当需要对资源进行严格安全保密管控时,可通过密级管理对资源进行控制,来实现用户在访问平台资源时用户只能访问用户拥有保密等级要求的相关资源。
1、密级管理开启
通过以下两种方式修改secretlevel为true后,重启服务器即可开启密级管理功能。
(1)war工程下可以直接覆盖:config/security/securityconfig.properties ,将secretlevel属性改成true就是开启。
#是否加载三员分立角色 loadsystemrole=false #是否禁用超级管理员 forbidadmin=false #是否启用权限审计功能 auditpermission=false #是否开启密级管理功能(人员密级和资源密级) secretlevel=true |
(2)去资源管理器下:/root/products/eacl/securityconfig.properties 文件中开启密级管理功能。
将secretlevel属性改成true即可,同步骤(1),将secretlevel属性改成true就是开启。
2、配置用户需要的用户、资源密级等级对应关系。
例如需要以下用户、资源对应关系。
人员--非密对应资源--非密、内部、普商;
人员--一般对应资源--非密、内部、普商、核商;
人员--重要对应资源--非密、内部、普商、核商、秘密;
人员--核心对应资源--非密、内部、普商、核商、秘密、机密;
1、修改人员等级对应关系
进入资源管理器:/root/products/eacl/secretlevel/personsecretlevel.json ,修改人员密级对应关系,如下所示:
[ { "level" : 1, "containResLevels" : "1|2|3", "levelCaption" : "非密", "captionKey" : "config.security.secretlevel.personsecretlevel.json.none" }, { "level" : 2, "containResLevels" : "1|2|3|4", "levelCaption" : "一般", "captionKey" : "config.security.secretlevel.personsecretlevel.json.normal" }, { "level" : 3, "containResLevels" : "1|2|3|4|5", "levelCaption" : "重要", "captionKey" : "config.security.secretlevel.personsecretlevel.json.important" }, { "level" : 4, "containResLevels" : "1|2|3|4|5|6", "levelCaption" : "核心", "captionKey" : "config.security.secretlevel.personsecretlevel.json.core" } ] |
Ps:containResLevels:这里配置人员密级对应的资源密级等级,多个以“|”进行分割。
2、进入资源管理器:/root/products/eacl/secretlevel/ressecretlevel.json ,修改资源密级等级,
[ { "level" : 1, "levelCaption" : "非密", "captionKey" : "config.security.secretlevel.ressecretlevel.json.nonesecrest" }, { "level" : 2, "levelCaption" : "内部", "captionKey" : "config.security.secretlevel.ressecretlevel.json.inner" }, { "level" : 3, "levelCaption" : "普商", "captionKey" : "config.security.secretlevel.ressecretlevel.json.general" }, { "level" : 4, "levelCaption" : "核商", "captionKey" : "config.security.secretlevel.ressecretlevel.json.core" }, { "level" : 5, "levelCaption" : "秘密", "captionKey" : "config.security.secretlevel.ressecretlevel.json.secret" }, { "level" : 6, "levelCaption" : "机密", "captionKey" : "config.security.secretlevel.ressecretlevel.json.core" } ] |
3、完成人员、资源配置初始化之后,就可以重启服务器,这时候会在用户权限下出现密级管理功能,如下所示。
3、配置人员、资源相关密级
用户可在密级管理界面然后就可以去该页面配置人员对应的密级,及资源对应的密级,配置完毕后,登录配置的密级用户,该用户会对资源密级进行校验,用户拥有资源权限以及资源密级权限时才可查看到对应资源,若无密级权限即使有资源权限也无法查看。(ps:资源未配置任何密级时,人员无论拥有哪一种密级权限都无法查看到该资源)
密级校验的执行规则:
a. 超级管理员及管理员角色用户,不受密级校验;
b. 若平台开启密级管理,当资源未定义密级, 不允许用户访问;
c. 当资源定义密级,访问时进行密级校验,且是有符合密级要求的人员才能访问,人员密级为无时,不可访问。
资源、人员密级设置状态的显示,“●”表示:已设置,“●”表示:未设置,如下图所示:
请先登录