(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211375220.3 (22)申请日 2022.11.04 (71)申请人 杭州未名信科 科技有限公司 地址 311200 浙江省杭州市萧 山区宁围街 道钱江世纪 公园C区1幢101室 申请人 浙江省北 大信息技 术高等研究院 　 浙江蓝景 科技有限公司 (72)发明人 李克勤　陈鹏　俞弘毅　赵明　 麻志毅　 (74)专利代理 机构 北京辰权知识产权代理有限 公司 11619 专利代理师 付婧 (51)Int.Cl. G06F 21/55(2013.01) G06F 21/60(2013.01) (54)发明名称 数据开放安全 可视化监管系统、 方法及存储 介质 (57)摘要 本申请公开了一种数据开放安全可视化监 管系统、 方法及存储介质， 包括： 数据开放管 理模 块， 用于接收数据开放申请， 发送开放数据， 在接 收到告警信息后， 停止异常数据开放； 开放数据 导入代理模块用于对加密的开放数据进行解密， 将解密的数据导入数据库中； 还包括通过数据库 审计模块得到数据库 审计日志， 通过部署在应用 服务器中的开放数据监管探针模块， 得到应用数 据操作日志； 开放数据监管代理模块， 用于收集 并整理数据库审计日志以及应用数据操作日志； 可视化监管模块用于展示整理后的日志数据， 并 发送异常操作行为告警信息。 该系统运用数据加 密、 操作日志采集、 日志关联分析等手段， 对开放 数据的使用情况进行监管， 促进数据的安全有序 开放。 权利要求书2页 说明书9页 附图2页 CN 115510433 A 2022.12.23 CN 115510433 A 1.一种数据开 放安全可视化 监管系统,其特 征在于,包括： 数据开放管理模块， 用于接收数据使用方发送的数据开放申请， 并向所述数据使用方 发送开放数据， 以及在接收到可视化监管模块 发送的告警信息后， 停止异常数据开放； 所述 开放数据包括明文数据文件和密文数据文件； 开放数据导入代理模块， 用于接收所述数据开放管理模块发送的开放数据， 并对其中 的密文数据文件进行解密， 将所述明文数据文件和解密后的密文 数据文件导入数据库审 计 模块的数据库中； 数据库审计模块， 用于监控 并记录数据库的多种操作行为， 形成数据库审计日志， 并将 所述数据库审计日志发送到开 放数据监管代理模块； 开放数据监管探针模块， 部署在应用服务器 中， 采集应用程序对开放数据的操作行为， 形成应用数据操作日志， 并将所述应用数据操作日志发送到开 放数据监管代理模块； 开放数据监管代理模块， 用于收集并整理所述数据库审计日志以及应用数据操作日 志， 并将整理后的日志数据发送到可视化 监管模块； 可视化监管模块， 用于展示所述整理后的日志数据， 并向数据开放管理模块发送异常 操作行为告警信息 。 2.根据权利要求1所述的系统， 其特 征在于， 所述数据开 放管理模块， 包括： 数据开放申请响应单元， 用于响应数据使用方发送的数据开放申请， 并确定对应的开 放数据、 开 放方式以及开 放时间； 开放数据发送单元， 用于向所述数据使用方发送开放的明文数据文件、 密文数据文件 或访问开 放数据的接口信息； 开放数据管理单元， 用于管理开放数据， 并在接收到可视化监管模块发送的告警信息 后， 停止异常数据开 放。 3.根据权利要求1所述的系统， 其特 征在于， 对所述加密后的开 放数据进行解密， 包括： 采用预设的公钥基础设施加解密算法对加密后的开 放数据进行解密； 或， 采用预设的密钥策略属性基加解密算法对加密后的开 放数据进行解密。 4.根据权利要求3所述的系统， 其特征在于， 采用预设的密钥策略属性基加解密算法对 加密后的开 放数据进行解密， 包括： 使用对称密钥生成方法生成待加密数据的对称加密密钥， 并为待加密数据定义一组标 签属性， 根据所述标签属性使用属性基加密的密钥生成方法得到待加密数据的主密钥； 使用所述对称加密 密钥和对称加密算法进行加密， 得到密文数据； 使用属性基加密算法以及主密钥为对称加密密钥进行加密， 得到对称加密密钥的加密 结果； 数据所有方向数据使用方提供密文数据以及对称加密 密钥的加密结果； 为数据使用方的用户设置访问策略， 所述访问策略即为对其开放的所有数据文件对应 的属性进行或运 算的结果， 并根据所述访问策略为用户生成对应的访问密钥； 使用访问密钥对 对称加密 密钥的加密结果进行解密， 得到对称加密 密钥； 使用得到的对称加密 密钥对密文数据进行解密， 得到最终的明文数据。 5.根据权利要求1所述的系统， 其特 征在于， 所述数据库审计模块， 包括： 操作行为记录单元， 用于记录数据库访问账号、 访问时间、 访问对象以及执行的SQL语权　利　要　求　书 1/2 页 2 CN 115510433 A 2句， 形成数据库审计日志； 发送单元， 用于将所述数据库审计日志发送到所述 开放数据监管代理模块。 6.根据权利要求1所述的系统， 其特征在于， 在应用服务器中部署监管探针， 采集应用 程序对开 放数据的操作行为， 形成应用数据操作日志， 包括： 基于自动打桩技术在应用服务器中部署监管探针， 采集应用程序对所述开放数据的增 加操作、 删除操作、 修改操作、 查询操作、 本地磁盘文件的读写操作以及发送数据操作中的 一种或多种操作行为， 形成应用数据操作日志。 7.根据权利要求1所述的系统， 其特 征在于， 所述可视化 监管模块， 包括： 可视化展示单 元， 用于查询并可视化展示所述整理后的日志数据； 分析单元， 用于根据所述整理后的日志数据进行异常操作行为分析， 识别出异常操作 行为； 告警单元， 用于根据所述异常操作行为向数据开 放管理模块发送告警信息 。 8.一种数据开 放安全可视化 监管方法,其特 征在于,包括： 数据所有方向数据使用方发送开放数据， 所述开放数据包括明文数据文件和密文数据 文件； 数据使用方接收所述开放数据， 并对其中的密文数据文件进行解密， 将所述明文数据 文件和解密后的密文数据文件导入数据库审计模块的数据库中； 数据使用方监控并记录数据库的操作行为以及应用程序对所述开放数据的操作行为， 形成数据库审计日志以及应用数据操作日志； 数据所有方根据 所述数据库审计日志以及应用数据操作日志分析异常操作 行为， 并发 出异常告警信息 。 9.根据权利要求8所述的方法， 其特征在于， 数据使用方监控 并记录应用程序对所述开 放数据的操作行为， 包括： 基于自动打桩技术在应用服务器中部署监管探针， 采集应用程序对所述开放数据的增 加操作、 删除操作、 修改操作、 查询操作、 本地磁盘文件的读写操作以及发送数据操作中的 一种或多种操作行为。 10.一种计算机可读介质， 其特征在于， 其上存储有计算机可读指令， 所述计算机可读 指令被处 理器执行以实现如权利要求8或9所述的一种数据开 放安全可视化 监管方法。权　利　要　求　书 2/2 页 3 CN 115510433 A 3