[发明专利]涉及应用程序的数据安全的方法及装置

说明书

一种涉及应用程序的数据安全的方法，所述应用程序包括代码库并且与数据库关联，包括：对所述数据库中的敏感信息进行打标；基于经打标的敏感信息，对所述代码库进行扫描，以确定涉及经打标的敏感信息的应用信息并对其进行标记；基于经标记的应用信息，进行敏感信息泄漏途径的排查；使用安全测试来确定所述应用程序是否有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息；以及基于有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息，对所述应用程序进行检测以发现进一步的敏感信息泄漏途径。本公开的其他方面还涉及相应的装置。

技术领域

本公开一般涉及数据安全，尤其涉及用户隐私数据泄漏途径的发现和监控。

背景技术

随着互联网行业对大数据技术的重视和应用，各互联网公司内获得用户的数据也越来越多。然而，一些掌握了大量用户数据的互联网公司对数据安全的重视程度不足，并且对用户数据泄漏途径缺乏有效的发现和监控能力，导致数据泄露事件频出。

数据泄露的方式形式很多，如：合作伙伴泄露、业务逻辑上的缺陷导致的泄露、应用代码中的安全漏洞导致被黑客攻击泄露，要防止泄露关键是需要找到这些用户信息的泄漏场景。

很多公司缺乏对用户隐私信息泄漏的监控和发现能力，少部分尽管具备一定的监控及发现能力，但较为单一且不成体系。

因此，本领域需要改善对用户隐私数据泄漏途径的发现和监控，以提高数据安全的整体水位。

发明内容

本公开的一方面涉及一种涉及应用程序的数据安全的方法，所述应用程序包括代码库并且与数据库关联，包括：对所述数据库中的敏感信息进行打标；基于经打标的敏感信息，对所述代码库进行扫描，以确定涉及经打标的敏感信息的应用信息并对其进行标记；基于经标记的应用信息，进行敏感信息泄漏途径的排查；使用安全测试来确定所述应用程序是否有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息；以及基于有响应未被所述排查确定为敏感信息泄漏途径，却包含经打标的敏感信息，对所述应用程序进行检测以发现进一步的敏感信息泄漏途径。

根据一示例性实施例，该方法还包括：发布并运行所述应用程序；以及执行以下至少一个操作以进一步发现并监控敏感信息泄漏途径：监控所述数据库的日志，以确定是否有未标记的应用信息涉及所述经打标的敏感信息，并对所述未标记的应用信息进行补标和分析；以及对所述应用程序进行流量检测，以监控所述应用程序的每个接口和页面对所述经打标的敏感信息的输出，并将与敏感信息的输出相关联的流量入库。

根据进一步的示例性实施例，对所述未标记的应用信息进行分析包括，确定是否因黑客攻击导致所述未标记的应用信息不当地访问或操纵所述经打标的敏感信息。

根据另一进一步的示例性实施例，对所述未标记的应用信息进行分析包括，确定是否因所述数据库中有敏感信息漏标导致所述应用未被标记。

根据进一步的示例性实施例，若所述数据库中有敏感信息漏标，则对所述代码库进行针对漏标的敏感信息的全量代码扫描以发现进一步的敏感信息漏标或敏感信息泄漏途径。根据一示例性实施例，该方法还包括：对所述与敏感信息的输出相关联的流量进行黑盒检测以确定是否存在导致所述敏感信息泄露的风险。

根据一示例性实施例，对所述数据库中的敏感信息进行打标还包括，将经打标的所述敏感信息存储在经打标敏感信息列表中；以及对增量数据库表和/或经修改的数据库表的敏感信息进行打标。

根据一示例性实施例，对涉及经打标的敏感信息的应用信息进行标记包括，将所述应用信息存储在经标记应用信息列表中，并且对未标记的涉及所述经打标的敏感信息的应用信息进行标记包括，将未标记的涉及所述经打标的敏感信息的应用信息添加到所述经标记应用信息列表中。

根据一示例性实施例，所述敏感信息包括所述数据库的敏感表以及敏感字段。