[发明专利]一种信息系统的数据安全控制装置及方法

权利要求书

1、一种信息系统的数据安全控制方法，其特征在于，包括：

设定系统服务器数字证书以及用户数字证书，对请求登陆的用户进行身份认证；

定义所述信息系统的访问角色，所述访问角色是所述信息系统不同访问权限的集合，将所述访问角色赋予通过所述身份认证的用户并建立该用户的访问控制表；

记录所述用户在所述信息系统上进行的涉及数据安全的操作和活动；

对所述信息系统进行在线病毒监控，实时检测所述信息系统的漏洞并予以修补。

2、如权利要求1所述的安全控制方法，其特征在于，所述安全控制方法还包括对所述信息系统的数据库进行备份，并具有数据恢复功能，所述数据恢复功能包括全盘恢复、个别文件恢复及重定向恢复。

3、如权利要求1所述的安全控制方法，其特征在于，记录所述涉及数据安全的操作和活动时形成加密的审计日志，所述审计日志为只读格式且只允许所述信息系统的管理员访问。

4、如权利要求1所述的安全控制方法，其特征在于，所述身份认证包括以下步骤：

1)向请求登陆认证的用户发送服务器数字证书和随机数，用户签名随机数，并用服务器数字证书加密随机数，将用户数字证书、签名随机数和加密随机数返还至系统服务器；

2)系统服务器解密所述随机数，并将解密后的随机数与原随机数比对，若一致则用户认证成功，若不一致则拒绝认证。

5、如权利要求1所述的安全控制方法，其特征在于，所述安全控制方法还定义了所述信息系统数据库的数据的保密等级，所述定义了保密等级的数据与所述访问角色匹配；

所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述用户三者之间的联系规则，所述访问控制表存储在所述信息系统的数据库中。

6.一种信息系统的数据安全控制装置，其特征在于，包括：

设定单元，设定系统服务器数字证书以及用户数字证书，定义所述信息系统的访问角色，所述访问角色是所述信息系统不同访问权限的集合；

控制单元，对请求登陆的用户进行身份认证，将所述访问角色赋予通过所述身份认证的用户并建立该用户的访问控制表；

审计单元，记录所述用户在所述信息系统上进行的涉及数据安全的操作和活动；

监控单元，对所述信息系统进行在线病毒监控，实时检测所述信息系统的漏洞并予以修补。

7.如权利要求6所述的安全控制装置，其特征在于，所述安全控制装置还包括备份单元，与所述信息系统的数据库连接，备份所述信息系统的数据库的数据，并具有数据恢复功能，所述数据恢复功能包括全盘恢复、个别文件恢复及重定向恢复。

8.如权利要求6所述的安全控制装置，其特征在于，所述审计单元记录所述涉及数据安全的操作和活动并形成加密的审计日志，所述审计日志为只读格式且只允许所述信息系统的管理员访问。

9.如权利要求6所述的安全控制装置，其特征在于，所述控制单元对请求登陆的用户进行身份认证包括以下步骤：

1)向请求登陆认证的用户发送服务器数字证书和随机数，用户签名随机数，并用服务器数字证书加密随机数，将用户数字证书、签名随机数和加密随机数返还至系统服务器；

2)系统服务器解密所述随机数，并将解密后的随机数与原随机数比对，若一致则用户认证成功，若不一致则拒绝认证。

10.如权利要求6所述的访问控制装置，其特征在于，所述设定单元还定义了所述信息系统数据库的数据的保密等级，所述定义了保密等级的数据与所述访问角色匹配，所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述用户三者之间的联系规则，所述访问控制表存储在所述信息系统的数据库中。