本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種敏感數(shù)據(jù)的云防護(hù)方法、裝置及系統(tǒng)。

背景技術(shù)：

隨著Internet互聯(lián)網(wǎng)的不斷普及，網(wǎng)絡(luò)帶寬的增加，高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?，也為網(wǎng)絡(luò)攻擊創(chuàng)造了極為有利的條件。而利用網(wǎng)絡(luò)攻擊進(jìn)行惡意競(jìng)爭(zhēng)、敲詐勒索已經(jīng)形成了一條完善的黑客產(chǎn)業(yè)鏈。并且，發(fā)動(dòng)網(wǎng)絡(luò)攻擊成本極低，在網(wǎng)上可以輕松搜索到很多的網(wǎng)絡(luò)攻擊器，技術(shù)要求也越來越低。于此相反的是，專業(yè)防護(hù)網(wǎng)絡(luò)攻擊的價(jià)格十分昂貴，而且對(duì)于攻擊源的追查難度也極大，使得防護(hù)成本遠(yuǎn)遠(yuǎn)大于攻擊成本，導(dǎo)致網(wǎng)絡(luò)攻擊事件頻發(fā)，尤其是對(duì)DDos攻擊，現(xiàn)有單一的安全防護(hù)體系及被動(dòng)的策略難以有效應(yīng)對(duì)。對(duì)此，云防護(hù)的出現(xiàn)可以有效針對(duì)DDos攻擊的特點(diǎn)，通過整合已有的DDos防護(hù)資源形成強(qiáng)大的云防護(hù)系統(tǒng)。

然而，現(xiàn)有的云防護(hù)系統(tǒng)所進(jìn)行防護(hù)操作要基于本地的網(wǎng)絡(luò)數(shù)據(jù)，通過數(shù)據(jù)分析進(jìn)行具體的防護(hù)操作，因此，本地的網(wǎng)絡(luò)數(shù)據(jù)需要或部分需要上傳云端以供云端進(jìn)行數(shù)據(jù)分析。但是，對(duì)于部分特殊的用戶，其本地的數(shù)據(jù)屬于敏感數(shù)據(jù)，不方便上傳云端進(jìn)行數(shù)據(jù)分析，如涉及安全、財(cái)務(wù)的信息數(shù)據(jù)等，對(duì)此，現(xiàn)有的云防護(hù)系統(tǒng)的防護(hù)策略只能采用標(biāo)準(zhǔn)的防護(hù)方案，而缺少具有針對(duì)性的防護(hù)，導(dǎo)致防護(hù)效果不佳。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提供一種敏感數(shù)據(jù)的云防護(hù)方法、裝置及系統(tǒng)，主要目的在于兼顧敏感數(shù)據(jù)安全性的同時(shí)增強(qiáng)云防護(hù)的防護(hù)針對(duì)性，提高云防護(hù)的防護(hù)效果。

依據(jù)本發(fā)明的第一個(gè)方面，提出了一種敏感數(shù)據(jù)的云防護(hù)方法，該方法包括：

云端服務(wù)器接收本地設(shè)備發(fā)送的日志信息，所述日志信息是基于敏感數(shù)據(jù)得到的日志信息；

根據(jù)所述日志信息為所述本地設(shè)備配置防護(hù)策略；

將所述防護(hù)策略發(fā)送至所述本地設(shè)備，以便本地設(shè)備根據(jù)所述防護(hù)策略執(zhí)行安全防護(hù)操作。

依據(jù)本發(fā)明的第二個(gè)方面，提出了一種敏感數(shù)據(jù)的云防護(hù)方法，該方法包括：

本地設(shè)備向云端服務(wù)器上報(bào)本地的日志信息，以便所述云端服務(wù)器根據(jù)所述日志信息配置防護(hù)策略；

根據(jù)接收的所述防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)；

若所述訪問數(shù)據(jù)命中所述防護(hù)策略，則攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。

依據(jù)本發(fā)明的第三個(gè)方面，提出了一種敏感數(shù)據(jù)的云防護(hù)裝置，該裝置包括：

接收單元，用于接收本地設(shè)備發(fā)送的日志信息，所述日志信息是基于敏感數(shù)據(jù)得到的日志信息；

配置單元，用于根據(jù)所述接收單元接收的日志信息為所述本地設(shè)備配置防護(hù)策略；

發(fā)送單元，用于將所述配置單元配置的防護(hù)策略發(fā)送至所述本地設(shè)備，以便本地設(shè)備根據(jù)所述防護(hù)策略執(zhí)行安全防護(hù)操作。

依據(jù)本發(fā)明的第四個(gè)方面，提出了一種敏感數(shù)據(jù)的云防護(hù)裝置，該裝置包括：

發(fā)送單元，用于向云端服務(wù)器上報(bào)本地的日志信息，以便所述云端服務(wù)器根據(jù)所述日志信息配置防護(hù)策略；

接收單元，用于根據(jù)接收的所述防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)；

執(zhí)行單元，用于當(dāng)所述訪問數(shù)據(jù)命中所述接收單元接收的防護(hù)策略時(shí)，攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。

依據(jù)本發(fā)明的第五個(gè)方面，提出了一種敏感數(shù)據(jù)的云防護(hù)系統(tǒng)，該系統(tǒng)由含有上述第三個(gè)方面所提出的敏感數(shù)據(jù)的云防護(hù)裝置的云端服務(wù)器和含有上述第四個(gè)方面提出的敏感數(shù)據(jù)的云防護(hù)裝置的本地設(shè)備所組成；

其中，所述云端服務(wù)器用于，接收本地設(shè)備發(fā)送的日志信息，所述日志信息是基于敏感數(shù)據(jù)得到的日志信息，根據(jù)所述日志信息為所述本地設(shè)備配置防護(hù)策略，并將所述防護(hù)策略發(fā)送至所述本地設(shè)備；

所述本地設(shè)備用于，向云端服務(wù)器上報(bào)本地的日志信息，根據(jù)接收的防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)，若訪問數(shù)據(jù)命中所述防護(hù)策略，則攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。

本發(fā)明所采用的一種敏感數(shù)據(jù)的云防護(hù)方法、裝置及系統(tǒng)，是由云端服務(wù)器完成防護(hù)策略的制定，由本地設(shè)備進(jìn)行具體執(zhí)行防護(hù)操作，由于防護(hù)策策略的配置僅需要本地設(shè)備提供相關(guān)的日志統(tǒng)計(jì)數(shù)據(jù)，而不需要提供具體的本地?cái)?shù)據(jù)，因此，可以確保本地設(shè)備中敏感數(shù)據(jù)的安全性，同時(shí)，由于云端服務(wù)器能夠?qū)崟r(shí)地更新本地設(shè)備中的防護(hù)策略，使得本地設(shè)備能夠更有針對(duì)性的防護(hù)網(wǎng)絡(luò)攻擊，提高防護(hù)效果。

上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。

附圖說明

通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中：

圖1示出了本發(fā)明實(shí)施例提出的一種敏感數(shù)據(jù)的云防護(hù)方法流程圖；

圖2示出了本發(fā)明實(shí)施例提出的第二種敏感數(shù)據(jù)的云防護(hù)方法流程圖；

圖3示出了本發(fā)明實(shí)施例提出的第三種敏感數(shù)據(jù)的云防護(hù)方法流程圖；

圖4示出了本發(fā)明實(shí)施例提出的一種敏感數(shù)據(jù)的云防護(hù)裝置的組成框圖；

圖5示出了本發(fā)明實(shí)施例提出的第二種敏感數(shù)據(jù)的云防護(hù)裝置的組成框圖；

圖6示出了本發(fā)明實(shí)施例提出的第三種敏感數(shù)據(jù)的云防護(hù)裝置的組成框圖；

圖7示出了本發(fā)明實(shí)施例提出的第四種敏感數(shù)據(jù)的云防護(hù)裝置的組成框圖；

圖8示出了本發(fā)明實(shí)施例提出的一種敏感數(shù)據(jù)的云防護(hù)裝置的組成框圖。

具體實(shí)施方式

下面將參照附圖更詳細(xì)地描述本發(fā)明的示例性實(shí)施例。雖然附圖中顯示了本發(fā)明的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本發(fā)明而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本發(fā)明，并且能夠?qū)⒈景l(fā)明的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

本發(fā)明實(shí)施例提供了一種敏感數(shù)據(jù)的云防護(hù)方法，該方法應(yīng)用于云防護(hù)系統(tǒng)的云端服務(wù)器中，具體步驟如圖1所示，包括：

101、接收本地設(shè)備發(fā)送的日志信息。

本發(fā)明實(shí)施例中，云端服務(wù)器主要負(fù)責(zé)對(duì)日志信息的統(tǒng)計(jì)分析，而本地設(shè)備則是存儲(chǔ)有敏感數(shù)據(jù)終端設(shè)備，其中，敏感數(shù)據(jù)包括涉密數(shù)據(jù)、公共安全數(shù)據(jù)等，由于這些敏感數(shù)據(jù)只能再有限的范圍內(nèi)進(jìn)行保密傳播，因此，對(duì)于這些數(shù)據(jù)的網(wǎng)絡(luò)化應(yīng)用就需要特別的注意。在本發(fā)明實(shí)施例中的云端服務(wù)器一般會(huì)服務(wù)于同一網(wǎng)絡(luò)中的多個(gè)本地設(shè)備，這些本地設(shè)備之間允許私密數(shù)據(jù)的相互傳輸，而云端服務(wù)器只接收各個(gè)本地設(shè)備所發(fā)送的日志信息。

云端服務(wù)器在接收本地設(shè)備的日志信息時(shí)，由于本地設(shè)備一般為多臺(tái)，因此，在保存日志信息時(shí)，將根據(jù)對(duì)應(yīng)的本地設(shè)別進(jìn)行區(qū)別存儲(chǔ)，以此保證后續(xù)應(yīng)用日志信息時(shí)可根據(jù)不同的日志信息為所對(duì)應(yīng)的本地設(shè)備匹配防護(hù)策略。

102、根據(jù)日志信息為本地設(shè)備配置防護(hù)策略。

在配置防護(hù)策略時(shí)，云端服務(wù)器將根據(jù)對(duì)日志信息的分析優(yōu)化已有的防護(hù)策略，以生成新的防護(hù)策略。其中，主要的防護(hù)包括針對(duì)Ddos攻擊(Distributed Denial of service，分布式拒絕服務(wù))、CC攻擊(Challenge Collapsar，屬于DDoS攻擊的一種)，Web應(yīng)用攻擊等攻擊形式的防護(hù)策略。

在進(jìn)行防護(hù)策略配置時(shí)，云端服務(wù)器會(huì)根據(jù)不同本地設(shè)備提供的日志信息進(jìn)行差別化的配置，以使本地設(shè)備的防護(hù)效果達(dá)到最優(yōu)。

103、將防護(hù)策略發(fā)送至本地設(shè)備。

在得到防護(hù)策略后，根據(jù)日志對(duì)應(yīng)的本地設(shè)備，云端服務(wù)器將把對(duì)應(yīng)的防護(hù)策略發(fā)送至本地設(shè)備中。

通過上述本發(fā)明實(shí)施例提供的應(yīng)用在云端服務(wù)器中的一種敏感數(shù)據(jù)的云防護(hù)方法可見，云端服務(wù)器所執(zhí)行的僅為日志信息的分析以及防護(hù)策略的設(shè)置，而不參與防護(hù)操作的具體實(shí)施，因此，對(duì)于云端服務(wù)器而言，其任務(wù)壓力相對(duì)于現(xiàn)有的云端服務(wù)器就減輕了許多，據(jù)此，本發(fā)明實(shí)施例中的云端服務(wù)器所能夠服務(wù)的本地設(shè)備的數(shù)量就更多，對(duì)云端服務(wù)器自身的配置要求也會(huì)有所降低，從而降低配置云防護(hù)的成本。

對(duì)應(yīng)于云端服務(wù)器中所實(shí)現(xiàn)的云防護(hù)方法，其主要完成防護(hù)策略的配置，而對(duì)于云防護(hù)的主要操作則需要由本地設(shè)備來執(zhí)行，因此，針對(duì)本地設(shè)備的具體防護(hù)操作，本發(fā)明實(shí)施例還提供一種敏感數(shù)據(jù)的云防護(hù)方法，該方法中的本地設(shè)備可以是數(shù)據(jù)服務(wù)器，如網(wǎng)站服務(wù)器，也可以是數(shù)據(jù)中心中的服務(wù)器集群，在本發(fā)明實(shí)施例中的本地設(shè)備內(nèi)存儲(chǔ)有敏感數(shù)據(jù)，而這些敏感數(shù)據(jù)處于安全性的需要一般是不能夠上傳云端服務(wù)器的，因此，本地設(shè)備就需要在本地實(shí)現(xiàn)安全防護(hù)操作，同時(shí)，也需要通過云端進(jìn)行實(shí)時(shí)的防護(hù)策略更新，具體方法如圖2所示，包括：

201、向云端服務(wù)器上報(bào)本地的日志信息。

本地設(shè)備通過日志的方式記錄本地的各種操作，包括日常操作以及安全防護(hù)的操作。由于本地設(shè)備中的安全防護(hù)策略除了在用戶人為修改的情況下基本上是固定不變的，不能根據(jù)攻擊手段的變化進(jìn)行有效的策略調(diào)整，因此，本發(fā)明實(shí)施例中，需要將本地設(shè)備與云端服務(wù)器相結(jié)合，利用云端服務(wù)器所具有的數(shù)據(jù)更新能力來實(shí)時(shí)更新本地設(shè)備中的安全防護(hù)策略。

本地設(shè)備在上報(bào)本地的日志信息時(shí)，由于云端服務(wù)器所服務(wù)的設(shè)備眾多，因此，本地設(shè)備在上報(bào)日志信息時(shí)，需要對(duì)所上報(bào)日志標(biāo)注本地設(shè)備的標(biāo)簽以使云端服務(wù)器加以識(shí)別。

此外，對(duì)于上報(bào)日志信息的時(shí)機(jī)，本發(fā)明實(shí)施例不限定是實(shí)時(shí)上報(bào)或者是根據(jù)預(yù)定的時(shí)間間隔進(jìn)行上報(bào)。

202、根據(jù)接收的防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)。

本地設(shè)備在上報(bào)日志信息后，將接收到云端服務(wù)器根據(jù)所上報(bào)的日志信息對(duì)應(yīng)的安全防護(hù)策略，將該防護(hù)策略替換本地設(shè)備中原有的安全防護(hù)策略，并啟用該防護(hù)策略對(duì)本地的訪問數(shù)據(jù)進(jìn)行實(shí)時(shí)地檢測(cè)，以判斷訪問數(shù)據(jù)中是否存在網(wǎng)絡(luò)攻擊行為。其中，訪問數(shù)據(jù)主要是指針對(duì)本地設(shè)備的網(wǎng)絡(luò)訪問請(qǐng)求，通過檢測(cè)訪問請(qǐng)求中是否存在有防護(hù)策略中記載的網(wǎng)絡(luò)攻擊的特征來進(jìn)行判斷。該訪問數(shù)據(jù)也包括用戶訪問過程所傳輸?shù)木唧w數(shù)據(jù)。

本發(fā)明實(shí)施例中，防護(hù)策略中一般會(huì)包含有對(duì)防護(hù)多種網(wǎng)絡(luò)攻擊的策略，由于對(duì)不同的網(wǎng)絡(luò)攻擊的檢測(cè)方式不盡相同，因此，對(duì)具體的檢測(cè)方式也不做具體限定。

203、當(dāng)訪問數(shù)據(jù)命中防護(hù)策略時(shí)，攔截訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。

根據(jù)更新的防護(hù)策略進(jìn)行訪問數(shù)據(jù)的檢測(cè)，在訪問數(shù)據(jù)命中防護(hù)策略時(shí)，即檢測(cè)出訪問數(shù)據(jù)中含有網(wǎng)絡(luò)攻擊的特征，并根據(jù)防護(hù)策略確定該訪問數(shù)據(jù)屬于網(wǎng)絡(luò)攻擊，此時(shí)，本地設(shè)備將攔截該訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作，具體的，針對(duì)訪問請(qǐng)求本地設(shè)備將拒絕該訪問，對(duì)于數(shù)據(jù)傳輸操作本地設(shè)備將中斷該操作并將以接收的數(shù)據(jù)進(jìn)行刪除。

在攔截訪問操作的同時(shí)，本地設(shè)備將該攔截操作記錄在對(duì)應(yīng)的日志信息中。

針對(duì)上述本發(fā)明實(shí)施例提供的應(yīng)用在本地設(shè)備中的一種敏感數(shù)據(jù)的云防護(hù)方法可知，本地設(shè)備對(duì)于訪問數(shù)據(jù)的安全防護(hù)操作是在本地完成的，并且其與云端服務(wù)器的交互僅限于日志的上報(bào)以及對(duì)應(yīng)防護(hù)策略的接收的操作，而不需要將本地的敏感數(shù)據(jù)上報(bào)給云端服務(wù)器，因此，本地設(shè)備在應(yīng)對(duì)網(wǎng)絡(luò)訪問時(shí)，就避免了將敏感數(shù)據(jù)外泄的風(fēng)險(xiǎn)，提高了敏感數(shù)據(jù)的安全性。

上述兩個(gè)實(shí)施例分別從云端服務(wù)器以及本地設(shè)備兩端分別說明了對(duì)于敏感數(shù)據(jù)在網(wǎng)絡(luò)化應(yīng)用的場(chǎng)景下，如何確保敏感數(shù)據(jù)的網(wǎng)絡(luò)安全性的同時(shí)增加本地設(shè)備的安全防護(hù)能力。其中，云端服務(wù)器用于對(duì)日志信息的數(shù)據(jù)分析與統(tǒng)計(jì)，同時(shí)生成對(duì)應(yīng)的防護(hù)策略，而本地設(shè)備則用于向云端服務(wù)器體用日志信息，并根據(jù)防護(hù)策略對(duì)訪問數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)。通過兩端的相互配合實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)基于云端的防護(hù)效果。進(jìn)一步的，為了更加詳細(xì)的說明上述提供的敏感數(shù)據(jù)的云防護(hù)方法在實(shí)際應(yīng)用中的具體實(shí)現(xiàn)，特別是對(duì)云端服務(wù)器與本地設(shè)備間的交互以及具體的應(yīng)用場(chǎng)景，為此，本發(fā)明實(shí)施例還提供了一種敏感數(shù)據(jù)的云防護(hù)方法，該方法所應(yīng)用的場(chǎng)景是基于多個(gè)IDC(Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心)機(jī)房設(shè)置的云防護(hù)系統(tǒng)，其中，每個(gè)IDC機(jī)房中的服務(wù)器相當(dāng)于本地設(shè)備，而云端服務(wù)器則是設(shè)置在云端的控制中心，云端服務(wù)器為每個(gè)IDC機(jī)房配置對(duì)應(yīng)的防護(hù)策略，同時(shí)，對(duì)于多個(gè)IDC機(jī)房中的數(shù)據(jù)流向也可以由云端服務(wù)器通過實(shí)施的檢測(cè)來確定具體的策略，從而優(yōu)化用戶對(duì)IDC機(jī)房中數(shù)據(jù)的訪問。具體的步驟如圖3所示，包括：

301、本地設(shè)備向云端服務(wù)器上報(bào)本地的日志信息。

其中，本地設(shè)備對(duì)應(yīng)于IDC機(jī)房中的服務(wù)器，以下簡(jiǎn)稱為機(jī)房服務(wù)器。機(jī)房服務(wù)器將本地的所有操作以日志的形式加以記錄，并定時(shí)上報(bào)日志信息。定時(shí)上報(bào)的目的主要在于累計(jì)一定的日志信息數(shù)據(jù)，因?yàn)樵贫朔?wù)器在基于日志信息進(jìn)行分析時(shí)，數(shù)據(jù)量的大小決定了分析的準(zhǔn)確性，即數(shù)據(jù)量越大，對(duì)于該機(jī)房服務(wù)器的訪問數(shù)據(jù)的描述就越清晰，在分析時(shí)也就越能夠有針對(duì)性的配置對(duì)應(yīng)的防護(hù)策略。因此，本發(fā)明實(shí)施例優(yōu)選的是定時(shí)上報(bào)日志信息，而定時(shí)的具體時(shí)間間隔可根據(jù)實(shí)際的應(yīng)用場(chǎng)景進(jìn)行自由設(shè)定。

此外，與定時(shí)上報(bào)對(duì)應(yīng)的方式是實(shí)時(shí)上報(bào)，也就是日志信息不在本地進(jìn)行存儲(chǔ)，生成即上報(bào)至云端服務(wù)器，這種方式的好處是可以節(jié)省本地的存儲(chǔ)空間，但是對(duì)應(yīng)的問題是上報(bào)操作頻繁將占用一定的帶寬資源以及部分的處理資源，而對(duì)于云端服務(wù)器而言，實(shí)時(shí)接收日志信息對(duì)于分析則只能是基于日志信息增量的分析，即通過增加的日志與原有的日志進(jìn)行共同分析，得到防護(hù)策略，這種分析方式所得到的防護(hù)策略由于增加的日志數(shù)量較少，對(duì)最終得到的防護(hù)策略影響也較少，大多是在到達(dá)一定數(shù)量的后，所得到的防護(hù)策略才會(huì)發(fā)生變化，所以，對(duì)于實(shí)時(shí)上報(bào)日志信息的方式，機(jī)房服務(wù)器是實(shí)時(shí)上報(bào)，但是云端服務(wù)器則是在所計(jì)算的防護(hù)策略發(fā)生變化時(shí)才會(huì)反饋給機(jī)房服務(wù)器。

302、云端服務(wù)器根據(jù)日志信息為本地設(shè)備配置防護(hù)策略，并發(fā)送至本地設(shè)備。

其中，云端服務(wù)器在分析日志信息時(shí)，重點(diǎn)分析的是機(jī)房服務(wù)器中的用戶訪問日志，以及攔截訪問攻擊的日志，由云端服務(wù)器結(jié)合網(wǎng)絡(luò)大數(shù)據(jù)信息的內(nèi)容，針對(duì)日志的訪問數(shù)據(jù)計(jì)算生成防護(hù)策略，并將其發(fā)送至機(jī)房服務(wù)器中進(jìn)行應(yīng)用。

此外，云端服務(wù)器在配置防護(hù)策略的同時(shí)，對(duì)于同一網(wǎng)絡(luò)內(nèi)的多個(gè)IDC中的機(jī)房服務(wù)器還具有配置訪問策略的能力，也就是機(jī)房服務(wù)器在上報(bào)日志信息的同時(shí)，還將該服務(wù)器的資源信息一同上報(bào)給云端，其中的資源信息是指服務(wù)器自身的處理資源信息以及對(duì)應(yīng)的網(wǎng)絡(luò)資源信息，而非存儲(chǔ)的敏感數(shù)據(jù)信息。云端服務(wù)器根據(jù)資源信息為該機(jī)房服務(wù)器配置網(wǎng)絡(luò)訪問策略，該訪問策略用于機(jī)房服務(wù)器確定其是否允許用戶訪問或者是為訪問請(qǐng)求規(guī)劃訪問路徑，以路徑規(guī)劃的策略為例，設(shè)定兩個(gè)異地的IDC機(jī)房A和B，當(dāng)云端服務(wù)器根據(jù)A上報(bào)的資源信息分析得到其網(wǎng)絡(luò)訪問的入口出現(xiàn)故障而無(wú)法訪問時(shí)，云端服務(wù)器將修改對(duì)A的訪問路徑，修改為由B接收訪問請(qǐng)求并間接向A發(fā)起訪問。再例如，A和B是具有相同敏感數(shù)據(jù)的IDC機(jī)房服務(wù)器，A與B互為備份，當(dāng)云端服務(wù)器分析A和B的資源信息得到B當(dāng)前的處理資源已經(jīng)飽和時(shí)，云端服務(wù)器調(diào)整訪問策略，將訪問B的請(qǐng)求轉(zhuǎn)移到A中，由A進(jìn)行響應(yīng)。因此，云端服務(wù)器在向機(jī)房服務(wù)器發(fā)送防護(hù)策略時(shí)，可以先判斷是否存在需要更新的訪問策略，若存在則一同發(fā)送至機(jī)房服務(wù)器，反之亦然。

303、本地設(shè)備更新防護(hù)策略并對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)。

機(jī)房服務(wù)器在接收云端服務(wù)器反饋的防護(hù)策略后，需要將其替換現(xiàn)有的防護(hù)策略，對(duì)此，本發(fā)明實(shí)施例不限定是自動(dòng)更新或者是根據(jù)用戶的指示進(jìn)行更新。

對(duì)訪問數(shù)據(jù)的檢測(cè)具體可參見上述實(shí)施例中的步驟202中的內(nèi)容，本發(fā)明實(shí)施例不再贅述。

304、云端服務(wù)器制作防護(hù)操作報(bào)表。

本步驟是在機(jī)房服務(wù)器根據(jù)更新的防護(hù)策略執(zhí)行防護(hù)操作后，針對(duì)所執(zhí)行的結(jié)果進(jìn)行的匯總統(tǒng)計(jì)，以防護(hù)操作報(bào)表的形式加以展現(xiàn)。其中，云端服務(wù)器要制作該報(bào)表，就需要獲取對(duì)應(yīng)的操作數(shù)據(jù)，而對(duì)于機(jī)房服務(wù)器執(zhí)行的操作數(shù)據(jù)，上報(bào)云端的方式同樣是可以實(shí)時(shí)上報(bào)或者是先記錄在本地的日志中定時(shí)上報(bào)。對(duì)于實(shí)時(shí)上報(bào)方式，機(jī)房服務(wù)器將不保存該操作數(shù)據(jù)，以及對(duì)應(yīng)的日志，這些信息完全由云端服務(wù)器代理完成，因此，在執(zhí)行完成一個(gè)攔截操作時(shí)，機(jī)房服務(wù)器直接將該操作的執(zhí)行結(jié)果以及相關(guān)信息上報(bào)給云端服務(wù)器，同時(shí)將保存在本地種的執(zhí)行結(jié)果進(jìn)行刪除。對(duì)于日志定時(shí)上報(bào)的方式則與本發(fā)明實(shí)施例中的步驟301的內(nèi)容相同，具體可參見上文，此處不再贅述。

根據(jù)本發(fā)明實(shí)施例中對(duì)云端服務(wù)器以及機(jī)房服務(wù)器的說明可知，云端服務(wù)器負(fù)責(zé)安全防護(hù)的邏輯控制，而機(jī)房服務(wù)器則是安全防護(hù)的具體執(zhí)行主體。但是，對(duì)于一些特殊的情況，如在機(jī)房服務(wù)器遭遇大量攻擊導(dǎo)致本地不足以應(yīng)對(duì)這些網(wǎng)絡(luò)攻擊時(shí)，本發(fā)明實(shí)施例中提供一鍵模式切換的功能，即由云端服務(wù)器執(zhí)行具體的防護(hù)操作，具體的，由云端服務(wù)器對(duì)機(jī)房服務(wù)器進(jìn)行實(shí)時(shí)檢測(cè)，判斷當(dāng)前機(jī)房服務(wù)器對(duì)網(wǎng)絡(luò)攻擊的應(yīng)對(duì)能力，可通過判斷機(jī)房服務(wù)器攔截網(wǎng)絡(luò)攻擊的速率以及自身的處理資源進(jìn)行判斷，當(dāng)確定機(jī)房服務(wù)器自身的防護(hù)能力不足時(shí)，將獲取該機(jī)房服務(wù)器的防護(hù)操作權(quán)限，替代機(jī)房服務(wù)器執(zhí)行相應(yīng)的防護(hù)操作。此外，也可以是由機(jī)房服務(wù)器主動(dòng)發(fā)出模式切換的請(qǐng)求，當(dāng)云端服務(wù)器接收到該請(qǐng)求時(shí)，就直接獲取操作權(quán)限并執(zhí)行相應(yīng)的防護(hù)操作。

以上詳細(xì)說明了本發(fā)明實(shí)施例中基于云防護(hù)對(duì)敏感數(shù)據(jù)的具體防護(hù)操作，作為對(duì)應(yīng)實(shí)現(xiàn)上述方法的具體裝置，本發(fā)明實(shí)施例還提供了一種敏感數(shù)據(jù)的云防護(hù)裝置，該裝置應(yīng)用于云端服務(wù)器中，主要用于根據(jù)日志信息制定匹配的安全防護(hù)策略并下發(fā)給本地設(shè)備，具體如圖4所示，該裝置包括：

接收單元41，用于接收本地設(shè)備發(fā)送的日志信息，所述日志信息是基于敏感數(shù)據(jù)得到的日志信息；

配置單元42，用于根據(jù)所述接收單元41接收的日志信息為所述本地設(shè)備配置防護(hù)策略；

發(fā)送單元43，用于將所述配置單元42配置的防護(hù)策略發(fā)送至所述本地設(shè)備，以便本地設(shè)備根據(jù)所述防護(hù)策略執(zhí)行安全防護(hù)操作。

進(jìn)一步的，如圖5所示，所述裝置還包括：

獲取單元44，用于獲取所述本地設(shè)備執(zhí)行所述防護(hù)策略的執(zhí)行結(jié)果；

統(tǒng)計(jì)生成單元45，用于統(tǒng)計(jì)所述獲取單元44獲取的執(zhí)行結(jié)果并生成對(duì)應(yīng)所述防護(hù)策略的防護(hù)操作報(bào)表。

進(jìn)一步的，如圖5所示，所述裝置還包括：

檢測(cè)單元46，用于檢測(cè)所述本地設(shè)備的資源信息，所述資源信息包括處理資源信息和網(wǎng)絡(luò)資源信息；

所述配置單元42還用于，根據(jù)所述檢測(cè)單元46檢測(cè)的資源信息為所述本地設(shè)備配置訪問策略，所述訪問策略包括確定所述本地設(shè)備是否允許訪問以及訪問的路徑信息；

所述發(fā)送單元43還用于，將所述配置單元42配置的訪問策略發(fā)送至所述本地設(shè)備。

進(jìn)一步的，如圖5所示，所述裝置還包括：

執(zhí)行單元47，用于當(dāng)所述本地設(shè)備因受到網(wǎng)絡(luò)攻擊而無(wú)法在本地執(zhí)行安全防護(hù)操作時(shí)，獲取所述本地設(shè)備的安全防護(hù)操作權(quán)限，利用所述權(quán)限對(duì)所述本地設(shè)備執(zhí)行所述安全防護(hù)操作。

對(duì)應(yīng)于上述的應(yīng)用于云端服務(wù)器中的裝置實(shí)施例，本發(fā)明實(shí)施例還提供了一種敏感數(shù)據(jù)的云防護(hù)裝置，該裝置應(yīng)用于本地設(shè)備中，主要用于根據(jù)接收的安全防護(hù)策略執(zhí)行對(duì)應(yīng)的安全防護(hù)操作，具體如圖6所示，該裝置包括：

發(fā)送單元51，用于向云端服務(wù)器上報(bào)本地的日志信息，以便所述云端服務(wù)器根據(jù)所述日志信息配置防護(hù)策略；

接收單元52，用于根據(jù)接收的所述防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)；

執(zhí)行單元53，用于當(dāng)所述訪問數(shù)據(jù)命中所述接收單元52接收的防護(hù)策略時(shí)，攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。

進(jìn)一步的，如圖7所示，所述裝置還包括：

所述發(fā)送單元51還用于，在攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作之后，將攔截操作的結(jié)果上報(bào)所述云端服務(wù)器，以便云端服務(wù)器根據(jù)所述攔截操作統(tǒng)計(jì)防護(hù)操作報(bào)表；

獲取單元54，用于向所述云端服務(wù)器獲取所述防護(hù)操作報(bào)表；

刪除單元55，用于在所述發(fā)送單元51發(fā)送攔截操作的結(jié)果之后，刪除所述攔截操作的結(jié)果。

進(jìn)一步的，所述裝置的發(fā)送單元51還用于，向云端服務(wù)器發(fā)送本地的資源信息，所述資源信息包括處理資源信息和網(wǎng)絡(luò)資源信息，以便所述云端服務(wù)器根據(jù)所述資源信息配置對(duì)應(yīng)的訪問策略；

所述執(zhí)行單元53還用于，執(zhí)行所述云端服務(wù)器發(fā)送的訪問策略，所述訪問策略包括確定所述本地設(shè)備是否允許訪問以及訪問的路徑信息。

此外，本發(fā)明實(shí)施例還提供了一種敏感數(shù)據(jù)的云防護(hù)系統(tǒng)，如圖8所示，該系統(tǒng)由云端服務(wù)器81和本地設(shè)備82所組成，其中，遠(yuǎn)端服務(wù)器和本地設(shè)備中分別應(yīng)用了上述實(shí)施例中介紹的對(duì)應(yīng)的敏感數(shù)據(jù)的云防護(hù)裝置。

云端服務(wù)器81用于，接收本地設(shè)備82發(fā)送的日志信息，所述日志信息是基于敏感數(shù)據(jù)得到的日志信息，根據(jù)所述日志信息為所述本地設(shè)備配置防護(hù)策略，并將所述防護(hù)策略發(fā)送至所述本地設(shè)備；

本地設(shè)備82用于，向云端服務(wù)器81上報(bào)本地的日志信息，根據(jù)接收的防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)，若訪問數(shù)據(jù)命中所述防護(hù)策略，則攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。

綜上所述，本發(fā)明實(shí)施例所提供的一種敏感數(shù)據(jù)的云防護(hù)方法、裝置及系統(tǒng)，是通過在云端為本地設(shè)備配置相應(yīng)的防護(hù)策略后，由本地設(shè)備根據(jù)該防護(hù)策略自行執(zhí)行具體的防護(hù)操作，這樣可以避免本地設(shè)備將敏感數(shù)據(jù)上傳云端導(dǎo)致的數(shù)據(jù)外泄的風(fēng)險(xiǎn)，而通過云端服務(wù)器來配置防護(hù)策略可以充分利用云的大數(shù)據(jù)分析的能力有效提高防護(hù)的效率，特別是針對(duì)本地上傳的日志信息進(jìn)行有針對(duì)性的策略分析更能提高防護(hù)的針對(duì)性。同時(shí)，由于云的加入還可以實(shí)現(xiàn)多個(gè)本地設(shè)備之間的數(shù)據(jù)流向控制，訪問路徑的優(yōu)化等一系列優(yōu)化操作，從而提高本地的數(shù)據(jù)處理能力，而在本地設(shè)備的防護(hù)能力無(wú)法有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊時(shí)，云端服務(wù)器同樣可以通過模式切換的方式實(shí)現(xiàn)對(duì)本地設(shè)備的防護(hù)操作的控制。以此，本發(fā)明實(shí)施例通過多維度的設(shè)置有效地增強(qiáng)了存儲(chǔ)有敏感數(shù)據(jù)設(shè)備的網(wǎng)絡(luò)防護(hù)能力以及多設(shè)備的數(shù)據(jù)協(xié)調(diào)能力。

在上述實(shí)施例中，對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重，某個(gè)實(shí)施例中沒有詳述的部分，可以參見其他實(shí)施例的相關(guān)描述。

可以理解的是，上述云端服務(wù)器及裝置中的相關(guān)特征可以相互參考。另外，上述實(shí)施例中的“第一”、“第二”等是用于區(qū)分各實(shí)施例，而并不代表各實(shí)施例的優(yōu)劣。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡(jiǎn)潔，上述描述的系統(tǒng)，裝置和單元的具體工作過程，可以參考前述云端服務(wù)器實(shí)施例中的對(duì)應(yīng)過程，在此不再贅述。

在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白，可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。

在此處所提供的說明書中，說明了大量具體細(xì)節(jié)。然而，能夠理解，本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中，并未詳細(xì)示出公知的云端服務(wù)器、結(jié)構(gòu)和技術(shù)，以便不模糊對(duì)本說明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡(jiǎn)本發(fā)明并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而，并不應(yīng)將該公開的云端服務(wù)器解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?？梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件，以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對(duì)本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何云端服務(wù)器或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。

本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的發(fā)明名稱(如確定網(wǎng)站內(nèi)連接等級(jí)的裝置)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的云端服務(wù)器的一部分或者全部的設(shè)備或者裝置程序(例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上，或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號(hào)上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說明而不是對(duì)本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中，不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。

本發(fā)明實(shí)施例還公開了如下方案：

A1、一種敏感數(shù)據(jù)的云防護(hù)方法，所述方法包括：

云端服務(wù)器接收本地設(shè)備發(fā)送的日志信息，所述日志信息是基于敏感數(shù)據(jù)得到的日志信息；

根據(jù)所述日志信息為所述本地設(shè)備配置防護(hù)策略；

將所述防護(hù)策略發(fā)送至所述本地設(shè)備，以便本地設(shè)備根據(jù)所述防護(hù)策略執(zhí)行安全防護(hù)操作。

A2、根據(jù)A1所述的方法，所述方法還包括：

獲取所述本地設(shè)備執(zhí)行所述防護(hù)策略的執(zhí)行結(jié)果；

統(tǒng)計(jì)所述執(zhí)行結(jié)果并生成對(duì)應(yīng)所述防護(hù)策略的防護(hù)操作報(bào)表。

A3、根據(jù)A1或A2所述的方法，所述方法還包括：

檢測(cè)所述本地設(shè)備的資源信息，所述資源信息包括處理資源信息和網(wǎng)絡(luò)資源信息；

根據(jù)所述資源信息為所述本地設(shè)備配置訪問策略，所述訪問策略包括確定所述本地設(shè)備是否允許訪問以及訪問的路徑信息；

將所述訪問策略發(fā)送至所述本地設(shè)備。

A4、根據(jù)A1所述的方法，所述方法還包括：

當(dāng)所述本地設(shè)備因受到網(wǎng)絡(luò)攻擊而無(wú)法在本地執(zhí)行安全防護(hù)操作時(shí)，獲取所述本地設(shè)備的安全防護(hù)操作權(quán)限，由所述云端服務(wù)器執(zhí)行所述安全防護(hù)操作。

B5、一種敏感數(shù)據(jù)的云防護(hù)方法，所述方法包括：

本地設(shè)備向云端服務(wù)器上報(bào)本地的日志信息，以便所述云端服務(wù)器根據(jù)所述日志信息配置防護(hù)策略；

根據(jù)接收的所述防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)；

若所述訪問數(shù)據(jù)命中所述防護(hù)策略，則攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。

B6、根據(jù)B5所述的方法，在攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作之后，所述方法還包括：

將攔截操作的結(jié)果上報(bào)所述云端服務(wù)器，以便云端服務(wù)器根據(jù)所述攔截操作統(tǒng)計(jì)防護(hù)操作報(bào)表；

獲取所述防護(hù)操作報(bào)表；

刪除所述攔截操作的結(jié)果。

B7、根據(jù)B5或B6所述的方法，所述方法還包括：

向云端服務(wù)器發(fā)送本地的資源信息，所述資源信息包括處理資源信息和網(wǎng)絡(luò)資源信息，以便所述云端服務(wù)器根據(jù)所述資源信息配置對(duì)應(yīng)的訪問策略；

執(zhí)行所述云端服務(wù)器發(fā)送的訪問策略，所述訪問策略包括確定所述本地設(shè)備是否允許訪問以及訪問的路徑信息。

C8、一種敏感數(shù)據(jù)的云防護(hù)裝置，所述裝置包括：

接收單元，用于接收本地設(shè)備發(fā)送的日志信息，所述日志信息是基于敏感數(shù)據(jù)得到的日志信息；

配置單元，用于根據(jù)所述接收單元接收的日志信息為所述本地設(shè)備配置防護(hù)策略；

發(fā)送單元，用于將所述配置單元配置的防護(hù)策略發(fā)送至所述本地設(shè)備，以便本地設(shè)備根據(jù)所述防護(hù)策略執(zhí)行安全防護(hù)操作。

C9、根據(jù)C8所述的裝置，所述裝置還包括：

獲取單元，用于獲取所述本地設(shè)備執(zhí)行所述防護(hù)策略的執(zhí)行結(jié)果；

統(tǒng)計(jì)生成單元，用于統(tǒng)計(jì)所述獲取單元獲取的執(zhí)行結(jié)果并生成對(duì)應(yīng)所述防護(hù)策略的防護(hù)操作報(bào)表。

C10、根據(jù)C8或C9所述的裝置，所述裝置還包括：

檢測(cè)單元，用于檢測(cè)所述本地設(shè)備的資源信息，所述資源信息包括處理資源信息和網(wǎng)絡(luò)資源信息；

所述配置單元還用于，根據(jù)所述檢測(cè)單元檢測(cè)的資源信息為所述本地設(shè)備配置訪問策略，所述訪問策略包括確定所述本地設(shè)備是否允許訪問以及訪問的路徑信息；

所述發(fā)送單元還用于，將所述配置單元配置的訪問策略發(fā)送至所述本地設(shè)備。

C11、根據(jù)C8所述的裝置，所述裝置還包括：

執(zhí)行單元，用于當(dāng)所述本地設(shè)備因受到網(wǎng)絡(luò)攻擊而無(wú)法在本地執(zhí)行安全防護(hù)操作時(shí)，獲取所述本地設(shè)備的安全防護(hù)操作權(quán)限，利用所述權(quán)限對(duì)所述本地設(shè)備執(zhí)行所述安全防護(hù)操作。

D12、一種敏感數(shù)據(jù)的云防護(hù)裝置，所述裝置包括：

發(fā)送單元，用于向云端服務(wù)器上報(bào)本地的日志信息，以便所述云端服務(wù)器根據(jù)所述日志信息配置防護(hù)策略；

接收單元，用于根據(jù)接收的所述防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)；

執(zhí)行單元，用于當(dāng)所述訪問數(shù)據(jù)命中所述接收單元接收的防護(hù)策略時(shí)，攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。

D13、根據(jù)D12所述的裝置，所述裝置還包括：

所述發(fā)送單元還用于，在攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作之后，將攔截操作的結(jié)果上報(bào)所述云端服務(wù)器，以便云端服務(wù)器根據(jù)所述攔截操作統(tǒng)計(jì)防護(hù)操作報(bào)表；

獲取單元，用于向所述云端服務(wù)器獲取所述防護(hù)操作報(bào)表；

刪除單元，用于在所述發(fā)送單元發(fā)送攔截操作的結(jié)果之后，刪除所述攔截操作的結(jié)果。

D14、根據(jù)D12或D13所述的裝置，所述裝置還包括：

所述發(fā)送單元還用于，向云端服務(wù)器發(fā)送本地的資源信息，所述資源信息包括處理資源信息和網(wǎng)絡(luò)資源信息，以便所述云端服務(wù)器根據(jù)所述資源信息配置對(duì)應(yīng)的訪問策略；

所述執(zhí)行單元還用于，執(zhí)行所述云端服務(wù)器發(fā)送的訪問策略，所述訪問策略包括確定所述本地設(shè)備是否允許訪問以及訪問的路徑信息。

E15、一種敏感數(shù)據(jù)的云防護(hù)系統(tǒng)，所述系統(tǒng)由含有如C8-C11中任一項(xiàng)所述的敏感數(shù)據(jù)的云防護(hù)裝置的云端服務(wù)器和含有如D12-D14中任一項(xiàng)所述的敏感數(shù)據(jù)的云防護(hù)裝置的本地設(shè)備組成；

其中，所述云端服務(wù)器用于，接收本地設(shè)備發(fā)送的日志信息，所述日志信息是基于敏感數(shù)據(jù)得到的日志信息，根據(jù)所述日志信息為所述本地設(shè)備配置防護(hù)策略，并將所述防護(hù)策略發(fā)送至所述本地設(shè)備；

所述本地設(shè)備用于，向云端服務(wù)器上報(bào)本地的日志信息，根據(jù)接收的防護(hù)策略，對(duì)本地的訪問數(shù)據(jù)進(jìn)行檢測(cè)，若訪問數(shù)據(jù)命中所述防護(hù)策略，則攔截所述訪問數(shù)據(jù)對(duì)應(yīng)的訪問操作。