敏感数据的处理方法及处理装置、电子设备、存储介质与流程

1.本发明涉及信息安全技术领域，具体而言，涉及一种敏感数据的处理方法及处理装置、电子设备、存储介质。

背景技术：

2.随着互联网的不断发展，产生了大量的信息数据，例如，关联出行的数据、金融机构账号数据、应用账号数据、即时聊天数据等。伴随着公众对于社会信息安全意识的提升以及审计机构对于数据安全的关注，为保护公民的数据信息安全，网络需要对产生的部分个人信息数据、商业数据等进行保密。
3.而相关技术中，对于信息敏感数据的处理方式，往往是使用应用权限或者应用设置来屏蔽一些客户的访问，无法有效存量系统中涉及到客户的敏感信息进行屏蔽处理，容易导致客户信息发生泄露。
4.针对上述的问题，目前尚未提出有效的解决方案。

技术实现要素：

5.本发明实施例提供了一种敏感数据的处理方法及处理装置、电子设备、存储介质，以至少解决相关技术中无法对客户的敏感信息进行有效屏蔽处理，容易导致客户信息发生泄露的技术问题。
6.根据本发明实施例的一个方面，提供了一种敏感数据的处理方法，包括：获取涉及敏感信息的日志所对应的目标应用程序，其中，所述日志包含目标应用的存量服务接口对所述目标应用的运行过程记录的字段数据，所述目标应用对应有n个应用程序，n为大于等于1的正整数；将数据屏蔽策略加载至所述目标应用程序中，并采用所述数据屏蔽策略对所述日志中涉及指定敏感字段的目标数据进行屏蔽处理。
7.可选地，获取涉及敏感信息的日志所对应的目标应用程序的步骤，包括：获取敏感字段集合，其中，所述敏感字段集合中包含有m个敏感字段，m为大于等于1的正整数；读取所述n个应用程序中需要进行日志打印的程序，得到初始程序筛选集合；分析所述初始程序筛选集合中涉及所述敏感字段的日志对应的应用程序，得到所述目标应用程序。
8.可选地，获取敏感字段集合的步骤，包括：读取所述目标应用的每个存量服务接口上送的敏感字段，得到读取结果；对所述读取结果进行预处理，其中，所述预处理的策略包括下述至少之一：去重、字段归一化、字段过滤；将预处理后的所述读取结果中的敏感字段进行归集，得到所述敏感字段集合。
9.可选地，采用所述数据屏蔽策略对所述日志中涉及指定敏感字段的目标数据进行屏蔽处理的步骤，包括：在日志屏蔽脱敏开关开启后，将所述敏感字段集合中关联完全屏蔽的敏感字段赋值给第一参数，将关联部分屏蔽的敏感字段赋值给第二参数；采用预设注解策略，获取所述第一参数和所述第二参数；采用所述数据屏蔽策略对所述日志中涉及所述第一参数和所述第二参数的目标数据进行屏蔽处理。
10.可选地，所述数据屏蔽策略至少包括屏蔽策略一，所述屏蔽策略一包括：遍历所述日志中的json类型数据，得到遍历结果，其中，所述遍历结果中至少包括：多个键值对，每个所述键值对包括：关键字以及对应的键值；对于所述遍历结果中以第一符号开头的键值，确认所述json类型数据中内嵌有数组，并将以所述第一符号开头的数组转换为指定类型数组，调用屏蔽策略二处理转换后的数组；对于所述遍历结果中以第二符号开头的键值，确认所述json类型数据为第一类数据，并递归调用屏蔽策略一处理以所述第二符号开头的第一类数据；对于所述遍历结果中不是所述第一符号和所述第二符号的键值，将与所述键值对应的关键字的字号降低；对于存在所述第一参数或者所述第二参数的关键字，对所述关键字以及对应的所述键值进行屏蔽操作。
11.可选地，所述数据屏蔽策略至少包括屏蔽策略二，所述屏蔽策略二包括：获取所述日志中的指定类型数组；对于所述指定类型数组中的json对象，调用屏蔽策略一对所述json对象中存在所述第一参数或者所述第二参数的数值进行屏蔽操作；将所述指定类型数组中的数组下标和被屏蔽的数值迁移至新的数组对象中。
12.可选地，所述数据屏蔽策略至少包括屏蔽策略三，所述屏蔽策略三包括：获取所述日志中出现map数据的至少一个关键词；获取与每个所述关键词对应的键值，其中，所述键值的类型至少包括：字符串类型、map类型；在所述键值的类型为所述字符串类型的情况下，对存在所述第一参数或者所述第二参数的所述键值进行屏蔽操作；在所述键值的类型为所述map类型的情况下，递归调用所述屏蔽策略三以对存在所述第一参数或者所述第二参数的所述键值进行屏蔽操作。
13.根据本发明实施例的另一方面，还提供了一种敏感数据的处理装置，包括：获取单元，用于获取涉及敏感信息的日志所对应的目标应用程序，其中，所述日志包含目标应用的存量服务接口对所述目标应用的运行过程记录的字段数据，所述目标应用对应有n个应用程序，n为大于等于1的正整数；屏蔽单元，用于将数据屏蔽策略加载至所述目标应用程序中，并采用所述数据屏蔽策略对所述日志中涉及指定敏感字段的目标数据进行屏蔽处理。
14.可选地，所述获取单元包括：第一获取模块，用于获取敏感字段集合，其中，所述敏感字段集合中包含有m个敏感字段，m为大于等于1的正整数；第一读取模块，用于读取所述n个应用程序中需要进行日志打印的程序，得到初始程序筛选集合；第一分析模块，用于分析所述初始程序筛选集合中涉及所述敏感字段的日志对应的应用程序，得到所述目标应用程序。
15.可选地，所述第一获取模块包括：第一读取子模块，用于读取所述目标应用的每个存量服务接口上送的敏感字段，得到读取结果；预处理子模块，用于对所述读取结果进行预处理，其中，所述预处理的策略包括下述至少之一：去重、字段归一化、字段过滤；归集子模块，用于将预处理后的所述读取结果中的敏感字段进行归集，得到所述敏感字段集合。
16.可选地，所述屏蔽单元包括：赋值模块，用于在日志屏蔽脱敏开关开启后，将所述敏感字段集合中关联完全屏蔽的敏感字段赋值给第一参数，将关联部分屏蔽的敏感字段赋值给第二参数；第二获取模块，用于采用预设注解策略，获取所述第一参数和所述第二参数；屏蔽模块，用于采用所述数据屏蔽策略对所述日志中涉及所述第一参数和所述第二参数的目标数据进行屏蔽处理。
17.可选地，所述数据屏蔽策略至少包括屏蔽策略一，所述屏蔽策略一包括：遍历所述
日志中的json类型数据，得到遍历结果，其中，所述遍历结果中至少包括：多个键值对，每个所述键值对包括：关键字以及对应的键值；对于所述遍历结果中以第一符号开头的键值，确认所述json类型数据中内嵌有数组，并将以所述第一符号开头的数组转换为指定类型数组，调用屏蔽策略二处理转换后的数组；对于所述遍历结果中以第二符号开头的键值，确认所述json类型数据为第一类数据，并递归调用屏蔽策略一处理以所述第二符号开头的第一类数据；对于所述遍历结果中不是所述第一符号和所述第二符号的键值，将与所述键值对应的关键字的字号降低；对于存在所述第一参数或者所述第二参数的关键字，对所述关键字以及对应的所述键值进行屏蔽操作。
18.可选地，所述数据屏蔽策略至少包括屏蔽策略二，所述屏蔽策略二包括：获取所述日志中的指定类型数组；对于所述指定类型数组中的json对象，调用屏蔽策略一对所述json对象中存在所述第一参数或者所述第二参数的数值进行屏蔽操作；将所述指定类型数组中的数组下标和被屏蔽的数值迁移至新的数组对象中。
19.可选地，所述数据屏蔽策略至少包括屏蔽策略三，所述屏蔽策略三包括：获取所述日志中出现map数据的至少一个关键词；获取与每个所述关键词对应的键值，其中，所述键值的类型至少包括：字符串类型、map类型；在所述键值的类型为所述字符串类型的情况下，对存在所述第一参数或者所述第二参数的所述键值进行屏蔽操作；在所述键值的类型为所述map类型的情况下，递归调用所述屏蔽策略三以对存在所述第一参数或者所述第二参数的所述键值进行屏蔽操作。
20.根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任意一项所述的敏感数据的处理方法。
21.根据本发明实施例的另一方面，还提供了一种电子设备，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述任意一项所述的敏感数据的处理方法。
22.本公开中，在获取涉及敏感信息的日志所对应的目标应用程序之后，将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理，其中，日志包含目标应用的存量服务接口对目标应用的运行过程记录的字段数据，目标应用对应有n个应用程序，n为大于等于1的正整数。
23.本公开中，可以通过预先设置的数据屏蔽策略(包含待屏蔽的字段信息)对日志中涉及指定敏感字段的目标数据进行屏蔽处理，保证打印应用日志的过程中降低敏感信息暴露的可能性，保障数据安全，从而解决相关技术中无法对客户的敏感信息进行有效屏蔽处理，容易导致客户信息发生泄露的技术问题。
24.本公开中，基于配置中心的敏感数据屏蔽方法，保证打印应用日志的过程中降低敏感信息暴露的可能性，保障数据安全，可以灵活配置数据屏蔽方式，如后续有新增字段需要进行屏蔽，可以新增到配置中心进行配置。
附图说明
25.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发
明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
26.图1是根据本发明实施例的一种可选的敏感数据的处理方法的流程图；
27.图2是根据本发明实施例的一种可选的获取敏感字段集合的示意图；
28.图3是根据本发明实施例的一种可选的敏感数据的处理装置的示意图；
29.图4是根据本发明实施例的一种敏感数据的处理方法的电子设备(或移动设备)的硬件结构框图。
具体实施方式
30.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
31.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
32.需要说明的是，本公开中的敏感数据的处理方法方法及装置可用于信息安全领域在对敏感信息进行屏蔽的情况下，也可用于除信息安全领域之外的任意领域在对敏感信息进行屏蔽的情况下，本公开中对敏感数据的处理方法及装置的应用领域不做限定。
33.需要说明的是，本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。例如，本系统和相关用户或机构间设置有接口，在获取相关信息之前，需要通过接口向前述的用户或机构发送获取请求，并在接收到前述的用户或机构反馈的同意信息后，获取相关信息。
34.本发明可以应用于各种数据处理系统、应用程序、敏感信息处理装置/产品/系统中(例如，各种移动终端、pc端、聊天软件、购物软件中)，基于配置中心的敏感数据屏蔽方法，保证打印应用日志的过程中降低敏感信息暴露的可能性，保障数据安全，可以灵活配置数据屏蔽方式，如后续有新增字段需要进行屏蔽，可以新增到配置中心进行配置。
35.下面结合各个实施例对本发明进行详细说明。
36.实施例一
37.根据本发明实施例，提供了一种敏感数据的处理方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
38.图1是根据本发明实施例的一种可选的敏感数据的处理方法的流程图，如图1所
示，该方法包括如下步骤：
39.步骤s101，获取涉及敏感信息的日志所对应的目标应用程序，其中，日志包含目标应用的存量服务接口对目标应用的运行过程记录的字段数据，目标应用对应有n个应用程序，n为大于等于1的正整数；
40.步骤s102，将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理。
41.通过上述步骤，可以在获取涉及敏感信息的日志所对应的目标应用程序之后，将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理，其中，日志包含目标应用的存量服务接口对目标应用的运行过程记录的字段数据，目标应用对应有n个应用程序，n为大于等于1的正整数。在该实施例中，可以通过预先设置的数据屏蔽策略(包含待屏蔽的字段信息)对日志中涉及指定敏感字段的目标数据进行屏蔽处理，保证打印应用日志的过程中降低敏感信息暴露的可能性，保障数据安全，从而解决相关技术中无法对客户的敏感信息进行有效屏蔽处理，容易导致客户信息发生泄露的技术问题。
42.本实施例中的敏感数据的处理方法可以是指由配置中心进行屏蔽参数配置后使用的敏感数据屏蔽方法，提供一种基于配置中心的敏感数据屏蔽方法。
43.下面先说明配置中心所配置的参数，本实施例中对于配置的参数的数量不做限定，由屏蔽形式判定需要提供的参数数量。本实施例中涉及两种屏蔽方式，因此，以设置三个参数进行示意说明。
44.配置中心配置三个参数(参数不限于三个，可以多个，主要看屏蔽形式进行判定，本实施例涉及两种屏蔽方式，设置3个参数)，日志屏蔽脱敏开关a；分别为需要完全屏蔽的信息字段b，部分屏蔽信息字段c，具体说明如下：
45.1、日志屏蔽脱敏开关a：数据字典为：0不进行日志脱敏，1进行日志脱敏；主要是判断是否进行日志脱敏，作应急使用，在实际使用过程中可设置开关为1进行脱敏，如果使用后发现日志脱密有问题，则将日志脱敏开关设置为0。
46.2、完全屏蔽的信息字段b：将需要进行完全屏蔽处理的字段登记到参数b中(下面以第一参数进行示意说明)，在日志打印时将进行完全屏蔽，比如客户密码会屏蔽后显示为*******。
47.3、部分屏蔽信息字段c：将需要进行部分屏蔽的字段登记到参数c中(下面以第二参数进行示意说明)，在日志打印时，将进行部分屏蔽，比如客户卡号会显示为：6200******8888。
48.在设置好对应的屏蔽字段、脱敏开关字段以及将字段登记到对应的参数下后，结合实时数据脱敏场景进行详细说明。
49.下面结合上述各实施步骤来详细说明本发明。
50.步骤s101，获取涉及敏感信息的日志所对应的目标应用程序，其中，日志包含目标应用的存量服务接口对目标应用的运行过程记录的字段数据，目标应用对应有n个应用程序，n为大于等于1的正整数。
51.可选的，步骤s102包括：获取敏感字段集合，其中，敏感字段集合中包含有m个敏感字段，m为大于等于1的正整数；读取n个应用程序中需要进行日志打印的程序，得到初始程
序筛选集合；分析初始程序筛选集合中涉及敏感字段的日志对应的应用程序，得到目标应用程序。
52.在采集涉及敏感信息的日志所对应的目标应用，是指本实施例中主要是对各应用中进行日志打印的公共程序进行整理，确认哪些应用程序需要对报文信息进行打印，由于进行报文打印的日志都涉及到需要对敏感信息进行处理，需要对日志中的敏感数据进行屏蔽处理，因此，需要先定位哪些应用程序产生的日志涉及到敏感信息。
53.由于打印日志的类型较多，例如，交易日志、系统日志等，需要查看敏感信息存在于哪些公共应用程序中，在涉及到敏感信息的应用程序添加数据屏蔽策略(或者，日志处理策略/日志处理程序)。
54.在为涉及到敏感信息的应用程序添加数据屏蔽策略之前，需要先查询到哪些应用程序产生的日志涉及到敏感信息，而为了查询到敏感信息，需要先确定敏感字段集合，通过敏感字段集合，标识敏感数据。
55.图2是根据本发明实施例的一种可选的获取敏感字段集合的示意图，如图2所示，获取敏感字段集合的步骤，包括：
56.步骤s201，读取目标应用的每个存量服务接口上送的敏感字段，得到读取结果。
57.其中，每个目标应用程序都会包含至少一个存量服务接口，通过存量服务接口上送敏感字段，可以得到敏感字段总集合。
58.步骤s202，对读取结果进行预处理，其中，预处理的策略包括下述至少之一：去重、字段归一化、字段过滤。
59.其中，去重处理是指对多个存量服务接口上送敏感字段总集合中出现重复的敏感字段进行去重，得到单一字段；而字段归一化是指对可能多个敏感字段表示同一含义的字段进行归一，将这些同一含义的字段统一到某一个字段下；字段过滤是指对无效字段，例如，无对应的敏感数据、无名称、无标识的字段进行过滤。
60.步骤s203，将预处理后的读取结果中的敏感字段进行归集，得到敏感字段集合。
61.本实施例中，在获取敏感字段集合时，会对所有的已知应用进行服务梳理，对所有应用存量服务接口进行梳理(每一个存量服务接口都有上送字段)，将涉及到敏感数据得的字段进行梳理，并分门别类进行归集，并将“完全屏蔽”、“部分屏蔽”、得的字段分别赋值给第一参数和第二参数(对应于上述的参数b和c)，保存存量服务与各种字段表格，以及是否屏蔽的陈列项。
62.在定位到涉及敏感信息的日志所对应的所有应用程序后，即可以在这些应用程序中添加数据屏蔽策略(或者，日志处理策略/日志处理程序)。
63.步骤s102，将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理。
64.可选的，采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理的步骤，包括：在日志屏蔽脱敏开关开启后，将敏感字段集合中关联完全屏蔽的敏感字段赋值给第一参数，将关联部分屏蔽的敏感字段赋值给第二参数；采用预设注解策略，获取第一参数和第二参数；采用数据屏蔽策略对日志中涉及第一参数和第二参数的目标数据进行屏蔽处理。
65.上述的预设注解策略，可以理解为加载变量的含义，通过注解策略能够获取到预
先配置的第一参数和第二参数。
66.本实施例中的数据格式采用json格式，json格式是一种轻量级的数据交换格式，非常容易阅读和编写，也非常容易生成和解析。不需要protobuf、thrift通过编写idl描述文件定义消息内容的格式实现与内存中的数据结构之间的转换，可以直接和内存中的数据结构相互转换，相比于xml体积更小，传输效率更高。下面对json类型数据下中的几种数据分别进行屏蔽处理说明。
67.可选的，数据屏蔽策略至少包括屏蔽策略一，屏蔽策略一包括：遍历日志中的json类型数据，得到遍历结果，其中，遍历结果中至少包括：多个键值对，每个键值对包括：关键字以及对应的键值；对于遍历结果中以第一符号开头的键值，确认json类型数据中内嵌有数组，并将以第一符号开头的数组转换为指定类型数组，调用屏蔽策略二处理转换后的数组；对于遍历结果中以第二符号开头的键值，确认json类型数据为第一类数据，并递归调用屏蔽策略一处理以第二符号开头的第一类数据；对于遍历结果中不是第一符号和第二符号的键值，将与键值对应的关键字的字号降低；对于存在第一参数或者第二参数的关键字，对关键字以及对应的键值进行屏蔽操作。
68.本实施例中，通过设置对json数据处理的策略method1(即上述的屏蔽策略一)，需要上送json类型数据作为参数，如果参数传入为空，则直接返回null；循环遍历json串中的key值，并获取key值所对应的value值(即获取键值对，key指示关键字，value指示键值)。
69.本实施例中对于数据中的第一符号和第二符号的类型不做限定，例如，"["、"{"、"！"、"％"、"&"等，本实施例中，以"["作为第一符号，以"{"为第二符号进行示意说明。在获取到键值对后，如果value值不为空，则判断value是否以”[”开头，如果是，说明json类型数据中内嵌有数组，需要将数组转化为指定类型数组，本实施例中以“jsonarray”作为该指定类型数组进行示意说明，在将json类型数据中内嵌的数组转换为jsonarray后，调用策略method2(即上述的屏蔽策略二)进行处理并返回，即调用屏蔽策略二将jsonarray传入获得屏蔽的son数组，将其作为value返回。
[0070]
如果value值以"{"开头，说明value是一个json数据，需要递归调用策略method1进行数据处理并返回，即获取key对应的json对象并作为参数传入method1，将转化后的json对象作为新值返回。
[0071]
如果value值不是上述两种情况，则将key值变为小写(将与键值对应的关键字的字号降低)，并判断key是否在第一参数b或者第二参数c中，如果在的话就对进行相应屏蔽操作，如果不在，则不处理，并将此键值对key-value返回。
[0072]
另一种可选的，数据屏蔽策略至少包括屏蔽策略二，屏蔽策略二包括：获取日志中的指定类型数组；对于指定类型数组中的json对象，调用屏蔽策略一对json对象中存在第一参数或者第二参数的数值进行屏蔽操作；将指定类型数组中的数组下标和被屏蔽的数值迁移至新的数组对象中。
[0073]
本实施例中，通过设置对jsonarray数据处理的策略method2(即上述的屏蔽策略二)，需要上送jsonarray数据作为参数传入，如果参数传入为空，则直接返回null，如果有值，则循环遍历jsonarray对象。将获取的json对象调用策略method1，将处理后的数据作为新值返回，调用之后将jsonarray的下标和屏蔽后的数值/数据设置到新的jsonarray对象中，并进行返回处理。
[0074]
在本发明实施例中，数据屏蔽策略至少包括屏蔽策略三，屏蔽策略三包括：获取日志中出现map数据的至少一个关键词；获取与每个关键词对应的键值，其中，键值的类型至少包括：字符串类型、map类型；在键值的类型为字符串类型的情况下，对存在第一参数或者第二参数的键值进行屏蔽操作；在键值的类型为map类型的情况下，递归调用屏蔽策略三以对存在第一参数或者第二参数的键值进行屏蔽操作。
[0075]
本实施例中，通过设置对map数据处理的策略mehtod3(即上述的屏蔽策略三)，需要传入map数据做参数，获取map数据的键值，然后遍历所有键值(通过新增需要返回的map对象，然后通过获取key的集合keyset，循环遍历keyset，获取keyset对应的map的value值)，获取对应值value，然后判断value值的类型，如果值为string类型(对应上述的字符串类型)，则判断key值是否在第一参数b或者第二参数c中进行配置，如果有配置则进行对应的屏蔽，如果不存在则直接返回；如果值为map类型，则递归调用策略method3，传入参数即为当前key对应的value值，直至处理完成返回。
[0076]
通过上述实施方式，分别提供了关于json数据、json数组以及map数据的处理方式，实现对json各类型数据的屏蔽处理。
[0077]
在实际使用过程中，在投产之后可以将开关a设置为1开，然后进行程序屏蔽验证，主要查看日志打印，实施上述的敏感数据的屏蔽方法，如有问题，将开关a设置为0即可关闭屏蔽程序，可灵活设置而不影响业务功能实现。
[0078]
通过上述实施例，实现了一种基于配置中心的敏感数据的屏蔽方法，适合于存量服务未进行数据屏蔽的场景，通过预先设置的数据屏蔽策略(包含屏蔽策略一、屏蔽策略二和屏蔽策略三)能够对日志中涉及指定敏感字段的目标数据进行屏蔽处理，保证打印应用日志的过程中降低敏感信息暴露的可能性，保障数据安全。
[0079]
同时，本实施例提供的敏感数据的屏蔽方法，关于敏感字段可以进行灵活配置，如后续有新增字段需要进行屏蔽，可以新增到配置中心进行配置。
[0080]
下面结合另一种可选的实施例来说明本发明。
[0081]
实施例二
[0082]
本实施例提供了一种敏感数据的处理装置，该处理装置中包含的各个实施单元对应于上述实施例一中的各个实施步骤。
[0083]
图3是根据本发明实施例的一种可选的敏感数据的处理装置的示意图，如图3所示，该敏感数据的处理装置可以包括：获取单元31、屏蔽单元32，其中，
[0084]
获取单元31，用于获取涉及敏感信息的日志所对应的目标应用程序，其中，日志包含目标应用的存量服务接口对目标应用的运行过程记录的字段数据，目标应用对应有n个应用程序，n为大于等于1的正整数；
[0085]
屏蔽单元32，用于将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理。
[0086]
上述敏感数据的处理装置，可以通过获取单元31获取涉及敏感信息的日志所对应的目标应用程序，之后可以通过屏蔽单元32将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理，其中，日志包含目标应用的存量服务接口对目标应用的运行过程记录的字段数据，目标应用对应有n个应用程序，n为大于等于1的正整数。在该实施例中，可以通过预先设置的数据屏蔽策略(包含待
屏蔽的字段信息)对日志中涉及指定敏感字段的目标数据进行屏蔽处理，保证打印应用日志的过程中降低敏感信息暴露的可能性，保障数据安全，从而解决相关技术中无法对客户的敏感信息进行有效屏蔽处理，容易导致客户信息发生泄露的技术问题。
[0087]
可选地，获取单元包括：第一获取模块，用于获取敏感字段集合，其中，敏感字段集合中包含有m个敏感字段，m为大于等于1的正整数；第一读取模块，用于读取n个应用程序中需要进行日志打印的程序，得到初始程序筛选集合；第一分析模块，用于分析初始程序筛选集合中涉及敏感字段的日志对应的应用程序，得到目标应用程序。
[0088]
可选地，第一获取模块包括：第一读取子模块，用于读取目标应用的每个存量服务接口上送的敏感字段，得到读取结果；预处理子模块，用于对读取结果进行预处理，其中，预处理的策略包括下述至少之一：去重、字段归一化、字段过滤；归集子模块，用于将预处理后的读取结果中的敏感字段进行归集，得到敏感字段集合。
[0089]
可选地，屏蔽单元包括：赋值模块，用于在日志屏蔽脱敏开关开启后，将敏感字段集合中关联完全屏蔽的敏感字段赋值给第一参数，将关联部分屏蔽的敏感字段赋值给第二参数；第二获取模块，用于采用预设注解策略，获取第一参数和第二参数；屏蔽模块，用于采用数据屏蔽策略对日志中涉及第一参数和第二参数的目标数据进行屏蔽处理。
[0090]
可选地，数据屏蔽策略至少包括屏蔽策略一，屏蔽策略一包括：遍历日志中的json类型数据，得到遍历结果，其中，遍历结果中至少包括：多个键值对，每个键值对包括：关键字以及对应的键值；对于遍历结果中以第一符号开头的键值，确认json类型数据中内嵌有数组，并将以第一符号开头的数组转换为指定类型数组，调用屏蔽策略二处理转换后的数组；对于遍历结果中以第二符号开头的键值，确认json类型数据为第一类数据，并递归调用屏蔽策略一处理以第二符号开头的第一类数据；对于遍历结果中不是第一符号和第二符号的键值，将与键值对应的关键字的字号降低；对于存在第一参数或者第二参数的关键字，对关键字以及对应的键值进行屏蔽操作。
[0091]
可选地，数据屏蔽策略至少包括屏蔽策略二，屏蔽策略二包括：获取日志中的指定类型数组；对于指定类型数组中的json对象，调用屏蔽策略一对json对象中存在第一参数或者第二参数的数值进行屏蔽操作；将指定类型数组中的数组下标和被屏蔽的数值迁移至新的数组对象中。
[0092]
可选地，数据屏蔽策略至少包括屏蔽策略三，屏蔽策略三包括：获取日志中出现map数据的至少一个关键词；获取与每个关键词对应的键值，其中，键值的类型至少包括：字符串类型、map类型；在键值的类型为字符串类型的情况下，对存在第一参数或者第二参数的键值进行屏蔽操作；在键值的类型为map类型的情况下，递归调用屏蔽策略三以对存在第一参数或者第二参数的键值进行屏蔽操作。
[0093]
上述的敏感数据的处理装置还可以包括处理器和存储器，上述获取单元31、屏蔽单元32等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
[0094]
上述处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数对将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理。
[0095]
上述存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器
(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
[0096]
根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的计算机程序，其中，在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的敏感数据的处理方法。
[0097]
根据本发明实施例的另一方面，还提供了一种电子设备，包括一个或多个处理器和存储器，存储器用于存储一个或多个程序，其中，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现上述任意一项的敏感数据的处理方法。
[0098]
图4是根据本发明实施例的一种敏感数据的处理方法的电子设备(或移动设备)的硬件结构框图。如图4所示，电子设备可以包括一个或多个(图中采用402a、402b，
……
，402n来示出)处理器402(处理器402可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器404。除此以外，还可以包括：显示器、输入/输出接口(i/o接口)、通用串行总线(usb)端口(可以作为i/o接口的端口中的一个端口被包括)、网络接口、键盘、电源和/或相机。本领域普通技术人员可以理解，图4所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，电子设备还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。
[0099]
本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：获取涉及敏感信息的日志所对应的目标应用程序，其中，日志包含目标应用的存量服务接口对目标应用的运行过程记录的字段数据，目标应用对应有n个应用程序，n为大于等于1的正整数；将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理。
[0100]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0101]
在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
[0102]
在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
[0103]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0104]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0105]
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式
体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0106]
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

技术特征：

1.一种敏感数据的处理方法，其特征在于，包括：获取涉及敏感信息的日志所对应的目标应用程序，其中，所述日志包含目标应用的存量服务接口对所述目标应用的运行过程记录的字段数据，所述目标应用对应有n个应用程序，n为大于等于1的正整数；将数据屏蔽策略加载至所述目标应用程序中，并采用所述数据屏蔽策略对所述日志中涉及指定敏感字段的目标数据进行屏蔽处理。2.根据权利要求1所述的处理方法，其特征在于，获取涉及敏感信息的日志所对应的目标应用程序的步骤，包括：获取敏感字段集合，其中，所述敏感字段集合中包含有m个敏感字段，m为大于等于1的正整数；读取所述n个应用程序中需要进行日志打印的程序，得到初始程序筛选集合；分析所述初始程序筛选集合中涉及所述敏感字段的日志对应的应用程序，得到所述目标应用程序。3.根据权利要求2所述的处理方法，其特征在于，获取敏感字段集合的步骤，包括：读取所述目标应用的每个存量服务接口上送的敏感字段，得到读取结果；对所述读取结果进行预处理，其中，所述预处理的策略包括下述至少之一：去重、字段归一化、字段过滤；将预处理后的所述读取结果中的敏感字段进行归集，得到所述敏感字段集合。4.根据权利要求2所述的处理方法，其特征在于，采用所述数据屏蔽策略对所述日志中涉及指定敏感字段的目标数据进行屏蔽处理的步骤，包括：在日志屏蔽脱敏开关开启后，将所述敏感字段集合中关联完全屏蔽的敏感字段赋值给第一参数，将关联部分屏蔽的敏感字段赋值给第二参数；采用预设注解策略，获取所述第一参数和所述第二参数；采用所述数据屏蔽策略对所述日志中涉及所述第一参数和所述第二参数的目标数据进行屏蔽处理。5.根据权利要求4所述的处理方法，其特征在于，所述数据屏蔽策略至少包括屏蔽策略一，所述屏蔽策略一包括：遍历所述日志中的json类型数据，得到遍历结果，其中，所述遍历结果中至少包括：多个键值对，每个所述键值对包括：关键字以及对应的键值；对于所述遍历结果中以第一符号开头的键值，确认所述json类型数据中内嵌有数组，并将以所述第一符号开头的数组转换为指定类型数组，调用屏蔽策略二处理转换后的数组；对于所述遍历结果中以第二符号开头的键值，确认所述json类型数据为第一类数据，并递归调用所述屏蔽策略一处理以所述第二符号开头的第一类数据；对于所述遍历结果中不是所述第一符号和所述第二符号的键值，将与所述键值对应的关键字的字号降低；对于存在所述第一参数或者所述第二参数的关键字，对所述关键字以及对应的所述键值进行屏蔽操作。6.根据权利要求4所述的处理方法，其特征在于，所述数据屏蔽策略至少包括屏蔽策略二，所述屏蔽策略二包括：
获取所述日志中的指定类型数组；对于所述指定类型数组中的json对象，调用所述屏蔽策略一对所述json对象中存在所述第一参数或者所述第二参数的数值进行屏蔽操作；将所述指定类型数组中的数组下标和被屏蔽的数值迁移至新的数组对象中。7.根据权利要求4所述的处理方法，其特征在于，所述数据屏蔽策略至少包括屏蔽策略三，所述屏蔽策略三包括：获取所述日志中出现map数据的至少一个关键词；获取与每个所述关键词对应的键值，其中，所述键值的类型至少包括：字符串类型、map类型；在所述键值的类型为所述字符串类型的情况下，对存在所述第一参数或者所述第二参数的所述键值进行屏蔽操作；在所述键值的类型为所述map类型的情况下，递归调用所述屏蔽策略三以对存在所述第一参数或者所述第二参数的所述键值进行屏蔽操作。8.一种敏感数据的处理装置，其特征在于，包括：获取单元，用于获取涉及敏感信息的日志所对应的目标应用程序，其中，所述日志包含目标应用的存量服务接口对所述目标应用的运行过程记录的字段数据，所述目标应用对应有n个应用程序，n为大于等于1的正整数；屏蔽单元，用于将数据屏蔽策略加载至所述目标应用程序中，并采用所述数据屏蔽策略对所述日志中涉及指定敏感字段的目标数据进行屏蔽处理。9.一种计算机可读存储介质，其特征在于，计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述的敏感数据的处理方法。10.一种电子设备，其特征在于，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至7中任意一项所述的敏感数据的处理方法。

技术总结

本发明公开了一种敏感数据的处理方法及处理装置、电子设备、存储介质，涉及到信息安全领域，其中，该敏感数据的处理方法包括获取涉及敏感信息的日志所对应的目标应用程序，其中，日志包含目标应用的存量服务接口对目标应用的运行过程记录的字段数据，目标应用对应有N个应用程序，N为大于等于1的正整数；将数据屏蔽策略加载至目标应用程序中，并采用数据屏蔽策略对日志中涉及指定敏感字段的目标数据进行屏蔽处理。本发明解决了相关技术中无法对客户的敏感信息进行有效屏蔽处理，容易导致客户信息发生泄露的技术问题。信息发生泄露的技术问题。信息发生泄露的技术问题。