本发明专利技术提供了一种基于风险管理的数据泄露防护方法及集成系统,应用于风险管理系统和数据泄露防护系统,通过风险管理系统获得包括资产盘点数据、风险识别数据和风险评估数据,风险评估数据包括量化的资产价值、风险发生可能性和风险发生后产生的影响度;根据风险评估获得风险值,将资产盘点数据、风险识别数据和风险评估数据导入数据泄露防护系统中,根据资产价值和风险影响度进行适配,获得包括关键性和敏感性的适配结果,再根据适配结果进行分级,获得包括机密数据、秘密数据、内部数据和外部数据的分级结果;根据分级结果,对资产盘点数据中的分类设置响应策略;数据泄露防护系统将分级结果和响应策略导入风险管理系统。本发明专利技术提高了效率及风险管控能力。
A data leakage protection method and integrated system based on risk management
【技术实现步骤摘要】
一种基于风险管理的数据泄露防护方法及集成系统
本专利技术主要涉及数据泄漏防护方法,尤其涉及一种基于风险管理的数据泄露防护方法及集成系统。
技术介绍
《中华人民共和国保守国家秘密法》第十条规定:国家秘密的密级分为绝密、机密、秘密和不涉密四级。高于不涉密级别的所有信息都属于敏感数据。非政府组织很少需要基于对国家安全的潜在危害对数据进行分类。然而,管理层会担心对组织的潜在损害,组织并不仅仅考虑数据的敏感性,还会考虑数据的关键性。一般非政府组织根据数据的敏感性和关键性,将密级分为机密、秘密、内部和外部。目前比较普遍的是基于用户行为管理数据泄露防护系统,该系统基于用户行为数据泄露防护系统是基于数据分类分级功能,通过安装在用户电脑的客户端程序监控向企业外部传输数据的行为,监督关键数据使用情况,及时发现安全隐患,在安全事故发生之前就可以采用相应的手段进行预防。但这种方法需通过人工的方式对数据进行分级并配置到系统中。如图1所示,现有技术中,风险管理系统10和数据泄露防护系统20是两个独立的系统,各部门需要分别将各类数据进行风险评估(资产价值/风险发生产生的影响度)和数据分级(数据敏感性/关键性),在两个过程中容易将数据泄露防护中的‘数据敏感性/关键性’与风险管理中的‘资产价值/风险发生产生的影响度’概念混淆,人力成本和管理成本相对较高。现有的数据风险评估和分类分级完全通过人工完成的,而且两个系统由于各自独立,在风险管理系统10中涉及的资产盘点模块101、风险识别模块102、风险评估模块103和风险处置模块104,在数据泄露防护系统20中也包括数据盘点模块201、数据分类模块202、数据分级模块203和数据分类规则和响应策略模块204。可见,两个系统中的数据盘点101和201是完全重复的,且数据分类和分级两模块202和203是由人工方式完成,势必大大增加了人力成本,造成两个系统的工作效率相当低,且还会存在各方面的安全隐患。
技术实现思路
本专利技术要解决的技术问题是提供一种基于风险管理的数据泄露防护方法及集成系统,将数据泄露防护工作中的数据分级分类办法进行调整,与风险管理工作中的风险评估进行适配,通过技术手段从风险管理系统中导入数据风险评估结果并自动完成数据分级分类工作,极大的简化了数据泄露防护工作。为解决上述技术问题,本专利技术提供了一种基于风险管理的数据泄露防护方法,应用于风险管理系统和数据泄露防护系统,其特征在于,步骤一,通过所述风险管理系统获得包括资产盘点数据、风险识别数据和风险评估数据,所述风险评估数据包括量化的资产价值、风险发生可能性和风险发生后产生的影响度;步骤二,根据所述风险评估获得风险值,将所述资产盘点数据、所述风险识别数据和所述风险评估数据导入所述数据泄露防护系统中,根据所述资产价值和风险影响度进行适配,获得包括关键性和敏感性的适配结果,再根据所述适配结果进行分级,获得包括机密数据、秘密数据、内部数据和外部数据的分级结果;步骤三,根据所述分级结果,对所述资产盘点数据中的分类设置响应策略;步骤四,所述数据泄露防护系统将所述分级结果和所述响应策略导入所述风险管理系统。比较好的是,本专利技术进一步提供了一种基于风险管理的数据泄露防护方法,其特征在于,所述风险值为资产价值、风险发生可能性、风险发生后产生的影响度的乘积。比较好的是,本专利技术进一步提供了一种基于风险管理的数据泄露防护方法,其特征在于,所述步骤二中所述关键性和敏感性的适配标准包括:资产价值为3的数据适配为很关键数据,资产价值小于3的数据适配为不关键数据,风险影响度等于3的数据适配为很敏感数据,风险影响度小于3的数据适配为不敏感数据。比较好的是,本专利技术进一步提供了一种基于风险管理的数据泄露防护方法,其特征在于,所述步骤二的分级标准包括:机密数据为很关键数据且很敏感数据,其资产价值为3且风险影响度为3,秘密数据为不关键数据且很敏感数据,其资产价值小于3且风险影响度为3,内部数据为很关键数据且不敏感数据,其资产价值为3且风险影响度小于3,外部数据为不关键数据且不敏感数据,其资产价值小于3且风险影响度为3。比较好的是,本专利技术进一步提供了一种基于风险管理的数据泄露防护方法,其特征在于,所述风险识别包括所述数据的自身脆弱性及其面临威胁。比较好的是,本专利技术进一步提供了一种基于风险管理的数据泄露防护方法,其特征在于,所述数据导入所述数据泄露防护系统是通过数据同步实现。本专利技术还提供了一种集成系统,应用上述任一项所述的方法。与现有技术相比,本专利技术具有以下优点:本专利技术将数据泄露防护中的‘关键性/数据敏感性’与风险管理中的‘资产价值/风险发生产生的影响度’进行关联,使风险管理系统中的风险评估结果集成到数据泄露防护系统,省去人工数据分级分类工作,用户在数据泄露防护系统中直接配置分类规则和响应策略,配置完成后作为风险处置措施反馈至风险管理系统中。附图说明包括附图是为提供对本申请进一步的理解,它们被收录并构成本申请的一部分,附图示出了本申请的实施例,并与本说明书一起起到解释本专利技术原理的作用。附图中:图1是现有技术中风险管理系统和数据泄漏防护系统的组成示意图;图2是本专利技术改进后集成系统的组成示意图;图3是图2所示集成系统的流程图。附图标记101――资产盘点模块102――风险识别模块103――风险评估模块104――风险处置模块201――数据盘点模块202――数据分类模块203――数据分级模块204――数据分类规则和响应策略模块205――数据自动分级/分类模块具体实施方式为了更清楚地说明本申请的实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。除非从语言环境中显而易见或另做说明,图中相同标号代表相同结构或操作。如本申请和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其他的步骤或元素。除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作本文档来自技高网...
【技术保护点】
1.一种基于风险管理的数据泄露防护方法,应用于风险管理系统和数据泄露防护系统,其特征在于,/n步骤一,通过所述风险管理系统获得包括资产盘点数据、风险识别数据和风险评估数据,所述风险评估数据包括量化的资产价值、风险发生可能性和风险发生后产生的影响度;/n步骤二,根据所述风险评估获得风险值,将所述资产盘点数据、所述风险识别数据和所述风险评估数据导入所述数据泄露防护系统中,根据所述资产价值和风险影响度进行适配,获得包括关键性和敏感性的适配结果,再根据所述适配结果进行分级,获得包括机密数据、秘密数据、内部数据和外部数据的分级结果;/n步骤三,根据所述分级结果,对所述资产盘点数据中的分类设置响应策略;/n步骤四,所述数据泄露防护系统将所述分级结果和所述响应策略导入所述风险管理系统。/n
【技术特征摘要】
1.一种基于风险管理的数据泄露防护方法,应用于风险管理系统和数据泄露防护系统,其特征在于,
步骤一,通过所述风险管理系统获得包括资产盘点数据、风险识别数据和风险评估数据,所述风险评估数据包括量化的资产价值、风险发生可能性和风险发生后产生的影响度;
步骤二,根据所述风险评估获得风险值,将所述资产盘点数据、所述风险识别数据和所述风险评估数据导入所述数据泄露防护系统中,根据所述资产价值和风险影响度进行适配,获得包括关键性和敏感性的适配结果,再根据所述适配结果进行分级,获得包括机密数据、秘密数据、内部数据和外部数据的分级结果;
步骤三,根据所述分级结果,对所述资产盘点数据中的分类设置响应策略;
步骤四,所述数据泄露防护系统将所述分级结果和所述响应策略导入所述风险管理系统。
2.根据权利要求1所述的一种基于风险管理的数据泄露防护方法,其特征在于,
所述风险值为资产价值、风险发生可能性、风险发生后产生的影响度的乘积。
3.根据权利要求2所述的一种基于风险管理的数据泄露防护方法,其特征在于,所述步骤二中所述关键性和敏感性的适配标准...
【专利技术属性】
技术研发人员:吴林华,黄玉飞,
申请(专利权)人:嘉兴太美医疗科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。