技术领域
[0001] 本
发明涉及数据安全管控,具体涉及一种审计数据安全管控系统。
背景技术
[0002] 系统审计具有审计、控制、管理等三大职能。审计职能就是以相关规定、标准等为评价依据,评价被审计对象的信息资产和信息系统是否安全、可信,反映财务收支和经济活动的
电子轨迹是否合法、合规、合理,督促被审计对象遵纪守法,提高经济效益;控制职能,内部信息系统审计人员作为企业内部控制系统中的一个重要组成部分,因其受企业主要负责人的直接领导,能够站在企业发展的
角度来分析和考虑问题,检查信息系统运行是否得到有效控制。
[0003] 现有的审计数据安全管控系统无法对审计数据进行防护加密,并且不能对审计数据的安全周期进行有效管控。此外,现有的审计数据安全管控系统不具备数据流安全评估功能,无法对现有系统数据管控的效果和安全性进行有效评估。
发明内容
[0004] (一)解决的技术问题
[0005] 针对
现有技术所存在的上述缺点,本发明提供了一种审计数据安全管控系统,能够有效克服现有技术所存在的无法对审计数据进行防护加密、不能对审计数据的安全周期进行有效管控、不具备数据流安全评估功能的
缺陷。
[0006] (二)技术方案
[0007] 为实现以上目的,本发明通过以下技术方案予以实现:
[0008] 一种审计数据安全管控系统,包括
服务器和用于从审计终端导入审计数据的审计数据导入模
块,所述审计数据导入模块与审计数据存储模块相连,所述服务器与所述审计数据存储模块之间连接有用于对审计数据进行审计分析的审计分析模块,所述服务器与用于存储审计业务的审计业务存储模块相连;
[0009] 所述服务器与根据所述审计数据存储模块中存储审计数据的类别和密级进行分类的数据级别划分模块相连,所述服务器与用于对所述数据级别划分模块分类后的审计数据进行加密防护的数据防护加密模块相连,所述服务器与用于采集所述数据防护加密模块生成日志信息的日志信息采集模块相连,所述服务器与根据日志信息建立审计数据安全周期视图的安全视图建立模块相连;
[0010] 所述服务器与根据所述审计业务存储模块中存储审计业务的关联性将所述审计数据存储模块中存储审计数据生成相关数据流的数据流关系生成模块相连,所述服务器与用于对数据流关系生成模块生成的每条数据流设置控制边界并生成控制边界表的层次化边界设置模块相连,所述服务器与用于对每条数据流计算可控性指标的可控制指标计算模块相连,所述服务器与用于对每条数据流对应的可控性指标进行对比分析并进行安全评估的数据流安全评估模块相连。
[0011] 优选地,所述服务器与用于展示所述审计分析模块审计分析结果的审计结果展示模块相连。
[0012] 优选地,所述数据级别划分模块根据审计数据所属数据类别,按照机密性、完整性、可用性的权重进行数据资产价值计算,再结合审计数据的涉密性划分密级,按照密级将审计数据划分为高敏感数据、敏感数据、内部数据和公共数据。
[0013] 优选地,所述数据防护加密模块为审计数据的加密、认证、
访问、审计以及
跟踪分配相应的安全防护工具。
[0014] 优选地,所述数据防护加密模块对所述数据级别划分模块分类后的审计数据进行加密防护的方法包括:
[0015] S1、建立加密密钥层次树,并计算索主密钥Kj和类密钥Kx,其中,1≤j≤t,t+1≤x≤n,t、j为主索引
节点,t+1、x、n为主索引节点下的叶
子节点,n为数据类;
[0016] S2、根据审计数据的密级生成数据类Cx的加密密钥Kx,s,利用该Kx,s对数据类Cx进行加密,其中Cx表示位于主索引节点j下叶子节点的数据类。
[0017] 优选地,所述数据防护加密模块生成的日志信息包括记录审计数据在创建、存储、使用、传输、删除与恢复各阶段的数据操作行为,并存储为审计日志记录。
[0018] 优选地,所述层次化边界设置模块生成控制边界表的方法包括:
[0019] S1、依次选择每条数据流R(n),其中N≥n≥1,根据预先设置的控制边界可信赋值规则,设置控制边界;
[0020] S2、根据预先设置的等级对应表对控制边界依次赋予可信等级;
[0021] S3、重复上述步骤,直至全部N条数据流的控制边界均赋予相应可信等级,最终生成带可信等级属性的控制边界表。
[0022] 优选地,所述数据流安全评估模块对每条数据流在防护、监测、响应、处置方面的安全能
力进行安全评估,并生成数据流安全评估报告。
[0023] (三)有益效果
[0024] 与现有技术相比,本发明所提供的一种审计数据安全管控系统,具有以下有益效果:
[0025] 1、审计数据导入模块从审计终端导入审计数据,并存储在审计数据存储模块中,数据级别划分模块根据审计数据存储模块中存储审计数据的类别和密级进行分类,数据防护加密模块对数据级别划分模块分类后的审计数据进行加密防护,日志信息采集模块采集数据防护加密模块生成日志信息,安全视图建立模块根据日志信息建立审计数据安全周期视图,利用数据防护加密模块能够对审计数据进行防护加密,并且借助安全视图建立模块能够对审计数据的安全周期进行有效管控,从而有效提升了系统对审计数据安全性的管控力度;
[0026] 2、数据流关系生成模块根据审计业务存储模块中存储审计业务的关联性将审计数据存储模块中存储审计数据生成相关数据流,层次化边界设置模块对数据流关系生成模块生成的每条数据流设置控制边界并生成控制边界表,可控制指标计算模块对每条数据流计算可控性指标,数据流安全评估模块对每条数据流对应的可控性指标进行对比分析并进行安全评估,从而能够对现有系统数据管控的效果和安全性进行有效评估。
附图说明
[0027] 为了更清楚地说明本发明
实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0028] 图1为本发明系统示意图。
具体实施方式
[0029] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0030] 一种审计数据安全管控系统,如图1所示,包括服务器和用于从审计终端导入审计数据的审计数据导入模块,审计数据导入模块与审计数据存储模块相连,服务器与审计数据存储模块之间连接有用于对审计数据进行审计分析的审计分析模块,服务器与用于存储审计业务的审计业务存储模块相连;
[0031] 服务器与根据审计数据存储模块中存储审计数据的类别和密级进行分类的数据级别划分模块相连,服务器与用于对数据级别划分模块分类后的审计数据进行加密防护的数据防护加密模块相连,服务器与用于采集数据防护加密模块生成日志信息的日志信息采集模块相连,服务器与根据日志信息建立审计数据安全周期视图的安全视图建立模块相连;
[0032] 服务器与根据审计业务存储模块中存储审计业务的关联性将审计数据存储模块中存储审计数据生成相关数据流的数据流关系生成模块相连,服务器与用于对数据流关系生成模块生成的每条数据流设置控制边界并生成控制边界表的层次化边界设置模块相连,服务器与用于对每条数据流计算可控性指标的可控制指标计算模块相连,服务器与用于对每条数据流对应的可控性指标进行对比分析并进行安全评估的数据流安全评估模块相连。
[0033] 服务器与用于展示审计分析模块审计分析结果的审计结果展示模块相连。
[0034] 数据级别划分模块根据审计数据所属数据类别,按照机密性、完整性、可用性的权重进行数据资产价值计算,再结合审计数据的涉密性划分密级,按照密级将审计数据划分为高敏感数据、敏感数据、内部数据和公共数据。
[0035] 数据防护加密模块为审计数据的加密、认证、访问、审计以及跟踪分配相应的安全防护工具。
[0036] 数据防护加密模块对数据级别划分模块分类后的审计数据进行加密防护的方法包括:
[0037] S1、建立加密密钥层次树,并计算索主密钥Kj和类密钥Kx,其中,1≤j≤t,t+1≤x≤n,t、j为主索引节点,t+1、x、n为主索引节点下的叶子节点,n为数据类;
[0038] S2、根据审计数据的密级生成数据类Cx的加密密钥Kx,s,利用该Kx,s对数据类Cx进行加密,其中Cx表示位于主索引节点j下叶子节点的数据类。
[0039] 数据防护加密模块生成的日志信息包括记录审计数据在创建、存储、使用、传输、删除与恢复各阶段的数据操作行为,并存储为审计日志记录。
[0040] 层次化边界设置模块生成控制边界表的方法包括:
[0041] S1、依次选择每条数据流R(n),其中N≥n≥1,根据预先设置的控制边界可信赋值规则,设置控制边界;
[0042] S2、根据预先设置的等级对应表对控制边界依次赋予可信等级;
[0043] S3、重复上述步骤,直至全部N条数据流的控制边界均赋予相应可信等级,最终生成带可信等级属性的控制边界表。
[0044] 数据流安全评估模块对每条数据流在防护、监测、响应、处置方面的安全能力进行安全评估,并生成数据流安全评估报告。
[0045] 审计数据导入模块从审计终端导入审计数据,并存储在审计数据存储模块中,数据级别划分模块根据审计数据存储模块中存储审计数据的类别和密级进行分类,数据防护加密模块对数据级别划分模块分类后的审计数据进行加密防护,日志信息采集模块采集数据防护加密模块生成日志信息,安全视图建立模块根据日志信息建立审计数据安全周期视图,利用数据防护加密模块能够对审计数据进行防护加密,并且借助安全视图建立模块能够对审计数据的安全周期进行有效管控,从而有效提升了系统对审计数据安全性的管控力度。
[0046] 数据级别划分模块根据审计数据所属数据类别,按照机密性、完整性、可用性的权重进行数据资产价值计算,再结合审计数据的涉密性划分密级,按照密级将审计数据划分为高敏感数据、敏感数据、内部数据和公共数据。
[0047] 数据防护加密模块为审计数据的加密、认证、访问、审计以及跟踪分配相应的安全防护工具。
[0048] 数据防护加密模块对数据级别划分模块分类后的审计数据进行加密防护的方法包括:
[0049] S1、建立加密密钥层次树,并计算索主密钥Kj和类密钥Kx,其中,1≤j≤t,t+1≤x≤n,t、j为主索引节点,t+1、x、n为主索引节点下的叶子节点,n为数据类;
[0050] S2、根据审计数据的密级生成数据类Cx的加密密钥Kx,s,利用该Kx,s对数据类Cx进行加密,其中Cx表示位于主索引节点j下叶子节点的数据类。
[0051] 数据防护加密模块生成的日志信息包括记录审计数据在创建、存储、使用、传输、删除与恢复各阶段的数据操作行为,并存储为审计日志记录。
[0052] 数据流关系生成模块根据审计业务存储模块中存储审计业务的关联性将审计数据存储模块中存储审计数据生成相关数据流,层次化边界设置模块对数据流关系生成模块生成的每条数据流设置控制边界并生成控制边界表,可控制指标计算模块对每条数据流计算可控性指标,数据流安全评估模块对每条数据流对应的可控性指标进行对比分析并进行安全评估,从而能够对现有系统数据管控的效果和安全性进行有效评估。
[0053] 层次化边界设置模块生成控制边界表的方法包括:
[0054] S1、依次选择每条数据流R(n),其中N≥n≥1,根据预先设置的控制边界可信赋值规则,设置控制边界;
[0055] S2、根据预先设置的等级对应表对控制边界依次赋予可信等级;
[0056] S3、重复上述步骤,直至全部N条数据流的控制边界均赋予相应可信等级,最终生成带可信等级属性的控制边界表。
[0057] 数据流安全评估模块对每条数据流在防护、监测、响应、处置方面的安全能力进行安全评估,并生成数据流安全评估报告。
[0058] 以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行
修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。