[发明专利]一种信息系统的数据安全控制装置及方法

说明书

技术领域

本发明涉及数据信息系统的安全性设计，更具体地说，涉及一种信息系统的数据安全控制装置及方法。

背景技术

目前越来越多的工作需要利用到各种各样的信息系统，而信息系统的安全性越来越得到人们的关注，信息系统的安全可靠性运行是综合信息系统安全的基础。目前所发生的各种安全事故大多数是由于计算机系统的安全漏洞造成的，因此，必须对网络环境下的信息系统的安全给予充分的重视。

信息系统的安全性是一个系统工程，就是说要在各个方面实施不同的安全策略，所述的各个方面包括数据处理控制方面、数据备份方面等，比如在数据处理控制方面，所谓的数据处理包括数据的输入、访问及修改，在一个信息系统中具有级别不同的各种用户，特定的用户只能处理特定的数据，而如果安全措施不到位，那么会出现用户可以处理其不该处理的数据，从而造成泄密等事故，就可能给国家和企业造成难以挽回的损失。

目前的信息系统在用户的身份验证方面一般还是采用单纯的用户名和密码的方式进行验证，这样的验证方式的安全性还不够。

发明内容

本发明的目的在于提供一种信息系统的数据安全控制装置及方法，以基于数字证书的认证方式来提高系统的数据安全性。

根据本发明的第一方面，提供一种信息系统的安全控制方法，包括：

设定系统服务器数字证书以及用户数字证书，对请求登陆的用户进行身份认证；

定义所述信息系统的访问角色，所述访问角色是所述信息系统不同访问权限的集合，将所述访问角色赋予通过所述身份认证的用户并建立该用户的访问控制表；

记录所述用户在所述信息系统上进行的涉及数据安全的操作和活动；

对所述信息系统进行在线病毒监控，实时检测所述信息系统的漏洞并予以修补。

所述安全控制方法还包括对所述信息系统的数据库进行备份，并具有数据恢复功能，所述数据恢复功能包括全盘恢复、个别文件恢复及重定向恢复。

记录所述涉及数据安全的操作和活动时形成加密的审计日志，所述审计日志为只读格式且只允许所述信息系统的管理员访问。

所述身份认证包括以下步骤：

1)向请求登陆认证的用户发送服务器数字证书和随机数，用户签名随机数，并用服务器数字证书加密随机数，将用户数字证书、签名随机数和加密随机数返还至系统服务器；

2)系统服务器解密所述随机数，并将解密后的随机数与原随机数比对，若一致则用户认证成功，若不一致则拒绝认证。

所述安全控制方法还定义了所述信息系统数据库的数据的保密等级，所述定义了保密等级的数据与所述访问角色匹配。

所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述用户三者之间的联系规则，所述访问控制表存储在所述信息系统的数据库中。

根据本发明的第二方面，提供一种信息系统的安全控制装置，包括：

设定单元，设定系统服务器数字证书以及用户数字证书，定义所述信息系统的访问角色，所述访问角色是所述信息系统不同访问权限的集合；

控制单元，对请求登陆的用户进行身份认证，将所述访问角色赋予通过所述身份认证的用户并建立该用户的访问控制表；

审计单元，记录所述用户在所述信息系统上进行的涉及数据安全的操作和活动；

监控单元，对所述信息系统进行在线病毒监控，实时检测所述信息系统的漏洞并予以修补。

所述安全控制装置还包括备份单元，与所述信息系统的数据库连接，备份所述信息系统的数据库的数据，并具有数据恢复功能，所述数据恢复功能包括全盘恢复、个别文件恢复及重定向恢复。

所述审计单元记录所述涉及数据安全的操作和活动并形成加密的审计日志，所述审计日志为只读格式且只允许所述信息系统的管理员访问。

所述控制单元对请求登陆的用户进行身份认证包括以下步骤：

1)向请求登陆认证的用户发送服务器数字证书和随机数，用户签名随机数，并用服务器数字证书加密随机数，将用户数字证书、签名随机数和加密随机数返还至系统服务器；

2)系统服务器解密所述随机数，并将解密后的随机数与原随机数比对，若一致则用户认证成功，若不一致则拒绝认证。

所述设定单元还定义了所述信息系统数据库的数据的保密等级，所述定义了保密等级的数据与所述访问角色匹配，所述访问控制表包括所述访问角色与所述定义了保密等级的数据以及所述用户三者之间的联系规则，所述访问控制表存储在所述信息系统的数据库中。