本發明公開一種對現存應用系統提供免改造的主客體精細控制的業務及數據安全防護方法、裝置及系統，其包括：制定針對應用系統的安全防護策略；當應用系統發生業務操作和數據訪問時，在其通訊、數據訪問或程序運行流程中進行攔截，獲取通訊內容、數據訪問內容或程序數據；解析并識別出通訊內容、數據訪問內容或程序數據中的要素信息，構造抽象信息模型對象；據此決策出適用于本次業務操作和數據訪問的有效安全防護策略；執行有效安全防護策略中的防護措施。對于現存的、自身不具備足夠安全防護措施的應用系統，這種方法可以無需開發改造就能為其提供精細粒度的安全防護，對訪問主體能控制到具體的用戶，客體可以控制到數據行和字段級別。

技術領域

本發明屬于計算機信息安全技術領域，尤其涉及對現存應用系統的業務訪問安全、數據安全的防護方法、裝置及系統。

背景技術

現在計算機技術已經深入普及到方方面面，各種業務處理乃至日常生活都離不開軟件應用系統的支持。隨著軟件應用的普及，業務處理系統所面臨的安全風險也越來越多，越來越突出。另一方面，自從大數據的概念提出后，數據的價值日益得到重視，現在已經進入了數據技術時代。隨著數據重要性的凸顯，其面臨的風險也越來越多，數據安全成為計算機與網絡安全的重點方向。數據安全問題的難點在于：數據必須在業務部門、職能人員之間流轉和分享，才能創造價值；但數據在流轉和使用過程中就會面臨風險，風險無處不在——可能來自于外部，也可能來自于內部；可能出于故意，也可能是疏忽或無意行為導致。數據一旦遭到破壞，或者泄露出去被人非法使用，則可能會帶來巨大損失。所以我們需要在業務正常運行、數據合理流轉的同時，防范各種風險，充分保證其安全。

這種安全需求，傳統的安全措施已經難以滿足了。因為現在一方面要求業務和數據被正常使用和流轉，另一方面，需要控制使用者或者用戶，需要控制他們能操作和訪問的范圍。這就要求，安全需要做到業務和數據內部，要在對業務功能及數據的形態、結構有深刻認知的基礎上來實現安全防護。也就是說，需要基于主體和客體的相關信息，來實現精細化的業務和數據訪問控制、安全防護，僅僅提供外圍的網絡、主機安全環境已經遠遠不夠了。

這實際上是對應用系統出了更高的要求，需要其具備內建的安全能力，因為只有應用系統自身才具備其業務功能和數據的關鍵信息。傳統的安全手段防火墻之類，其防護能力往往側重于網絡層面或主機層面，不能深入到業務中來，不能針對具體的數據提供防護能力。

其他常見的安全手段還包括數據庫安全機制和文件系統安全機制，但它們也不能提供足夠的主客體精細化控制能力。

數據庫安全技術，比如TDE或數據庫網關，其缺點是不能獲知業務系統中的用戶主體信息，無法實現主體到人的訪問細控。另外還存在其他風險，比如不能應對來自數據庫管理員、工程或運維人員、外包人員等的內部人員風險問題，因為數據在被訪問的時候，離開數據庫就被解密，所以各種運維管理工具都能輕易獲得明文數據。

文件加密技術，包括特定文件/夾加密技術、卷加密技術，其缺點同樣包括不能獲取用戶主體信息。此外還不能實現進一步的數據客體細化控制，比如針對結構化文件內的字段內容進行防護控制。同樣也不能防范來自內部人員的風險，因為數據被讀取的時候就會被自動解密。

所以，依靠外在的安全手段來提供一個安全環境，還是難以深入、徹底地解決具體應用系統中的業務、數據安全問題，需要應用系統自身具備內建的安全能力，才能有效的提供精細控制的安全防護能力。

大量的現存應用系統中，往往只重視系統的業務功能和特性，很少在系統的建設過程中注重安全。就算是考慮到安全，大多也還是借重網絡安全、主機安全等機制，來為系統提供一個安全防護環境，很少注重考慮應用系統內建的安全防護能力；就算考慮了一些內建的安全手段，但在系統的存在及發展過程中，會出現新的安全風險，而當初其研發過程中所考慮的安全機制并不能有效應對這些新出現的安全風險。