CN101534300A - 多访问控制机制结合的系统保护架构及方法 - Google Patents
多访问控制机制结合的系统保护架构及方法 Download PDFInfo
- Publication number
- CN101534300A CN101534300A CN200910082000A CN200910082000A CN101534300A CN 101534300 A CN101534300 A CN 101534300A CN 200910082000 A CN200910082000 A CN 200910082000A CN 200910082000 A CN200910082000 A CN 200910082000A CN 101534300 A CN101534300 A CN 101534300A
- Authority
- CN
- China
- Prior art keywords
- access control
- security
- subsystem
- layer
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000007246 mechanism Effects 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 title claims description 24
- 238000011217 control strategy Methods 0.000 claims abstract description 6
- 238000000926 separation method Methods 0.000 claims abstract description 4
- 238000007726 management method Methods 0.000 claims description 86
- 238000012550 audit Methods 0.000 claims description 29
- 238000005538 encapsulation Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000013475 authorization Methods 0.000 abstract description 3
- 230000008901 benefit Effects 0.000 abstract description 2
- 238000012544 monitoring process Methods 0.000 abstract 1
- 241000700605 Viruses Species 0.000 description 8
- 230000002155 anti-virotic effect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- BTCSSZJGUNDROE-UHFFFAOYSA-N gamma-aminobutyric acid Chemical compound NCCCC(O)=O BTCSSZJGUNDROE-UHFFFAOYSA-N 0.000 description 4
- 230000008676 import Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000003449 preventive effect Effects 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 206010019233 Headaches Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011109 contamination Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 231100000869 headache Toxicity 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011158 quantitative evaluation Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000009738 saturating Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种多访问控制机制结合的系统保护架构,包括基于多层次访问控制机制的主系统及实现多层访问控制机制联动的三权分立的安全管理中心,其中,主系统包括终端资源层、应用服务层和边界层;安全管理中心对分布于终端资源层、应用服务层及边界层的访问请求进行统一裁决并下发控制策略,且包括安全管理子系统、系统管理子系统和审计子系统;所述安全管理子系统主要实施标记管理、授权管理及策略管理;所述系统管理子系统则是负责身份管理和资源管理;所述审计子系统对系统中各用户操作行为进行审计,对安全事件及时做出响应。本发明优点在于系统拥有对恶意代码的免疫能力,非授权用户无法对敏感信息实施操作以及为访问控制的实施起监督作用。
Description
技术领域
本发明涉及一种系统保护架构,特别是涉及一种采用多访问控制机制相结合的方式对系统进行保护的架构。
背景技术
随着社会信息化的发展,计算机系统的安全问题日益严重,近年来病毒功能越来越强大,随着犯罪分子将木马、病毒和相关技术作为从事网络犯罪活动的主要工具和手段,其影响小则浏览器配置被修改、系统使用受限、网络无法使用,大到帐号密码被盗等甚至能控制计算机并盗窃系统内的重要信息。
因此,有效的系统保护方法极其重要。但是传统的系统保护方式多采用“头痛医头脚痛医脚”的方式,例如终端自身不安全就安装防火墙与杀毒软件、系统内不安全就进行身份认证、网络不安全则安装网闸与VPN等等。虽然上述方法在某种程度上起到了保护作用,但是其只能在有限的范围内发挥作用,并且还需要随着威胁的增加而增强,因此对于系统来说,分别使用多种独立的方法进行保护不仅达不到实时全面防护的能力,而且不利于实际操作,无法形成一个全局有效的保护。
譬如:杀毒软件是运用在各终端的一种防护手段,其实现是在病毒出现后才提取其特征并建立病毒库进行防御,因此对于新出现的病毒无法实现即时防御,具有滞后性,且智能通过不断做大病毒库来记录所有出现过病毒特征来实现对病毒的防御,由此造成的后果就是防火墙越砌越高、病毒库越做越大,系统可用性越来越差。同时,由于杀毒软件通常在系统的应用层进行作用,对染病毒文件进行搜索,通过扫描代码特征发现并清楚恶意染毒文件,这样并不能从根本上杜绝其破坏,如果恶意程序在驱动层提前关闭了杀毒软件,则杀毒软件就完全无法发挥作用。因此,对于用户来说,杀毒软件是无法达到让终端环境安全可信的预期的。同样,网闸设施及VPN等都存在相应的问题,而把这些均不完善的防护手段生硬地组装在一起进行系统防护,其结果可想而知。
发明内容
鉴于现有技术对系统的整体保护存在系统性和协调性差,以及对系统的保护效果不理想的问题,本发明的之一目的在于提供了一种从全局角度触发实施的,多访问控制机制相结合的保护架构。
为了达到上述目的,本发明采用了下述技术方案:
所述一种多访问控制机制结合的系统保护架构包括一个基于多层次访问控制机制的主系统以及一个实现多层访问控制机制联动的三权分立的安全管理中心。所述主系统包括终端资源层、应用服务层和边界层,且所述终端资源层为终端自身,所述应用服务层指的是各个终端之间,而所述边界层指的是安全域之间;所述安全管理中心对分布于终端资源层、应用服务层以及边界层的访问请求进行统一裁决并下发控制策略,即从整个系统的角度实现该三种不同层次的访问控制机制的联动,以便于各层访问控制机制各司其职,相互协作,没有冗余,且该安全管理中心包括安全管理子系统、系统管理子系统和审计子系统;所述安全管理子系统主要实施标记管理、授权管理及策略管理;所述系统管理子系统则是负责身份管理和资源管理;所述审计子系统对系统中各用户操作行为进行审计,对安全事件及时做出响应。
其中,所述系统管理子系统负责用户身份管理,采集和维护平台软硬件资源信息,但系统管理子系统无权将资源的反问权限直接赋予用户,必须经过安全管理子系统的审核和批复;而所述安全管理子系统能够对用户行为进行授权,但对于用户及平台身份管理和资源管理,安全管理子系统无法逾越系统管理子系统的权限,即无法将未经系统管理子系统审核的资源授权给用户访问,安全管理子系统的授权操作要以系统管理子系统收集的信息为依据;以及所述审计子系统可以根据安全需求,制定审计策略,对系统管理子系统和安全管理子系统的操作行为进行审计,系统管理子系统、安全管理子系统和审计子系统的重要行为均将发送给审计子系统查看和处理。
此外,本发明的另一目的在于提供一种多访问控制机制结合的系统保护方法,该方法包括如下步骤:
1)对终端资源层的访问控制,即通过在操作系统层截获主体对客体资源的访问请求,依据全系统统一的访问控制策略判决是否允许主体对客体的访问;
2)对应用服务层的访问控制,即当基于服务封装的访问控制为针对于以服务方式提供资源访问的实际情况时,则通过对服务的封装,将请求服务的主体信息通过封装的方法传递到操作系统的访问控制决策模块;
3)对边界层的访问控制,即通过边界访问控制实现不同安全域之间的安全信息流动,确保安全域内信息资源的安全;
4)对管理员登陆的访问控制,即采用以B/S模式远程登陆安全管理中心的双因子身份认证。
其中,所述双因子包括第一因子和第二因子,且所述第一因子为:管理员插入经过授权的硬件令牌,并必须通过硬件令牌中证书的有效性及硬件令牌自身口令的验证,该口令与硬件令牌时同时下发;所述第二因子为:输入正确的系统登陆口令。
相比现有技术,本发明可在管理中心的统一调配下,实现在终端节点、边界以及对服务进行封装的多层次访问控制机制的联动,通过该系统架构可限定用户登录终端,确保非授权用户无法对系统资源进行访问,拒绝非授权代码运行,使得系统拥有对恶意代码的免疫能力;可控制平台间的网络连接,同时利用IPSec技术防止非授权平台接入网络,并且通过预先给系统内所有用户和敏感资源进行标记,依据级别高低实施强制访问控制,使得非授权用户无法对敏感信息实施读、写操作行为。且从终端源头控制主体能够通过网络访问的客体资源,可实现对应用服务的访问控制,为应用系统的安全提供支撑,并保证敏感资源的机密性和完整性,以及实现重要资源的隔离存储,确保非授权用户无法对重要敏感资源进行解密操作,避免了超级用户,为访问控制的实施起监督作用。
附图说明
图1为本发明所述多访问控制机制结合的系统保护架构;
图2为本发明所述多访问控制机制结合的系统保护方法;
图3为本发明所述多访问控制机制结合的功能示意图。
具体实施方式
下面结合附图以及具体实施例来对本发明所述多访问控制机制结合的系统保护架构及保护方法作进一步的详细说明。
访问控制是保护计算机上文件安全的重要技术手段同时也是网络安全防范和保护的主要策略,采用访问控制机制可以限制用户、程序对信息资源的访问,阻止用户对信息的非授权访问,其中,该访问控制机制以系统中处于不安全状态下的文件数量作为风险的量化评估标准,而主流访问控制策略的风险值均为当前用户能够访问的文件数量。
本发明所述基于多访问控制机制的系统保护架构及控制方法将自主和强制访问控制扩展到所有主体与客体,从而使得系统具有相当的抗滲透能力的要求,进而从全局的角度对终端资源层、应用服务层和边界层进行控制,即而在信息安全等级保护工作中产生积极效果和极大的潜在经济效益。
参照图1中所示,本发明所述多访问控制机制结合的系统保护架构包括一个基于多层次访问控制机制的主系统以及一个实现多层访问控制机制联动的三权分立的安全管理中心。所述主系统包括终端资源层、应用服务层和边界层,且所述终端资源层为终端自身,所述应用服务层指的是各个终端之间,而所述边界层指的是安全域之间;所述安全管理中心对分布于终端资源层、应用服务层以及边界层的访问请求进行统一裁决并下发控制策略,即从系统的角度实现该三种不同层次的访问控制机制的联动,以便于各层访问控制机制各司其职,相互协作,没有冗余,且其包括安全管理子系统、系统管理子系统和审计子系统;所述安全管理子系统主要实施标记管理、授权管理及策略管理;所述系统管理子系统则是负责身份管理和资源管理;所述审计子系统对系统中各用户操作行为进行审计,对安全事件及时做出响应。
上述安全管理中心为从全局的角度对全系统进行管理,在本发明所述架构中,对于终端资源层、应用服务层和边界层的访问请求均需要根据安全管理中心的访问策略进行裁决,从而将对上述三种不同层次的访问控制机制合理有效地进行结合。
其中,所述系统管理子系统负责用户身份管理,采集和维护平台软硬件资源信息,但系统管理子系统无权将资源的反问权限直接赋予用户,必须经过安全管理子系统的审核和批复;而所述安全管理子系统能够对用户行为进行授权,但对于用户及平台身份管理和资源管理,安全管理子系统无法逾越系统管理子系统的权限,即无法将未经系统管理子系统审核的资源授权给用户访问,安全管理子系统的授权操作要以系统管理子系统收集的信息为依据;以及所述审计子系统可以根据安全需求,制定审计策略,对系统管理子系统和安全管理子系统的操作行为进行审计,系统管理子系统、安全管理子系统和审计子系统的重要行为均将发送给审计子系统查看和处理。
又,当系统管理子系统依据审计子系统的报告完成应急处理后,所述安全管理子系统也需依据审计子系统对安全策略进行调整和完善。
此外,所述系统管理子系统为安全管理子系统的策略管理提供基础,首先为信息系统中的所有用户实施身份管理,即确定所有用户的身份、证书等,用户身份是安全管理员对主体进行标记及身份认证的基础;其次,同时为信息系统实施资源管理,即确定业务系统正常运行需要使用的执行程序等,作为安全管理子系统实施授权的依据。
所述安全管理子系统对安全管理中心中所有系统管理子系统和审计子系统在内的信息系统中所有主\客体实施标记管理,即根据业务系统的需要,且结合客体资源的重要程度,确定其安全级,生成全局客体标记列表,同时根据用户在业务系统中的权限和角色确定其安全标记,生成全局主体标记列表;又,该所述安全管理子系统根据系统需求和安全状况,为主题实施授权管理,即授予用户访问客体资源能力的权限,其中包括对系统管理子系统权限的授予。
此外,参照图2中所示,本发明的另一目的在于提供一种多访问控制机制结合的系统保护方法,该方法首先限定用户能够登陆的终端,以确保非授权用户无法对系统资源进行访问,拒绝非授权代码在系统中运行,且使得系统拥有对恶意代码的免疫能力;其次,依据系统统一的访问控制策略进行判决,同时利用IPSec技术防止非授权平台接入网络;其中,且预先给系统内所有用户和敏感资源进行标记,并依据级别高低实施强制访问控制,使得非授权用户无法对敏感信息实施读、写操作行为,从终端资源层源头控制主体能够通过通信网络访问的客体资源,从而实现对应用服务层的访问控制,为应用系统的安全提供支撑,保证了敏感资源的机密性和完整性。
另外,通过存储保护机制对存储保护密钥进行管理和控制,实现来重要资源的隔离存储,确保非授权用户无法对重要敏感资源进行解密操作;且通过安全管理中心的审计机制确保任何非授权操作行为均记录在案,避免了超级用户,为访问控制的实施起监督作用。
该所述方法主要包括以下步骤:
1)对终端资源层的访问控制,即通过在操作系统层截获主体对客体资源的访问请求,依据全系统统一的访问控制策略判决是否允许主体对客体的访问(步骤300);
2)对应用服务层的访问控制,即当基于服务封装的访问控制为针对于以服务方式提供资源访问的实际情况时,则通过对服务的封装,将请求服务的主体信息通过封装的方法传递到操作系统的访问控制决策模块(步骤301);
3)对边界层的访问控制,即通过边界访问控制实现不同安全域之间的安全信息流动,确保安全域内信息资源的安全(步骤302);
4)对管理员登陆的访问控制,即采用以B/S模式远程登陆安全管理中心的双因子身份认证(步骤303)。
其中,所述双因子包括第一因子和第二因子,且所述第一因子为:管理员插入经过授权的硬件令牌,并必须通过硬件令牌中证书的有效性及硬件令牌自身口令的验证,该口令与硬件令牌时同时下发;所述第二因子为:输入正确的系统登陆口令。
所述访问控制策略可依据不同的系统安全要求进行设定。
此外,对于所述多访问控制机制结合的系统保护方法中,还包括所述安全管理中心对分布于终端资源层、边界层和应用服务层的访问请求进行统一裁决并下发控制策略(步骤304)。
结合图1、图2和图3中所示,实际操作中,即进行安全系统的建设时,可将安全系统分为应用区域,边界区域、通信网络区域以及集中安全管理平台,其中,所述应用区域即为本发明所述之与终端资源层,所述边界区域为边界层,而所述通信网络区域为应用服务层,所述集中安全管理平台可视为所述安全管理中心。
在所述安全系统中,所述应用区域可视为整个安全系统的业务处理和办公中心,即可包括日常处理的终端和服务器;所述边界区域主要负责内部应用区域与通信网络区域之间进行数据交换的控制;所述通信网络区域主要负责各个应用区域之间的网络传输和数据交换;以及所述集中安全管理平台主要负责对整个安全系统的策略管理、密码管理和设备管理,对整个安全系统进行集中审计功能。
在上述基础上,在进行完下述安全部署后便可实现在终端节点、边界以及对服务进行封装的多层次访问控制机制的联动,且通过该系统可限定用户登录终端,确保非授权用户无法对系统资源进行访问,拒绝非授权代码运行,使得系统拥有对恶意代码的免疫能力,并可控制平台间的网络连接,使得非授权用户无法对敏感信息实施读、写操作行为,以及实现对应用服务的访问控制,给应用系统的安全提供支撑,保证敏感资源的机密性和完整性,重要资源的隔离存储,确保非授权用户无法对重要敏感资源进行解密操作,避免了超级用户,为访问控制的实施起监督作用。
所述安全部署可为:
1)在各个应用区域之间的通信网络区域中部署千兆防火墙系统,IPSECVPN和入侵检测系统;
2)在边界区域中部署安全信息交换和隔离系统;
3)在应用区域内,对每一个主机和服务区部署安全增强操作系统,并且对区域内的网站安装网站防护系统;
4)在集中安全管理平台中部署安全策略管理中心,密码管理中心,故障检测与恢复服务器,以及集中审计数据服务器和审计管理平台。
在上述基础上,且再对所应用系统进行初始化,具体如下:
①初始设置阶段:
进行安全设计,即系统管理员收集全系统的用户身份和平台资源信息,由授权机构依据该信息对主客体的安全标记以及访问控制规则进行设计,制定符合系统安全的策略配置,安全管理员将上述信息导入到管理中心;
构建系统TCB(Trusted Computing Base,指的是计算机内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体),即安装终端节点安全操作系统、设置区域边界和网络传输设备,确保系统运行时能够从安全管理中心下载策略,保证TCB正常工作;
最后安装应用系统,即系统管理员根据应用需求安装应用系统。
②系统测试阶段:
初始设置完成后,系统从安全管理中心下载策略,进入试运行阶段。但由于预先制定的策略可能不完善,或者存在限制过严的情况,系统需要将运行情况上报管理中心,方便安全管理子系统参考,从而对安全策略实施调整,直至系统和应用服务正常运行;
③运行服务阶段:
应用服务开始运行,TCB依据安全策略对主体行为进行访问控制,安全管理子系统根据需要对策略进行维护和更新。
Claims (3)
1.一种多访问控制机制结合的系统保护架构,其特征在于,包括一个基于多层次访问控制机制的系统以及一个实现多层访问控制机制联动的三权分立的安全管理中心,所述系统包括终端资源层、应用服务层和边界层;所述安全管理中心对分布于终端资源层、应用服务层以及边界层的访问请求进行统一裁决并下发控制策略,且包括安全管理子系统、系统管理子系统和审计子系统;
其中,所述系统管理子系统负责用户身份管理,采集和维护平台软硬件资源信息,且须经过安全管理子系统的审核和批复;所述安全管理子系统主要实施标记管理、策略管理以及对用户行为进行授权,且该安全管理子系统的授权操作为以系统管理子系统收集的信息为依据;以及所述审计子系统为根据安全需求,制定审计策略,对系统管理子系统和安全管理子系统的操作行为进行审计,并且所述系统管理子系统、安全管理子系统和审计子系统的重要行为均将发送给审计子系统进行查看和处理。
2.一种多访问控制机制结合的系统保护方法,其特征在于,该方法主要包括以下步骤:
1)对终端资源层的访问控制,即通过在操作系统层截获主体对客体资源的访问请求,依据全系统统一的访问控制策略判决是否允许主体对客体的访问;
2)对应用服务层的访问控制,即当基于服务封装的访问控制为针对于以服务方式提供资源访问的实际情况时,则通过对服务的封装,将请求服务的主体信息通过封装的方法传递到操作系统的访问控制决策模块;
3)对边界层的访问控制,即通过边界访问控制实现不同安全域之间的安全信息流动,确保安全域内信息资源的安全;
4)对管理员登陆的访问控制,即采用以B/S模式远程登陆安全管理中心的双因子身份认证;
上述步骤不分先后。
3.根据权利要求2所述多访问控制机制结合的系统保护方法,其特征在于,还包括所述安全管理中心对分布于终端资源层、边界层和应用服务层的访问请求进行统一裁决并下发控制策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910082000XA CN101534300B (zh) | 2009-04-17 | 2009-04-17 | 多访问控制机制结合的系统保护架构及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910082000XA CN101534300B (zh) | 2009-04-17 | 2009-04-17 | 多访问控制机制结合的系统保护架构及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101534300A true CN101534300A (zh) | 2009-09-16 |
| CN101534300B CN101534300B (zh) | 2012-05-30 |
Family
ID=41104688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910082000XA Expired - Fee Related CN101534300B (zh) | 2009-04-17 | 2009-04-17 | 多访问控制机制结合的系统保护架构及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101534300B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102496091A (zh) * | 2011-12-26 | 2012-06-13 | 苏州风采信息技术有限公司 | 一种安全审计产品基本组成的方法 |
| CN102891840A (zh) * | 2012-06-12 | 2013-01-23 | 北京可信华泰信息技术有限公司 | 基于三权分立的信息安全管理系统及信息安全的管理方法 |
| CN102916952A (zh) * | 2012-10-12 | 2013-02-06 | 北京可信华泰信息技术有限公司 | 支持跨平台统一管理的自主访问控制方法及系统 |
| CN103188253A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种基于逻辑绑定的访问控制方法 |
| CN103902254A (zh) * | 2012-12-24 | 2014-07-02 | 上海格尔软件股份有限公司 | 信息系统三权分立管理中基于操作序列化的审核实现方法 |
| CN103905402A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种基于安全标签的保密安全管理方法 |
| CN104426847A (zh) * | 2013-08-22 | 2015-03-18 | 腾讯科技(深圳)有限公司 | 互联网服务安全访问和验证的方法、系统和服务器 |
| CN105337971A (zh) * | 2015-10-20 | 2016-02-17 | 上海电机学院 | 一种电力信息系统云安全保障体系及其实现方法 |
| CN107465699A (zh) * | 2017-09-26 | 2017-12-12 | 国网上海市电力公司 | 一种安全访问电力大数据平台的方法 |
| CN108111503A (zh) * | 2017-12-15 | 2018-06-01 | 安徽长泰信息安全服务有限公司 | 基于访问限制的信息安全防护主机 |
| CN110086813A (zh) * | 2019-04-30 | 2019-08-02 | 新华三大数据技术有限公司 | 访问权限控制方法和装置 |
| CN110290128A (zh) * | 2019-06-20 | 2019-09-27 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络隔离与交换控制方法及装置 |
| CN110597629A (zh) * | 2019-08-30 | 2019-12-20 | 上海辰锐信息科技公司 | 一种基于资源前置雾化和云端池化的资源调度方法 |
| CN111818059A (zh) * | 2020-07-09 | 2020-10-23 | 公安部第三研究所 | 一种高等级信息系统访问控制策略自动化构建系统及方法 |
| CN111818057A (zh) * | 2020-07-09 | 2020-10-23 | 公安部第三研究所 | 一种网络配置数据中继分发传输系统及方法 |
| CN114661694A (zh) * | 2022-03-02 | 2022-06-24 | 国网福建省电力有限公司 | 数据库运维安全管控系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100539501C (zh) * | 2006-10-13 | 2009-09-09 | 清华大学 | 基于域名的统一身份标识和认证方法 |
| CN100586123C (zh) * | 2006-10-27 | 2010-01-27 | 北京启明星辰信息技术股份有限公司 | 基于角色管理的安全审计方法及系统 |
-
2009
- 2009-04-17 CN CN200910082000XA patent/CN101534300B/zh not_active Expired - Fee Related
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102496091A (zh) * | 2011-12-26 | 2012-06-13 | 苏州风采信息技术有限公司 | 一种安全审计产品基本组成的方法 |
| CN103188253A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种基于逻辑绑定的访问控制方法 |
| CN103188253B (zh) * | 2011-12-31 | 2017-06-16 | 西藏国路安科技股份有限公司 | 一种基于逻辑绑定的访问控制方法 |
| CN102891840A (zh) * | 2012-06-12 | 2013-01-23 | 北京可信华泰信息技术有限公司 | 基于三权分立的信息安全管理系统及信息安全的管理方法 |
| CN102891840B (zh) * | 2012-06-12 | 2015-07-29 | 北京可信华泰信息技术有限公司 | 基于三权分立的信息安全管理系统及信息安全的管理方法 |
| CN102916952B (zh) * | 2012-10-12 | 2016-02-24 | 北京可信华泰信息技术有限公司 | 支持跨平台统一管理的自主访问控制方法及系统 |
| CN102916952A (zh) * | 2012-10-12 | 2013-02-06 | 北京可信华泰信息技术有限公司 | 支持跨平台统一管理的自主访问控制方法及系统 |
| CN103902254A (zh) * | 2012-12-24 | 2014-07-02 | 上海格尔软件股份有限公司 | 信息系统三权分立管理中基于操作序列化的审核实现方法 |
| CN103902254B (zh) * | 2012-12-24 | 2017-07-18 | 上海格尔软件股份有限公司 | 信息系统三权分立管理中基于操作序列化的审核实现方法 |
| CN103905402A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种基于安全标签的保密安全管理方法 |
| CN104426847A (zh) * | 2013-08-22 | 2015-03-18 | 腾讯科技(深圳)有限公司 | 互联网服务安全访问和验证的方法、系统和服务器 |
| CN105337971A (zh) * | 2015-10-20 | 2016-02-17 | 上海电机学院 | 一种电力信息系统云安全保障体系及其实现方法 |
| CN107465699A (zh) * | 2017-09-26 | 2017-12-12 | 国网上海市电力公司 | 一种安全访问电力大数据平台的方法 |
| CN108111503A (zh) * | 2017-12-15 | 2018-06-01 | 安徽长泰信息安全服务有限公司 | 基于访问限制的信息安全防护主机 |
| CN110086813A (zh) * | 2019-04-30 | 2019-08-02 | 新华三大数据技术有限公司 | 访问权限控制方法和装置 |
| CN110290128A (zh) * | 2019-06-20 | 2019-09-27 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络隔离与交换控制方法及装置 |
| CN110597629A (zh) * | 2019-08-30 | 2019-12-20 | 上海辰锐信息科技公司 | 一种基于资源前置雾化和云端池化的资源调度方法 |
| CN111818059A (zh) * | 2020-07-09 | 2020-10-23 | 公安部第三研究所 | 一种高等级信息系统访问控制策略自动化构建系统及方法 |
| CN111818057A (zh) * | 2020-07-09 | 2020-10-23 | 公安部第三研究所 | 一种网络配置数据中继分发传输系统及方法 |
| CN111818059B (zh) * | 2020-07-09 | 2022-07-12 | 公安部第三研究所 | 一种高等级信息系统访问控制策略自动化构建系统及方法 |
| CN111818057B (zh) * | 2020-07-09 | 2022-10-28 | 公安部第三研究所 | 一种网络配置数据中继分发传输系统及方法 |
| CN114661694A (zh) * | 2022-03-02 | 2022-06-24 | 国网福建省电力有限公司 | 数据库运维安全管控系统 |
| CN114661694B (zh) * | 2022-03-02 | 2024-08-30 | 国网福建省电力有限公司 | 数据库运维安全管控系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101534300B (zh) | 2012-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101534300B (zh) | 多访问控制机制结合的系统保护架构及方法 | |
| CN103310161B (zh) | 一种用于数据库系统的防护方法及系统 | |
| CN105430000A (zh) | 云计算安全管理系统 | |
| WO2013090314A1 (en) | Secure operating system/web server systems and methods | |
| Tyagi | Blockchain and Artificial Intelligence for Cyber Security in the Era of Internet of Things and Industrial Internet of Things Applications | |
| Xu et al. | Network security | |
| CN115766065A (zh) | 面向电力物联网系统的安全防护方法及系统、介质、设备 | |
| CN106982204A (zh) | 可信安全平台 | |
| ACHAR et al. | Data security in cloud: A review | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
| CN117370953A (zh) | 一种erp系统接入控制方法及平台 | |
| Banerjee et al. | Software security rules, SDLC perspective | |
| DUMITRU | Zero trust security | |
| Shulman et al. | Top ten database security threats | |
| CN105893376A (zh) | 数据库访问监管方法 | |
| Sadavarte et al. | Data security and integrity in cloud computing: Threats and Solutions | |
| Tellabi et al. | Overview of Authentication and Access Controls for I&C systems | |
| Sijan et al. | A review on e-banking security in Bangladesh: An empirical study | |
| CN105790935A (zh) | 基于自主软硬件技术的可信认证服务器 | |
| CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 | |
| Supriyanto et al. | Inclusive security models to building e-government trust | |
| Falk et al. | Enhancing integrity protection for industrial cyber physical systems | |
| Chehida et al. | Risk assessment in iot case study: Collaborative robots system | |
| Sheik et al. | Considerations for secure mosip deployment | |
| Guo et al. | Research on risk analysis and security testing technology of mobile application in power system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120530 Termination date: 20140417 |