CN109934011A - 一种应用于运维审计系统的数据安全分区方法 - Google Patents
一种应用于运维审计系统的数据安全分区方法 Download PDFInfo
- Publication number
- CN109934011A CN109934011A CN201910201683.XA CN201910201683A CN109934011A CN 109934011 A CN109934011 A CN 109934011A CN 201910201683 A CN201910201683 A CN 201910201683A CN 109934011 A CN109934011 A CN 109934011A
- Authority
- CN
- China
- Prior art keywords
- data
- server
- file
- maintenance
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种应用于运维审计系统的数据安全分区方法,将运维审计系统划分为运维目标、运维接入区和操作区三个部分,其中操作区包括监控管理区,运维办公区和业务办公区;数据库客户端运行在运维审计系统的应用虚拟化服务器上,运维人员在个人操作机上无法通过数据库客户端直接将数据保存至本地;切断运维操作机与应用虚拟化服务器之间的文件按传输、数据拷贝通道,防止运维人员将数据库文件导出到虚拟化服务器上后再上传到运维操作机上。本发明能够有效解决现有的运维审计系统在日常运维中,运维人员能直接访问某些数据甚至导出到本地,这些数据没有相应的安全措施来保护,存在被非法利用的风险的问题。
Description
技术领域
本发明涉及一种应用于运维审计系统的数据安全分区方法。
背景技术
大数据已经成为国家战略,当今国网公司信息化建设方兴未艾,同时伴随灾备数据中心、云计算、大数据、移动办公和智能设备等数字化智能化建设的持续升温,信息安全正面临新的挑战。大数据平台整体安全建设,从数据采集到数据资产的梳理,再到平台的访问安全管控和数据存储安全,以及数据共享分发过程中的版权保护,整个安全方案如何形成数据访问和使用过程的闭环,并且能够实现安全策略的统一下发和协同配合,是摆在平台建设方面前的棘手问题。
现有运维审计系统的业务功能主要包括五方面:(1)参数、策略配置功能;(2)资源管理功能;(3)安全管理功能;(4)日志管理功能;(5)安全审计功能。其中,参数、策略配置功能为系统提供参数、功能及安全策略配置;资源管理功能实现对人员、设备等资源的管理;安全管理功能实现系统的安全认证、控制功能;日志管理功能实现系统各种日志的分析、统计、展示;安全审计功能实现运维操作的记录、分析、控制、监测和回放。
在日常运维中针对数据的存在如下高危操作:
在日常运维中,运维人员能直接访问某些数据甚至导出到本地,这些数据没有相应的安全措施来保护,存在被非法利用的风险。
在系统实施、上线、测试等过程中,存在需要导出真实数据来进行使用的情况,加大了数据被泄露的风险。
在系统下线或者硬盘出现问题时,硬盘中留存的大量数据往往容易被忽视,即使经过删除、格式话等操作后也极易被恢复,在硬盘维修销毁过程中极易泄露数据造成严重后果。
普通运维审计系统只管理了存储和访问,安全防护全面性不足;只是针对特定的风险点进行防护,没有形成整体联动的安全防护体系。
发明内容
本发明的目的是提供一种应用于运维审计系统的数据安全分区方法,解决现有的运维审计系统在日常运维中,运维人员能直接访问某些数据甚至导出到本地,这些数据没有相应的安全措施来保护,存在被非法利用的风险;在系统实施、上线、测试等过程中,存在需要导出真实数据来进行使用的情况,加大了数据被泄露的风险;在系统下线或者硬盘出现问题时,硬盘中留存的大量数据往往容易被忽视,即使经过删除、格式话等操作后也极易被恢复,在硬盘维修销毁过程中极易泄露数据造成严重后果。
普通运维审计系统只管理了存储和访问,安全防护全面性不足;只是针对特定的风险点进行防护,没有形成整体联动的安全防护体系
本发明解决其技术问题所采用的技术方案是:一种应用于运维审计系统的数据安全分区方法,
将运维审计系统划分为运维目标、运维接入区和操作区三个部分,其中操作区包括监控管理区,运维办公区和业务办公区;
数据库客户端运行在运维审计系统的应用虚拟化服务器上,运维人员在个人操作机上无法通过数据库客户端直接将数据保存至本地;
切断运维操作机与应用虚拟化服务器之间的文件按传输、数据拷贝通道,防止运维人员将数据库文件导出到虚拟化服务器上后再上传到运维操作机上;
将特定服务器文件传输功能关闭,在需要时再打开;可以避免运维人员在特定服务器上导出文件;
根据需求对各服务器之间的网络访问策略进行精细化管理,避免运维人员在服务器之间做跳板访问、传输文件,再通过跳板服务器取走数据;
数据库运维过程中的文件传输步骤如下:
步骤(1)、运维专区管理员新建运维任务,并将运维过程中所需的运维脚本一并上传至堡垒机;
步骤(2)、进行运维工作时,运维人员通过虚拟化连接到应用虚拟化服务器;
步骤(3)、系统自动将运维所需脚本文件同步至应用虚拟化服务器上,使文件在该用户的会话中有效;
步骤(4)、数据库运维工作正常进行,过程中有可能会导出数据文件到应用虚拟化服务器上,;
步骤(5)、系统自动将运维导出数据文件同步至运维数据文件服务器上;
步骤(6)、业务人员获取所需数据文件。
本发明的有益效果:本应用于运维审计系统的数据安全分区方法实现对运维专区中各要素的管理,如专区、专机、人员等;实现对运维专区中所发生的运维工作进行全面的审计,做到对运维专机的有序分配、对运维专机操作的实时监控和事后审计、对运维人员的严格认证、对运维专机的远程管理等,从而实现远程运维操作安全可控,确保信息系统安全稳定运行。解决了以往运维审计系统只管理了存储和访问,安全防护全面性不足;只是针对特定的风险点进行防护,没有形成整体联动的安全防护体系的问题。通过将文件分区管理,切断文件传输通道解决了以往运维审计系统无法有效控制数据流动,数据容易通过各种途径被导出的问题。通过精细化处理服务器间网络访问策略设置,避免了运维人员在服务器之间做跳板访问、传输文件,再通过跳板服务器取走数据的问题。
以下将结合附图和实施例,对本发明进行较为详细的说明。
附图说明
图1为本发明的示意图。
具体实施方式
实施例1,如图1所示的一种应用于运维审计系统的数据安全分区方法,将运维审计系统划分为运维目标、运维接入区和操作区三个部分,其中操作区包括监控管理区,运维办公区和业务办公区;
数据库客户端运行在运维审计系统的应用虚拟化服务器上,运维人员在个人操作机上无法通过数据库客户端直接将数据保存至本地;
切断运维操作机与应用虚拟化服务器之间的文件按传输、数据拷贝通道,防止运维人员将数据库文件导出到虚拟化服务器上后再上传到运维操作机上;
将特定服务器文件传输功能关闭,在需要时再打开;可以避免运维人员在特定服务器(如数据库服务器)上上导出文件;
根据需求对各服务器之间(如管理信息大区里的服务器之间)的网络访问策略进行精细化管理,避免运维人员在服务器之间做跳板访问、传输文件,再通过跳板服务器取走数据;
数据库运维过程中的文件传输步骤如下:
步骤(1)、运维专区管理员新建运维任务,并将运维过程中所需的运维脚本一并上传至堡垒机;
步骤(2)、进行运维工作时,运维人员通过虚拟化连接到应用虚拟化服务器;
步骤(3)、系统自动将运维所需脚本文件同步至应用虚拟化服务器上,使文件在该用户的会话中有效;
步骤(4)、数据库运维工作正常进行,过程中有可能会导出数据文件到应用虚拟化服务器上,;
步骤(5)、系统自动将运维导出数据文件同步至运维数据文件服务器上;
步骤(6)、业务人员获取所需数据文件。
以上结合附图对本发明进行了示例性描述。显然,本发明具体实现并不受上述方式的限制。只要是采用了本发明的方法构思和技术方案进行的各种非实质性的改进;或未经改进,将本发明的上述构思和技术方案直接应用于其它场合的,均在本发明的保护范围之内。
Claims (1)
1.一种应用于运维审计系统的数据安全分区方法,其特征在于:
将运维审计系统划分为运维目标、运维接入区和操作区三个部分,其中操作区包括监控管理区,运维办公区和业务办公区;
数据库客户端运行在运维审计系统的应用虚拟化服务器上,运维人员在个人操作机上无法通过数据库客户端直接将数据保存至本地;
切断运维操作机与应用虚拟化服务器之间的文件按传输、数据拷贝通道,防止运维人员将数据库文件导出到虚拟化服务器上后再上传到运维操作机上;
将特定服务器文件传输功能关闭,在需要时再打开;可以避免运维人员在特定服务器上导出文件;
根据需求对各服务器之间的网络访问策略进行精细化管理,避免运维人员在服务器之间做跳板访问、传输文件,再通过跳板服务器取走数据;
数据库运维过程中的文件传输步骤如下:
步骤(1)、运维专区管理员新建运维任务,并将运维过程中所需的运维脚本一并上传至堡垒机;
步骤(2)、进行运维工作时,运维人员通过虚拟化连接到应用虚拟化服务器;
步骤(3)、系统自动将运维所需脚本文件同步至应用虚拟化服务器上,使文件在该用户的会话中有效;
步骤(4)、数据库运维工作正常进行,过程中有可能会导出数据文件到应用虚拟化服务器上,;
步骤(5)、系统自动将运维导出数据文件同步至运维数据文件服务器上;
步骤(6)、业务人员获取所需数据文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910201683.XA CN109934011A (zh) | 2019-03-18 | 2019-03-18 | 一种应用于运维审计系统的数据安全分区方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910201683.XA CN109934011A (zh) | 2019-03-18 | 2019-03-18 | 一种应用于运维审计系统的数据安全分区方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109934011A true CN109934011A (zh) | 2019-06-25 |
Family
ID=66987460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910201683.XA Pending CN109934011A (zh) | 2019-03-18 | 2019-03-18 | 一种应用于运维审计系统的数据安全分区方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109934011A (zh) |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040268151A1 (en) * | 2003-04-07 | 2004-12-30 | Tokyo Electron Limited | Maintenance/diagnosis data storage server |
| CN1858738A (zh) * | 2006-02-15 | 2006-11-08 | 华为技术有限公司 | 访问数据库的方法及装置 |
| CN201733328U (zh) * | 2010-07-09 | 2011-02-02 | 中国工商银行股份有限公司 | 基于银行系统的企业数据维护装置及系统 |
| CN102215133A (zh) * | 2011-06-21 | 2011-10-12 | 德讯科技股份有限公司 | 基于rdp远程协议跳板机审计数据定位回放系统及方法 |
| WO2012142854A1 (zh) * | 2011-04-18 | 2012-10-26 | 北京新媒传信科技有限公司 | 一种应用服务平台系统及其实现方法 |
| CN103188336A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种基于虚拟桌面的运维管理方法 |
| CN103475727A (zh) * | 2013-09-18 | 2013-12-25 | 浪潮电子信息产业股份有限公司 | 一种基于桥模式的数据库审计方法 |
| CN103685242A (zh) * | 2013-11-27 | 2014-03-26 | 国家电网公司 | 电力运维安全防护系统 |
| CN103685215A (zh) * | 2013-04-28 | 2014-03-26 | 中国南方电网有限责任公司 | 电力通信运维移动系统以及电力通信运维方法 |
| CN103841114A (zh) * | 2014-03-20 | 2014-06-04 | 北京中电普华信息技术有限公司 | 一种智能运维安全审计方法及系统 |
| CN104065731A (zh) * | 2014-06-30 | 2014-09-24 | 江苏华大天益电力科技有限公司 | 一种ftp文件传输系统及传输方法 |
| CN104732160A (zh) * | 2015-02-03 | 2015-06-24 | 武汉风奥软件技术有限公司 | 一种防止数据库信息内部泄密的控制方法 |
| CN105847021A (zh) * | 2015-01-13 | 2016-08-10 | 国家电网公司 | 一种智能电网调度控制系统集中运维安全审计系统 |
| CN107733901A (zh) * | 2017-10-23 | 2018-02-23 | 成都安恒信息技术有限公司 | 一种用于运维审计系统的Windows远程桌面文件传输审计方法 |
| CN107770160A (zh) * | 2017-09-30 | 2018-03-06 | 深信服科技股份有限公司 | 数据安全防护方法、设备及计算机可读存储介质 |
| CN108965388A (zh) * | 2018-06-13 | 2018-12-07 | 新华三信息安全技术有限公司 | 一种运维审计方法及装置 |
| CN109447876A (zh) * | 2018-10-16 | 2019-03-08 | 湖北三峡云计算中心有限责任公司 | 一种市民卡系统 |
-
2019
- 2019-03-18 CN CN201910201683.XA patent/CN109934011A/zh active Pending
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040268151A1 (en) * | 2003-04-07 | 2004-12-30 | Tokyo Electron Limited | Maintenance/diagnosis data storage server |
| CN1858738A (zh) * | 2006-02-15 | 2006-11-08 | 华为技术有限公司 | 访问数据库的方法及装置 |
| CN201733328U (zh) * | 2010-07-09 | 2011-02-02 | 中国工商银行股份有限公司 | 基于银行系统的企业数据维护装置及系统 |
| WO2012142854A1 (zh) * | 2011-04-18 | 2012-10-26 | 北京新媒传信科技有限公司 | 一种应用服务平台系统及其实现方法 |
| CN102215133A (zh) * | 2011-06-21 | 2011-10-12 | 德讯科技股份有限公司 | 基于rdp远程协议跳板机审计数据定位回放系统及方法 |
| CN103188336A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种基于虚拟桌面的运维管理方法 |
| CN103685215A (zh) * | 2013-04-28 | 2014-03-26 | 中国南方电网有限责任公司 | 电力通信运维移动系统以及电力通信运维方法 |
| CN103475727A (zh) * | 2013-09-18 | 2013-12-25 | 浪潮电子信息产业股份有限公司 | 一种基于桥模式的数据库审计方法 |
| CN103685242A (zh) * | 2013-11-27 | 2014-03-26 | 国家电网公司 | 电力运维安全防护系统 |
| CN103841114A (zh) * | 2014-03-20 | 2014-06-04 | 北京中电普华信息技术有限公司 | 一种智能运维安全审计方法及系统 |
| CN104065731A (zh) * | 2014-06-30 | 2014-09-24 | 江苏华大天益电力科技有限公司 | 一种ftp文件传输系统及传输方法 |
| CN105847021A (zh) * | 2015-01-13 | 2016-08-10 | 国家电网公司 | 一种智能电网调度控制系统集中运维安全审计系统 |
| CN104732160A (zh) * | 2015-02-03 | 2015-06-24 | 武汉风奥软件技术有限公司 | 一种防止数据库信息内部泄密的控制方法 |
| CN107770160A (zh) * | 2017-09-30 | 2018-03-06 | 深信服科技股份有限公司 | 数据安全防护方法、设备及计算机可读存储介质 |
| CN107733901A (zh) * | 2017-10-23 | 2018-02-23 | 成都安恒信息技术有限公司 | 一种用于运维审计系统的Windows远程桌面文件传输审计方法 |
| CN108965388A (zh) * | 2018-06-13 | 2018-12-07 | 新华三信息安全技术有限公司 | 一种运维审计方法及装置 |
| CN109447876A (zh) * | 2018-10-16 | 2019-03-08 | 湖北三峡云计算中心有限责任公司 | 一种市民卡系统 |
Non-Patent Citations (2)
| Title |
|---|
| 叶水勇等: ""利用安全审计网关技术实现应用系统运维安全防护"", 《电力信息与通信技术》 * |
| 朱兵等: ""基于安全分区技术的数据安全防护策略及实现"", 《国网技术学院学报》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhe et al. | Study on data security policy based on cloud storage | |
| Zawoad et al. | Cloud Forensics | |
| CN103632080B (zh) | 一种基于USBKey的移动数据应用安全保护方法 | |
| CN112329031A (zh) | 一种基于数据中台的数据权限控制系统 | |
| CN104378387A (zh) | 一种虚拟化平台下保护信息安全的方法 | |
| CN103413088A (zh) | 一种计算机文档操作安全审计系统 | |
| CN105337971A (zh) | 一种电力信息系统云安全保障体系及其实现方法 | |
| CN103763369B (zh) | 一种基于san存储系统的多重权限分配方法 | |
| Han et al. | Research on electronic document management system based on cloud computing | |
| CN118484267B (zh) | 一种基于云计算在线服务算力优化方法及系统 | |
| US20240045964A1 (en) | Cybersecurity Active Defense and Rapid Bulk Recovery in a Data Storage System | |
| CN110222498A (zh) | 一种基于移动互联云的督办管理系统及方法 | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| CN201854302U (zh) | 基于主动防泄密的网络安全系统 | |
| US20140236898A1 (en) | System and method for facilitating electronic discovery | |
| CN108092808A (zh) | 一种数据中心综合管理系统的安全管理方法 | |
| CN109934011A (zh) | 一种应用于运维审计系统的数据安全分区方法 | |
| CN113672479A (zh) | 一种数据共享方法、装置及计算机设备 | |
| CN103942502B (zh) | 摆渡式安全数据交换方法与装置 | |
| CN106295341A (zh) | 基于虚拟化的企业数据中心安全解决方法 | |
| CN113709140B (zh) | 一种基于综合审计的云大数据智能安全管控系统 | |
| CN109754149A (zh) | 电力通信可信后台管理系统、终端和电力通信可信系统 | |
| CN116257864A (zh) | 数据防护方法、虚拟装置、电子设备和计算机存储介质 | |
| Fan et al. | Research on cloud computing security problems and protection countermeasures | |
| CN113760449A (zh) | 基于桌面云xView的输变电三维设计数据共享系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190625 |