专利名称:一种基于用户身份及行为可信的网络资源监管系统的制作方法
技术领域:
本发明涉及一种基于用户身份及行为可信的网络资源监管系统,特别指 通过身份认证、行为监管、终端加固、信息防泄露、审计形成一套完整的集 用户管理、行为监管、网络资源于一体的监管系统,属于网络信息安全技术 领域。景技术随着计算机的普及应用,计算机网络越来越复杂,计算环境出现的安题也越来越多。当前计算环境不仅面临着网络外部攻击的威胁,而且还着网络内部的各种安全漏洞的威胁。内部人员需要在网络内部和网络外常进行访问、通信、交流,都可能有意或无意地执行、引入外部的某些意代码或有意或无意地进行一些非法操作,对计算信息造成不可预测的后果。现实的威胁其中是电脑终端上的信息泄露和内部人员犯罪;电脑应用单 位当未设立相应的安全管理措施,内部网络环境主要存在着以下几点不安全 隐患1、 用户身份不确定内部网络的计算机都只有简单的密码保护,而且 密码通常都很简单而且几乎不更换,内部人员通常很容易知道其他人的密 码,就可以轻易的进入别人的计算机获取资料,而且无法确定当时的使用者。2、 行为不受监管用户使用自己终端或者别人终端时的操作没有任何 监视或控制措施,无法在事故产生之前就杜绝危险的发生。3、外设的使用不受控制如今的计算机都有USB接口 ,用户可以任意 使用U盘拷贝重要资料,导致信息的泄露。3、没有审计用户使用计算机的操作没有记录R志,事故发生后无法追究事故责任人。综上所述,问题的源头是人为,解决问题的最佳方案是首先确定用户身 份,对用户可使用的终端及终端资源进行授权,并在用户操作计算机时进行实时监管,同时记录操作行为的R志,以此建立一个用户可信、行为可信的网络环境。 发明内容本发明的目的在于,克服现有技术的缺点,提供一种基于用户身份及行 为可信的网络资源监管系统,其各子系统是自治子系统,行为监控子系统用 于监视管理用户所有的操作行为,身份认证子系统用于审核用户身份的真实 性、完整性、唯一性,还至少有用于记录分析用户所有的操作行为的审计子 系统,或用于提高终端操作系统的安全性的终端加固子系统,或用于对终端 数据输入输出的控制的信息防泄露子系统其中之一。为了达到上述目的,本发明的技术方案是这样实现的所述的 一种基 于用户身份及行为可信的网络资源监管系统,它有一个行为监管子系统,用 于监视和管理用户的操作行为, 一个身份认证子系统,用于采集或处理身份 识别信息,还至少包括下述子系统中的一个一个终端加固子系统,用于增强终端或终端软件的安全性;一个信息防泄露子系统,用于防止终端信息有意或无意的泄露; 一个审计子系统,是可选子系统,用于记录或分析用户的操作行为;所述子系统是通过行为监管子系统与其他子系统交换数据。在上述技术方案基础上具有附加特征的更进一歩的技术方案是 所述的行为监管子系统,包含一个用户行为管理模块,用于查看和配置用户的行为,各子系统与行为监管子系统相连与其他子系统交换数据;一个用户行为监控代理,用于监视并根据管理模块的配置,控制用户的操作行为。 所述的身份认证子系统,包含一个身份信息采集装置, 一个身份信息认 证模块。所述的终端加固子系统包含一个可信密码模块,用于增强终端的安全 性,并提供信息校验、加密、解密、恢复机制。所述的网络资源监管系统,还有信息防泄露子系统与终端加固子系统共 用一个可信密码模块,通过硬件或软件防止终端信息泄露。所述的网络资源监管系统,它由行为监管子系统、身份认证子系统、终 端加固子系统组成,所述的行为监管子系统与身份认证子系统相连,当用户有操作行为时通知身份认证子系统,由身份认证子系统采集或处理身份IH别 信息,并将结果反馈给行为监管子系统。所述的网络资源监管系统,它由行为监管子系统、身份认证子系统、信息防泄露子系统组成;信息防泄露子系统与行为监管子系统、身份认证子系 统相连,用于防止终端信息有意或无意的泄露。所述的网络资源监管系统,它由行为监管子系统、身份认证子系统、审计子系统组成;审计子系统与行为监管子系统、身份认证子系统相连,用于记录或分析用户的操作行为,并提供备份和恢复该记录的机制。所述的网络资源监管系统,它由行为监管子系统、身份认证子系统、终 端加固子系统、信息防泄露子系统组成。所述的网络资源监管系统,它由行为监管子系统、身份认证子系统、终端加固子系统、信息防泄露子系统、审计子系统组成。本发明的技效果是本发明所涉及的网络资源监管系统不受网络类别及地域的限制,这种系统可以在任何需要内网安全的场合,建立一个用户可信、行为可信的网络环境。
图1为网络资源监管系统结构示意图; 图2为网络资源监管系统工作流程图。
具体实施方式
结合附图和实施例对本发明作进 一 歩说明如下实施例1:如图1所示, 一种基于用户身份及行为可信的网络资源监管 系统,它有一个行为监管子系统,用于监视和管理用户的操作行为, 一个身 份认证子系统,用于采集或处理身份识别信息,还至少包括下述子系统中的 一个---个终端加固子系统,用于增强终端或终端软件的安全性; 一个信息防泄露子系统,用于防止终端信息有意或无意的泄露; 一个审计子系统,是可选子系统,用于记录或分析用户的操作行为;所述子系统是通过行为监管子系统与其他子系统交换数据;本实施例 是它由行为监管子系统、身份认证子系统、终端加固子系统组成,所述 的行为监管子系统与身份认证子系统相连,当用户有操作行为时通知身份认 证子系统,由身份认证子系统采集或处理身份识别信息,并将结果反馈给行 为监管子系统;所述的行为监管子系统,包含一个用户行为管理模块,用于 查看和配置用户的行为,各子系统与行为监管子系统相连与其他子系统交换 数据;一个用户行为监控代理,用于监视并根据管理模块的配置,控制用户 的操作行为;所述的身份认证子系统,包含一个身份信息采集装置, 一个身 份信息认证模块;所述的终端加固子系统包含一个可信密码模块,用于增强 终端的安全性,并提供信息校验、加密、解密、恢复机制。实施例2:与实施例l不同的是,它由行为监管子系统、身份认证子系 统、信息防泄露子系统组成;信息防泄露子系统与行为监管子系统、身份认 证子系统相连,用于防止终端信息有意或无意的泄露;信息防泄露子系统与 终端加固子系统共用一个可信密码模块,通过硬件或软件防止终端信息泄路°实施例3:与实施例l不同的是,它由行为监管子系统、身份认证子系 统、审计子系统组成;审计子系统与行为监管子系统、身份认证子系统相连,用于记录或分析用户的操作行为,并提供备份和恢复该记录的机制。实施例4:与实施例l不同的是,它由行为监管子系统、身份认证子系 统、终端加固子系统、信息防泄露子系统组成。实施例5:与实施例l不同的是,它由行为监管子系统、身份认证子系统、终端加固子系统、信息防泄露子系统、审计子系统组成。图2为网络资源监管系统工作流程图。工作流程为l.身份登记;2. 行为授权;3.身份采集;4.身份认真;当认证结论认为合法时,则进入f -一歩4. ll.登记终端;4. 12.行为监管;4. 13.操作审计;4. 14.用户退 出。当第4歩的身份认真结论认为非法时,则进入下一歩4.21.操作审计; 4. 22.拒绝操作。
权利要求
1.一种基于用户身份及行为可信的网络资源监管系统,其特征在于,它有一个行为监管子系统,用于监视和管理用户的操作行为,一个身份认证子系统,用于采集或处理身份识别信息,还至少包括下述子系统中的一个一个终端加固子系统,用于增强终端或终端软件的安全性;一个信息防泄露子系统,用于防止终端信息有意或无意的泄露;一个审计子系统,是可选子系统,用于记录或分析用户的操作行为;所述子系统是通过行为监管子系统与其他子系统交换数据。
2. 根据权利要求1所述的网络资源管理系统,其特征在于,所述的行 为监管子系统,包含一个用户行为管理模块,用于查看和配置用户的行为, 各子系统与行为监管子系统相连与其他子系统交换数据;-一个用户行为监控 代理,用于监视并根据管理模块的配置,控制用户的操作行为。
3. 根据权利要求1所述的网络资源管理系统,其特征在于,所述的身 份认证子系统,包含一个身份信息采集装置, 一个身份信息认证模块。
4. 根据权利要求1所述的网络资源管理系统,其特征在于,所述的终 端加固子系统包含一个可信密码模块,用于增强终端的安全性,并提供信息 校验、加密、解密、恢复机制。
5. 根据权利要求1所述的网络资源管理系统,其特征在于,信息防泄 露子系统与终端加固子系统共用一个可信密码模块,通过硬件或软件防止终 端信息泄露。
6. 根据权利要求1或2或3或4所述的网络资源管理系统,其特征在 于,它由行为监管子系统、身份认证子系统、终端加固子系统组成,所述 的行为监管子系统与身份认证子系统相连,当用户有操作行为时通知身份认 证子系统,由身份认证子系统采集或处理身份识别信息,并将结果反馈给行为监管子系统。
7. 根据权利要求1或2或3或5所述的网络资源管理系统,其特征在于, 它由行为监管子系统、身份认证子系统、信息防泄露子系统组成;信息防泄 露子系统与行为监管子系统、身份认证子系统相连,用于防止终端信息有意 或无意的泄露。
8. 根据权利要求1或2或3所述的网络资源管理系统,其特征在于, 它由行为监管子系统、身份认证子系统、审计子系统组成;审计子系统与行 为监管子系统、身份认证子系统相连,用于记录或分析用户的操作行为,并 提供备份和恢复该记录的机制。
9. 根据权利要求1所述的网络资源管理系统,其特征在于,它由行为 监管子系统、身份认证子系统、终端加固子系统、信息防泄露子系统组成。
10. 根据权利要求1所述的网络资源管理系统,其特征在于,它由行为监管子系统、身份认证子系统、终端加固子系统、信息防泄露子系统、审计 子系统组成。
全文摘要
本发明涉及一种基于用户身份及行为可信的网络资源监管系统,属于网络信息安全技术领域。它有一个行为监管子系统,一个身份认证子系统,还至少包括下述子系统中的一个一个终端加固子系统,用于增强终端或终端软件的安全性;一个信息防泄露子系统,用于防止终端信息有意或无意的泄露;一个审计子系统,是可选子系统,用于记录或分析用户的操作行为;所述子系统是通过行为监管子系统与其他子系统交换数据。其优点是身份认证子系统用于审核用户身份的真实性、完整性、唯一性,还至少有用于记录分析用户所有的操作行为的审计子系统,或用于提高终端操作系统的安全性的终端加固子系统,或用于对终端数据输入输出的控制的信息防泄露子系统其中之一。
文档编号H04L9/32GK101330383SQ20071005249
公开日2008年12月24日 申请日期2007年6月19日 优先权日2007年6月19日
发明者乔 余, 毅 刘, 庆 吴, 张大鹏, 钢 熊, 晓 胡, 伟 韩, 韩勇桥 申请人:瑞达信息安全产业股份有限公司