实名审计及权限管理在网络管理中应用
“权限管理”与“实名审计”在网络管理中的应用
首先谈一下“管理权限”问题,所谓管理权限就是针对可接触的本产品的使用者权限的管理,大家都知道通过使用“网络综合审计”可以监控到所监控目标的所有上网的行为及行为所对应的具体内容,比如各种网络的信息传递如及时聊天、邮件、发帖等,那么是否这些内容(涉密内容)是每个管理使用者都可以看到还是只有部分人可以看到,这就牵扯到二次泄密可能,所以对使用(管理)者的权限设置要考虑到周全,要有灵活、严谨、全面符合保密制度要求的权限设置功能、必要时还要支持硬件技术(如UKey身份认证、指纹识别等技术),这一点在上网行为管理产品应用中是十分必要的。
特点一:严格多级权限管理,明确责任范围,合理规避员工隐私权系统支持多级管理员的权限划分,不同角色授权范围级别。
使用硬件USB KEY加密认证,同时针对内容查看权限采取硬件认证方式。
特点二:符合保密制度“三员”分配权限管理:分审计员、保密员、系统管理员。
即:系统管理员的职责为系统日常维护。
审计员的职责是负责审计策略的制定、关键词设置等工作。
保密员:负责对关键信息审计。
特点三:超级权限必须多人在场
即要想查询审计内容时,上述“三员”必须同时在场,同时插入各自“UKey”及自身的用户名、密码后才可生成一个超级用户,此用户可以查询审计内容,这样将最大限度地防止信息外泄的可能性。
再谈“实名制”,在上网行为管理上网行为所对的实名信息是十分重要和必要的,如果不能把日志信息对应到相应行为对应着,那么我们审计到的信息对于分析,决策、管理就将在作用上大打折扣,因为你不知道是谁做了什么;
现在一般产品可以列出源、目的IP,并不能显示出对应用户名,还需要人工进行二次识别(在动态IP情况下,用源、目的IP是无法判断)对用户极其不方便,要满足用户实名制化审计需求,产品本身要预留支持用户已有身份认证系统接口,如各种门禁(刷卡、指纹、图像识别等)、计费等,接口要采用业界标准协议等,预留接口要二次开发简单、全自动识别不用人工干预,同时审计系统要自身具有实名认证功能。
上述谈到实名审计就是为管理者了解到“谁”干了什么?
实名审计的几种方式与应用:
特点一:政务网:与CA证书绑定实现实名审计。
特点二:高校:与计费网关绑定实现实名审计。
特点:支持多种实名认证方式:读卡器、身份证、指纹等多种认。
好的审计产品要预留通用的实名认证接口,实名信息可实现多种显示展现,如姓名、账号、MAC地址等信息,此项技术任子行在这方一直处于业内领先水平。
作者:
任子行网络技术股份有限公司 产品总监
方煜宗