CN103729582A - 一种基于三权分立的安全存储管理方法及系统 - Google Patents
一种基于三权分立的安全存储管理方法及系统 Download PDFInfo
- Publication number
- CN103729582A CN103729582A CN201410008480.6A CN201410008480A CN103729582A CN 103729582 A CN103729582 A CN 103729582A CN 201410008480 A CN201410008480 A CN 201410008480A CN 103729582 A CN103729582 A CN 103729582A
- Authority
- CN
- China
- Prior art keywords
- keeper
- account
- safe storage
- responsibility
- power
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于三权分立的安全存储管理方法及系统,应用于安全存储领域,上述方法包括以下步骤:安全存储账户管理员权责管理模块对管理员账户进行管理;安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;安全存储审计管理员权责管理模块对管理员账户权限分配进行确认。通过实施本发明的技术方案,能有效提升安全存储系统的数据安全性,提升安全存储的保护等级。
Description
技术领域
本发明涉及安全存储领域,尤其涉及一种基于三权分立的安全存储管理方法及系统。
背景技术
随着信息技术的普及,社会活动越来越依赖信息系统,在关系到国计民生和国家战略安全的领域,运行关键行业业务的信息系统能否可靠运转将直接影响到社会安定和国家安全,尤其在金融领域,这个矛盾表现的尤为突出;安全存储系统是我国金融、电信等应用领域中的重要信息化设备,对国家经济运行安全、社会安全和国家战略安全有着重要的作用。
目前,国内的IT基础还比较薄弱,还不能够实现完全的自主可控,在整个信息安全领域中存储安全是重中之重,如何确保关键信息的安全存储,如何保障信息的可靠存储,以及如何防止涉密信息的非授权访问都是安全存储要解决的关键问题。
长期以来,普通的存储系统用户特权划分只有两级:超级用户和普通用户。超级用户具有所有特权,普通用户没有特权;在频繁的使用过程中,出现了大量超级管理员误操作、被冒认的安全事故,给用户带来了不可估量的损失,事实上这种做法完全不符合安全系统的“最小特权”原则:“最小特权”要求,将其所有特权分解成一组细料度的特权子集,定义成不同的“角色”,分别赋予不同的用户,每个用户仅拥有完成其工作所必须的最小特权,这样完全避免了超级用户的误操作或其身份被假冒而带来的安全隐患。
发明内容
本发明提供一种基于三权分立的安全存储管理方法及系统,以解决上述问题。
本发明提供一种基于三权分立的安全存储管理方法。上述方法包括以下步骤:
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块对管理员账户权限分配进行确认。
本发明还提供一种基于三权分立的安全存储管理系统,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块、日志管理模块;其中:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块相互连接;安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块分别与日志管理模块相连;
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
通过实施本发明的技术方案,能有效提升安全存储系统的数据安全性,提升安全存储的保护等级;本发明设计三权分立的管理模型,在存储系统中设立安全存储系统账户管理员、安全存储系统管理员和安全存储审计管理员三种角色账户,区别于传统存储系统中单一超级账户进行所有配置管理工作的特点,三种不同的角色分别拥有不用的权利,各司其职,相互限制,三种账户的操作信息全部记录在系统操作日志中,确保系统权限分散,提升存储系统安全特性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1所示为本发明的实施例1的安全存储帐户三权分立模型图;
图2所示为本发明的实施例2的安全存储三权分立权责划分图;
图3所示为本发明的实施例3的基于三权分立的安全存储管理方法处理流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明提供了一种基于三权分立的安全存储管理方法,包括以下步骤:
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块对管理员账户权限分配进行确认。
其中,安全存储账户管理员权责管理模块对管理员账户进行管理的过程为:安全存储账户管理员权责管理模块进行管理员账户的创建或删除。
其中,安全存储账户管理员权责管理模块进行管理员账户的创建或删除的日志信息记录在日志管理模块。
其中,安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置的过程为:安全存储系统管理员权责管理模块对管理员账户权限进行分配、存储系统资源管理、映射管理、快照及镜像管理。
其中,安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置的操作日志信息记录在日志管理模块。
其中,安全存储审计管理员权责管理模块对管理员账户权限分配进行确认的过程为:安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
图1所示为本发明的实施例1的安全存储账户三权分立模型图,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块、日志管理模块;其中:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块相互连接;安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块分别与日志管理模块相连。
安全存储账户管理员权责管理模块是此方法实现的三个基石之一,提出安全存储系统中设立专门的账户管理员;账户管理员仅负责系统中管理员账户的创建与删除,默认账户管理员创建的账户不具备任何管理功能;账户管理员创建账户的日志信息保存记录在日志管理模块中,以便后续审计审查;存储系统中默认有一个账户管理员,且必须至少保留一个账户管理员;账户管理员一般由管理部门担任。
2、安全存储系统管理员权责管理模块是此方法实现的三个基石之二,提出安全存储系统中设立专门的系统管理员;系统管理员主要负责系统中存储相关参数配置设置,例如逻辑卷划分、磁盘映射、用户权限分配,实现系统存储功能的基本实现;系统管理员的所有操作信息保存在日志管理模块中;存储系统中默认有一个系统管理员,且必须至少保留一个系统管理员;系统管理员进行安全存储系统中账户权限的分配,存储系统资源管理,映射管理,快照、镜像等及高级功能及基本系统设置;系统管理员一般由技术部门担任。
安全存储审计管理员权责管理模块是此方法实现的三个基石之三,提出安全存储系统中设立专门的审计管理员,审计管理员一方面进行安全存储系统中账号权限的分配的确认;审计管理员主要负责系统中安全的审计工作,主要通过日志审计进行;只有审计管理员具有日志管理模块的读写、查看权限;存储系统中默认有一个审计管理员,且必须至少保留一个审计管理员;审计管理员一般由公司安全部门负责。
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
图2所示为本发明的实施例2的安全存储三权分立权责划分图,如图2所示,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块;其中,安全存储账户管理员权责管理模块具有的权限为创建或删除账户,对系统配置、系统运行日志、系统操作日志则无权限处理;安全存储系统管理员权责管理模块,对于账户、系统配置、系统运行日志有权限管理(对于账户进行权限分配;对于系统配置则具有配置权限;对于系统运行日志,则有查看权限),对于系统操作日志,则无权限处理;安全存储审计管理员安全管理模块,对于账户、系统运行日志、系统操作日志有权进行管理(对于账户进行权限确认;对于系统运行日志、系统操作日志而言,进行操作和审计),对于系统配置而言,则无权进行管理。
图3所示为本发明的实施例3的基于三权分立的安全存储管理方法处理流程图,包括以下步骤:
步骤301:安全存储账户管理员权责管理模块对管理员账户进行管理;
步骤302:安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
步骤303:安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
上述方案在具体实施时,需要做以下工作:对于开发端而言,需要论证本模型的权责具体划分,针对其可行性进行详细的模拟分析,确定账户角色定义软件流程的具体实现方式;针对账户权限,设定角色账户权责范围,屏蔽角色账户权限范围外权责;软件设计功能接口及界面;在以上功能实现的基础上,进行模拟测试验证。对于实施运维端而言,需要做以下工作:初始账户密码分发至相应管理员并更改密码;根据申请,由账户管理员建立运维所需账户;系统管理员进行所需运维账户的权限分配;审计管理审核并确认权限分配正确;各管理员各司其职管理安全存储系统。
本发明还提供了一种基于三权分立的安全存储管理系统,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块、日志管理模块;其中:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块相互连接;安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块分别与日志管理模块相连;
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
通过实施本发明的技术方案,能有效提升安全存储系统的数据安全性,提升安全存储的保护等级;本发明设计三权分立的管理模型,在存储系统中设立安全存储系统账户管理员、安全存储系统管理员和安全存储审计管理员三种角色账户,区别于传统存储系统中单一超级账户进行所有配置管理工作的特点,三种不同的角色分别拥有不用的权利,各司其职,相互限制,三种账户的操作信息全部记录在系统操作日志中,确保系统权限分散,提升存储系统安全特性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于三权分立的安全存储管理方法,其特征在于,包括以下步骤:
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块对管理员账户权限分配进行确认。
2.根据权利要求1所述的方法,其特征在于,安全存储账户管理员权责管理模块对管理员账户进行管理的过程为:
安全存储账户管理员权责管理模块进行管理员账户的创建或删除。
3.根据权利要求2所述的方法,其特征在于,安全存储账户管理员权责管理模块进行管理员账户的创建或删除的日志信息记录在日志管理模块。
4.根据权利要求1所述的方法,其特征在于,安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置的过程为:
安全存储系统管理员权责管理模块对管理员账户权限进行分配、存储系统资源管理、映射管理、快照及镜像管理。
5.根据权利要求4所述的方法,其特征在于,安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置的操作日志信息记录在日志管理模块。
6.根据权利要求1所述的方法,其特征在于,安全存储审计管理员权责管理模块对管理员账户权限分配进行确认的过程为:
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
7.一种基于三权分立的安全存储管理系统,其特征在于,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块、日志管理模块;其中:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块相互连接;安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块分别与日志管理模块相连;
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410008480.6A CN103729582B (zh) | 2014-01-08 | 2014-01-08 | 一种基于三权分立的安全存储管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410008480.6A CN103729582B (zh) | 2014-01-08 | 2014-01-08 | 一种基于三权分立的安全存储管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103729582A true CN103729582A (zh) | 2014-04-16 |
| CN103729582B CN103729582B (zh) | 2017-05-31 |
Family
ID=50453653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410008480.6A Active CN103729582B (zh) | 2014-01-08 | 2014-01-08 | 一种基于三权分立的安全存储管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103729582B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105550854A (zh) * | 2016-01-26 | 2016-05-04 | 中标软件有限公司 | 一种云环境管理平台的访问控制装置 |
| CN105743887A (zh) * | 2016-01-26 | 2016-07-06 | 中标软件有限公司 | 一种云计算平台的访问控制装置 |
| WO2017020693A1 (zh) * | 2015-08-05 | 2017-02-09 | 中兴通讯股份有限公司 | 一种存储系统的控制方法及存储系统 |
| CN107346398A (zh) * | 2017-07-10 | 2017-11-14 | 山东超越数控电子有限公司 | 一种加密移动硬盘的运维管理方法及系统 |
| CN109711147A (zh) * | 2019-01-02 | 2019-05-03 | 浪潮商用机器有限公司 | 操作系统的三权分立管理方法、装置、系统及存储介质 |
| CN111970144A (zh) * | 2020-07-23 | 2020-11-20 | 中国电子系统技术有限公司 | 一种c/s、b/s混合架构下的终端管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1858740A (zh) * | 2006-05-31 | 2006-11-08 | 武汉华工达梦数据库有限公司 | 应用于数据库安全管理的三权分立安全方法 |
| CN102034052A (zh) * | 2010-12-03 | 2011-04-27 | 北京工业大学 | 基于三权分立的操作系统体系结构及实现方法 |
| CN102184388A (zh) * | 2011-05-16 | 2011-09-14 | 苏州两江科技有限公司 | 人脸和车辆自适应快速检测系统及检测方法 |
| CN102891840A (zh) * | 2012-06-12 | 2013-01-23 | 北京可信华泰信息技术有限公司 | 基于三权分立的信息安全管理系统及信息安全的管理方法 |
-
2014
- 2014-01-08 CN CN201410008480.6A patent/CN103729582B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1858740A (zh) * | 2006-05-31 | 2006-11-08 | 武汉华工达梦数据库有限公司 | 应用于数据库安全管理的三权分立安全方法 |
| CN102034052A (zh) * | 2010-12-03 | 2011-04-27 | 北京工业大学 | 基于三权分立的操作系统体系结构及实现方法 |
| CN102184388A (zh) * | 2011-05-16 | 2011-09-14 | 苏州两江科技有限公司 | 人脸和车辆自适应快速检测系统及检测方法 |
| CN102891840A (zh) * | 2012-06-12 | 2013-01-23 | 北京可信华泰信息技术有限公司 | 基于三权分立的信息安全管理系统及信息安全的管理方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017020693A1 (zh) * | 2015-08-05 | 2017-02-09 | 中兴通讯股份有限公司 | 一种存储系统的控制方法及存储系统 |
| CN105550854A (zh) * | 2016-01-26 | 2016-05-04 | 中标软件有限公司 | 一种云环境管理平台的访问控制装置 |
| CN105743887A (zh) * | 2016-01-26 | 2016-07-06 | 中标软件有限公司 | 一种云计算平台的访问控制装置 |
| CN105743887B (zh) * | 2016-01-26 | 2019-06-28 | 中标软件有限公司 | 一种云计算平台的访问控制装置 |
| CN107346398A (zh) * | 2017-07-10 | 2017-11-14 | 山东超越数控电子有限公司 | 一种加密移动硬盘的运维管理方法及系统 |
| CN109711147A (zh) * | 2019-01-02 | 2019-05-03 | 浪潮商用机器有限公司 | 操作系统的三权分立管理方法、装置、系统及存储介质 |
| CN109711147B (zh) * | 2019-01-02 | 2020-06-02 | 浪潮商用机器有限公司 | 操作系统的三权分立管理方法、装置、系统及存储介质 |
| CN111970144A (zh) * | 2020-07-23 | 2020-11-20 | 中国电子系统技术有限公司 | 一种c/s、b/s混合架构下的终端管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103729582B (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103729582A (zh) | 一种基于三权分立的安全存储管理方法及系统 | |
| US20110219425A1 (en) | Access control using roles and multi-dimensional constraints | |
| CN107506658A (zh) | 一种用户权限管理系统及方法 | |
| JP2015523661A (ja) | 電子メール用のデーター検出および保護ポリシー | |
| CN105184144A (zh) | 一种多系统权限管理方法 | |
| CN101827101A (zh) | 基于可信隔离运行环境的信息资产保护方法 | |
| CN101635018A (zh) | 一种u盘数据安全摆渡方法 | |
| CN105827645B (zh) | 一种用于访问控制的方法、设备与系统 | |
| CN110474897A (zh) | 一种档案使用权限管理系统 | |
| CN103605916A (zh) | 一种基于组织的rbac访问控制模型 | |
| WO2024002102A1 (zh) | 一种数据资产主动管理系统、计算设备及存储介质 | |
| WO2024002103A1 (zh) | 一种数据资产的管理方法及数据资产主动管理系统 | |
| WO2024002105A1 (zh) | 一种数据资产的使用控制方法、客户端及中间服务平台 | |
| Diez et al. | Govcloud: Using cloud computing in public organizations | |
| Ding et al. | An access control model and its application in blockchain | |
| CN112702348A (zh) | 一种系统权限管理方法及装置 | |
| US10503817B2 (en) | System and method for multi-party document revision | |
| CN104866774A (zh) | 账户权限管理的方法及系统 | |
| Zhezhnych et al. | Methods of data processing restriction in ERP systems | |
| CN102271141B (zh) | 一种电子文件权限动态适配控管方法及系统 | |
| CN112084162B (zh) | 一种基于区块链和ipfs的溯源权限管理系统 | |
| CN113255000A (zh) | 数据访问控制方法、装置、电子设备及可读存储介质 | |
| CN103577771B (zh) | 一种基于磁盘加密的虚拟桌面数据防泄漏保护方法 | |
| CN103914926A (zh) | 一种存储发票的安全装置 | |
| CN117034227A (zh) | 一种权限管理的方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |