[0001] 本发明涉及数据管理技术，具体涉及一种数据安全管理系统。

[0002] 随着数字经济时代的到来，数据作为新生产资料，成为企业的核心资产和构筑持续竞争力的关键，通过相关法律法规的出台进一步的规范企业的生产经营，保护健康的产业创新环境，在此背景下企业如何合法合规的处理、使用、共享数据，最大化的发掘数据价值，成为企业面临的重要挑战和机遇，日常数据包括个人或者企业的多种信息，如个人或者企业的账户密码、个人或者企业的消费记录、个人或者企业的兴趣记录等，数据的丢失容易对个人或者企业造成财产、形象等损失，因此，数据安全管理十分必要，现有技术中的数据安全管理虽然采用加密处理，但是其加密方式往往仅有一种，容易受到攻击而发生泄漏，为此，我们提出了一种数据安全管理系统。

[0058] 为了使本领域的技术人员更好地理解本发明的技术方案，下面将结合附图对本发明作进一步的详细介绍。

[0059] 实施例一：

[0060] 请参阅图1‑3，一种数据安全管理系统，包括数据安全总览单元、数据安全检测单元、数据安全预警单元、数据信息展示单元、数据分类分级单元、数据资产标识单元、敏感数据动态监测单元、行为预测判断单元和数据异常取证单元，数据安全总览单元用于实现数据安全生命周期的安全可视，全面监测用户资产数据在采集、传输、存储、使用、转换和删除各个阶段的安全风险，数据安全检测单元用于对企业或用户的网络数据信息进行实时安全检测排查，数据安全预警单元用于对计算处理数据以及待批准数据以及IP数据进行预警分析，从而对缓存数据进行安全比对，生成安全异常信号、安全稳定信号以及安全偏差信号，数据信息展示单元用于对网络数据安全信息进行可视化呈现数据资产分布、数据敏感程度、当前的风险级别，为企业建立数据资产的全景视图，数据分类分级单元基于行业最佳实践，协助行业建立正式数据分类分级管理机构，满足数据安全管控要求，数据资产标识单元用于对网络数据进行标识数据资产信息，建立数据资产台账，敏感数据动态监测单元用于对网络数据进行自动识别敏感数据的类型和地图分析，行为预测判断单元用于对进行网络操作的指令行为进行安全预测判断和分析，保护数据不会发生泄漏、被篡改、滥用行为进行实时预测判断，一旦监测到用户异常行为，以智能化的手段提供告警和风险检测，数据异常取证单元通过对异常数据操作进行实时持续的监测，对高风险行为进行识别取证。

[0061] 本发明中，还包括数据风险评估单元、漏洞风险管控单元、数据水印追溯单元、数据库审核单元、数据恢复单元和数据加密单元，数据风险评估单元用于对网络安全数据信息进行数据存储、使用合规性检测和暗数据的发现，数据水印追溯单元用于对网络数据页面上的明暗水印进行分析识别，并追溯数据水印的由来，数据库审核单元用于将监测的数据信息与数据库存储的数据信息进行审核对比，以实施审核、形成审核数据并将审核数据存储于数据库中，漏洞风险管控单元用于防止外部黑客攻击，窃取数据，防止SQL注入，缓冲区溢出，权限运用风险管控，漏洞风险管控单元通过网络安全态势值计算漏洞对网络的影响；

[0062] Impact(v)＝10[1‑(1‑C)(1‑I)(1‑A)]，其中C表示机密性，I表示完整性，A表示可用性三个指标的威胁影响得分，每条攻击场景需要利用多个系统漏洞，将攻击阶段实现概率p(s)、攻击阶段利用的单个漏洞威胁得分Impact(v)以及攻击阶段发生的节点权重值Weight进行综合量化，可以得到每一条攻击场景对网络安全态势的影响sa(path)，即多漏洞对系统安全态势的影响值；

[0063] 其中m为攻击场景pathi已经实现的攻击阶段；

[0064] pj(s)≤1，Impact(v)≤10，∑Weight＝1，因此sa(pathi)≤10，依据CVSS中对得分的威胁程度定义；

[0065] 当sa(pathi)∈[0，4.0]时，该攻击者对网络造成的危害为低风险；

[0066] 当sa(pathi)∈[4.0，7.0]时，该攻击者对网络造成的危害为中度风险；

[0067] 当sa(pathi)∈[7.0，10]时，该攻击者对网络造成的危害为高风险；

[0068] 最后总体安全态势为 其中n为检测到的所有攻击场景的总和；

[0069] 数据恢复单元用于对通过风险评估、漏洞风险管控处理后的网络数据信息进行安全恢复，数据加密单元用于对恢复后的安全网络数据信息进行双重加密保护，通过计算机安全加密算法RSA进行加密处理，RSA加密计算公式为de＝1modφ(n)；

[0070] RSA算法中de＝1modφ(n)表示de与1关于φ(n)同余，也就是说1除以φ(n)的余数与1除以de的余数相同；

[0071] 例如：p＝3，q＝11，d＝7；

[0072] φ(n)＝(p‑1)(q‑1)；

[0073] n＝pq＝3×11＝33；

[0074] φ(n)＝(p‑1)(q‑1)＝2*10＝20；

[0075] 由de＝1modφ(n)；

[0076] 7e＝1mod20；

[0077] 即7e与1关于20同余，即余数相同，而1除以20余数为1；

[0078] 则7e＝20k+1，其中k为整数，比如k取1，则e＝3。

[0079] 本发明中，数据安全总览单元包括数据信息采集模块、数据信息传输模块、数据信息转换模块、数据信息存储模块、数据信息使用模块和数据信息删除模块，数据信息采集模块用于对计算机内的实时网络数据信息进行实时监控采集，并将采集到的网络安全数据信息发送给数据信息传输模块，数据信息传输模块用于对采集的网络数据信息进行数据传输给数据信息转换模块，数据信息转换模块用于对接收的数据信息进行格式转换，并将转换后的网络数据信息发送给数据信息存储模块，数据信息存储模块用于对转换后的网络数据信息进行存储，建立网络数据信息数据库，同时将网络数据信息发送给数据信息使用模块，数据信息使用模块用于对安全的网络数据信息进行正常的运行使用，同时将没有用的网络数据信息发送给数据信息删除模块，数据信息删除模块用于将没有用的网络数据信息进行快速删除，并将网络数据信息发送给数据安全检测单元进行数据安全性检测。

[0080] 本发明中，数据安全总览单元的输出端与数据安全检测单元的输出端相连接，数据安全检测单元的输出端分别与数据安全预警单元和数据分类分级单元的输入端相连接，数据安全预警单元的输出端与数据信息展示单元的输入端相连接，数据分类分级单元的输出端与数据资产标识单元的输入端相连接，数据资产标识单元的输出端与敏感数据动态监测单元的输入端相连接，敏感数据动态监测单元的输出端与行为预测判断单元的输出端分别与数据异常取证单元和数据风险评估单元的输入端相连接。

[0081] 本发明中，数据风险评估单元的输出端分别与漏洞风险管控单元和数据水印追溯单元的输入端相连接，数据恢复单元的输出端与数据加密单元的输入端相连接，数据水印追溯单元的输出端与数据库审核单元的输入端相连接，数据库审核单元的输出端与数据加密单元的输入端相连接，数据加密单元的输出端与敏感数据动态监测单元的输入端相连接。

[0082] 本发明中，数据信息采集模块的输出端与数据信息传输模块的输入端相连接，数据信息传输模块的输出端与数据信息转换模块的输入端相连接，数据信息转换模块的输出端与数据信息存储模块的输入端相连接，数据信息存储模块的输出端与数据信息使用模块的输入端相连接，数据信息使用模块的输出端与数据信息删除模块的输入端相连接，数据信息删除模块的输出端与数据安全检测单元的输入端相连接。

[0083] 本发明中，风险评估单元包括数据调取模块、风险对比模块、风险筛查模块和风险分类模块，数据调取模块将行为预测判断单元预测判断后的网络数据信息通过系统将数据库中的网络安全数据信息进行调取，并将调取的网络数据信息发送给风险对比模块，风险对比模块用于将数据调取模块调取的网络安全数据信息进行风险对比处理，同时将对比结果发送给风险筛查模块，风险筛查模块用于将对比后的网络风险数据信息进行筛查区分，并将筛查后的风险数据信息发送给风险分类模块，风险分类模块用于将筛查后的风险网络数据信息进行分类存储，同时将分类的后风险数据信息分别发送给漏洞风险管控单元和数据水印追溯单元。

[0084] 本发明中，行为预测判断单元的输出端与数据调取模块的输入端相连接，数据调取模块的输出端与风险对比模块的输入端相连接，风险对比模块的输出端与风险筛查模块的输入端相连接，风险筛查模块的输出端与风险分类模块的输入端相连接，风险分类模块的输出端分别与漏洞风险管控单元和数据水印追溯单元的输入端相连接。

[0085] 以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑，对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本质上是说明性的，不应理解为对本发明权利要求保护范围的限制。