一种数据安全合规风险评估系统技术方案

本发明专利技术公开了一种数据安全合规风险评估系统，包括业务应用层，所述业务应用层用以对录入的项目进行风险评估，评估内容包括管理账号风险

【技术实现步骤摘要】
一种数据安全合规风险评估系统


[0001]本专利技术涉及数据安全风险评估
，尤其涉及一种数据安全合规风险评估系统
。

技术介绍

[0002]随着对数据安全和隐私信息保护的日益重视，以及相关法律法规的推出
,
在搭建数据共享流通平台和构建数据交易的同时也需要保证数据隐私和安全以及符合有关法律法规
。
而当前大部分数据安全风险评估项目采用人工检测形式，检查深度和准确度受个人能力影响较大，导致数据安全评估项目执行不充分
、
项目执行时间过长
、
遗漏安全问题等
。

技术实现思路

[0003]本专利技术的目的是提供一种数据安全合规风险评估系统，以解决当前大部分数据安全风险评估项目采用人工检测形式，检查深度和准确度受个人能力影响较大，导致数据安全评估项目执行不充分
、
项目执行时间过长
、
遗漏安全问题的技术问题
。
[0004]本专利技术是采用以下技术方案实现的：一种数据安全合规风险评估系统，包括业务应用层，所述业务应用层用以对录入的项目进行风险评估，评估内容包括管理账号风险
、
业务账号风险
、
数据权限风险
、
审计溯源风险
、
暴露面风险
、
数据行为风险和数据流向风险中的一种或多种，还包括应用支持层
、
信息资源层和
IT
基础层，所述应用支持层用以为整个评估系统提供服务支持，所述信息资源层用以为整个评估系统提供信息支持，所述
IT
基础层用以为整个评估系统提供网络支持
。
[0005]进一步的，所述业务应用层包括项目管理模块和设备管理模块，其中，项目管理模块，负责检测项目的录入，支持项目信息的更新和删除，录入的项目信息包括项目名称
、
项目编号
、
公司名称
、
项目类型
、
项目经理
、
被测公司联系人以及联系电话中的一种或多种；还支持项目信息的统计展示，对测评人员参与测评的项目数量
、
设备数量进行统计分析展示；设备管理模块，负责添加设备信息，在创建项目信息后，通过设备管理模块添加设备信息，包括设备名称
、
设备版本
、IP
地址
、
端口
、
账户名
、
密码以及数据库名称中的一种或多种
。
[0006]进一步的，所述业务应用层还包括任务管理模块，所述任务管理模块用以细化项目信息，为项目创建多个执行任务，包括初测任务
、
复测任务
、
单次任务测评对象
、
测评等级
、
任务创建时间
、
任务创建者以及备注中的一种或多种
。
[0007]进一步的，所述业务应用层还包括报表模块，所述报表模块负责展示评估任务的结果信息，所述结果信息包括管理账号风险
、
业务账号风险
、
数据权限风险
、
审计溯源风险
、
暴露面风险
、
数据行为风险以及数据流向风险的自动测评记录
、
配置导出记录和符合情况，并导出风险评估报告
。
[0008]进一步的，所述业务应用层还包括知识库管理模块，所述知识库管理模块负责展
示数据安全相关的标准文件
、
政策文件以及作业指导书，供用户进行查询
、
下载查看
。
[0009]进一步的，所述业务应用层还包括测评插件管理模块，所述测评插件管理模块负责展示当前系统支持的测评插件信息，所述测评插件信息包括：插件类型
、
插件名称
、
测评设备对象
、
测试环境
、
开发者
、
开发时间以及最后更新时间中的一种或多种
。
[0010]进一步的，所述业务应用层还包括系统管理模块，所述系统管理模块支持用户管理和个人设置，包括用户信息展示
、
新增用户
、
修改用户
、
删除用户
、
设置角色权限以及修改密码中的一种或多种
。
[0011]进一步的，所述应用支持层用以为整个评估系统提供测评服务
、
文件服务以及存储服务
。
[0012]进一步的，所述信息资源层用以为整个评估系统提供项目信息
、
任务信息
、
知识库信息以及报表信息
。
[0013]进一步的，所述
IT
基础层用以为整个评估系统提供服务器
、Linux
操作系统
、
网络
、mysql
数据库
、Mongodb
数据库以及
nginx
中间件
。
[0014]本专利技术的有益效果在于：
1、
提高工作效率：评估系统通过基于正则表达式
、
特征算法
、
关键字等组合的敏感数据识别算法，可以清晰地从数据库的所有表和字段中识别出用户信息，这有助于实施人员更快速准确地了解系统采集数据情况及保护情况
。
[0015]2、
降低成本：评估系统通过基于正则
、
关键字
、
逻辑分析的自动化评估算法，可以实现信息数据库的自动化测评与风险评估，评估内容包括数据库系统的身份鉴别措施
、
登录失败处理
、
传输机密性
、
存储机密性
、
日志审计功等进行高效的自动化评估；并清晰地展示系统数据面临的安全风险，包括日常访问
、
遍历访问
、SQL
注入
、
口令爆破
、
数据流向，减少手工测评及编写报告的成本和时间，降低公司的运行成本
。
附图说明
[0016]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图
。
[0017]图1为本专利技术系统框图；图2为本专利技术流程图
。
具体实施方式
[0018]为使本专利技术实施例的目的
、
技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚
、
完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种数据安全合规风险评估系统，其特征在于，包括业务应用层，所述业务应用层用以对录入的项目进行风险评估，评估内容包括管理账号风险
、
业务账号风险
、
数据权限风险
、
审计溯源风险
、
暴露面风险
、
数据行为风险和数据流向风险中的一种或多种，还包括应用支持层
、
信息资源层和
IT
基础层，所述应用支持层用以为整个评估系统提供服务支持，所述信息资源层用以为整个评估系统提供信息支持，所述
IT
基础层用以为整个评估系统提供网络支持
。2.
如权利要求1所述的一种数据安全合规风险评估系统，其特征在于，所述业务应用层包括项目管理模块和设备管理模块，其中，项目管理模块，负责检测项目的录入，支持项目信息的更新和删除，录入的项目信息包括项目名称
、
项目编号
、
公司名称
、
项目类型
、
项目经理
、
被测公司联系人以及联系电话中的一种或多种；还支持项目信息的统计展示，对测评人员参与测评的项目数量
、
设备数量进行统计分析展示；设备管理模块，负责添加设备信息，在创建项目信息后，通过设备管理模块添加设备信息，包括设备名称
、
设备版本
、IP
地址
、
端口
、
账户名
、
密码以及数据库名称中的一种或多种
。3.
如权利要求2所述的一种数据安全合规风险评估系统，其特征在于，所述业务应用层还包括任务管理模块，所述任务管理模块用以细化项目信息，为项目创建多个执行任务，包括初测任务
、
复测任务
、
单次任务测评对象
、
测评等级
、
任务创建时间
、
任务创建者以及备注中的一种或多种
。4.
如权利要求3所述的一种数据安全合规风险评估系统，其特征在于，所述业务应用层还包括报表模块，所述报表模块负责展示评估任务的结果信息，所述结果信息包括管理账号风险
、
业务账号风险
...

【专利技术属性】
技术研发人员：冯丽，彭洪伟，陈玉容，方健康，
申请(专利权)人：四川赛闯检测股份有限公司，
类型：发明
国别省市：