CN116383856A - 一种数据安全保护措施的安全性和有效性检测方法 - Google Patents
一种数据安全保护措施的安全性和有效性检测方法 Download PDFInfo
- Publication number
- CN116383856A CN116383856A CN202310586466.3A CN202310586466A CN116383856A CN 116383856 A CN116383856 A CN 116383856A CN 202310586466 A CN202310586466 A CN 202310586466A CN 116383856 A CN116383856 A CN 116383856A
- Authority
- CN
- China
- Prior art keywords
- data
- outputting
- unsafe
- measures
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 69
- 238000012545 processing Methods 0.000 claims abstract description 62
- 238000000034 method Methods 0.000 claims abstract description 42
- 238000000586 desensitisation Methods 0.000 claims abstract description 33
- 230000005540 biological transmission Effects 0.000 claims abstract description 28
- 230000008569 process Effects 0.000 claims abstract description 19
- 238000013480 data collection Methods 0.000 claims abstract description 18
- 238000012217 deletion Methods 0.000 claims abstract description 14
- 230000037430 deletion Effects 0.000 claims abstract description 14
- 238000005516 engineering process Methods 0.000 claims abstract description 11
- 238000013500 data storage Methods 0.000 claims abstract description 7
- 238000013475 authorization Methods 0.000 claims description 24
- 238000012544 monitoring process Methods 0.000 claims description 17
- 230000003068 static effect Effects 0.000 claims description 15
- 238000012797 qualification Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000013479 data entry Methods 0.000 claims description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000009960 carding Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/04—Manufacturing
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Abstract
本发明涉及一种数据安全保护措施的安全性和有效性检测方法,属于网络安全、数据安全技术领域,包括:安全措施部署检测与安全措施正确性有效性检测;进行数据收集环节检测、和/或数据存储环节检测、和/或数据使用与加工环节检测、和/或数据传输与提供环节检测、和/或数据公开环节检测以及和/或数据删除环节检测;对所有环节过程中使用的密码和脱敏技术根据规则进行正确性验证,如果出现错误,则输出不安全;任何检测环节过程中不能识别以及提示预设内容的都输出法律警告。本发明将数据安全分为数据所处环境的安全、数据自身、数据使用目的和方法三个角度,实现对数据全生命周期内的数据安全进行检测,检测过程不获取系统数据,安全性高。
Description
技术领域
本发明涉及网络安全、数据安全技术领域,尤其涉及一种数据安全保护措施的安全性和有效性检测方法。
背景技术
目前,在包括数据收集、存储、使用、加工、传输、提供、公开和删除各环节的的数据全生命周期内,均存在数据被篡改、破坏、泄露或者非法获取、非法利用的安全风险。数据本身是需要被保护的对象,必须应采用安全有效的措施保护数据在安全状态下能被利用。与此同时,数据根究分类分级确定的重要性与采用的安全保护措施、使用和加工等不匹配,也会带来巨大的安全问题。能调研到的技术是通过识别数据行为判断数据安全,需要使用到历史数据并对系统中的真实数据进行获取,由此也带来了数据泄露的风险。本方法将综合数据所处环境并对此进行静态和动态打分,数据重要性与数据各环节匹配性检测,数据加工和使用方式的管控能力综合检测,判断数据安全保护措施的安全性和有效性,从而能得到数据是否安全的判断,避免获取历史数据和正在产生的数据,提高检测数据安全时的安全性。
需要说明的是,在上述背景技术部分公开的信息只用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本发明的目的在于克服现有技术的缺点,提供了一种数据安全保护措施的安全性和有效性检测方法,解决了现有技术不能判断是否存在非法利用的安全风险的问题,以及检测过程中泄露数据的隐患。
本发明的目的通过以下技术方案来实现:一种数据安全保护措施的安全性和有效性检测方法,所述检测方法包括:
S1、数据环境检测:安全措施部署检测与安全措施正确性有效性检测;
S2、进行数据收集环节检测、和/或数据存储环节检测、和/或数据使用与加工环节检测、和/或数据传输与提供环节检测、和/或数据公开环节检测以及和/或数据删除环节检测;
S3、对所有环节过程中使用的密码和脱敏技术根据规则进行正确性验证,如果出现错误,则输出不安全;
S4、任何检测环节过程中不能识别以及提示预设内容的都输出法律警告,获取被检对象接受S1和S2步骤输出的警告和不安全标准,并作为说明项输出,未被被检对象接受的和法律警告,则直接输出。
所述安全措施部署检测包括:
S1101、梳理系统涉及到的数据和数据流,获取网络拓扑结构和数据流拓扑图,数据流包括数据入口、内部处理、数据出口、外部处理和数据监控,拓扑图包括数据收集、存储、使用、加工、传输、提供、公开和删除各环节;
S1102、被检对象根据数据的重要性和流程中出现风险的可能性,将数据流各环节赋予不同的权重和分值,如果权重不满足预设值,则输出警告;
S1103、核查数据收集、存储、使用、加工、传输、提供、公开和删除各环节数据采用的所有安全措施,输出各环节与安全和/或安全技术服务清单,并在清单中赋予S1102步骤中设定的权重和分值,如果某一环节缺失,则该环节的权重和分值均为0,如果存在某一环节缺少保护措施,则输出不安全;
S1104、检测数据入口是否具备身份鉴别、数据重要性识别、被检对象能否接收该数据、数据是否含有非法信息的措施,如果缺少身份鉴别或者数据含有非法信息,则输出不安全,如果缺少数据重要性识别或被检对象不能接收该数据,则输出警告;
S1105、检测内部处理是否具备相应处理人员的身份鉴别和权限管控措施,如果不具备,则输出不安全,检测需要加密保护和/或脱敏保护的数据是否具备加密和/或脱敏保护,如果不具备,则输出不安全;
S1106、检测数据出口是否具备身份鉴别和权限管控措施,如果不具备,则输出不安全,检测需要加密保护和/或脱敏保护的数据是否具备加密和/或脱敏保护,如果不具备,则输出不安全;
S1107、外部处理检测数据在外部的情况下重复S1105步骤,检测是否具备数据按要求使用、加工结束后被销毁或被加密保护的监控措施,如果不具备,则输出不安全,如果加密的密钥不是由被检对象提供,则输出不安全;
S1108、检测数据监控是否包括网络安全预警系统和对数据操作行为的监控系统,如果不具备,则输出警告;
S1109、将S1103步骤的清单与密码和网络安全产品认证机构发布的实时清单进行对比,如果不匹配,则输出不安全,将安全产品和安全技术服务与存在安全问题的安全产品和安全技术服务库进行对比,如果存在安全问题的产品和技术服务,则输出不安全并作为高风险;
S1110、将前面步骤所有环节的不安全和警告由被检对象统一给出分值,每个环节所有措施进行求和得到每个环节的得分,每个环节得分乘以赋予的权重得到每个环节的静态得分,每个环节的静态得分求和除以100,得到数据所处环境的安全措施总静态得分;
S1111、获取被检对象设定的总静态得分合格界限值,如果总静态得分低于合格界限值,则输出不安全。
所述安全措施正确性有效性检测包括:
S1201、获取所有安全产品使用手册,检查安全产品实际配置与手册说明是否一致,如果不一致,则输出不安全,读取已运行的安全产品的已有日志,判断安全产品以往工作是否正常,根据网络拓扑图和数据流拓扑图,至少执行1次覆盖所有数据流拓扑的任务,如果没有日志,则观察判断是否正常,并留取证据;
S1202、将S1201步骤中的正常环节取1乘以该环节的动态得分,如果某环节有多种安全措施但存在有不正常的安全措施的情况,则取0乘以该环节的动态得分,每个环节的动态得分相加得到数据所处环境的总动态得分;
S1203、获取被检对象设定的总动态得分合格界限值,如果总动态得分低于该值,则输出不安全,如果某环境动态得分为0,则输出不安全并作为高风险;
S1204、梳理所有措施的更新周期,在每项措施更新后,至少重复S1201-S1203步骤进行一次检测。
所述数据收集环节检测包括:
S2101、获取收集数据的分类分级说明和依据文件,依据文件中明确不同类别级别的数据用的保护措施;
S2102、核查进行收集的人员和/或软硬件是否存在授权措施,如果不存在,则输出不安全,检查是否留存授权文件或授权记录,如果没有留存,则输出警告,根据授权措施读取并检查过往至少3个月的执行记录,按照说明运行1次,读取本次执行记录,如果未严格执行授权措施,则输出警告,如果出现授权错误,则输出不安全,检查是否具有采用密码技术对授权文件或授权记录进行完整性、真实性和不可否认性保护的措施,如果没有,则输出不安全;
S2103、检查系统是否具备识别数据所属类别和级别的功能,如果不具备,则输出警告;
S2104、随机读取已有的每一类每一级数据,并与分类分级说明进行对比,如果不一致,则输出警告,根据数据的分类分级说明,为每一类每一级设置样本数据,并将数据随机打乱不按照正确的类别和级别输入系统,如果系统不能纠正或风险提示,则输出警告;
S2105、对于分类分级文件要求进行机密性保护的数据,检查是否具有采用密码对收集到的数据进行机密性保护的措施,如果没有,则输出不安全,对于在分类分级文件要求在数据收集阶段进行脱敏的,检查是否具有脱敏措施,如果没有,则输出不安全;
S2106、根据数据的分类分级说明,获取需要机密性、完整性、真实性和不可否认性保护的数据说明,获取使用的密码规则,设置需要机密性保护的样本数据,运行系统,检查数据是否按照规则进行了机密性、完整性、真实性和不可否认性保护,如果没有或者不正确,则输出不安全,如果采用的密码规则不符合规范,则输出不安全;
S2107、根据数据的分类分级说明,获取脱敏规则,设置需要脱敏保护的样本数据,运行系统,检测数据是否被脱敏保护。如果没有或不正确,输出不安全,如果脱敏规则不符合规范,输出警告;
S2108、根据系统数据采集说明,随机设置不属于采集范围的数据导入系统,如果能导入或无风险提示,则输出警告;
S2109、检查被检对象是否具备识别预设内容的措施,如果没有,则输出法律警告;
S2110、检查对检对象是否具备识别个人信息数据的措施,如果没有,则输出法律警告。
所述数据存储环节检测包括:
S2201、对于分类分级文件要求进行机密性保护的数据,检查是否具有采用密码对收集到的数据进行机密性保护的措施,如果没有,则输出不安全;
S2202、检查读写存储数据是否具有权限设置,如果没有,则输出不安全,检查设置权限是否采用了密码,如果没有,则输出警告;
S2203、根据数据的分类分级说明,获取需要机密性、完整性、真实性和不可否认性保护的数据说明,获取使用的密码规则,设置需要机密性保护的样本数据,运行系统,检测数据是否按照规则进行了机密性、完整性、真实性和不可否认性保护,如果没有或不正确,输出不安全,如果采用的密码规则不符合规范,输出不安全,如果分类分级说明中对于法律规定的个人敏感信息不要求机密性保护,输出法律警告;
S2204、根据分类分级说明,检查重要数据是否具有备份,如果不具备,则输出不安全;
S2205、对于需要备份的数据,重复S2203步骤;
S2206、按照读写权限随机执行1次登录和对样本数据的读写,如果不能正确实现,则输出不安全。
所述数据使用与加工环节检测包括:
S2301、检查所有参与数据使用和加工的人员以及设备或者程序是否具备安全认证措施,如果不具备,则输出不安全,如果措施未覆盖所有的人员、设备或者程序,输出警告,检查数据所处环境是否有防止数据下载和/或外发的管控措施,如果没有,输出不安全;
S2302、检查数据的使用和加工的目的和最终的方式是否具有核准措施,如果有缺失,则输出警告;
S2303、检查数据的使用和加工的目的和方式说明,如果没有,则输出不安全,读取至少3个月内的数据使用和加工记录,将数据使用和加工的目的和使用方式与记录进行对比,如果不一致,则输出不安全;
S2304、检查数据在使用和加工过程中是否有允许加入其他数据和识别其他数据的措施,如果没有措施,输出警告,如果识别措施中包括识别数据类别和级别的超出本系统能承载的类别和级别,则输出风险提示;
S2305、根据被检对象的数据使用和加工说明,根据措施确定1套样本数据和任务,运行系统,在运行结束后,检查无权保留数据的参与方是否将数据删除,如果未删除,则输出不安全。
所述数据传输与提供环节检测包括:
S2401、检查进行数据传输和提供的人员以及设备或程序是否具有权限限制措施,如果没有,输出警告;
S2402、检查是否具有对数据传输和提供对象进行安全认证的措施,如果没有,则输出不安全;
S2403、检查数据传输、提供过程中的保护措施与数据分类分级说明是否一致,如果不一致,输出警告,传输和提供应对数据进行完整性、真实性、不可否认性保护,如果没有这样的说明和/或措施,输出不安全;
S2404、根据被检对象说明,至少随机选择1个对象作为数据传输和/或提供的对象,将数据收集环节检测的样本数据发送给该对象,分析在该过程中,是否对对象进行了安全认证,是否对数据进行了机密性保护,如果没有,则输出不安全;
S2405、检查数据提供是否具有备案措施,如果没有,则输出警告。
所述数据公开环节检测包括:
S2501、检查是否具有数据公开前的审批措施,如果没有,则输出警告,检查数据公开的人员和/或设备和/或程序是否具有权限限制,如果没有,则输出不安全;
S2502、至少准备1组脱敏后才能公开的样本数据,运行审批措施,如果不能识别出该组数据不能公开且审批通过,则输出不安全;
S2503、准备1组符合公开要求的样本数据,进行公开操作,对公开后的数据,检测是否进行了完整性保护,如果缺少完整性保护,则输出警告。
所述数据删除环节检测包括:
S2601、检查是否具备数据删除操作人员的权限管理措施,如果没有,则输出不安全;
S2602、检查是否具备删除数据的审批措施,如果没有,则输出不安全;
S2603、至少准备1组样本数据,运行删除措施,并在删除数据后恢复数据,查看数据能否被恢复,如果能,则输出警告。
本发明具有以下优点:一种数据安全保护措施的安全性和有效性检测方法,将数据安全分为数据所处环境的安全、数据自身、数据使用目的和方法三个角度,实现对数据全生命周期内的数据安全进行检测,且整体检测成本低。
附图说明
图1为本发明方法的数据所处环境检测示意图;
图2为本发明方法的数据各环节的检测示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下结合附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的保护范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。下面结合附图对本发明做进一步的描述。
本发明具体涉及一种数据安全保护措施的安全性和有效性检测方法,数据全生命周期包括数据收集、存储、使用、加工、传输、提供、公开、删除各环节,每个环节都应具备保护数据安全的措施。数据所处环境可能是互联网环境、局域网环境,也可能是单机环境等等。数据所处环境不安全会给数据带来安全问题。收集到的数据自身也存在安全隐患,比如分类分级错误,或者与数据环境不匹配,也会带来数据安全问题。数据被使用的目的和方式也能带来安全问题。数据分类分级、数据使用和加工涉及到的安全检测融入得到了各环节的检测中。对数据全生命周期内可能对数据进行篡改、破坏、泄露或者非法获取、非法利用的环节进行检测,确保数据安全。对于检测输出不安全、高风险的表明存在明确的显著的安全风险。
如图1所示,具体包括以下内容:
1、数据所处环境的检测:
1.1、安全措施部署检测:
1.1.1、梳理系统涉及到的数据和数据流,获得或绘制网络拓扑结构和数据流拓扑图,包括在线和离线。数据流总体包括数据入口、内部处理、数据出口、外部处理和数据监控,拓扑图包括数据收集、存储、使用、加工、传输、提供、公开、删除各环节,允许存在缺失环节。数据入口包括数据采集。内部处理为被检单位内的数据存储、使用、加工、传输。数据出口包括对外提供、对外传输、公开。外部处理包括与被检单位合作的,需要接收了数据对数据进行接收、存储、使用、加工。
1.1.2、被检对象根据数据的重要性和流程中出现风险的可能性,将数据流各环节赋予权重和分值,权重和为1,分值和为100。数据出口和外部处理的权重占比一般不低于0.4,重要数据权重占比一般不低于0.5,否则输出警告。同一环节拥有多项保护措施的,共享该环节分值,即每种措施的分值之和与该环节分值相等。
1.1.3、核查数据收集、存储、使用、加工、传输、提供、公开、删除各环节数据采用的所有安全措施,即安全产品和/或安全技术服务,输出各环节与安全产品和/或安全技术服务清单,并在清单中赋予1.1.2步骤中设定的权重和分值。如果环节缺失,则缺失的环节权重和分值均为0。如果有环节,但缺少保护措施的,输出不安全。
1.1.4、步骤1.1.3中的安全产品和技术服务应包括密码、数据监控系统、数据脱敏等设备和软件、技术和服务。其中,数据脱敏作为可选项,根据被检对象是否有脱敏数据的需求确定。
1.1.5、数据入口应具备身份鉴别、数据重要性识别、被检对象能否接收该数据、数据是否含非法信息的措施。如果缺少身份鉴别和数据是否含非法信息任一措施,输出不安全。其他有任一缺失的措施,输出警告。
1.1.6、内部处理应具备相应处理人员的身份鉴别和权限管控措施。如果不具备,输出不安全。对于重要需要加密保护和/或脱敏保护的数据,应具有加密和/或脱敏措施。如果不具备,输出不安全。
1.1.7、数据出口不具备身份鉴别和权限管控措施的,输出不安全,得分0。对于重要需要加密保护和/或脱敏保护的数据,应具有加密和/或脱敏措施。如果不具备,输出不安全。
1.1.8、外部处理检测数据在外部的情况下重复步骤1.1.6。应具备数据按要求使用、加工结束后被销毁或被加密保护的监控措施。如果不具备,输出不安全。加密的密钥由数据被检对象提供,否则输出不安全。
1.1.9、数据监控包括网络安全预警系统和对数据操作行为的监控系统或具备该功能的其他系统。如果不具备,输出警告。
1.1.10、将步骤1.1.3输出的清单与密码和网络安全产品认证机构发布的清单对比。如果不在认证机构发布的清单里和已过认证有效期的产品和技术服务,输出不安全。将安全产品和安全技术服务与存在安全问题的安全产品和安全技术服务库进行对比,输出存在安全问题的产品和技术服务,输出不安全。存在安全问题的安全产品和安全技术服务库内的数据来源于国家权威机构发布的问题产品和技术。对于某个环节使用多个安全产品和技术服务,存在有的产品不安全的情况,输出不安全。
1.1.11、上述环节的不安全和警告由被检对象统一给出分值。每个环节所有措施得分求和得到每个环节的得分。每个环节得分乘以赋予的权重得到每个环节的静态得分。每个环节的静态得分求和再除以100,得到数据所处环境的安全措施总静态得分。
1.1.12、获取被检对象设定的总静态得分合格界限值,如果总静态得分低于该值,输出不安全。步骤1.1.3中有环节,但缺少保护措施的不安全,步骤1.1.10中出现的不安全作为高风险。
1.2、安全措施正确性和有效性检测:
1.2.1、获取所有安全产品使用手册,检查安全产品实际配置与手册说明是否一致。如果不一致,输出不安全。对于已运行的安全产品,读取已有日志,判断安全产品以往工作是否正常。根据网络拓扑图和数据流拓扑图,至少执行1次覆盖所有数据流拓扑的任务,比如发送邮件、审批文件等。任务结束后,读取日志,判断安全产品工作是否正常。对于没有日志的,可认为观察判断是否正常,并留取证据。
1.2.2、将1.2.1步骤中的正常的环节取1乘以该环节的动态得分。步骤不正常的,包括某环节有多种安全措施但存在有不正常的安全措施的情况,取0乘以该环节的动态得分。每个环节的动态得分相加得到数据所处环境总的动态得分。
1.2.3、获取被检对象设定的总的动态得分合格界限值,如果总的动态得分低于该值,输出不安全。如果某环节动态得分为0,输出不安全作为高风险。
1.2.4、梳理所有措施的更新周期。在每项措施更新后,至少进行一次检测,检测步骤重复1.2.1-1.2.3。
2、各环节的检测:该步骤中存在多种实现方式的环节,要对每种实现方式按对应环节的检测项进行检测,且各环节的检测可以按照上述步骤执行,也可以独立执行。
如图2所示,数据分类分级、数据使用和加工涉及到的安全检测融入得到了各环节的检测中。如果缺少数据分类分级资料,则由被检对象的数据重要性和可能造成的损失资料代替。
2.1、数据收集环节检测:
2.1.1、获取收集数据的分类分级说明和依据文件。依据文件可以是标准或者达成的约定,其中应明确不同类别级别的数据应该用的保护措施,如机密性保护、脱敏等。
2.1.2、梳理数据收集方式和使用的软硬件。核查进行收集的人员和/或软硬件是否存在授权措施。如果不存在,输出不安全。检查是否留存授权文件或授权记录。如果不留存,输出警告。根据授权措施,读取并检查过往至少3个月的执行记录。按照说明运行1次,读取本次执行记录。如果未严格执行授权措施,输出警告。如果出现授权错误,输出不安全。检查是否具有采用密码技术对授权文件或授权记录进行完整性、真实性和不可否认性保护的措施。如果没有措施,输出不安全。
2.1.3、检查系统是否具备识别数据所属类别和级别的功能。数据打标签数据识别功能。如果不具备,输出警告。
2.1.4、随机读取已有的每一类每一级数据,并与分类分级说明进行对比。如果不一致,输出警告。根据数据的分类分级说明,为每一类每一级设置样本数据,并将数据随机打乱不按照正确的类别和级别输入系统。如果系统不能纠正或者风险提示,输出警告。
2.1.5、对于分类分级文件要求进行机密性保护的数据,检查是否具有采用密码对收集到的数据进行机密性保护的措施。如果没有,则输出不安全。对于在分类分级文件要求在数据收集阶段进行脱敏的,检查是否具有脱敏措施。如果没有,输出不安全。
2.1.6、根据数据的分类分级说明,获取需要机密性、完整性、真实性和不可否认性保护的数据说明,获取使用的密码规则,设置需要机密性保护的样本数据。运行系统,检测数据是否按照规则进行了机密性、完整性、真实性和不可否认性保护。如果没有或不正确,输出不安全。如果采用的密码规则不是密码行业标准或国家标准,输出不安全。
2.1.7、根据数据的分类分级说明,获取脱敏规则,设置需要脱敏保护的样本数据。运行系统,检测数据是否被脱敏保护。如果没有或不正确,输出不安全。如果脱敏规则不是行业标准或国家标准,输出警告。
2.1.8、根据系统数据采集说明,随机设置不属于采集范围的数据导入系统。如果能导入,或者无风险提示,输出警告。
2.1.9、检查被检对象是否具备不符合法规的内容,以及识别表达歧视的内容的措施。如果没有,输出法律警告。
2.1.10、检查被检对象是否具备识别个人信息数据的措施。如果没有,输出法律警告。收集3类及以上个人信息数据,如姓名、电话、家庭住址,输出法律警告。
2.2、数据存储环节检测:
2.2.1、对于分类分级文件要求进行机密性保护的数据,检查是否具有采用密码对收集到的数据进行机密性保护的措施。如果没有,则输出不安全。
2.2.2、检查读写存储数据是否具有权限设置。如果没有,输出不安全。检测设置权限是否采用了密码。如果没有,输出警告。
2.2.3、根据数据的分类分级说明,获取需要机密性、完整性、真实性和不可否认性保护的数据说明,获取使用的密码规则,设置需要机密性保护的样本数据。运行系统,检测数据是否按照规则进行了机密性、完整性、真实性和不可否认性保护。如果没有或不正确,输出不安全。如果采用的密码规则不是密码行业标准或国家标准,输出不安全。如果分类分级说明中对于法律规定的个人敏感信息不要求机密性保护,输出法律警告。
2.2.4、根据分类分级说明,检查重要数据是否具有备份。如果不具备,输出不安全。
2.2.5、对于需要备份的数据,重复步骤2.2.3。
2.2.6、按照读写权限随机执行1次登录和对样本数据的读写。如果不能正确实现,输出不安全。
2.3、数据使用与加工环节检测:
2.3.1、检查所有参与数据使用和加工的人员、设备或者程序是否具备安全认证措施。如果不具备,则输出不安全。如果措施未覆盖所有的人员、设备或者程序,输出警告。检查数据所处环境是否有防止数据下载和/或外发的管控措施。如果没有,输出不安全。
2.3.2、检查数据的使用和加工的目的和最终的方式是否有核准措施。如果有缺失,输出警告。
2.3.3、检查数据的使用和加工的目的和方式说明。如果没有,输出不安全。读取至少3个月内的数据使用和加工记录,将数据使用和加工的目的和使用方式与记录进行对比。如果不一致,输出不安全。
2.3.4、检查数据在使用和加工过程中是否有允许加入其他数据和识别其他数据的措施。如果没有措施,输出警告。识别措施至少应包括识别数据类别和级别。对于超出本系统能承载的类别和级别,应有风险提示。
2.3.5、根据被检对象的数据使用和加工说明,根据措施定1套样本数据和任务,运行系统。待运行结束后,检查无权保留数据的参与方是否将数据删除。如果未删除,输出不安全
2.4、数据传输、提供环节检测:
2.4.1、检查进行数据传输和提供的人员以及设备或程序是否具有权限限制措施。如果没有,输出警告。
2.4.2、检查是否具有对数据传输和提供对象进行安全认证的措施。如果没有,输出不安全。
2.4.3、检查数据传输、提供过程中的保护措施与数据分类分级说明是否一致。如果不一致,输出警告。传输和提供应对数据进行完整性、真实性、不可否认性保护。如果没有这样的说明和/或措施,输出不安全。
2.4.4、根据被检对象说明,至少随机选择1个对象作为数据传输和/或提供的对象。将步骤2.1.6的样本数据发送给该对象。分析在该过程中,是否对对象进行了安全认证,是否对数据进行了机密性保护。如果没有,输出不安全。
2.4.5、检查数据提供是否有备案措施。如果没有,输出警告。
2.5、数据公开环节检测:
2.5.1、检查是否具有数据公开前的审批措施。如果没有,输出警告。检查数据公开的人员和/或设备和/或程序是否具有权限限制。如果没有,输出不安全。
2.5.2、至少准备1组脱敏后才能公开的样本数据。运行审批措施。如果不能识别出该组数据不能公开,能审批通过,输出不安全。
2.5.3、准备1组符合公开要求的样本数据,进行公开操作。对公开后的数据,检测是否进行了完整性保护。完整性保护包括消息认证码(MAC、HMAC)、计算密码杂凑值、数字签名。如果缺少完整性保护,输出警告。
2.6、数据删除环节检测:
2.6.1、检查是否具备数据删除操作人员的权限管理措施。如果没有,输出不安全。
2.6.2、检查是否具备删除数据的审批措施。如果没有,输出不安全。
2.6.3、至少准备1组样本数据。运行删除措施。删除数据后,恢复数据,查看数据能否被恢复。如果数据能被恢复,输出警告。
3、对所有环节过程中使用到了的密码和脱敏技术,都根据规则进行正确性验证。如果出现错误,输出不安全。
4、任何环节不能识别、提示以下内容的,都输出法律警告。内容为:不符合法规的内容,表达歧视的内容。
5、获取被检对象接受步骤1和步骤2输出的警告、不安全的标准。对于被检对象接受的,作为说明项输出。未被接受的和法律警告,直接输出。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述检测方法包括:
S1、数据环境检测:安全措施部署检测与安全措施正确性有效性检测;
S2、进行数据收集环节检测、和/或数据存储环节检测、和/或数据使用与加工环节检测、和/或数据传输与提供环节检测、和/或数据公开环节检测以及和/或数据删除环节检测;
S3、对所有环节过程中使用的密码和脱敏技术根据规则进行正确性验证,如果出现错误,则输出不安全;
S4、任何检测环节过程中不能识别以及提示预设内容的都输出法律警告,获取被检对象接受S1和S2步骤输出的警告和不安全标准,并作为说明项输出,未被被检对象接受的和法律警告,则直接输出。
2.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述安全措施部署检测包括:
S1101、梳理系统涉及到的数据和数据流,获取网络拓扑结构和数据流拓扑图,数据流包括数据入口、内部处理、数据出口、外部处理和数据监控,拓扑图包括数据收集、存储、使用、加工、传输、提供、公开和删除各环节;
S1102、被检对象根据数据的重要性和流程中出现风险的可能性,将数据流各环节赋予不同的权重和分值,如果权重不满足预设值,则输出警告;
S1103、核查数据收集、存储、使用、加工、传输、提供、公开和删除各环节数据采用的所有安全措施,输出各环节与安全和/或安全技术服务清单,并在清单中赋予S1102步骤中设定的权重和分值,如果某一环节缺失,则该环节的权重和分值均为0,如果存在某一环节缺少保护措施,则输出不安全;
S1104、检测数据入口是否具备身份鉴别、数据重要性识别、被检对象能否接收该数据、数据是否含有非法信息的措施,如果缺少身份鉴别或者数据含有非法信息,则输出不安全,如果缺少数据重要性识别或被检对象不能接收该数据,则输出警告;
S1105、检测内部处理是否具备相应处理人员的身份鉴别和权限管控措施,如果不具备,则输出不安全,检测需要加密保护和/或脱敏保护的数据是否具备加密和/或脱敏保护,如果不具备,则输出不安全;
S1106、检测数据出口是否具备身份鉴别和权限管控措施,如果不具备,则输出不安全,检测需要加密保护和/或脱敏保护的数据是否具备加密和/或脱敏保护,如果不具备,则输出不安全;
S1107、外部处理检测数据在外部的情况下重复S1105步骤,检测是否具备数据按要求使用、加工结束后被销毁或被加密保护的监控措施,如果不具备,则输出不安全,如果加密的密钥不是由被检对象提供,则输出不安全;
S1108、检测数据监控是否包括网络安全预警系统和对数据操作行为的监控系统,如果不具备,则输出警告;
S1109、将S1103步骤的清单与密码和网络安全产品认证机构发布的实时清单进行对比,如果不匹配,则输出不安全,将安全产品和安全技术服务与存在安全问题的安全产品和安全技术服务库进行对比,如果存在安全问题的产品和技术服务,则输出不安全并作为高风险;
S1110、将前面步骤所有环节的不安全和警告由被检对象统一给出分值,每个环节所有措施进行求和得到每个环节的得分,每个环节得分乘以赋予的权重得到每个环节的静态得分,每个环节的静态得分求和除以100,得到数据所处环境的安全措施总静态得分;
S1111、获取被检对象设定的总静态得分合格界限值,如果总静态得分低于合格界限值,则输出不安全。
3.根据权利要求2所述的一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述安全措施正确性有效性检测包括:
S1201、获取所有安全产品使用手册,检查安全产品实际配置与手册说明是否一致,如果不一致,则输出不安全,读取已运行的安全产品的已有日志,判断安全产品以往工作是否正常,根据网络拓扑图和数据流拓扑图,至少执行1次覆盖所有数据流拓扑的任务,如果没有日志,则观察判断是否正常,并留取证据;
S1202、将S1201步骤中的正常环节取1乘以该环节的动态得分,如果某环节有多种安全措施但存在有不正常的安全措施的情况,则取0乘以该环节的动态得分,每个环节的动态得分相加得到数据所处环境的总动态得分;
S1203、获取被检对象设定的总动态得分合格界限值,如果总动态得分低于该值,则输出不安全,如果某环境动态得分为0,则输出不安全并作为高风险;
S1204、梳理所有措施的更新周期,在每项措施更新后,至少重复S1201-S1203步骤进行一次检测。
4.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述数据收集环节检测包括:
S2101、获取收集数据的分类分级说明和依据文件,依据文件中明确不同类别级别的数据用的保护措施;
S2102、核查进行收集的人员和/或软硬件是否存在授权措施,如果不存在,则输出不安全,检查是否留存授权文件或授权记录,如果没有留存,则输出警告,根据授权措施读取并检查过往至少3个月的执行记录,按照说明运行1次,读取本次执行记录,如果未严格执行授权措施,则输出警告,如果出现授权错误,则输出不安全,检查是否具有采用密码技术对授权文件或授权记录进行完整性、真实性和不可否认性保护的措施,如果没有,则输出不安全;
S2103、检查系统是否具备识别数据所属类别和级别的功能,如果不具备,则输出警告;
S2104、随机读取已有的每一类每一级数据,并与分类分级说明进行对比,如果不一致,则输出警告,根据数据的分类分级说明,为每一类每一级设置样本数据,并将数据随机打乱不按照正确的类别和级别输入系统,如果系统不能纠正或风险提示,则输出警告;
S2105、对于分类分级文件要求进行机密性保护的数据,检查是否具有采用密码对收集到的数据进行机密性保护的措施,如果没有,则输出不安全,对于在分类分级文件要求在数据收集阶段进行脱敏的,检查是否具有脱敏措施,如果没有,则输出不安全;
S2106、根据数据的分类分级说明,获取需要机密性、完整性、真实性和不可否认性保护的数据说明,获取使用的密码规则,设置需要机密性保护的样本数据,运行系统,检查数据是否按照规则进行了机密性、完整性、真实性和不可否认性保护,如果没有或者不正确,则输出不安全,如果采用的密码规则不符合规范,则输出不安全;
S2107、根据数据的分类分级说明,获取脱敏规则,设置需要脱敏保护的样本数据,运行系统,检测数据是否被脱敏保护,如果没有或不正确,输出不安全,如果脱敏规则不符合规范,输出警告;
S2108、根据系统数据采集说明,随机设置不属于采集范围的数据导入系统,如果能导入或无风险提示,则输出警告;
S2109、检查被检对象是否具备识别预设内容的措施,如果没有, 则输出法律警告;
S2110、检查对检对象是否具备识别个人信息数据的措施,如果没有,则输出法律警告。
5.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述数据存储环节检测包括:
S2201、对于分类分级文件要求进行机密性保护的数据,检查是否具有采用密码对收集到的数据进行机密性保护的措施,如果没有,则输出不安全;
S2202、检查读写存储数据是否具有权限设置,如果没有,则输出不安全,检查设置权限是否采用了密码,如果没有,则输出警告;
S2203、根据数据的分类分级说明,获取需要机密性、完整性、真实性和不可否认性保护的数据说明,获取使用的密码规则,设置需要机密性保护的样本数据,运行系统,检测数据是否按照规则进行了机密性、完整性、真实性和不可否认性保护,如果没有或不正确,输出不安全,如果采用的密码规则不符合规范,输出不安全,如果分类分级说明中对于法律规定的个人敏感信息不要求机密性保护,输出法律警告;
S2204、根据分类分级说明,检查重要数据是否具有备份,如果不具备,则输出不安全;
S2205、对于需要备份的数据,重复S2203步骤;
S2206、按照读写权限随机执行1次登录和对样本数据的读写,如果不能正确实现,则输出不安全。
6.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述数据使用与加工环节检测包括:
S2301、检查所有参与数据使用和加工的人员以及设备或者程序是否具备安全认证措施,如果不具备,则输出不安全,如果措施未覆盖所有的人员、设备或者程序,输出警告,检查数据所处环境是否有防止数据下载和/或外发的管控措施,如果没有,输出不安全;
S2302、检查数据的使用和加工的目的和最终的方式是否具有核准措施,如果有缺失,则输出警告;
S2303、检查数据的使用和加工的目的和方式说明,如果没有,则输出不安全,读取至少3个月内的数据使用和加工记录,将数据使用和加工的目的和使用方式与记录进行对比,如果不一致,则输出不安全;
S2304、检查数据在使用和加工过程中是否有允许加入其他数据和识别其他数据的措施,如果没有措施,输出警告,如果识别措施中包括识别数据类别和级别的超出本系统能承载的类别和级别,则输出风险提示;
S2305、根据被检对象的数据使用和加工说明,根据措施确定1套样本数据和任务,运行系统,在运行结束后,检查无权保留数据的参与方是否将数据删除,如果未删除,则输出不安全。
7.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述数据传输与提供环节检测包括:
S2401、检查进行数据传输和提供的人员以及设备或程序是否具有权限限制措施,如果没有,输出警告;
S2402、检查是否具有对数据传输和提供对象进行安全认证的措施,如果没有,则输出不安全;
S2403、检查数据传输、提供过程中的保护措施与数据分类分级说明是否一致,如果不一致,输出警告,传输和提供应对数据进行完整性、真实性、不可否认性保护,如果没有这样的说明和/或措施,输出不安全;
S2404、根据被检对象说明,至少随机选择1个对象作为数据传输和/或提供的对象,将数据收集环节检测的样本数据发送给该对象,分析在该过程中,是否对对象进行了安全认证,是否对数据进行了机密性保护,如果没有,则输出不安全;
S2405、检查数据提供是否具有备案措施,如果没有,则输出警告。
8.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述数据公开环节检测包括:
S2501、检查是否具有数据公开前的审批措施,如果没有,则输出警告,检查数据公开的人员和/或设备和/或程序是否具有权限限制,如果没有,则输出不安全;
S2502、至少准备1组脱敏后才能公开的样本数据,运行审批措施,如果不能识别出该组数据不能公开且审批通过,则输出不安全;
S2503、准备1组符合公开要求的样本数据,进行公开操作,对公开后的数据,检测是否进行了完整性保护,如果缺少完整性保护,则输出警告。
9.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法,其特征在于:所述数据删除环节检测包括:
S2601、检查是否具备数据删除操作人员的权限管理措施,如果没有,则输出不安全;
S2602、检查是否具备删除数据的审批措施,如果没有,则输出不安全;
S2603、至少准备1组样本数据,运行删除措施,并在删除数据后恢复数据,查看数据能否被恢复,如果能,则输出警告。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310586466.3A CN116383856B (zh) | 2023-05-24 | 2023-05-24 | 一种数据安全保护措施的安全性和有效性检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310586466.3A CN116383856B (zh) | 2023-05-24 | 2023-05-24 | 一种数据安全保护措施的安全性和有效性检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116383856A true CN116383856A (zh) | 2023-07-04 |
CN116383856B CN116383856B (zh) | 2023-08-29 |
Family
ID=86971278
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310586466.3A Active CN116383856B (zh) | 2023-05-24 | 2023-05-24 | 一种数据安全保护措施的安全性和有效性检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116383856B (zh) |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050187963A1 (en) * | 2004-02-20 | 2005-08-25 | Steven Markin | Security and compliance testing system and method for computer systems |
US20100064342A1 (en) * | 2007-06-05 | 2010-03-11 | Hitachi Software Engineering Co., Ltd. | Security measure status self-checking system |
JP2010250677A (ja) * | 2009-04-17 | 2010-11-04 | Mitsubishi Electric Corp | セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム |
KR20110090037A (ko) * | 2010-02-02 | 2011-08-10 | (주)소만사 | 개인정보보호에 관한 법적 규제 준수 여부를 진단하기 위한 개인정보보호 장치 및 방법 |
US20190182289A1 (en) * | 2015-07-11 | 2019-06-13 | RiskRecon Inc. | Systems and Methods for Monitoring Information Security Effectiveness |
CN111582714A (zh) * | 2020-05-07 | 2020-08-25 | 南京风数智能科技有限公司 | 网络安全措施的有效性评估方法、装置、设备和存储介质 |
CN111666571A (zh) * | 2020-05-29 | 2020-09-15 | 中国工程物理研究院计算机应用研究所 | 一种信息安全控制措施的效能分析方法 |
CN112270012A (zh) * | 2020-11-19 | 2021-01-26 | 北京炼石网络技术有限公司 | 一种用于分布式数据安全防护的装置、方法及其系统 |
CN112541177A (zh) * | 2020-12-09 | 2021-03-23 | 阳涉 | 一种基于数据安全的异常检测方法及系统 |
CN113343266A (zh) * | 2021-06-28 | 2021-09-03 | 海尔数字科技(青岛)有限公司 | 信息系统安全运营管理平台及方法 |
CN113918945A (zh) * | 2021-10-20 | 2022-01-11 | 龚珣 | 一种大数据计算机网络安全防护系统 |
CN115292738A (zh) * | 2022-10-08 | 2022-11-04 | 豪符密码检测技术(成都)有限责任公司 | 一种联邦学习模型和数据安全性及正确性的检测方法 |
CN115622686A (zh) * | 2022-12-19 | 2023-01-17 | 豪符密码检测技术(成都)有限责任公司 | 一种安全多方计算的检测方法 |
CN115733681A (zh) * | 2022-11-14 | 2023-03-03 | 贵州商学院 | 一种防止数据丢失的数据安全管理平台 |
-
2023
- 2023-05-24 CN CN202310586466.3A patent/CN116383856B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050187963A1 (en) * | 2004-02-20 | 2005-08-25 | Steven Markin | Security and compliance testing system and method for computer systems |
US20100064342A1 (en) * | 2007-06-05 | 2010-03-11 | Hitachi Software Engineering Co., Ltd. | Security measure status self-checking system |
JP2010250677A (ja) * | 2009-04-17 | 2010-11-04 | Mitsubishi Electric Corp | セキュリティ評価装置及びセキュリティ評価装置のセキュリティ評価方法及びセキュリティ評価装置のセキュリティ評価プログラム |
KR20110090037A (ko) * | 2010-02-02 | 2011-08-10 | (주)소만사 | 개인정보보호에 관한 법적 규제 준수 여부를 진단하기 위한 개인정보보호 장치 및 방법 |
US20190182289A1 (en) * | 2015-07-11 | 2019-06-13 | RiskRecon Inc. | Systems and Methods for Monitoring Information Security Effectiveness |
CN111582714A (zh) * | 2020-05-07 | 2020-08-25 | 南京风数智能科技有限公司 | 网络安全措施的有效性评估方法、装置、设备和存储介质 |
CN111666571A (zh) * | 2020-05-29 | 2020-09-15 | 中国工程物理研究院计算机应用研究所 | 一种信息安全控制措施的效能分析方法 |
CN112270012A (zh) * | 2020-11-19 | 2021-01-26 | 北京炼石网络技术有限公司 | 一种用于分布式数据安全防护的装置、方法及其系统 |
CN112541177A (zh) * | 2020-12-09 | 2021-03-23 | 阳涉 | 一种基于数据安全的异常检测方法及系统 |
CN113343266A (zh) * | 2021-06-28 | 2021-09-03 | 海尔数字科技(青岛)有限公司 | 信息系统安全运营管理平台及方法 |
CN113918945A (zh) * | 2021-10-20 | 2022-01-11 | 龚珣 | 一种大数据计算机网络安全防护系统 |
CN115292738A (zh) * | 2022-10-08 | 2022-11-04 | 豪符密码检测技术(成都)有限责任公司 | 一种联邦学习模型和数据安全性及正确性的检测方法 |
CN115733681A (zh) * | 2022-11-14 | 2023-03-03 | 贵州商学院 | 一种防止数据丢失的数据安全管理平台 |
CN115622686A (zh) * | 2022-12-19 | 2023-01-17 | 豪符密码检测技术(成都)有限责任公司 | 一种安全多方计算的检测方法 |
Non-Patent Citations (5)
Title |
---|
"政府部门如何做好网络信息安全检查工作", 中国信息化, no. 3 * |
吴迪;冯登国;连一峰;陈恺;: "一种给定脆弱性环境下的安全措施效用评估模型", 软件学报, no. 07 * |
王标;戴宗坤;陆晓宁;: "信息系统安全措施有效性评估", 四川大学学报(工程科学版), no. 01 * |
薛保民;: "检测检验行业大数据安全防护技术研究", 电子产品可靠性与环境试验, no. 04 * |
黎春武;: "网络信息系统安全防护措施及检测方案设计", 硅谷, no. 11 * |
Also Published As
Publication number | Publication date |
---|---|
CN116383856B (zh) | 2023-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Song et al. | A cyber security risk assessment for the design of I&C systems in nuclear power plants | |
US7748042B2 (en) | Security vulnerability determination in a computer system | |
CN112560027A (zh) | 一种数据安全监测系统 | |
CN115733681A (zh) | 一种防止数据丢失的数据安全管理平台 | |
Firesmith | A taxonomy of security-related requirements | |
CN111083107B (zh) | 一种基于区块链的网络安全漏洞收集处理方法 | |
CN114003920A (zh) | 系统数据的安全评估方法及装置、存储介质和电子设备 | |
Schweizerische | Information technology-Security techniques-Information security management systems-Requirements | |
CN115130122A (zh) | 一种大数据安全防护方法及系统 | |
CN110955897A (zh) | 基于大数据的软件研发安全管控可视化方法及系统 | |
CN116915515B (zh) | 用于工控网络的访问安全控制方法及系统 | |
CN116383856B (zh) | 一种数据安全保护措施的安全性和有效性检测方法 | |
CN115730320A (zh) | 一种安全级别确定方法、装置、设备及存储介质 | |
CN112434270A (zh) | 一种增强计算机系统数据安全的方法及系统 | |
CN112751823A (zh) | 一种外发数据生成方法、外发安全管控方法及系统 | |
CN115640581A (zh) | 一种数据安全风险评估方法、装置、介质及电子设备 | |
Jiang et al. | Compliance analysis of business information system under classified protection 2.0 of cybersecurity | |
Firesmith | Analyzing the security significance of system requirements | |
Palko et al. | Determining Key Risks for Modern Distributed Information Systems. | |
CN115525897A (zh) | 终端设备的系统检测方法、装置、电子装置和存储介质 | |
CN110162974B (zh) | 数据库攻击防御方法及系统 | |
CN112800437B (zh) | 信息安全风险评价系统 | |
CN116996326B (zh) | 基于蜜网的协同式主动防御方法 | |
CN117290823A (zh) | 一种app智能检测与安全防护方法、计算机设备及介质 | |
National Computer Security Center (US) | Glossary of Computer Security Terms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |