CN114117425A - 一种基于dsmm的数据采集安全检测方法 - Google Patents
一种基于dsmm的数据采集安全检测方法 Download PDFInfo
- Publication number
- CN114117425A CN114117425A CN202111246365.9A CN202111246365A CN114117425A CN 114117425 A CN114117425 A CN 114117425A CN 202111246365 A CN202111246365 A CN 202111246365A CN 114117425 A CN114117425 A CN 114117425A
- Authority
- CN
- China
- Prior art keywords
- data
- security
- acquisition
- dsmm
- data acquisition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Abstract
本发明涉及数据安全领域,特别涉及一种基于DSMM的数据采集安全检测方法,通过数据采集安全评估系统进行检测,数据采集安全评估系统包括采集合规检测模块、采集日志记录检索模块和系统环境风险评估模块;采集合规检测模块用于进行采集合规检测,采集日志记录检索模块用于采集日志记录检索,系统环境风险评估模块用于系统环境风险评估,为数据安全评估提供技术支持工具,以此检测数据采集是否合规,系统环境是否安全,通过代码的检测,查看是否有明确隐私协议、明确采集方式和目的、范围等,检测的结果更加客观、准确,从而可以提高数据安全评估结果的正确性、公正性和客观性。
Description
技术领域
本发明涉及数据安全领域,尤其涉及一种基于DSMM的数据采集安全检测方法。
背景技术
近年来,随着信息技术和人类生产生活交汇融合,通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。2016年11月颁布的《网络安全法》建立了网络数据安全相关制度,2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。由此可见,数据安全已经成为网络安全乃至国家安全法制体系中的核心内容之一。
《信息安全技术数据安全能力成熟度模型》(GB/T37988-2019)(以下简称“DSMM")是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准,于2019年8月30日发布,2020年3月1日正式实施。DSMM国家标准以组织的数据为中心,围绕数据的采集、传输、存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力4个能力维度,按照1-5级成熟度,评判组织的数据安全能力。
数据采集(DAQ)技术,又称数据获取,是指从传感器和其它待测设备等模拟和数字被测单元中自动采集信息的过程。很多互联网企业都有自己的海量数据采集工具,多用于系统日志采集,如Hadoop的Chukwa,Cloudera的Flume,Facebook的Scribe等,这些工具均采用分布式架构,能满足每秒数百MB的日志数据采集和传输需求。大多数的互联网企业也通过网络数据采集的方式来获取数据,网络数据采集是指通过网络爬虫或网站公开API等方式从网站上获取数据信息。这种方法可以将非结构化数据从网页中抽取出来,将其存储为统一的本地数据文件,并以结构化的方式存储。它支持图片、音频、视频等文件或附件的采集,附件与正文可以自动关联。
但是,现阶段的数据采集技术仅是对互联网上的数据进行收集和爬取,并未对采集的数据进行评估以判断所采集的数据是否合法、合理,目前也没有工具可以判断企业数据采集方式、采集范围以及采集合规的情况。这就导致DSMM评估人员在对企业进行DSMM评估时,需要耗费大量的时间、精力去评估企业的数据采集安全合规需求,严重影响了DSMM评估的效率。同时,传统的数据安全评估是通过对企业各个部门的人员进行访谈了解企业的数据安全现状,获取的企业信息具有一定的主观性,导致数据安全评估结果的准确性较低,公正性和客观性都收到影响。
发明内容
发明旨在解决现有技术中因缺少数据采集安全检测工具而影响DSMM评估效率的问题。
为了解决上述技术问题,本发明采取的技术方案为:
一种基于DSMM的数据采集安全检测方法,通过数据采集安全评估系统进行检测,所述数据采集安全评估系统包括采集合规检测模块、采集日志记录检索模块和系统环境风险评估模块,检测方法包括以下步骤:
A.采集合规检测:通过采集合规检测模块访问被评估方的业务系统,自动审查业务系统的代码,查看用户注册访问业务系统时,是否编写了提示代码提示用户阅读隐私协议条款,检查有无选择代码供用户勾选同意;
B.采集日志记录检索:通过采集日志记录检索模块访问被评估方的业务系统,进行入驻操作,检测所述入驻操作的每一个步骤是否都有相应的日志记录,若每个操作都能检测到日志记录,则判定合格;若其中缺少部分日志或检测不到操作日志记录,则判定不合格;
C.系统环境风险评估:通过系统环境风险评估模块对被评估方数据采集时的外部环境和内部环境进行安全扫描,扫描完成后对扫描出的风险项进行综合分析,得出系统环境安全性结论。
进一步的,在进行采集合规检测时,检测的所述提示代码的隐私协议条款内容包括数据采集目的、数据采集方式和数据采集范围。
进一步的,审查完业务系统的提示代码和选择代码后,检查所述隐私协议条款内容,然后对数据采集目的、数据采集方式和数据采集范围进行评估,并生成评估结果。
进一步的,所述评估结果以评分或报告的形式输出。
进一步的,所述入驻操作包括注册、登录、完善信息和进入系统,所述采集日志记录检索模块访问被评估方的业务系统后,依次检测注册、登录、完善信息和进入系统的日志记录,并判断是否满足DSMM二级要求。
进一步的,在判断所述入驻操作的每一个步骤是否都有相应的日志记录前,进行代码审查,审查是否具有日志记录代码;每一个步骤都完成日志记录检索并完成判定后,生成结果输出。
进一步的,所述系统环境风险评估模块先进行外部环境安全扫描,后进行内部环境安全扫描,所述外部环境安全扫描包括接口安全验证,所述内部环境包括数据库和服务器,扫描完成后依次对接口安全验证、数据库和服务器的风险项进行综合分析,并自动进行综合评分。
与现有技术相比,本发明的有益效果为:本发明的数据采集安全检测方法,将DSMM标准与评估相结合,通过将检测系统与受评估方的核心业务系统连接,为数据安全评估提供技术支持工具,以此检测数据采集是否合规,系统环境是否安全,通过代码的检测,查看是否有明确隐私协议、明确采集方式和目的、范围等。根据生成结果客观的了解企业的数据采集是否合规、是否具有操作日志以及系统环境的安全性,可以高效的协助DSMM评估人员评估企业的数据采集的安全合规需求,检测的结果将为DSMM评估人员提供技术支撑,从而有效的提高DSMM评估的效率。同时,通过系统机制自动检测,检测的结果更加客观、准确,从而可以提高数据安全评估结果的正确性、公正性和客观性。
附图说明
图1是本发明实施例的数据采集安全评估系统架构图;
图2是本发明实施例中数据采集合规检测的步骤图;
图3是本发明实施例中采集日志记录检索的步骤图;
图4是本发明实施例中系统环境风险评估的步骤图;
图5是本发明实施例具体案例中某互联网企业的数据类型图;
图6是本发明实施例具体案例中某互联网企业被检测系统XXX大数据一体化平台弹出的隐私协议。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步说明。在此需要说明的是,对于这些实施方式的说明用于帮助理解本发明,但并不构成对本发明的限定。此外,下面所描述的本发明各个实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互组合。
参照图1-4,本实施例的一种基于DSMM的数据采集安全检测方法,通过数据采集安全评估系统进行检测,数据采集安全评估系统包括采集合规检测模块、采集日志记录检索模块和系统环境风险评估模块;其中采集合规检测模块用于进行采集合规检测,对数据采集过程是否合法、合规进行检测;采集日志记录检索模块用于进行采集日志记录检索,检测采集过程中的日志记录是否完善;系统环境风险评估模块用于对系统的外部环境、内部环境进行评估。即本实施例的检测方法包括采集合规检测、采集日志记录检索和系统环境风险评估。
具体的,采集合规检测的步骤如下:
A1.连接被评估方业务系统:通过采集合规检测模块访问IP连接被评估方的业务系统,在检测系统与业务系统之间建立通信。
A2.审查代码:自动审查业务系统的代码,查看用户注册访问业务系统时,是否编写了提示代码提示用户阅读隐私协议条款,检查有无选择代码供用户勾选同意;其中,需检测提示代码的隐私协议条款内容包括数据采集目的、数据采集方式和数据采集范围,确保用户能够充分了解隐私协议条款,使双方的信息沟通达成一致,符合法律法规的规定。
A3.检查隐私协议条款:审查完业务系统的提示代码和选择代码后,检查隐私协议条款内容,从用户协议信息中解析出各个隐私协议条款,隐私协议条款包括数据采集目的、数据采集方式和数据采集范围等;对解析出的每个隐私协议条款进行分类,并提取出涉及用户隐私的权限信息,权限信息范围包括短信、通话记录、视频信息、语音信息、位置信息、照片、备忘录、日程信息等。
A4.评估采集范围和方式:对数据采集目的、数据采集方式和数据采集范围进行评估,同时也对涉及用户隐私的权限信息进行必要性和风险评估。
A5.生成结果:数据采集目的、数据采集方式和数据采集范围的评估,以及权限信息的必要性、风险评估通过关键词与系统机制判定结果组合,生成报告的形式输出,以便于DSMM评估人员直观的了解数据采集过程的合规情况。
采集日志记录检索的步骤如下:
B1.连接被评估方业务系统:通过采集日志记录检索模块访问IP连接被评估方的业务系统,进行入驻操作,入驻操作包括注册、登录、完善信息和进入系统,从而在业务系统中创建入驻操作痕迹,以便后续检查是否真实完整的被业务系统所记录。
B2.审查代码:自动审查业务系统的代码,查看是否编写了对操作过程进行日志记录的日志记录代码,有代码则继续下一步的日志记录检索,无代码则直接跳过下一步,直接生成结果。
B3.判断是否有采集日志记录:检测入驻操作的注册、登录、完善信息和进入系统等每一个步骤是否都有相应的日志记录,若每个操作都能检测到日志记录,则判定合格,并判断是否满足DSMM二级要求。若其中缺少部分日志或检测不到操作日志记录,则判定不合格。
B4.生成结果:结果以合格与不合格两种形式输出,简单明了,便于DSMM评估人员一目了然的了解采集日志记录的情况。
系统环境风险评估的步骤如下:
C1.连接被评估方业务系统:通过系统环境风险评估模块访问IP连接被评估方的业务系统,在检测系统与业务系统之间建立通信。
C2.接口安全验证和服务器、数据库扫描:由于安全的系统环境是数据采集、处理和分析等的基础,通过验证被评估方业务系统接口安全情况,然后对数据库和服务器进行安全扫描,来判断系统环境的安全情况。
C3.生成结果:扫描完成后对扫描出的风险项进行综合分析,并给出一个综合评分,以便DSMM评估人员充分了解系统环境的风险状况,便于进行后续的DSMM评估。
本实施例的数据采集安全检测方法,以《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)标准为依据,根据实际数据安全评估的步骤,将标准与评估相结合,通过将检测系统与受评估方的核心业务系统连接,为数据安全评估提供技术支持工具,以此检测数据采集是否合规,系统环境是否安全,通过代码的检测,查看是否有明确隐私协议、明确采集方式和目的、范围等。根据生成结果客观的了解企业的数据采集是否合规、是否具有操作日志以及系统环境的安全性,根据生成结果客观的对企业进行评估,可以高效的协助DSMM评估人员评估企业的数据采集的安全合规需求,检测的结果将为DSMM评估人员提供技术支撑,从而有效的提高DSMM评估的效率。同时,通过系统机制自动检测,检测的结果更加客观、准确,从而可以提高数据安全评估结果的正确性、公正性和客观性。
具体案例:
某互联网企业有公司网站和微信公众号还有自己开发有数据采集系统,数据采集功能丰富,主要包括数据的采集、挖掘、清洗、分类等功能。该企业数据来源主要有两种方式,一是通过公司网站和微信公众号收集用户信息,二是通过数据采集系统收集。当通过网站和微信公众号收集用户注册信息,例如电话号码,身份证、邮箱等隐私信息时,需要提前告知用户采集的范围和用途,需要经得用户同意后方可进行收集,当使用该数据采集系统爬取数据时,企业很难自己检测采集是否合规、采集环境是否安全、以及采集的安全性。
通过对该企业进行了解,该企业采集的数据包括图5所示的几种类型,即端上数据、开放数据、其他平台数据、物理数据、主观性数据和数据库数据;其中:
端上数据:是一个服务的客户端或者服务器端产生的数据,例如用户点了哪些页面或内容这样的数据。
开放数据:指的是开放给所有人的数据,比如网页的内容数据,或者特定行业的公开数据。这类数据往往需要使用爬虫技术来采集。
其他平台数据:通过提供的规范API接口服务来调取平台的数据,例如开发者想拿到自己微信公众号的数据,这个数据其实是存在微信那里的。这个时候,我们可以通过API接口调取微信公众号里的数据,这类数据就称为其他平台数据。
物理数据:指的是用户在物理世界中所产生的数据,包括用户刷脸购物的日志数据,用户的步数数据等。
主观性数据:就是通过用户调研或是访谈的方式,收集用户的态度或是意愿,也算是一种传统数据的采集方式。
数据库数据:指自己建设的话费时费力。如果有一些现成的方式的话就可以直接通过购买的方式来拿到相应的这个知识库的数据。
上述数据还可以按照结构分为三种类型,即非结构化数据,结构化数据,以及半结构化数据。该企业通过多种方式采集以上几类数据,在采集数据时往往存在风险,因此需要借助外部其他工具检测采集的合规性和安全性。
具体在检测时,将本发明的基于DSMM的数据采集安全评估系统分别与该的被检测系统端口连接,以此来进行数据采集安全检测。
第一步,采集合规检测。通过代码的检测,查看该企业被检测系统在采集数据时是否会在系统页面弹出个人信息采集及授权使用协议,只有当用户同意该协议后方可进行数据的收集。
经检测,该企业的XXX大数据一体化平台在收集数据时会在系统页面弹出个人信息采集及授权使用协议,并让用户知晓且同意该协议,且采集方式、采集目的均合规,因此判定该企业通过的XXX大数据一体化平台进行数据采集的行为基本合规。该企业的XXX大数据一体化平台弹出的授权使用协议参见图6。而该企业的XX数据中心在采集数据时为弹出授权使用协议,因此判定该企业通过XX数据中心在采集数据的行为不合规。
该企业数据采集合规检测结果如下表所示:
表1数据采集合规检测表
第二步,采集日志记录检索。通过采集日志记录检索模块对该企业的XXX大数据一体化平台和XX数据中心进行入驻操作,在两个系统中分别创建入驻操作痕迹,并自动审查两个系统的代码,审查发现,两个系统均编写了对操作过程进行日志记录的日志记录代码,然后继续进行日志记录检索,检索发现,两个系统对入驻操作都有相应的日志记录,因此判定该企业的XXX大数据一体化平台和XX数据中心在采集日志记录项目上均为合格。
第三步,系统环境风险评估。通过系统环境风险评估模块进行接口安全验证和服务器、数据库扫描,扫描发现,该企业的XXX大数据一体化平台采集环境安全,而XX数据中心采集环境不安全,扫描结果见上表1。
通过以上步骤对该企业的两个系统进行了数据采集安全检测,从而为DSMM评估人员提供了该企业的数据采集安全现状,为评估人员充分了解该企业两个系统数据采集的风险状况提供了极大的便利,便于进行后续的DSMM评估。
以上结合附图对本发明的实施方式作了详细说明,但本发明不限于所描述的实施方式。对于本领域的技术人员而言,在不脱离本发明原理和精神的情况下,对这些实施方式进行多种变化、修改、替换和变型,仍落入本发明的保护范围内。
Claims (7)
1.一种基于DSMM的数据采集安全检测方法,通过数据采集安全评估系统进行检测,所述数据采集安全评估系统包括采集合规检测模块、采集日志记录检索模块和系统环境风险评估模块,其特征在于,包括以下步骤:
A.采集合规检测:通过采集合规检测模块访问被评估方的业务系统,自动审查业务系统的代码,查看用户注册访问业务系统时,是否编写了提示代码提示用户阅读隐私协议条款,检查有无选择代码供用户勾选同意;
B.采集日志记录检索:通过采集日志记录检索模块访问被评估方的业务系统,进行入驻操作,检测所述入驻操作的每一个步骤是否都有相应的日志记录,若每个操作都能检测到日志记录,则判定合格;若其中缺少部分日志或检测不到操作日志记录,则判定不合格;
C.系统环境风险评估:通过系统环境风险评估模块对被评估方数据采集时的外部环境和内部环境进行安全扫描,扫描完成后对扫描出的风险项进行综合分析,得出系统环境安全性结论。
2.根据权利要求1所述的基于DSMM的数据采集安全检测方法,其特征在于,在进行采集合规检测时,检测的所述提示代码的隐私协议条款内容包括数据采集目的、数据采集方式和数据采集范围。
3.根据权利要求2所述的基于DSMM的数据采集安全检测方法,其特征在于,审查完业务系统的提示代码和选择代码后,检查所述隐私协议条款内容,然后对数据采集目的、数据采集方式和数据采集范围进行评估,并生成评估结果。
4.根据权利要求3所述的基于DSMM的数据采集安全检测方法,其特征在于,所述评估结果以评分或报告的形式输出。
5.根据权利要求1所述的基于DSMM的数据采集安全检测方法,其特征在于,所述入驻操作包括注册、登录、完善信息和进入系统,所述采集日志记录检索模块访问被评估方的业务系统后,依次检测注册、登录、完善信息和进入系统的日志记录,并判断是否满足DSMM二级要求。
6.根据权利要求5所述的基于DSMM的数据采集安全检测方法,其特征在于,在判断所述入驻操作的每一个步骤是否都有相应的日志记录前,进行代码审查,审查是否具有日志记录代码;每一个步骤都完成日志记录检索并完成判定后,生成结果输出。
7.根据权利要求1所述的基于DSMM的数据采集安全检测方法,其特征在于,所述系统环境风险评估模块先进行外部环境安全扫描,后进行内部环境安全扫描,所述外部环境安全扫描包括接口安全验证,所述内部环境包括数据库和服务器,扫描完成后依次对接口安全验证、数据库和服务器的风险项进行综合分析,并自动进行综合评分。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111246365.9A CN114117425A (zh) | 2021-10-26 | 2021-10-26 | 一种基于dsmm的数据采集安全检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111246365.9A CN114117425A (zh) | 2021-10-26 | 2021-10-26 | 一种基于dsmm的数据采集安全检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114117425A true CN114117425A (zh) | 2022-03-01 |
Family
ID=80376699
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111246365.9A Pending CN114117425A (zh) | 2021-10-26 | 2021-10-26 | 一种基于dsmm的数据采集安全检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114117425A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114648256A (zh) * | 2022-05-19 | 2022-06-21 | 杭州世平信息科技有限公司 | 一种数据安全检查方法和系统及设备 |
-
2021
- 2021-10-26 CN CN202111246365.9A patent/CN114117425A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114648256A (zh) * | 2022-05-19 | 2022-06-21 | 杭州世平信息科技有限公司 | 一种数据安全检查方法和系统及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
McKemmish | When is digital evidence forensically sound? | |
Abdo | Accounting for extractive industries: has IFRS 6 harmonised accounting practices by extractive industries? | |
Axelsson | A systematic mapping of the research literature on system-of-systems engineering | |
CN110223035A (zh) | 消防验收智能量化方法和消防验收智能量化系统 | |
TW202121329A (zh) | 針對隱私資料洩漏的風險評估方法及裝置 | |
CN106027528A (zh) | 一种web水平权限自动化识别的方法及装置 | |
CN107592305A (zh) | 一种基于elk和redis的防刷方法及系统 | |
CN113779571B (zh) | WebShell检测装置、WebShell检测方法及计算机可读存储介质 | |
CN114117425A (zh) | 一种基于dsmm的数据采集安全检测方法 | |
CN114785710A (zh) | 一种工业互联网标识解析二级节点服务能力的评估方法及系统 | |
TW201415275A (zh) | 取證系統、取證方法及取證程式 | |
CN112215577A (zh) | 一种基于互联网电商平台的在线会员数据管理系统和方法 | |
CN112433936A (zh) | 测试方法、装置及存储介质 | |
CN109544179B (zh) | 基于重要产品追溯数据服务的运行支撑系统 | |
CN105786929A (zh) | 一种信息监测方法及装置 | |
CN115062315A (zh) | 一种基于多工具检查的安全代码审查方法及系统 | |
CN109583210A (zh) | 一种水平权限漏洞的识别方法、装置及其设备 | |
CN110297854B (zh) | 一种app域名核验方法与系统 | |
CN113327023A (zh) | 穿行测试方法、装置、电子设备及计算机可读存储介质 | |
CN112287024A (zh) | 一种基于区块链的征信管理系统 | |
Baroto et al. | Digital forensic process in fraud investigation: A case study on email analysis | |
CN114610982B (zh) | 一种计算机网络数据采集分析管理方法、设备及存储介质 | |
CN116150541B (zh) | 后台系统的识别方法、装置、设备及存储介质 | |
CN116301646B (zh) | 一种基于机器学习的个人计算机储存管理系统 | |
CN115396238B (zh) | 一种基于大数据安全评估分析系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |