本发明涉及信息技术安全,特别涉及一种针对数据资产的安全关联分析方法、装置及存储介质。
背景技术:
1、在gb/t 37988-2019《信息安全技术数据安全能力成熟度模型》中定义了数据安全过程维度中的6个阶段,即数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全和数据销毁安全。传统的数据资产安全识别过程通常是静态的、孤立的看待数据资产,对数据资产进行分级分类管理,可能忽视数据资产的形成、处置、流转、共享等过程,也无法建立数据资产间的关联关系。
技术实现思路
1、本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明提出一种针对数据资产的安全关联分析方法,可以解决数据资产风险难以全方位分析的问题,全方位的形成数据资产的关系拓扑和历史血缘,从而为有效管理数据资产、收敛数据资产安全风险提供支持。
2、本发明还提出一种具有上述针对数据资产的安全关联分析方法的系统及存储介质。
3、根据本发明的第一方面实施例的针对数据资产的安全关联分析方法,其特征在于,包括:
4、采集数据资产的基本属性,包括数据资产归属单位、负责维护资产的负责人、资产的介质类型、数据用途、数据级别、离线备份措施及恢复演练情况;
5、对数据资产中的核心字段进行定义和分析,包括名称、类型、级别、脱敏显示与否、脱敏存储与否、加密传输与否;
6、定位数据资产的血缘关系,将包括数据资产、选择资产与本资产的关系的信息形成拓扑结构的依据;
7、确定数据资产与应用的交互关系,包括应用访问路径、名称、信息系统安全等级、应用类型、应用权限的信息;
8、记录数据资产存放的物理环境,包括所属数据中心、ip地址、名称;
9、根据数据资产本身主属性、核心数据字段对数据资产自身进行安全评估,根据数据血缘、交互应用和数据载体对数据资产的上下游、应用、载体进行安全评估。
10、根据本发明实施例的针对数据资产的安全关联分析方法,至少具有如下有益效果:本发明提供的方法能够通过维护数据资产主数据属性、核心数据字段属性、数据血缘、交互应用及数据载体收集的信息,即可形成数据资产相关的关联分析结果。通过本发明对于数据资产的安全关联分析方法,可以解决数据资产风险难以全方位分析的问题,全方位的形成数据资产的关系拓扑和历史血缘,从而为有效管理数据资产、收敛数据资产安全风险提供支持。
11、根据本发明的一些实施例,所述根据数据资产本身主属性、核心数据字段对数据资产自身进行安全评估,根据数据血缘、交互应用和数据载体对数据资产的上下游、应用、载体进行安全评估的步骤,包括:
12、根据数据资产的介质类型、离线备份、恢复演练情况,确定数据资产是否符合对应的安全级别;
13、在数据资产中定义数据的级别,并能够在脱敏显示、脱敏存储、加密传输未达到该数据对应级别的安全规定时,提示风险;
14、根据数据资产中的流转逻辑,确定核心数据与其他数据之间的流转关系,并以此进行风险评估;
15、根据数据资产中数据与应用系统之间的交互关系,分别确定数据的安全级别和应用系统本身的安全等级,并以此做出评估。
16、根据本发明的一些实施例,所述数据资产的基本属性中:
17、介质类型包括,关系型数据库、非关系型数据库、专用硬件设备、电子文档及其他类型;
18、数据级别根据数据资产的数据字段的数据级别确定的;
19、离线备份措施分为:无离线备份措施、离线备份每周不足一次、离线备份至少每周一次、离线备份至少每天一次;
20、恢复演练情况分为:无恢复演练、每年不足一次、至少每年一次、至少每年两次。
21、根据本发明的一些实施例,所述核心字段的类型是数据分类,包括:公共数据、个人信息、法人数据、其它,用于判断是否需要完善数据保护措施;所述核心字段的级别分为公开级、内部级、敏感级、重要级、核心级,生成主数据属性中的数据级别。
22、根据本发明的一些实施例,所述数据资产的血缘关系中,选择资产与本资产的关系包括:加工前序、加工后序、父节点、子节点四种关系,加工前序为数据来自此处,加工后序为数据去向此处,父节点为数据汇聚至此或由此分发,子节点为数据分发至此或由此汇聚。
23、根据本发明的第二方面实施例的针对数据资产的安全关联分析系统,其特征在于,包括:
24、主数据属性采集模块,能够采集数据资产的基本属性,包括数据资产归属单位、负责维护资产的负责人、资产的介质类型、数据用途、数据级别、离线备份措施及恢复演练情况;
25、核心数据采集模块,能够对数据资产中的核心字段进行定义和分析,包括名称、类型、级别、脱敏显示与否、脱敏存储与否、加密传输与否;
26、数据血缘采集模块,能够定位数据资产的血缘关系,将包括数据资产、选择资产与本资产的关系的信息形成拓扑结构的依据;
27、交互应用搭建模块,能够确定数据资产与应用的交互关系,包括应用访问路径、名称、信息系统安全等级、应用类型、应用权限的信息;
28、数据载体记录模块,用于记录数据资产存放的物理环境,包括所属数据中心、ip地址、名称;
29、安全评估风险评级模块,能够根据数据资产本身主属性、核心数据字段对数据资产自身进行安全评估,根据数据血缘、交互应用和数据载体对数据资产的上下游、应用、载体进行安全评估。
30、根据本发明的一些实施例,所述安全评估风险评级模块,包括:
31、主数据评价元件,能够根据数据资产的介质类型、离线备份、恢复演练情况,确定数据资产是否符合对应的安全级别;
32、数据字段评价元件,能够在数据资产中定义数据的级别,并能够在脱敏显示、脱敏存储、加密传输未达到该数据对应级别的安全规定时,提示风险;
33、数据血缘评价元件,能够根据数据资产中的流转逻辑,确定核心数据与其他数据之间的流转关系,并以此进行风险评估;
34、交互应用评价元件,能够根据数据资产中数据与应用系统之间的交互关系,分别确定数据的安全级别和应用系统本身的安全等级,并以此做出评估。
35、根据本发明的一些实施例,所述数据资产的基本属性中:
36、介质类型包括,关系型数据库、非关系型数据库、专用硬件设备、电子文档及其他类型;
37、数据级别根据数据资产的数据字段的数据级别确定的;
38、离线备份措施分为:无离线备份措施、离线备份每周不足一次、离线备份至少每周一次、离线备份至少每天一次;
39、恢复演练情况分为:无恢复演练、每年不足一次、至少每年一次、至少每年两次。
40、根据本发明的一些实施例,所述核心字段的类型是数据分类,包括:公共数据、个人信息、法人数据、其它,用于判断是否需要完善数据保护措施;所述核心字段的级别分为公开级、内部级、敏感级、重要级、核心级(5级),生成主数据属性中的数据级别。
41、根据本发明的一些实施例,所述数据资产的血缘关系中,选择资产与本资产的关系包括:加工前序、加工后序、父节点、子节点四种关系,加工前序为数据来自此处,加工后序为数据去向此处,父节点为数据汇聚至此或由此分发,子节点为数据分发至此或由此汇聚。
42、根据本发明第三方面实施例的计算机可读存储介质,该介质存储有计算机可执行指令,该计算机可执行指令用于以执行上述针对数据资产的安全关联分析方法。
43、本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
1.一种针对数据资产的安全关联分析方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据数据资产本身主属性、核心数据字段对数据资产自身进行安全评估,根据数据血缘、交互应用和数据载体对数据资产的上下游、应用、载体进行安全评估的步骤,包括:
3.根据权利要求2所述的方法,其特征在于,所述数据资产的基本属性中:
4.根据权利要求2所述的方法,其特征在于,所述核心字段的类型是数据分类,包括:公共数据、个人信息、法人数据、其它,用于判断是否需要完善数据保护措施;所述核心字段的级别分为公开级、内部级、敏感级、重要级、核心级,生成主数据属性中的数据级别。
5.根据权利要求2所述的方法,其特征在于,所述数据资产的血缘关系中,选择资产与本资产的关系包括:加工前序、加工后序、父节点、子节点四种关系,加工前序为数据来自此处,加工后序为数据去向此处,父节点为数据汇聚至此或由此分发,子节点为数据分发至此或由此汇聚。
6.一种针对数据资产的安全关联分析系统,其特征在于,包括:
7.根据权利要求6所述的系统,其特征在于,所述安全评估风险评级模块,包括:
8.根据权利要求7所述的系统,其特征在于,所述数据资产的基本属性中:
9.根据权利要求7所述的系统,其特征在于,所述核心字段的类型是数据分类,包括:公共数据、个人信息、法人数据、其它,用于判断是否需要完善数据保护措施;所述核心字段的级别分为公开级、内部级、敏感级、重要级、核心级,生成主数据属性中的数据级别。
10.根据权利要求7所述的系统,其特征在于,所述数据资产的血缘关系中,选择资产与本资产的关系包括:加工前序、加工后序、父节点、子节点四种关系,加工前序为数据来自此处,加工后序为数据去向此处,父节点为数据汇聚至此或由此分发,子节点为数据分发至此或由此汇聚。
11.一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1至5中任一项所述的方法。
