CN116881979A - 数据安全合规的检测方法、装置及设备 - Google Patents

数据安全合规的检测方法、装置及设备 Download PDF

Info

Publication number
CN116881979A
CN116881979A CN202311072406.6A CN202311072406A CN116881979A CN 116881979 A CN116881979 A CN 116881979A CN 202311072406 A CN202311072406 A CN 202311072406A CN 116881979 A CN116881979 A CN 116881979A
Authority
CN
China
Prior art keywords
data
compliance
safety
security
standards
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311072406.6A
Other languages
English (en)
Inventor
衡相忠
周文轩
胡理兵
陆彬
胡绍勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202311072406.6A priority Critical patent/CN116881979A/zh
Publication of CN116881979A publication Critical patent/CN116881979A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种数据安全合规的检测方法、装置及设备,涉及数据安全技术领域,使得数据安全合规的检测过程能够灵活匹配到不同周期阶段的数据资产,提高数据安全检测的准确性。其中方法包括:通过获取不同业务场景的数据安全标准,对数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项,利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,然后根据数据资产在不同周期阶段上标记得到的数据安全标签,对数据安全标准中的安全合规项进行组合,构建安全合规策略,响应于数据安全合规的检测指令,使用安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。

Description

数据安全合规的检测方法、装置及设备
技术领域
本申请涉及数据安全技术领域,尤其是涉及到一种数据安全合规的检测方法、装置及设备。
背景技术
在当今数字化时代,安全合规检测已经成为企业非常重要的一环。保障数据安全需要企业遵守相关的法律法规和标准,因此,数据安全合规的检测也成为了企业不可忽视的事项之一。
相关技术中,可使用数据安全标准解读出的安全合规项来对数据安全进行检测,但是考虑到安全标准需要贴合业务需求,在相应安全标准下解读出的业务合规项具有业务场景的局限性,很难通过单一的业务合规项对数据安全进行全面检测,使得数据安全合规的检测结果与业务场景的贴合度较低,影响数据安全检测的准确性。
发明内容
有鉴于此,本申请提供了一种数据安全合规的检测方法、装置及设备,主要目的在于解决现有技术的数据安全合规的检测结果与业务场景的贴合度较低,影响数据安全检测的准确性的问题。
根据本申请的第一个方面,提供了一种数据安全合规的检测方法,包括:
获取不同业务场景的数据安全标准,对所述数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项;
利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,所述数据生命全周期包括数据从创建到销毁过程中经历的周期阶段;
根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略;
响应于数据安全合规的检测指令,使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。
进一步地,所述获取不同业务场景的数据安全标准,对所述数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项,具体包括:
获取不同业务场景的数据安全标准,遍历每种业务场景的数据安全标准,将所述数据安全标准与检测资源的数据类型进行比对;
在所述数据安全标准中提取比对结果相一致的安全合规要求,从所述比对相一致的安全合规要求中提取适用于业务场景的安全合规项。
进一步地,在所述利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记之前,所述方法还包括:
在数据资产进行流转处理过程中创建数据生命全周期的安全框架,在所述安全框架中定义数据生命全周期内不同周期阶段适用评估数据安全标准的字段标识;
相应的,所述利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,具体包括:
利用数据资产在数据生命全周期内不同周期阶段与带有数据安全标准的字段标识之间的关联方式,对所述字段标识进行多维度分类;
使用多维度分类得到的字段标识,在数据生命全周期内不同周期阶段对数据资产进行标记。
进一步地,所述在数据资产进行流转处理过程中创建数据生命全周期的安全框架,在所述安全框架中定义数据生命全周期内不同周期阶段适用评估数据安全标准的字段标识,具体包括:
在数据资源进行流转的过程中创建数据生命全周期的安全框架,将所述数据生命全周期划分为多个周期阶段;
针对每个周期阶段内覆盖的数据类型,使用预先设置的数据安全标识逻辑结构,定义所述周期阶段适用评估数据安全标准的字段标识。
进一步地,所述使用多维度分类得到的字段标识,在数据生命全周期内不同周期阶段对数据资产进行标记,具体包括:
根据多维度分类得到的字段标识,提取字段标识中的校验信息,所述校验信息中包含数据资产的校验码,所述校验码是使用预设算法对数据资产进行运算得到的唯一标识码;
使用所述数据资产的校验码,在数据生命全周期内不同周期阶段对数据资产进行标记,以使得多维度分类得到的字段标识与数据生命全周期内不同周期阶段的数据资产实现强绑定关系。
进一步地,在所述根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略之后,所述方法还包括:
创建多个校验规则,利用所述多个检验规则之间的逻辑关系,构建可配置的规则表达式;
相应的,所述使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果,具体包括:
使用所述可配置的规则表达式判断所述待检测的数据资源是否符合所述安全合规策略中每个安全合规项的数据要求,根据判断结果生成数据安全合规的检测结果。
进一步地,所述使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果,具体包括:
使用所述安全合规策略创建安全合规模板,在所述安全合规模板中设置安全合规策略适用的目标周期阶段;
根据所述安全合规模板生成安全合规任务,在所述目标周期阶段内对待检测的数据资产执行所述安全合规任务,得到数据安全合规的检测结果。
根据本申请的第二个方面,提供了一种数据安全合规的检测装置,包括:
获取单元,用于获取不同业务场景的数据安全标准,对所述数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项;
标记单元,用于利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,所述数据生命全周期包括数据从创建到销毁过程中经历的周期阶段;
构建单元,用于根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略;
检测单元,用于响应于数据安全合规的检测指令,使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。
进一步地,所述获取单元,具体用于获取不同业务场景的数据安全标准,遍历每种业务场景的数据安全标准,将所述数据安全标准与检测资源的数据类型进行比对;在所述数据安全标准中提取比对结果相一致的安全合规要求,从所述比对相一致的安全合规要求中提取适用于业务场景的安全合规项。
进一步地,所述装置还包括:
定义单元,用于在所述利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记之前,在数据资产进行流转处理过程中创建数据生命全周期的安全框架,在所述安全框架中定义数据生命全周期内不同周期阶段适用评估数据安全标准的字段标识;
相应的,所述标记单元,具体用于利用数据资产在数据生命全周期内不同周期阶段与带有数据安全标准的字段标识之间的关联方式,对所述字段标识进行多维度分类;使用多维度分类得到的字段标识,在数据生命全周期内不同周期阶段对数据资产进行标记。
进一步地,所述定义单元,具体用于在数据资源进行流转的过程中创建数据生命全周期的安全框架,将所述数据生命全周期划分为多个周期阶段;针对每个周期阶段内覆盖的数据类型,使用预先设置的数据安全标识逻辑结构,定义所述周期阶段适用评估数据安全标准的字段标识。
进一步地,所述标记单元,具体还用于根据多维度分类得到的字段标识,提取字段标识中的校验信息,所述校验信息中包含数据资产的校验码,所述校验码是使用预设算法对数据资产进行运算得到的唯一标识码;使用所述数据资产的校验码,在数据生命全周期内不同周期阶段对数据资产进行标记,以使得多维度分类得到的字段标识与数据生命全周期内不同周期阶段的数据资产实现强绑定关系。
进一步地,所述装置还包括:
创建单元,用于在所述根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略之后,创建多个校验规则,利用所述多个检验规则之间的逻辑关系,构建可配置的规则表达式;
相应的,所述检测单元,具体还用于使用所述可配置的规则表达式判断所述待检测的数据资源是否符合所述安全合规策略中每个安全合规项的数据要求,根据判断结果生成数据安全合规的检测结果。
进一步地,所述检测单元,具体用于使用所述安全合规策略创建安全合规模板,在所述安全合规模板中设置安全合规策略适用的目标周期阶段;根据所述安全合规模板生成安全合规任务,在所述目标周期阶段内对待检测的数据资产执行所述安全合规任务,得到数据安全合规的检测结果。
根据本申请的第三个方面,提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述方法的步骤。
根据本申请的第四个方面,提供了一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法的步骤。
借由上述技术方案,本申请提供的一种数据安全合规的检测方法、装置及设备,与目前现有技术中使用数据安全标准提炼的安全合规项对数据安全进行检测的方式相比,本申请通过获取不同业务场景的数据安全标准,对数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项,利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,该数据生命全周期包括数据从创建到销毁过程中经历的周期阶段,然后根据数据资产在不同周期阶段上标记得到的数据安全标签,对数据安全标准中的安全合规项进行组合,构建安全合规策略,响应于数据安全合规的检测指令,使用安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。整个过程以数据安全标准为依据解读出适用于业务场景的安全合规项,然后根据数据资产在不同周期阶段上标记的数据安全标签将安全合规项组合成贴合业务场景的安全合规策略,使得数据安全合规的检测过程能够灵活匹配到不同周期阶段的数据资产,提高数据安全检测的准确性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请一实施例中数据安全合规的检测方法的流程示意图;
图2是图1中步骤101的一具体实施方式流程示意图;
图3是本申请另一实施例中数据安全合规的检测方法的流程示意图;
图4为本申请另一实施例中数据安全合规的检测方法的流程示意图;
图5为图1中步骤104的一具体实施方式流程示意图;
图6为本申请一实施例中数据安全检测的流程框图;
图7为本申请一实施例中安全合规策略构建的流程框图;
图8是本申请一实施例中数据安全合规的检测装置的结构示意图;
图9是本发明实施例提供的一种计算机设备的装置结构示意图。
具体实施方式
现在将参照若干示例性实施例来论述本发明的内容。应当理解,论述了这些实施例仅是为了使得本领域普通技术人员能够更好地理解且因此实现本发明的内容,而不是暗示对本发明的范围的任何限制。
如本文中所使用的,术语“包括”及其变体要被解读为意味着“包括但不限于”的开放式术语。术语“基于”要被解读为“至少部分地基于”。术语“一个实施例”和“一种实施例”要被解读为“至少一个实施例”。术语“另一个实施例”要被解读为“至少一个其他实施例”。
相关技术中,可使用数据安全标准解读出的安全合规项来对数据安全进行检测,但是考虑到安全标准需要贴合业务需求,在相应安全标准下解读出的业务合规项具有业务场景的局限性,很难通过单一的业务合规项对数据安全进行全面检测,使得数据安全合规的检测结果与业务场景的贴合度较低,影响数据安全检测的准确性。
为了解决该问题,本实施例提供了一种数据安全合规的检测方法,如图1所示,该方法应用于数据安全检测系统对应的服务端,包括如下步骤:
101、获取不同业务场景的数据安全标准,对所述数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项。
其中,数据安全标准是制定的一系列规范和措施,以确保数据的合法合规性、完整性和可用性,目的是保护数据免受未经授权的访问、篡改、损坏和丢失。数据安全标准主要包括以下几方面:数据控制,限制访问数据的人员和权限,确保只有授权人员可以访问数据;数据加密,加密数据以保护其机密性,确保即使数据被盗取也无法被读取;数据备份和恢复,定期备份数据以确保数据不会因意外事件造成永久性损失;安全审计,监控和记录对数据的访问、使用和修改,以便及时发现和处理异常情况;物理安全,保护存储数据的设备和介质免收丢失、盗窃和破坏。
在实际应用中,考虑到不同业务场景中涉及到的安全风险不同,相应数据安全标准也不相同,例如,在开发测试场景中,主要产出的是设计文档、测试用例、核心代码或图纸等,这类数据会大量存储在用户的终端上,因此终端的数据防泄漏是重中之重,在开发调试与测试过程中,可能会使用到真实数据进行调试,因此数据安全标准需要对敏感数据做脱敏和防泄露处理,在运维过程中,由于企业运维资源较多,资产管理困难,而运维人员的权限较大,因此数据安全标准需要对运维的权限和过程进行管理和审计。在办公数据应用场景中,业务可以通过业务系统违规操作统计下载导出敏感数据,一旦泄露,可能会造成比较大的危害。同时办公环节产出的商密数据、项目数据、财务数据等,由于内部泄露或外部攻击造成的数据失窃,因此数据安全标准需要对数据失窃进行防范。
具体对数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项的过程中,首先需要对数据安全标准进行详细了解,包括数据安全的基本规则、技术要求、管理规定等。这样可以有一个全面的了解,然后对于具体的业务场景,需要了解其特点、数据流程、敏感数据等方面的信息,更好地理解业务需求和安全风险,进一步将数据安全标准与业务场景进行比对,找出使用的安全合规项,具体可以根据业务场景的特点和需求,筛选出与之相关的安全合规项,并排除与业务场景不相关或者不适用的安全合规项,进一步根据业务场景的需求和数据安全标准的安全合规项,进行定制化规范的指定,这些定制化规范应该具体的安全要求、技术措施、管理措施等内容,以确保业务场景的数据安全合规。
可以理解的是,这里数据安全标准是一个相对固定的框架,而业务场景式具体的情景,因此在提炼安全合规项时需要兼顾数据安全标准的要求和业务的实际情况,确保安全合规项的可行性和有效性。同时,安全合规项需要根据业务场景的变化进行动态调整和更新,以确保数据安全合规的持续性和适应性。
对于本实施例的执行主体可以为数据安全合规的检测装置或设备,可以配置数据安全检测系统对应的服务端,通过在数据安全标准中确定适用于业务场景的安全合规项,以安全合规项作为数据管理和保护的依据,以使得企业或机构按照相关的规范对涉及到的数据资产进行合理管理和保护,保障数据的完整性、可用性和保密性。
102、利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记。
其中,数据生命全周期包括数据从创建到销毁过程中经历的周期阶段,具体包括数据采集、数据存储、数据处理、数据传输、数据交换以及数据销毁等周期阶段。在数据生命全周期中,数据价值决定着数据生命周期的长度,并且数据价值会随着时间的变化而递减。
可以理解的是,数据安全的风险识别需要从业务场景识别开始,围绕企业重要的数据资产,以数据全生命周期为主要的对象、以敏感数据的识别监测和管控为着力点,关注重要数据的业务流、数据流、关注并分析业务处理活动中存在的合法合规问题、数据泄露、权限滥用、身份识别、数据篡改、恶意操作等数据安全主要威胁。在本实施例中,带有数据安全标准的字段标识可通过数据安全标识技术实现,数据安全标识技术是一种基于大数据和加密技术的可信数据安全标注与识别技术,能够为数据生命全周期安全管理提供可信的数据属性信息支撑。带有数据安全标准的字段标识是与数据资产安全相关的属性的格式化封装,是数据安全属性的信息载体,可由安全可信的数据安全标识认证系统签发,采用密码技术确保标识信息的完整性和真实性,防止被篡改和仿冒。
具体数据安全标签可以根据多种校验规则进行设置,例如,数据类型、数据量、是否为个人信息、数据分级、数据资源类型等。进一步地,为了能够更好地保护数据使用的便捷性和实现数据保护的安全性二者之间的平衡,促进数据安全能力建设降本增效,通常在对数据资产进行标记之前,可以对企业或组织的数据资产进行分类分级,以采用更精细化的安全管理手段。这里为应对企业或组织海量数据的分类分级,可采用谓词切分与语义识别技术、知识库匹配技术和机器建模与AI识别等技术,辅助人工快速形成数据分类分级清单,对数据资产实行分类分级保护。对数据资产的分类分级因为要密切贴合组织的自身业务特点,一般没有特别通用的规则和方法,通常会根据数据的用途、内容、业务领域等因素进行,而且可能需要随着业务的变化而动态变化。
103、根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略。
可以理解的是,数据安全标签自身具备完整性、可认证性和抗抵赖性等安全特性,主要采用数字签名技术实现。在生成数据安全标签时,由数据安全标识认证系统对标识结构中的标识头、标识体和客体数据校验码构成的数据块做数字签名计算,并将签名结果值存入标识结构的安全标识校验码元素。使用数据安全标签,对安全标识校验码进行签名验证,以判定数据安全标签是否被篡改、仿冒。
具体地,可根据数据资产在不同周期阶段上标记得到的数据安全标签,确定数据安全的合规场景,分析数据安全的合规场景所面临的的合规性,根据合规性从数据安全标准中选取数据安全标签相匹配的安全合规项,将选取的安全合规项进行组合,构建安全合规策略。示例性的,在企业内部数据安全治理场景中涉及到敏感数据的智能识别、数据脱敏风险评估以及用户实体行为分析等数据安全标签,进一步分析企业内部数据安全治理场景面临的合规性,从数据安全标准的安全合规项中分别选取敏感数据的智能识别、数据脱敏风险评估以及用户实体行为分析相关联的安全合规项。
进一步地,考虑到不同行业和不同企业的数据标准有所不同,需要从数据安全标准中关联安全合规项进行组合的方式也不相同,具体在将选取的安全合规项进行组合的过程中,可根据安全合规项中定义的合规事项,将安全合规项拆解为合规元素后映射到不同的合规范围,确定安全合规项中不同合规元素之间的运行逻辑,根据运行逻辑将安全合规项中的拆解得到的合规元素进行组合,构建安全合规策略。
应说明的是,这里数据安全的合规场景还可以包括一系列子场景,在这些子场景中由于合规性和数据安全需求的升级,通常会覆盖更多安全合规项以及对安全合规项提出更复杂的组合方式。
104、响应于数据安全合规的检测指令,使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。
可以理解的是,数据安全的合规性检查是对单位整体及重要业务系统等对象,以合规为依据从数据安全管理制度、数据运营安全、研发环节安全、数据全生命周期安全和个人信息等多方面开展数据安全检查。通过数据安全的合规性检查发现数据安全方面存在的问题,分析评估得出整体数据安全,为后续数据安全整改与治理提供支撑,能够更有针对性建设全方位的数据安全体系,保障数据安全机密性、完整性、可用性,在合规性的基础上,确保业务在安全的环境下稳定运行,避免因数据泄露影响单位运行和社会稳定。
具体地,可先确定待检测的数据资产范围和敏感程度,数据资产范围包括数据库、文件存储、云服务等,同时评估其敏感程度,包括个人身份信息、财务数据等,然后使用所述安全合规策略确定实时相应的安全技术措施,通过安全技术措施对待检测的数据资产进行检测,例如,对数据资产进行加密,对数据资产进行身份验证、防火墙、入侵检测系统等,以确保数据资产的安全性和合规性。
本申请实施例提供的数据安全合规的检测方法,与目前现有技术中使用数据安全标准提炼的安全合规项对数据安全进行检测的方式相比,本申请通过获取不同业务场景的数据安全标准,对数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项,利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,该数据生命全周期包括数据从创建到废弃过程中经历的周期阶段,然后根据数据资产在不同周期阶段上标记得到的数据安全标签,对数据安全标准中的安全合规项进行组合,构建安全合规策略,响应于数据安全合规的检测指令,使用安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。整个过程以数据安全标准为依据解读出适用于业务场景的安全合规项,然后根据数据资产在不同周期阶段上标记的数据安全标签将安全合规项组合成贴合业务场景的安全合规策略,使得数据安全合规的检测过程能够灵活匹配到不同周期阶段的数据资产,提高数据安全检测的准确性。
在上述实施例中,不同业务场景的数据安全标准通常会包含一些基本的数据安全要求和控制措施,例如,办公场景的数据安全标准包括数据加密以及数据恢复等方面的要求,具体地,如图2所示,步骤101包括如下步骤:
201、获取不同业务场景的数据安全标准,遍历每种业务场景的数据安全标准,将所述数据安全标准与检测资源的数据类型进行比对。
202、在所述数据安全标准中提取比对结果相一致的安全合规要求,从所述比对相一致的安全合规要求中提取适用于业务场景的安全合规项。
具体针对不同业务场景的数据安全标准,了解组织所处理的不同数据类型,例如,个人身份信息、财务数据、医疗记录等,对于每种数据类型,需要确定其相应的安全合规要求,进一步将数据安全标准与检测资源的数据类型进行比对,找出相应的安全合规要求。例如,对于个人身份信息,需要遵守隐私保护、数据加密和访问控制等安全合规要求。然后根据比对结果相一致的安全合规要求制定相应的安全合规项。每个安全合规项应明确说明要求、责任方和实施措施,例如,对于数据加密要求,可制定安全合规项为“对个人身份信息进行加密存储和传输”,并指定责任方和具体的加密算法和技术
可以理解的是,数据安全标准作为指引企业或组织数据安全建设的重要依据,应对解读的安全标准和规范的安全合规项进行落实,形成安全合规库,收录并拆解各类与数据安全相关的规范,为数据安全提供参考及评估标准,并根据安全合规库中适用于不同业务场景的安全合规项制定安全合规策略。
这里数据安全标准多以文档形式,难以融入到日常的安全运营工作中去,可通过技术手段建立法律法规库系统,系统提供规范标准的录入、修订、废止、检索功能,通过系统可快速检索组织应执行的安全合规项,根据各安全合规项的执行安全策略和具体实施的安全措施。
应说明的是,由于数据安全标准和组织的业务环境可能发生变化,可通过定期复审和更新安全合规项,以确保其与最新的标准和要求保持一致。
具体地,在上述实施例中,如图3所示,在步骤102包括之前,还包括如下步骤:
301、在数据资产进行流转处理过程中创建数据生命全周期的安全框架,在所述安全框架中定义数据生命全周期内不同周期阶段适用评估数据安全标准的字段标识。
可以理解的是,在数据资产进行流转处理过程中,包括数据的收集、存储、加工、传输、提供、公开等环节,对数据采取必要的措施,确保数据处于有效保护和合法利用的状态。以数据为中心,从数据的全生命周期角度开展数据安全管理工作,包括用户管理、登录认证、授权鉴权、传输加密、数据脱敏、分级分类、操作审计、安全响应等工作。具体可将数据全生命周期划分为数据采集、数据传输、数据存储、数据处理、数据交换以及数据销毁等周期阶段,不同的周期阶段覆盖有不同的数据类型。
具体地,可在数据资源进行流转的过程中创建数据生命全周期的安全框架,将数据生命全周期划分为多个周期阶段,针对每个周期阶段内覆盖的数据类型,使用预先设置的数据安全标识逻辑结构,定义周期阶段适用评估数据安全标准的字段标识。例如,针对数据采集的周期阶段,数据安全标识在数据采集的周期阶段由数据安全标识认证系统生成,并存入数据安全标识库,为数据生命周期后续各阶段提供安全可信的数据安全属性信息支撑。针对数据传输的周期阶段,可基于数据安全标识实施数据分级传输保护和传输控制,数据传输前,可根据数据安全标识中的数据安全等级,对课题数据进行分级传输保护,对于公开数据,可不进行传输保护,对于内部数据,可以进行传输完整性保护,对于涉密数据,可进行传输机密性保护。
相应的,在利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记的过程中,可根据多维度分类得到的字段标识,提取字段标识中的校验信息,这里校验信息中包含数据资产的校验码,校验码是使用预设算法对数据资产进行运算得到的唯一标识码,然后使用数据资产的校验码,在数据生命全周期内不同周期阶段对数据资产进行标记,以使得多维度分类得到的字段标识与数据生命全周期内不同周期阶段的数据资产实现强绑定关系,应说明的是,这里字段标识中数据资产的校验码不但可以实现与数据资产的强绑定,还可以对数据资产进行完整性验证,如果数据资产被篡改,那么数据的实际摘要值将发生变化,通过比对数据实际摘要值是否与字段标识中的数据摘要值相同,便能验证数据是否被篡改。
具体地,在上述实施例中,如图4所示,在步骤103之后,方法还包括如下步骤:
401、创建多个校验规则,利用所述多个检验规则之间的逻辑关系,构建可配置的规则表达式。
相应的,步骤104包括:使用所述可配置的规则表达式判断所述待检测的数据资源是否符合所述安全合规策略中每个安全合规项的数据要求,根据判断结果生成数据安全合规的检测结果。
考虑到数据资源在不同周期阶段上标记得到的数据安全标签之间可能具有不同关联关系,可使用关系式来表示数据安全标签之间的关联关系,进一步通过关系式创建可配置的规则表达式。例如,数据安全标签A与数据安全标签B具有包含的关联关系,针对数据安全标签创建包含的规则表达式。
可以理解的是,数据安全标准中的安全合规项是企业或组织需遵守的一系列规定和标准,利用检验规则之间的逻辑关系可配置不同的规则表达式,例如,检验规则1与检验规则3进行逻辑“与”制定得到一个规则表达式,检验规则3、检验规则4分别与检验规则进行逻辑“或”制定得到另一个规则表达式。
具体地,在上述实施例中,如图5所示,步骤104包括如下步骤:
501、使用所述安全合规策略创建安全合规模板,在所述安全合规模板中设置安全合规策略适用的目标周期阶段。
502、根据所述安全合规模板生成安全合规任务,在所述目标周期阶段内对待检测的数据资产执行所述安全合规任务,得到数据安全合规的检测结果。
在本实施例中,安全合规策略可通过手动或者自定义的方式关联至安全合规模板,具体地,预先设定待检测数据资产对应的安全合规场景,然后根据安全合规策略中的数据安全合规项,确定合规安全策略是否在安全合规场景覆盖的合规范围内,如果是,则将安全合规策略关联至安全合规模板中,进一步针对安全合规模板中的安全合规策略设置适用的目标周期阶段,生成安全合规任务,以使得安全合规任务可在数据资产处于目标周期阶段时,执行相应安全合规策略,并使用上文中规则表达式对待检测数据资产进行安全检查,得到数据安全合规的检测结果。这里一个安全合规模板中包含多个安全合规项,一次合规任务可采用一个采用一个安全合规模板,当执行安全合规任务时,安全合规模板会调用所有的安全合规项,每个安全合规项会产生一个检查结果。
具体数据安全合规的检测结果可通过合规报告的形式进行展示,该合规报告中可列出合规分析到待检测的数据资产在相应周期阶段上是否通过合规项的检测结果,如果未通过会提供整改意见,例如,在存储周期阶段未通过不允许超期存储的合规项,则提供“及时关注超期数据资源,并做好后续风险管理及时关注超期数据资源,并做好后续风险管理”的整改意见。该合规报告中还可列出未通过合规项检测的对应数据资产的风险信息。
可以理解的是,安全合规策略中检验规则之间的逻辑关系可根据选取的数据安全标签进行调整,为了便于对数据安全标签进行理解,还可以针对检验规则增加标签参数,从而提高安全合规策略的灵活性。
图6为安全合规策略构建的流程框图,图6中通过收集数据安全标准后,根据数据安全标准创建安全合规项,然后使用安全合规项构建安全合规策略,进一步接收待检测的数据资产,选择静态或者动态数据源,根据数据源对应的合规检测场景,创建检验规则,然后将检验规则与安全合规模板进行关联,在安全检测模板中选择多个安全合规策略,创建安全合规任务,并选择执行周期,执行任务,根据检验规则表达式计算检验结果,进一步查看检验结果后导出检验报告。
图7为安全合规策略构建的流程框图,图7中通过选择对应的数据安全合规标准,根据安全合规标准选择数据生命周期,根据不同的数据来源创建检测规则,当选择数据资产清单作为数据来源时,数据由敏感数据发现模块执行分级任务后生效,选择分类分级模板,创建多个检验规则,例如,数据分类类型、表名、数据量、是否用户个人信息、数据分级、数据字段分类、数据资源类型等,当选择监控风险预警作为数据来源时,数据由流转监测模块监测网卡流量数据生成,创建多个检验规则,每条检验规则包括风险策略标签、风险处置状态、风险等级等,进一步根据规则序号创建规则表达式,通过管理员填写整改意见,完成合规策略说明。
进一步的,作为图1-5方法的具体实现,本申请实施例提供了一种数据安全合规的检测装置,如图8所示,该装置包括:获取单元61、标记单元62、构建单元63、检测单元64。
获取单元61,用于获取不同业务场景的数据安全标准,对所述数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项;
标记单元62,用于利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,所述数据生命全周期包括数据从创建到销毁过程中经历的周期阶段;
构建单元63,用于根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略;
检测单元64,用于响应于数据安全合规的检测指令,使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。
本发明实施例提供的数据安全合规的检测装置,与目前现有技术中使用数据安全标准提炼的安全合规项对数据安全进行检测的方式相比,本申请通过获取不同业务场景的数据安全标准,对数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项,利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,该数据生命全周期包括数据从创建到废弃过程中经历的周期阶段,然后根据数据资产在不同周期阶段上标记得到的数据安全标签,对数据安全标准中的安全合规项进行组合,构建安全合规策略,响应于数据安全合规的检测指令,使用安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。整个过程以数据安全标准为依据解读出适用于业务场景的安全合规项,然后根据数据资产在不同周期阶段上标记的数据安全标签将安全合规项组合成贴合业务场景的安全合规策略,使得数据安全合规的检测过程能够灵活匹配到不同周期阶段的数据资产,提高数据安全检测的准确性。
在具体的应用场景中,所述获取单元61,具体用于获取不同业务场景的数据安全标准,遍历每种业务场景的数据安全标准,将所述数据安全标准与检测资源的数据类型进行比对;在所述数据安全标准中提取比对结果相一致的安全合规要求,从所述比对相一致的安全合规要求中提取适用于业务场景的安全合规项。
在具体的应用场景中,所述装置还包括:
定义单元,用于在所述利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记之前,在数据资产进行流转处理过程中创建数据生命全周期的安全框架,在所述安全框架中定义数据生命全周期内不同周期阶段适用评估数据安全标准的字段标识;
相应的,所述标记单元62,具体用于利用数据资产在数据生命全周期内不同周期阶段与带有数据安全标准的字段标识之间的关联方式,对所述字段标识进行多维度分类;使用多维度分类得到的字段标识,在数据生命全周期内不同周期阶段对数据资产进行标记。
在具体的应用场景中,所述定义单元,具体用于在数据资源进行流转的过程中创建数据生命全周期的安全框架,将所述数据生命全周期划分为多个周期阶段;针对每个周期阶段内覆盖的数据类型,使用预先设置的数据安全标识逻辑结构,定义所述周期阶段适用评估数据安全标准的字段标识。
在具体的应用场景中,所述标记单元62,具体还用于根据多维度分类得到的字段标识,提取字段标识中的校验信息,所述校验信息中包含数据资产的校验码,所述校验码是使用预设算法对数据资产进行运算得到的唯一标识码;使用所述数据资产的校验码,在数据生命全周期内不同周期阶段对数据资产进行标记,以使得多维度分类得到的字段标识与数据生命全周期内不同周期阶段的数据资产实现强绑定关系。
在具体的应用场景中,所述装置还包括:
创建单元,用于在所述根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略之后,创建多个校验规则,利用所述多个检验规则之间的逻辑关系,构建可配置的规则表达式;
相应的,所述检测单元64,具体用于使用所述可配置的规则表达式判断所述待检测的数据资源是否符合所述安全合规策略中每个安全合规项的数据要求,根据判断结果生成数据安全合规的检测结果。
在具体的应用场景中,所述检测单元64,具体还用于使用所述安全合规策略创建安全合规模板,在所述安全合规模板中设置安全合规策略适用的目标周期阶段;根据所述安全合规模板生成安全合规任务,在所述目标周期阶段内对待检测的数据资产执行所述安全合规任务,得到数据安全合规的检测结果。
需要说明的是,本实施例提供的一种数据安全合规的检测装置所涉及各功能单元的其它相应描述,可以参考图1-图6中的对应描述,在此不再赘述。
基于上述如图1-图6所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1-图6所示的数据安全合规的检测方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1-图6所示的方法,以及图8所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种数据安全合规的检测的实体设备,具体可以为计算机,智能手机,平板电脑,智能手表,服务器,或者网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1-图6所示的数据安全合规的检测方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
在示例性实施例中,参见图9,上述实体设备包括通信总线、处理器、存储器和通信接口,还可以包括、输入输出接口和显示设备,其中,各个功能单元之间可以通过总线完成相互间的通信。该存储器存储有计算机程序,处理器,用于执行存储器上所存放的程序,执行上述实施例中的数据安全合规的检测方法。
本领域技术人员可以理解,本实施例提供的一种数据安全合规的检测的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述数据安全合规的检测的实体设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,与目前现有方式相比,本申请以数据安全标准为依据解读出适用于业务场景的安全合规项,然后根据数据资产在不同周期阶段上标记的数据安全标签将安全合规项组合成贴合业务场景的安全合规策略,使得数据安全合规的检测过程能够灵活匹配到不同周期阶段的数据资产,提高数据安全检测的准确性。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。

Claims (10)

1.一种数据安全合规的检测方法,其特征在于,包括:
获取不同业务场景的数据安全标准,对所述数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项;
利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,所述数据生命全周期包括数据从创建到销毁过程中经历的周期阶段;
根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略;
响应于数据安全合规的检测指令,使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取不同业务场景的数据安全标准,对所述数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项,具体包括:
获取不同业务场景的数据安全标准,遍历每种业务场景的数据安全标准,将所述数据安全标准与检测资源的数据类型进行比对;
在所述数据安全标准中提取比对结果相一致的安全合规要求,从所述比对相一致的安全合规要求中提取适用于业务场景的安全合规项。
3.根据权利要求1所述的方法,其特征在于,在所述利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记之前,所述方法还包括:
在数据资产进行流转处理过程中创建数据生命全周期的安全框架,在所述安全框架中定义数据生命全周期内不同周期阶段适用评估数据安全标准的字段标识;
相应的,所述利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,具体包括:
利用数据资产在数据生命全周期内不同周期阶段与带有数据安全标准的字段标识之间的关联方式,对所述字段标识进行多维度分类;
使用多维度分类得到的字段标识,在数据生命全周期内不同周期阶段对数据资产进行标记。
4.根据权利要求3所述的方法,其特征在于,所述在数据资产进行流转处理过程中创建数据生命全周期的安全框架,在所述安全框架中定义数据生命全周期内不同周期阶段适用评估数据安全标准的字段标识,具体包括:
在数据资源进行流转的过程中创建数据生命全周期的安全框架,将所述数据生命全周期划分为多个周期阶段;
针对每个周期阶段内覆盖的数据类型,使用预先设置的数据安全标识逻辑结构,定义所述周期阶段适用评估数据安全标准的字段标识。
5.根据权利要求3所述的方法,其特征在于,所述使用多维度分类得到的字段标识,在数据生命全周期内不同周期阶段对数据资产进行标记,具体包括:
根据多维度分类得到的字段标识,提取字段标识中的校验信息,所述校验信息中包含数据资产的校验码,所述校验码是使用预设算法对数据资产进行运算得到的唯一标识码;
使用所述数据资产的校验码,在数据生命全周期内不同周期阶段对数据资产进行标记,以使得多维度分类得到的字段标识与数据生命全周期内不同周期阶段的数据资产实现强绑定关系。
6.根据权利要求1-5中任一项所述的方法,其特征在于,在所述根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略之后,所述方法还包括:
创建多个校验规则,利用所述多个检验规则之间的逻辑关系,构建可配置的规则表达式;
相应的,所述使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果,具体包括:
使用所述可配置的规则表达式判断所述待检测的数据资源是否符合所述安全合规策略中每个安全合规项的数据要求,根据判断结果生成数据安全合规的检测结果。
7.根据权利要求1-5中任一项所述的方法,其特征在于,所述使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果,具体包括:
使用所述安全合规策略创建安全合规模板,在所述安全合规模板中设置安全合规策略适用的目标周期阶段;
根据所述安全合规模板生成安全合规任务,在所述目标周期阶段内对待检测的数据资产执行所述安全合规任务,得到数据安全合规的检测结果。
8.一种数据安全合规的检测装置,其特征在于,包括:
获取单元,用于获取不同业务场景的数据安全标准,对所述数据安全标准进行合规性分析,在数据安全标准中确定适用于业务场景的安全合规项;
标记单元,用于利用带有数据安全标准的字段标识在数据生命全周期内对数据资产进行标记,所述数据生命全周期包括数据从创建到销毁过程中经历的周期阶段;
构建单元,用于根据数据资产在不同周期阶段上标记得到的数据安全标签,对所述数据安全标准中的安全合规项进行组合,构建安全合规策略;
检测单元,用于响应于数据安全合规的检测指令,使用所述安全合规策略对待检测的数据资产进行检测,得到数据安全合规的检测结果。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述数据安全合规的检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述数据安全合规的检测方法的步骤。
CN202311072406.6A 2023-08-23 2023-08-23 数据安全合规的检测方法、装置及设备 Pending CN116881979A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311072406.6A CN116881979A (zh) 2023-08-23 2023-08-23 数据安全合规的检测方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311072406.6A CN116881979A (zh) 2023-08-23 2023-08-23 数据安全合规的检测方法、装置及设备

Publications (1)

Publication Number Publication Date
CN116881979A true CN116881979A (zh) 2023-10-13

Family

ID=88268312

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311072406.6A Pending CN116881979A (zh) 2023-08-23 2023-08-23 数据安全合规的检测方法、装置及设备

Country Status (1)

Country Link
CN (1) CN116881979A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117370898A (zh) * 2023-12-08 2024-01-09 钛合联(深圳)科技有限公司 一种电子数据安全管控系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117370898A (zh) * 2023-12-08 2024-01-09 钛合联(深圳)科技有限公司 一种电子数据安全管控系统
CN117370898B (zh) * 2023-12-08 2024-03-12 钛合联(深圳)科技有限公司 一种电子数据安全管控系统

Similar Documents

Publication Publication Date Title
CN112217835B (zh) 报文数据的处理方法、装置、服务器和终端设备
US9697352B1 (en) Incident response management system and method
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
Casey et al. Digital transformation risk management in forensic science laboratories
US11687650B2 (en) Utilization of deceptive decoy elements to identify data leakage processes invoked by suspicious entities
CN116881979A (zh) 数据安全合规的检测方法、装置及设备
CN111767537A (zh) 基于ios操作系统的应用程序的篡改校验方法及相关设备
US10394793B1 (en) Method and system for governed replay for compliance applications
CN111259382A (zh) 恶意行为识别方法、装置、系统和存储介质
KR20110110431A (ko) 정보보안 장치 및 방법
US9171171B1 (en) Generating a heat map to identify vulnerable data users within an organization
KR101464736B1 (ko) 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법
CN115758435A (zh) 公司营销数据对外共享安全处理方法及相关设备
CN111222181B (zh) Ai模型的监管方法、系统、服务器及存储介质
CN106407836B (zh) 一种数据非法修改行为自动检测的方法及装置
CN112328975A (zh) 一种产品软件授权管理方法、终端设备及介质
CN117010013A (zh) 风险管理方法、装置及计算机设备
KR101040765B1 (ko) 확장된 보안 레이블을 이용하는 프로세스 및 파일 추적 시스템 및 프로세스 및 파일 추적 방법
Park et al. Security requirements prioritization based on threat modeling and valuation graph
Barati et al. Design and verification of privacy patterns for business process models
CN114022114B (zh) 基于电信行业的数据治理系统和方法
CN116226865A (zh) 云原生应用的安全检测方法、装置、服务器、介质及产品
CN113032744B (zh) 一种数字水印一体机系统
CN111241547A (zh) 一种越权漏洞的检测方法、装置及系统
US20210067554A1 (en) Real-time notifications on data breach detected in a computerized environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination