技術領域

本發明涉及數據信息系統的安全性設計，更具體地說，涉及一種信息系統的數據安全控制方法及裝置。

背景技術

目前越來越多的工作需要利用到各種各樣的信息系統，而信息系統的安全性越來越得到人們的關注，信息系統的安全可靠性運行是綜合信息系統安全的基礎。目前所發生的各種安全事故大多數是由于計算機系統的安全漏洞造成的，因此，必須對網絡環境下的信息系統的安全給予充分的重視。

信息系統的安全性是一個系統工程，就是說要在各個方面實施不同的安全策略，所述的各個方面包括數據處理控制方面、數據備份方面等，比如在數據處理控制方面，所謂的數據處理包括數據的輸入、訪問及修改，在一個信息系統中具有級別不同的各種用戶，特定的用戶只能處理特定的數據，而如果安全措施不到位，那么會出現用戶可以處理其不該處理的數據，從而造成泄密等事故，就可能給國家和企業造成難以挽回的損失。以公共安全領域為例，公安系統信息量大，不同警種(如治安、交管、刑偵)、不同級別(部、省、市)的信息對不同的用戶有不同程度的保密需求(無密級、秘密、機密、絕密)，這就決定了對于不同級別的用戶要創建不同的數據處理權限，這樣才既能滿足各用戶的數據處理要求也能保證秘密數據不被泄漏，從而達到對不同用戶的數據處理進行相應控制的目的。另外由于信息系統比如公安信息系統包括巨大的數據庫，這些數據非常重要，所以需要對其進行備份，以備發生數據安全事故時能將重要數據恢復。

發明內容

本發明的目的在于提供一種信息系統的數據安全控制方法及裝置，以實現對所述信息系統的數據處理和數據庫數據進行安全控制的目的。

根據本發明的第一方面，提供一種信息系統的安全控制方法，包括以下步驟：

a.建立應用服務器，所述應用服務器調用所述信息系統的數據庫的數據供所述信息系統的用戶使用；

b.建立數據處理控制單元，所述數據處理控制單元賦予所述a步驟用戶的數據處理權限并對所述用戶在所述應用服務器上的數據處理進行控制；

c.建立備份單元，所述備份單元備份所述a步驟信息系統的數據庫的數據；

d.建立審計單元，所述審計單元記錄所述用戶在所述應用服務器上進行的涉及數據安全的操作和活動。

所述b步驟的數據處理控制單元包括定義模塊、注冊模塊及控制模塊，所述定義模塊定義數據處理權限，所述注冊模塊為所述用戶提供注冊并向所述用戶創建身份標識，所述控制模塊將所述數據處理權限賦予所述具有身份標識的用戶。

所述a步驟的應用服務器控制對所述信息系統的并發訪問的用戶數量，并控制所述c步驟的備份單元進行備份，所述備份單元包括備份數據庫，備份數據庫存儲所述備份的數據，所述備份單元具有數據恢復功能，所述恢復功能包括全盤恢復、個別文件恢復及重定向恢復。

所述d步驟的審計單元記錄所述涉及數據安全的操作和活動并形成加密的審計日志，所述審計日志為只讀格式且只允許所述信息系統的管理員訪問。

所述身份標識是唯一的，所述每個身份標識匹配一個密碼，所述注冊模塊驗證所述用戶的所述身份標識及密碼的合法性。

根據本發明的第二方面，提供一種信息系統的安全控制裝置，包括：

應用服務器，所述應用服務器與所述信息系統的數據庫連接，所述應用服務器調用所述數據庫的數據供所述信息系統的用戶使用；

數據處理控制單元，與所述應用服務器連接，所述數據處理控制單元賦予所述用戶數據處理權限并對所述用戶在所述應用服務器上的數據處理進行控制；

備份單元，分別與所述應用服務器和所述信息系統的數據庫連接，所述備份單元備份所述信息系統的數據庫的數據；

審計單元，與所述應用服務器連接，所述審計單元記錄所述數據處理控制單元及所述信息系統的涉及數據安全的操作和活動。

所述數據處理控制單元包括定義模塊、注冊模塊及控制模塊，所述定義模塊定義數據處理權限，所述注冊模塊為所述用戶提供注冊并向所述用戶創建身份標識，所述控制模塊將所述數據處理權限賦予所述具有身份標識的用戶。

所述應用服務器控制對所述信息系統的并發訪問的用戶數量，并控制所述c步驟的備份單元進行備份，所述備份單元包括備份數據庫，備份數據庫存儲所述備份的數據，所述備份單元具有數據恢復功能，所述恢復功能包括全盤恢復、個別文件恢復及重定向恢復。

所述審計單元記錄所述涉及數據安全的操作和活動并形成加密的審計日志，所述審計日志為只讀格式且只允許所述信息系統的管理員訪問。