本發明涉及數據處理技術領域,具體涉及一種針對涉密信息的數據備份方法及系統。
背景技術:
對于涉密信息系統,國家相關標準已將備份與恢復納入了系統運行安全的范疇,明確規定對涉密數據和關鍵業務數據要定期備份并制定備份與恢復的策略及管理制度,但對如何備份、備份數據在備份系統中如何存儲、備份數據如何還原等沒有明確的要求。目前國內外現有的備份系統產品只看重數據的可用性和完整性,缺乏對數據保密性的防范措施,數據的備份和還原操作沒有控制措施,備份系統的各管理員沒有強制權限劃分和權限制約。因此,在涉密系統中被層層保護的數據一旦備份到備份設備中,就存在被非法訪問、非法還原的風險。針對涉密信息的數據備份和保存,現有技術的主要問題如下:
1.對操作人員的身份認證不嚴謹,安全性不高;
2.操作人員的權限分離不清晰,安全風險大;
3.備份數據存儲不安全,泄密風險大;
4.備份操作在線上,管理流程在線下,無法將備份操作和管理流程有機結合。
技術實現要素:
本申請提供一種針對涉密信息的數據備份方法及系統,其解決的技術問題是將涉密信息的數據備份操作和管理流程融為一體,對疏密信息的數據存儲進行數據加密以提高備份的安全性和可靠性。
根據第一方面,一種實施例中提供一種針對涉密信息的數據備份方法,包括用于對用戶進行分類并根據用戶類別設置操作權限的步驟;用于對用戶登錄進行登錄認證的步驟;用于對用戶操作進行操作審批的步驟;用于獲取用戶操作日志和系統運行日志的步驟;用于對用戶操作日志和系統運行日志進行日志審計的步驟;用于對數據存儲進行數據加密的步驟。進一步的,用于對用戶登錄進行登錄認證的步驟,包括賬戶認證的步驟和機器指紋驗證的步驟。
根據第二方面,一種實施例中提供一種針對涉密信息的數據備份系統,包括用于對用戶進行分類并根據用戶類別設置操作權限的裝置;用于對用戶登錄進行登錄認證的裝置;用于對用戶操作進行操作審批的裝置;用于獲取用戶操作日志和系統運行日志的裝置;用于對所述用戶操作日志和系統運行日志進行日志審計的裝置;用于對數據存儲進行數據加密的裝置。
根據第三方面,一種實施例中提供一種針對涉密信息的數據備份系統,包括安全基礎平臺,安全基礎平臺包括登錄認證模塊、用戶權限管理模塊、操作審批模塊、日志審計模塊和數據加密/解密模塊;登錄認證模塊用于對用戶進行賬戶和密碼驗證,以及機器指紋綁定和驗證;用戶權限管理模塊用于用戶進行分類并根據用戶類別設置操作權限;操作審批模塊用于對用戶發起的操作進行操作審批;日志審計模塊用于獲取用戶操作日志和系統運行日志,以及查詢并審計日志;數據加密/解密模塊用于對各個用戶的數據進行加密和解密,以避免其他用戶訪問;管理控制平臺,管理控制平臺用于管控安全基礎平臺的工作,以及執行數據備份任務的創建和操作;備份組件,備份組件用于存儲數據。進一步的,管理控制平臺通過web服務管控的方式管控安全基礎平臺的工作。
根據第四方面,一種實施例中提供一種產品,包括存儲器和處理器,存儲器用于存儲程序,處理器用于通過執行存儲器存儲的程序以實現如第一方面實施例所述的方法。
根據第五方面,一種實施例中提供一種計算機可讀存儲介質,包括程序,所述程序能夠被處理器執行以實現如第一方面實施例所述的方法。
依據上述實施例的針對涉密信息的數據備份方法及系統,由于對用戶進行分類并根據用戶類別設置操作權限,即建立了嚴謹且細粒度的用戶賬戶體系,通過用戶身份認證、操作審批、日志審計和數據加密,以確保涉密信息的數據備份與恢復的安全性和可靠性,規避涉密信息的數據備份與恢復過程中來自內部、外部以及管理漏洞帶來的安全風險。
附圖說明
圖1為實施例一中針對涉密信息的數據備份方法的流程圖;
圖2為實施例二中針對涉密信息的數據備份系統的結構示意圖;
圖3為實施例三中針對涉密信息的數據備份系統的結構示意圖;
圖4為實施例四中產品的結構示意圖。
具體實施方式
下面通過具體實施方式結合附圖對本發明作進一步詳細說明。其中不同實施方式中類似元件采用了相關聯的類似的元件標號。在以下的實施方式中,很多細節描述是為了使得本申請能被更好的理解。然而,本領域技術人員可以毫不費力的認識到,其中部分特征在不同情況下是可以省略的,或者可以由其他元件、材料、方法所替代。在某些情況下,本申請相關的一些操作并沒有在說明書中顯示或者描述,這是為了避免本申請的核心部分被過多的描述所淹沒,而對于本領域技術人員而言,詳細描述這些相關操作并不是必要的,他們根據說明書中的描述以及本領域的一般技術知識即可完整了解相關操作。
另外,說明書中所描述的特點、操作或者特征可以以任意適當的方式結合形成各種實施方式。同時,方法描述中的各步驟或者動作也可以按照本領域技術人員所能顯而易見的方式進行順序調換或調整。因此,說明書和附圖中的各種順序只是為了清楚描述某一個實施例,并不意味著是必須的順序,除非另有說明其中某個順序是必須遵循的。
在本發明實施例中,通過技術手段實現備份系統的安全可靠,將管理流程技術化,將備份操作和管理流程融為一體,通過技術手段實現數據備份系統的安全化和數據備份與恢復管理流程的技術化,滿足涉密環境對數據備份與恢復的保密性和安全性的要求。
實施例一:
實施例一提供了一種針對涉密信息的數據備份方法,請參考圖1,包括以下步驟:
步驟s100:對用戶進行分類并根據用戶類別設置操作權限。
步驟s110:對用戶登錄進行登錄認證。在一具體實施方式中,對用戶登錄進行登錄認證,包括賬戶認證和機器指紋驗證。
步驟s120:對用戶操作進行操作審批。
步驟s130:獲取用戶操作日志和系統運行日志。為保證用戶操作和系統運行有據可查,應當對用戶操作日志及系統運行日志均做好完整記錄,并可由相關人員進行審計。日志審計一方面可以日常監管整個系統的運行情況是否正常,用戶操作是否合法;另一方面,可在出現異常事件后,查看歷史日志,追查事件發生的原因或相關責任人。日志審計時可根據不同的條件篩選查詢不同類型的日志,或根據登陸身份不同,自動顯示不同的日志內容。
步驟s140:對用戶操作日志和系統運行日志進行日志審計。
步驟s150:對數據存儲進行數據加密。
實施例一的數據備份方法,安全控制是其核心部分,其安全控制具有合法性可審核、私密性可保護以及可審核性的特點。合法性審核方面,通過賬戶認證、機器指紋識別確保登陸用戶的身份合法性。私密性保護方面,通過權限隔離、機器指紋綁定、數據存儲加密三種方式確保各個用戶私有數據不被其他用戶訪問。審核方面,通過操作審核和日志審計進行布控。通過賬戶及操作權限的分級管理,使用差別用戶對操作進行發起和審批,配合日志審計,實現了備份操作和管理流程的一體化。
實施例二:
實施例二提供了一種針對涉密信息的數據備份系統,請參考圖2,系統包括
用于對用戶進行分類并根據用戶類別設置操作權限的裝置200、用于對用戶登錄進行登錄認證的裝置210、用于對用戶操作進行操作審批的裝置220、用于獲取用戶操作日志和系統運行日志的裝置230、用于對所述用戶操作日志和系統運行日志進行日志審計的裝置240以及用于對數據存儲進行數據加密的裝置250。
實施例三:
實施例三提供了一種針對涉密信息的數據備份系統,請參考圖3,該系統包括安全基礎平臺300、管理控制平臺310和備份組件320。安全基礎平臺300包括登錄認證模塊301、用戶權限管理模塊302、操作審批模塊303、日志審計模塊304和數據加密/解密模塊305。登錄認證模塊301用于對用戶進行賬戶和密碼驗證,以及機器指紋綁定和驗證。用戶權限管理模塊302用于對用戶進行分類并根據用戶類別設置操作權限。操作審批模塊303用于對用戶發起的操作進行操作審批。日志審計模塊304用于獲取用戶操作日志和系統運行日志,以及查詢并審計日志。數據加密/解密模塊305用于對各個用戶的數據進行加密和解密,以避免其他用戶訪問。管理控制平臺310用于管控安全基礎平臺的工作,以及執行數據備份任務的創建和操作。管理控制平臺310通過web服務管控的方式管控安全基礎平臺300的工作。備份組件320用于存儲數據。
實施例四:
實施例四提供了一種產品,請參考圖4,該產品包括存儲器400和處理器410。存儲器400用于存儲程序,處理器410用于通過執行存儲器400存儲的程序以實現如實施例一所述的方法。
實施例五:
實施例五提供了一種計算機可讀存儲介質,包括程序,所述程序能夠被處理器執行以實現如實施例一所述的方法。
本領域技術人員可以理解,上述實施方式中各種方法的全部或部分功能可以通過硬件的方式實現,也可以通過計算機程序的方式實現。當上述實施方式中全部或部分功能通過計算機程序的方式實現時,該程序可以存儲于一計算機可讀存儲介質中,存儲介質可以包括:只讀存儲器、隨機存儲器、磁盤、光盤、硬盤等,通過計算機執行該程序以實現上述功能。例如,將程序存儲在設備的存儲器中,當通過處理器執行存儲器中程序,即可實現上述全部或部分功能。另外,當上述實施方式中全部或部分功能通過計算機程序的方式實現時,該程序也可以存儲在服務器、另一計算機、磁盤、光盤、閃存盤或移動硬盤等存儲介質中,通過下載或復制保存到本地設備的存儲器中,或對本地設備的系統進行版本更新,當通過處理器執行存儲器中的程序時,即可實現上述實施方式中全部或部分功能。
以上應用了具體個例對本發明進行闡述,只是用于幫助理解本發明,并不用以限制本發明。對于本發明所屬技術領域的技術人員,依據本發明的思想,還可以做出若干簡單推演、變形或替換。