處理結果為 (Tel_Num :*)或(Tel_Num :***********)〇
[0040] 上述按權限屏蔽��,可以包括根據指定信息的權限對待測數據進行處理����。例如,指 定信息為客戶端用戶的用戶名����,則可以根據用戶名所在不同域組的權限設置相應的處理方 法���。具體的可以如下表1中所示,可以根據客戶端用戶的權限對待測數據進行處理����。例如, 當客戶端用戶的用戶名屬于超級管理員域組時�����,可以設置對待測數據不進行處理�;當客戶 端用戶的用戶名屬于管理員域組時,可以設置對待測數據進行部分屏蔽��;當客戶端用戶的 用戶名屬于用戶域組時��,可以設置對待測數據進行全部屏蔽或部分屏蔽��。表1以待測數據 包括變量名和值兩部分為例�����,但不限于此。
[0041] 表1按權限屏蔽處理方式不意表
[0042]
[0043] 上述變換后展示�����,可以包括將待測數據按照預定變換規(guī)則進行變換�。例如,待測 數據可以是ModelMap中的第四變量(Name4 :evil)中的值"evil"�����,則按照預定規(guī)則可以將 " evil"變換為"live"�����,則處理結果可以為(Name4 : live)����。
[0044] 上述誤報���,可以表示為由于敏感信息的識別規(guī)則出現異?�;蚺袛喑龅拿舾行畔⒉?符合根據其他條件設置的敏感信息判斷標準時�,對待測數據不進行處理操作�����,此時可以生 成誤報日志。該誤報日志中可以存儲記錄產生誤報的次數以及每次誤報的目標源(例如原 始的待測數據)�、誤報原因、日志產生時間等���。在本實施例中可以存儲所述生成的誤報日志���, 可以用于后續(xù)的行為統(tǒng)計。
[0045] 為了將待測數據提供給脫敏系統(tǒng)�����,測試裝置根據第一測試參數��,訪問目標應用系 統(tǒng)上用于向脫敏系統(tǒng)傳輸待測數據的目標頁面�;之后通過目標頁面,將待測數據提供給目 標應用系統(tǒng)��,這樣部署在目標應用系統(tǒng)上的脫敏系統(tǒng)可以從目標應用系統(tǒng)攔截待測數據��; 之后脫敏系統(tǒng)可以根據所配置的脫敏信息處理方式對攔截到的待測數據進行脫敏處理�����,獲 得第一處理結果,并將第一處理結果提供給目標應用系統(tǒng)��;目標應用系統(tǒng)將第一處理結果 通過目標頁面提供給測試裝置��。
[0046] 在一可選實施方式中���,第一測試參數包括:指向目標頁面的URL���、賬號名和密碼。
[0047] 如圖2所示��,上述步驟102的一種實施方式包括:
[0048] 1021��、測試裝置根據URL��,向目標應用系統(tǒng)發(fā)送訪問請求�����,該訪問請求用于請求訪 問目標頁面�。
[0049] 1022�、測試裝置接收目標應用系統(tǒng)在確定測試裝置未與目標應用系統(tǒng)建立會話后 返回的登錄頁面。
[0050] 1023�����、測試裝置登錄頁面中輸入賬號名和密碼,以與目標應用系統(tǒng)建立會話����。
[0051] 1024、測試裝置接收目標應用系統(tǒng)在測試裝置與目標應用系統(tǒng)建立會話后返回的 目標頁面�����。
[0052] URL % https://zopsantx.alipay.com/project/viewProject.htm % 例���,該URL中的https://zopsantx. alipay. com表示目標應用系統(tǒng)的地址����,:/project/ viewProject. htm表示目標應用系統(tǒng)上的目標頁面�。
[0053] 具體的,測試裝置直接通過 https://zopsantx. alipay. com/project/ viewProject. htm向目標應用系統(tǒng)發(fā)送訪問請求�����。目標應用系統(tǒng)接收測試裝置發(fā)送的訪 問請求��,判斷測試裝置是否有權訪問/project/viewProject. htm指向的目標頁面����;如果沒 有�����,就通過HTTP重定向�,將測試裝置重定向到登錄頁面�;如果有權限,則允許測試裝置訪問 目標頁面����,即將目標頁面直接提供給測試裝置。目標應用系統(tǒng)判斷測試裝置是否有權訪問 /pro ject/viewPro ject. htm指向的目標頁面����,主要是指目標應用系統(tǒng)判斷測試裝置與目標 應用系統(tǒng)是否建立會話,即判斷測試裝置與目標應用系統(tǒng)之間的會話ID是否存在已建立 會話的ID中���,如果不存在,說明測試裝置未與目標應用系統(tǒng)建立會話��,也就意味著測試裝 置沒有權限訪問目標頁面���,于是將測試裝置重定向到登錄頁面�。例如,可由后臺用戶管理系 統(tǒng)(Backend User Manage, Bumg)系統(tǒng)提供的登錄頁面���,Bumg可以理解為統(tǒng)一登錄門戶�。
[0054] 之后����,測試裝置在登錄頁面中輸入第一測試參數中的賬號名和密碼進行登錄,登 錄成功也就意味著測試裝置與目標應用系統(tǒng)建立了會話�,并存儲會話ID。于是目標應用系 統(tǒng)將目標頁面提供給測試裝置��,具體的��,測試裝置可以再次向目標應用系統(tǒng)發(fā)送訪問請求���, 目標應用系統(tǒng)獲取測試裝置與目標應用系統(tǒng)之間的會話ID��,由于該會話ID是否存在已建 立會話的ID中�����,所以目標應用系統(tǒng)將目標頁面提供給測試裝置�����。
[0055] 測試裝置訪問到目標頁面后�,通過目標頁面向目標應用系統(tǒng)傳輸待測數據。其中���, 待測數據可以包括屬于敏感信息的數據和/或不屬于敏感信息的數據�����。待測數據可以是一 個或者至少兩個����。
[0056] 在一可選實施方式中�����,待測數據為至少兩個����,則測試裝置具體可以通過目標頁面, 逐個將至少兩個待測數據中的每個待測數據提供給目標應用系統(tǒng)并接收目標應用系統(tǒng)返 回的每個待測數據的第一處理結果�。對于敏感系統(tǒng)來說,會從目標應用系統(tǒng)逐個攔截待測 數據���,并對所攔截的待測數據進行脫敏處理�����,獲得對每個待測數據的第一處理結果����。
[0057] 在一可選實施方式中��,測試裝置通過目標頁面��,將待測數據提供給目標應用系統(tǒng) 并接收目標應用系統(tǒng)返回的第一處理結果之前����,可以根據第二測試數據,在目標頁面上配 置輸入組件����、輸出組件和提交組件。具體的��,測試裝置可以訪問目標頁面��,根據第二測試數 據在目標頁面上配置輸入組件��、輸出組件和提交組件��。
[0058] 用于設置輸入組件、輸出組件和提交組件的第二測試數據可以包括用于指示各組 件在目標頁面上的位置的數據���、用于指示各組件實現形式的數據�����、以及用于指示各組件大 小的數據等等��。在一可選實施方式中�����,如圖3所示�����,輸入組件可以是一個輸入框����,提交組件 可以是確認按鈕�,輸出組件可以是一信息列表;相應的����,上述第二測試數據可以包括指示輸 入框�、確認按鈕和輸出框分別在目標頁面上的位置的數據�、指示輸入組件為輸入框���、提交組 件為確認按鈕和輸出框為信息列表的數據�、以及指示輸入框大小�����、確認按鈕大小和信息列 表大小的數據等�����。在另一可選實施方式中�,如圖4所示,輸入組件可以是一回顯輸入框���,提 交組件可以是搜索按鈕��,輸出組件也是該回顯輸入框��,在該實施方式中��,輸入組件和輸出組 件為同一輸入框��;相應的����,上述第二測試數據可以包括用于指示回顯輸入框和搜索按鈕分 別在目標頁面上的位置的數據、指示輸入組件和輸出組件為回顯輸入框���、提交組件為搜索 按鈕的數據���、以及指示回顯輸入框大小的數據等。
[0059] 基于上述���,測試裝置具體可以在輸入組件中輸入待測數據���,點擊提交組件將待測 數據提供給目標應用系統(tǒng);之后���,接收目標應用系統(tǒng)輸出到輸出組件中的第一處理結果��。
[0060] 測試裝置獲得第一處理結果后�,可以根據待測數據預期的第二處理結果和第一處 理結果��,確定脫敏系統(tǒng)是否具有脫敏功能。
[0061] 例如�,測試裝置可以將第一處理結果和第二處理結果進行比較,如果兩者相同�,確 定脫敏系統(tǒng)具有脫敏功能;反之����,確定脫敏系統(tǒng)不具有脫敏功能�����。
[0062] 在一可選實施方式中���,待測數據可以是屬于敏感信息的數據��,例如���,郵箱號、手機 號碼����、固話號碼、身份證號�、銀行卡號等。當上述配置的敏感信息處理方式為完全屏蔽時, 待測數據預期的第二處理結果可以是***********���,如果脫敏系統(tǒng)對待測數據進行脫敏處 理后的第一處理結果是***********��,說明脫敏系統(tǒng)能夠識別出待測數據為敏感信息��,且可 以根據所配置的敏感信息處理方式完成對待測數據的處理���,因此可以確定脫敏系統(tǒng)具有脫 敏功能;反之�,如果第一處理結果不是***********,說明脫敏系統(tǒng)不能識別待測數據為敏 感數據或者不能根據所配置的敏感信息處理方式對待測數據進行處理����,因此可以確定脫敏 系統(tǒng)不具有脫敏功能?����;蛘?���,當上述配置的敏感信息處理方式為預定部分展示,以待測數 據為手機號碼15912344321為例���,則待測數據預期的第二處理結果可以是159##*321�, 如果脫敏系統(tǒng)對待測數據進行脫敏處理后的第一處理結果是159*****321,說明脫敏系統(tǒng) 能夠識別出"15912344321"為敏感信息�,且可以根據所配置的敏感信息處理方式完成對 "15912344321"的處理,因此可以確定脫敏系統(tǒng)具有脫敏功能��;反之���,如果第一處理結果不 是159*****321��,說明脫敏系統(tǒng)不具有脫敏功能。
[0063] 在一可選實施方式中����,待測數據可以是不屬于敏感信息的數據,例如可以是新聞 數據����、網址數據等。對于這種情況�����,無論