本申請提供了一種網絡安全數據共享與管控方法及系統，共享與管控方法包括：對數據進行分類并編制成數據目錄；為數據訪問方開通賬戶，綁定IP，并分配數據管理員角色；獲取數據訪問方的數據訪問和數據操作權限的工單并進行審批，對于審批通過的給予相應數據的操作權限，訪問和操作權限加密后寫入授權表中；將SDK引入獲得操作權限的數據訪問方的項目中；由SDK對數據訪問方的IP進行鑒權；由SDK對IP存在于預設的授權表中的數據訪問方的操作權限進行鑒權；將數據庫的訪問和查詢行為與數據庫性能指標做關聯分析；預設數據訪問規則，若數據訪問方觸發訪問規則，則熔斷查詢并告警。本申請能夠保證數據共享過程的可審計、可監控和可告警。

技術領域

本申請屬于網絡安全技術領域，具體涉及一種網絡安全數據共享與管控方法及系統。

背景技術

網絡安全數據通常包括安全事件日志、威脅情報數據、漏洞情報數據、 IT資產以及流量等。目前，網絡安全領域數據共享與管控方面的產品相對較少，主要是數據庫審計方面的產品。例如，安華金和數據庫安全審計系統屬于數據庫審計方面的產品，安華金和數據庫安全審計系統基于數據庫協議分析與控制技術來實現數據庫的安全審計和防護。

現有的數據庫審計方面的產品存在以下問題：首先，數據庫審計方面的產品面向的是數據庫運維人員和安全管理人員，更著重體現的是數據庫的安全防控，更注重數據本身的安全。其次，對于承載數據量較小的結構化數據庫來說，數據庫協議分析與控制技術技術是有效的，然而對于實時性要求極高的海量日志數據的流式處理引擎以及近實時的全文搜索引擎來說，這種單點訪問控制的設計是不能滿足需求的。再次，數據庫審計方面的產品并沒有實現數據的細粒度控制以及對數據的分權限管控。沒有實現數據在系統中的操作權限以及數據訪問權限的統一。最后，數據庫審計方面的產品并沒有對數據的使用與數據責任方做數據的審批流程。

發明內容

為至少在一定程度上克服相關技術中存在的問題，本申請提供了一種網絡安全數據共享與管控方法及系統。

根據本申請實施例的第一方面，本申請提供了一種網絡安全數據共享與管控方法，其包括以下步驟：

對數據進行分類并編制成數據目錄，以向外提供數據共享；

為數據訪問方開通賬戶，綁定數據訪問方的IP，并為數據訪問方分配數據管理員角色；

獲取數據訪問方的數據訪問和數據操作權限的工單并進行審批，對于審批通過的數據訪問方給予其相應數據的操作權限，并將該數據訪問權限和數據操作權限加密后寫入授權表中；

將SDK引入獲得操作權限的數據訪問方的項目中；

由SDK對數據訪問方的IP進行鑒權；

由SDK對IP存在于預設的授權表中的數據訪問方的操作權限進行鑒權，對于獲得相應操作權限的數據訪問方放行其操作；

數據訪問方通過客戶端對象訪問Elasticsearch時，由SDK對數據訪問方對Elasticsearch的操作進行數據埋點操作，并將埋點日志寫入Elasticsearch 的索引中，以接受審計與管理；

將記錄的數據庫的訪問和查詢行為與數據庫性能指標做關聯分析，以確定數據庫的性能影響因素；

預設數據訪問規則，如果數據訪問方觸發訪問規則，則熔斷查詢，并且生成告警，通知數據責任方。

上述網絡安全數據共享與管控方法中，所述將SDK引入獲得操作權限的數據訪問方的項目中的具體過程為：

獲得操作權限的數據訪問方下載SDK及其使用文檔；

將SDK引入數據訪問方的項目中。

上述網絡安全數據共享與管控方法中，所述由SDK對數據訪問方的IP 進行鑒權的具體過程為：