一种数据安全保护措施的安全性和有效性检测方法技术

本发明专利技术涉及一种数据安全保护措施的安全性和有效性检测方法，属于网络安全、数据安全技术领域，包括：安全措施部署检测与安全措施正确性有效性检测；进行数据收集环节检测、和/或数据存储环节检测、和/或数据使用与加工环节检测、和/或数据传输与提供环节检测、和/或数据公开环节检测以及和/或数据删除环节检测；对所有环节过程中使用的密码和脱敏技术根据规则进行正确性验证，如果出现错误，则输出不安全；任何检测环节过程中不能识别以及提示预设内容的都输出法律警告。本发明专利技术将数据安全分为数据所处环境的安全、数据自身、数据使用目的和方法三个角度，实现对数据全生命周期内的数据安全进行检测，检测过程不获取系统数据，安全性高。安全性高。安全性高。

【技术实现步骤摘要】
一种数据安全保护措施的安全性和有效性检测方法


[0001]本专利技术涉及网络安全、数据安全
，尤其涉及一种数据安全保护措施的安全性和有效性检测方法。

技术介绍

[0002]目前，在包括数据收集、存储、使用、加工、传输、提供、公开和删除各环节的的数据全生命周期内，均存在数据被篡改、破坏、泄露或者非法获取、非法利用的安全风险。数据本身是需要被保护的对象，必须应采用安全有效的措施保护数据在安全状态下能被利用。与此同时，数据根究分类分级确定的重要性与采用的安全保护措施、使用和加工等不匹配，也会带来巨大的安全问题。能调研到的技术是通过识别数据行为判断数据安全，需要使用到历史数据并对系统中的真实数据进行获取，由此也带来了数据泄露的风险。本方法将综合数据所处环境并对此进行静态和动态打分，数据重要性与数据各环节匹配性检测，数据加工和使用方式的管控能力综合检测，判断数据安全保护措施的安全性和有效性，从而能得到数据是否安全的判断，避免获取历史数据和正在产生的数据，提高检测数据安全时的安全性。
[0003]需要说明的是，在上述
技术介绍
部分公开的信息只用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0004]本专利技术的目的在于克服现有技术的缺点，提供了一种数据安全保护措施的安全性和有效性检测方法，解决了现有技术不能判断是否存在非法利用的安全风险的问题，以及检测过程中泄露数据的隐患。
[0005]本专利技术的目的通过以下技术方案来实现：一种数据安全保护措施的安全性和有效性检测方法，所述检测方法包括：S1、数据环境检测：安全措施部署检测与安全措施正确性有效性检测；S2、进行数据收集环节检测、和/或数据存储环节检测、和/或数据使用与加工环节检测、和/或数据传输与提供环节检测、和/或数据公开环节检测以及和/或数据删除环节检测；S3、对所有环节过程中使用的密码和脱敏技术根据规则进行正确性验证，如果出现错误，则输出不安全；S4、任何检测环节过程中不能识别以及提示预设内容的都输出法律警告，获取被检对象接受S1和S2步骤输出的警告和不安全标准，并作为说明项输出，未被被检对象接受的和法律警告，则直接输出。
[0006]所述安全措施部署检测包括：S1101、梳理系统涉及到的数据和数据流，获取网络拓扑结构和数据流拓扑图，数据流包括数据入口、内部处理、数据出口、外部处理和数据监控，拓扑图包括数据收集、存
储、使用、加工、传输、提供、公开和删除各环节；S1102、被检对象根据数据的重要性和流程中出现风险的可能性，将数据流各环节赋予不同的权重和分值，如果权重不满足预设值，则输出警告；S1103、核查数据收集、存储、使用、加工、传输、提供、公开和删除各环节数据采用的所有安全措施，输出各环节与安全和/或安全技术服务清单，并在清单中赋予S1102步骤中设定的权重和分值，如果某一环节缺失，则该环节的权重和分值均为0，如果存在某一环节缺少保护措施，则输出不安全；S1104、检测数据入口是否具备身份鉴别、数据重要性识别、被检对象能否接收该数据、数据是否含有非法信息的措施，如果缺少身份鉴别或者数据含有非法信息，则输出不安全，如果缺少数据重要性识别或被检对象不能接收该数据，则输出警告；S1105、检测内部处理是否具备相应处理人员的身份鉴别和权限管控措施，如果不具备，则输出不安全，检测需要加密保护和/或脱敏保护的数据是否具备加密和/或脱敏保护，如果不具备，则输出不安全；S1106、检测数据出口是否具备身份鉴别和权限管控措施，如果不具备，则输出不安全，检测需要加密保护和/或脱敏保护的数据是否具备加密和/或脱敏保护，如果不具备，则输出不安全；S1107、外部处理检测数据在外部的情况下重复S1105步骤，检测是否具备数据按要求使用、加工结束后被销毁或被加密保护的监控措施，如果不具备，则输出不安全，如果加密的密钥不是由被检对象提供，则输出不安全；S1108、检测数据监控是否包括网络安全预警系统和对数据操作行为的监控系统，如果不具备，则输出警告；S1109、将S1103步骤的清单与密码和网络安全产品认证机构发布的实时清单进行对比，如果不匹配，则输出不安全，将安全产品和安全技术服务与存在安全问题的安全产品和安全技术服务库进行对比，如果存在安全问题的产品和技术服务，则输出不安全并作为高风险；S1110、将前面步骤所有环节的不安全和警告由被检对象统一给出分值，每个环节所有措施进行求和得到每个环节的得分，每个环节得分乘以赋予的权重得到每个环节的静态得分，每个环节的静态得分求和除以100，得到数据所处环境的安全措施总静态得分；S1111、获取被检对象设定的总静态得分合格界限值，如果总静态得分低于合格界限值，则输出不安全。
[0007]所述安全措施正确性有效性检测包括：S1201、获取所有安全产品使用手册，检查安全产品实际配置与手册说明是否一致，如果不一致，则输出不安全，读取已运行的安全产品的已有日志，判断安全产品以往工作是否正常，根据网络拓扑图和数据流拓扑图，至少执行1次覆盖所有数据流拓扑的任务，如果没有日志，则观察判断是否正常，并留取证据；S1202、将S1201步骤中的正常环节取1乘以该环节的动态得分，如果某环节有多种安全措施但存在有不正常的安全措施的情况，则取0乘以该环节的动态得分，每个环节的动态得分相加得到数据所处环境的总动态得分；S1203、获取被检对象设定的总动态得分合格界限值，如果总动态得分低于该值，
则输出不安全，如果某环境动态得分为0，则输出不安全并作为高风险；S1204、梳理所有措施的更新周期，在每项措施更新后，至少重复S1201
‑
S1203步骤进行一次检测。
[0008]所述数据收集环节检测包括：S2101、获取收集数据的分类分级说明和依据文件，依据文件中明确不同类别级别的数据用的保护措施；S2102、核查进行收集的人员和/或软硬件是否存在授权措施，如果不存在，则输出不安全，检查是否留存授权文件或授权记录，如果没有留存，则输出警告，根据授权措施读取并检查过往至少3个月的执行记录，按照说明运行1次，读取本次执行记录，如果未严格执行授权措施，则输出警告，如果出现授权错误，则输出不安全，检查是否具有采用密码技术对授权文件或授权记录进行完整性、真实性和不可否认性保护的措施，如果没有，则输出不安全；S2103、检查系统是否具备识别数据所属类别和级别的功能，如果不具备，则输出警告；S2104、随机读取已有的每一类每一级数据，并与分类分级说明进行对比，如果不一致，则输出警告，根据数据的分类分级说明，为每一类每一级设置样本数据，并将数据随机打乱不按照正确的类别和级别输入系统，如果系统不能纠正或风险提示，则输出警告；S2105、对于分类分级文件要求进行机密性保护的数据，检查是否具有采用密码对收集到的数据进行机密性保护的措施，如果没有，则输出不安全，对于在分类分级文件要求在数据收集阶段进行脱敏的，检查是否具有脱敏措施，如果没有，则输出不安全；S2106、根据数据的分类分级说明，获取需要机密本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据安全保护措施的安全性和有效性检测方法，其特征在于：所述检测方法包括：S1、数据环境检测：安全措施部署检测与安全措施正确性有效性检测；S2、进行数据收集环节检测、和/或数据存储环节检测、和/或数据使用与加工环节检测、和/或数据传输与提供环节检测、和/或数据公开环节检测以及和/或数据删除环节检测；S3、对所有环节过程中使用的密码和脱敏技术根据规则进行正确性验证，如果出现错误，则输出不安全；S4、任何检测环节过程中不能识别以及提示预设内容的都输出法律警告，获取被检对象接受S1和S2步骤输出的警告和不安全标准，并作为说明项输出，未被被检对象接受的和法律警告，则直接输出。2.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法，其特征在于：所述安全措施部署检测包括：S1101、梳理系统涉及到的数据和数据流，获取网络拓扑结构和数据流拓扑图，数据流包括数据入口、内部处理、数据出口、外部处理和数据监控，拓扑图包括数据收集、存储、使用、加工、传输、提供、公开和删除各环节；S1102、被检对象根据数据的重要性和流程中出现风险的可能性，将数据流各环节赋予不同的权重和分值，如果权重不满足预设值，则输出警告；S1103、核查数据收集、存储、使用、加工、传输、提供、公开和删除各环节数据采用的所有安全措施，输出各环节与安全和/或安全技术服务清单，并在清单中赋予S1102步骤中设定的权重和分值，如果某一环节缺失，则该环节的权重和分值均为0，如果存在某一环节缺少保护措施，则输出不安全；S1104、检测数据入口是否具备身份鉴别、数据重要性识别、被检对象能否接收该数据、数据是否含有非法信息的措施，如果缺少身份鉴别或者数据含有非法信息，则输出不安全，如果缺少数据重要性识别或被检对象不能接收该数据，则输出警告；S1105、检测内部处理是否具备相应处理人员的身份鉴别和权限管控措施，如果不具备，则输出不安全，检测需要加密保护和/或脱敏保护的数据是否具备加密和/或脱敏保护，如果不具备，则输出不安全；S1106、检测数据出口是否具备身份鉴别和权限管控措施，如果不具备，则输出不安全，检测需要加密保护和/或脱敏保护的数据是否具备加密和/或脱敏保护，如果不具备，则输出不安全；S1107、外部处理检测数据在外部的情况下重复S1105步骤，检测是否具备数据按要求使用、加工结束后被销毁或被加密保护的监控措施，如果不具备，则输出不安全，如果加密的密钥不是由被检对象提供，则输出不安全；S1108、检测数据监控是否包括网络安全预警系统和对数据操作行为的监控系统，如果不具备，则输出警告；S1109、将S1103步骤的清单与密码和网络安全产品认证机构发布的实时清单进行对比，如果不匹配，则输出不安全，将安全产品和安全技术服务与存在安全问题的安全产品和安全技术服务库进行对比，如果存在安全问题的产品和技术服务，则输出不安全并作为高
风险；S1110、将前面步骤所有环节的不安全和警告由被检对象统一给出分值，每个环节所有措施进行求和得到每个环节的得分，每个环节得分乘以赋予的权重得到每个环节的静态得分，每个环节的静态得分求和除以100，得到数据所处环境的安全措施总静态得分；S1111、获取被检对象设定的总静态得分合格界限值，如果总静态得分低于合格界限值，则输出不安全。3.根据权利要求2所述的一种数据安全保护措施的安全性和有效性检测方法，其特征在于：所述安全措施正确性有效性检测包括：S1201、获取所有安全产品使用手册，检查安全产品实际配置与手册说明是否一致，如果不一致，则输出不安全，读取已运行的安全产品的已有日志，判断安全产品以往工作是否正常，根据网络拓扑图和数据流拓扑图，至少执行1次覆盖所有数据流拓扑的任务，如果没有日志，则观察判断是否正常，并留取证据；S1202、将S1201步骤中的正常环节取1乘以该环节的动态得分，如果某环节有多种安全措施但存在有不正常的安全措施的情况，则取0乘以该环节的动态得分，每个环节的动态得分相加得到数据所处环境的总动态得分；S1203、获取被检对象设定的总动态得分合格界限值，如果总动态得分低于该值，则输出不安全，如果某环境动态得分为0，则输出不安全并作为高风险；S1204、梳理所有措施的更新周期，在每项措施更新后，至少重复S1201
‑
S1203步骤进行一次检测。4.根据权利要求1所述的一种数据安全保护措施的安全性和有效性检测方法，其特征在于：所述数据收集环节检测包括：S2101、获取收集数据的分类分级说明和依据文件，依据文件中明确不同类别级别的数据用的保护措施；S2102、核查进行收集的人员和/或软硬件是否存在授权措施，如果不存在，则输出不安全，检查是否留存授权文件或授权记录，如果没有留存，则输出警告，根据授权措施读取并检查过往至少3个月的执行记录，按照说明运行1次，读取本次执行记录，如果未严格执行授权措施，则输出警告，如果出现授权错误，则输出不安全，检查是否具有采用密码技术对授权文件或授权记录进行完整性、真实性和不可否认性保护的措施，如果没有，则输出不安全；S2103、检查系统是否具备识别数据所属类别和级别的功能，如果不具备，则输出警告；S2104、随机读取已有的每一类每一级数据，并与分类分级说明进行对比，如果不一致，则输出警告，根据数据的分类分级说明，为每一类每一级设置样本数据，并将数据随机打乱不按照正确的类别和级别输入系统，如果系统不能纠正或风险提示，则输出警告；S2105、对于分...

【专利技术属性】
技术研发人员：陈万钢，席小林，李昆阳，杨森，
申请(专利权)人：豪符密码检测技术成都有限责任公司，
类型：发明
国别省市：