CN102833251B - 一种面向等级保护系统的跨级互联安全策略管理方法 - Google Patents
一种面向等级保护系统的跨级互联安全策略管理方法 Download PDFInfo
- Publication number
- CN102833251B CN102833251B CN201210310203.1A CN201210310203A CN102833251B CN 102833251 B CN102833251 B CN 102833251B CN 201210310203 A CN201210310203 A CN 201210310203A CN 102833251 B CN102833251 B CN 102833251B
- Authority
- CN
- China
- Prior art keywords
- level
- interconnected
- management center
- security
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000007726 management method Methods 0.000 title abstract description 13
- 238000000034 method Methods 0.000 claims abstract description 86
- 238000012545 processing Methods 0.000 claims abstract description 30
- 230000008569 process Effects 0.000 claims description 43
- 238000004891 communication Methods 0.000 claims description 34
- 238000012986 modification Methods 0.000 claims description 25
- 230000004048 modification Effects 0.000 claims description 25
- 238000005516 engineering process Methods 0.000 claims description 13
- 238000004422 calculation algorithm Methods 0.000 claims description 11
- 238000012217 deletion Methods 0.000 claims description 9
- 230000037430 deletion Effects 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 8
- 238000012546 transfer Methods 0.000 claims description 7
- 238000006243 chemical reaction Methods 0.000 claims description 5
- 238000013517 stratification Methods 0.000 claims description 5
- 238000011084 recovery Methods 0.000 claims description 3
- 230000008901 benefit Effects 0.000 abstract description 2
- 238000002372 labelling Methods 0.000 abstract 1
- 230000008859 change Effects 0.000 description 5
- 238000012550 audit Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 241001285663 Deinococcus carri Species 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种面向等级保护系统的跨级互联安全策略管理方法,属于计算机信息安全技术领域。该方法对主客体采用全局标记技术,基于层次化的跨级互联安全策略管理过程,包括跨级互联安全管理中心对跨级互联安全策略的处理过程;安全管理中心对跨级互联安全策略的处理过程;安全计算环境和安全互联部件对跨级互联安全策略的实施过程。本发明的优点有:主客体标记在全局范围内唯一,满足跨级互联安全策略在全局范围内一致性的实现需求;对跨级互联安全策略的管理有了清晰的边界,明确了跨级互联安全管理中心、安全管理中心、安全计算环境和安全互联部件的任务和处理对象,保证了跨级互联安全策略的管理架构与定级系统互联架构的一致性。
Description
技术领域
本发明属于计算机信息安全技术领域,特别是涉及一种面向等级保护系统的跨级互联安全策略管理方法。
背景技术
随着计算机和网络技术的飞速发展,信息资源在国民经济中的意义所占的比重越来越大,影响越来越广泛。为了更好地保护信息安全资产,保障信息安全,管理部门开展了信息安全等级保护相关工作,制定了建设整改工作的相关政策,建立了技术、管理和产品三大类标准体系,同时开展了测评体系的建设,编写了测评要求、测评过程以及测评报告模版等标准和规范。
等级保护标准中定义定级系统安全保护环境由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成,其中安全计算环境是对定级系统的信息进行存储、处理及实施安全策略的相关部件;安全区域边界是对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件;安全通信网络是对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件;安全管理中心是对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台。定级系统互联是通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接,跨定级系统安全管理中心是对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台。
目前,信息化系统等级保护安全建设存在一定问题,其中,最关键的就是与相对完备的标准规范体系相比,在实施过程中缺乏完全符合等级保护规范(包括《信息安全等级保护法律政策体系》及《信息安全等级保护相关国家标准体系》等)的技术实现方案,特别是在实现定级系统互联上,目前还没有符合要求的跨级互联安全策略管理方法。
发明内容
本发明的目的在于,提供一种面向等级保护系统的跨级互联安全策略管理方法,从而满足等级保护标准所定义的定级系统互联的安全需求,为等级保护安全建设的全面实现提供技术支撑。
为实现上述发明目的,本发明的技术方案为:
一种面向等级保护系统的跨级互联安全策略管理方法,对主客体采用全局标记技术;层次化的跨级互联安全策略管理过程,步骤包括:跨级互联安全管理中心对跨级互联安全策略的处理过程;安全管理中心对跨级互联安全策略的处理过程;安全计算环境对跨级互联安全策略的实施过程;安全互联部件对跨级互联安全策略的实施过程。
以下是上述本发明进一步的技术方案:
优选的,所述对主客体采用全局标记技术,是指通过特定的标识技术,使主体标记、客体标记在整个网络中具有唯一性。
优选的,所述的跨级互联安全管理中心对跨级互联安全策略的处理过程,步骤包括:A.跨级互联安全管理中心接收安全管理中心提交的跨级互联安全策略的变更申请;B.跨级互联安全管理中心对变更申请进行处理;C.跨级互联安全管理中心向安全管理中心下发处理结果。
优选的,所述的步骤A包括:跨级互联安全管理中心接收源安全管理中心提交的跨级互联安全策略的添加、修改或删除申请;跨级互联安全管理中心接收目的安全管理中心提交的跨级互联安全策略的修改、删除申请。
优选的,所述的步骤B包括:D.跨级互联安全管理中心对变更申请进行合规性判断;E.跨级互联安全管理中心对合规申请进行处理。
优选的,所述的步骤D包括:跨级互联安全管理中心对跨级互联安全策略的添加申请,判断所申请的策略是否已经存在,若策略不存在,则继续判断申请内容的合规性,无法通过上述检查的申请为不合规;对跨级互联安全策略的修改或删除申请,判断所申请的策略是否存在,不存在为不合规。
优选的,所述的步骤E包括:跨级互联安全管理中心对跨级互联安全策略的添加或修改申请进行:F.跨级互联通信保障方式的选取;G.主体安全操作等级转换;最后生成跨级互联安全策略。
优选的,所述的步骤E包括,跨级互联安全管理中心对跨级互联安全策略的删除申请,在跨级互联安全管理中心所存储的跨级互联安全策略信息库中对该策略进行删除。
优选的,所述的步骤F是指,基于跨级互联通信安全保障方式选取标准 ,通过比较源端的安全保护等级,主体实施跨级互联所支持的通信保障方式,目的端的安全保护等级,目标服务所支持的通信保障方式得到,即跨级互联通信安全保障方式M的选择算法为:。
优选的,所述的步骤G是指,通过综合源端的安全保护等级,目的端的安全保护等级,主体的安全操作级别,基于安全操作等级转换算法,得到主体在目的端的虚拟安全操作级别,即主体在目的端的安全操作等级的转换算法为:。
优选的,所述的主体的安全操作级别中为不同的安全操作类型,包括保密性,完整性,可用性。
优选的,所述的步骤C 是指向策略所涉及的源安全管理中心和目的安全管理中心下发。
优选的,所述的安全管理中心对跨级互联安全策略的处理过程,步骤包括:H.安全管理中心生成并提交跨级互联安全策略的变更申请;I.安全管理中心接收并处理跨级互联安全管理中心对跨级互联安全策略变更申请的处理回复。
优选的,所述的步骤I包括:J.源安全管理中心将所接收的回复信息直接下发给源安全计算环境和源安全互联部件;K.目的安全管理中心先对所接收的回复信息进行本地处理;L.然后目的安全管理中心将跨级互联安全管理中心的处理回复信息下发给目的跨级互联部件;同时将跨级互联安全管理中心的处理回复信息和本地的处理结果下发给目的安全计算环境。
优选的,所述的步骤K包括:对需新增的安全策略,生成与策略主体对应的本地虚拟用户,并生成虚拟用户的访问控制策略;对需修改的安全策略,修改对应的虚拟用户策略;对需删除的安全策略,删除策略主体对应的本地虚拟用户及其访问控制策略。
优选的,所述的步骤L中的目的安全管理中心将本地的处理结果下发给目的安全计算环境是指,目的安全管理中心将反映主体标记与虚拟主体标记对应关系的主体标记映射关系下发给目的安全计算环境。
优选的,所述的安全计算环境包括源安全计算环境和目的安全计算环境;所述的安全计算环境对跨级互联安全策略的实施过程包括:安全计算环境基于所接收的跨级互联安全策略对发送和接收的报文的处理过程,实施访问控制。
优选的,所述的源安全计算环境对所发送或接收报文的处理过程包括:对发送的跨级互联报文,检查主体的合规性,并完成对合规报文的通信安全保障机制实施;对接收的跨级互联回复报文,检查主体、客体的合规性。
优选的,所述的目的安全计算环境对所发送或接收报文的处理过程包括:对接收的跨级互联报文,对合规主体进行了映射转换,将主体映射为虚拟主体,并基于虚拟主体的访问控制策略生成其运行环境,源端在目的端的所有操作与虚拟主体对应;对发送的跨级互联回复报文,对合规的虚拟主体进行主体恢复,还原回其对应的实际主体标记,并实施通信安全保障机制。
优选的,所述的安全互联部件对跨级互联安全策略的实施过程是指安全互联部件基于所接收的跨级互联安全策略对转发的报文进行访问控制,包括基于IP地址和端口的边界控制,以及基于主客体标记的跨域访问控制。
本发明的有益效果主要有:
通过采用全局标记技术,使主体标记、客体标记在全局范围内唯一,避免了跨级互联过程中频繁的标记转换和映射,满足跨级互联安全策略在全局范围内一致性的实现需求,且使跨级互联策略管理逻辑清晰,易于实现。
通过采用层次化的跨级互联安全策略管理架构,使对跨级互联安全策略的管理有了清晰的边界,明确了跨级互联安全管理中心、安全管理中心、安全互联部件和安全计算环境的任务和处理对象,保证了跨级互联安全策略的管理架构与定级系统互联架构的一致性。
附图说明
图1为本发明的面向等级保护的跨级互联系统示意图及策略管理流程图;
图2为图1中策略变更申请1037信息格式;
图3为图2中主体标记2009格式图;
图4为客体标记格式图;
图5为图1中跨级互联安全管理中心1001的跨级互联安全策略处理流程图;
图6为图5中结果下发5009时的跨级互联安全策略格式图;
图7为图1中目的安全管理中心1021中主体标记映射图;
图8为图7中目标虚拟主体标记7001格式图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明作进一步详细说明。
本发明提供一种面向等级保护系统的跨级互联安全策略管理方法,其基本实施例是:
对主客体采用全局标记技术;
层次化的跨级互联安全策略管理过程,步骤包括:
跨级互联安全管理中心对跨级互联安全策略的处理过程;
安全管理中心对跨级互联安全策略的处理过程;
安全计算环境对跨级互联安全策略的实施过程;
安全互联部件对跨级互联安全策略的实施过程。
所述的对主客体采用全局标记技术,主客体标记在整个网络中具有唯一性。
采用全局标记技术,通过特定的标识技术,使主体标记、客体标记在整个网络中具有唯一性。图3为主体标记2009格式图,说明主体标记的组成。主体标识3001由一定长度的数字、字母或特殊符号组成,具有全局范围内的唯一性;主体名3005、组名3009分别表示主体名称和主体所属组名;主体保密性级别3013、主体完整性级别3017分别为主体的保密性操作级别和完整性操作级别,标明主体的安全属性;主体范畴3021为主体所属范畴,如IT安全公司;主体类型3025表示主体是否为安全管理员、系统管理员、安全审计员、普通操作员、进程或设备。图4为客体标记格式图,说明客体标记的组成。客体标识4001由一定长度的数字、字母或特殊符号组成,具有全局范围内的唯一性;客体名4005表示客体名称;客体保密性级别4009、客体完整性级别4013分别为客体的保密性操作级别和完整性操作级别,标明客体的安全属性;客体范畴4017为客体所属范畴;客体类型4021表示客体是否为系统文件、审计文件、策略文件、业务文件、系统服务或设备文件,以及客体是否需要加密保护。图7为目的安全管理中心1021中的主体标记映射图,说明源主体标记6005与目标虚拟主体标记7001的对应关系。目标虚拟主体标记7001的主体标识3001与主体标记中的标识相同,在全局范围定位唯一的主体;主体名3005与主体标记中的主体名相同;虚拟组名8001,目的端将所有跨级互联的外来用户都划归虚拟组;虚拟保密性级别6017标明虚拟用户在目的端的保密性操作级别;虚拟完整性级别6021标明虚拟用户在目的端的完整性操作级别;虚拟范畴8005;虚拟类型8009,表示虚拟主体是否为安全管理员、系统管理员、安全审计员、普通操作员、进程或设备。
所述的跨级互联安全管理中心对跨级互联安全策略的处理过程,步骤包括:A.跨级互联安全管理中心接收安全管理中心提交的跨级互联安全策略的变更申请;B.跨级互联安全管理中心对变更申请进行处理;C.跨级互联安全管理中心向安全管理中心下发处理结果。所述的步骤A包括:跨级互联安全管理中心接收源安全管理中心提交的跨级互联安全策略的添加、修改或删除申请;跨级互联安全管理中心接收目的安全管理中心提交的跨级互联安全策略的修改、删除申请。所述的步骤B包括:D.跨级互联安全管理中心对变更申请进行合规性判断;E.跨级互联安全管理中心对合规申请进行处理。所述的步骤D包括:跨级互联安全管理中心对跨级互联安全策略的添加申请,判断所申请的策略是否已经存在,若策略不存在,则继续判断申请内容的合规性,无法通过上述检查的申请为不合规;对跨级互联安全策略的修改或删除申请,判断所申请的策略是否存在,不存在为不合规。所述的步骤E包括:跨级互联安全管理中心对跨级互联安全策略的添加或修改申请进行:F.跨级互联通信保障方式的选取;G.主体安全操作等级转换;最后生成跨级互联安全策略。所述的步骤E包括,跨级互联安全管理中心对跨级互联安全策略的删除申请,在跨级互联安全管理中心所存储的跨级互联安全策略信息库中对该策略进行删除。进一步具体说明如下:
本发明采用层次化的跨级互联安全策略管理架构。
如附图1所示,跨级互联系统由源安全保护环境1013、目的安全保护环境1029和跨级互联安全管理中心1001共三个部分构成,其中源安全保护环境1013包括源安全管理中心1005、源安全计算环境1009和源安全互联部件1017;目的安全保护环境1029包括目的安全管理中心1021、目的安全计算环境1025和目的安全互联部件1033。
跨级互联安全管理中心1001对跨级互联安全策略处理过程如下:
跨级互联安全管理中心1001接收源安全管理中心1005提交的跨级互联安全策略的变更申请1037,具体包括跨级互联安全策略的添加、修改或删除申请。图2为图1中中策略变更申请1037信息格式图,说明策略变更信息所包含的内容。操作类型2001表示策略变更申请类型是增加、修改还是删除;流水号2005为安全管理中心发送策略申请的流水号;主体标记2009标明申请策略变更的主体;源地址2013、源端口2017为主体所绑定的源IP地址和源端口;目的地址2021、目的端口2025为策略变更所针对的目的IP地址和目的端口;源通信安全保障方式2029为主体实施跨级互联所支持的通信保障方式,即对通信报文的加密、校验信息。
跨级互联安全管理中心1001对变更申请进行处理:首先跨级互联安全管理中心1001对变更申请1037进行合规性判断,见附图5中步骤合规性判断5001,其用于判断策略变更的类型、格式、内容等信息是否合理且符合规范,丢弃非法变更申请;对跨级互联安全策略的添加申请,判断所申请的策略是否已经存在,若策略不存在,则继续判断申请内容的合规性,无法通过上述检查的申请为不合规;对跨级互联安全策略的修改或删除申请,判断所申请的策略是否存在,不存在为不合规。接下去再对合规申请进行处理,见附图5中步骤策略处理5005,对符合规范的策略变更申请进行处理。
跨级互联安全管理中心1001对跨级互联安全策略的添加或修改申请需要经过跨级互联通信保障方式的选取和主体安全操作等级转换两个步骤后,最后生成跨级互联安全策略。而对跨级互联安全策略的删除申请,在跨级互联安全管理中心1001所存储的跨级互联安全策略信息库中对该策略进行删除。
上述的跨级互联通信保障方式的选取是基于跨级互联通信安全保障方式选取标准 ,通过比较源端的安全保护等级,主体实施跨级互联所支持的通信保障方式,目的端的安全保护等级,目标服务所支持的通信保障方式得到,即跨级互联通信安全保障方式M的选择算法为:。而主体安全操作等级转换是指,通过综合源端的安全保护等级,目的端的安全保护等级,主体的安全操作级别,基于安全操作等级转换算法,得到主体在目的端的虚拟安全操作级别,即主体在目的端的安全操作等级的转换算法为:。其中主体的安全操作级别中为不同的安全操作类型,包括保密性,完整性,可用性等。
跨级互联安全管理中心1001对变更申请进行处理后将生成的策略变更结果1041分别下发给源安全管理中心1005和目的安全管理中心1021。具体下发过程见附图5中步骤结果下发5009,对处理完成的策略变更,分别向源安全管理中心1005和目的安全管理中心1021下发策略处理结果,对新增或修改的策略下发处理后的跨级互联安全策略信息,对删除的策略回复策略删除变更确认信息。图6为图5中步骤5009结果下发时的跨级互联安全策略格式图,说明跨级互联安全策略格式所包含的内容。源地址2013、源端口2017、源保护等级6001、源主体标记6005为源端的信息:源地址2013为源IP地址,标明对应主体实现跨级互联操作所绑定的源IP地址;源端口2017标明对应主体实现跨级互联操作所绑定的源端口;源保护等级6001表示源安全保护环境1013的保护等级;源主体标记6005表示发起跨级互联的主体标记。目的地址2021、目的端口2025、目的保护等级6009为目的端信息:目的地址2021为目的IP地址,即主体所能访问的目的地址;目的端口2025表示主体所能访问的目标服务;目的保护等级6009表示目的安全保护环境1029的保护等级。跨级互联通信安全保障方式6013表示跨级互联安全管理中心1001通过比较源通信安全保障方式2029和目的通信保障方式,基于跨级互联通信保障方式选择算法,得到该主体实现跨级互联所必须的通信安全保障方式。虚拟保密性级别6017、虚拟完整性级别6021分别为主体保密性级别3013、主体完整性级别3017映射到目的端的对应级别,通过主体安全操作等级转换算法得到,其中虚拟保密性级别6017为主体在目的端的保密性操作级别,虚拟完整性级别6021为虚拟完整性级别,为主体在目的端的完整性操作级别。
安全管理中心对跨级互联安全策略的处理过程如下:
源安全管理中心1005生成并向跨级互联安全管理中心1001提交跨级互联安全策略的变更申请1037,包括跨级互联安全策略的增加、修改或删除申请;目的安全管理中心1021生成并向跨级互联安全管理中心1001提交跨级互联安全策略的修改、删除申请。源安全管理中心1005和目的安全管理中心1021接收并处理跨级互联安全管理中心1001对跨级互联安全策略变更申请的处理回复,即对策略变更结果1041进行处理。具体为源安全管理中心1005将所接收的策略变更结果1041直接下发给源安全计算环境1009和源安全互联部件1017;目的安全管理中心1021先对所接收的策略变更结果1041进行本地处理,具体为基于跨级互联安全策略,生成虚拟用户和虚拟用户策略;然后目的安全管理中心1021将跨级互联安全管理中心1001的处理后的策略变更结果1041下发给目的安全互联部件1033;同时将跨级互联安全管理中心1001处理后的策略变更结果1041和本地的处理结果1045下发给目的安全计算环境1025。此处的目的安全管理中心1021将本地处理结果1045下发给目的安全计算环境1025是指,目的安全管理中心1021将反映如图7所示源主体标记6005与目标虚拟主体标记7001对应关系的主体标记映射关系下发给目的安全计算环境1025。
上述的目的安全管理中心1021对所接收的策略变更结果1041进行本地处理具体为:对需新增的安全策略,生成与策略主体对应的本地虚拟用户,并生成虚拟用户的访问控制策略;对需修改的安全策略,修改对应的虚拟用户策略;对需删除的安全策略,删除策略主体对应的本地虚拟用户及其访问控制策略。
安全计算环境对跨级互联安全策略的实施过程如下:
此处的安全计算环境包括源安全计算环境1009和目的安全计算环境1025。安全计算环境基于所接收的跨级互联安全策略对发送和接收的报文的处理过程,实施访问控制。源安全计算环境1009对所发送的跨级互联报文,检查主体的合规性,并完成对合规报文的通信安全保障机制实施;对接收的跨级互联回复报文,检查主体、客体的合规性。目的安全计算环境1025对所接收的跨级互联报文,对合规主体进行了映射转换,将主体映射为虚拟主体,并基于虚拟主体的访问控制策略生成其运行环境,源端在目的端的所有操作与虚拟主体对应;对发送的跨级互联回复报文,对合规的虚拟主体进行主体恢复,还原回其对应的实际主体标记,并实施通信安全保障机制。
安全互联部件对跨级互联安全策略的实施过程如下:
此处的安全互联部件包括源安全互联部件1017和目的安全互联部件1033,安全互联部件基于所接收的跨级互联安全策略对转发的报文进行访问控制,包括基于IP地址和端口的边界控制,以及基于主客体标记的跨域访问控制。
本发明权利要求保护范围不限于上述实施例。
Claims (10)
1.一种面向等级保护系统的跨级互联安全策略管理方法,其特征在于:
对主客体采用全局标记技术;
层次化的跨级互联安全策略管理过程,步骤包括:
跨级互联安全管理中心对跨级互联安全策略的处理过程;
安全管理中心对跨级互联安全策略的处理过程;
安全计算环境对跨级互联安全策略的实施过程;
安全互联部件对跨级互联安全策略的实施过程;
所述的跨级互联安全管理中心对跨级互联安全策略的处理过程,步骤包括:
A.跨级互联安全管理中心接收安全管理中心提交的跨级互联安全策略的变更申请;
B.跨级互联安全管理中心对变更申请进行处理;
C.跨级互联安全管理中心向安全管理中心下发处理结果;
所述的步骤B包括:
D.跨级互联安全管理中心对变更申请进行合规性判断;
E.跨级互联安全管理中心对合规申请进行处理;
所述的步骤E包括:
跨级互联安全管理中心对跨级互联安全策略的添加或修改申请进行:
F.跨级互联通信保障方式的选取;
G.主体安全操作等级转换;
最后生成跨级互联安全策略;
所述的步骤F是指,基于跨级互联通信安全保障方式选取标准 ,通过比较源端的安全保护等级,主体实施跨级互联所支持的通信保障方式,目的端的安全保护等级,目标服务所支持的通信保障方式得到,即跨级互联通信安全保障方式M的选择算法为:。
2.按照权利要求1所述的方法,其特征在于:所述的对主客体采用全局标记技术,主客体标记在整个网络中具有唯一性。
3.按照权利要求1所述的方法,其特征在于:所述的步骤A包括:
跨级互联安全管理中心接收源安全管理中心提交的跨级互联安全策略的添加、修改或删除申请;
跨级互联安全管理中心接收目的安全管理中心提交的跨级互联安全策略的修改、删除申请。
4.按照权利要求1所述的方法,其特征在于:所述的步骤D包括:
跨级互联安全管理中心对跨级互联安全策略的添加申请,判断所申请的策略是否已经存在,若策略不存在,则继续判断申请内容的合规性,如果在判断过程中发现所申请的策略已存在,或所申请的内容不合规,则判断该申请为不合规;
对跨级互联安全策略的修改或删除申请,判断所申请的策略是否存在,不存在为不合规。
5.按照权利要求1所述的方法,其特征在于:所述的步骤G是指,通过综合源端的安全保护等级,目的端的安全保护等级,主体的安全操作级别,基于安全操作等级转换算法,得到主体在目的端的虚拟安全操作级别,即主体在目的端的安全操作等级的转换算法为:。
6.按照权利要求1或2所述的方法,其特征在于:所述的安全管理中心对跨级互联安全策略的处理过程,步骤包括:
H.安全管理中心生成并提交跨级互联安全策略的变更申请;
I.安全管理中心接收并处理跨级互联安全管理中心对跨级互联安全策略变更申请的处理回复。
7.按照权利要求6所述的方法,其特征在于:所述的步骤I包括:
J.源安全管理中心将所接收的回复信息直接下发给源安全计算环境和源安全互联部件;
K.目的安全管理中心先对所接收的回复信息进行本地处理;
L.然后目的安全管理中心将跨级互联安全管理中心的处理回复信息下发给目的跨级互联部件;同时将跨级互联安全管理中心的处理回复信息和本地的处理结果下发给目的安全计算环境。
8.按照权利要求7所述的方法,其特征在于:所述的步骤K包括:
对需新增的安全策略,生成与策略主体对应的本地虚拟用户,并生成虚拟用户的访问控制策略;
对需修改的安全策略,修改对应的虚拟用户策略;
对需删除的安全策略,删除策略主体对应的本地虚拟用户及其访问控制策略;
所述的步骤L中的目的安全管理中心将本地的处理结果下发给目的安全计算环境是指,目的安全管理中心将反映主体标记与虚拟主体标记对应关系的主体标记映射关系下发给目的安全计算环境。
9.按照权利要求1或2所述的方法,其特征在于:
所述的安全计算环境包括源安全计算环境和目的安全计算环境;
所述的安全计算环境对跨级互联安全策略的实施过程包括:安全计算环境基于所接收的跨级互联安全策略对发送和接收的报文的处理过程,实施访问控制;
所述的源安全计算环境对所发送或接收报文的处理过程包括:
对发送的跨级互联报文,检查主体的合规性,并完成对合规报文的通信安全保障机制实施;
对接收的跨级互联回复报文,检查主体、客体的合规性。
10.按照权利要求9所述的方法,其特征在于:所述的目的安全计算环境对所发送或接收报文的处理过程包括:
对接收的跨级互联报文,对合规主体进行了映射转换,将主体映射为虚拟主体,并基于虚拟主体的访问控制策略生成其运行环境,源端在目的端的所有操作与虚拟主体对应;
对发送的跨级互联回复报文,对合规的虚拟主体进行主体恢复,还原回其对应的实际主体标记,并实施通信安全保障机制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210310203.1A CN102833251B (zh) | 2012-08-28 | 2012-08-28 | 一种面向等级保护系统的跨级互联安全策略管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210310203.1A CN102833251B (zh) | 2012-08-28 | 2012-08-28 | 一种面向等级保护系统的跨级互联安全策略管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102833251A CN102833251A (zh) | 2012-12-19 |
| CN102833251B true CN102833251B (zh) | 2015-05-06 |
Family
ID=47336221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210310203.1A Expired - Fee Related CN102833251B (zh) | 2012-08-28 | 2012-08-28 | 一种面向等级保护系统的跨级互联安全策略管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833251B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104766166B (zh) * | 2015-03-27 | 2018-06-19 | 杭州安恒信息技术有限公司 | 一种面向等级保护的信息系统安全合规性检查方法 |
| CN105760763A (zh) * | 2016-02-18 | 2016-07-13 | 公安部第研究所 | 一种基于检查知识库技术的等级保护检查系统及其使用方法 |
| CN115967564B (zh) * | 2022-12-23 | 2024-02-02 | 星环信息科技(上海)股份有限公司 | 一种数据内容防护方法和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN102244664A (zh) * | 2011-08-29 | 2011-11-16 | 浙江中烟工业有限责任公司 | 多级安全互联平台的多级互联安全管理中心子系统 |
| CN102368760A (zh) * | 2010-12-31 | 2012-03-07 | 中国人民解放军信息工程大学 | 多级信息系统间的数据安全传输方法 |
-
2012
- 2012-08-28 CN CN201210310203.1A patent/CN102833251B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN102368760A (zh) * | 2010-12-31 | 2012-03-07 | 中国人民解放军信息工程大学 | 多级信息系统间的数据安全传输方法 |
| CN102244664A (zh) * | 2011-08-29 | 2011-11-16 | 浙江中烟工业有限责任公司 | 多级安全互联平台的多级互联安全管理中心子系统 |
Non-Patent Citations (1)
| Title |
|---|
| 可信互联模型;李萌萌 李勇;《北京工业大学学报》;20100930;第36卷;正文第31页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102833251A (zh) | 2012-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111726353A (zh) | 基于数控系统的敏感数据分级保护方法及分级保护系统 | |
| CN102368760B (zh) | 多级信息系统间的数据安全传输方法 | |
| CN108829691B (zh) | 一种农村电子商务数据存储方法 | |
| CN112532718B (zh) | 基于区块链的海上装备数据共享系统、方法和介质 | |
| CN104301301B (zh) | 一种基于云存储系统间的数据迁移加密方法 | |
| CN108600163A (zh) | 一种云环境分布式哈希链架构及云数据完整性验证方法 | |
| CN102833251B (zh) | 一种面向等级保护系统的跨级互联安全策略管理方法 | |
| CN106131244A (zh) | 一种报文传送方法及装置 | |
| Finocchiaro et al. | A legal analysis of the use of blockchain technology for the formation of smart legal contracts | |
| CN108449201A (zh) | 一种内网业务数据流安全管控效能的评价方法 | |
| US20200402061A1 (en) | Cryptocurrency transaction pattern based threat intelligence | |
| CN110362626A (zh) | 一种基于区块链网络便民查询系统及使用方法 | |
| Liu et al. | Application of blockchain technology in electric vehicle charging piles based on electricity Internet of Things | |
| CN104700137B (zh) | 一种基于物联网的信息处理方法 | |
| US20240163299A1 (en) | Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof | |
| CN113709098B (zh) | 一种数据传输方法及装置 | |
| CN115795405A (zh) | 一种基于联盟链的科研学术联盟服务系统及其运行方法 | |
| Challagidad et al. | Trust management in cloud computing | |
| CN103391218B (zh) | 一种应用于电力系统的基于数据分层分级的管理系统 | |
| Almutairi et al. | Security threat classification for outsourced IT projects | |
| Moreaux et al. | Blockchain assisted near-duplicated content detection | |
| Hellesen et al. | Information asset value quantification expanded | |
| CN117335960B (zh) | 一种零信任网络中基于区块链的碳数据共享访问方法及装置 | |
| Rashbaum et al. | Outrun the lions: a practical framework for analysis of legal issues in the evolution of cloud computing | |
| CN107330084A (zh) | 一种网络销售数据管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Intra-class interconnection security policy management method oriented to classified protection system Effective date of registration: 20150527 Granted publication date: 20150506 Pledgee: Industrial Bank Limited by Share Ltd Wuhan branch Pledgor: JETWAY Information Security Industry Co., Ltd. Registration number: 2015420000005 |
|
| PLDC | Enforcement, change and cancellation of contracts on pledge of patent right or utility model | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20181123 Granted publication date: 20150506 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20211123 Granted publication date: 20150506 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150506 Termination date: 20190828 |