CN105893212B - 审计数据安全管控及展示系统 - Google Patents
审计数据安全管控及展示系统 Download PDFInfo
- Publication number
- CN105893212B CN105893212B CN201610274703.2A CN201610274703A CN105893212B CN 105893212 B CN105893212 B CN 105893212B CN 201610274703 A CN201610274703 A CN 201610274703A CN 105893212 B CN105893212 B CN 105893212B
- Authority
- CN
- China
- Prior art keywords
- account
- data
- personnel
- audit
- library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012550 audit Methods 0.000 title claims abstract description 57
- 238000007726 management method Methods 0.000 title claims abstract description 21
- 238000007405 data analysis Methods 0.000 claims abstract description 16
- 238000012544 monitoring process Methods 0.000 claims abstract description 10
- 230000003542 behavioural effect Effects 0.000 claims abstract description 3
- 230000009471 action Effects 0.000 claims description 15
- 238000001514 detection method Methods 0.000 abstract 1
- 230000000694 effects Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008676 import Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 238000000034 method Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000004140 cleaning Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000003032 molecular docking Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3034—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a storage system, e.g. DASD based or network based
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/18—Legal services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Tourism & Hospitality (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Technology Law (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出了一种审计数据安全管控及展示系统,包括:数据采集模块,用于采集审计相关的各类数据;数据库服务器包括:用于底账库、许可库和行为库;数据采集模块用于检测来自所述业务系统的审计数据;数据分析模块用于对检测到的审计数据进行分析;数据展示模块,所述数据展示模块与所述数据检测模块相连,用于根据比对结果,对在所述底账库中有记录和未记录的数据源、有记录和未记录的人员帐号进行区别显示,并对每个数据源相关的人员帐号和行为数据进行关联标注。本发明可有效监控数据库访问行为,准确掌握数据库系统的安全状态。
Description
技术领域
本发明涉及数据管理和展示技术领域,特别涉及一种审计数据安全管控及展示系统。
背景技术
由于审计过程中缺少监控工具进行监控,而导致数据外泄、数据抵账不清晰、数据泄露的途径不清晰等问题产生。因此需要借助计算机软件进行对机密数据的安全,系统账号使用情况进行监控并通过软件来实现对审计数据的监控及定项。对审计结果进行加工和提取,给审计人员展示直观的数据。
发明内容
本发明的目的旨在至少解决所述技术缺陷之一。
为此,本发明的目的在于提出一种审计数据安全管控及展示系统。
为了实现上述目的,本发明的实施例提供一种审计数据安全管控及展示系统,包括:数据库服务器,所述数据库服务器用于存储数据源底账和人员底账的底账库、用于存储权限数据的许可库和用于存储审计行为数据的行为库,所述数据库服务器接收来自所述业务系统的日志记录,将计算机语言格式的日志记录解析为文字格式的审计行为数据,存储至所述行为库,其中,所述行为库包括:发起审计行为人员帐号或应用帐号、审计文件和数据表、审计行为和时间;数据采集模块,所述数据采集模块与业务系统相连,用于检测来自所述业务系统的审计数据;数据分析模块,数据分析模块与所述数据采集模块和所述数据库服务器相连,用于对检测到的审计数据进行分析,包括:将所述审计数据中的数据源与所述底账库中的数据源底账进行比对,将所述审计数据中的人员帐号与所述底账库中的人员底账进行比对,识别出与底账有差异的信息;操作日志中会记录人员的访问目标和行为,根据日志中记录的内容与数据源底账和账号底账进行比对,识别出差异的信息,包括:
(1)操作日志中捕获到的人员帐号/应用账号/数据库个数;
(2)捕获到人员帐号/应用账号/数据库在底账中有备案的;
(3)捕获到的人员帐号/应用账号/数据库在底账中没有备案的;
(4)底账中有记录,但是日志中没有捕获的;
数据展示模块,所述数据展示模块与所述数据采集模块相连,用于根据比对结果,对在所述底账库中有记录和未记录的数据源、有记录和未记录的人。
进一步,所述底账库还用于存储帐号底账、应用底账和设备底账。
进一步,所述数据分析模块还用于对所述帐号底账中的每个应用帐号进行流量监控。
进一步,所述数据库服务器接收来自所述业务系统的日志记录,将计算机语言格式的日志记录解析为文字格式的审计行为数据,存储至所述行为库。
进一步,所述行为库包括:发起审计行为人员帐号或应用帐号、审计文件和数据表、审计行为和时间。
进一步,所述数据展示模块以不同的显示亮度对所述有记录和未记录的数据源、有记录和未记录的人员帐号进行区别显示。
根据本发明实施例的审计数据安全管控及展示系统,借助计算机软件进行对机密数据的安全,系统账号使用情况进行监控并实现对审计数据的监控及定项。对审计结果进行加工和提取,给审计人员展示直观的数据。通过在网络中部署本发明,可有效监控数据库访问行为,准确掌握数据库系统的安全状态。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明实施例的审计数据安全管控及展示系统的结构图;
图2为根据本发明实施例的审计数据安全管控及展示系统的示意图;
图3为根据本发明实施例的审计数据安全管控及展示系统的架构图;
图4为根据本发明实施例的数据展示的示意图;
图5为根据本发明实施例的数据识别的示意图;
图6为根据本发明实施例的数据分析的示意图;
图7为根据本发明实施例的报表统计的示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
如图1所示,本发明实施例的审计数据安全管控及展示系统,包括:数据库服务器1、数据采集模块2、数据分析模块3和数据展示模块4。
本发明的审计数据安全管控及展示系统涉及的用户分为数据源、人员、账号、数据分析、报表统计五类。用户可以根据工作需要,被赋予不同的权限,担当多种角色。
系统管理员:可以根据工作需要赋予不同权限,担当多种角色。
采集人员:进行数据源底账、人员底账、账号底账、应用底账、操作日志。
报表统计:可以对不同数据进行分析,统计。
具体地,参考图3,数据库服务器1,包括:用于存储数据源底账和人员底账的底账库、用于存储权限数据的许可库和用于存储审计行为数据的行为库。在本发明的一个实施例中,数据资料以Excel格式在数据库服务器5中存储,通过手动导入的方式导入到数据库服务器5中。
其中,在数据源部分主要进行数据源底账的维护、数据源活跃情况的展示、数据源标识、确定关注数据源、设定数据源价值及关注度标识、数据源与人员账号、应用账号、行为的关联展示。
在本发明的一个实施例中,数据源底账是记录数据源的基本情况,用来作为备案信息,后续涉及到的数据源的减少和新增都是针对底账而言,数据源底账前期以手工导入的方式实现,使用Exce表格进行记录,主要的字段如表1所示。
| IP | 数据名 | 主管部门 | 申请开设人 |
表1
人员底账主要记录人员组织结构,数据采集模块1采集能够通过系统对接获取或设定模板导入人员底帐,为系统进一步分析提供人员底账数据依据。
人员账号为可以直接访问数据源资源的登录账号,系统负责进行人员账号的识别与统计,并对数据源进行关联。人员账号底账主要用来记录账号的基本信息,作为系统输入的原始数据,为后续的账号比对提供基础。人员账号底账采用手动导入的方式输入到系统中进行存储,以Excel格式作为导入模块,主要的字段如表2所示
| 账号 | 主管部门 | 开号人员 | 操作数据源 | 权限 | 受信任级别 |
表2
在本发明的一个实施例中,底账库还用于存储帐号底账、应用底账和设备底账。应用账号底账主要用来记录账号的基本信息,作为系统输入的原始数据,后续的系统展示都是按照原始账号中的情况进行显示,不在底账中的账号信息无法进行统计展示。应用账号底账采用手动导入的方式输入到系统中进行存储,以Excel格式作为导入模块,主要的字段如表3所示。
| 应用账号 | 数据源IP | 所属应用 | 所属部门 | 申请人 |
表3
账号底账主要用来记录账号的基本信息,作为系统输入的原始数据,为后续的账号比对提供基础。账号底账采用手动导入的方式输入到系统中进行存储,以Excel格式作为导入模块。账号底账包括:账号名称、帐号类别、应用名称、数据库IP、数据库名称、所有人、有效日期、权限类别、权限描述和业务网络。
其中,账号名称、帐号类别、应用名称、数据库IP、数据库名称、所有人、为必填项。账号类别为人员账号和应该账号,当选择应用账号时,应用名称为必填项。人员账号通过账号名称与人员底账进行关联,统计该账号的所属人员情况。通过数据库IP和数据库名称和数据库底账进行关联,统计人员与数据库之间的操作关系。应用账号通过应该名称与应用底账进行关联,为后续统计做依据。
账号许可采集能够通过系统对接获取或设定模板导入账号许可信息,为系统进一步分析提供人员信任、关注和不信任等数据支持,用于发现关注账号和不信任账号等多种类账号管理功能实现和后续安全治理工作。
应用底账用来记录海关部署的所有应用系统的基本信息,为后续统计分析做数据依据。操作日志用于记录用户访问数据库的行为
此外,参考图2,数据库服务器接收来自业务系统的日志记录,将计算机语言格式的日志记录解析为文字格式的审计行为数据,存储至行为库。
在本发明的一个实施例中,行为库包括:发起审计行为人员帐号或应用帐号、审计文件和数据表、审计行为(例如:查询、增加、删除、修改等)和时间。
数据采集模块2与业务系统相连,用于检测来自业务系统的审计数据。
数据采集模块2用于采集审计相关的各类数据。具体地,数据采集模块1获取审计相关的所有数据的信息,为后续的处理做数据基础。该功能下的菜单项有数据源底账、人员账号、应用账号、操作日志。
本发明运用大数据技术将与安全治理相关数据进行关联分析,不断动态拓展数据采集方式和内容。日志的采集功能支持对堡垒机日志开展安全审计工作所需系统日志。
如图5和图6所示,数据分析模块3与数据采集模块2和数据库服务器5相连,用于对采集到的审计数据进行分析。具体地,数据分析模块3将审计数据中的数据源与底账库中的数据源底账进行比对,将审计数据中的人员帐号与底账库中的人员底账进行比对。进一步,数据分析模块还用于对帐号底账中的每个应用帐号进行流量监控,统计账号在某时间段内的流量活动,最小单位为小时。
在本发明的一个实施例中,账号底账主要记录了该系统下的所有账号,通过数据采集模块2获取到该账号后,数据分析模块3将与账号底账进行比对,识别出与底账有差异的信息;操作日志中会记录人员的访问目标和行为,根据日志中记录的内容与数据源底账和账号底账进行比对,识别出差异的信息。例如:
(1)操作日志中捕获到的人员帐号/应用账号/数据库个数;
(2)捕获到人员帐号/应用账号/数据库在底账中有备案的;
(3)捕获到的人员帐号/应用账号/数据库在底账中没有备案的;
(4)底账中有记录,但是日志中没有捕获的。
如图4所示,数据展示模块4与数据采集模块2相连,用于根据比对结果,对在底账库中有记录和未记录的数据源、有记录和未记录的人员帐号进行区别显示,并对每个数据源相关的人员帐号和行为数据进行关联标注。并且,数据展示模块4可以使用账号分析法,进行账号冷热点的展示,对于冷账号交由运维部门进行清理审核。数据展示模块4通过冷热点的方式进行数据展示,冷热点即访问次数的少多,对于活动量为0的账号单独进行展示。数据展示模块4主要通过分析操作日志,确定数据库、账号的活动情况,用冷热点进行定义,即活动频繁的称之为热点,活动不频繁的称之为冷点,没有活动的称之为冰封的。该部分主要包括数据库的展示,人员账号的展示和应用账号的展示,每个界面上都有检索配置项。其中,热点和冷点数值为选填的,如果用户进行了设置,则按照用户设置的原则进行展示,若用户没有进行设置,则显示所有的数据情况。时间设置为必填项,即选择统计的时间范围。
数据展示模块4在完成数据源的标识后,用户可以通过数据源备案信息和活跃度等辅助手段,综合考虑选定关注对象,在该部分以数据源所有者为不变的条件,所有者对其数据源进行价值判断和关注度标识,系统可以按照表示度进行数据源的展示,同时在该级别下,系统要支持数据源关联人员账号、应用账号和行为的多维展示。
在本发明的一个实施例中,数据展示模块以不同的显示亮度对有记录和未记录的数据源、有记录和未记录的人员帐号进行区别显示。
数据展示模块4可以展示数据源的活跃情况,使用日志分析法确定数据源被访问的情况,简单进行累加展示数据源的冷热图,同时使用区域扫描法进行死数据源的定位,将冷数据源和死数据源进行统计展示,根据准出标准清理数据源。数据分析模块3对于检测到的所有数据源都要跟数据源底账进行比对,确定该数据源是否在底账中有记录,若有记录数据展示模块4进行点亮展示;若无记录数据展示模块4进行暗显示,对于暗显示的数据源统计出来,交于运维部分进行核定,确定数据源的基本信息,然后进行数据源底账的更新维护。对于检测出的亮暗显示的数据源,数据展示模块4可以统计出标识率,即:亮/(亮+暗)。
对数据源进行分析的数据依据来自操作日志,其中以数据库为主键,统计数据库的被访问情况。如有一数据库QQQ,有20条操作记录中涉及到该数据库,则称之为该数据库的访问次数为20。其中,热点和冷点都说明数据库是有被访问操作的,对于没有被访问的数据库称之为冰封数据。
热点展示:选择一段时间,热点设置为50,即对该段时间的操作日志进行统计,找出访问次数超过50的数据库,进行从高到底的展示;选择一段时间,若没有设置热点,则将所有数据库按照访问次数从高到底进行排列展示。
冷点展示:选择一段时间,冷点设置为5,即对该段时间的操作日志进行统计,找出访问次数小于5的数据库,进行从低到高的展示;选择一段时间,若没有设置冷点,则将所有数据库按照访问次数从低到高进行排列展示。
冰封数据:选择一段时间,从该段时间的操作日志中获取的数据库与数据库底账进行比对,若日志中没有而底账中存在的,称为冰封数据,排列展示在冰封数据下面
数据展示模块4还用于展示查询时间段内人员账号的活跃情况,使用冷热图的方式进行排序展示,即账号使用一次累加一次。使用区域扫描法进行死账号的定位,同时将冷账号和死账号交由运维部门进行核查清理。数据分析模块3同时将扫描出的人员账号与人员账号底账进行比对,查看在底账中是否有该信息的存在,有信息存在的确定关联的数据源,以备做数据源的关联展示,不存在的或不匹配的进行列表展示,可以通知运维人员进行核查清理。
对人员帐号活跃性进行分析的数据依据来自操作日志,其中以人员账号为主键,统计人员账号的活跃情况。如有一账号AAA的操作记录,该账号的记录的几条,则被统计为活动的次数。其中,热点和冷点都说明人员账号是有活动的,对于没有活动的账号称之为冰封账号。
热点展示:选择一段时间,热点设置为10,即对该段时间的操作日志进行统计,找出活动次数大于10的账号,进行活动次数从高到底的展示;选择一段时间,若没有设置热点,则将所有人员账号按照活动次数从高到低进行排列展示。
冷点展示:选择一段时间,冷点设置为3,即对该段时间的操作日志进行统计,找出活跃次数小于3的人员账号,进行从低到高的展示;选择一段时间,若没有设置冷点,则将所有人员账号按照活动次数从低到高进行排列展示。
冰封数据:选择一段时间,从该段时间的操作日志中获取的人员账号与人员账号底账进行比对,若日志中没有而底账中存在的,称为冰封数据,排列展示在冰封数据下面
在本发明的一个实施例中,确定数据源与账号的关联后,可以让数据源所有者进行人员账号的信任等级设定,形成可信任人员清单。
对应用帐号活跃性进行分析的数据依据来自操作日志,其中以应用账号为主键,统计人员账号的活跃情况。
热点展示:选择一段时间,热点设置为50,即对该段时间的操作日志进行统计,找出访问次数超过50的数据库,进行从高到底的展示;选择一段时间,若没有设置热点,则将所有数据库按照访问次数从高到底进行排列展示。
冷点展示:选择一段时间,冷点设置为5,即对该段时间的操作日志进行统计,找出访问次数小于5的数据库,进行从低到高的展示;选择一段时间,若没有设置冷点,则将所有数据库按照访问次数从低到高进行排列展示。
冰封数据:选择一段时间,从该段时间的操作日志中获取的数据库与数据库底账进行比对,若日志中没有而底账中存在的,称为冰封数据,排列展示在冰封数据下面。
如图7所示,数据展示模块4进一步提供报表统计功能,即查询检索,检索结果以图表的格式展示。报表统计主要以数据库为主键,进行某一时间段内的账号访问情况的统计。具体地,在页面可以增加按照部门的条件检索、数据源IP、数据名称和关联的账号,并且可以展示系统中所有可以获取的数据,后端的操作行为按照选定的日期进行匹配展示。
根据本发明实施例的审计数据安全管控及展示系统,借助计算机软件进行对机密数据的安全,系统账号使用情况进行监控并实现对审计数据的监控及定项。对审计结果进行加工和提取,给审计人员展示直观的数据。通过在网络中部署本发明,可有效监控数据库访问行为,准确掌握数据库系统的安全状态。
本发明实施例的审计数据安全管控及展示系统,具有以下有益效果:
(1)数据库设计
充分考虑已有系统的数据库设计、未来业务变化、应用的性能要求和合理的数据备份和恢复机制。
(2)易用性
系统保证7×24对外提供服务;用户在录入数据时,未保存退出系统,应提示用户;系统传输处理失败,保存报文文件。
(3)易维护性
系统日志输出完整清晰,能够根据系统主要标识,通过日志定位系统问题。
用户界面提示信息简单易懂,信息能够为用户提供指导,便于用户下一步操作。如出现致命问题,提示信息应显示详细,便于维护人员排查、解决问题。
系统代码应符合使用语言规范。
(4)易扩展性
系统充分考虑海关业务未来的改革方向,系统设计应具有一定的前瞻性,充分考虑系统未来升级、扩容、扩充和维护的可行性。系统应可以适应业务流程优化变动的情况,较易进行系统改动,具有良好的可扩展性。系统的总体架构保持相对稳定,能够满足可扩展的要求,考虑到未来海关监控指挥业务的发展,系统总体架构能适应未来更多的海关业务需求。
(5)性能需求
系统运行稳定;系统数据安全,数据上报与业务处理需内外网隔离;客户端响应快捷,速度能达到业务的基本要求;扩容性强,在达到100台终端时能够保证速度。
系统具有一定的容错和抗干扰能力,在非硬件故障或非通讯故障时,系统能够保证终端能正常运行。
扩展性强,能够满足将来业务扩展需要。
(6)安全设施需求
系统的设计遵循《全国海关科技应用项目管理办法》等海关信息系统开发建设的有关标准和规范,在《全国海关科技应用项目管理办法》和《海关信息系统安全管理规定》指导下进行设计、开发、实施。
系统在安全运行方面采用多种手段:服务器和微机均严格遵守海关信息安全规定;用户认证及授权管理采用统一管理的安全平台,严格管理用户账号和权限;建立系统审计日志;加强系统监控,使得系统异常可在第一时间得到及时处理;建立系统数据备份和清理机制。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求极其等同限定。
Claims (4)
1.一种审计数据安全管控及展示系统,其特征在于,包括:
数据库服务器,所述数据库服务器包括:用于存储数据源底账和人员底账的底账库、用于存储权限数据的许可库和用于存储审计行为数据的行为库,所述数据库服务器接收来自业务系统的日志记录,将计算机语言格式的日志记录解析为文字格式的审计行为数据,存储至所述行为库,其中,所述行为库包括:发起审计行为人员帐号或应用帐号、审计文件和数据表、审计行为和时间;
数据采集模块,所述数据采集模块与业务系统相连,用于检测来自所述业务系统的审计数据;
数据分析模块,数据分析模块与所述数据采集模块和所述数据库服务器相连,用于对检测到的审计数据进行分析,包括:将所述审计数据中的数据源与所述底账库中的数据源底账进行比对,将所述审计数据中的人员帐号与所述底账库中的人员底账进行比对,识别出与底账有差异的信息;操作日志中会记录人员的访问目标和行为,根据日志中记录的内容与数据源底账和账号底账进行比对,识别出差异的信息,包括:
(1)操作日志中捕获到的人员帐号/应用账号/数据库个数;
(2)捕获到人员帐号/应用账号/数据库在底账中有备案的;
(3)捕获到的人员帐号/应用账号/数据库在底账中没有备案的;
(4)底账中有记录,但是日志中没有捕获的;
数据展示模块,所述数据展示模块与所述数据采集模块相连,用于根据比对结果,对在所述底账库中有记录和未记录的数据源、有记录和未记录的人员帐号进行区别显示,并对每个数据源相关的人员帐号和行为数据进行关联标注。
2.如权利要求1所述的审计数据安全管控及展示系统,其特征在于,所述底账库还用于存储帐号底账、应用底账和设备底账。
3.如权利要求2所述的审计数据安全管控及展示系统,其特征在于,所述数据分析模块还用于对所述帐号底账中的每个应用帐号进行流量监控。
4.如权利要求1所述的审计数据安全管控及展示系统,其特征在于,所述数据展示模块以不同的显示亮度对所述有记录和未记录的数据源、有记录和未记录的人员帐号进行区别显示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610274703.2A CN105893212B (zh) | 2016-04-28 | 2016-04-28 | 审计数据安全管控及展示系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610274703.2A CN105893212B (zh) | 2016-04-28 | 2016-04-28 | 审计数据安全管控及展示系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105893212A CN105893212A (zh) | 2016-08-24 |
| CN105893212B true CN105893212B (zh) | 2018-11-13 |
Family
ID=56702531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610274703.2A Active CN105893212B (zh) | 2016-04-28 | 2016-04-28 | 审计数据安全管控及展示系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105893212B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107204892B (zh) * | 2017-04-12 | 2020-07-21 | 北京国电通网络技术有限公司 | 电力通信网运行数据处理方法及装置 |
| CN109828864A (zh) * | 2019-01-22 | 2019-05-31 | 安徽天勤盛创信息科技股份有限公司 | 一种审计数据安全管控系统 |
| CN110991865A (zh) * | 2019-11-29 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 运维审计系统的智能威胁分析方法 |
| CN111782712A (zh) * | 2020-07-02 | 2020-10-16 | 云南省地图院 | 一种自然资源资产审计综合空间分析系统及方法 |
| CN112861037B (zh) * | 2021-02-10 | 2023-12-12 | 北京百度网讯科技有限公司 | 数据标注方法、装置、系统、电子设备以及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103577905A (zh) * | 2012-07-23 | 2014-02-12 | 深圳中兴网信科技有限公司 | 一种信息安全的审计方法及系统 |
| US8799225B2 (en) * | 2003-11-05 | 2014-08-05 | Lumigent Technologies, Inc. | Process and system for auditing database activity |
| CN104008349A (zh) * | 2014-04-28 | 2014-08-27 | 国家电网公司 | 数据库安全访问控制方法和系统 |
-
2016
- 2016-04-28 CN CN201610274703.2A patent/CN105893212B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8799225B2 (en) * | 2003-11-05 | 2014-08-05 | Lumigent Technologies, Inc. | Process and system for auditing database activity |
| CN103577905A (zh) * | 2012-07-23 | 2014-02-12 | 深圳中兴网信科技有限公司 | 一种信息安全的审计方法及系统 |
| CN104008349A (zh) * | 2014-04-28 | 2014-08-27 | 国家电网公司 | 数据库安全访问控制方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105893212A (zh) | 2016-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105893212B (zh) | 审计数据安全管控及展示系统 | |
| Kim et al. | Data governance framework for big data implementation with NPS Case Analysis in Korea | |
| US7765193B2 (en) | Control of document disclosure according to affiliation or document type | |
| US9641334B2 (en) | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements | |
| Watson et al. | Digital forensics processing and procedures: Meeting the requirements of ISO 17020, ISO 17025, ISO 27001 and best practice requirements | |
| CN112039834A (zh) | 一种数据中心的数据采集方法和采集系统 | |
| CN102598021A (zh) | 用于管理安全对象的方法和系统 | |
| US20110231364A1 (en) | Id management method, id management system, and computer-readable recording medium | |
| CN106384057A (zh) | 数据访问权限识别方法和装置 | |
| CN109684863B (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| US20040073627A1 (en) | Patent or utility model information retrieval management system using the internet | |
| CN106778136B (zh) | 一种甄别绕行登录事件的审计方法 | |
| CN116257840B (zh) | 一种基于大数据的登录信息查询管理系统及方法 | |
| KR101415528B1 (ko) | 분산된 시스템을 위한 데이터 오류 처리 장치 및 방법 | |
| WO2017038221A1 (ja) | コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 | |
| CN114090076A (zh) | 应用程序的合规性判别方法和装置 | |
| Chiu et al. | PIDS: an essential personal information detection system for small business enterprise | |
| Jha et al. | A framework for addressing data privacy issues in e-governance projects | |
| JP6581684B1 (ja) | 名刺管理システム | |
| KR20180071699A (ko) | 개인 정보 온라인 감시 시스템 및 방법 | |
| JP5630193B2 (ja) | 操作制限管理プログラム、操作制限管理装置及び操作制限管理方法 | |
| KR20100115451A (ko) | 기업의 정보 유출을 방지하는 보안방법 | |
| CN102546636A (zh) | 监测受限资源的方法和装置 | |
| JP5062134B2 (ja) | 情報拡散システム、情報拡散装置、情報拡散方法、および情報拡散プログラム | |
| KR101709952B1 (ko) | 개인정보 점검 관리 서버 및 이를 이용한 개인정보 점검 관리 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |