实名审计及权限管理在网络管理中应用

“权限管理”与“实名审计”在网络管理中的应用

    首先谈一下“管理权限”问题，所谓管理权限就是针对可接触的本产品的使用者权限的管理，大家都知道通过使用“网络综合审计”可以监控到所监控目标的所有上网的行为及行为所对应的具体内容，比如各种网络的信息传递如及时聊天、邮件、发帖等，那么是否这些内容（涉密内容）是每个管理使用者都可以看到还是只有部分人可以看到，这就牵扯到二次泄密可能，所以对使用（管理）者的权限设置要考虑到周全，要有灵活、严谨、全面符合保密制度要求的权限设置功能、必要时还要支持硬件技术（如UKey身份认证、指纹识别等技术），这一点在上网行为管理产品应用中是十分必要的。

    特点一：严格多级权限管理，明确责任范围，合理规避员工隐私权系统支持多级管理员的权限划分，不同角色授权范围级别。

    使用硬件USB KEY加密认证，同时针对内容查看权限采取硬件认证方式。

   特点二：符合保密制度“三员”分配权限管理：分审计员、保密员、系统管理员。

    即：系统管理员的职责为系统日常维护。

    审计员的职责是负责审计策略的制定、关键词设置等工作。

    保密员：负责对关键信息审计。

   特点三：超级权限必须多人在场

    即要想查询审计内容时，上述“三员”必须同时在场，同时插入各自“UKey”及自身的用户名、密码后才可生成一个超级用户，此用户可以查询审计内容，这样将最大限度地防止信息外泄的可能性。

    再谈“实名制”，在上网行为管理上网行为所对的实名信息是十分重要和必要的，如果不能把日志信息对应到相应行为对应着，那么我们审计到的信息对于分析，决策、管理就将在作用上大打折扣，因为你不知道是谁做了什么；

    现在一般产品可以列出源、目的IP，并不能显示出对应用户名，还需要人工进行二次识别（在动态IP情况下，用源、目的IP是无法判断）对用户极其不方便，要满足用户实名制化审计需求，产品本身要预留支持用户已有身份认证系统接口，如各种门禁（刷卡、指纹、图像识别等）、计费等，接口要采用业界标准协议等，预留接口要二次开发简单、全自动识别不用人工干预，同时审计系统要自身具有实名认证功能。

    上述谈到实名审计就是为管理者了解到“谁”干了什么？

    实名审计的几种方式与应用：

    特点一：政务网：与CA证书绑定实现实名审计。

    特点二：高校：与计费网关绑定实现实名审计。

    特点：支持多种实名认证方式：读卡器、身份证、指纹等多种认。

   好的审计产品要预留通用的实名认证接口，实名信息可实现多种显示展现，如姓名、账号、MAC地址等信息，此项技术任子行在这方一直处于业内领先水平。

作者：
任子行网络技术股份有限公司 产品总监
方煜宗