CN104462988A - 基于穿行测试技术的信息安全审计实现方法及系统 - Google Patents
基于穿行测试技术的信息安全审计实现方法及系统 Download PDFInfo
- Publication number
- CN104462988A CN104462988A CN201410785021.9A CN201410785021A CN104462988A CN 104462988 A CN104462988 A CN 104462988A CN 201410785021 A CN201410785021 A CN 201410785021A CN 104462988 A CN104462988 A CN 104462988A
- Authority
- CN
- China
- Prior art keywords
- sensitive information
- business sensitive
- risk
- audit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及信息监测技术领域,尤其涉及基于穿行测试技术的信息安全审计实现方法及系统。基于穿行测试技术的信息安全审计实现方法,包括:识别待审计的业务敏感信息及所述业务敏感信息的访问权限;基于所述访问权限追踪所述业务敏感信息在一个或多个信息系统中的流转路径;依据所述追踪的结果,审计分析具有访问权限的系统在对所述业务敏感信息的处理过程中存在的风险漏洞;基于所述风险漏洞的审计分析结果,获取所述业务敏感信息的风险值。本发明的基于穿行测试技术的信息安全审计实现方法及系统,能够实现对敏感信息在多个信息系统的全生命周期流转过程中存在风险的监测。
Description
技术领域
本发明涉及信息监测技术领域,具体而言,涉及基于穿行测试技术的信息安全审计实现方法及系统。
背景技术
目前,信息安全审计,在信息资产保护方面,采用的是信息安全风险评估方法,实现步骤包括:(1)识别信息资产(如信息系统、设备等),列出资产清单;(2)通过漏洞扫描、安全检查等方式识别信息系统软件及信息设备的自身漏洞以及配置漏洞;(3)识别信息系统、信息网络以及信息设备面临的安全威胁;(4)根据脆弱性级别及安全威胁级别综合分析信息安全风险。
在现有的信息安全风险评估方式下,企业的核心信息资产,即企业的核心(敏感)业务数据,是作为信息系统的一部分存在的,在进行信息安全风险评估时,将业务数据作为系统功能或者信息设备的一部分,仅评估单一系统软件及信息设备的脆弱性,无法评估业务敏感信息在多个系统之间流转过程中由于系统设计或实现缺陷而导致的潜在风险。
发明内容
本发明的目的在于提供基于穿行测试技术的信息安全审计实现方法及系统,以实现对敏感信息在多个信息系统的全生命周期流转过程中存在风险的监测。
本发明实施例提供了一种基于穿行测试技术的信息安全审计实现方法,包括:
识别待审计的业务敏感信息及所述业务敏感信息的访问权限;
基于所述访问权限追踪所述业务敏感信息在一个或多个信息系统中的流转路径;
依据所述追踪的结果,审计分析具有访问权限的系统在对所述业务敏感信息的处理过程中存在的风险漏洞;
基于所述风险漏洞的审计分析结果,获取所述业务敏感信息的风险值。
优选地,所述识别待审计的业务敏感信息,包括:遍历欲审计的业务数据库中的所有业务数据,其中所述业务数据标识有密级标记;依据所述密级标记,识别待审计的业务敏感信息。
优选地,识别待审计的业务敏感信息的访问权限,包括:识别所述业务敏感信息的属性,确定用于限制所述业务敏感信息被访问的关键属性;查询与所述关键属性对应的处理接口及操作权限,其中所述操作权限包括创建、修改、删除及查询。
优选地,所述基于所述访问权限追踪所述业务敏感信息在一个或多个信息系统中的流转路径,包括:识别创建、修改、删除、查询所述业务敏感信息的关键属性的操作系统、所述操作系统具有的功能权限以及被授权的用户,确定所述业务敏感信息在一个或多个信息系统中的流转路径。
优选地,所述依据所述追踪的结果,审计分析具有访问权限的系统在对所述业务敏感信息的处理过程中存在的风险漏洞,包括:审计分析对所述业务敏感信息进行处理操作的各系统是否具有相应的控制处理权限以及是否存在权限控制漏洞;
审计分析被授予处理操作业务敏感信息的用户是否满足相应的身份认定;
审计分析传递所述业务敏感信息的数据接口是否进行了访问控制,所述访问控制是否满足预设的控制目标;
检查处理所述业务敏感信息的功能页面及进行数据交换的数据接口是否存在安全漏洞;
检查处理所述业务敏感信息的系统、数据接口是否对进行的操作进行了记录,其中所述记录包括操作时间、操作用户、用户操作内容以及所述记录的保存期限是否满足预设的保存期限范围。
优选地,基于所述风险漏洞的审计分析结果,获取所述业务敏感信息的风险值,包括:确定所述业务敏感信息既定属性的滥用范围、滥用后果及可追溯性;
将所述滥用范围、所述滥用后果及所述可追溯性相乘,得到所述业务敏感信息既定属性的风险值。
优选地,所述确定所述业务敏感信息既定属性的滥用范围、滥用后果及可追溯性,包括:确定所述业务敏感信息既定属性的滥用范围,并对所述滥用范围的可控性分档,分别为无控制、公司内部及公司内部可控范围、以及公司内部可控范围;
确定所述业务敏感信息既定属性的滥用后果,并对所述滥用后果分档,分别为难以弥补的巨大影响、可以弥补的巨大影响及一般影响;
确定所述业务敏感信息既定属性的可追溯性,分别为可追溯或不可追溯。
优选地,该方法还包括:基于所述风险漏洞的审计分析结果及所述业务敏感信息的风险值,生成风险分析报告,其中所述风险分析包括中包括风险描述以及通过安全配置或代码改造完成的整改建议。
本发明实施例还提供了一种基于穿行测试技术的信息安全审计实现系统,包括:识别模块,用于识别待审计的业务敏感信息及所述业务敏感信息的访问权限;
追踪模块,用于基于所述访问权限追踪所述业务敏感信息在一个或多个信息系统中的流转路径;
审计分析模块,用于依据所述追踪的结果,审计分析具有访问权限的系统在对所述业务敏感信息的处理过程中存在的风险漏洞;
风险值获取模块,用于基于所述风险漏洞的审计分析结果,获取所述业务敏感信息的风险值。
优选地,该系统还包括:风险分析报告生成模块,用于基于所述风险漏洞的审计分析结果及所述业务敏感信息的风险值,生成风险分析报告,其中所述风险分析包括中包括风险描述以及通过安全配置或代码改造完成的整改建议。
本发明实施例提供的基于穿行测试技术的信息安全审计实现方法及系统,以业务敏感信息为单位,通过穿行测试的方式,跟踪业务敏感信息生命周期内处理过程的安全控制措施,能够识别传统信息安全申请方法中无法解决的业务敏感信息的泄露及滥用风险,实现对业务敏感信息在多个系统的流转过程中存在风险的监测。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例所提供的基于穿行测试技术的信息安全审计实现方法的流程图;
图2示出了本发明实施例所提供的基于穿行测试技术的信息安全审计实现系统的结构示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
鉴于相关技术中在信息资产保护方面,采用的是信息安全风险评估方法,仅评估系统软件及信息设备的脆弱性,无法评估业务敏感信息在流转过程中由于系统设计或实现缺陷而导致的潜在风险。
为解决相关技术中在信息审计方面的缺陷,本发明基于穿行测试技术,以业务敏感信息为单位,追踪业务敏感信息在生命周期内流转过程中的安全控制措施,识别业务敏感信息的泄露及滥用风险。
基于上述思想,本发明实施例提供的基于穿行测试技术的信息安全审计实现方法,以业务敏感信息为单位开展,具体处理步骤,如图1所示,包括:
步骤S11:识别待审计的业务敏感信息及业务敏感信息的访问权限;
步骤S12:基于访问权限追踪业务敏感信息在一个或多个信息系统中的流转路径;
步骤S13:依据追踪的结果,审计分析具有访问权限的系统在对业务敏感信息的处理过程中存在的风险漏洞;
步骤S14:基于风险漏洞的审计分析结果,获取业务敏感信息的风险值。
本发明实施例中,识别待审计的业务敏感信息,包括:遍历欲审计的业务数据库中的所有业务数据,其中业务数据标识有密级标记;依据密级标记,识别待审计的业务敏感信息。
例如,在某公司密级范围管理规定中,“客户用电信息”标识为“密级二级”,在业务敏感信息的设计过程,遍历查询到“客户用点信息”时,读取“客户用电信息”的密级标识“密级二级”;判断密级标识“密级二级”是否在审计范围,如果是,则判定“客户用电信息”为待审计的一种业务敏感信息。
依据上述方法确定出业务敏感信息后,则可为该业务敏感信息在公司范围内信息系统的使用情况开展审计,其中进行审计的一个方面包括:识别待审计的业务敏感信息的访问权限。
在公司企业的信息系统中,业务敏感信息的访问权限影响着敏感信息是否存在被滥用现象以及是否存在被泄露风险。
本发明实施例中识别待审计的业务敏感信息的访问权限具体实施方法为:识别业务敏感信息的属性,确定用于限制业务敏感信息被访问的关键属性;查询与关键属性对应的处理接口及操作权限,其中操作权限包括创建、修改、删除及查询。
例如,当业务敏感信息为上述的“客户用电信息”时,识别客户用电信息中需要进行控制访问的关键属性,如客户地址、银行卡账号及本期电费等。
查询梳理客户用电信息流转过程中各业务岗位对客户用电信息各关键属性的操作权限,如创建、修改、删除及查询客户用电信息各属性的操作权限,特别是跨职能的数据处理。
上述方法中识别出的业务敏感信息的属性和操作权限,是受控的业务敏感信息的控制目标。
识别出待审计的业务敏感信息的关键属性及操作权限后,识别业务敏感信息的流转路径,即基于访问权限追踪业务敏感信息在一个或多个信息系统中的流转路径,包括:识别创建、修改、删除、查询业务敏感信息的关键属性的操作系统、操作系统具有的功能权限以及被授权的用户,由此确定业务敏感信息在一个或多个信息系统中的流转路径,其中应包括访问、传递该业务敏感信息的各类数据接口。
依据业务敏感信息在信息系统中的流转路径,审计分析具有访问权限的系统在对业务敏感信息的处理过程中存在的风险漏洞时,可以在以下几个方面展开,包括:
(1)审计分析对业务敏感信息进行处理操作的各系统是否具有相应的控制处理权限以及是否存在权限控制漏洞;
(2)审计分析被授予处理操作业务敏感信息的用户是否满足相应的身份认定;
(3)审计分析传递业务敏感信息的数据接口是否进行了访问控制,访问控制是否满足预设的控制目标;
(4)检查处理业务敏感信息的功能页面及进行数据交换的数据接口是否存在安全漏洞,其中可以采用人工审计或渗透测试方法进行检查处理;
(5)检查处理业务敏感信息的系统、数据接口是否对进行的操作进行了记录,其中记录包括操作时间、操作用户、用户操作内容以及记录的保存期限是否满足预设的保存期限范围。
依据上述的审计分析方法,对业务敏感信息进行风险漏洞审计,基于风险漏洞的审计分析结果,获取业务敏感信息的风险值,包括:确定业务敏感信息既定属性的滥用范围、滥用后果及可追溯性;将滥用范围、滥用后果及可追溯性相乘,得到业务敏感信息既定属性的风险值。
其中,确定业务敏感信息既定属性的滥用范围包括:确定业务敏感信息既定属性的滥用范围,并对滥用范围的可控性分档,分别为无控制、公司内部及公司内部可控范围、以及公司内部可控范围;
确定业务敏感信息既定属性的滥用后果包括:确定业务敏感信息既定属性的滥用后果,并对滥用后果分档,分别为难以弥补的巨大影响、可以弥补的巨大影响及一般影响;
确定业务敏感信息既定属性的可追溯性,分别为可追溯或不可追溯。
根据确定出的业务敏感信息的风险标识结果确定其某一属性的风险值。
依据业务敏感信息的风险分析值,对高、中风险的业务敏感信息提出整改建议,具体地,在本发明实施例的该方法中还包括:基于风险漏洞的审计分析结果及业务敏感信息的风险值,生成风险分析报告,其中风险分析包括中包括风险描述以及通过安全配置或代码改造完成的整改建议。
本发明实施例还提供了一种基于穿行测试技术的信息安全审计实现系统,如图2所示,主要包括:
识别模块21,用于识别待审计的业务敏感信息及业务敏感信息的访问权限;
追踪模块22,用于基于访问权限追踪业务敏感信息在一个或多个信息系统中的流转路径;
审计分析模块23,用于依据追踪的结果,审计分析具有访问权限的系统在对业务敏感信息的处理过程中存在的风险漏洞;
风险值获取模块24,用于基于风险漏洞的审计分析结果,获取业务敏感信息的风险值。
本发明实施例的该系统还包括风险分析报告生成模块,用于基于所述风险漏洞的审计分析结果及所述业务敏感信息的风险值,生成风险分析报告,其中所述风险分析包括中包括风险描述以及通过安全配置或代码改造完成的整改建议。
本发明提出的按照业务敏感信息的全生命周期对业务数据的使用情况及访问控制情况进行审计的方法,关键点在于:
(1)以业务敏感信息作为信息资产的主体,细化了过去以信息设备为对象的审计对象的粒度;
(2)以业务敏感数据在企业各个信息系统中的流转过程为线索,分析处理业务敏感数据的各个业务功能以及数据接口存在的安全风险。
(3)对业务敏感信息的安全属性中的私密性,从滥用范围、滥用后果以及是否可追溯3个方面进行标识,对敏感信息的滥用影响进行精确的描述。
与现有技术的方式相比,本发明实施例的方法及系统,细化了信息安全审计活动中的审计对象粒度,将审计活动聚焦于企业核心信息资产——业务敏感数据,通过对企业中使用业务敏感数据的全部信息系统进行整体性的权限控制、访问控制措施实现情况进行审计,可从企业角度对企业敏感信息的泄漏及滥用风险进行整体评估,提高了信息安全风险评估的精确性。
通过本发明实施例的基于穿行测试技术的信息安全审计实现方法及系统,可识别信息系统在实现过程中隐藏的逻辑安全风险;可识别数据在传递过程中可能产生的扩散风险;可识别隐蔽的数据接口安全风险。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.基于穿行测试技术的信息安全审计实现方法,其特征在于,包括:
识别待审计的业务敏感信息及所述业务敏感信息的访问权限;
基于所述访问权限追踪所述业务敏感信息在一个或多个信息系统中的流转路径;
依据所述追踪的结果,审计分析具有访问权限的系统在对所述业务敏感信息的处理过程中存在的风险漏洞;
基于所述风险漏洞的审计分析结果,获取所述业务敏感信息的风险值。
2.根据权利要求1所述的方法,其特征在于,所述识别待审计的业务敏感信息,包括:
遍历欲审计的业务数据库中的所有业务数据,其中所述业务数据标识有密级标记;
依据所述密级标记,识别待审计的业务敏感信息。
3.根据权利要求1所述的方法,其特征在于,识别待审计的业务敏感信息的访问权限,包括:
识别所述业务敏感信息的属性,确定用于限制所述业务敏感信息被访问的关键属性;
查询与所述关键属性对应的处理接口及操作权限,其中所述操作权限包括创建、修改、删除及查询。
4.根据权利要求1所述的方法,其特征在于,所述基于所述访问权限追踪所述业务敏感信息在一个或多个信息系统中的流转路径,包括:
识别创建、修改、删除、查询所述业务敏感信息的关键属性的操作系统、所述操作系统具有的功能权限以及被授权的用户,确定所述业务敏感信息在一个或多个信息系统中的流转路径。
5.根据权利要求1所述的方法,其特征在于,所述依据所述追踪的结果,审计分析具有访问权限的系统在对所述业务敏感信息的处理过程中存在的风险漏洞,包括:
审计分析对所述业务敏感信息进行处理操作的各系统是否具有相应的控制处理权限以及是否存在权限控制漏洞;
审计分析被授予处理操作业务敏感信息的用户是否满足相应的身份认定;
审计分析传递所述业务敏感信息的数据接口是否进行了访问控制,所述访问控制是否满足预设的控制目标;
检查处理所述业务敏感信息的功能页面及进行数据交换的数据接口是否存在安全漏洞;
检查处理所述业务敏感信息的系统、数据接口是否对进行的操作进行了记录,其中所述记录包括操作时间、操作用户、用户操作内容以及所述记录的保存期限是否满足预设的保存期限范围。
6.根据权利要求1所述的方法,其特征在于,基于所述风险漏洞的审计分析结果,获取所述业务敏感信息的风险值,包括:
确定所述业务敏感信息既定属性的滥用范围、滥用后果及可追溯性;
将所述滥用范围、所述滥用后果及所述可追溯性相乘,得到所述业务敏感信息既定属性的风险值。
7.根据权利要求6所述的方法,其特征在于,所述确定所述业务敏感信息既定属性的滥用范围、滥用后果及可追溯性,包括:
确定所述业务敏感信息既定属性的滥用范围,并对所述滥用范围的可控性分档,分别为无控制、公司内部及公司内部可控范围、以及公司内部可控范围;
确定所述业务敏感信息既定属性的滥用后果,并对所述滥用后果分档,分别为难以弥补的巨大影响、可以弥补的巨大影响及一般影响;
确定所述业务敏感信息既定属性的可追溯性,分别为可追溯或不可追溯。
8.根据权利要求1所述的方法,其特征在于,该方法还包括:基于所述风险漏洞的审计分析结果及所述业务敏感信息的风险值,生成风险分析报告,其中所述风险分析包括中包括风险描述以及通过安全配置或代码改造完成的整改建议。
9.基于穿行测试技术的信息安全审计实现系统,其特征在于,包括:
识别模块,用于识别待审计的业务敏感信息及所述业务敏感信息的访问权限;
追踪模块,用于基于所述访问权限追踪所述业务敏感信息在一个或多个信息系统中的流转路径;
审计分析模块,用于依据所述追踪的结果,审计分析具有访问权限的系统在对所述业务敏感信息的处理过程中存在的风险漏洞;
风险值获取模块,用于基于所述风险漏洞的审计分析结果,获取所述业务敏感信息的风险值。
10.根据权利要求9所述的系统,其特征在于,还包括:风险分析报告生成模块,用于基于所述风险漏洞的审计分析结果及所述业务敏感信息的风险值,生成风险分析报告,其中所述风险分析包括中包括风险描述以及通过安全配置或代码改造完成的整改建议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410785021.9A CN104462988B (zh) | 2014-12-16 | 2014-12-16 | 基于穿行测试技术的信息安全审计实现方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410785021.9A CN104462988B (zh) | 2014-12-16 | 2014-12-16 | 基于穿行测试技术的信息安全审计实现方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104462988A true CN104462988A (zh) | 2015-03-25 |
CN104462988B CN104462988B (zh) | 2017-08-11 |
Family
ID=52909013
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410785021.9A Expired - Fee Related CN104462988B (zh) | 2014-12-16 | 2014-12-16 | 基于穿行测试技术的信息安全审计实现方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104462988B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106156046A (zh) * | 2015-03-27 | 2016-11-23 | 中国移动通信集团云南有限公司 | 一种信息化管理方法、装置、系统及分析设备 |
CN107135211A (zh) * | 2017-04-25 | 2017-09-05 | 山东管理学院 | 一种信息安全综合审计系统和方法 |
CN107277080A (zh) * | 2017-08-23 | 2017-10-20 | 深信服科技股份有限公司 | 一种基于安全即服务的互联网风险管理方法及系统 |
CN110661776A (zh) * | 2019-07-29 | 2020-01-07 | 奇安信科技集团股份有限公司 | 敏感数据溯源方法、装置、安全网关及系统 |
US20200228347A1 (en) * | 2019-01-14 | 2020-07-16 | Alibaba Group Holding Limited | Data Security Processing and Data Source Tracing Method, Apparatus, and Device |
CN111611590A (zh) * | 2020-05-22 | 2020-09-01 | 支付宝(杭州)信息技术有限公司 | 涉及应用程序的数据安全的方法及装置 |
CN112118241A (zh) * | 2020-09-08 | 2020-12-22 | 上海谋乐网络科技有限公司 | 审计渗透测试方法、测试节点服务器、管理服务器及系统 |
CN112269984A (zh) * | 2020-09-23 | 2021-01-26 | 江苏三台山数据应用研究院有限公司 | 一种保障源码安全的自动化代码审计平台系统 |
CN117786725A (zh) * | 2023-12-29 | 2024-03-29 | 北京建恒信安科技有限公司 | 一种用于信息系统的身份安全审计分析方法、系统及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102479356A (zh) * | 2010-11-30 | 2012-05-30 | 金蝶软件(中国)有限公司 | 一种穿行测试方法和装置 |
-
2014
- 2014-12-16 CN CN201410785021.9A patent/CN104462988B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102479356A (zh) * | 2010-11-30 | 2012-05-30 | 金蝶软件(中国)有限公司 | 一种穿行测试方法和装置 |
Non-Patent Citations (1)
Title |
---|
辛友顺: "敏感信息防护评估方法", 《安徽科技》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106156046A (zh) * | 2015-03-27 | 2016-11-23 | 中国移动通信集团云南有限公司 | 一种信息化管理方法、装置、系统及分析设备 |
CN106156046B (zh) * | 2015-03-27 | 2021-03-30 | 中国移动通信集团云南有限公司 | 一种信息化管理方法、装置、系统及分析设备 |
CN107135211B (zh) * | 2017-04-25 | 2021-03-09 | 山东管理学院 | 一种信息安全综合审计系统和方法 |
CN107135211A (zh) * | 2017-04-25 | 2017-09-05 | 山东管理学院 | 一种信息安全综合审计系统和方法 |
CN107277080A (zh) * | 2017-08-23 | 2017-10-20 | 深信服科技股份有限公司 | 一种基于安全即服务的互联网风险管理方法及系统 |
US20200228347A1 (en) * | 2019-01-14 | 2020-07-16 | Alibaba Group Holding Limited | Data Security Processing and Data Source Tracing Method, Apparatus, and Device |
CN110661776A (zh) * | 2019-07-29 | 2020-01-07 | 奇安信科技集团股份有限公司 | 敏感数据溯源方法、装置、安全网关及系统 |
CN110661776B (zh) * | 2019-07-29 | 2021-12-24 | 奇安信科技集团股份有限公司 | 敏感数据溯源方法、装置、安全网关及系统 |
CN111611590A (zh) * | 2020-05-22 | 2020-09-01 | 支付宝(杭州)信息技术有限公司 | 涉及应用程序的数据安全的方法及装置 |
CN111611590B (zh) * | 2020-05-22 | 2023-10-27 | 支付宝(杭州)信息技术有限公司 | 涉及应用程序的数据安全的方法及装置 |
CN112118241A (zh) * | 2020-09-08 | 2020-12-22 | 上海谋乐网络科技有限公司 | 审计渗透测试方法、测试节点服务器、管理服务器及系统 |
CN112118241B (zh) * | 2020-09-08 | 2022-11-01 | 上海谋乐网络科技有限公司 | 审计渗透测试方法、测试节点服务器、管理服务器及系统 |
CN112269984A (zh) * | 2020-09-23 | 2021-01-26 | 江苏三台山数据应用研究院有限公司 | 一种保障源码安全的自动化代码审计平台系统 |
CN112269984B (zh) * | 2020-09-23 | 2023-07-11 | 江苏三台山数据应用研究院有限公司 | 一种保障源码安全的自动化代码审计平台系统 |
CN117786725A (zh) * | 2023-12-29 | 2024-03-29 | 北京建恒信安科技有限公司 | 一种用于信息系统的身份安全审计分析方法、系统及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104462988B (zh) | 2017-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104462988A (zh) | 基于穿行测试技术的信息安全审计实现方法及系统 | |
US10630713B2 (en) | Method and tool to quantify the enterprise consequences of cyber risk | |
CN106548342B (zh) | 一种可信设备确定方法及装置 | |
Haji et al. | A hybrid model for information security risk assessment | |
Singh et al. | Sql injection detection and correction using machine learning techniques | |
Diesch et al. | Prerequisite to measure information security | |
Haris | Risk Assessment on Information Asset an academic Application Using ISO 27001 | |
CN114372098A (zh) | 基于特权账号管理对电力数据中台隐私数据保护与数据挖掘平台及方法 | |
Kaushik | A systematic approach to develop an advanced insider attacks detection module | |
Rubio-Medrano et al. | Mutated policies: towards proactive attribute-based defenses for access control | |
Kelemen | Systematic review on process mining and security | |
Guan et al. | Stride–based risk assessment for web application | |
Mehdi et al. | Problems issues in the information security due to the manual mistakes | |
CN105893229A (zh) | 一种测试计算机防护系统日志功能的方法及装置 | |
Xu et al. | Testing access control and obligation policies | |
Seo et al. | Data leakage detection system based on deep learning | |
CN117592989B (zh) | 一种基于区块链的支付信息安全管理方法及系统 | |
Peter-Bombik | Risk management in public organizations | |
O’Connor et al. | Security awareness in the software arena | |
Jekot et al. | IT risk assessment and penetration test: Comparative analysis of IT controls verification techniques | |
CN112800437B (zh) | 信息安全风险评价系统 | |
Deutch et al. | Preserving privacy of fraud detection rule sharing using Intel's SGX | |
Kaur et al. | Insecurity Status and Vulnerability Density of Web Applications: A Quantitative Approach | |
Westbrook | Global privacy concerns of facial recognition big data | |
Liu et al. | Measuring effectiveness of information security management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170811 Termination date: 20211216 |
|
CF01 | Termination of patent right due to non-payment of annual fee |