[go: up one dir, main page]

CN103729582B - 一种基于三权分立的安全存储管理方法及系统 - Google Patents

一种基于三权分立的安全存储管理方法及系统 Download PDF

Info

Publication number
CN103729582B
CN103729582B CN201410008480.6A CN201410008480A CN103729582B CN 103729582 B CN103729582 B CN 103729582B CN 201410008480 A CN201410008480 A CN 201410008480A CN 103729582 B CN103729582 B CN 103729582B
Authority
CN
China
Prior art keywords
management module
account
storage
keeper
administrator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410008480.6A
Other languages
English (en)
Other versions
CN103729582A (zh
Inventor
文中领
刘希猛
袁鹏飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Beijing Electronic Information Industry Co Ltd
Original Assignee
Inspur Beijing Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Beijing Electronic Information Industry Co Ltd filed Critical Inspur Beijing Electronic Information Industry Co Ltd
Priority to CN201410008480.6A priority Critical patent/CN103729582B/zh
Publication of CN103729582A publication Critical patent/CN103729582A/zh
Application granted granted Critical
Publication of CN103729582B publication Critical patent/CN103729582B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于三权分立的安全存储管理方法及系统,应用于安全存储领域,上述方法包括以下步骤:安全存储账户管理员权责管理模块对管理员账户进行管理;安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;安全存储审计管理员权责管理模块对管理员账户权限分配进行确认。通过实施本发明的技术方案,能有效提升安全存储系统的数据安全性,提升安全存储的保护等级。

Description

一种基于三权分立的安全存储管理方法及系统
技术领域
本发明涉及安全存储领域,尤其涉及一种基于三权分立的安全存储管理方法及系统。
背景技术
随着信息技术的普及,社会活动越来越依赖信息系统,在关系到国计民生和国家战略安全的领域,运行关键行业业务的信息系统能否可靠运转将直接影响到社会安定和国家安全,尤其在金融领域,这个矛盾表现的尤为突出;安全存储系统是我国金融、电信等应用领域中的重要信息化设备,对国家经济运行安全、社会安全和国家战略安全有着重要的作用。
目前,国内的IT基础还比较薄弱,还不能够实现完全的自主可控,在整个信息安全领域中存储安全是重中之重,如何确保关键信息的安全存储,如何保障信息的可靠存储,以及如何防止涉密信息的非授权访问都是安全存储要解决的关键问题。
长期以来,普通的存储系统用户特权划分只有两级:超级用户和普通用户。超级用户具有所有特权,普通用户没有特权;在频繁的使用过程中,出现了大量超级管理员误操作、被冒认的安全事故,给用户带来了不可估量的损失,事实上这种做法完全不符合安全系统的“最小特权”原则:“最小特权”要求,将其所有特权分解成一组细料度的特权子集,定义成不同的“角色”,分别赋予不同的用户,每个用户仅拥有完成其工作所必须的最小特权,这样完全避免了超级用户的误操作或其身份被假冒而带来的安全隐患。
发明内容
本发明提供一种基于三权分立的安全存储管理方法及系统,以解决上述问题。
本发明提供一种基于三权分立的安全存储管理方法。上述方法包括以下步骤:
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块对管理员账户权限分配进行确认。
本发明还提供一种基于三权分立的安全存储管理系统,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块、日志管理模块;其中:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块相互连接;安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块分别与日志管理模块相连;
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
通过实施本发明的技术方案,能有效提升安全存储系统的数据安全性,提升安全存储的保护等级;本发明设计三权分立的管理模型,在存储系统中设立安全存储系统账户管理员、安全存储系统管理员和安全存储审计管理员三种角色账户,区别于传统存储系统中单一超级账户进行所有配置管理工作的特点,三种不同的角色分别拥有不用的权利,各司其职,相互限制,三种账户的操作信息全部记录在系统操作日志中,确保系统权限分散,提升存储系统安全特性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1所示为本发明的实施例1的安全存储帐户三权分立模型图;
图2所示为本发明的实施例2的安全存储三权分立权责划分图;
图3所示为本发明的实施例3的基于三权分立的安全存储管理方法处理流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明提供了一种基于三权分立的安全存储管理方法,包括以下步骤:
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块对管理员账户权限分配进行确认。
其中,安全存储账户管理员权责管理模块对管理员账户进行管理的过程为:安全存储账户管理员权责管理模块进行管理员账户的创建或删除。
其中,安全存储账户管理员权责管理模块进行管理员账户的创建或删除的日志信息记录在日志管理模块。
其中,安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置的过程为:安全存储系统管理员权责管理模块对管理员账户权限进行分配、存储系统资源管理、映射管理、快照及镜像管理。
其中,安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置的操作日志信息记录在日志管理模块。
其中,安全存储审计管理员权责管理模块对管理员账户权限分配进行确认的过程为:安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
图1所示为本发明的实施例1的安全存储账户三权分立模型图,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块、日志管理模块;其中:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块相互连接;安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块分别与日志管理模块相连。
安全存储账户管理员权责管理模块是此方法实现的三个基石之一,提出安全存储系统中设立专门的账户管理员;账户管理员仅负责系统中管理员账户的创建与删除,默认账户管理员创建的账户不具备任何管理功能;账户管理员创建账户的日志信息保存记录在日志管理模块中,以便后续审计审查;存储系统中默认有一个账户管理员,且必须至少保留一个账户管理员;账户管理员一般由管理部门担任。
2、安全存储系统管理员权责管理模块是此方法实现的三个基石之二,提出安全存储系统中设立专门的系统管理员;系统管理员主要负责系统中存储相关参数配置设置,例如逻辑卷划分、磁盘映射、用户权限分配,实现系统存储功能的基本实现;系统管理员的所有操作信息保存在日志管理模块中;存储系统中默认有一个系统管理员,且必须至少保留一个系统管理员;系统管理员进行安全存储系统中账户权限的分配,存储系统资源管理,映射管理,快照、镜像等及高级功能及基本系统设置;系统管理员一般由技术部门担任。
安全存储审计管理员权责管理模块是此方法实现的三个基石之三,提出安全存储系统中设立专门的审计管理员,审计管理员一方面进行安全存储系统中账号权限的分配的确认;审计管理员主要负责系统中安全的审计工作,主要通过日志审计进行;只有审计管理员具有日志管理模块的读写、查看权限;存储系统中默认有一个审计管理员,且必须至少保留一个审计管理员;审计管理员一般由公司安全部门负责。
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
图2所示为本发明的实施例2的安全存储三权分立权责划分图,如图2所示,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块;其中,安全存储账户管理员权责管理模块具有的权限为创建或删除账户,对系统配置、系统运行日志、系统操作日志则无权限处理;安全存储系统管理员权责管理模块,对于账户、系统配置、系统运行日志有权限管理(对于账户进行权限分配;对于系统配置则具有配置权限;对于系统运行日志,则有查看权限),对于系统操作日志,则无权限处理;安全存储审计管理员安全管理模块,对于账户、系统运行日志、系统操作日志有权进行管理(对于账户进行权限确认;对于系统运行日志、系统操作日志而言,进行操作和审计),对于系统配置而言,则无权进行管理。
图3所示为本发明的实施例3的基于三权分立的安全存储管理方法处理流程图,包括以下步骤:
步骤301:安全存储账户管理员权责管理模块对管理员账户进行管理;
步骤302:安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
步骤303:安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
上述方案在具体实施时,需要做以下工作:对于开发端而言,需要论证本模型的权责具体划分,针对其可行性进行详细的模拟分析,确定账户角色定义软件流程的具体实现方式;针对账户权限,设定角色账户权责范围,屏蔽角色账户权限范围外权责;软件设计功能接口及界面;在以上功能实现的基础上,进行模拟测试验证。对于实施运维端而言,需要做以下工作:初始账户密码分发至相应管理员并更改密码;根据申请,由账户管理员建立运维所需账户;系统管理员进行所需运维账户的权限分配;审计管理审核并确认权限分配正确;各管理员各司其职管理安全存储系统。
本发明还提供了一种基于三权分立的安全存储管理系统,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块、日志管理模块;其中:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块相互连接;安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块分别与日志管理模块相连;
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
通过实施本发明的技术方案,能有效提升安全存储系统的数据安全性,提升安全存储的保护等级;本发明设计三权分立的管理模型,在存储系统中设立安全存储系统账户管理员、安全存储系统管理员和安全存储审计管理员三种角色账户,区别于传统存储系统中单一超级账户进行所有配置管理工作的特点,三种不同的角色分别拥有不用的权利,各司其职,相互限制,三种账户的操作信息全部记录在系统操作日志中,确保系统权限分散,提升存储系统安全特性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于三权分立的安全存储管理方法,其特征在于,包括以下步骤:
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块对管理员账户权限分配进行确认。
2.根据权利要求1所述的方法,其特征在于,安全存储账户管理员权责管理模块对管理员账户进行管理的过程为:
安全存储账户管理员权责管理模块进行管理员账户的创建或删除。
3.根据权利要求2所述的方法,其特征在于,安全存储账户管理员权责管理模块进行管理员账户的创建或删除的日志信息记录在日志管理模块。
4.根据权利要求1所述的方法,其特征在于,安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置的过程为:
安全存储系统管理员权责管理模块对管理员账户权限进行分配、存储系统资源管理、映射管理、快照及镜像管理。
5.根据权利要求4所述的方法,其特征在于,安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置的操作日志信息记录在日志管理模块。
6.根据权利要求1所述的方法,其特征在于,安全存储审计管理员权责管理模块对管理员账户权限分配进行确认的过程为:
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
7.一种基于三权分立的安全存储管理系统,其特征在于,包括:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块、日志管理模块;其中:安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块相互连接;安全存储账户管理员权责管理模块、安全存储系统管理员权责管理模块、安全存储审计管理员安全管理模块分别与日志管理模块相连;
安全存储账户管理员权责管理模块对管理员账户进行管理;
安全存储系统管理员权责管理模块对系统中存储相关参数配置进行设置;其中,包括对管理员账户进行权限分配;
安全存储审计管理员权责管理模块通过读写、查看日志管理模块中的日志,对管理员账户权限分配进行确认。
CN201410008480.6A 2014-01-08 2014-01-08 一种基于三权分立的安全存储管理方法及系统 Active CN103729582B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410008480.6A CN103729582B (zh) 2014-01-08 2014-01-08 一种基于三权分立的安全存储管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410008480.6A CN103729582B (zh) 2014-01-08 2014-01-08 一种基于三权分立的安全存储管理方法及系统

Publications (2)

Publication Number Publication Date
CN103729582A CN103729582A (zh) 2014-04-16
CN103729582B true CN103729582B (zh) 2017-05-31

Family

ID=50453653

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410008480.6A Active CN103729582B (zh) 2014-01-08 2014-01-08 一种基于三权分立的安全存储管理方法及系统

Country Status (1)

Country Link
CN (1) CN103729582B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106445399A (zh) * 2015-08-05 2017-02-22 中兴通讯股份有限公司 一种存储系统的控制方法及存储系统
CN105550854A (zh) * 2016-01-26 2016-05-04 中标软件有限公司 一种云环境管理平台的访问控制装置
CN105743887B (zh) * 2016-01-26 2019-06-28 中标软件有限公司 一种云计算平台的访问控制装置
CN107346398A (zh) * 2017-07-10 2017-11-14 山东超越数控电子有限公司 一种加密移动硬盘的运维管理方法及系统
CN109711147B (zh) * 2019-01-02 2020-06-02 浪潮商用机器有限公司 操作系统的三权分立管理方法、装置、系统及存储介质
CN111970144A (zh) * 2020-07-23 2020-11-20 中国电子系统技术有限公司 一种c/s、b/s混合架构下的终端管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1858740A (zh) * 2006-05-31 2006-11-08 武汉华工达梦数据库有限公司 应用于数据库安全管理的三权分立安全方法
CN102034052A (zh) * 2010-12-03 2011-04-27 北京工业大学 基于三权分立的操作系统体系结构及实现方法
CN102184388A (zh) * 2011-05-16 2011-09-14 苏州两江科技有限公司 人脸和车辆自适应快速检测系统及检测方法
CN102891840A (zh) * 2012-06-12 2013-01-23 北京可信华泰信息技术有限公司 基于三权分立的信息安全管理系统及信息安全的管理方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1858740A (zh) * 2006-05-31 2006-11-08 武汉华工达梦数据库有限公司 应用于数据库安全管理的三权分立安全方法
CN102034052A (zh) * 2010-12-03 2011-04-27 北京工业大学 基于三权分立的操作系统体系结构及实现方法
CN102184388A (zh) * 2011-05-16 2011-09-14 苏州两江科技有限公司 人脸和车辆自适应快速检测系统及检测方法
CN102891840A (zh) * 2012-06-12 2013-01-23 北京可信华泰信息技术有限公司 基于三权分立的信息安全管理系统及信息安全的管理方法

Also Published As

Publication number Publication date
CN103729582A (zh) 2014-04-16

Similar Documents

Publication Publication Date Title
CN103729582B (zh) 一种基于三权分立的安全存储管理方法及系统
Okuhara et al. Security architecture for cloud computing
CN103763369B (zh) 一种基于san存储系统的多重权限分配方法
CN107483434A (zh) 一种移动存储设备的管理系统及方法
CN105141614B (zh) 一种移动存储设备的访问权限控制方法及装置
CN104301301B (zh) 一种基于云存储系统间的数据迁移加密方法
CN102156844A (zh) 一种电子文档在线离线安全管理系统的实现方法
Gonzalez et al. A framework for authentication and authorization credentials in cloud computing
CN101635018A (zh) 一种u盘数据安全摆渡方法
CN111191279A (zh) 面向数据共享服务的大数据安全运行空间实现方法及系统
CN114389894A (zh) 权限控制方法、设备、存储介质及计算机程序产品
CN112019543A (zh) 一种基于brac模型的多租户权限系统
Diez et al. Govcloud: Using cloud computing in public organizations
CN118337437A (zh) 一种Kubernetes集群管理方法、装置、设备、介质和程序产品
CN108846755A (zh) 一种基于智能合约的权限管理方法及装置
CN107609408A (zh) 一种基于过滤驱动控制文件操作行为的方法
CN108092808A (zh) 一种数据中心综合管理系统的安全管理方法
Alawneh et al. Defining and analyzing insiders and their threats in organizations
CN113486322A (zh) 一种一体化平台基于单点登录的控制方法、装置、介质
CN118277977A (zh) 一种配电网数据的权限分配方法、装置、设备及介质
CN101957893A (zh) 档案使用权限管理系统
CN117610058A (zh) 基于rbac的支持多租户的数据权限管理装置及方法
CN114168984B (zh) 一种适用于数控系统的访问控制及文件加密方法
CN103942502B (zh) 摆渡式安全数据交换方法与装置
CN115314209A (zh) 一种基于区块链的多租户权限管理装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant