亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

Nas設(shè)備的安全增強(qiáng)系統(tǒng)及其方法

文檔序號:7814758閱讀:247來源:國知局
專利名稱:Nas 設(shè)備的安全增強(qiáng)系統(tǒng)及其方法
技術(shù)領(lǐng)域
本發(fā)明涉及計(jì)算機(jī)存儲系統(tǒng)和信息安全技術(shù)領(lǐng)域,特別是涉及一種NAS設(shè)備的安全增強(qiáng)系統(tǒng)及其方法。
背景技術(shù)
NAS (Network Attached Storage,網(wǎng)絡(luò)附加儲存)是一種向用戶提供文件級服務(wù)的專用數(shù)據(jù)存儲設(shè)備,可以直接接入計(jì)算機(jī)網(wǎng)絡(luò),為各種操作系統(tǒng)的客戶端提供集中式的數(shù)據(jù)存取服務(wù)。NAS存儲以其跨平臺數(shù)據(jù)共享、易用的特點(diǎn),已普遍應(yīng)用于各重要行業(yè)的重要信息系統(tǒng)。然而目前對NAS存儲的應(yīng)用與研究主要關(guān)注共享、易用性及其使用效率,對其安全性考慮甚少,因此,已部署的NAS系統(tǒng)多數(shù)存在應(yīng)用風(fēng)險(xiǎn)和安全隱患,主要表現(xiàn)在以下方面:(I)管理員權(quán)限過大,不受控制,可任意訪問NAS系統(tǒng)內(nèi)的所有核心機(jī)密數(shù)據(jù),尤其在軍事部門、研究機(jī)構(gòu),NAS存儲設(shè)備常常存儲國家重要武器型號秘密,軍事秘密和國家機(jī)密等,一旦管理員被策反或者主動泄密損失將不可估量。(2)存在數(shù)據(jù)被竊取或丟失的風(fēng)險(xiǎn),鑒于目前用戶已部署的NAS設(shè)備來自于國外廠家,一旦發(fā)生故障,返廠維修或交由各代理服務(wù)機(jī)構(gòu)維修時(shí),未采取加密保護(hù)措施的國家秘密極有可能遭受未授權(quán)非法訪問。針對上述安全隱患,需要建設(shè)一套NAS安全增強(qiáng)系統(tǒng),通過三員分立、強(qiáng)訪問控制功能、身份認(rèn)證、日志審計(jì)、雙機(jī)熱備及共享加密等功能,保證核心信息系統(tǒng)的重要NAS數(shù)據(jù)在存儲、備份、訪問的全過程安全。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種NAS設(shè)備的安全增強(qiáng)系統(tǒng)及其方法,用于在不改變現(xiàn)有NAS訪問架構(gòu)的前提下,實(shí)現(xiàn)NAS設(shè)備的身份認(rèn)證、訪問控制、日志審計(jì)和數(shù)據(jù)加密功倉泛。為了實(shí)現(xiàn)上述目的,本發(fā)明提供一種NAS設(shè)備的安全增強(qiáng)系統(tǒng),其特征在于,包括:三員管理模塊,用于實(shí)現(xiàn)系統(tǒng)管理員、安全管理員、安全審計(jì)員的操作控制管理;訪問控制模塊,用于配置和管理共享目錄的訪問策略;日志審計(jì)模塊,用于提供安全審計(jì)員進(jìn)行日志審計(jì)所需的操作日志記錄;雙機(jī)熱備模塊,用于在正常工作時(shí),作為主端的NAS設(shè)備與作為備端的NAS設(shè)備實(shí)時(shí)同步工作狀態(tài),并當(dāng)主端發(fā)生故障時(shí),備端接管主端的工作;文件加密模塊,用于對共享目錄中的文件進(jìn)行加密,并以密文的形式存放。所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其中,所述三員管理模塊進(jìn)一步由系統(tǒng)管理員負(fù)責(zé)提交操作管理申請,安全管理員對系統(tǒng)管理員的操作管理申請進(jìn)行審批,由安全審計(jì)員負(fù)責(zé)對所有操作日志進(jìn)行審計(jì)。
所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其中,所述訪問控制模塊進(jìn)一步為共享目錄制定基于用戶、客戶端IP及時(shí)間段的訪問控制策略,并當(dāng)安全管理員審批所述訪問控制策略后,對共享目錄的訪問控制將按所述訪問控制策略執(zhí)行。所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其中,所述訪問控制模塊進(jìn)一步包括:訪問策略制定模塊,用于制定相應(yīng)目錄或共享組的用戶或組的可讀、可寫及禁止訪問權(quán)限,制定相應(yīng)目錄的IP地址段禁止及允許訪問策略,制定相應(yīng)目錄時(shí)間段禁止及允許訪問策略;訪問策略備份模塊,用于將用戶組、共享組、訪問策略以不同格式保存到本地,以進(jìn)行備份;訪問策略恢復(fù)模塊,用于將備份的訪問策略導(dǎo)入到所述系統(tǒng)中,使該備份的訪問策略生效。所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其中,所述日志審計(jì)模塊進(jìn)一步包括:操作日志存儲模塊:用于將系統(tǒng)管理員、安全管理員、安全審計(jì)員的審計(jì)日志存儲在系統(tǒng)數(shù)據(jù)庫的三員操作日志表中;日志查詢統(tǒng)計(jì)模塊,用于從三員操作日志表中對各種操作日志按需要進(jìn)行查詢;日志導(dǎo)出模塊,用于將系統(tǒng)管理員、安全管理員、安全審計(jì)員的日志審計(jì)內(nèi)容從三員操作日志表中導(dǎo)出;日志滿報(bào)警模塊,用于設(shè)定三員操作日志表的存儲空間,并當(dāng)日志存儲空間將滿時(shí),發(fā)出告警信息;日志自動轉(zhuǎn)存及覆蓋模塊,用于當(dāng)日志存儲空間已滿時(shí),自動將日志轉(zhuǎn)存或自動覆蓋先前日志;審計(jì)記錄處理確認(rèn)模塊,用于當(dāng)安全審計(jì)員進(jìn)行日志的修改、刪除操作,需經(jīng)系統(tǒng)管理員、安全保密員確認(rèn)后執(zhí)行。所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其中,所述文件加密模塊進(jìn)一步包括:加密密鑰管理模塊,用于進(jìn)行加密密鑰的生成、刪除及生命周期的管理;設(shè)置加密目錄模塊,用于將指定的目錄設(shè)置為加密目錄。所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其中,還包括: MySQL數(shù)據(jù)庫,用于存儲用戶訪問日志、系統(tǒng)維護(hù)日志、管理員身份信息;統(tǒng)一管理接口,用于供NAS設(shè)備的安全NAS管理員調(diào)用,安裝傳入?yún)?shù)和操作碼,從所述MySQL數(shù)據(jù)庫中獲取操作參數(shù),執(zhí)行數(shù)據(jù)審批操作,并返回操作代碼;數(shù)據(jù)庫狀態(tài)更新引擎,運(yùn)行于主端上,用于定期獲取系統(tǒng)各配置的最新狀態(tài),并以此更新所述MySQL數(shù)據(jù)庫;備端系統(tǒng)狀態(tài)同步引擎,運(yùn)行于備端上,用于從所述MySQL數(shù)據(jù)庫中獲取主端配置數(shù)據(jù),以使備端的系統(tǒng)狀態(tài)和主端的系統(tǒng)狀態(tài)一致;故障檢測/切換模塊,負(fù)責(zé)所述MySQL數(shù)據(jù)庫的同步、心跳檢測、IP漂移、服務(wù)接管。為了實(shí)現(xiàn)上述目的,本發(fā)明提供一種NAS設(shè)備的安全增強(qiáng)方法,其特征在于,包括:三員管理步驟,對系統(tǒng)管理員、安全管理員、安全審計(jì)員實(shí)現(xiàn)操作控制管理;
訪問策略步驟,配置和管理共享目錄的訪問策略;日志審計(jì)步驟,提供安全審計(jì)員進(jìn)行日志審計(jì)所需的操作日志記錄;雙機(jī)熱備步驟,在正常工作時(shí),雙機(jī)實(shí)時(shí)同步工作狀態(tài),并當(dāng)主機(jī)發(fā)生故障時(shí),備機(jī)接管主機(jī)的工作;文件加密步驟,對共享目錄中的文件進(jìn)行加密,并以密文的形式存放。所述的NAS設(shè)備的安全增強(qiáng)方法,其中,所述三員管理步驟中,進(jìn)一步包括:由系統(tǒng)管理員負(fù)責(zé)提交操作管理申請,安全管理員對系統(tǒng)管理員的操作管理申請進(jìn)行審批,由安全審計(jì)員負(fù)責(zé)對所有操作日志進(jìn)行審計(jì)。所述的NAS設(shè)備的安全增強(qiáng)方法,其中,所述訪問策略步驟中,進(jìn)一步包括:為共享目錄制定基于用戶、客戶端IP及時(shí)間段的訪問控制策略,并當(dāng)安全管理員審批所述訪問控制策略后,對共享目錄的訪問控制將按所述訪問控制策略執(zhí)行。所述的NAS設(shè)備的安全增強(qiáng)方法,其中,所述訪問策略步驟中,進(jìn)一步包括:制定相應(yīng)目錄或共享組的用戶或組的可讀、可寫及禁止訪問權(quán)限,制定相應(yīng)目錄的IP地址段禁止及允許訪問策略,制定相應(yīng)目錄時(shí)間段禁止及允許訪問策略;將用戶組、共享組、訪問策略以不同格式保存到本地,以進(jìn)行備份;將備份的訪問策略導(dǎo)入到所述系統(tǒng)中,使該備份的訪問策略生效。所述的NAS設(shè)備的安全增強(qiáng)方法,其中,所述日志審計(jì)步驟中,進(jìn)一步包括:將系統(tǒng)管理員、安全管理員、安全審計(jì)員的審計(jì)日志存儲在系統(tǒng)數(shù)據(jù)庫的三員操作日志表中;從三員操作日志表中對各種操作日志按需要進(jìn)行查詢;將系統(tǒng)管理員、安全管理員、安全審計(jì)員的日志審計(jì)內(nèi)容從三員操作日志表中導(dǎo)出;設(shè)定三員操作日志表的存儲空間,并當(dāng)日志存儲空間將滿時(shí),發(fā)出告警信息;當(dāng)日志存儲空間已滿時(shí),自動將日志轉(zhuǎn)存或自動覆蓋先前日志;當(dāng)安全審計(jì)員進(jìn)行日志的修改、刪除操作,需經(jīng)系統(tǒng)管理員、安全保密員確認(rèn)后執(zhí)行。所述的NAS設(shè)備的安全增強(qiáng)方法,其中,所述文件加密步驟中,進(jìn)一步包括:進(jìn)行加密密鑰的生成、刪除及生命周期的管理;將指定的目錄設(shè)置為加密目錄。所述的NAS設(shè)備的安全增強(qiáng)方法,其中,還包括: 通過MySQL數(shù)據(jù)庫存儲用戶訪問日志、系統(tǒng)維護(hù)日志、管理員身份信息;由NAS設(shè)備的安全NAS管理員調(diào)用統(tǒng)一管理接口,安裝傳入?yún)?shù)和操作碼,從所述MySQL數(shù)據(jù)庫中獲取操作參數(shù),執(zhí)行數(shù)據(jù)審批操作,并返回操作代碼;通過運(yùn)行于主端上的數(shù)據(jù)庫狀態(tài)更新引擎,定期獲取系統(tǒng)各配置的最新狀態(tài),并以此更新所述MySQL數(shù)據(jù)庫;通過運(yùn)行于備端上的備端系統(tǒng)狀態(tài)同步引擎,從所述MySQL數(shù)據(jù)庫中獲取主端配置數(shù)據(jù),以使備端的系統(tǒng)狀態(tài)和主端的系統(tǒng)狀態(tài)一致;通過故障檢測/切換模塊,負(fù)責(zé)所述MySQL數(shù)據(jù)庫的同步、心跳檢測、IP漂移、服
務(wù)接管。
本發(fā)明的有益技術(shù)效果在于:在不改變現(xiàn)有NAS系統(tǒng)架構(gòu)的前提下,為現(xiàn)有NAS系統(tǒng)提供額外的符合三員管理、增強(qiáng)訪問控制、細(xì)粒度日志審計(jì)、雙機(jī)熱備及文件加密功能,為現(xiàn)有NAS系統(tǒng)安全提供級別更高的技術(shù)保障。


圖1為本發(fā)明的系統(tǒng)模塊圖;圖2為本發(fā)明的各模塊結(jié)構(gòu)圖;圖3為本發(fā)明的三員管理權(quán)限分配圖;圖4為本發(fā)明的系統(tǒng)結(jié)構(gòu)部署圖;圖5為本發(fā)明的雙機(jī)熱備系統(tǒng)的架構(gòu)圖;圖6為本發(fā)明的配置交互流程圖。
具體實(shí)施例方式以下結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)描述,但不作為對本發(fā)明的限定。本發(fā)明獨(dú)立提出了一種在不改變現(xiàn)有NAS系統(tǒng)架構(gòu)的前提下,為現(xiàn)有NAS系統(tǒng)安全提供級別更高的技術(shù)保障的方法。如圖1所示,為本發(fā)明的系統(tǒng)模塊圖,圖2是顯示系統(tǒng)所屬功能的模塊關(guān)系圖。該NAS安全增強(qiáng)系統(tǒng)100中包括:管理配置控制模塊101、文件共享服務(wù)模塊102、NAS設(shè)備接管模塊103。管理配置控制模塊101,是配置管理客戶端界面程序,其通過調(diào)用五大核心模塊提供的接口為管理員管理系統(tǒng)提供圖形化的界面操作接口。文件共享服務(wù)模塊102,由操作系統(tǒng)自帶的文件共享服務(wù)程序提供,以在系統(tǒng)中為用戶提供基本的文件共享服務(wù)。NAS設(shè)備接管模塊103,用于連接后端NAS設(shè)備以將NAS設(shè)備納入到本系統(tǒng)的管理范圍中。此三個模塊均為本發(fā)明的核心發(fā)明內(nèi)容之外。該NAS安全增強(qiáng)系統(tǒng)100的核心模塊包括:三員管理模塊10、訪問控制模塊20、日志審計(jì)模塊30、雙機(jī)熱備模塊40、文件加密模塊50。三員管理模塊10,用于實(shí)現(xiàn)系統(tǒng)管理員三員操作控制管理功能,由系統(tǒng)管理員負(fù)責(zé)提交操作管理申請,安全管理員對系統(tǒng)管理員的操作管理申請進(jìn)行審批,經(jīng)過安全管理員批準(zhǔn)的操作最終方可生效;安全審計(jì)員負(fù)責(zé)對所有操作日志進(jìn)行審計(jì)。訪問控制模塊20,用于實(shí)現(xiàn)對共享目錄的訪問策略的配置和管理。系統(tǒng)管理員可為各共享目錄制定基于用戶、客戶端IP及時(shí)間段的不同訪問控制策略,待安全管理員審批后,對該共享目錄的訪問控制將按制定的訪問策略執(zhí)行,以對共享目錄的訪問控制到合理的范圍,保證共享目錄的安全。日志審計(jì)模塊30,為安全審計(jì)員的審計(jì)工作提供基礎(chǔ)。在日志審計(jì)模塊30中,安全審計(jì)員可詳細(xì)查看普通用戶及所有管理員的操作日志記錄,通過對日志的審計(jì),可提前發(fā)現(xiàn)非法操作,為及早發(fā)現(xiàn)安全漏洞隱患提供參考。雙機(jī)熱備模塊40,為系統(tǒng)100提供不中斷的安全增強(qiáng)服務(wù)保障。在正常工作時(shí),雙機(jī)實(shí)時(shí)同步工作狀態(tài),形成熱備雙機(jī)。當(dāng)其中的主機(jī)發(fā)生故障時(shí),備機(jī)可主動接管主機(jī)的工作,保證服務(wù)的不中斷。文件加密模塊50,為共享目錄中的文件提供加解密工作,使文件經(jīng)過NAS安全增強(qiáng)系統(tǒng)后,文件以密文的形式存放,從而最大限度的防止了泄密隱患。下面進(jìn)一步詳細(xì)描述如上各模塊所實(shí)現(xiàn)的功能:三員管理模塊10將系統(tǒng)100中的管理員權(quán)限從橫向切分為系統(tǒng)管理員、安全保密員、安全審計(jì)員三塊,三者權(quán)限相互制約,以到達(dá)有效管理及監(jiān)督的目的,三員權(quán)限的關(guān)系如圖3所示。進(jìn)一步地,三員管理模塊10具體包括如下模塊:管理員登錄模塊,管理員登錄至管理系統(tǒng),以獲取管理權(quán)限,不同身份的管理員獲取的管理權(quán)限不同。管理員身份認(rèn)證模塊,用于對管理員身份進(jìn)認(rèn)證,以識別合法的管理員,并對管理員身份進(jìn)行鑒別。管理員注銷模塊,用于當(dāng)管理員退出管理系統(tǒng)時(shí),釋放管理權(quán)限。管理員口令修改模塊,用于允許管理員修改自己的登錄口令,以維護(hù)管理員身份安全。 管理員密鑰修改模塊,用于修改管理員所持USBkey密鑰。管理員口令策略設(shè)置模塊,用于由安全保密員負(fù)責(zé)制定管理員口令策略(包括口令規(guī)則,口令更換時(shí)間)。進(jìn)一步地,訪問控制模塊20為后端NAS設(shè)備共享目錄提供增強(qiáng)的訪問控制功能,具體包括如下模塊:用戶訪問策略模塊,用于制定相應(yīng)目錄或共享組的用戶或組的可讀、可寫及禁止訪問權(quán)限。IP訪問策略模塊,用于制定相應(yīng)目錄的IP地址段禁止及允許訪問策略。時(shí)間段訪問策略模塊,用于制定相應(yīng)目錄時(shí)間段允許及禁止訪問策略。訪問策略備份模塊,用于將用戶組、共享組、訪問策略以不同格式保存到本地,以進(jìn)行備份。訪問策略恢復(fù)模塊,用于將備份的訪問策略導(dǎo)入到系統(tǒng)100中,使該策略生效。進(jìn)一步地,日志審計(jì)模塊30進(jìn)行日志審計(jì),具體包括如下模塊:操作日志存儲模塊:用于將系統(tǒng)三員的所有審計(jì)日志存儲在系統(tǒng)三員操作日志表中,即管理員操作日志表2。表I為普通用戶操作日志表,表2為管理員操作日志表,表3為表1、2中的操作類型定義表。表I
編號曰志表項(xiàng)取值類型 I范圍實(shí)例_I____整形(uint)__I MAX UINT__I_
2_ 日期日期字符串分割符-2011-4-21
3— 時(shí)間間字符串 —分割符:20:17:20
4~ 用戶名用戶名字符串I 128字符Wenyindi
5共享客戶端IP IP字符串合法IP字符串192.168.1.100
權(quán)利要求
1.一種NAS設(shè)備的安全增強(qiáng)系統(tǒng),其特征在于,包括: 三員管理模塊,用于實(shí)現(xiàn)系統(tǒng)管理員、安全管理員、安全審計(jì)員的操作控制管理; 訪問控制模塊,用于配置和管理共享目錄的訪問策略; 日志審計(jì)模塊,用于提供安全審計(jì)員進(jìn)行日志審計(jì)所需的操作日志記錄; 雙機(jī)熱備模塊,用于在正常工作時(shí),作為主端的NAS設(shè)備與作為備端的NAS設(shè)備實(shí)時(shí)同步工作狀態(tài),并當(dāng)主端發(fā)生故障時(shí),備端接管主端的工作; 文件加密模塊,用于對共享目錄中的文件進(jìn)行加密,并以密文的形式存放。
2.根據(jù)權(quán)利要求1所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其特征在于,所述三員管理模塊進(jìn)一步由系統(tǒng)管理員負(fù)責(zé)提 交操作管理申請,安全管理員對系統(tǒng)管理員的操作管理申請進(jìn)行審批,由安全審計(jì)員負(fù)責(zé)對所有操作日志進(jìn)行審計(jì)。
3.根據(jù)權(quán)利要求1所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其特征在于,所述訪問控制模塊進(jìn)一步為共享目錄制定基于用戶、客戶端IP及時(shí)間段的訪問控制策略,并當(dāng)安全管理員審批所述訪問控制策略后,對共享目錄的訪問控制將按所述訪問控制策略執(zhí)行。
4.根據(jù)權(quán)利要求1、2或3所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其特征在于,所述訪問控制模塊進(jìn)一步包括: 訪問策略制定模塊,用于制定相應(yīng)目錄或共享組的用戶或組的可讀、可寫及禁止訪問權(quán)限,制定相應(yīng)目錄的IP地址段禁止及允許訪問策略,制定相應(yīng)目錄時(shí)間段禁止及允許訪問策略; 訪問策略備份模塊,用于將用戶組、共享組、訪問策略以不同格式保存到本地,以進(jìn)行備份; 訪問策略恢復(fù)模塊,用于將備份的訪問策略導(dǎo)入到所述系統(tǒng)中,使該備份的訪問策略生效。
5.根據(jù)權(quán)利要求1、2或3所述的NAS設(shè)備的安全增強(qiáng)系統(tǒng),其特征在于,所述日志審計(jì)模塊進(jìn)一步包括: 操作日志存儲模塊:用于將系統(tǒng)管理員、安全管理員、安全審計(jì)員的審計(jì)日志存儲在系統(tǒng)數(shù)據(jù)庫的三員操作日志表中; 日志查詢統(tǒng)計(jì)模塊,用于從三員操作日志表中對各種操作日志按需要進(jìn)行查詢;日志導(dǎo)出模塊,用于將系統(tǒng)管理員、安全管理員、安全審計(jì)員的日志審計(jì)內(nèi)容從三員操作日志表中導(dǎo)出; 日志滿報(bào)警模塊,用于設(shè)定三員操作日志表的存儲空間,并當(dāng)日志存儲空間將滿時(shí),發(fā)出告警信息; 日志自動轉(zhuǎn)存及覆蓋模塊,用于當(dāng)日志存儲空間已滿時(shí),自動將日志轉(zhuǎn)存或自動覆蓋先前日志; 審計(jì)記錄處理確認(rèn)模塊,用于當(dāng)安全審計(jì)員進(jìn)行日志的修改、刪除操作,需經(jīng)系統(tǒng)管理員、安全保密員確認(rèn)后執(zhí)行。
6.根據(jù)權(quán)利要求1、2或3所述設(shè)備的NAS安全增強(qiáng)系統(tǒng),其特征在于,所述文件加密模塊進(jìn)一步包括: 加密密鑰管理模塊,用于進(jìn)行加密密鑰的生成、刪除及生命周期的管理; 設(shè)置加密目錄模塊,用于將指定的目錄設(shè)置為加密目錄。
7.根據(jù)權(quán)利要求1、2或3所述設(shè)備的NAS安全增強(qiáng)系統(tǒng),其特征在于,還包括: MySQL數(shù)據(jù)庫,用于存儲用戶訪問日志、系統(tǒng)維護(hù)日志、管理員身份信息; 統(tǒng)一管理接口,用于供NAS設(shè)備的安全NAS管理員調(diào)用,安裝傳入?yún)?shù)和操作碼,從所述MySQL數(shù)據(jù)庫中獲取操作參數(shù),執(zhí)行數(shù)據(jù)審批操作,并返回操作代碼; 數(shù)據(jù)庫狀態(tài)更新引擎,運(yùn)行于主端上,用于定期獲取系統(tǒng)各配置的最新狀態(tài),并以此更新所述MySQL數(shù)據(jù)庫; 備端系統(tǒng)狀態(tài)同步引擎,運(yùn)行于備端上,用于從所述MySQL數(shù)據(jù)庫中獲取主端配置數(shù)據(jù),以使備端的系統(tǒng)狀態(tài)和王端的系統(tǒng)狀態(tài)一致; 故障檢測/切換模塊,負(fù)責(zé)所述MySQL數(shù)據(jù)庫的同步、心跳檢測、IP漂移、服務(wù)接管。
8.—種NAS設(shè)備的安全增強(qiáng)方法,其特征在于,包括: 三員管理步驟,對系統(tǒng)管理員、安全管理員、安全審計(jì)員實(shí)現(xiàn)操作控制管理; 訪問策略步驟,配置和管理共享目錄的訪問策略; 日志審計(jì)步驟,提供安全審計(jì)員進(jìn)行日志審計(jì)所需的操作日志記錄; 雙機(jī)熱備步驟,在正常工作時(shí),雙機(jī)實(shí)時(shí)同步工作狀態(tài),并當(dāng)主機(jī)發(fā)生故障時(shí),備機(jī)接管主機(jī)的工作; 文件加密步驟,對共享目錄中的文件進(jìn)行加密,并以密文的形式存放。
9.根據(jù)權(quán)利要求8所述的NAS設(shè)備的安全增強(qiáng)方法,其特征在于,所述三員管理步驟中,進(jìn)一步包括:` 由系統(tǒng)管理員負(fù)責(zé)提交操作管理申請,安全管理員對系統(tǒng)管理員的操作管理申請進(jìn)行審批,由安全審計(jì)員負(fù)責(zé)對所有操作日志進(jìn)行審計(jì)。
10.根據(jù)權(quán)利要求8所述的NAS設(shè)備的安全增強(qiáng)方法,其特征在于,所述訪問策略步驟中,進(jìn)一步包括: 為共享目錄制定基于用戶、客戶端IP及時(shí)間段的訪問控制策略,并當(dāng)安全管理員審批所述訪問控制策略后,對共享目錄的訪問控制將按所述訪問控制策略執(zhí)行。
11.根據(jù)權(quán)利要求8、9或10所述的NAS設(shè)備的安全增強(qiáng)方法,其特征在于,所述訪問策略步驟中,進(jìn)一步包括: 制定相應(yīng)目錄或共享組的用戶或組的可讀、可寫及禁止訪問權(quán)限,制定相應(yīng)目錄的IP地址段禁止及允許訪問策略,制定相應(yīng)目錄時(shí)間段禁止及允許訪問策略; 將用戶組、共享組、訪問策略以不同格式保存到本地,以進(jìn)行備份; 將備份的訪問策略導(dǎo)入到所述系統(tǒng)中,使該備份的訪問策略生效。
12.根據(jù)權(quán)利要求8、9或10所述的NAS安全設(shè)備的增強(qiáng)方法,其特征在于,所述日志審計(jì)步驟中,進(jìn)一步包括: 將系統(tǒng)管理員、安全管理員、安全審計(jì)員的審計(jì)日志存儲在系統(tǒng)數(shù)據(jù)庫的三員操作日志表中; 從三員操作日志表中對各種操作日志按需要進(jìn)行查詢; 將系統(tǒng)管理員、安全管理員、安全審計(jì)員的日志審計(jì)內(nèi)容從三員操作日志表中導(dǎo)出; 設(shè)定三員操作日志表的存儲空間,并當(dāng)日志存儲空間將滿時(shí),發(fā)出告警信息; 當(dāng)日志存儲空間已滿時(shí),自動將日志轉(zhuǎn)存或自動覆蓋先前日志; 當(dāng)安全審計(jì)員進(jìn)行日志的修改、刪除操作,需經(jīng)系統(tǒng)管理員、安全保密員確認(rèn)后執(zhí)行。
13.根據(jù)權(quán)利要求8、9或10所述的NAS設(shè)備的安全增強(qiáng)方法,其特征在于,所述文件加密步驟中,進(jìn)一步包括: 進(jìn)行加密密鑰的生成、刪除及生命周期的管理; 將指定的目錄設(shè)置為加密目錄。
14.根據(jù)權(quán)利要求8、9或10所述的NAS設(shè)備的安全增強(qiáng)方法,其特征在于,還包括: 通過MySQL數(shù)據(jù)庫存儲用戶訪問日志、系統(tǒng)維護(hù)日志、管理員身份信息; 由NAS設(shè)備的安全NAS管理員調(diào)用統(tǒng)一管理接口,安裝傳入?yún)?shù)和操作碼,從所述MySQL數(shù)據(jù)庫中獲取操作參數(shù),執(zhí)行數(shù)據(jù)審批操作,并返回操作代碼; 通過運(yùn)行于主端上的數(shù)據(jù)庫狀態(tài)更新引擎,定期獲取系統(tǒng)各配置的最新狀態(tài),并以此更新所述MySQL數(shù)據(jù)庫; 通過運(yùn)行于備端上的備端系統(tǒng)狀態(tài)同步引擎,從所述MySQL數(shù)據(jù)庫中獲取主端配置數(shù)據(jù),以使備端的系統(tǒng)狀態(tài)和王端的系統(tǒng)狀態(tài)一致; 通過故障檢測/切換模塊,負(fù)責(zé)所述MySQL數(shù)據(jù)庫的同步、心跳檢測、IP漂移、服務(wù)接管。
全文摘要
本發(fā)明公開了一種NAS設(shè)備的安全增強(qiáng)系統(tǒng)及其方法,其中該系統(tǒng)包括三員管理模塊,用于實(shí)現(xiàn)系統(tǒng)管理員、安全管理員、安全審計(jì)員的操作控制管理;訪問控制模塊,用于配置和管理共享目錄的訪問策略;日志審計(jì)模塊,用于提供安全審計(jì)員進(jìn)行日志審計(jì)所需的操作日志記錄;雙機(jī)熱備模塊,用于在正常工作時(shí),作為主端的NAS設(shè)備與作為備端的NAS設(shè)備實(shí)時(shí)同步工作狀態(tài),并當(dāng)主端發(fā)生故障時(shí),備端接管主端的工作;文件加密模塊,用于對共享目錄中的文件進(jìn)行加密,并以密文的形式存放。本發(fā)明在不改變現(xiàn)有NAS訪問架構(gòu)的前提下,實(shí)現(xiàn)NAS設(shè)備的身份認(rèn)證、訪問控制、日志審計(jì)和數(shù)據(jù)加密功能。
文檔編號H04L12/24GK103188105SQ201110460139
公開日2013年7月3日 申請日期2011年12月31日 優(yōu)先權(quán)日2011年12月31日
發(fā)明者朱正義, 陜振, 常旭, 景濤, 王施人 申請人:中國航天科工集團(tuán)第二研究院七〇六所, 北京市愛威電子技術(shù)公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1