[发明专利]一种基于用户身份及行为可信的网络资源监管系统

说明书

技术领域

本发明涉及一种基于用户身份及行为可信的网络资源监管系统，特别指通过身份认证、行为监管、终端加固、信息防泄露、审计形成一套完整的集用户管理、行为监管、网络资源于一体的监管系统，属于网络信息安全技术领域。

背景技术

随着计算机的普及应用，计算机网络越来越复杂，计算环境出现的安全问题也越来越多。当前计算环境不仅面临着网络外部攻击的威胁，而且还面临着网络内部的各种安全漏洞的威胁。内部人员需要在网络内部和网络外部经常进行访问、通信、交流，都可能有意或无意地执行、引入外部的某些恶意代码或有意或无意地进行一些非法操作，对计算信息造成不可预测的后果。现实的威胁其中是电脑终端上的信息泄露和内部人员犯罪；电脑应用单位当未设立相应的安全管理措施，内部网络环境主要存在着以下几点不安全隐患：

1、用户身份不确定：内部网络的计算机都只有简单的密码保护，而且密码通常都很简单而且几乎不更换，内部人员通常很容易知道其他人的密码，就可以轻易的进入别人的计算机获取资料，而且无法确定当时的使用者。

2、行为不受监管：用户使用自己终端或者别人终端时的操作没有任何监视或控制措施，无法在事故产生之前就杜绝危险的发生。

3、外设的使用不受控制：如今的计算机都有USB接口，用户可以任意使用U盘拷贝重要资料，导致信息的泄露。

3、没有审计：用户使用计算机的操作没有记录日志，事故发生后无法追究事故责任人。

综上所述，问题的源头是人为，解决问题的最佳方案是首先确定用户身份，对用户可使用的终端及终端资源进行授权，并在用户操作计算机时进行实时监管，同时记录操作行为的日志，以此建立一个用户可信、行为可信的网络环境。

发明内容

本发明的目的在于，克服现有技术的缺点，提供一种基于用户身份及行为可信的网络资源监管系统，其各子系统是自治子系统，行为监控子系统用于监视管理用户所有的操作行为，身份认证子系统用于审核用户身份的真实性、完整性、唯一性，还至少有用于记录分析用户所有的操作行为的审计子系统，或用于提高终端操作系统的安全性的终端加固子系统，或用于对终端数据输入输出的控制的信息防泄露子系统其中之一。

为了达到上述目的，本发明的技术方案是这样实现的：所述的一种基于用户身份及行为可信的网络资源监管系统，它有一个行为监管子系统，用于监视和管理用户的操作行为，一个身份认证子系统，用于采集或处理身份识别信息，还至少包括下述子系统中的一个：

一个终端加固子系统，用于增强终端或终端软件的安全性；

一个信息防泄露子系统，用于防止终端信息有意或无意的泄露；

一个审计子系统，是可选子系统，用于记录或分析用户的操作行为；

所述子系统是通过行为监管子系统与其他子系统交换数据。

在上述技术方案基础上具有附加特征的更进一步的技术方案是：

所述的行为监管子系统，包含一个用户行为管理模块，用于查看和配置用户的行为，各子系统与行为监管子系统相连与其他子系统交换数据；一个用户行为监控代理，用于监视并根据管理模块的配置，控制用户的操作行为。

所述的身份认证子系统，包含一个身份信息采集装置，一个身份信息认证模块。

所述的终端加固子系统包含一个可信密码模块，用于增强终端的安全性，并提供信息校验、加密、解密、恢复机制。

所述的网络资源监管系统，还有信息防泄露子系统与终端加固子系统共用一个可信密码模块，通过硬件或软件防止终端信息泄露。

所述的网络资源监管系统，它由行为监管子系统、身份认证子系统、终端加固子系统组成，所述的行为监管子系统与身份认证子系统相连，当用户有操作行为时通知身份认证子系统，由身份认证子系统采集或处理身份识别信息，并将结果反馈给行为监管子系统。

所述的网络资源监管系统，它由行为监管子系统、身份认证子系统、信息防泄露子系统组成；信息防泄露子系统与行为监管子系统、身份认证子系统相连，用于防止终端信息有意或无意的泄露。

所述的网络资源监管系统，它由行为监管子系统、身份认证子系统、审计子系统组成；审计子系统与行为监管子系统、身份认证子系统相连，用于记录或分析用户的操作行为，并提供备份和恢复该记录的机制。

所述的网络资源监管系统，它由行为监管子系统、身份认证子系统、终端加固子系统、信息防泄露子系统组成。

所述的网络资源监管系统，它由行为监管子系统、身份认证子系统、终端加固子系统、信息防泄露子系统、审计子系统组成。