[发明专利]业务信息防护装置

说明书

技术领域

本发明涉及业务信息防护装置，特别是涉及能够提高业务信息系统的信息安全性的业务信息防护装置。

背景技术

支持企业或公共设施等运行的业务信息系统、所谓的企业系统(Enterprise System)现在已经成为各种大小组织的基础。业务信息系统通过对从终端节点(node)或数据库获得的数据进行合计、积累、解析、加工，并在此基础上输出附加值更高的信息，由此支持复杂的组织管理。

这样的业务信息系统在运转后也要进行操作监控、故障应对、功能扩充或功能变更等各种维修作业。通常，引进业务信息系统的客户企业将该维修作业委托给外部管理公司。多数情况下是管理公司的SE(System Engineer，系统工程师)远程登录业务信息系统，进行维修作业。

近年来，美国通过的SOX(Sarbanes-Oxley，萨班斯)法案强烈要求企业经营者或账目监察人员保证公开信息的合法性。日本也打算效仿该法而引入日本版SOX法，所以，可应对日本版SOX法的姿态的确立成为当务之急。

鉴于这样的社会背景，专利文献1提出了下述技术，即涉及除了根据ID和密码进行用户认证以外还以管理者的授权访问为条件的访问规则(access rule)的技术。

【现有技术文献】

【专利文献】

【专利文献1】特开2004-213475号公报

发明内容

专利文献1中记载的访问规则在防止非法访问业务信息系统方面是有效的方法，但要求管理者立即应对作业申请，所以负担大。即，确立容易防止信息泄露的访问规则固然重要，但是存在为抑制人为误差的发生而必须考虑用户负担的问题。

另外，企业所引进的业务信息系统不限于单一系统。例如，某一企业也许分别引进财务系统和顾客系统，或者也许这些系统被合并到更上位的系统。在这类运转多个业务系统的企业中，也需要能够提高各业务信息系统的信息安全性、并且容易管理它们的访问规则的架构。

本发明的目的是提供一种能够提高业务信息系统中的信息安全性的业务信息防护装置。

本发明的一个侧面的特征在于，具有：合法用户信息保持装置，其保持登记有可执行系统的规定处理的合法用户的合法用户信息；申请接收装置，其接收用于申请指定访问预定者和执行所述规定处理的申请信息；预定保持装置，其保持使所申请的所述规定处理和其访问预定者对应的预定信息；执行请求接收装置，在执行所述规定处理时，从终端接收确定访问者的用户识别信息；用户认证装置，其参照所述合法用户信息，判定所述访问者是否被登记为合法用户；申请状态判定装置，参照所述预定信息，判定所述访问者为访问预定者的规定处理是否进行过申请；访问控制装置，以所述用户认证装置的判定和所述申请状态判定装置的判定都为肯定判定作为条件，允许从所述终端至所述系统的访问以进行规定处理；日志记录装置，将从所述终端至所述系统的访问历史记录为日志信息；验证装置，将所述日志信息所示的访问和为进行所述预定信息中所申请的规定处理的访问进行对比，检测出所述日志信息所示的访问中的、与为进行所述预定信息所申请的规定处理的访问不符合的访问，作为非法访问。

还具有：申请通知装置，其向规定处理申请的授权者通知所申请的处理内容；授权获得装置，其受理来自所述授权者的授权输入，所述预定保持装置还使所申请的规定处理和其授权状态相对应地保持为所述预定信息，所述申请状态判定装置还能够判定被申请的规定处理是否已经授权。

所述申请状态判定装置还能够规定处理的执行日期和时间是否在所申请的期间内。

还可以具有：执行条件保持装置，保持定义规定处理的执行条件的执行条件信息；申请登记判定装置，以被申请的处理内容与所述执行条件信息相符为条件，将被申请的规定处理登记在所述预定信息中。

所述合法用户信息保持装置还保持表示可获得与通常的用户权限不同的特别权限的用户的升级用户信息，所述申请状态判定装置在指定特别权限作为对于被申请的规定处理的执行条件时，还对访问者是否是可获得特别权限的用户进行判定。

利用本发明能够提供一种能够提高业务信息系统的信息安全性的业务信息防护装置。

附图说明

图1是表示本实施方式的业务信息系统的结构例的框图。

图2是表示业务信息防护装置的功能结构例的框图。

图3是表示执行条件保持部中的执行条件信息的数据结构例的图。

图4是表示日志保持部所保持的访问日志的记录内容例的图。

图5是表示登录画面的显示例的图。