本发明专利技术实施例提供一种业务数据安全风险识别方法及系统,其中,所提供的方法包括:根据信息系统的数据分类分级信息、网络拓扑图和安全域划分信息,获取业务数据流拓扑图;根据网络攻击模式信息以及所述业务数据流拓扑图,对攻击链路进行画像,获得攻击链路画像;根据所述攻击链路画像,对网络攻击链路进行分析,获得安全风险识别结果。本发明专利技术实施例提供的方法及系统,针对性和指向性强,同时加强了信息系统内部数据安全管理的强度,细化了管理策略和粒度,更好地适应大数据时代数据安全管理的需要,为大数据平台动态业务数据的安全管理提供了安全保障,同时为后续大数据安平台的安全态势分析提供了基础。
A Method and System for Risk Recognition of Business Data Security
【技术实现步骤摘要】
一种业务数据安全风险识别方法及系统
本专利技术实施例涉及计算机
,尤其涉及一种业务数据安全风险识别方法及系统。
技术介绍
安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。风险评估工作贯穿信息系统整个生命周期,包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。安全风险评估主要依据《信息安全风险评估规范》、ISO/IEC13335IT安全管理指南、BS7799-1(ISO/IEC17799)基于风险管理的信息安全管理体系等相关标准,通过调查、访谈和技术检测等多种方式对风险要素进行数据采集,采用定量、定性相结合的方法对采集数据进行综合风险分析。现有安全风险评估的主要范围包括两个方面:管理方面和技术方面。其中管理方面包括:安全策略:安全策略制定、系统设备与开发的安全策略、系统测试与验收的安全策略、系统运行与维护的安全策略、系统备份与应急的安全策略、客户信息安全策略。内控体系:内部控制体系、董事会与高级管理层职责、内控措施、内部审计机制。风险管理:风险管理框架、风险管理状况、风险识别与评估、业务外包风险管理。技术方面包括:主机安全评估:对主机的配置、服务进行安全评估;系统安全评估:对各类计算机系统(Windows、Linux等)的配置、服务和安全防护能力进行评估;网络安全评估:对网络设备、网络服务、网络拓扑以及Web应用等进行评估,得出评估报告;应用系统评估:评估常见业务应用系统;数据安全的评估:数据完整性、数据保密性、数据备份与恢复。随着大数据时代的到来,大数据的发展和应用已经成为人类技术与产业进步的希望所在,大数据在医疗、民生、销售等领域的应用极为广泛,与此同时,数据被过度采集,隐私数据的保护和应用一旦出现差错,被黑客所利用,将会造成严重后果。传统的安全风险评估对业务大数据安全的威胁分析已经显得力有不逮。在现有的安全风险评估过程中,主要都是从网络、主机、OS、系统几个方面入手,虽然也对数据的完整性、保密性及备份给出了评估,但却是一种静态的分析,但并没有完全针对业务数据的流转去进行动态分析,从而无法清晰了解数据安全的脆弱点在哪里,进而为后续的安全措施的制定造成了一定的困难。另一方面,越来越多的数据通过业务采集和多种外部来源渠道汇集、多维度加工、回流业务系统、以及各种系统数据不断加工和使用形成了非常复杂的上下游消费链路以最大化数据的价值同时流出体系。数据的管理、用途授权控制、业务使用流动的保护风险都非常复杂。进一步的,大数据时代,数据应用安全风险表现之一是在企业内部,因为大数据应用安全风险管控的失败,一方面危及企业业务的发展,另一方面甚至会触发社会性事件,并造成相当大的社会危害。因此企业内部数据安全风险管控非常重要,而传统安全风险评估手段往往容易因为各种原因忽略技术层面的分析,更多的是从内控体系加强安全管理。
技术实现思路
本专利技术实施例提供一种业务数据安全风险识别方法及系统,用以解决上述现有技术中对于信息系统的安全风险识别方法的存在的缺陷问题。第一方面,本专利技术实施例提供一种业务数据安全风险识别方法,包括:根据信息系统的数据分类分级信息、网络拓扑图和安全域划分信息,获取业务数据流拓扑图;根据网络攻击模式信息以及所述业务数据流拓扑图,对攻击链路进行画像,获得攻击链路画像;根据所述攻击链路画像,对网络攻击链路进行分析,获得安全风险识别结果。第二方面,本专利技术实施例提供一种业务数据安全风险识别方法,包括:根据信息系统的数据分类分级信息、网络拓扑图和安全域划分信息,获取业务数据流拓扑图;根据网络攻击模式信息以及所述业务数据流拓扑图,对攻击链路进行画像,获得攻击链路画像;根据所述攻击链路画像,对网络攻击链路进行分析,获得安全风险识别结果。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一方面所提供的业务数据安全风险识别方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面所提供的业务数据安全风险识别方法的步骤。本专利技术实施例提供的业务数据安全风险识别方法及系统,对信息系统的业务数据流进行梳理,同时根据网络攻击模式信息绘制攻击链路画像,再对攻击画像进行分析,获得安全风险识别结果,从业务数据维度明确了整体系统的安全风险点,针对性和指向性强,同时加强了信息系统内部数据安全管理的强度,细化了管理策略和粒度,更好地适应大数据时代数据安全管理的需要,为大数据平台动态业务数据的安全管理提供了安全保障,同时为后续大数据安平台的安全态势分析提供了基础。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一实施例提供的业务数据安全风险识别方法的流程示意图;图2为本专利技术一实施例提供的业务数据安全风险识别方法中,业务数据流拓扑图;图3为本专利技术一实施例提供的业务数据安全风险识别方法中,攻击链路画像示意图;图4为本专利技术一实施例提供的业务数据安全风险识别系统的结构示意图;图5为本专利技术一实施例提供的电子设备的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。参考图1,图1为本专利技术一实施例提供的业务数据安全风险识别方法的流程示意图,所提供的方法包括:S1,根据信息系统的数据分类分级信息、网络拓扑图和安全域划分信息,获取业务数据流拓扑图。S2,根据网络攻击模式信息以及所述业务数据流拓扑图,对攻击链路进行画像,获得攻击链路画像。S3,根据所述攻击链路画像,对网络攻击链路进行分析,获得安全风险识别结果。具体的,按照数据分类分级,结合网络拓扑图及安全域划分,进行业务数据流的拓扑图绘图。通过对业务数据流拓扑图的分析,解决业务数据流之前静态分析所存在的不足之处,在一个实施例中,参考图2,图2为本专利技术一实施例提供的业务数据安全风险识别方法中,业务数据流拓扑图。网络拓扑的梳理有助于了解清楚数据流真实流向,并结合安全域及数据分类分级进行下一步的业务数据流拓扑图绘图。在获得了业务数据流拓扑图后,从攻击者发起攻击源头开始,模拟攻击者行为,以业务数据流为线索,对攻击链路进行画像,具体的攻击链路画像如图3所示。通过攻击链路画像,对每一条攻击路径进行分析,从各个节点、不同支线分析攻击者获取数据的可能性、方式、应用的攻击手段、攻击的系统、主机或网络节点,获取的数据类型和保密等级等等。表1示出了根据图3中的攻击链路画像获取的网络攻击信息。表1通过攻击链路分析,已经掌握了整本文档来自技高网...
【技术保护点】
1.一种业务数据安全风险识别方法,其特征在于,包括:根据信息系统的数据分类分级信息、网络拓扑图和安全域划分信息,获取业务数据流拓扑图;根据网络攻击模式信息以及所述业务数据流拓扑图,对攻击链路进行画像,获得攻击链路画像;根据所述攻击链路画像,对网络攻击链路进行分析,获得安全风险识别结果。
【技术特征摘要】
1.一种业务数据安全风险识别方法,其特征在于,包括:根据信息系统的数据分类分级信息、网络拓扑图和安全域划分信息,获取业务数据流拓扑图;根据网络攻击模式信息以及所述业务数据流拓扑图,对攻击链路进行画像,获得攻击链路画像;根据所述攻击链路画像,对网络攻击链路进行分析,获得安全风险识别结果。2.根据权利要求1所述的方法,其特征在于,所述根据信息系统的数据分类分级信息、网络拓扑图和安全域划分信息,获取业务数据流拓扑图的步骤具体包括:对信息系统中的业务数据进行分类,获得数据分类分级信息;对所述信息系统的安全域进行梳理,获得安全域划分信息;根据所述数据分类分级信息和所述安全域划分信息,结合所述信息系统的网络拓扑图,绘制业务数据流拓扑图。3.根据权利要求1所述的方法,其特征在于,所述方法还包括网络攻击模式信息获取步骤,所述网络攻击模式信息获取步骤具体包括:获取威胁来源分类信息和攻击者分类信息,根据CAPEC统计中的攻击模式信息进行安全假设,获得网络攻击模式信息。4.根据权利要求1所述的方法,其特征在于,所述根据网络攻击模式信息以及所述业务数据流拓扑图,对攻击链路进行画像,获得攻击链路画像具体包括:根据网络攻击模式信息,以所述业务数据流拓扑图为线索,对攻击链路进行画像,获得攻击链路画像;其中,所述攻击链路画像包括但不限于:业务数据流攻击链路画像、运维数据流攻击链路画像和安全数据流攻击链路画像。5.根据权利要求1所述的方法,所述...
【专利技术属性】
技术研发人员:胡云,汤志刚,姜强,
申请(专利权)人:北京国舜科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。