(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211088673.8 (22)申请日 2022.09.07 (71)申请人 杭州海康威视数字技 术股份有限公 司 地址 310051 浙江省杭州市滨江区阡 陌路 555号 (72)发明人 王滨　陈达　沈玉龙　张志为　 (74)专利代理 机构 北京博思佳知识产权代理有 限公司 1 1415 专利代理师 杨春香 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) H04L 9/40(2022.01) G06F 21/31(2013.01) (54)发明名称 一种业务自适应的数据治理方法、 装置及设 备 (57)摘要 本申请提供一种业务自适应的数据治理方 法、 装置及设备， 该方法包括： 获取数据资产在流 转过程中对应的数据特征； 获取数据资产对应的 已配置的安全 特征； 基于所述数据特征和所述安 全特征确定所述数据资产是否存在安全风险； 如 果是， 获取所述数据资产对应的数据画像， 基于 所述数据画 像确定所述数据资产的安全状态， 所 述安全状态 为安全或不安全； 若所述安全状态为 不安全， 对所述数据资产进行数据保护。 通过本 申请技术方案， 能够对不安全的数据资产进行数 据保护， 避免敏感数据资产的泄漏风险， 保证数 据资产的安全性。 权利要求书3页 说明书18页 附图2页 CN 115168888 A 2022.10.11 CN 115168888 A 1.一种业 务自适应的数据治理方法， 其特 征在于， 所述方法包括： 获取数据资产在流 转过程中对应的数据特 征； 获取所述数据资产对应的已配置的安全特 征； 基于所述数据特 征和所述 安全特征确定所述数据资产是否存在安全风险； 如果是， 则获取所述数据资产对应的数据画像， 基于所述数据画像确定所述数据资产 的安全状态； 其中， 所述 安全状态为 安全或者 不安全； 若所述安全状态为 不安全， 则对所述数据资产进行 数据保护。 2.根据权利要求1所述的方法， 其特 征在于， 所述安全特征包括数据重要程度、 数据流通范围、 数据安全权限； 所述基于所述数据 特 征和所述 安全特征确定所述数据资产是否存在安全风险， 包括： 基于所述数据特 征确定所述数据资产对应的操作事 件信息； 基于所述数据特 征确定所述数据资产对应的流 转节点信息； 基于所述数据特 征确定所述数据资产对应的操作角色信息； 若所述操作事件信 息与所述数据重要程度不匹配、 所述流转节点信 息与所述数据流通 范围不匹配、 所述操作角色信息与所述数据安全权限不匹配中的至少一个成立， 则确定所 述数据资产存在安全风险； 否则， 确定所述数据资产不存在安全风险。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 所述操作事件信 息包括操作事件类型， 若所述操作事件类型为所述数据重要程度允许 的操作事件类型， 则确定所述操作事件信息与所述数据重要程度匹配， 否则， 确定所述操作 事件信息与所述数据重要程度不匹配； 所述流转节点信息包括流转目的节点、 流转源节点和流转中间节点， 若所述流转目的 节点、 所述流转源节点和所述流转中间节点为所述数据流通范围允许 的数据流通节点， 则 确定所述流转节点信息与所述数据流通范围匹配， 否则， 确定所述流转节点信息与所述数 据流通范围不匹配； 所述操作角色信 息包括操作者的目标角色， 若所述目标角色为所述数据安全权限允许 的具有操作权限的角色， 则确定所述操作角色信息与所述数据安全权限匹配， 否则， 确定所 述操作角色信息与所述数据安全权限不匹配。 4.根据权利要求1 ‑3任一项所述的方法， 其特 征在于， 所述数据画像包括多个分类维度的画像实际特 征； 所述基于所述数据画像确定所述数据资产的安全状态， 包括： 针对每个分类维度， 基于所述分类维度的画像实际特征与所述分类维度的已配置画像 特征， 确定所述分类维度对应的匹配分数； 基于所述多个分类维度对应的匹配分数确定所述数据资产的安全状态分数； 基于所述 安全状态分数确定所述数据资产的安全状态。 5.根据权利要求4所述的方法， 其特征在于， 所述多个分类维度的画像实际特征还包括 以下至少两种： 所述数据资产对应的操作事件信息； 所述数据资产对应的流转节点信息； 所 述数据资产对应的操作角色信息； 所述数据资产对应的实际使用频率； 所述数据资产对应 的实际使用范围； 所述数据资产对应的实际流转路径； 所述数据资产对应的实际身份权限权　利　要　求　书 1/3 页 2 CN 115168888 A 2状态。 6.根据权利要求1所述的方法， 其特 征在于， 针对存储过程中的数据资产， 所述方法还 包括： 根据所述数据资产对应的存 储特征确定所述数据资产对应的加密方式； 基于所述加密方式对所述数据资产进行加密， 并存 储加密后的数据资产； 其中， 所述存储特征包括数据量大小和/或数据 敏感程度； 所述加密方式包括以下至少 一种： 安全密码卡、 CPU加密引擎、 软件加密库。 7.根据权利要求1所述的方法， 其特 征在于， 针对流转过程中的数据资产， 所述方法还 包括： 在所述数据资产从一个安全域流转到另一个安全域时， 为所述数据资产嵌入数字水 印， 所述数字水印包括数据资产在流 转过程中对应的数据特 征； 和/或， 在所述数据资产从一个安全域流转到另一个安全域时， 采用目标加密算法对所 述数据资产进行加密， 并流 转加密后的数据资产。 8.根据权利要求1所述的方法， 其特 征在于， 针对流转过程中的数据资产， 所述方法还 包括： 在所述数据资产从高级别安全域流转到低级别安全域 时， 根据所述数据资产对应的业 务特征确定所述数据资产对应的目标脱敏 方式； 基于所述目标脱敏 方式对所述数据资产进行脱敏， 流 转脱敏后的数据资产； 其中， 所述业务特征包括以下至少一种： 业务场景、 安全状态、 身份权限、 负载状态； 所 述目标脱敏方式包括静态脱敏方式和/或动态脱敏方式； 所述静态脱敏方式包括以下至少 一种： 差分隐私方式、 K匿名方式、 FP E方式； 所述动态脱 敏方式包括： SQL语句改写 方式和/或 结果集改写方式。 9.一种业 务自适应的数据治理装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取 数据资产在流 转过程中对应的数据特 征； 所述获取模块， 还用于获取 所述数据资产对应的已配置的安全特 征； 确定模块， 用于基于所述数据 特征和所述安全特征确定所述数据资产 是否存在安全风 险； 如果是， 则获取所述数据资产对应的数据画像， 基于所述数据画像确定所述数据资产的 安全状态； 其中， 所述 安全状态为 安全或者 不安全； 处理模块， 用于若所述 安全状态为 不安全， 对所述数据资产进行 数据保护。 10.根据权利要求9所述的装置， 其特 征在于， 其中， 所述安全特征包括数据重要程度、 数据流通范围、 数据安全权限； 所述确定模块 基于所述数据特征和所述安全特征确定所述数据资产是否存在安全风险时具体用于： 基于 所述数据特征确定所述数据资产对应的操作事件信息； 基于所述数据特征确定所述数据资 产对应的流转节点信息； 基于所述数据特征确定所述数据资产对应的操作角色信息； 若所 述操作事件信息与所述数据重要程度不匹配、 所述流转节点信息与所述数据流通范围不匹 配、 所述操作角色信息与所述数据安全权限不匹配中的至少一个成立， 则确定所述数据资 产存在安全风险； 否则， 确定所述数据资产不存在安全风险； 其中， 所述确定模块还用于： 所述操作事件信 息包括操作事件类型， 若所述操作事件类 型为所述数据重要程度允许的操作事件类型， 则确定所述操作事件信息与所述数据重要程权　利　要　求　书 2/3 页 3 CN 115168888 A 3