一种存储系统的控制方法及存储系统与流程

本发明涉及信息技术中的存储设备安全领域，具体涉及一种存储系统的控制方法及存储系统。
背景技术：
：信息时代数据是最核心资产，存储作为数据的保存空间，是数据保护的最后一道防线。在过去十年中，存储已经演变为多个系统共享的一种资源。随着存储系统由本地直连向着网络化和分布式的方向发展，并被网络上的众多计算机共享，使存储系统变得更易受到攻击，相对静态的存储系统往往成为攻击者的首选目标，达到窃取、篡改或破坏数据的目的。网络安全、存储安全、可信存储等多种方案都用于保证存储安全性。很多案例都表明，存储管理漏洞造成的内部泄露也是存储安全的一大隐患。传统存储采用超级管理员和普通用户两级管理方式，超级管理员具有超级权限，权力没有限制和监督。超级管理员使用频繁容易造成误操作或者密码泄露。另外，出于数据安全性考虑存储系统数据应该只有授权的业务用户才有权限看到，作为管理员应该只具有系统管理权限不应该有数据访问权限，超级管理员由于权限没有限制，可以创建业务用户并授权访问间接达到访问数据的目的。一旦出现这些问题都会造成不可估量的损失。技术实现要素：：本发明提供一种存储系统的控制方法及存储系统，以提高存储系统的安全性。为解决上述技术问题，本发明提供一种存储系统的控制方法，所述方法包括：当用户登录时，判断所述用户所属的账户类型；针对该用户，使能所述账户类型对应的权限包含的操作；其中，所述账户类型包括：系统管理员账户、业务管理员账户或者审计管理员账户；所述用户唯一对应一种账户类型；不同的账户类型对应于不同的权限。优选地，所述系统管理员账户对应的权限包括以下权限中的一种或多种：存储系统所需资源管理的权限、存储系统资源初始化的权限、账户创建的权限；所述业务管理员账户对应的权限包括以下权限中的一种或多种：存储资源分配的权限、存储安全策略配置的权限；所述审计管理员账户对应的权限包括：监督其它管理员账户操作的权限、批准其它管理员账户操作的权限。优选地，所述存储系统所需资源的管理权限包括以下项目中的一种或多种：存储系统运行许可证管理、存储集群划分管理、存储硬件资源管理、业务访问用户管理、管理员资源管理；所述存储系统资源初始化的权限包括以下项目中的一种或多种：系统上电、集群管理、许可证导入、网络配置、存储资源创建、业务用户添加；所述账户创建的权限包括创建管理员账户并为该管理员账户分配权限。优选地，所述存储资源分配的权限包括划分存储资源；所述存储安全策略配置的权限包括以下项目中的一种或多种：配置用户访问权限、设置用户身份验证规则。优选地，所述监督其它管理员账户操作的权限包括以下项目中的一种或多种：对系统管理员账户、业务管理员账户的操作进行审计、查看操作日志、查看用户运行日志、删除操作日志、删除用户运行日志；所述批准其它管理员账户操作的权限包括对所述系统管理员账户创建的新管理员账户进行审核。本发明还提供一种存储系统，所述存储系统包括：匹配模块，用于当用户登录时，判断所述用户所属的账户类型；处理模块，用于针对该用户，使能所述账户类型对应的权限包含的操作；其中，所述账户类型包括：系统管理员账户、业务管理员账户或者审计管理员账户；所述用户唯一对应一种账户类型；不同的账户类型对应于不同的权限。优选地，所述系统管理员账户对应的权限包括以下权限中的一种或多种：存储系统所需资源管理的权限、存储系统资源初始化的权限、账户创建的权限；所述业务管理员账户对应的权限包括以下权限中的一种或多种：存储资源分配的权限、存储安全策略配置的权限；所述审计管理员账户对应的权限包括：监督其它管理员账户操作的权限、批准其它管理员账户操作的权限。优选地，所述存储系统所需资源的管理权限包括以下项目中的一种或多种：存储系统运行许可证管理、存储集群划分管理、存储硬件资源管理、业务访问用户管理、管理员资源管理；所述存储系统资源初始化的权限包括以下项目中的一种或多种：系统上电、集群管理、许可证导入、网络配置、存储资源创建、业务用户添加；所述账户创建的权限包括创建管理员账户并为该管理员账户分配权限。优选地，所述存储资源分配的权限包括划分存储资源；所述存储安全策略配置的权限包括以下项目中的一种或多种：配置用户访问权限、设置用户身份验证规则。优选地，所述监督其它管理员账户操作的权限包括以下项目中的一种或多种：对系统管理员账户、业务管理员账户的操作进行审计、查看操作日志、查看用户运行日志、删除操作日志、删除用户运行日志；所述批准其它管理员账户操作的权限包括对所述系统管理员账户创建的新管理员账户进行审核。上述方案通过设定不同的权限，有效的保证的资源的合理分配和安全管理。附图说明图1为实施例一中的存储系统的控制方法的流程图；图2是实施例一中的账户管理示意图。图3是实施例一中的存储系统配置流程示意图；图4是实施例一中的业务管理员安全策略配置示意图；图5为实施例一中的存储系统的结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚明白，下文中将结合附图对本申请的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。实施例一、一种基于三权分立的存储安全管理方法本发明实施例的一种基于三权分立的存储安全管理方法，将存储系统管理员权力划分成三种不同属性，实现存储资源拥有者、存储资源分配者、存储管理监督者三权分立。三类管理员权限独立行使、互相制衡，保证存储资源的有效、安全管理。实施例一如图1所示，本发明提供一种存储系统的控制方法，所述方法包括：步骤S11：当用户登录时，判断所述用户所属的账户类型；账户类型包括：系统管理员账户、业务管理员账户或者审计管理员账户。在本发明中，系统管理员账户为存储资源拥有者，业务管理员账户为存储资源分配者，审计管理员账户为存储资源监督者。用户唯一对应一种账户类型；不同的账户类型对应于不同的权限。也就是说，对于某一个用户，可以是系统管理员账户，或者可以是业务管理员账户，或者是审计管理员账户，当然还可以是除系统管理员账户、业务管理员账户以及审计管理员账户以外的普通账户。步骤S12：针对该用户，使能所述账户类型对应的权限包含的操作。使能操作的情况包括将操作可见或者允许操作，例如，菜单中有些项目是灰色的，就是没有使能的操作，使能的操作是可以选择的、点击的。未使能的操作时无法点击/选择的，或者点击/选择后不允许进行。用户可以包括系统管理员账户、审计管理员账户以及业务管理员账户；系统管理员账户的权限为存储资源配置/管理员账户创建的权限，审计管理员账户的权限为监督/批准其它管理员账户操作的权限，业务管理员账户的权限为存储资源分配/用户访问权限分配的权限。在本实施例中，管理员账户只能选择它具有权限的操作，没有权限的操作不可见；也可以管理员看到所有管理资源，而操作时根据身份权限匹配。具体的，可以通过两种方法实现：方法一、管理员账户只能选择它具有权限的操作，没有权限的操作对其不可见；或者，方法二、管理员账户可以看到所有管理资源，操作时根据管理员身份判断是否有权限操作。在本发明中，系统管理员账户对应的权限包括以下权限中的一种或多种：存储系统所需资源管理的权限、存储系统资源初始化的权限以及账户创建的权限；业务管理员账户对应的权限包括以下权限中的一种或多种：存储资源分配的权限以及存储安全策略配置的权限；审计管理员账户对应的权限包括：监督其它管理员账户操作的权限以及批准其它管理员账户操作的权限。具体的，存储系统所需资源的管理权限包括以下项目中的一种或多种：存储系统运行许可证管理、存储集群划分管理、存储硬件资源管理、业务访问用户管理以及管理员资源管理；存储系统资源初始化的权限包括以下项目中的一种或多种：系统上电、集群管理、许可证导入、网络配置、存储资源创建以及业务用户添加；账户创建的权限包括创建管理员账户并未该管理员账户分配权限。存储资源分配的权限包括划分存储资源；存储安全策略配置的权限包括以下项目中的一种或多种：配置用户访问权限以及设置用户身份验证规则。监督其它管理员账户操作的权限包括以下项目中的一种或多种：对系统管理员账户以及业务管理员账户的操作进行审计、查看操作日志/用户运行日志以及删除操作日志/用户运行日志；批准其它管理员账户操作的权限包括对所述系统管理员账户创建的新管理员账户进行审核。如图2-4所示，下面对于本实施例中的存储系统的控制方法做进一步的说明。本实施例中，存储系统默认配置有的一个系统管理员账户、一个审计管理员账户以及一个业务管理员账户。具体的，系统管理员账户是资源拥有者，可以创建管理员账户并对账户分配权限，但是账户权限生效需要审计管理员账户批准。系统管理员第一次创建账户可以指定一个密码，但是除了自己的密码，系统管理员无权修改已经生效的其他管理员密码，系统管理员一般由管理职能的人员担任。审计管理员账户负责审批系统管理员分配的管理员权限，审计管理员账户审批生效后，管理员账户才能生效。审计人员一般由安全人员担任。业务管理员账户可以是系统默认管理员，也可以是由系统管理员账户创建、审计管理员批准生成。业务管理员负责存储系统的安全策略配置，一般由业务人员担任。同时，系统管理员账户、审计管理员账户以及业务管理员账户登陆存储系统必须通过系统身份认证，只有通过身份验证的管理员才能登陆成功。系统管理员账户、审计管理员账户以及业务管理员账户登陆存储管理系统后获取的管理权限是不一样的。具体的，系统管理员账户是存储系统的资源拥有者，存储系统运行所需获取的资源都由系统管理员管理；如：存储系统运行许可证、存储集群划分、存储硬件资源、业务访问用户、管理员资源等都由系统管理员账户提供。此外，系统管理管理员账户负责存储资源初始化，如系统上电、集群管理、license导入、网络配置、存储资源创建、业务用户添加等。业务管理员账户是存储资源分配者，负责系统安全策略管理。业务管理员可以划分存储资源、配置用户访问权限、设置用户身份验证方法等。如卷配置、lun配置、业务访问配置、用户密码配置、增值业务配置等。用户的访问控制规则设置可精确细化到用户的访问时间、访问时所使用的IP地址等，也可以设置用户的读、写、控制权限，整个访问控制策略的更改对最终用户完全透明，最终用户端无需任何改变。审计管理员账户是存储管理监督者，负责对系统管理员、业务管理员的操作日志进行审核，还可以审核业务用户访问的用户日志。虽然审计管理员对存储系统没有配置权限，但是只有审计管理员才具有删除系统操作日志和用户日志的权限。同时，系统管理员账户和业务管理员账户的操作均生成操作日志，审计管理员账户负责审计操作日志，审计管理员账户有权限删除操作日志，系统管理员账户和业务管理员账户只能查看操作日志，不能删除操作日志。除此之外，审计管理员账户还可以查看、删除系统运行日志和用户日志，而系统管理员账户和业务管理员账户只能查看系统运行日志和用户日志,管理员权限分配表如表1所示。项目系统管理员业务管理员审计管理员账号创建、配置属性无权限批准系统配置配置权限无权限无权限业务配置无权限配置权限无权限操作日志查看权限查看权限操作、审计系统运行日志查看权限查看权限操作、审计用户日志查看权限查看权限操作、审计表1业务管理员账户权限管理对于业务管理员账户较少或者对外存储资源对业务管理员账户没有特殊要求情况下，可以采用默认多对多的情况，即所有业务管理员账户没有区别，业务管理员账户可以对所有的存储资源进行权限管理和安全策略配置。可选的，为了实现业务管理员账户权限最小化，本实施例中可以将一个业务管理员账户和存储对外资源的存储策略配置映射关系，可以根据需要分别配置为一对一或者一对多的方式。如图4所示：具体的，只有创建对外存储资源的业务管理员账户才能创建和修改业务管理员账户与存储资源的映射关系。业务管理员账户登陆时系统根据存储策略映射关系模块判断业务管理员账户对存储资源的管理权限，业务管理员账户只能管理、配置、修改存储策略映射关系模块中对应的对外存储资源，不能查看映射模块之外的其他业务管理员设置的安全策略和业务用户权限，更不能修改没有授权的存储资源的安全策略。例如可以按照以下方式进行处理：步骤一：业务管理员登陆管理界面配置存储安全策略前必须经过身份认证，身份认证通过的业务管理员才能正常登陆。步骤二：业务管理员登陆后，只能对资源映射关系模块中相对应的资源进行安全策略修改或者重新配置新的对外存储资源和安全策略。步骤三：业务管理员配置新的对外存储资源和安全策略，如生成卷、lun时，资源映射关系模块记录业务管理员与存储资源的映射关系。步骤四：映射关系模块记录业务管理员与对外存储资源的映射关系、安全策略。也可以按照以下方式处理：步骤五：业务管理员登陆管理界面配置存储安全策略前必须经过身份认证，身份认证通过的业务管理员才能正常登陆。步骤六：业务管理员登陆后，只能对资源映射关系模块中相对应的资源进行安全策略修改或者重新配置新的对外存储资源和安全策略。步骤七：业务管理员配置新的对外存储资源和安全策略，如生成卷、lun时，资源映射关系模块记录业务管理员与存储资源的映射关系。步骤八：业务管理员配置存储资源管理员权限，允许其他业务管理员管理自己配置的存储资源，资源映射模块更新业务管理员与存储资源映射关系。步骤九：其他业务管理员账户登录，处理方式与步骤六一致。此外，当业务管理员账户安全策略配置采用默认多对多的情况，即所有业务管理员账户没有区别，业务管理员账户可以对所有的存储资源进行权限管理和安全策略配置。这样可以按照以下方式处理：步骤A：业务管理员登陆管理界面配置存储安全策略前必须经过身份认证，身份认证通过的业务管理员才能正常登陆。步骤B：业务管理员登陆后，对资源进行安全策略修改或者重新配置新的对外存储资源和安全策略，也可以创建新的对外存储资源和安全策略。实施例二如图5所示，本发明还提供一种存储系统，所述存储系统包括：配置模块11，用于为所述存储系统配置具有不同权限的管理员账户；所述不同权限包括：存储资源配置/管理员账户创建的权限、存储资源分配/用户访问权限分配的权限以及监督/批准其它管理员账户操作的权限；监测模块12，用于监测所述管理员账户的操作，当监测到所述管理员账户的操作时，根据所述管理员账户对应的权限等级判断是否进行所述操作。优选地，所述具有不同权限的管理员账户包括系统管理员账户、审计管理员账户以及业务管理员账户；其中，所述系统管理员账户的权限为存储资源配置/管理员账户创建的权限，所述审计管理员账户的权限为监督/批准其它管理员账户操作的权限，所述业务管理员账户的权限为存储资源分配/用户访问权限分配的权限。优选地，所述存储资源配置/管理员账户创建的权限包括以下一项或几项：创建新管理员账号并分配该账号权限、存储系统初始化配置、存储系统资源部署以及存储服务生效。优选地，所述监督/批准其它管理员账户操作的权限包括以下一项或几项：对系统管理员账户以及业务管理员账户的操作进行审计、查看/删除操作日志以及用户运行日志以及对所述系统管理员账户创建的新管理员账户进行审核。优选地，所述对存储资源分配/用户访问权限分配的权限包括以下一项或几项：存储资源分配的权限、存储安全策略配置的权限以及用户访问权限分配的。通过采用管理员权限三权分立制度，避免了传统超级管理员一权独大的局面。将存储系统管理员权力划分成三种不同属性，实现存储资源拥有者、存储资源分配者、存储管理监督者三权分立。三类管理员权限独立行使、互相制衡，保证存储资源的有效、安全管理。通过业务管理员和存储对外资源的存储策略映射关系模块，根据需要将存储资源与存储资源分配者配置为一对一、一对多、多对对的映射方式。可以满足存储资源不同安全级别、不同区域划分方式的需求，更加细粒度的实现业务管理员权限最小化。避免了同属性管理员的僭越配置，保证存储安全。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/模块可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。当前第1页1 2 3