上网行为管理自身安全的三个秘密
51cto 发表于:12年12月20日 13:47 [转载] DOIT.com.cn
从2004年国内第一款上网行为管理产品面市到今天,用户对其需求呈爆炸式增长,其功能也日益丰富,已经从单一网页过滤功能发展到可以控制所有上网行为(游戏、炒股、P2P下载、在线视频、在线购物……)、记录用户的所有上网内容(邮件、聊天、论坛、博客、微博……),该领域产品已深入各行业、各领域,进入大众市场。
上网行为管理产品所引发的泄密风险
开放的互联网引发社会对网络负面舆论、不健康信息传播的担忧,引发企业对员工工作投入度、商业信息安全性的担忧,引发企业所有者和IT部门对网络建设投入产出比的担忧……。正如微软操作系统从Win95、Win98发展到今天,人们在享受其便捷地操作流程、绚丽地用户界面的同时,更担心它的系统漏洞与安全性。事实证明越开放的系统、功能越强大的产品,其潜在的安全隐患也就越多。
企业为追踪不良言论发布者、商业信息泄露者,利用上网行为管理产品记录用户的邮件、发帖、聊天、文件传输等所有上网内容,然而,如何确保这些被记录下来的内容不被非法或越权查阅?如何确保上网行为管理产品自身不成为信息泄露点?
如果说防火墙、杀毒软件解决人们对计算机网络、操作系统安全性的担忧;上网行为管理产品解决人们对开放互联网应用合理性、安全性的担忧,那么谁来解决上网行为管理产品强大地管理和审计功能所引发的信息安全、责任追踪风险?
传统分级分权机制的局限性
为解决上述问题,一些相对成熟的上网行为管理产品都建立了管理员与审计员分级分权的管理机制。可限定管理员管理的功能范围和用户范围,也可控制审计员查询具体用户的具体类型日志。但管理员和审计员都是由拥有最高管理权限的系统管理员创建的。
由于上网行为管理产品是基于网络设备的用户行为管理产品,其最高权限的所有者往往都是IT管理部门。造成的风险主要有两方面:一是无法制约IT管理部门私自建立拥有日志审计权限的账号越权查看用户上网日志;二是当发生泄密事件时由于IT管理部门有查看日志的可能,所以无法脱离干系。这样的风险无论对企业所有者还是IT管理部门都是不愿接受的。
三权分立安全角色管理体系让您安心控管!
业内领先的上网行为管理产品厂商--网康科技近期推出了6.0版本ICG,建立了系统管理员、日志查看员、操作审核员三权分立的角色安全管理体系。取消了拥有最高管理权限的超级管理员角色,系统管理员所创建的管理员或日志查看员只有经过操作审核员的审核确认才能启用生效,并且系统管理员和日志查看员的所有操作记录都可被操作审核员审核。
"三权分立"示意图:
这样,IT管理部门的权限可以严格地被控制在系统管理和上网行为管理策略配置,避免了企业所有者对其越权查看用户上网日志的担忧,也可有效地为IT管理部门免责。