申请/专利权人:四川赛闯检测股份有限公司
申请日:2023-09-28
公开(公告)日:2024-04-16
公开(公告)号:CN117195183B
主分类号:G06F21/31
分类号:G06F21/31;G06F21/60;G06F21/57
优先权:
专利状态码:有效-授权
法律状态:2024.04.16#授权;2023.12.26#实质审查的生效;2023.12.08#公开
摘要:本发明公开了一种数据安全合规风险评估系统,包括业务应用层,所述业务应用层用以对录入的项目进行风险评估,评估内容包括管理账号风险、业务账号风险、数据权限风险、审计溯源风险、暴露面风险、数据行为风险和数据流向风险中的一种或多种,还包括应用支持层、信息资源层和IT基础层,所述应用支持层用以为整个评估系统提供服务支持,所述信息资源层用以为整个评估系统提供信息支持,所述IT基础层用以为整个评估系统提供网络支持。本发明可减少手工测评及编写报告的成本和时间,降低公司的运行成本。
主权项:1.一种数据安全合规风险评估系统,其特征在于,包括业务应用层,所述业务应用层用以对录入的项目进行风险评估,评估内容包括管理账号风险、业务账号风险、数据权限风险、审计溯源风险、暴露面风险、数据行为风险和数据流向风险中的一种或多种,还包括应用支持层、信息资源层和IT基础层,所述应用支持层用以为整个评估系统提供服务支持,所述信息资源层用以为整个评估系统提供信息支持,所述IT基础层用以为整个评估系统提供网络支持;所述业务应用层包括项目管理模块和设备管理模块,其中,项目管理模块,负责检测项目的录入,支持项目信息的更新和删除,录入的项目信息包括项目名称、项目编号、公司名称、项目类型、项目经理、被测公司联系人以及联系电话中的一种或多种;还支持项目信息的统计展示,对测评人员参与测评的项目数量、设备数量进行统计分析展示;设备管理模块,负责添加设备信息,在创建项目信息后,通过设备管理模块添加设备信息,包括设备名称、设备版本、IP地址、端口、账户名、密码以及数据库名称中的一种或多种;所述业务应用层还包括任务管理模块,所述任务管理模块用以细化项目信息,为项目创建多个执行任务,包括初测任务、复测任务、单次任务测评对象、测评等级、任务创建时间、任务创建者以及备注中的一种或多种,具体的,任务管理模块首先点击添加任务按钮,系统弹出任务创建对话框,选择现有项目名称,输入任务名称、输入测评等级、测评类型,点击保存按钮创建任务,下一步点击任务名称同行的修改按钮,选择该项目下的设备目标添加到本次任务中,然后点击任务名称同行的执行按钮,执行自动化评估任务;具体方式为:1通过基于正则表达式、特征算法、关键字组合的敏感数据识别算法,从数据库的所有表和字段中识别出用户信息,并对上述信息的加密存储情况进行分析;2通过基于正则、关键字、逻辑分析的评估算法,对数据库系统的身份鉴别措施、登录失败处理、传输机密性、存储机密性、权限设置、日志审计功能进行配置核查;3通过基于正则、关键字、逻辑分析的评估算法,对数据库系统的重要数据:管理员口令、业务用户口令、日志数据进行识别,然后分析加密存储、日常访问、遍历访问、SQL注入、口令爆破、数据流向的风险,最后执行完成后,点击任务名称同一行的报表按钮,查看测评完成后的数据报表。
全文数据:
权利要求:
百度查询: 四川赛闯检测股份有限公司 一种数据安全合规风险评估系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。