[发明专利]涉及应用程序的数据安全的方法及装置有效
申请号: | 202010440451.2 | 申请日: | 2020-05-22 |
公开(公告)号: | CN111611590B | 公开(公告)日: | 2023-10-27 |
发明(设计)人: | 朱浩文 | 申请(专利权)人: | 支付宝(杭州)信息技术有限公司 |
主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/62;G06F11/30;G06F11/36 |
代理公司: | 上海专利商标事务所有限公司 31100 | 代理人: | 袁逸;钱孟清 |
地址: | 310023 浙江省杭州市*** | 国省代码: | 浙江;33 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 涉及 应用程序 数据 安全 方法 装置 | ||
一种涉及应用程序的数据安全的方法,所述应用程序包括代码库并且与数据库关联,包括:对所述数据库中的敏感信息进行打标;基于经打标的敏感信息,对所述代码库进行扫描,以确定涉及经打标的敏感信息的应用信息并对其进行标记;基于经标记的应用信息,进行敏感信息泄漏途径的排查;使用安全测试来确定所述应用程序是否有响应未被所述排查确定为敏感信息泄漏途径,却包含经打标的敏感信息;以及基于有响应未被所述排查确定为敏感信息泄漏途径,却包含经打标的敏感信息,对所述应用程序进行检测以发现进一步的敏感信息泄漏途径。本公开的其他方面还涉及相应的装置。
技术领域
本公开一般涉及数据安全,尤其涉及用户隐私数据泄漏途径的发现和监控。
背景技术
随着互联网行业对大数据技术的重视和应用,各互联网公司内获得用户的数据也越来越多。然而,一些掌握了大量用户数据的互联网公司对数据安全的重视程度不足,并且对用户数据泄漏途径缺乏有效的发现和监控能力,导致数据泄露事件频出。
数据泄露的方式形式很多,如:合作伙伴泄露、业务逻辑上的缺陷导致的泄露、应用代码中的安全漏洞导致被黑客攻击泄露,要防止泄露关键是需要找到这些用户信息的泄漏场景。
很多公司缺乏对用户隐私信息泄漏的监控和发现能力,少部分尽管具备一定的监控及发现能力,但较为单一且不成体系。
因此,本领域需要改善对用户隐私数据泄漏途径的发现和监控,以提高数据安全的整体水位。
发明内容
本公开的一方面涉及一种涉及应用程序的数据安全的方法,所述应用程序包括代码库并且与数据库关联,包括:对所述数据库中的敏感信息进行打标;基于经打标的敏感信息,对所述代码库进行扫描,以确定涉及经打标的敏感信息的应用信息并对其进行标记;基于经标记的应用信息,进行敏感信息泄漏途径的排查;使用安全测试来确定所述应用程序是否有响应未被所述排查确定为敏感信息泄漏途径,却包含经打标的敏感信息;以及基于有响应未被所述排查确定为敏感信息泄漏途径,却包含经打标的敏感信息,对所述应用程序进行检测以发现进一步的敏感信息泄漏途径。
根据一示例性实施例,该方法还包括:发布并运行所述应用程序;以及执行以下至少一个操作以进一步发现并监控敏感信息泄漏途径:监控所述数据库的日志,以确定是否有未标记的应用信息涉及所述经打标的敏感信息,并对所述未标记的应用信息进行补标和分析;以及对所述应用程序进行流量检测,以监控所述应用程序的每个接口和页面对所述经打标的敏感信息的输出,并将与敏感信息的输出相关联的流量入库。
根据进一步的示例性实施例,对所述未标记的应用信息进行分析包括,确定是否因黑客攻击导致所述未标记的应用信息不当地访问或操纵所述经打标的敏感信息。
根据另一进一步的示例性实施例,对所述未标记的应用信息进行分析包括,确定是否因所述数据库中有敏感信息漏标导致所述应用未被标记。
根据进一步的示例性实施例,若所述数据库中有敏感信息漏标,则对所述代码库进行针对漏标的敏感信息的全量代码扫描以发现进一步的敏感信息漏标或敏感信息泄漏途径。根据一示例性实施例,该方法还包括:对所述与敏感信息的输出相关联的流量进行黑盒检测以确定是否存在导致所述敏感信息泄露的风险。
根据一示例性实施例,对所述数据库中的敏感信息进行打标还包括,将经打标的所述敏感信息存储在经打标敏感信息列表中;以及对增量数据库表和/或经修改的数据库表的敏感信息进行打标。
根据一示例性实施例,对涉及经打标的敏感信息的应用信息进行标记包括,将所述应用信息存储在经标记应用信息列表中,并且对未标记的涉及所述经打标的敏感信息的应用信息进行标记包括,将未标记的涉及所述经打标的敏感信息的应用信息添加到所述经标记应用信息列表中。
根据一示例性实施例,所述敏感信息包括所述数据库的敏感表以及敏感字段。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于支付宝(杭州)信息技术有限公司,未经支付宝(杭州)信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010440451.2/2.html,转载请声明来源钻瓜专利网。
- 数据显示系统、数据中继设备、数据中继方法、数据系统、接收设备和数据读取方法
- 数据记录方法、数据记录装置、数据记录媒体、数据重播方法和数据重播装置
- 数据发送方法、数据发送系统、数据发送装置以及数据结构
- 数据显示系统、数据中继设备、数据中继方法及数据系统
- 数据嵌入装置、数据嵌入方法、数据提取装置及数据提取方法
- 数据管理装置、数据编辑装置、数据阅览装置、数据管理方法、数据编辑方法以及数据阅览方法
- 数据发送和数据接收设备、数据发送和数据接收方法
- 数据发送装置、数据接收装置、数据收发系统、数据发送方法、数据接收方法和数据收发方法
- 数据发送方法、数据再现方法、数据发送装置及数据再现装置
- 数据发送方法、数据再现方法、数据发送装置及数据再现装置