方法包括：

4、第一服务单元和第二服务单元监听分布式存储单元中的配置信息，在所述分布式存储单元中的配置信息存在更新时，基于更新后的配置信息对自身的配置信息进行更新，所述分布式存储单元中的配置信息根据目标网络中各个终端设备发送的外网访问工单信息生成；

5、所述第一服务单元在接收到所述目标网络中任一终端设备发送的外网访问请求时，基于自身的配置信息中与所述终端设备对应的目标配置信息对所述外网访问请求进行检测；

6、所述第一服务单元在所述外网访问请求满足所述目标配置信息时，将所述外网访问请求发送至所述第二服务单元；

7、所述第二服务单元将接收到的外网访问请求向外发出，并将所述外网访问请求发送至搜索服务单元，在所述搜索服务单元中生成对应的外网访问日志，所述外网访问日志用于后续查询以判断是否触发告警。

8、在可选的实施方式中，所述方法还包括：

9、分析单元每间隔预设时长查询所述搜索服务单元中的外网访问日志；

10、检测查询到的外网访问日志是否满足定义的告警规则，若所述外网访问日志满足所述告警规则，则发出告警信息。

11、在可选的实施方式中，所述第一服务单元和第二服务单元监听分布式存储单元中的配置信息的步骤之前，所述方法还包括：

12、管控单元获取所述目标网络中终端设备发送且审批通过的外网访问工单信息，对所述外网访问工单信息进行解析获得对应的新增访问规则；

13、所述管控单元查询数据库中是否存在与所述新增访问规则相同的已有访问规则，若不存在，则将所述新增访问规则添加至所述数据库中，若存在，则基于所述新增访问规则中的过期时间对所述已有访问规则中的过期时间进行更新；

14、所述分布式存储单元根据所述数据库中的访问规则对自身的配置信息进行更新。

15、在可选的实施方式中，所述管控单元获取所述目标网络中终端设备发送且审批通过的外网访问工单信息的步骤之前，所述方法还包括：

16、审批单元获取所述目标网络中终端设备发送的外网访问工单信息，并在所述外网访问工单信息审批通过后，开通所述终端设备对所述外网访问工单信息中的目标域名的访问权限；

17、通知单元向所述终端设备反馈对所述目标域名的访问使用信息。

18、在可选的实施方式中，所述通知单元向所述终端设备反馈对所述目标域名的访问使用信息的步骤，包括：

19、所述通知单元获取所述终端设备的源ip地址，根据所述源ip地址并调用第一接口获取对应的域用户名；

20、通过第二接口调取反馈模型，基于所述反馈模型和所述域用户名向所述终端设备反馈对所述目标域名的访问使用信息。

21、在可选的实施方式中，所述第一服务单元保存有预先针对不同的目标域生成的ssl证书，各所述终端设备上具有下发的根证书的公钥，所述方法还包括：

22、所述第一服务单元在接收到所述目标网络中任一终端设备发送的外网访问请求时，获得所述外网访问请求指向的目标域名和携带的公钥；

23、基于所述外网访问请求指向的目标域名的ssl证书对所述公钥进行验证，在验证通过后利用所述ssl证书将所述外网访问请求解析为明文形式。

24、在可选的实施方式中，所述外网访问工单信息包括使用区域、目标ip/目标域名、目标端口、请求方法、http协议、允许的源ip地址、发明人的域用户名、有效天数、目标访问路径、用途说明中的任意多项。

25、第二方面，本发明提供一种数据安全管控装置，所述装置包括：

26、获取模块，用于通过第一服务单元和第二服务单元监听分布式存储单元中的配置信息，在所述分布式存储单元中的配置信息存在更新时，基于更新后的配置信息对自身的配置信息进行更新，所述分布式存储单元中的配置信息根据目标网络中各个终端设备发送的外网访问工单信息生成；

27、检测处理模块，用于通过所述第一服务单元在接收到所述目标网络中任一终端设备发送的外网访问请求时，基于自身的配置信息中与所述终端设备对应的目标配置信息对所述外网访问请求进行检测；

28、第一发送模块，用于通过所述第一服务单元在所述外网访问请求满足所述目标配置信息时，将所述外网访问请求发送至所述第二服务单元；

29、第二发送模块，还用于通过所述第二服务单元将接收到的外网访问请求向外发出，并将所述外网访问请求发送至搜索服务单元，在所述搜索服务单元中生成对应的外网访问日志，所述外网访问日志用于后续查询以判断是否触发告警。

30、第三方面，本发明提供一种电子设备，包括一个或多个存储介质和一个或多个与所述存储介质通信的处理器，一个或多个所述存储介质存储有所述处理器可执行的机器可执行指令，当所述电子设备运行时，所述处理器执行所述机器可执行指令，以执行前述实施方式中任意一项所述的方法。

31、第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质存储有机器可执行指令，所述机器可执行指令被处理器执行时实现前述实施方式中任意一项所述的方法。

32、本发明实施例的有益效果包括，例如：

33、本发明提供一种数据安全管控方法、装置、电子设备和可读存储介质，第一服务单元和第二服务单元通过监听分布式存储单元中的配置信息，以在配置信息存在更新时，分别对自身的配置信息进行更新。其中，分布式存储单元中的配置信息根据目标网络中各个终端设备发送的外网访问工单信息生成。第一服务单元接收到终端设备发送的外网访问请求时，基于自身的配置信息检测外网访问请求是否满足目标配置信息，在满足的情况下将外网访问请求发送至第二服务单元，通过第二服务单元外发，且发送至搜索服务单元，在搜索服务单元中生成对应的外网访问记录，外网访问记录用于后续查询以判断是否触发告警。该方案中，通过外网访问工单的审核、基于配置信息的检测以及外网访问记录的检测等，可以保障安全操作规范、避免敏感信息外发。

技术特征：

1.一种数据安全管控方法，其特征在于，所述方法包括：

2.根据权利要求1所述的数据安全管控方法，其特征在于，所述方法还包括：

3.根据权利要求1所述的数据安全管控方法，其特征在于，所述第一服务单元和第二服务单元监听分布式存储单元中的配置信息的步骤之前，所述方法还包括：

4.根据权利要求3所述的数据安全管控方法，其特征在于，所述管控单元获取所述目标网络中终端设备发送且审批通过的外网访问工单信息的步骤之前，所述方法还包括：

5.根据权利要求4所述的数据安全管控方法，其特征在于，所述通知单元向所述终端设备反馈对所述目标域名的访问使用信息的步骤，包括：

6.根据权利要求1所述的数据安全管控方法，其特征在于，所述第一服务单元保存有预先针对不同的目标域生成的ssl证书，各所述终端设备上具有下发的根证书的公钥，所述方法还包括：

7.根据权利要求1-6任意一项所述的数据安全管控方法，其特征在于，所述外网访问工单信息包括使用区域、目标ip/目标域名、目标端口、请求方法、http协议、允许的源ip地址、发明人的域用户名、有效天数、目标访问路径、用途说明中的任意多项。

8.一种数据安全管控装置，其特征在于，所述装置包括：

9.一种电子设备，其特征在于，包括一个或多个存储介质和一个或多个与所述存储介质通信的处理器，一个或多个所述存储介质存储有所述处理器可执行的机器可执行指令，当所述电子设备运行时，所述处理器执行所述机器可执行指令，以执行权利要求1-7中任意一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有机器可执行指令，所述机器可执行指令被处理器执行时实现权利要求1-7中任意一项所述的方法。

技术总结本发明提供一种数据安全管控方法、装置、电子设备和可读存储介质，第一服务单元和第二服务单元通过监听分布式存储单元中根据目标网络中各个终端设备发送的外网访问工单信息生成的配置信息，以在配置信息存在更新时，分别对自身的配置信息进行更新。第一服务单元接收到终端设备发送的外网访问请求时，检测外网访问请求是否满足目标配置信息，在满足的情况下将外网访问请求发送至第二服务单元，通过第二服务单元外发，且发送至搜索服务单元，在搜索服务单元中生成用于后续查询以判断是否触发告警对应的外网访问记录。该方案中，通过外网访问工单的审核、基于配置信息的检测以及外网访问记录的检测等，可以保障安全操作规范、避免敏感信息外发。技术研发人员：李长龙,李耀,陈林,高斌受保护的技术使用者：成都新希望金融信息有限公司技术研发日：技术公布日：2024/7/25