CN113343266A - 信息***安全运营管理平台及方法 - Google Patents
信息***安全运营管理平台及方法 Download PDFInfo
- Publication number
- CN113343266A CN113343266A CN202110717720.XA CN202110717720A CN113343266A CN 113343266 A CN113343266 A CN 113343266A CN 202110717720 A CN202110717720 A CN 202110717720A CN 113343266 A CN113343266 A CN 113343266A
- Authority
- CN
- China
- Prior art keywords
- information
- project
- data
- security
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title abstract description 7
- 238000012360 testing method Methods 0.000 claims abstract description 9
- 238000007726 management method Methods 0.000 claims description 121
- 230000005540 biological transmission Effects 0.000 claims description 9
- 230000000694 effects Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 3
- 230000002123 temporal effect Effects 0.000 claims description 3
- 230000006855 networking Effects 0.000 claims description 2
- 238000012423 maintenance Methods 0.000 abstract description 8
- 238000012827 research and development Methods 0.000 abstract description 8
- 230000008439 repair process Effects 0.000 abstract description 5
- 238000012937 correction Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例涉及一种信息***安全运营管理平台及方法,通过基本信息模块记录项目的基本信息,通过应用***模块管理项目的基本信息,通过合规管理模块对项目的安全信息、基线验收信息、备案信息以及认证信息进行管理,通过数据安全管理模块对项目上线后用户上传的数据及***数据的安全性进行管理,通过隐私保护模块管理项目对应的用户个人隐私信息,通过安全工具模块对项目的安全漏洞进行管理,从而贯穿项目的整个生命周期,实现对项目从立项、研发、上线到运维各阶段中对安全措施的统一管理、执行、自检自测、信息安全漏洞的修复整改、***安全措施的合理性等管理,不仅降低了产品信息的安全风险,且提高了项目的管理效率。
Description
技术领域
本发明实施例涉及互联网安全技术领域,具体涉及一种信息***安全运营管理平台及方法。
背景技术
目前,各企业对立项项目、研发项目及***上线后的管理是分开管理,如项目通常是PMO管理,包括对项目立项、招标、验收等的管理,项目立项和项目研发阶段往往只关注项目的合规性,不涉及项目的安全性管理,项目结项后***上线通常由运维部门管理维护,以监控***是否在线、漏洞情况、网络情况、用户能否打开网站等,这种分开管理的方式很容易引起管理不统一,信息交换不及时,管理效率低下等问题。
发明内容
有鉴于此,本发明实施例提供一种信息***安全运营管理平台及方法,以实现从项目立项到运营的全流程管理。
本发明实施例的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明实施例的实践而习得。
在本公开的第一方面,本发明实施例提供了一种信息***安全运营管理平台,用于从项目的立项到运营的全流程管理,所述平台包括:
基本信息模块,用于记录所述项目的基本信息;
应用***模块,用于管理所述项目的基本信息;
合规管理模块,用于对所述项目的安全信息、基线验收信息、备案信息以及认证信息进行管理;
数据安全管理模块,用于对所述项目上线后用户上传的数据及***数据的安全性进行管理;
隐私保护模块,用于管理所述项目对应的用户个人隐私信息;
安全工具模块,用于对所述项目的安全漏洞进行管理。
在本公开的第二方面,本发明实施例还提供了一种信息***安全运营管理方法,用于从项目的立项到运营的全流程管理,包括:
通过基本信息模块记录所述项目的基本信息;
通过应用***模块管理所述项目的基本信息;
通过合规管理模块对所述项目的安全信息、基线验收信息、备案信息以及认证信息进行管理;
通过数据安全管理模块对所述项目上线后用户上传的数据及***数据的安全性进行管理;
通过隐私保护模块管理所述项目对应的用户个人隐私信息;
通过安全工具模块对所述项目的安全漏洞进行管理。
本发明实施例提出的技术方案的有益技术效果是:通过基本信息模块记录项目的基本信息,通过应用***模块管理项目的基本信息,通过合规管理模块对项目的安全信息、基线验收信息、备案信息以及认证信息进行管理,通过数据安全管理模块对项目上线后用户上传的数据及***数据的安全性进行管理,通过隐私保护模块管理项目对应的用户个人隐私信息,通过安全工具模块对项目的安全漏洞进行管理,以贯穿项目的整个生命周期,实现对项目从立项、研发、上线到运维各阶段中对安全措施的统一管理、执行、自检自测、信息安全漏洞的修复整改、***安全措施的合理性等管理,不仅降低了产品信息的安全风险,且提高了项目的管理效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明实施例中的一部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据本发明实施例的内容和这些附图获得其他的附图。
图1是根据本发明实施例提供的一种信息***安全运营管理平台的应用场景示意图;
图2是根据本发明实施例提供的一种信息***安全运营管理平台的示意图;
图3是图2中合规管理模块的结构示意图;
图4是图2中数据安全管理模块的结构示意图;
图5是根据本发明实施例提供的一种信息***安全运营管理方法的流程图。
具体实施方式
为使本发明实施例解决的技术问题、采用的技术方案和达到的技术效果更加清楚,下面将结合附图对本发明实施例的技术方案作进一步的详细描述,显然,所描述的实施例仅仅是本发明实施例中的一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明实施例保护的范围。
需要说明的是,本发明实施例中术语“***”和“网络”在本文中常被可互换使用。本发明实施例中提到的“和/或”是指包括一个或更多个相关所列项目的任何和所有组合。本公开的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于限定特定顺序。
还需要说明是,本发明实施例中下述各个实施例可以单独执行,各个实施例之间也可以相互结合执行,本发明实施例对此不作具体限制。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面结合附图并通过具体实施方式来进一步说明本发明实施例的技术方案。
图1是本发明实施例提供的一种信息***安全运营管理平台的应用场景示意图,如图1所示,本实施例提供的信息***安全运营管理平台可以适用于集团中多公司、多项目的管理,以集团-公司-项目组-项目/***-子***的分级体系从项目的立项到安全运营的全流程管理,并由网络安全专人管理。具体地,本实施例中的平台可以实现对集团下各个公司的各个项目组的各项目/***进行安全运营管理,其中,一个公司下可以包括n个项目组,一个项目组下又可以包括n个项目或***,一个项目或***下又可以产生若干个子***,如web应用***、PC客户端、移动APP软件、微信公众号、小程序以及H5页面中的至少其一。在本实施例中,为了确保信息安全,可以贯穿***/软件开发的整个生命周期,实现对项目从立项、研发、上线到运维各阶段中对安全措施的管理、执行、自检自测、信息安全漏洞的修复整改、***安全措施的合理性等管理,从而尽可能降低产品信息的安全风险,做到安全风险前置。且在平台首页即可对集团下的所有项目的安全管理情况进行可视化、图表化管理。
图2是本发明实施例提供的一种信息***安全运营管理平台的示意图,如图2所示,该信息***安全运营管理平台200(以下简称平台)包括:基本信息模块201、应用***模块202、合规管理模块203、数据安全管理模块204、隐私保护模块205以及安全工具模块206。其中:
基本信息模块201,用于记录项目的基本信息。其中,项目的基本信息包括项目或***的基本信息,以及对应子***的基本信息。具体地,基本信息包括但不限于项目、***或子***(子项目)的所属企业信息、企业负责人信息、项目的负责人信息以及安全管理负责人的信息等,其中企业信息可以包括企业名称、企业的统一社会信用代码、企业法人等。在本实施例中,当项目、***或子***立项时,可以登记立项阶段的已知信息,当上线验收时,可以补充全部信息。
应用***模块202,用于管理项目的基本信息。具体地,包括对项目或***的整体汇总管理以及对子***信息(子项目信息)的管理。其中,子***信息包括子***类型、访问地址、服务器信息以及***功能信息等,子***类型则包括web应用类型、PC应用类型、APP应用类型、微信公众号应用类型、小程序应用类型以及H5页面应用类型中的任一种。可以理解的是,对于一个项目或***,可以包括多个不同类型的子***。
合规管理模块203,用于对项目的安全信息、基线验收信息、备案信息以及认证信息进行管理。其中,项目的安全信息包括根据***或子***的安全性要求设定的不同的安全等级、以及业务类型、服务范围、服务要求、影响程度、投入成本、复杂程度等安全信息。安全等级则可以是高级保护信息***或子***的等级、中级保护信息***或子***的等级或低级保护信息***或子***的等级等。基线验收信息则是指用于对***进行基线验收的相关信息,例如,包括针对验收所适用的安全控制项,在项目验收时,针对控制项逐项检查并提供相应证据,如未完成,则验收不通过。备案信息则包括***的等级保护备案信息、等级保护定级信息、ICP备案信息以及国际联网备案信息等。认证信息包括***或子***是否进行过相关认证以及认证的状态(是否过期的、证书到期时间等),相关认证信息可在此处输入,例如信息安全管理体系的认证、个人身份信息保护管理体系的认证、云安全联盟CSASTAR认证、信息***安全等级保护认证、工业互联网安全评估测评认证等。
数据安全管理模块204,用于对项目上线后用户上传的数据及***数据的安全性进行管理。包括但不限于对数据的存储位置、数据的备份策略/周期、数据规模、用户的注册信息、用户的日活动量、用户的下载量、数据的类型、数据的保密级别、数据的保密期限、数据的密钥类型以及密钥名称等进行管理。
隐私保护模块205,用于管理项目对应的用户个人隐私信息。其中,个人隐私信息包括涉及用户隐私性的数据,如用户访问***的密钥、用户的身份证号、住址、电话号码、婚姻状况、驾驶证以及护照等中的任意项,根据不同的项目涉及的个人隐私信息不同。
安全工具模块206,用于对项目的安全漏洞进行管理。例如,通过日志以及告警的方式记录故障和信息安全时态的信息,以对测试数据以及源代码的安全性进行保护。
上述信息***安全运营管理平台,通过基本信息模块记录项目的基本信息,通过应用***模块管理项目的基本信息,通过合规管理模块对项目的安全信息、基线验收信息、备案信息以及认证信息进行管理,通过数据安全管理模块对项目上线后用户上传的数据及***数据的安全性进行管理,通过隐私保护模块管理项目对应的用户个人隐私信息,通过安全工具模块对项目的安全漏洞进行管理,以贯穿项目的整个生命周期,实现对项目从立项、研发、上线到运维各阶段中对安全措施的统一管理、执行、自检自测、信息安全漏洞的修复整改、***安全措施的合理性等管理,不仅降低了产品信息的安全风险,且提高了项目的管理效率。
图3是本发明实施例中合规管理模块的结构示意图,如图3所示,合规管理模块203,可以包括安全信息管理单元2031、基线验收信息管理单元2032、备案信息管理单元2033以及认证信息管理单元2034。
在本发明实施例中,安全信息管理单元2031,用于设置项目或子项目的安全性等级信息,并管理项目或子项目的安全性等级信息。其中,项目或子项目的安全性等级信息包括根据项目或子项目的安全性要求设定的不同的安全等级、以及业务类型、服务范围、服务要求、影响程度、投入成本、复杂程度等信息。安全等级则可以是高级保护信息项目或子项目的等级、中级保护信息项目或子项目的等级或低级保护信息项目或子项目的等级等。
基线验收信息管理单元2032,用于对项目的安全基线进行管理,并在项目验收时,根据设置的安全控制项执行验收操作。具体地,通过设置对项目或子项目进行基线验收所适用的安全控制项,在项目验收时,针对控制项逐项检查并提供相应证据,如未完成,则验收不通过。
备案信息管理单元2033,用于对项目的等级保护备案、等级保护定级、ICP备案以及国际联网备案进行管理。
认证信息管理单元2034,用于对项目的认证信息以及认证状态进行管理。其中,认证信息包括项目或子项目是否进行过相关认证的信息,认证状态则是指是否过期以及证书到期时间等状态,可将所获得的相关认证信息在此输入,例如信息安全管理体系的认证、个人身份信息保护管理体系的认证、云安全联盟CSA STAR认证、信息***安全等级保护认证、工业互联网安全评估测评认证等。
上述实施例中,通过合规管理模块的各个单元对项目的安全信息、基线验收信息、备案信息以及认证信息进行管理,以实现信息安全要求贯穿项目的整个生命周期,从而在项目各阶段中对安全措施的统一管理,提高了项目管理的安全性。
可选地,数据安全管理模块具体用于:在项目上线后,对访问项目的用户进行身份鉴别,并对用户上传的个人及隐私数据采用加密传输以及加密存储;对发布互联网且访问内部资源的项目,采用HTTPS(Hyper Text Transfer Protocol over SecureSocketLayer,超文本传输安全协议)以及TLS(Transport Layer Security,安全传输层协议)进行加密传输;基于数据的备份策略对保存在数据库中的数据或保存在文件***中的文件进行备份处理。
图4是本发明实施例中数据安全管理模块的结构示意图,如图4所示,数据安全管理模块204,可以包括数据信息单元2041、数据分类分级单元2042以及密码应用单元2043。
数据信息单元2041,用于对数据的存储位置、数据的备份策略、数据规模、用户的注册信息、用户的日活动量以及用户的下载量进行管理。
数据分类分级单元2042,用于对数据的类型、数据的保密级别以及数据的保密期限进行管理。其中,数据的类型包括个人用户数据、企业用户数据、订单数据、产品数据、设备数据、平台数据以及其他数据中的任一种。数据的保密级别包括敏感、商密、内部以及公开中的任一种。
密码应用单元2043,用于对数据的密钥类型以及密钥名称进行管理。
上述实施例中,通过数据安全管理模块对项目上线后用户上传的数据及***数据的安全性进行有效管理,从而降低了项目管理的安全风险,进一步提高了项目管理的安全性。
可以理解的是,只有当项目或子项目(也即***或子***)在安全运营管理平台完成安全验收后才能上线。则当项目或子项目上线后,上述安全运营管理平台还可以用于对各公司的项目或***的在线应用情况、归属关系、***定级、安全基线、***备案、已通过的安全标准、数据安全、分类分级、个人隐私保护以及密码应用情况等进行管理,从而可以方便的开展应用安全运营管理,全面了解各个***的现状及***处于的阶段,并采取针对性的安全防护措施。
举例来说,应用安全运营管理可以包括对用户安全、操作安全、数据安全、开发安全、个人隐私保护、符合性等多维度的安全性要求进行管理。
具体地,用户安全可以包括用户的身份鉴别、权限管理、访问权限、访问控制等安全方面。操作安全包括对***进行安全漏洞自检自查,并根据安全漏洞自检自查结果,对***进行整改及加固,其中,自检自查的范围包括应用***、操作***及数据库等。
数据安全则可以包括以下方面:用户采用密码访问上线***,且密码的提交通过加密传输以保证身份鉴别信息传输的可靠性;个人隐私数据加密传输,例如,对涉及个人及隐私性的身份证号、住址、电话号码、婚姻状况、驾驶证、护照等数据,采用密钥对数据的传输进行加密;个人隐私数据加密存储,例如,对涉及个人及隐私性身份证号、住址、电话号码等数据,采用非对称加密技术对数据进行加密存储;HTTPS加密传输,例如,对于发布互联网且访问内部资源的***,须确保***使用HTTPS且使用TLS进行加密传输;数据备份,应对保存在数据库内的数据或者文件***上的文件采用预定义的数据备份策略进行备份,从而当数据丢失时可以及时恢复数据。
开发安全具体包括通过日志及告警以记录***故障和信息安全时态,并对测试数据进行保护,同时保证源代码的安全。个人隐私保护则是对收集到的用户个人隐私信息进行保护。
对于访问上述安全运营管理平台的用户,可以分为安全管理员角色和开发/项目经理角色,开发/项目经理角色可以在***内填写项目/***信息,登记的信息可以用于日后运维使用,安全管理员对项目/***信息进行审核管理,通过将审核通过的***登记到安全运营管理平台中,从而可以方便的开展应用安全运营管理,全面了解***现状,并采取针对性的安全防护措施。安全运营管理平台作为业务***各阶段安全验收的环节之一,所有***在验收前需在此***内登记应用***的相关信息,经安全评估后方可验收上线。从而使得项目管理贯穿项目的整个生命周期,实现对项目从立项、研发、上线到运维各阶段中项目安全措施的统一管理,以提高项目的管理效率及安全性。
描述于本发明实施例中所涉及到的模块或单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
图5是本发明实施例中信息***安全运营管理方法的流程图,本实施例用于从项目的立项到运营的全流程管理,如图5所示,包括如下步骤:
S510,通过基本信息模块记录项目的基本信息。
S520,通过应用***模块管理项目的基本信息。
S530,通过合规管理模块对项目的安全信息、基线验收信息、备案信息以及认证信息进行管理。
S540,通过数据安全管理模块对项目上线后用户上传的数据及***数据的安全性进行管理。
S550,通过隐私保护模块管理项目对应的用户个人隐私信息。
S560,通过安全工具模块对项目的安全漏洞进行管理。
在本发明的一个可选实施例中,信息***安全运营管理方法,还可以包括:通过基本信息模块在项目立项时,记录项目的基本信息中立项阶段已知的信息,以及通过基本信息模块在项目上线验收时,记录项目的基本信息中的其他信息。
在本发明的一个可选实施例中,信息***安全运营管理方法,还可以包括:通过应用***模块对子项目信息进行管理,其中,子项目信息包括子项目的类型、访问地址、服务器信息以及***功能信息。
在本发明的一个可选实施例中,信息***安全运营管理方法中:子项目的类型包括web应用类型、PC应用类型、APP应用类型、微信公众号应用类型、小程序应用类型以及H5页面应用类型中的任一种。
在本发明的一个可选实施例中,信息***安全运营管理方法,还可以包括:通过安全信息管理单元设置项目的安全性等级信息,并管理项目的安全性等级信息;通过基线验收信息管理单元对项目的安全基线进行管理,并在项目验收时,根据设置的安全控制项执行验收操作;通过备案信息管理单元对项目的相关安全认证,例如等级保护备案、等级保护定级、ICP备案以及国际联网备案进行管理;通过认证信息管理单元对项目的认证信息以及认证状态进行管理。
在本发明的一个可选实施例中,信息***安全运营管理方法,还可以包括:通过数据安全管理模块在项目上线后,对访问项目的用户进行身份鉴别,对用户上传的个人及隐私数据采用加密传输以及加密存储;对发布互联网且访问内部资源的项目,采用HTTPS以及TLS进行加密传输;基于数据的备份策略对保存在数据库中的数据或保存在文件***中的文件进行备份处理。
在本发明的一个可选实施例中,信息***安全运营管理方法,还可以包括:通过数据信息单元对数据的存储位置、数据的备份策略、数据规模、用户的注册信息、用户的日活动量以及用户的下载量进行管理;通过数据分类分级单元对数据的类型、数据的保密级别以及数据的保密期限进行管理;通过密码应用单元对数据的密钥类型以及密钥名称进行管理。
在本发明的一个可选实施例中,信息***安全运营管理方法中,所述数据类型包括个人用户数据、企业用户数据、订单数据、产品数据、设备数据、平台数据以及其他数据中的任一种;所述数据的保密级别包括敏感、商密、内部以及公开中的任一种。
在本发明的一个可选实施例中,信息***安全运营管理方法,还可以包括:通过安全工具模块以日志以及告警的方式记录故障和信息安全时态的信息,以对测试数据以及源代码的安全性进行保护。
其中,对于各个步骤的具体介绍可以参考上述实施例的介绍。
本发明实施例中,通过基本信息模块记录项目的基本信息,通过应用***模块管理项目的基本信息,通过合规管理模块对项目的安全信息、基线验收信息、备案信息以及认证信息进行管理,通过数据安全管理模块对项目上线后用户上传的数据及***数据的安全性进行管理,通过隐私保护模块管理项目对应的用户个人隐私信息,通过安全工具模块对项目的安全漏洞进行管理,以贯穿项目的整个生命周期,实现对项目从立项、研发、上线到运维各阶段中对安全措施的统一管理、执行、自检自测、信息安全漏洞的修复整改、***安全措施的合理性等管理,不仅降低了产品信息的安全风险,且提高了项目的管理效率。
以上描述仅为本发明实施例的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本发明实施例中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种信息***安全运营管理平台,其特征在于,所述平台用于从项目的立项到运营的全流程管理,所述平台包括:
基本信息模块,用于记录所述项目的基本信息;
应用***模块,用于管理所述项目的基本信息;
合规管理模块,用于对所述项目的安全信息、基线验收信息、备案信息以及认证信息进行管理;
数据安全管理模块,用于对所述项目上线后用户上传的数据及***数据的安全性进行管理;
隐私保护模块,用于管理所述项目对应的用户个人隐私信息;
安全工具模块,用于对所述项目的安全漏洞进行管理。
2.根据权利要求1所述的平台,其特征在于,
所述基本信息模块具体用于,在所述项目立项时,记录所述项目的基本信息中立项阶段已知的信息,以及在所述项目上线验收时,记录所述项目的基本信息中的其他信息。
3.根据权利要求1所述的平台,其特征在于,所述项目还包括对应的子项目;
所述应用***模块还用于对所述子项目信息的管理,所述子项目信息包括所述子项目的类型、访问地址、服务器信息以及***功能信息。
4.根据权利要求3所述的平台,其特征在于,所述子项目的类型包括web应用类型、PC应用类型、APP应用类型、微信公众号应用类型、小程序应用类型以及H5页面应用类型中的任一种。
5.根据权利要求1所述的平台,其特征在于,所述合规管理模块包括:
安全信息管理单元,用于设置所述项目的安全性等级信息,并管理所述项目的安全性等级信息;
基线验收信息管理单元,用于对所述项目的安全基线进行管理,并在所述项目验收时,根据设置的安全控制项执行验收操作;
备案信息管理单元,用于对所述项目的等级保护备案、等级保护定级、ICP备案以及国际联网备案进行管理;
认证信息管理单元,用于对所述项目的认证信息以及认证状态进行管理。
6.根据权利要求1所述的平台,其特征在于,所述数据安全管理模块具体用于:
所述项目上线后,对访问所述项目的用户进行身份鉴别,对所述用户上传的个人及隐私数据采用加密传输以及加密存储;对发布互联网且访问内部资源的项目,采用HTTPS以及TLS进行加密传输;基于数据的备份策略对保存在数据库中的数据或保存在文件***中的文件进行备份处理。
7.根据权利要求1或6所述的平台,其特征在于,所述数据安全管理模块包括:
数据信息单元,用于对所述数据的存储位置、数据的备份策略、数据规模、所述用户的注册信息、用户的日活动量以及用户的下载量进行管理;
数据分类分级单元,用于对所述数据的类型、数据的保密级别以及数据的保密期限进行管理;
密码应用单元,用于对所述数据的密钥类型以及密钥名称进行管理。
8.根据权利要求7所述的平台,其特征在于,
所述数据类型包括个人用户数据、企业用户数据、订单数据、产品数据、设备数据、平台数据以及其他数据中的任一种;
所述数据的保密级别包括敏感、商密、内部以及公开中的任一种。
9.根据权利要求1所述的平台,其特征在于,
所述安全工具模块具体用于,通过日志以及告警的方式记录故障和信息安全时态的信息,以对测试数据以及源代码的安全性进行保护。
10.一种信息***安全运营管理方法,其特征在于,所述方法用于从项目的立项到运营的全流程管理,包括:
通过基本信息模块记录所述项目的基本信息;
通过应用***模块管理所述项目的基本信息;
通过合规管理模块对所述项目的安全信息、基线验收信息、备案信息以及认证信息进行管理;
通过数据安全管理模块对所述项目上线后用户上传的数据及***数据的安全性进行管理;
通过隐私保护模块管理所述项目对应的用户个人隐私信息;
通过安全工具模块对所述项目的安全漏洞进行管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110717720.XA CN113343266A (zh) | 2021-06-28 | 2021-06-28 | 信息***安全运营管理平台及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110717720.XA CN113343266A (zh) | 2021-06-28 | 2021-06-28 | 信息***安全运营管理平台及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113343266A true CN113343266A (zh) | 2021-09-03 |
Family
ID=77479188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110717720.XA Pending CN113343266A (zh) | 2021-06-28 | 2021-06-28 | 信息***安全运营管理平台及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113343266A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116383856A (zh) * | 2023-05-24 | 2023-07-04 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103927631A (zh) * | 2014-04-30 | 2014-07-16 | 南方电网科学研究院有限责任公司 | 一种基于电力***质量体系、风险评估与安全测评的安全综合管理平台 |
| US20180189734A1 (en) * | 2016-12-29 | 2018-07-05 | Dropbox, Inc. | Presenting project data managed by a content managemnet system |
| CN110443048A (zh) * | 2019-07-04 | 2019-11-12 | 广州海颐信息安全技术有限公司 | 数据中心查数*** |
| CN112100215A (zh) * | 2020-09-08 | 2020-12-18 | 福建中信网安信息科技有限公司 | 一种基于等级保护综合管理平台的保护进度查询*** |
| CN112329031A (zh) * | 2020-10-27 | 2021-02-05 | 国网福建省电力有限公司信息通信分公司 | 一种基于数据中台的数据权限控制*** |
| CN112529535A (zh) * | 2020-12-17 | 2021-03-19 | 中国航空工业集团公司成都飞机设计研究所 | 一种面向全生命周期的软件管理方法 |
-
2021
- 2021-06-28 CN CN202110717720.XA patent/CN113343266A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103927631A (zh) * | 2014-04-30 | 2014-07-16 | 南方电网科学研究院有限责任公司 | 一种基于电力***质量体系、风险评估与安全测评的安全综合管理平台 |
| US20180189734A1 (en) * | 2016-12-29 | 2018-07-05 | Dropbox, Inc. | Presenting project data managed by a content managemnet system |
| CN110443048A (zh) * | 2019-07-04 | 2019-11-12 | 广州海颐信息安全技术有限公司 | 数据中心查数*** |
| CN112100215A (zh) * | 2020-09-08 | 2020-12-18 | 福建中信网安信息科技有限公司 | 一种基于等级保护综合管理平台的保护进度查询*** |
| CN112329031A (zh) * | 2020-10-27 | 2021-02-05 | 国网福建省电力有限公司信息通信分公司 | 一种基于数据中台的数据权限控制*** |
| CN112529535A (zh) * | 2020-12-17 | 2021-03-19 | 中国航空工业集团公司成都飞机设计研究所 | 一种面向全生命周期的软件管理方法 |
Non-Patent Citations (4)
| Title |
|---|
| 广东省地方税务局: "《广东地税年鉴 2008年》", 31 December 2008, 北京:中国税务出版社 * |
| 王宇飞: "信息安全企业项目管理流程及框架研究", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》 * |
| 郑建辉等, 北京:北京理工大学出版社 * |
| 陆勤: "基于信息安全管理模型的高校信息***管理平台研发", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116383856A (zh) * | 2023-05-24 | 2023-07-04 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
| CN116383856B (zh) * | 2023-05-24 | 2023-08-29 | 豪符密码检测技术(成都)有限责任公司 | 一种数据安全保护措施的安全性和有效性检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kissel | Glossary of key information security terms | |
| WO2019089646A1 (en) | System and method for validation of distributed data storage systems | |
| Dulaney et al. | CompTIA Security+ Study Guide: Exam SY0-501 | |
| EP2043328A2 (en) | Methods and apparatus for detecting fraud with time based computer tags | |
| Liu et al. | A survey of payment card industry data security standard | |
| Industry | Data security standard | |
| US11783349B2 (en) | Compliance management system | |
| Shakir et al. | Literature review of security issues in saas for public cloud computing: a meta-analysis | |
| Egan et al. | Cyber operational risk scenarios for insurance companies | |
| CN111769956B (zh) | 业务处理方法、装置、设备及介质 | |
| CN113343266A (zh) | 信息***安全运营管理平台及方法 | |
| Robinson | Insights on cloud security management | |
| CN108600178A (zh) | 一种征信数据的安全保障方法及***、征信平台 | |
| CN110505205B (zh) | 云平台加解密服务接入方法及接入*** | |
| Kazemi et al. | Analysis of scalability and risks in cloud computing | |
| Wang et al. | Securing big data in the cloud with integrated auditing | |
| Patil et al. | Cloud Forensics: A Framework for Digital Forensic in Cloud Based Environment by Identifying SLA Breaches by Cloud Actors | |
| CN115134143B (zh) | 一种全域物联网设备认证方法、装置及存储介质 | |
| CN111292093B (zh) | 一种基于双区块链的风险控制方法和*** | |
| CN117792798B (zh) | 一种即时通讯信息交互***及方法 | |
| Mishra | AWS Security and Management Services | |
| US20230401503A1 (en) | Compliance management system | |
| Osaji | Framework Compliance Assessment Report Version 1.0 | |
| Zafar | Security Quality Requirements Engineering (SQUARE) Method Evaluation: A Case Study Using Smart Grid Customer Domain By | |
| Chi et al. | Baseline Technical Measures for Data Privacy INthe Cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210903 |