042和日志管理装置043,其中:
[0218]安全警戒装置041,用于提供差异性级鉴权认证途径,根据应用等级适配或结合认 证途径,为相应的业务提供对应的安全强度,将相应的安全强度持续存入相应的安全信息 数据库047;
[0219]访问控制装置042,用于根据安全策略对业务流程中不同类型或层级的资源进行 权限控制,将权限控制数据持续存入相应的安全信息数据库047;
[0220]日志管理装置043,用于记录系统、业务流程中的相关权限的操作,持续存入相应 的安全信息数据库047;
[0221]本实施例的安全控制系统004,系统提供的业务流程提供统一的安全控制过程,统 一服务端、业务终端、管理人与客户的流程入口,保证统一的业务流程与服务管理流程协同 一致。
[0222]安全信息数据库047,用于提供系统认证的安全策略和安全信息,控制业务流程端 到端的作用域、安全信息和安全状态,并持续保存,接收关联数据库的数据请求。
[0223] 如图24所示,安全警戒装置041包括数字证书处理装置411、涉密策略处理装置 412、用户名密码处理装置413和第七数据转发装置414,其中:
[0224]数字证书处理装置411,用于获取相应的安全策略,形成数字证书的程序封装,封 装数据持续存入安全信息数据库047;
[0225]涉密策略处理装置412,用于获取相应的安全策略,形成私有证书的程序封装,封 装数据持续存入安全信息数据库047;
[0226]用户名密码处理装置413,用于获取相应的安全策略,形成鉴权数据的加密封装, 封装数据持续存入安全信息数据库047;
[0227]第七数据转发装置414,用于根据处理装置的转发请求向后续处理装置或相应的 安全信息数据库047转发数据。
[0228]如图25所示,访问控制装置042包括输入输出端口控制装置421、终端交互控制装 置422、网络系统软件控制装置423和数据交换接口 424,其中:
[0229]输入输出端口控制装置421,用于获取相应的安全策略和业务资源,形成相应硬件 资源的控制数据转发,控制数据持续存入安全信息数据库047;
[0230]终端交互控制装置422,用于获取相应的安全策略和业务资源,形成相应软件资源 的控制数据转发,控制数据持续存入安全信息数据库047;
[0231]网络系统软件控制装置423,用于获取相应的安全策略和业务资源,形成相应业务 流程的业务系统控制数据转发,控制数据持续存入安全信息数据库047;
[0232]数据交换接口 424,用于根据处理装置的转发请求向后续处理装置转发数据。
[0233] 如图26所示,日志管理装置043包括故障日志管理装置431、安全日志管理装置 432、业务日志管理装置433和第八数据转发装置434,其中:
[0234]故障日志管理装置431,用于获取相应的安全策略,过滤故障信息,形成故障日志 数据,日志数据持续存入安全信息数据库047;
[0235] 安全日志管理装置432,用于获取相应的安全策略,过滤鉴权、越界、作用域信息, 形成安全日志数据,日志数据持续存入安全信息数据库047;
[0236] 业务日志管理装置433,用于获取相应的安全策略,过滤业务流程发起终止信息, 形成业务流程日志数据,日志数据持续存入安全信息数据库047;
[0237] 第八数据转发装置434,用于根据处理装置的转发请求向后续处理装置或相应的 安全信息数据库047转发数据。
[0238]本实施例为IT管理人员和IT客户访问提供唯一界面,促进业务流程与服务管理基 础构架的集成,协调服务对象和IT部门之间的联系,统一运维申请流程入口。包括以下主要 集成:
[0239]系统用户申请、更改密码申请、输入输出端口、数字证书申请、撤销、涉密信息系统 安全策略调整申请、网络使用与重装系统申请、接入、重装、退网、网络变更、软件安装申请 等、处理进度查询、用户与运维人员沟通。
[0240]基于上述实施例,可以建立IT环境监控与整个运维管理平台的数据通道和服务接 口,实现运维业务的完整覆盖。
[0241] 统一用户与单点登陆,按照应用系统集成平台业务规范,对用户及权限进行统一 管理,在权限范围内,在线访问相互集成的其他系统,实现单点登录。
[0242] 信息采集与资产数据共享,对IT资源的自动发现和信息采集,也作为资产的数据 来源,信息共享,建立监控设备与资产配置项之间的对应关系。
[0243] IT环境监控告警,运行故障或者指标预警集成显示在门户上的个人通知信息部 分,通过工单联动,自动启动事件流程。
[0244]监控信息页面集成,用户在资产管理或运维管理的过程中,可以直接查看相关的 IT资源的实时监控页面,便于用户对实际业务的准确把握。
[0245]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范 围为准。
【主权项】
1. 业务资源安全控制系统,包括安全警戒装置(041)、访问控制装置(042)和日志管理 装置(043),其中: 安全警戒装置(041),用于提供差异性级鉴权认证途径,根据应用等级适配或结合认证 途径,为相应的业务提供对应的安全强度,将相应的安全强度持续存入相应的安全信息数 据库(047); 访问控制装置(042),用于根据安全策略对业务流程中不同类型或层级的资源进行权 限控制,将权限控制数据持续存入相应的安全信息数据库(047); 日志管理装置(043),用于记录系统、业务流程中的相关权限的操作,持续存入相应的 安全信息数据库(047); 安全信息数据库(047),用于提供系统认证的安全策略和安全信息,控制业务流程端到 端的作用域、安全信息和安全状态,并持续保存,接收关联数据库的数据请求。2. 如权利要求1所述的业务资源安全控制系统,其特征在于:所述安全警戒装置(041) 包括数字证书处理装置(411)、涉密策略处理装置(412)、用户名密码处理装置(413)和第七 数据转发装置(414),其中: 数字证书处理装置(411),用于获取相应的安全策略,形成数字证书的程序封装,封装 数据持续存入安全信息数据库(047); 涉密策略处理装置(412),用于获取相应的安全策略,形成私有证书的程序封装,封装 数据持续存入安全信息数据库(047); 用户名密码处理装置(413),用于获取相应的安全策略,形成鉴权数据的加密封装,封 装数据持续存入安全信息数据库(047); 第七数据转发装置(414),用于根据处理装置的转发请求向后续处理装置或相应的安 全信息数据库(047)转发数据。3. 如权利要求2所述的业务资源安全控制系统,其特征在于:所述访问控制装置(042) 包括输入输出端口控制装置(421)、终端交互控制装置(422)、网络系统软件控制装置(423) 和数据交换接口(424),其中: 输入输出端口控制装置(421 ),用于获取相应的安全策略和业务资源,形成相应硬件资 源的控制数据转发,控制数据持续存入安全信息数据库(047); 终端交互控制装置(422),用于获取相应的安全策略和业务资源,形成相应软件资源的 控制数据转发,控制数据持续存入安全信息数据库(047); 网络系统软件控制装置(423),用于获取相应的安全策略和业务资源,形成相应业务流 程的业务系统控制数据转发,控制数据持续存入安全信息数据库(047); 数据交换接口(424),用于根据处理装置的转发请求向后续处理装置转发数据。4. 如权利要求3所述的业务资源安全控制系统,其特征在于:所述日志管理装置(043) 包括故障日志管理装置(431 )、安全日志管理装置(432)、业务日志管理装置(433)和第八数 据转发装置(434),其中: 故障日志管理装置(431),用于获取相应的安全策略,过滤故障信息,形成故障日志数 据,日志数据持续存入安全信息数据库(047); 安全日志管理装置(432),用于获取相应的安全策略,过滤鉴权、越界、作用域信息,形 成安全日志数据,日志数据持续存入安全信息数据库(047); 业务日志管理装置(433),用于获取相应的安全策略,过滤业务流程发起终止信息,形 成业务流程日志数据,日志数据持续存入安全信息数据库(047); 第八数据转发装置(434),用于根据处理装置的转发请求向后续处理装置或相应的安 全信息数据库(047)转发数据。
【专利摘要】业务资源安全控制系统,包括安全警戒装置、访问控制装置和日志管理装置,其中:安全警戒装置,用于提供差异性级鉴权认证途径,根据应用等级适配或结合认证途径,为相应的业务提供对应的安全强度,将相应的安全强度持续存入相应的安全信息数据库;访问控制装置,用于根据安全策略对业务流程中不同类型或层级的资源进行权限控制,将权限控制数据持续存入相应的安全信息数据库;日志管理装置,用于记录系统、业务流程中的相关权限的操作,持续存入相应的安全信息数据库。形成统一用户的单点登陆,按照应用、业务系统集成平台业务规范,对用户及权限进行统一管理,在权限范围内,在线访问相互集成的其他系统,实现单点登录。
【IPC分类】H04L29/06, G06F21/41
【公开号】CN105450660
【申请号】CN201510977744
【发明人】裴兵
【申请人】北京安托软件技术有限公司
【公开日】2016年3月30日
【申请日】2015年12月23日