本發(fā)明涉及信息保密安全
技術(shù)領(lǐng)域:
�,具體涉及一種滿足分級保護要求的信息系統(tǒng)設(shè)計方法。
背景技術(shù):
:涉密信息系統(tǒng)分級保護要求是保密安全領(lǐng)域的通用性規(guī)范��,其對信息系統(tǒng)在涉密網(wǎng)運行環(huán)境下提出了相關(guān)的系統(tǒng)建設(shè)要求��,包括數(shù)據(jù)管理���、訪問控制�����、流程管理等方面����。技術(shù)實現(xiàn)要素:本發(fā)明旨在提出一種滿足分級保護技術(shù)要求的信息系統(tǒng)設(shè)計方法�,為信息化系統(tǒng)的分級保護設(shè)計提供指導(dǎo)。本發(fā)明的技術(shù)方案如下:一種滿足分級保護要求的信息系統(tǒng)設(shè)計方法��,其特征在于包括數(shù)據(jù)管理�、角色權(quán)限管理�����、流程控制��;所述數(shù)據(jù)管理針對數(shù)據(jù)的存儲方式�����、數(shù)據(jù)類型及內(nèi)容進行規(guī)劃,對于視頻類較大數(shù)量且密級較高的數(shù)據(jù)�,選擇分布式存儲,對于結(jié)構(gòu)化數(shù)據(jù)���,分為基礎(chǔ)數(shù)據(jù)��、業(yè)務(wù)數(shù)據(jù)���、實時數(shù)據(jù),進行集中存儲����,存儲時間依業(yè)務(wù)規(guī)則不同而定;所述通過角色權(quán)限管理建立角色權(quán)限授予機制��,在系統(tǒng)角色方面,嚴格遵循涉密信息系統(tǒng)分級保護要求�,設(shè)置“三員”角色;在功能訪問方面���,將建立“用戶-角色-權(quán)限”的訪問控制機制��,通過角色建立用戶和系統(tǒng)功能訪問之間的關(guān)系���;在數(shù)據(jù)資源訪問方面,根據(jù)資源屬性訪問的基礎(chǔ)上����,實現(xiàn)基于角色的更加靈活的數(shù)據(jù)范圍訪問控制;所述流程控制是在業(yè)務(wù)辦理提交時�,按照流程明確提示需要提交的相關(guān)人員,使業(yè)務(wù)辦理人員明確業(yè)務(wù)的流程去向����;在業(yè)務(wù)辦理過程中,業(yè)務(wù)提交人可隨時查看業(yè)務(wù)辦理的情況���,可查看完整的業(yè)務(wù)流程圖�����、業(yè)務(wù)辦理過程中經(jīng)歷的各節(jié)點����,各節(jié)點處理情況;流程定制化���,業(yè)務(wù)用戶可針對每一類流程自定義具體內(nèi)容�。本發(fā)明的有益效果在于:該發(fā)明與涉密信息系統(tǒng)分級保護技術(shù)要求相吻合�,實現(xiàn)了規(guī)范的落實;該發(fā)明充分考慮了企業(yè)現(xiàn)有信息化系統(tǒng)的應(yīng)用���,更進一步提升信息系統(tǒng)的保密安全性;該發(fā)明為信息系統(tǒng)的分級保護改造提供了指導(dǎo)����。具體實施方式本設(shè)計方法由三個方面構(gòu)成,分別是數(shù)據(jù)管理����、角色權(quán)限管理、流程控制�����。(1)數(shù)據(jù)管理針對數(shù)據(jù)的存儲方式、數(shù)據(jù)類型及內(nèi)容進行規(guī)劃�����,并在數(shù)據(jù)備份方面按照分級保護要求做進一步的深化工作��。對于視頻類較大數(shù)量且密級較高的數(shù)據(jù)�,盡量選擇分布式存儲。對于結(jié)構(gòu)化數(shù)據(jù)��,原則上分為基礎(chǔ)數(shù)據(jù)���、業(yè)務(wù)數(shù)據(jù)���、實時數(shù)據(jù),這類數(shù)據(jù)可進行集中存儲���,存儲時間依業(yè)務(wù)規(guī)則不同而定���。在數(shù)據(jù)規(guī)劃方面,應(yīng)按照業(yè)務(wù)規(guī)則進行數(shù)據(jù)表空間劃分�����,便于后續(xù)的數(shù)據(jù)備份與恢復(fù)。(2)角色權(quán)限管理建立角色權(quán)限授予機制����,在系統(tǒng)角色方面,嚴格遵循涉密信息系統(tǒng)分級保護要求�,設(shè)置“三員”角色;在功能訪問方面����,將建立“用戶-角色-權(quán)限”的訪問控制機制,通過角色建立用戶和系統(tǒng)功能訪問之間的關(guān)系��;在數(shù)據(jù)資源訪問方面�,要在根據(jù)資源屬性訪問的基礎(chǔ)上,實現(xiàn)基于角色的更加靈活的數(shù)據(jù)范圍訪問控制����。實現(xiàn)具體內(nèi)容包括以下幾點:1)“三員”角色設(shè)置“三員”角色包括系統(tǒng)管理員����、安全保密員、安全審計員���,具體權(quán)限分配如下表所示:角色可訪問的功能權(quán)限系統(tǒng)管理員用戶管理�、角色管理、角色權(quán)限配置安全保密員用戶角色配置安全審計員系統(tǒng)日志查詢及導(dǎo)出��、操作日志查詢及導(dǎo)出上表所示的“三員”角色是系統(tǒng)在初始化時候就已作為基礎(chǔ)數(shù)據(jù)內(nèi)定的����,此“三員”角色的名稱禁止修改,其擁有的功能權(quán)限不允許做任何刪減�,同時這些功能權(quán)限也不允許授予至其他自定義角色。2)“用戶-角色-權(quán)限”訪問控制系統(tǒng)將按照“用戶-角色-權(quán)限”的設(shè)計思路實現(xiàn)用戶對功能的訪問控制�。權(quán)限對應(yīng)系統(tǒng)中可以被訪問的功能。權(quán)限分為兩級�,一級權(quán)限代表業(yè)務(wù)功能,此類權(quán)限在系統(tǒng)中以一級菜單的形式展現(xiàn)���;二級權(quán)限代表各業(yè)務(wù)功能下按照具體業(yè)務(wù)流程的各類操 作���。此類權(quán)限或者通過二級子菜單的方式展現(xiàn),或者通過不同用戶界面展現(xiàn)��。權(quán)限基礎(chǔ)數(shù)據(jù)與系統(tǒng)自身的功能模塊相關(guān)����,因此也是系統(tǒng)內(nèi)定的,只允許針對某個角色做動態(tài)配置,不允許做任何權(quán)限自身的修改�。角色是擁有一定數(shù)量權(quán)限的集合。每個用戶可通過角色的授予獲得相應(yīng)的功能訪問權(quán)限���。本系統(tǒng)中角色分為兩類��。一類是系統(tǒng)內(nèi)定角色����,即前文所說的“三員”角色���;另一類是用戶自定義角色�,系統(tǒng)管理員可根據(jù)需要進行角色添加�,并可針對新添加的角色配置相應(yīng)的權(quán)限,可配置的權(quán)限包括了除“三員”角色對應(yīng)權(quán)限之外的所有權(quán)限��。用戶是訪問系統(tǒng)的個體����,用戶是依托組織機構(gòu)存在的��,每一個用戶都有所屬單位屬性��,不同的用戶通過系統(tǒng)管理員授予角色獲得相應(yīng)的權(quán)限��,用戶不可直接進行權(quán)限配置。3)資源訪問控制系統(tǒng)之中的資源是各類業(yè)務(wù)數(shù)據(jù)的統(tǒng)稱��。每一個資源均有所屬單位屬性���,在默認情況�����,用戶能夠訪問的資源僅限于所在組織機構(gòu)及下屬機構(gòu)的資源�。在某些情況下���,用戶所訪問的資源需要特別指定��,此時系統(tǒng)允許通過對角色所能訪問的資源進行配置���,可以增加訪問資源,也可以減少訪問資源�。(3)流程控制流程控制具體內(nèi)容包括以下幾點:1)明確業(yè)務(wù)去向在業(yè)務(wù)辦理提交時,按照流程明確提示需要提交的相關(guān)人員����,使業(yè)務(wù)辦理人員明確業(yè)務(wù)的流程去向。2)明確業(yè)務(wù)辦理狀態(tài)在業(yè)務(wù)辦理過程中,業(yè)務(wù)提交人可隨時查看業(yè)務(wù)辦理的情況�����,可查看完整的業(yè)務(wù)流程圖�����、業(yè)務(wù)辦理過程中經(jīng)歷的各節(jié)點���,各節(jié)點處理情況�,使業(yè)務(wù)提交人能夠很清晰的了解到業(yè)務(wù)辦理的進度��。3)流程定制化業(yè)務(wù)用戶可針對每一類流程自定義具體內(nèi)容�����。包括定義工作節(jié)點�����、工作內(nèi)容��、流程流向等����。對已定義的工作流程支持修改功能,修改后業(yè)務(wù)的辦理可自動按照新流程進行����。當前第1頁1 2 3