[发明专利]一种信息系统数据处理的安全控制方法及装置

说明书

技术领域

本发明涉及数据信息系统的安全技术，更具体地说，涉及一种信息系统数据处理的安全控制方法及装置。

背景技术

目前越来越多的工作需要利用到各种各样的信息系统，而信息系统的安全性越来越得到人们的关注，例如在信息系统的数据处理方面就需要注重其安全性，所谓的数据处理包括数据的输入、访问及修改，在一个信息系统中具有级别不同的各种用户，特定的用户只能处理特定的数据，而如果安全措施不到位，那么会出现用户可以处理其不该处理的数据，从而造成泄密等事故，就可能给国家和企业造成难以挽回的损失。以公共安全领域为例，公安系统信息量大，不同警种(如治安、交管、刑侦)、不同级别(部、省、市)的信息对不同的用户有不同程度的保密需求(无密级、秘密、机密、绝密)，这就决定了对于不同级别的用户要创建不同的数据处理权限，这样才既能满足各用户的数据处理要求也能保证秘密数据不被泄漏。可见对于信息系统的用户的数据处理需要进行相关安全策略的设计，从而达到对不同用户的数据处理进行相应控制的目的。

发明内容

本发明的目的在于提供一种信息系统数据处理的安全控制方法及装置，以实现对不同用户的数据处理进行控制的目的。

根据本发明的第一方面，提供一种信息系统数据处理的安全控制方法，包括以下步骤：

a.定义所述信息系统数据库的数据的秘密等级；

b.定义所述信息系统的数据处理权限，所述数据处理权限与完成所述a步骤的数据匹配；

c.向注册的用户创建身份标识；

d.将所述b步骤的数据处理权限赋予所述c步骤的具有身份标识的用户，所述数据处理权限控制约束所述用户的数据处理行为。

所述d步骤的数据处理高权限用户将其数据处理权限赋予所述数据处理低权限用户。

所述d步骤的数据处理高权限用户审核确定所述定义为高秘密等级的数据的数据处理。

所述b步骤的数据处理是指数据的输入、访问及修改。

所述c步骤的身份标识是唯一的，所述每个身份标识匹配一个密码。

根据本发明的第二方面，提供一种信息系统数据处理的安全控制装置，包括：

定义模块，所述定义模块定义所述信息系统数据库的数据的秘密等级以及所述信息系统的数据处理权限；

注册模块，所述注册模块与所述定义模块连接，所述注册模块为所述信息系统的用户提供注册并向所述用户创建身份标识；

控制模块，所述控制模块连接并控制所述定义模块和所述注册模块，所述控制模块将所述数据处理权限赋予所述具有身份标识的用户，所述控制模块控制约束所述用户的数据处理行为。

所述定义模块定义的数据处理权限与所述定义了秘密等级的数据匹配。

所述数据处理高权限用户将其数据处理权限赋予所述数据处理低权限用户。

所述数据处理高权限用户审核确定具有高秘密等级的数据的数据处理。

所述注册模块创建的身份标识是唯一的，所述每个身份标识匹配一个密码。

采用本发明所述的一种信息系统数据处理的安全控制方法及装置，由于本发明所述的方法及装置先定义数据处理权限，然后将此权限赋予注册的合法用户，把“用户-权限-操作-数据”关联到一起，实现非自主型数据处理控制策略，使用基于权限的访问控制模型可以减轻安全管理工作，这种方式只需把新的注册用户创建给已定义的数据处理权限即可，无需为用户重新指定资源和操作，因而简化了授权管理工作。而对于高秘密等级的数据，当数据处理低权限用户对其处理后，需经数据处理高权限用户审核确定后方可生效(网上审批功能)，这样就进一步保证了高秘密等级的数据的安全性。另外本发明所述的技术方案还有数据处理权限的扩展功能，即数据处理高权限用户可将其数据处理权限赋予数据处理低权限用户，这样数据处理低权限用户的权限就得到了扩展，使信息系统数据处理的安全控制更加灵活。

附图说明

图1为本发明所述的安全控制装置的原理示意图；

图2为本发明所述的安全控制方法的流程示意图；

图3为本发明所述的安全控制方法及装置的工作流程示意图。

具体实施方式

下面结合附图和实施例进一步说明本发明的技术方案。

参考图1，所述安全控制装置包括以下模块：