技術(shù)領(lǐng)域

本發(fā)明涉及一種基于用戶身份及行為可信的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，特別指通過(guò)身份認(rèn)證、行為監(jiān)管、終端加固、信息防泄露、審計(jì)形成一套完整的集用戶管理、行為監(jiān)管、網(wǎng)絡(luò)資源于一體的監(jiān)管系統(tǒng)，屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域。

背景技術(shù)

隨著計(jì)算機(jī)的普及應(yīng)用，計(jì)算機(jī)網(wǎng)絡(luò)越來(lái)越復(fù)雜，計(jì)算環(huán)境出現(xiàn)的安全問(wèn)題也越來(lái)越多。當(dāng)前計(jì)算環(huán)境不僅面臨著網(wǎng)絡(luò)外部攻擊的威脅，而且還面臨著網(wǎng)絡(luò)內(nèi)部的各種安全漏洞的威脅。內(nèi)部人員需要在網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部經(jīng)常進(jìn)行訪問(wèn)、通信、交流，都可能有意或無(wú)意地執(zhí)行、引入外部的某些惡意代碼或有意或無(wú)意地進(jìn)行一些非法操作，對(duì)計(jì)算信息造成不可預(yù)測(cè)的后果。現(xiàn)實(shí)的威脅其中是電腦終端上的信息泄露和內(nèi)部人員犯罪；電腦應(yīng)用單位當(dāng)未設(shè)立相應(yīng)的安全管理措施，內(nèi)部網(wǎng)絡(luò)環(huán)境主要存在著以下幾點(diǎn)不安全隱患：

1、用戶身份不確定：內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)都只有簡(jiǎn)單的密碼保護(hù)，而且密碼通常都很簡(jiǎn)單而且?guī)缀醪桓鼡Q，內(nèi)部人員通常很容易知道其他人的密碼，就可以輕易的進(jìn)入別人的計(jì)算機(jī)獲取資料，而且無(wú)法確定當(dāng)時(shí)的使用者。

2、行為不受監(jiān)管：用戶使用自己終端或者別人終端時(shí)的操作沒(méi)有任何監(jiān)視或控制措施，無(wú)法在事故產(chǎn)生之前就杜絕危險(xiǎn)的發(fā)生。

3、外設(shè)的使用不受控制：如今的計(jì)算機(jī)都有USB接口，用戶可以任意使用U盤拷貝重要資料，導(dǎo)致信息的泄露。

3、沒(méi)有審計(jì)：用戶使用計(jì)算機(jī)的操作沒(méi)有記錄日志，事故發(fā)生后無(wú)法追究事故責(zé)任人。

綜上所述，問(wèn)題的源頭是人為，解決問(wèn)題的最佳方案是首先確定用戶身份，對(duì)用戶可使用的終端及終端資源進(jìn)行授權(quán)，并在用戶操作計(jì)算機(jī)時(shí)進(jìn)行實(shí)時(shí)監(jiān)管，同時(shí)記錄操作行為的日志，以此建立一個(gè)用戶可信、行為可信的網(wǎng)絡(luò)環(huán)境。

發(fā)明內(nèi)容

本發(fā)明的目的在于，克服現(xiàn)有技術(shù)的缺點(diǎn)，提供一種基于用戶身份及行為可信的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，其各子系統(tǒng)是自治子系統(tǒng)，行為監(jiān)控子系統(tǒng)用于監(jiān)視管理用戶所有的操作行為，身份認(rèn)證子系統(tǒng)用于審核用戶身份的真實(shí)性、完整性、唯一性，還至少有用于記錄分析用戶所有的操作行為的審計(jì)子系統(tǒng)，或用于提高終端操作系統(tǒng)的安全性的終端加固子系統(tǒng)，或用于對(duì)終端數(shù)據(jù)輸入輸出的控制的信息防泄露子系統(tǒng)其中之一。

為了達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：所述的一種基于用戶身份及行為可信的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，它有一個(gè)行為監(jiān)管子系統(tǒng)，用于監(jiān)視和管理用戶的操作行為，一個(gè)身份認(rèn)證子系統(tǒng)，用于采集或處理身份識(shí)別信息，還至少包括下述子系統(tǒng)中的一個(gè)：

一個(gè)終端加固子系統(tǒng)，用于增強(qiáng)終端或終端軟件的安全性；

一個(gè)信息防泄露子系統(tǒng)，用于防止終端信息有意或無(wú)意的泄露；

一個(gè)審計(jì)子系統(tǒng)，是可選子系統(tǒng)，用于記錄或分析用戶的操作行為；

所述子系統(tǒng)是通過(guò)行為監(jiān)管子系統(tǒng)與其他子系統(tǒng)交換數(shù)據(jù)。

在上述技術(shù)方案基礎(chǔ)上具有附加特征的更進(jìn)一步的技術(shù)方案是：

所述的行為監(jiān)管子系統(tǒng)，包含一個(gè)用戶行為管理模塊，用于查看和配置用戶的行為，各子系統(tǒng)與行為監(jiān)管子系統(tǒng)相連與其他子系統(tǒng)交換數(shù)據(jù)；一個(gè)用戶行為監(jiān)控代理，用于監(jiān)視并根據(jù)管理模塊的配置，控制用戶的操作行為。

所述的身份認(rèn)證子系統(tǒng)，包含一個(gè)身份信息采集裝置，一個(gè)身份信息認(rèn)證模塊。

所述的終端加固子系統(tǒng)包含一個(gè)可信密碼模塊，用于增強(qiáng)終端的安全性，并提供信息校驗(yàn)、加密、解密、恢復(fù)機(jī)制。

所述的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，還有信息防泄露子系統(tǒng)與終端加固子系統(tǒng)共用一個(gè)可信密碼模塊，通過(guò)硬件或軟件防止終端信息泄露。

所述的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，它由行為監(jiān)管子系統(tǒng)、身份認(rèn)證子系統(tǒng)、終端加固子系統(tǒng)組成，所述的行為監(jiān)管子系統(tǒng)與身份認(rèn)證子系統(tǒng)相連，當(dāng)用戶有操作行為時(shí)通知身份認(rèn)證子系統(tǒng)，由身份認(rèn)證子系統(tǒng)采集或處理身份識(shí)別信息，并將結(jié)果反饋給行為監(jiān)管子系統(tǒng)。

所述的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，它由行為監(jiān)管子系統(tǒng)、身份認(rèn)證子系統(tǒng)、信息防泄露子系統(tǒng)組成；信息防泄露子系統(tǒng)與行為監(jiān)管子系統(tǒng)、身份認(rèn)證子系統(tǒng)相連，用于防止終端信息有意或無(wú)意的泄露。

所述的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，它由行為監(jiān)管子系統(tǒng)、身份認(rèn)證子系統(tǒng)、審計(jì)子系統(tǒng)組成；審計(jì)子系統(tǒng)與行為監(jiān)管子系統(tǒng)、身份認(rèn)證子系統(tǒng)相連，用于記錄或分析用戶的操作行為，并提供備份和恢復(fù)該記錄的機(jī)制。

所述的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，它由行為監(jiān)管子系統(tǒng)、身份認(rèn)證子系統(tǒng)、終端加固子系統(tǒng)、信息防泄露子系統(tǒng)組成。

所述的網(wǎng)絡(luò)資源監(jiān)管系統(tǒng)，它由行為監(jiān)管子系統(tǒng)、身份認(rèn)證子系統(tǒng)、終端加固子系統(tǒng)、信息防泄露子系統(tǒng)、審計(jì)子系統(tǒng)組成。