CN114500034B - 一种数据服务安全管控方法及系统 - Google Patents

一种数据服务安全管控方法及系统 Download PDF

Info

Publication number
CN114500034B
CN114500034B CN202210080290.XA CN202210080290A CN114500034B CN 114500034 B CN114500034 B CN 114500034B CN 202210080290 A CN202210080290 A CN 202210080290A CN 114500034 B CN114500034 B CN 114500034B
Authority
CN
China
Prior art keywords
password
network management
instruction
account
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210080290.XA
Other languages
English (en)
Other versions
CN114500034A (zh
Inventor
俞辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Synqnc Technology Co ltd
Original Assignee
Beijing Synqnc Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Synqnc Technology Co ltd filed Critical Beijing Synqnc Technology Co ltd
Priority to CN202210080290.XA priority Critical patent/CN114500034B/zh
Publication of CN114500034A publication Critical patent/CN114500034A/zh
Application granted granted Critical
Publication of CN114500034B publication Critical patent/CN114500034B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种数据服务安全管控方法及系统,对网管网元安全进行保障措施处理,包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存。进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,指令平台通过密码ID向密码保险箱申请加密后的密码;进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;对发起网管连接请求速率和并发连接数进行限制;采用前置机作为网管帐号、密码、指令和文件传输的安全传输通道并通过指令服务器进入数据库服务器进行存储。本发明加强企业数据的安全性,减少指令下发的风险。

Description

一种数据服务安全管控方法及系统
技术领域
本发明涉及一种数据服务安全管控方法及系统,属于数据安全技术领域。
背景技术
随着物联网技术的发展,现有技术公开了诸多关于物联网设备和指令处理方案,如CN202011326248.9公开的物联网指令的下发方法、装置和电子设备中,安全认证比较复杂,繁琐,下发指令过程比较复杂,没有采用安全管控措施。又如CN201710210112.3公开的物联网设备绑定方法、终端和物联网设备中,CN202110362025.6公开的一种用于密码设备的用户状态管理系统及方法中,用户管理均没有采用层层安全措施。
现阶段,网管网元没有安全保障,网管网元账户密码管理缺少措施,指令服务器、数据库服务器应用系统等没有具备层层把控的安全措施,存在漏洞,容易留痕迹,容易泄密;数据安全下发缺少等级策略设置。进而造成数据的安全性差,业务页面存在漏洞容易破解。如何对企业数据进行有效的安全管控是一个亟待解决的技术问题。
发明内容
为此,本发明提供一种数据服务安全管控方法及系统,解决业务处理过程中企业数据缺少安全管控,安全风险高的问题。
为了实现上述目的,本发明提供如下技术方案:一种数据服务安全管控方法,包括对网管网元安全进行保障措施处理,所述保障措施包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存。
作为数据服务安全管控方法的优选方案,进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,所述指令平台通过密码ID向所述密码保险箱申请加密后的密码;
进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;
进行网管网元流控机制配置,对发起网管连接请求速率和并发连接数进行限制;
采用前置机作为网管帐号、密码、指令和文件传输的安全传输通道;网管帐号、密码、指令、文件通过指令服务器进入数据库服务器进行存储。
作为数据服务安全管控方法的优选方案,配置与查询权限隔离包括:对配置类应用使用配置类账号登录,对查询类应用使用查询类账号登录。
作为数据服务安全管控方法的优选方案,指令安全分类分级包括:应用系统黑、白名单;网元级黑、白名单;指令分级控制:高危、中危、低危指令。
作为数据服务安全管控方法的优选方案,通过指令平台将加密后的帐号密码传输到前置机,前置机在登录到网元设备前依照预设解密算法对密码解密用于登录设备。
作为数据服务安全管控方法的优选方案,判断应用发起网管连接请求的速率是否超过预设速率限额,若速率未超过预设速率限额,继续判断网管的并发连接数是否超过预设并发数限额,若并发连接数未超过预设并发数限额,允许应用连接网管并执行请求的业务指令。
作为数据服务安全管控方法的优选方案,数据库服务器存放的配置文件加密方式为3DES,密钥保存方式为静态密钥Hardcoding。
作为数据服务安全管控方法的优选方案,通过北向接口服务器进行指令通道安全、接口访问安全和操作系统访问控制。
本发明还提供一种数据服务安全管控系统,包括对网管网元安全进行保障措施处理,所述保障措施包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存。
作为数据服务安全管控系统的优选方案,包括:
网管网元账户密码管理单元,用于进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,所述指令平台通过密码ID向所述密码保险箱申请加密后的密码;
网管网元账户管理单元,用于进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;
网管网元流控机制单元,用于进行网管网元流控机制配置,对发起网管连接请求速率和并发连接数进行限制;
前置机,用于作为网管帐号、密码、指令和文件传输的安全传输通道;
网管帐号、密码、指令、文件通过指令服务器进入数据库服务器进行存储。
作为数据服务安全管控系统的优选方案,配置与查询权限隔离包括:对配置类应用使用配置类账号登录,对查询类应用使用查询类账号登录;
指令安全分类分级包括:应用系统黑、白名单;网元级黑、白名单;指令分级控制:高危、中危、低危指令;
通过指令平台将加密后的帐号密码传输到前置机,前置机在登录到网元设备前依照预设解密算法对密码解密用于登录设备。
作为数据服务安全管控系统的优选方案,网管网元流控机制单元中,判断应用发起网管连接请求的速率是否超过预设速率限额,若速率未超过预设速率限额,继续判断网管的并发连接数是否超过预设并发数限额,若并发连接数未超过预设并发数限额,允许应用连接网管并执行请求的业务指令。
作为数据服务安全管控系统的优选方案,数据库服务器存放的配置文件加密方式为3DES,密钥保存方式为静态密钥Hardcoding;
通过北向接口服务器进行指令通道安全、接口访问安全和操作系统访问控制。
本发明具有如下优点:对网管网元安全进行保障措施处理,保障措施包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存。进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,指令平台通过密码ID向密码保险箱申请加密后的密码;进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;进行网管网元流控机制配置,对发起网管连接请求速率和并发连接数进行限制;采用前置机作为网管帐号、密码、指令和文件传输的安全传输通道;网管帐号、密码、指令、文件通过指令服务器进入数据库服务器进行存储。本发明规避了以往解密、留痕迹容易泄密的事件,中间密码不解密、不落地、不留痕,不留内存漏洞,再用再取;登陆账号分开,提高了账户管理措施;加强了企业数据的安全性,减少了指令下发的风险。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例中提供的数据服务安全管控方法流程示意图;
图2为本发明实施例中提供的数据服务安全管控方法中网管网元账户密码管理示意图;
图3为本发明实施例中提供的数据服务安全管控方法中网管网元账户管理示意图;
图4为本发明实施例中提供的数据服务安全管控方法中网管网元流控机制示意图;
图5为本发明实施例中提供的数据服务安全管控方法中前置机交互示意图;
图6为本发明实施例中提供的数据服务安全管控方法中指令服务器交互示意图;
图7为本发明实施例中提供的数据服务安全管控方法中数据库服务器交互示意图;
图8为本发明实施例中提供的数据服务安全管控方法中北向接口服务器交互示意图;
图9为本发明实施例中提供的数据服务安全管控系统示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
参见图1,本发明实施例1提供一种数据服务安全管控方法,包括对网管网元安全进行保障措施处理,所述保障措施包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存。
具体的,网管网元安全保障措施包括,进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,所述指令平台通过密码ID向所述密码保险箱申请加密后的密码;
进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;
进行网管网元流控机制配置,对发起网管连接请求速率和并发连接数进行限制;
采用前置机作为网管帐号、密码、指令和文件传输的安全传输通道;网管帐号、密码、指令、文件通过指令服务器进入数据库服务器进行存储。
参见图2,具体的,网管网元账户密码管理中,密码保险箱管理作为企业数据服务总线平台功能构件主要部分之一,负责各系统密码存储与访问的安全工具。密码保险箱只保留密码ID和密码,指令平台只保留帐号和密码ID,平台通过密码ID向密码保险箱申请加密后的密码;指令平台负责将加密后的帐号密码传输到指令前置机,中间密码不解密、不落地、不留痕,前置机在登录到网元设备前依照预设解密算法对密码解密,用于登录设备,密码不落地,不留痕,密码所占内存用完就粉碎,不留内存漏洞,再用再取,从而保证了用户密码访问的安全。
辅助图3,具体的,配置与查询权限隔离包括:对配置类应用使用配置类账号登录,对查询类应用使用查询类账号登录。配置和查询登陆账号分开提高了账户管理安全性,从平台的维度区分应用为查询类应用和配置类应用;查询类应用对指令有查询权限,配置类应用对指令有查询和配置权限。其中,查询类账户仅有查询网管参数的权限;配置类账户既有查询网管参数的权限,又有配置网管参数的权限。
本实施例中,指令安全分类分级包括:应用系统黑、白名单;网元级黑、白名单;指令分级控制:高危、中危、低危指令。网管文件安全包括批命令文件,支持指令黑白名单检测;非批处理文件,文件安全检测策略(按应用配策略);文件上次安全策略。
本实施例中,通过指令平台将加密后的帐号密码传输到前置机,前置机在登录到网元设备前依照预设解密算法对密码解密用于登录设备。
辅助图4,本实施例中,判断应用发起网管连接请求的速率是否超过预设速率限额,若速率未超过预设速率限额,继续判断网管的并发连接数是否超过预设并发数限额,若并发连接数未超过预设并发数限额,允许应用连接网管并执行请求的业务指令。
辅助图5,本实施例中,前置机分为大区核心前置机与省分综合前置机。主要作用有:第一、指令安全:指令和执行结果在前置机不落地,前置机仅提供通道,指令通过安全通道传输(SSL隧道);第二、文件安全:文件传输在前置机不落地,前置机仅提供通道,文件通过安全通道传输(SSL隧道);第三、操作系统访问控制:IP地址白名单,增加指令下发服务器,端口控制,仅允许特定端口;第四、其他系统安全:集团漏扫、安全加固。
辅助图6,本实施例中,指令服务器安全措施有:第一、网管帐号/密码安全:在指令平台内部加密传输,密码不缓存;第二、指令安全:指令通过安全通道传输(SSL隧道);第三、文件安全:文件安全包括文件通过安全通道传输(SSL隧道)、文件服务器用户访问权限控制、缓存文件及时清理;第四、操作系统访问控制:IP地址白名单,增加北向接口服务器IP地址、端口控制,仅允许特定访问端口等。
辅助图7,本实施例中,数据库服务器存放的配置文件加密方式为3DES,密钥保存方式为静态密钥Hardcoding。数据库存放的主要配置文件中加密保存,加密方式3DES;数据库访问凭密码访问;密钥保存方式是静态密钥Hardcoding;操作系统访问控制主要是IP地址白名单,增加门户IP地址;端口控制,仅允许特定访问端口。
辅助图8,本实施例中,通过北向接口服务器进行指令通道安全、接口访问安全和操作系统访问控制。北向接口服务器安全措施包括:第一、指令通道安全:指令通道安全主要包括应用授权使用通道与应用只能使用授权指令;第二、接口访问安全:接口访问安全主要包括1)应用通过门户进行接口签名调用;2)接口协议:OpenAPI和https;第三、操作系统访问控制:操作系统访问控制主要包括:1)IP地址白名单;2)端口控制,仅允许特定访问端口。
综上所述,本发明对网管网元安全进行保障措施处理,保障措施包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存。进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,指令平台通过密码ID向密码保险箱申请加密后的密码;进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;进行网管网元流控机制配置,对发起网管连接请求速率和并发连接数进行限制;采用前置机作为网管帐号、密码、指令和文件传输的安全传输通道;网管帐号、密码、指令、文件通过指令服务器进入数据库服务器进行存储。本发明规避了以往解密、留痕迹容易泄密的事件,中间密码不解密、不落地、不留痕,不留内存漏洞,再用再取;登陆账号分开,提高了账户管理措施;加强了企业数据的安全性,减少了指令下发的风险。
实施例2
参见图9,本发明实施例2还提供一种数据服务安全管控系统,包括对网管网元安全进行保障措施处理,所述保障措施包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存。
本实施例中,数据服务安全管控系统包括:
网管网元账户密码管理单元1,用于进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,所述指令平台通过密码ID向所述密码保险箱申请加密后的密码;
网管网元账户管理单元2,用于进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;
网管网元流控机制单元3,用于进行网管网元流控机制配置,对发起网管连接请求速率和并发连接数进行限制;
前置机4,用于作为网管帐号、密码、指令和文件传输的安全传输通道;
网管帐号、密码、指令、文件通过指令服务器5进入数据库服务器6进行存储。
本实施例中,配置与查询权限隔离包括:对配置类应用使用配置类账号登录,对查询类应用使用查询类账号登录;
指令安全分类分级包括:应用系统黑、白名单;网元级黑、白名单;指令分级控制:高危、中危、低危指令;
通过指令平台将加密后的帐号密码传输到前置机4,前置机4在登录到网元设备前依照预设解密算法对密码解密用于登录设备。
本实施例中,网管网元流控机制单元3中,判断应用发起网管连接请求的速率是否超过预设速率限额,若速率未超过预设速率限额,继续判断网管的并发连接数是否超过预设并发数限额,若并发连接数未超过预设并发数限额,允许应用连接网管并执行请求的业务指令。
本实施例中,数据库服务器6存放的配置文件加密方式为3DES,密钥保存方式为静态密钥Hardcoding;
通过北向接口服务器7进行指令通道安全、接口访问安全和操作系统访问控制。
需要说明的是,上述系统各模块/单元之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
实施例3
本发明实施例3提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有数据服务安全管控方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的数据服务安全管控方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidState Disk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,包括:存储器和处理器;
所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的数据服务安全管控方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (6)

1.一种数据服务安全管控方法,其特征在于,包括对网管网元安全进行保障措施处理,所述保障措施包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存;
进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,所述指令平台通过密码ID向所述密码保险箱申请加密后的密码;
进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;
进行网管网元流控机制配置,对发起网管连接请求速率和并发连接数进行限制;
采用前置机作为网管帐号、密码、指令和文件传输的安全传输通道;网管帐号、密码、指令、文件通过指令服务器进入数据库服务器进行存储
配置与查询权限隔离包括:对配置类应用使用配置类账号登录,对查询类应用使用查询类账号登录;
指令安全分类分级包括:应用系统黑、白名单;网元级黑、白名单;指令分级控制:高危、中危、低危指令;
网管文件安全包括批命令文件,支持指令黑白名单检测;非批处理文件,文件安全检测策略;文件上次安全策略;
判断应用发起网管连接请求的速率是否超过预设速率限额,若速率未超过预设速率限额,继续判断网管的并发连接数是否超过预设并发数限额,若并发连接数未超过预设并发数限额,允许应用连接网管并执行请求的业务指令;
指令和执行结果在前置机不落地,前置机仅提供通道,指令通过安全通道传输;文件传输在前置机不落地,前置机仅提供通道,文件通过安全通道传输;IP地址白名单,增加指令下发服务器,端口控制,允许特定端口。
2.根据权利要求1所述的一种数据服务安全管控方法,其特征在于,通过指令平台将加密后的帐号密码传输到前置机,前置机在登录到网元设备前依照预设解密算法对密码解密用于登录设备。
3.根据权利要求1所述的一种数据服务安全管控方法,其特征在于,数据库服务器存放的配置文件加密方式为3DES,密钥保存方式为静态密钥。
4.根据权利要求1所述的一种数据服务安全管控方法,其特征在于,通过北向接口服务器进行指令通道安全、接口访问安全和操作系统访问控制。
5.一种数据服务安全管控系统,其特征在于,包括对网管网元安全进行保障措施处理,所述保障措施包括配置与查询权限隔离、网管网元熔断控制、指令安全分类分级、网管文件安全策略分配、网管连接数限制和账户密码安全保存;
还包括:
网管网元账户密码管理单元,用于进行网管网元账户密码管理,通过密码保险箱保留密码ID和密码,在指令平台保留账户和密码ID,所述指令平台通过密码ID向所述密码保险箱申请加密后的密码;
网管网元账户管理单元,用于进行网管网元账户管理,根据操作权限创建登录账户,登录账户包括查询类账户和配置类账户;
网管网元流控机制单元,用于进行网管网元流控机制配置,对发起网管连接请求速率和并发连接数进行限制;
前置机,用于作为网管帐号、密码、指令和文件传输的安全传输通道;
网管帐号、密码、指令、文件通过指令服务器进入数据库服务器进行存储;
配置与查询权限隔离包括:对配置类应用使用配置类账号登录,对查询类应用使用查询类账号登录;
指令安全分类分级包括:应用系统黑、白名单;网元级黑、白名单;指令分级控制:高危、中危、低危指令;
网管文件安全包括批命令文件,支持指令黑白名单检测;非批处理文件,文件安全检测策略;文件上次安全策略;
网管网元流控机制单元中,判断应用发起网管连接请求的速率是否超过预设速率限额,若速率未超过预设速率限额,继续判断网管的并发连接数是否超过预设并发数限额,若并发连接数未超过预设并发数限额,允许应用连接网管并执行请求的业务指令;
指令和执行结果在前置机不落地,前置机仅提供通道,指令通过安全通道传输;文件传输在前置机不落地,前置机仅提供通道,文件通过安全通道传输;IP地址白名单,增加指令下发服务器,端口控制,允许特定端口。
6.根据权利要求5所述的一种数据服务安全管控系统,其特征在于,包括:
通过指令平台将加密后的帐号密码传输到前置机,前置机在登录到网元设备前依照预设解密算法对密码解密用于登录设备;
数据库服务器存放的配置文件加密方式为3DES,密钥保存方式为静态密钥;
通过北向接口服务器进行指令通道安全、接口访问安全和操作系统访问控制。
CN202210080290.XA 2022-01-24 2022-01-24 一种数据服务安全管控方法及系统 Active CN114500034B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210080290.XA CN114500034B (zh) 2022-01-24 2022-01-24 一种数据服务安全管控方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210080290.XA CN114500034B (zh) 2022-01-24 2022-01-24 一种数据服务安全管控方法及系统

Publications (2)

Publication Number Publication Date
CN114500034A CN114500034A (zh) 2022-05-13
CN114500034B true CN114500034B (zh) 2023-01-31

Family

ID=81475345

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210080290.XA Active CN114500034B (zh) 2022-01-24 2022-01-24 一种数据服务安全管控方法及系统

Country Status (1)

Country Link
CN (1) CN114500034B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101677275A (zh) * 2008-09-19 2010-03-24 中兴通讯股份有限公司 一种网元权限管理系统和方法
CN102325026A (zh) * 2011-07-14 2012-01-18 易讯天空计算机技术(深圳)有限公司 账号密码安全加密系统
EP2797022A1 (en) * 2013-04-26 2014-10-29 Kaspersky Lab, ZAO System and method for controlling user access to encrypted data
CN112347461A (zh) * 2020-11-02 2021-02-09 浙江齐安信息科技有限公司 工控系统登录管控方法、装置、电子装置和存储介质
CN112818335A (zh) * 2021-02-23 2021-05-18 山东铭云信息技术有限公司 特权账号安全运维管控方法
CN113382017A (zh) * 2021-06-29 2021-09-10 深圳壹账通智能科技有限公司 基于白名单的权限控制方法、装置、电子设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101677275A (zh) * 2008-09-19 2010-03-24 中兴通讯股份有限公司 一种网元权限管理系统和方法
CN102325026A (zh) * 2011-07-14 2012-01-18 易讯天空计算机技术(深圳)有限公司 账号密码安全加密系统
EP2797022A1 (en) * 2013-04-26 2014-10-29 Kaspersky Lab, ZAO System and method for controlling user access to encrypted data
CN112347461A (zh) * 2020-11-02 2021-02-09 浙江齐安信息科技有限公司 工控系统登录管控方法、装置、电子装置和存储介质
CN112818335A (zh) * 2021-02-23 2021-05-18 山东铭云信息技术有限公司 特权账号安全运维管控方法
CN113382017A (zh) * 2021-06-29 2021-09-10 深圳壹账通智能科技有限公司 基于白名单的权限控制方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN114500034A (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
CN111783075B (zh) 基于密钥的权限管理方法、装置、介质及电子设备
CN113824562B (zh) 令牌化硬件安全模块
US11290446B2 (en) Access to data stored in a cloud
US8918641B2 (en) Dynamic platform reconfiguration by multi-tenant service providers
CN113498589B (zh) 托管机密管理传输系统和方法
US20160057168A1 (en) System and methods for efficient network security adjustment
EP2575070B1 (en) Classification-based digital rights management
US20130024948A1 (en) System for enterprise digital rights management
US10616225B2 (en) Controlling access rights of a document using enterprise digital rights management
WO2012120313A1 (en) A cryptographic system and method
US20140007197A1 (en) Delegation within a computing environment
US8321915B1 (en) Control of access to mass storage system
US9529978B2 (en) Cloud E-DRM system and service method thereof
CN109995735A (zh) 下载和使用方法、服务器、客户端、系统、设备及介质
CN114500034B (zh) 一种数据服务安全管控方法及系统
KR20060058546A (ko) 데이터베이스 암호화 및 접근 제어 방법 및 장치
US20220311777A1 (en) Hardening remote administrator access
US20220343010A1 (en) System and Method to enable Shared SaaS Multi-Tenancy using Customer Data Storage, Customer-controlled Data Encryption Keys
US11411813B2 (en) Single user device staging
EP4208978A1 (en) Distributing encryption keys securely and efficiently
EP2790123B1 (en) Generating A Data Audit Trail For Cross Perimeter Data Transfer
Bin et al. Research of fine grit access control based on time in cloud computing
US20240179141A1 (en) Agentless single sign-on for native access to secure network resources
US20240179143A1 (en) Native agentless efficient queries
US20240179148A1 (en) Agentless in-memory caching for native network resource connections

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant