CN106850512A - 一种满足分级保护要求的信息系统设计方法 - Google Patents

一种满足分级保护要求的信息系统设计方法 Download PDF

Info

Publication number
CN106850512A
CN106850512A CN201510888083.7A CN201510888083A CN106850512A CN 106850512 A CN106850512 A CN 106850512A CN 201510888083 A CN201510888083 A CN 201510888083A CN 106850512 A CN106850512 A CN 106850512A
Authority
CN
China
Prior art keywords
role
business
data
user
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510888083.7A
Other languages
English (en)
Inventor
胡海涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Changfeng Science Technology Industry Group Corp
Original Assignee
China Changfeng Science Technology Industry Group Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Changfeng Science Technology Industry Group Corp filed Critical China Changfeng Science Technology Industry Group Corp
Priority to CN201510888083.7A priority Critical patent/CN106850512A/zh
Publication of CN106850512A publication Critical patent/CN106850512A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

一种满足分级保护要求的信息系统设计方法,包括数据管理、角色权限管理、流程控制;数据管理针对数据的存储方式、数据类型及内容进行规划,对于视频类较大数量且密级较高的数据,选择分布式存储,对于结构化数据,进行集中存储;通过角色权限管理建立角色权限授予机制,通过角色建立用户和系统功能访问之间的关系;流程控制是在业务办理提交时,按照流程明确提示需要提交的相关人员,使业务办理人员明确业务的流程去向;在业务办理过程中,业务提交人可随时查看业务办理的情况,可查看完整的业务流程图、业务办理过程中经历的各节点,各节点处理情况;业务用户可针对每一类流程自定义具体内容。

Description

一种满足分级保护要求的信息系统设计方法
技术领域
本发明涉及信息保密安全技术领域,具体涉及一种满足分级保护要求的信息系统设计方法。
背景技术
涉密信息系统分级保护要求是保密安全领域的通用性规范,其对信息系统在涉密网运行环境下提出了相关的系统建设要求,包括数据管理、访问控制、流程管理等方面。
发明内容
本发明旨在提出一种满足分级保护技术要求的信息系统设计方法,为信息化系统的分级保护设计提供指导。
本发明的技术方案如下:
一种满足分级保护要求的信息系统设计方法,其特征在于包括数据管理、角色权限管理、流程控制;
所述数据管理针对数据的存储方式、数据类型及内容进行规划,对于视频类较大数量且密级较高的数据,选择分布式存储,对于结构化数据,分为基础数据、业务数据、实时数据,进行集中存储,存储时间依业务规则不同而定;
所述通过角色权限管理建立角色权限授予机制,在系统角色方面,严格遵循涉密信息系统分级保护要求,设置“三员”角色;在功能访问方面,将建立“用户-角色-权限”的访问控制机制,通过角色建立用户和系统功能访问之间的关系;在数据资源访问方面,根据资源属性访问的基础上,实现基于角色的更加灵活的数据范围访问控制;
所述流程控制是在业务办理提交时,按照流程明确提示需要提交的相关人员,使业务办理人员明确业务的流程去向;在业务办理过程中,业务提交人可随时查看业务办理的情况,可查看完整的业务流程图、业务办理过程中经历的各节点,各节点处理情况;流程定制化,业务用户可针对每一类流程自定义具体内容。
本发明的有益效果在于:
该发明与涉密信息系统分级保护技术要求相吻合,实现了规范的落实;
该发明充分考虑了企业现有信息化系统的应用,更进一步提升信息系统的保密安全性;
该发明为信息系统的分级保护改造提供了指导。
具体实施方式
本设计方法由三个方面构成,分别是数据管理、角色权限管理、流程控制。
(1)数据管理
针对数据的存储方式、数据类型及内容进行规划,并在数据备份方面按照分级保护要求做进一步的深化工作。对于视频类较大数量且密级较高的数据,尽量选择分布式存储。对于结构化数据,原则上分为基础数据、业务数据、实时数据,这类数据可进行集中存储,存储时间依业务规则不同而定。
在数据规划方面,应按照业务规则进行数据表空间划分,便于后续的数据备份与恢复。
(2)角色权限管理
建立角色权限授予机制,在系统角色方面,严格遵循涉密信息系统分级保护要求,设置“三员”角色;在功能访问方面,将建立“用户-角色-权限”的访问控制机制,通过角色建立用户和系统功能访问之间的关系;在数据资源访问方面,要在根据资源属性访问的基础上,实现基于角色的更加灵活的数据范围访问控制。实现具体内容包括以下几点:
1)“三员”角色设置
“三员”角色包括系统管理员、安全保密员、安全审计员,具体权限分配如下表所示:
角色 可访问的功能权限
系统管理员 用户管理、角色管理、角色权限配置
安全保密员 用户角色配置
安全审计员 系统日志查询及导出、操作日志查询及导出
上表所示的“三员”角色是系统在初始化时候就已作为基础数据内定的,此“三员”角色的名称禁止修改,其拥有的功能权限不允许做任何删减,同时这些功能权限也不允许授予至其他自定义角色。
2)“用户-角色-权限”访问控制
系统将按照“用户-角色-权限”的设计思路实现用户对功能的访问控制。
权限对应系统中可以被访问的功能。权限分为两级,一级权限代表业务功能,此类权限在系统中以一级菜单的形式展现;二级权限代表各业务功能下按照具体业务流程的各类操作。此类权限或者通过二级子菜单的方式展现,或者通过不同用户界面展现。权限基础数据与系统自身的功能模块相关,因此也是系统内定的,只允许针对某个角色做动态配置,不允许做任何权限自身的修改。
角色是拥有一定数量权限的集合。每个用户可通过角色的授予获得相应的功能访问权限。本系统中角色分为两类。一类是系统内定角色,即前文所说的“三员”角色;另一类是用户自定义角色,系统管理员可根据需要进行角色添加,并可针对新添加的角色配置相应的权限,可配置的权限包括了除“三员”角色对应权限之外的所有权限。
用户是访问系统的个体,用户是依托组织机构存在的,每一个用户都有所属单位属性,不同的用户通过系统管理员授予角色获得相应的权限,用户不可直接进行权限配置。
3)资源访问控制
系统之中的资源是各类业务数据的统称。每一个资源均有所属单位属性,在默认情况,用户能够访问的资源仅限于所在组织机构及下属机构的资源。在某些情况下,用户所访问的资源需要特别指定,此时系统允许通过对角色所能访问的资源进行配置,可以增加访问资源,也可以减少访问资源。
(3)流程控制
流程控制具体内容包括以下几点:
1)明确业务去向
在业务办理提交时,按照流程明确提示需要提交的相关人员,使业务办理人员明确业务的流程去向。
2)明确业务办理状态
在业务办理过程中,业务提交人可随时查看业务办理的情况,可查看完整的业务流程图、业务办理过程中经历的各节点,各节点处理情况,使业务提交人能够很清晰的了解到业务办理的进度。
3)流程定制化
业务用户可针对每一类流程自定义具体内容。包括定义工作节点、工作内容、流程流向等。对已定义的工作流程支持修改功能,修改后业务的办理可自动按照新流程进行。

Claims (1)

1.一种满足分级保护要求的信息系统设计方法,其特征在于包括数据管理、角色权限管理、流程控制;
所述数据管理针对数据的存储方式、数据类型及内容进行规划,对于视频类较大数量且密级较高的数据,选择分布式存储,对于结构化数据,分为基础数据、业务数据、实时数据,进行集中存储,存储时间依业务规则不同而定;
所述通过角色权限管理建立角色权限授予机制,在系统角色方面,严格遵循涉密信息系统分级保护要求,设置“三员”角色;在功能访问方面,将建立“用户-角色-权限”的访问控制机制,通过角色建立用户和系统功能访问之间的关系;在数据资源访问方面,根据资源属性访问的基础上,实现基于角色的更加灵活的数据范围访问控制;
所述流程控制是在业务办理提交时,按照流程明确提示需要提交的相关人员,使业务办理人员明确业务的流程去向;在业务办理过程中,业务提交人可随时查看业务办理的情况,可查看完整的业务流程图、业务办理过程中经历的各节点,各节点处理情况;流程定制化,业务用户可针对每一类流程自定义具体内容。
CN201510888083.7A 2015-12-07 2015-12-07 一种满足分级保护要求的信息系统设计方法 Pending CN106850512A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510888083.7A CN106850512A (zh) 2015-12-07 2015-12-07 一种满足分级保护要求的信息系统设计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510888083.7A CN106850512A (zh) 2015-12-07 2015-12-07 一种满足分级保护要求的信息系统设计方法

Publications (1)

Publication Number Publication Date
CN106850512A true CN106850512A (zh) 2017-06-13

Family

ID=59152057

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510888083.7A Pending CN106850512A (zh) 2015-12-07 2015-12-07 一种满足分级保护要求的信息系统设计方法

Country Status (1)

Country Link
CN (1) CN106850512A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110135146A (zh) * 2019-04-29 2019-08-16 武汉中锐源信息技术开发有限公司 一种数据库权限管理方法及系统
CN113128942A (zh) * 2019-12-30 2021-07-16 北京国双科技有限公司 可视化的工作流程处理方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004868A (zh) * 2009-09-01 2011-04-06 上海杉达学院 一种基于角色访问控制的信息系统数据存储层及组建方法
CN104125219A (zh) * 2014-07-07 2014-10-29 四川中电启明星信息技术有限公司 针对电力信息系统的身份集中授权管理方法
CN104881506A (zh) * 2015-06-29 2015-09-02 山东钢铁股份有限公司 一种基于数据库可配置的管理信息系统权限控制方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004868A (zh) * 2009-09-01 2011-04-06 上海杉达学院 一种基于角色访问控制的信息系统数据存储层及组建方法
CN104125219A (zh) * 2014-07-07 2014-10-29 四川中电启明星信息技术有限公司 针对电力信息系统的身份集中授权管理方法
CN104881506A (zh) * 2015-06-29 2015-09-02 山东钢铁股份有限公司 一种基于数据库可配置的管理信息系统权限控制方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李卫江: "电子政务与空间信息集成的理论及实践", 《中国优秀博硕士学位论文全文数据库 (博士) 基础科学辑》 *
陈炜尧: "公文流转系统的分析与设计", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110135146A (zh) * 2019-04-29 2019-08-16 武汉中锐源信息技术开发有限公司 一种数据库权限管理方法及系统
CN110135146B (zh) * 2019-04-29 2021-04-02 武汉中锐源信息技术开发有限公司 一种数据库权限管理方法
CN113128942A (zh) * 2019-12-30 2021-07-16 北京国双科技有限公司 可视化的工作流程处理方法及装置

Similar Documents

Publication Publication Date Title
CN109522707B (zh) 一种基于角色和资源的用户数据读写安全权限控制方法及系统
US7284000B2 (en) Automatic policy generation based on role entitlements and identity attributes
US9075955B2 (en) Managing permission settings applied to applications
US6141778A (en) Method and apparatus for automating security functions in a computer system
CN101453475B (zh) 一种授权管理系统及方法
CN112182619A (zh) 基于用户权限的业务处理方法、系统及电子设备和介质
CN102043931B (zh) 一种基于角色权限动态转换的隐私数据访问控制方法
JP7475608B2 (ja) ロールに基づいてフォームのデータを取得する承認方法
CN109981552B (zh) 一种权限分配方法及装置
KR20200029590A (ko) 관리 시스템 중의 인스턴트 메시징 계정의 관리 방법
CN104573478A (zh) 一种Web应用的用户权限管理系统
CN106878325B (zh) 一种确定用户访问权限的方法及装置
CN103996000A (zh) 权限管理系统及方法
CN110569652A (zh) 一种基于用户角色调整的动态访问控制方法
US20060070124A1 (en) Rights management
CN106445399A (zh) 一种存储系统的控制方法及存储系统
CN105809021A (zh) 一种用户权限的分配方法及装置
CN103763369A (zh) 一种基于san存储系统的多重权限分配方法
KR20160084997A (ko) 비밀번호 기반 역할 및 권한 부여 장치 및 방법
CN103778364B (zh) 管理应用于应用的许可设置
CN105827645A (zh) 一种用于访问控制的方法、设备与系统
CN106850512A (zh) 一种满足分级保护要求的信息系统设计方法
CN112702348A (zh) 一种系统权限管理方法及装置
CN104717206B (zh) 一种物联网资源访问权限控制方法及系统
CN103729582A (zh) 一种基于三权分立的安全存储管理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170613

WD01 Invention patent application deemed withdrawn after publication