A data use risk assessment method, device and system. The method includes: collecting the operation logs of all employees, parsing and processing the operation logs, generating standardized data; extracting the features of the standardized data according to the pre-set security dimensions, and obtaining the characteristic data corresponding to each security dimension; training the scorecard model with the characteristic data corresponding to each security dimension, and obtaining the employees. Safety score prediction model; use the employee safety score prediction model to calculate the score of each safety dimension of the assessed employee; and evaluate the data use risk of the assessed employee according to the score of each safety dimension of the assessed employee. The embodiment of the present invention measures the data use risk of employees in an enterprise by means of quantitative method, and then can warn and prevent the data use risk of employees.
【技术实现步骤摘要】
数据使用风险评估方法、装置和系统
本专利技术涉及信息领域,尤其涉及一种数据使用风险评估方法、装置和系统。
技术介绍
数据泄露是每个公司都会面临的问题,根据第三方机构的统计,公司核心数据泄露、企业商业机密泄漏大部分是由内部员工引发的,并且常常是员工主动而为的泄密行为。因此,防止内部员工泄露公司机密信息是公司数据防泄漏、企业文件防泄密的核心目标。应该注意,上面对技术背景的介绍只是为了方便对本专利技术的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本专利技术的
技术介绍
部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
技术实现思路
为了解决内部员工引发的数据泄露问题,本专利技术实施例提供了一种数据使用风险评估方法、装置和系统。根据本专利技术实施例的第一方面,提供了一种数据使用风险评估方法,其中,所述方法包括:收集所有员工的操作日志,对所述操作日志进行解析和处理,生成标准化数据;根据预先设定的多个安全维度对所述标准化数据进行特征提取,得到对应每个安全维度的特征数据;使用对应各个安全维度的特征数据对评分卡模型进行训练,得到员工安全...
【技术保护点】
1.一种数据使用风险评估方法,其中,所述方法包括:收集员工的操作日志,对所述操作日志进行解析和处理,生成标准化数据;根据预先设定的多个安全维度对所述标准化数据进行特征提取,得到对应每个安全维度的特征数据;使用对应各个安全维度的特征数据对评分卡模型进行训练,得到员工安全分预测模型;使用所述员工安全分预测模型对待评估员工在每个安全维度的分数进行计算;根据所述待评估员工在每个安全维度的分数对所述待评估员工的数据使用风险进行评估。
【技术特征摘要】
1.一种数据使用风险评估方法,其中,所述方法包括:收集员工的操作日志,对所述操作日志进行解析和处理,生成标准化数据;根据预先设定的多个安全维度对所述标准化数据进行特征提取,得到对应每个安全维度的特征数据;使用对应各个安全维度的特征数据对评分卡模型进行训练,得到员工安全分预测模型;使用所述员工安全分预测模型对待评估员工在每个安全维度的分数进行计算;根据所述待评估员工在每个安全维度的分数对所述待评估员工的数据使用风险进行评估。2.根据权利要求1所述的方法,其中,所述对待评估员工在每个安全维度的分数进行计算,包括:将所述待评估员工在每个安全维度的特征数据输入所述员工安全分预测模型,得到所述待评估员工在每个安全维度的分数。3.根据权利要求2所述的方法,其中,所述对所述待评估员工的数据使用风险进行评估,包括:将所述待评估员工在每个安全维度的分数进行加权求平均,得到所述待评估员工的安全分;根据预先设定的规则和/或相似度计算的方式确定所述待评估员工的扣分原因和/或优化建议。4.根据权利要求1所述的方法,其中,每个安全维度包括一个或多个子维度,所述对待评估员工在每个安全维度的分数进行计算,包括:将所述待评估员工在每个子维度的特征数据输入所述员工安全分预测模型,得到所述待评估员工在每个子维度的分数。5.根据权利要求4所述的方法,其中,所述对所述待评估员工的数据使用风险进行评估,包括:将所述待评估员工在每个子维度的分数进行加权求平均,得到所述待评估员工的安全分和各个安全维度的安全分;根据预先设定的规则和/或相似度计算的方式确定所述待评估员工的扣分原因和/或优化建议。6.根据权利要求3或5所述的方法,其中,所述方法还包括:根据所述待评估员工的安全分变化趋势,生成并输出所述待评估员工的异动提醒。7.根据权利要求1所述的方法,其中,所述操作日志包括员工所使用的终端、员工所进行的数据操作、员工的权限、所述员工的主动操作、员工的被动反馈行为。8.根据权利要求1所述的方法,其中,所述多个安全维度包括以下维度的任意组合:信息技术(IT)安全、数据安全、权限安全、行为安全、以及安全意识。9.根据权利要求8所述的方法,其中,所述IT安全的维度包括以下子维度的任意组合:数据泄露防护(DLP)安装、弱密码账号、恶意网站访问、杀毒软件安装、终端域控介入、终端高危漏洞、以及终端高风险软件;所述数据安全的维度包括以下子维度的任意组合:数据外发风险、以及闲置数据表权限;所述权限安全的维度包括以下子维度的任意组合:互斥权限、长期有效角色、闲置通用角色、闲置非通用角色、以及高风险裸操作权限;所述行为安全的维度包括以下子维度:高风险行为;所述安全意识的维度包括以下子维度的任意组合:信息安全考试、审计反馈效率、以及未完成反馈任务。10.一种数据使用风...
【专利技术属性】
技术研发人员:应杭,贾茜,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。