申请/专利权人：四川赛闯检测股份有限公司

申请日：2023-09-28

公开（公告）日：2024-04-16

公开（公告）号：CN117195183B

主分类号：G06F21/31

分类号：G06F21/31;G06F21/60;G06F21/57

优先权：

专利状态码：有效-授权

法律状态：2024.04.16#授权;2023.12.26#实质审查的生效;2023.12.08#公开

摘要：本发明公开了一种数据安全合规风险评估系统，包括业务应用层，所述业务应用层用以对录入的项目进行风险评估，评估内容包括管理账号风险、业务账号风险、数据权限风险、审计溯源风险、暴露面风险、数据行为风险和数据流向风险中的一种或多种，还包括应用支持层、信息资源层和IT基础层，所述应用支持层用以为整个评估系统提供服务支持，所述信息资源层用以为整个评估系统提供信息支持，所述IT基础层用以为整个评估系统提供网络支持。本发明可减少手工测评及编写报告的成本和时间，降低公司的运行成本。

主权项：1.一种数据安全合规风险评估系统，其特征在于，包括业务应用层，所述业务应用层用以对录入的项目进行风险评估，评估内容包括管理账号风险、业务账号风险、数据权限风险、审计溯源风险、暴露面风险、数据行为风险和数据流向风险中的一种或多种，还包括应用支持层、信息资源层和IT基础层，所述应用支持层用以为整个评估系统提供服务支持，所述信息资源层用以为整个评估系统提供信息支持，所述IT基础层用以为整个评估系统提供网络支持；所述业务应用层包括项目管理模块和设备管理模块，其中，项目管理模块，负责检测项目的录入，支持项目信息的更新和删除，录入的项目信息包括项目名称、项目编号、公司名称、项目类型、项目经理、被测公司联系人以及联系电话中的一种或多种；还支持项目信息的统计展示，对测评人员参与测评的项目数量、设备数量进行统计分析展示；设备管理模块，负责添加设备信息，在创建项目信息后，通过设备管理模块添加设备信息，包括设备名称、设备版本、IP地址、端口、账户名、密码以及数据库名称中的一种或多种；所述业务应用层还包括任务管理模块，所述任务管理模块用以细化项目信息，为项目创建多个执行任务，包括初测任务、复测任务、单次任务测评对象、测评等级、任务创建时间、任务创建者以及备注中的一种或多种，具体的，任务管理模块首先点击添加任务按钮，系统弹出任务创建对话框，选择现有项目名称，输入任务名称、输入测评等级、测评类型，点击保存按钮创建任务，下一步点击任务名称同行的修改按钮，选择该项目下的设备目标添加到本次任务中，然后点击任务名称同行的执行按钮，执行自动化评估任务；具体方式为：1通过基于正则表达式、特征算法、关键字组合的敏感数据识别算法，从数据库的所有表和字段中识别出用户信息，并对上述信息的加密存储情况进行分析；2通过基于正则、关键字、逻辑分析的评估算法，对数据库系统的身份鉴别措施、登录失败处理、传输机密性、存储机密性、权限设置、日志审计功能进行配置核查；3通过基于正则、关键字、逻辑分析的评估算法，对数据库系统的重要数据：管理员口令、业务用户口令、日志数据进行识别，然后分析加密存储、日常访问、遍历访问、SQL注入、口令爆破、数据流向的风险，最后执行完成后，点击任务名称同一行的报表按钮，查看测评完成后的数据报表。

全文数据：

权利要求：

百度查询： 四川赛闯检测股份有限公司 一种数据安全合规风险评估系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD