【技术实现步骤摘要】
一种基于风险评分卡的景区算法应用风险评估方法
[0001]本专利技术属于算法审计领域,尤其涉及旅游景区的算法应用利用个人隐私数据行为的风险评估。
技术介绍
[0002]随着大数据在社会治理中发挥越来越重要的作用,要求有关算法的监管要尽可能避免“一刀切”、进入常态化治理阶段,实现“灵活敏捷治理”,使算法治理能够跟上技术发展步伐。目前对算法的监管主要是从网络安全、法律风险等角度作规范,由于数据流转过程中的追溯难度大、涉及面广、算法的封闭性、算法审计制度不完善等因素导致算法监管技术手段匮乏。旅游景区作为服务提供方及算法应用使用方,大量使用等保规范保障信息安全,对于涉及大量个人隐私数据相关的算法应用安全风险、风险影响范围均无相关技术手段进行防范,无法满足监管单位需求。
[0003]CN202210276088.4涉及城市节假日旅游景区风险评估的方法,包括以下步骤:
[0004]步骤一:确定并获取与景区旅游风险相关影响因素的数据;步骤二:使用线性假设描述影响景区风险的固定要素;步骤三:使用RBF网络描述影响景区风险的浮...
【技术保护点】
【技术特征摘要】
1.一种基于风险评分卡的景区算法应用风险评估方法,其特征是,将算法应用风险分为内生风险和外生风险两大类,算法内生风险以算法应用厂家提供的算法数据输入、算法架构设计、算法训练数据、推理服务运行方式、算法输出数据等属性指标形成内生风险因子,算法外生风险以算法应用部署网络环境、设备及个人隐私数据采集、存储、加密、销毁等处理流程形成外生风险因子,结合个人信息安全影响需求对多种因子进行归一化和权重分配,构成风险评分模型。最后通过模型对已上线或待上线算法应用进行风险评分,生成风险评分报告,满足景区自查及上级监管部门对算法应用的监管需求;具体步骤为,(1)算法应用内生风险指标抽取;从算法开发厂家提供的算法应用白皮书等说明文档及算法舆情数据中抽取算法数据输入、算法架构设计、算法训练数据、推理服务运行方式、算法输出数据等属性指标;
·
算法数据输入指标主要包含是否涉及个人信息采集、个人信息采集是否加密、输入数据是否为特征向量、输入数据是否加密、加密算法类型、是否存储数据、数据存储时间、数据输入长度、数据交互鉴权方式等;
·
算法架构设计相关指标主要包含算法架构是否为开源架构、是否有数据泄露漏洞、数据泄露数量、算法架构是否有泄露风险事件、模型参数是否有泄露风险事件等;
·
算法训练数据相关指标主要包含训练数据中是否包含个人隐私数据、训练数据是否有泄露风险事件等;
·
算法推理服务相关指标主要包含算法推理接口是否有鉴权、鉴权方式、推理服务组件是否有漏洞、漏洞数量等;
·
算法输出数据相关指标主要包含匿名机制是否有效、是否为个性化展示提供可控制或可关闭机制、输出结果是否可定位到个人等;(2)算法应用外生风险指标抽取;从现有景区信息系统安全测评报告中抽取算法应用部署的网络环境、设备及个人隐私数据采集、存储、加密、销毁等处理流程指标;相关指标包含但不限于是否内网环境、是否与互联网有数据交互、是否有个人信息存储、是否加密存储、是否加密传输、是否有身份鉴别、是否有访问控制、是否有边界防护、是否有网络流量监控、是否有网络入侵检测模块、数据存储介质类型、最近是否发生过个人信息泄露、是否遭受过网络攻击、是否发生过安全事件、是否受过安全警告、网络攻击频次、安全事件发生频次;(3)算法应用内生风险指标和外生风险指标经过数据预处理模块生成风险特征向量X
feat
;
·
数据拼接;将内生风险指标与外生风险指标拼接为风险指标特征向量,每一行代表一个景区,每一列代表一个指标数据;
·
数据分类;风险指标按数据类型分为类别变量和连续变量;类别变量主要为诸如是否存储个人隐私数据、数据存储介质类型等状态是否存在、状态的有限类型等相关数据;连续变量主要为漏洞或事件发生的频次、数量等;
·
数据清洗;不同景区信息系统的安全防护等...
【专利技术属性】
技术研发人员:罗义斌,李军,胡明慧,孙力斌,权骏,
申请(专利权)人:南京联创数字科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。