6 合规官操作

本章介绍具有合规官角色的用户可以执行的操作。如果分配给您多个角色,请参阅相应的章节了解有关执行特定角色的说明。

合规官角色

合规官管理通过组织的数据流,并且可以定义和部署数据上下文(密钥组)和规则来确定数据的保护方式和最终销毁的方式(密钥策略)。下面显示了提供这些功能的菜单。

周围文本对 compliance_officer_role.jpg 进行了说明。

密钥策略

密钥策略提供数据管理指导。OKM Manager 使用密钥策略来确定数据的保护和销毁方式。必须先创建密钥策略,然后才能创建密钥并将其交付给代理。

只有合规官可以创建和修改密钥策略。这样可确保数据在其整个生命周期内符合策略。

"Key Policy List" 菜单

通过 "Key Policy List" 菜单,可以管理组织中的密钥策略。

使用 "Key Policy List" 菜单选项可以执行以下操作:

  • 查看密钥策略

  • 查看/修改密钥策略的详细信息

  • 创建密钥策略

  • 删除现有的密钥策略。

查看密钥策略

要查看密钥策略:

  1. 在 "Secure Information Management" 菜单中选择 Key Policy List。此时将显示 "Key Policy List" 屏幕。

周围文本对 key_policy_list_revoked.jpg 进行了说明。

您也可以在数据库中滚动以及按以下任一项过滤密钥策略列表:

  • Key Policy ID

  • Description

  • Key Type

  • Encryption Period

  • 密码有效期

  • Allow Export From

  • Allow Import To

  • Allow Agents To Revoke Keys。

Use 按钮将过滤器应用于显示的密钥策略列表。

字段及其描述如下所示:

Filter:

显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:

  • Key Policy ID

  • Description

  • Key Type

  • Encryption Period

  • 密码有效期

  • Allow Export From

  • Allow Import To

"Filter Operator" 框:

单击向下箭头并选择需要的过滤操作。可能的值是:

  • Equals =

  • Not equal <>

  • Greater than >

  • Less than <

  • Greater than or equals >=

  • Less than or equals <=

  • Starts with ~

  • Empty

  • Not empty

"Filter Value" 文本框:

键入过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。

"Filter Value" 组合框:

单击向下箭头并选择过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。

单击加号按钮可以添加其他过滤器。

单击减号按钮可以删除过滤器。仅当显示多个过滤器时才显示此按钮。

Use:

单击此按钮可以将选定过滤器应用于显示的列表并转至第一页。

Refresh:

单击此按钮可以刷新列表。

Reset:

单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。

单击此按钮可以转至列表的第一页。

周围文本对 okm_first_page.jpg 进行了说明。

单击此按钮可以转至上一页。

周围文本对 okm_prev_page.jpg 进行了说明。

单击此按钮可以转至下一页。

周围文本对 okm_next_page.jpg 进行了说明。

Results in Page:

显示在 "Options" 对话框的 "Query Page Size" 字段中配置的每页记录数。

Key Policy ID

显示可区分每个密钥策略的唯一标识符。此值可以在 1 到 64(包含)个字符之间。密钥策略 ID 在创建之后就无法更改。

Description

描述密钥策略。此值可以在 1 到 64(包含)个字符之间。

Key Type

指示与此密钥策略关联的密钥使用的加密算法类型。唯一的可能值是 AES-256。

注:

第一次将密钥提供给代理时,"Encryption Period" 和 "Cryptoperiod" 开始。策略的 "Encryption Period" 和 "Cryptoperiod" 无法更改。这是为了避免密钥策略的更改影响大量的密钥。

Encryption Period

显示与此密钥策略关联的密钥可用于加密或解密数据的时间。时间间隔单位包括:分钟、小时、天、周、月或年。

Cryptoperiod

显示与此密钥策略关联的密钥可用于解密(但不加密)数据的时间。时间间隔单位包括:分钟、小时、天、周、月或年。

Allow Export From

指示是否可以导出与此密钥策略关联的数据单元密钥。可能值为 True 或 False。

Allow Import To

指示是否可以导入与此密钥策略关联的数据单元密钥。可能值为 True 或 False。

如果要创建密钥策略,请单击 Create 按钮。有关更多信息,请参阅"创建密钥策略"

如果要查看/修改某个密钥策略,请突出显示相应的密钥策略,然后单击 Details 按钮。有关更多信息,请参阅"查看/修改密钥策略"

如果要删除密钥策略,请单击 Delete 按钮。有关更多信息,请参阅"删除密钥策略"

Allow Agents To Revoke Keys

允许使用指定此密钥策略的密钥组的代理取消激活(撤消)与其关联的密钥,即使密钥处于操作状态(如保护并处理)时也是如此。

选中 Allow Agents To Revoke Keys 复选框可将该属性设置为 True(取消激活)。取消选中此复选框可将该属性设置为 False,不允许代理撤消处于操作状态的密钥。False 是默认值。

OKM 群集必须使用复制版本 14 或更高版本才能将此属性设置为 True

磁带机代理应使用默认值 (False)。

使用 pkcs11_kms 提供程序(请参见"OKM 的 PKCS#11 提供程序")的应用程序如果要撤消不再使用的密钥(例如,在重置密钥操作中),应配置为使用默认密钥策略设置为 True 的代理。例如,ZFS 加密就是一个 pkcs11_kms 应用程序。

创建密钥策略

要创建密钥策略:

  1. 在 "Key Policy List" 屏幕中单击 Create 按钮。此时将显示 "Create Key Policy" 对话框。

    周围文本对 key_policy_create_revoked.jpg 进行了说明。

  2. 完成以下参数:

    Key Policy ID

    键入标识策略的值。此值可以在 1 到 64(包含)个字符之间。

    Description

    键入描述策略的值。此值可以在 1 到 64(包含)个字符之间。此字段可以为空。

    Encryption Period

    显示与此密钥策略关联的密钥可用于加密或解密数据的时间。时间间隔单位包括:分钟、小时、天、周、月或年。

    Cryptoperiod

    显示与此密钥策略关联的密钥可用于解密(但不加密)数据的时间。时间间隔单位包括:分钟、小时、天、周、月或年。

    Flags

    Allow Export From

    指示是否可以导出与此密钥策略关联的数据单元密钥。可能值为 True 或 False。

    Allow Import To

    指示是否可以导入与此密钥策略关联的数据单元密钥。可能值为 True 或 False。

    Allow Agents To Revoke Keys

    允许使用指定此密钥策略的密钥组的代理取消激活(撤消)或激活与其关联的密钥,即使密钥处于操作状态(如保护并处理)时也是如此。

    选中 Allow Agents To Revoke Keys 复选框可将该属性设置为 True(取消激活)。取消选中此复选框可将该属性设置为 "False"(激活)。"False" 是默认值。

  3. 单击 Save 按钮可保存密钥策略。新的密钥策略会显示在 "Key Policy List" 屏幕中。现在,密钥组可以使用该密钥策略了。

    周围文本对 key_policy_new.jpg 进行了说明。

查看/修改密钥策略

注:

只有合规官可以查看密钥策略的详细信息。

要修改密钥策略的详细信息:

  1. 在 "Key Policy List" 屏幕中双击需要查看其更多信息的密钥策略,或者突出显示某个密钥策略并单击 Details 按钮。此时将显示 "Key Policy Details" 对话框。

    周围文本对 key_policy_details_revoked.jpg 进行了说明。

  2. 您可以根据需要更改 "Description"、"Allow Export From"、"Allow Import To" 和 "Allow Agents To Revoke Keys" 复选框。完成后,单击 Save 按钮保存更改。在系统核实并验证了新的密钥策略之后,密钥组将与新的密钥策略关联。

  3. 如果单击 Cancel 按钮,则不保存您做的更改并关闭该对话框。

删除密钥策略

只能删除未被任何密钥组或密钥使用的密钥策略。

要删除密钥策略:

  1. 在 "Key Policy List" 屏幕中突出显示要删除的密钥策略,然后单击 Delete 按钮。此时将显示以下对话框,提示您确认要删除特定的密钥策略。

    周围文本对 aysdeletekeypolicy.jpg 进行了说明。

  2. 单击 Yes 按钮删除密钥策略。将从数据库中删除密钥策略。您将返回到 "Key Policy List" 屏幕,其中的密钥策略已从列表中删除。

密钥

一个密钥组代表一个数据上下文,用于确定密钥适用的密钥策略以及可以访问密钥的代理。如果将某个密钥分配给了一个代理,并且首次将该密钥用于数据单元,则该密钥就会与某个密钥组关联。在创建密钥组时,必须选择一个密钥策略。所选的密钥策略应用于该密钥组中的密钥。

代理与密钥组关联。一个代理有一个或多个允许其访问的密钥组。代理只能检索属于允许其访问的密钥组的密钥。代理还可能会有一个默认密钥组。代理在分配新密钥时,该密钥会放在代理的默认密钥组中。仅当代理有一个默认密钥组时,才能分配新密钥。

图 6-1 显示了密钥组、密钥策略、代理与数据单元之间的关系。

图 6-1 密钥组与密钥策略、代理、数据单元的关系

周围文本对 图 6-1 进行了说明。

"Key Groups" 菜单

"Key Groups" 菜单包括了 "Key Group List" 菜单选项,合规官可使用该选项来管理密钥组。

周围文本对 key_groups_menu_co.jpg 进行了说明。

"Key Group List" 菜单

使用 "Key Group List" 菜单选项可以执行以下操作:

  • 查看密钥组

  • 创建密钥组

  • 修改现有的密钥组

  • 删除现有的密钥组。

查看密钥组

要查看所有密钥组:

在 "Key Groups" 菜单中选择 Key Group List。此时将显示 "Key Group List" 屏幕。

周围文本对 key_group_list.jpg 进行了说明。

您可以在数据库中滚动以及按以下任一项过滤密钥组列表:

  • Key Group ID

  • Description

  • Key Policy ID。

Use 按钮将过滤器应用于显示的密钥组列表。

字段及其描述如下所示:

Filter:

选择过滤器选项以过滤显示的密钥组列表。只有满足所有过滤条件的密钥组才会显示。

"Filter Attribute" 组合框:

单击向下箭头并选择一个用于过滤的属性。可能的值是:

  • Key Group ID

  • Description

  • Key Policy ID。

"Filter Operator" 框:

单击向下箭头并选择要应用于所选属性的过滤运算。可能的值是:

  • Equals =

  • Not equal <>

  • Greater than >

  • Less than <

  • Greater than or equals >=

  • Less than or equals <=

  • Starts with ~

  • Empty

  • Not empty。

"Filter Value" 文本框:

键入过滤选定属性所依据的值。

"Filter Value" 组合框:

单击向下箭头并选择过滤选定属性所依据的值。不对所有过滤器属性显示此过滤器选项。

单击加号按钮可以添加其他过滤器。

单击减号按钮可以删除过滤器。仅当显示多个过滤器时才显示此按钮。

Use:

单击此按钮可以将选定过滤器应用于显示的列表并转至第一页。

Refresh:

单击此按钮可刷新显示的列表。这不会应用自从上次使用或重置以来选定的过滤器,也不会更改列表的页面。

Reset:

单击此按钮可以删除所有过滤器并将显示的列表重置到第一页。

单击此按钮可以转至列表的第一页。

周围文本对 okm_first_page.jpg 进行了说明。

单击此按钮可以转至上一页。

周围文本对 okm_prev_page.jpg 进行了说明。

单击此按钮可以转至下一页。

周围文本对 okm_next_page.jpg 进行了说明。

Results in Page:

显示可在当前页面上显示的项目数量。如果在列表末尾,则在项目数后附加 "(last page)"。页面上显示的最大项目数量通过 "Options" 对话框上的 "Query Page Size" 值定义。

Key Group ID

显示可区分每个密钥组的唯一标识符。此值可以在 1 到 64(包含)个字符之间。"Key Group ID" 一旦定义就不能再更改。

Description

描述密钥组。此值可以在 1 到 64(包含)个字符之间。

Key Policy ID

显示适用于密钥组中的每个数据单元的现有密钥策略的唯一标识符。

现有密钥组的 "Key Policy ID" 不能更改。这是为了避免更改影响大量密钥。

如果要创建密钥组,请单击 Create 按钮。有关更多信息,请参阅"创建密钥组"

如果要查看/修改某个密钥组,请突出显示相应的密钥组,然后单击 Details 按钮。有关更多信息,请参阅"查看/修改密钥组的详细信息"

如果要删除密钥组,请单击 Delete 按钮。有关更多信息,请参阅"删除密钥组"

创建密钥组

要创建新的密钥组:

  1. 在 "Key Group List" 屏幕中单击 Create 按钮。此时将显示 "Create Key Group" 对话框。

    周围文本对 create_key_group.jpg 进行了说明。

  2. 完成以下参数:

    Key Group ID

    键入标识密钥组的值。此值可以在 1 到 64(包含)个字符之间。

    Description

    键入描述密钥组的值。此值可以在 1 到 64(包含)个字符之间。

    Key Policy ID

    单击向下箭头,然后选择要将此密钥组与其关联的密钥策略。在创建新密钥组时,会显示现有的密钥策略。

  3. 单击 Save 按钮。创建的新密钥组存储在数据库中,并会在 "Key Group List" 屏幕中显示。现在,数据单元、代理等可以使用该密钥组了。

    周围文本对 create_key_group_list_added.jpg 进行了说明。

查看/修改密钥组的详细信息

注:

如果您不是合规官,则在查看密钥组的详细信息时,将禁用包括 "Save" 按钮在内的所有字段。

要修改密钥组:

  1. 在 "Key Group List" 屏幕中双击需要查看其更多信息的密钥组条目,或者突出显示某个密钥组条目并单击 Details 按钮。此时将显示 "Key Group Details" 对话框。

    周围文本对 key_policy_details.jpg 进行了说明。

    将显示以下参数:

    Key Group ID:

    唯一标识密钥组。该字段为只读字段。

    Description:

    键入描述密钥组的值。此值可以在 1 到 64(包含)个字符之间。此字段可以为空。

    Key Policy ID:

    显示与该密钥组以及该密钥组中的所有密钥关联的现有密钥策略的唯一标识符。该字段为只读字段。

  2. "Description" 字段是唯一可修改的字段。完成后,单击 Save 按钮保存更改。您将返回到 "Key Group List" 屏幕。

删除密钥组

注:

不能删除活动的密钥组(即向其分配了代理或数据单元的密钥组)。

要删除密钥组:

  1. 在 "Key Group List" 屏幕中突出显示要删除的密钥组,然后单击 Delete 按钮。此时将显示以下确认对话框,提示您确认要删除选定的密钥组。

    只能删除未被任何密钥使用并且未与任何代理关联的密钥组。

    周围文本对 aysdeletekeygroup.jpg 进行了说明。

  2. 单击 Yes 按钮删除密钥组。将从数据库中删除密钥组及与其关联的条目。您将返回到 "Key Group List" 屏幕,其中不再列出该密钥组。

"Agent Assignment to Key Groups" 菜单

使用 "Agent Assignment to Key Groups" 菜单选项可以将代理分配到密钥组。在将代理分配到密钥组时,将确定代理可访问的存储设备。该选项是 "Agents" 菜单下 "Key Group Assignment" 菜单选项的逆选项,所获得的结果相同。

重要提示-必须为代理设置默认密钥组后,代理才能分配密钥。

周围文本对 agent_assgn_key_groups_tree.jpg 进行了说明。

要查看代理分配,请在 "Key Groups" 菜单中选择 Agent Assignment to Key Groups。此时将显示 "Agent Assignment to Key Groups" 屏幕。

周围文本对 agent_assgmnt_to_key_groups.jpg 进行了说明。

"Key Groups" 列列出密钥组。"Agents Allowed Access" 列列出已分配到所选密钥组的代理。"Agents Not Allowed Access" 列列出未分配到所选密钥组的代理。

将代理分配到密钥组

要将代理分配到密钥组:

  1. 在 "Key Groups" 列中突出显示所需的密钥组。在 "Agents Not Allowed Access" 列中突出显示要添加的代理,然后单击向后移动箭头按钮。

    周围文本对 adding_agent_to_key_group.jpg 进行了说明。

  2. 选定的代理会移到 "Agents Allowed Access" 列中,表示该代理已成功添加到所选密钥组的代理列表中。

    周围文本对 adding_agent_to_key_groups2.jpg 进行了说明。

要将代理分配到密钥组并设置默认密钥组:

  1. 在 "Agent Assignment to Key Groups" 屏幕中,在 "Key Groups" 列表中选择所需的密钥组。

  2. 在 "Agents Not Allowed Access" 列表中,选择一个或多个要添加并设置默认密钥组的代理。

  3. 单击 Default Key Group for Agent 按钮。选定的代理将移到 "Agents Allowed Access" 列表中,并且其默认密钥组被设置成该密钥组。现在,代理可以访问该密钥组了。

要为已分配的代理设置默认密钥组:

  1. 在 "Agent Assignment to Key Groups" 屏幕中,在 "Key Groups" 列表中选择所需的密钥组。

  2. 在 "Agents Allowed Access" 列表中,选择一个或多个未以所选密钥组作为其默认密钥组的代理。

  3. 单击 Default Key Group for Agent 按钮。所选代理的默认密钥组被设置为该密钥组。

从密钥组中删除代理

要从密钥组的代理列表中删除代理:

  1. 在 "Key Groups" 列中突出显示所需的密钥组。在 "Agents Allowed Access" 列中突出显示要删除的代理,然后单击向前移动箭头按钮。

    周围文本对 remov_agent_fr_key_grp.jpg 进行了说明。

  2. 所选条目将从 "Agents Allowed Access" 列中移出,并在 "Agents Not Allowed Access" 列中列出。该代理不再分配给所选的密钥组。

    周围文本对 remov_agent_fr_key_grp2.jpg 进行了说明。

"Key Group Assignment to Agents" 菜单

使用 "Key Group Assignment to Agents" 菜单可以将密钥组分配给代理。该选项是 "Agent Assignment to Key Groups" 菜单选项的逆选项,所获得的结果相同。

周围文本对 key_group_assgn_to_agents.jpg 进行了说明。

要查看密钥组:

  1. 在 "Agents" 菜单中选择 Key Group Assignment to Agents。此时将显示 "Key Group Assignment to Agents" 屏幕。

    周围文本对 key_group_assgnment_menu.jpg 进行了说明。

    "Agents" 列列出了数据库中的代理。"Allowed Key Groups" 列列出了代理可以访问的密钥组。"Disallowed Key Groups" 列列出了代理不能访问的密钥组。

  2. 单击某个代理条目将显示作为选定代理的成员或非成员的密钥组。

    周围文本对 key_group_assgn1_to_agents.jpg 进行了说明。

将密钥组分配到代理

要将密钥组分配到代理:

  1. 在 "Key Group Assignment to Agents" 屏幕上的 "Agents" 列中突出显示所需的代理。在 "Disallowed Key Groups" 列中突出显示要添加的密钥组,然后单击向后移动箭头按钮。

    周围文本对 key_group_assgn_to_agents2.jpg 进行了说明。

  2. 所选条目将移到 "Allowed Key Groups" 列中,密钥组成功添加到选定代理中。

    周围文本对 key_group_assgn_to_agents3.jpg 进行了说明。

要将密钥组分配到代理作为默认密钥组:

  1. 在 "Key Group Assignment to Agents" 屏幕上的 "Agents" 列表中选择所需的代理。

  2. 在 "Disallowed Key Groups" 列表中,选择一个要为其添加并设置默认密钥组的密钥组。

  3. 单击 Default Key Group 按钮。所选密钥组将移到 "Allowed Key Groups" 列表中,并设置为代理的默认密钥组。现在,代理可以访问该密钥组了。

要将已分配的密钥组设置为默认密钥组:

  1. 在 "Key Group Assignment to Agents" 屏幕上的 "Agents" 列表中选择所需的代理。

  2. 在 "Allowed Key Groups" 列表中选择一个不是代理的默认密钥组的密钥组。

单击 Default Key Group 按钮。代理的默认密钥组已设置为所选密钥组。

从代理中删除密钥组

要从代理中删除密钥组:

  1. 在 "Key Group Assignment to Agents" 屏幕上的 "Agents" 列中突出显示所需的代理。在 "Allowed Key Groups" 列中突出显示要删除的密钥组,然后单击向前移动箭头按钮。

    周围文本对 key_group_assgn_to_agents4.jpg 进行了说明。

  2. 所选条目将从 "Allowed Key Groups" 列移到 "Disallowed KeyGroups" 列,不再分配给代理。

    周围文本对 key_group_assgn1_to_agents.jpg 进行了说明。

"Key Group Assignment to Transfer Partners" 菜单

使用 "Key Group Assignment to Transfer Partners" 菜单选项可以将密钥组分配到传输伙伴。

周围文本对 key_grps_asgn_trnsprts_mn.jpg 进行了说明。

查看密钥组分配

要查看密钥组分配,请在 "Transfer Partners" 菜单中选择 Key Group Assignment to Transfer Partners。此时会显示以下屏幕。

周围文本对 key_grp_asgn_to_trns_part1.jpg 进行了说明。

该屏幕显示可以访问传输伙伴的密钥组。"Allowed Key Groups" 列列出了已分配到所选传输伙伴的密钥组。"Disallowed Key Groups" 列显示未分配到传输伙伴的密钥组。

密钥组添加到传输伙伴

要将密钥组添加到传输伙伴列表:

  1. 在 "Transfer Partners" 列中突出显示要影响的传输伙伴。在 "Disallowed Key Groups" 列中突出显示要添加的密钥组,然后单击向后移动箭头按钮。

    周围文本对 adding_key_grp_transpart.jpg 进行了说明。

  2. 选定的密钥组将移到 "Allowed Key Groups" 列中,表示传输伙伴现在可以访问该密钥组了。

从传输伙伴中删除密钥组

要从传输伙伴中删除密钥组列表:

  1. 在 "Transfer Partners" 列中突出显示要影响的传输伙伴。在 "Allowed Key Groups" 列中突出显示要删除的密钥组,然后单击向前移动箭头按钮。

    周围文本对 key_grp_asgn_to_trns_part1.jpg 进行了说明。

  2. 选定的密钥组将移到 "Disallowed Key Groups" 列中,表示传输伙伴无法访问该密钥组。

"Transfer Partner Assignment to Key Groups" 菜单

通过 "Transfer Partner Assignment to Key Groups" 菜单,可以将密钥传输伙伴添加到允许访问特定密钥组的密钥传输伙伴集中。

周围文本对 transpart_assgn_t_keygp_mn.jpg 进行了说明。

查看传输组分配

要查看传输组分配,请在 "Key Groups" 菜单中选择 "Transfer Partner Assignment to Key Groups"。此时会显示以下屏幕。

周围文本对 transpart_assgn_keygrp_vw.jpg 进行了说明。

该屏幕显示可以访问密钥组的传输伙伴。"Transfer Partners Allowed Access" 列列出已分配到密钥组的传输伙伴。"Transfer Partners Not Allowed Access" 列显示未分配到密钥组的传输伙伴。

传输伙伴添加到密钥组

要将传输伙伴添加到密钥组:

  1. 在 "Key Groups" 列中突出显示要影响的密钥组。在 "Transfer Partners Allowed Access" 列中突出显示要添加的密钥组,然后单击向后移动箭头按钮。

    周围文本对 transpart_assgn_key_grp_ad.jpg 进行了说明。

  2. 选定的传输伙伴将移到 "Transfer Partners Allowed Access" 列中,表示密钥组现在可以访问该传输伙伴了。

从密钥组中删除传输伙伴

要从密钥组中删除传输伙伴:

  1. 在 "Key Groups" 列中突出显示要影响的密钥组。在 "Transfer Partners Allowed Access" 列中突出显示要删除的传输伙伴,然后单击向前移动箭头按钮。

    周围文本对 transpart_assgn_keygrp_vw.jpg 进行了说明。

  2. 选定的传输伙伴将移到 "Transfer Partners Not Allowed Access" 列中,表示密钥组无法访问该传输伙伴。

导入 KMS 1.0 密钥导出文件

要将 KMS 1.0 密钥导出文件导入到 KMA 并为此文件中的每个密钥创建一个新密钥:

  1. 转到 KMS 1.2 系统并将密钥导出到一个文件。只能导入从 KMS 1.2 系统导出的密钥。KMS 1.0 和 1.1 系统必须升级到 1.2 以后才能导出密钥。

  2. 在 "Secure Information Management" 菜单中选择 "Import 1.0 Keys"。

    周围文本对 import_10_keys.jpg 进行了说明。

  3. 完成以下参数:

    Destination Key Group

    选择要向其中导入这些密钥的目标密钥组。

    KMS 1.0 Key Export File Name

    键入 KMS 1.0 密钥导出文件的名称。

    Browse

    单击此按钮可查找文件。

    Start

    单击此按钮开始将 KMS 1.0 密钥文件上载到 KMA,并为该文件中包含的每个密钥创建一个新密钥。每个新密钥都与所选的密钥组关联。系统将显示消息,指示文件上载和应用的时间。

"Audit Event List" 菜单

"Audit Event List" 菜单可用于查看审计日志事件。

周围文本对 audit_event_list_menu.jpg 进行了说明。

查看审计日志

要查看审计日志事件:

在 "System Management" 菜单中选择 Audit Event List。此时将显示 "Audit Event List" 屏幕。

周围文本对 audit_event_list.jpg 进行了说明。

您也可以在数据库中滚动以及按以下任一项过滤审计事件列表:

  • Created Date

  • Operation

  • Severity

  • Condition

  • Entity ID

  • Entity Network Address

  • KMA ID

  • KMA Name

  • Class

  • Retention Term

  • Audit Log ID。

Use 按钮将过滤器应用于显示的审计日志列表。

字段及其描述如下所示:

Filter:

显示可用于过滤对 KMA 所执行查询的结果的字段。可能的值是:

  • Created Date

  • Operation

  • Severity

  • Condition

  • Entity ID

  • Entity Network Address

  • KMA Name

  • Class

  • Retention Term

  • Audit Log ID。

"Filter Operator" 框:

单击向下箭头并选择需要的过滤操作。可能的值是:

  • Empty

  • Not empty

"Filter Value 1" 框:

如果选择了日期过滤器,单击 Set Date 可指定开始日期和时间。该值显示为过滤项范围的开始值。如果选择了其他任何过滤器,请在此字段中键入一个值。

"Filter Value 2" 框:

如果选择了日期过滤器,单击 Set Date 可指定结束日期和时间。该值显示为过滤项范围的结束值。

"Filter Value 3" 框:

单击向下箭头并选择以下过滤器之一:

  • Don’t Show Short Term

  • Show All Retentions。

Created Date

显示审计事件的创建日期和时间。

Operation

显示导致创建审计事件记录的操作。

Severity

指示操作未成功时情况的严重性。可能的值包括 "Success"(无错误)、"Warning" 或 "Error"。

注:

如果 "Severity" 值为 "Error",则生成事件的 KMA 还会发出包含事件详细信息的 SNMP Inform 消息。

Condition

指示操作是否成功。

注:

错误以红色突出显示;警告以黄色突出显示。如果将光标悬停在错误消息上,会显示对错误的更详细的描述。

如果 "Condition" 值为 "Server Busy",则生成事件的 KMA 还会发出包含事件详细信息的 SNMP Inform 消息。

Event Message

显示审计事件条目的详细信息。

Entity ID

如果此审计事件是为了响应用户、代理或对等 KMA 请求的操作而生成的,则此字段将显示用户指定的该实体的标识符。否则,此字段留空。

Entity Network Address

如果此审计事件是为了响应用户、代理或对等 KMA 请求的操作而生成的,则此字段将显示该实体的网络地址。否则,此字段留空。

KMA ID

显示生成此审计事件的 KMA 的名称。此 KMA 名称是用户提供的可区分群集中每个 KMA 的标识符。

KMA Name

显示用户提供的可区分群集中每个设备的标识符。

Class

标识审计事件条目所属的操作的类。

注:

如果 "Class" 值为 "Security Violation",则生成事件的 KMA 还会发出包含事件详细信息的 SNMP Inform 消息。

可能的值是:

  • Agent Access Control Management Operations

  • Agent Client Generated Audits

  • Agent Management Operations

  • Appliance Management Operations

  • Audit Log Agent Operations

  • Audit Log Management Operations

  • Audit Log Operations

  • Backup Management Operations

  • CA Operations

  • Cluster Client Communication

  • Cluster Operations

  • Communication and Authentication

  • Console Security Management Operations

  • Data Unit Agent Operations

  • Data Unit Management Operations

  • Discovery Operations

  • Key Group Agent Operations

  • Key Group Management Operations

  • Key Policy Management Operations

  • License Key Management Operations

  • Local Management Operations

  • Management Client Generated Audits

  • Passphrase Agent Operations

  • Replication Operations

  • Retrieve Certificate Operations

  • Role Management Operations

  • SNMP Management Operations

  • Security Management Operations

  • Security Parameter Management Operations

  • Security Violation

  • Site Management Operations

  • System Messages

  • User Management Operations。

Retention Term

显示审计事件记录的保留时间长度。可能值包括 "Long Term"、"Medium Term" 和 "Short Term"。

Long Term

事件记录必须存储很长一段时间。

Medium Term

事件记录必须存储的时间长度中等。

Short Term

事件记录必须存储的时间很短。

Audit Log Entry ID

显示系统生成的可区分每种审计事件条目类型的唯一标识符。

Audit Log ID

显示系统生成的可区分每个审计事件条目的唯一标识符。

如果需要有关审计日志的更详细的信息,请突出显示相应的审计日志并单击 Details 按钮。有关更多信息,请参阅下文中的"查看审计日志详细信息"

单击 Export 按钮可导出审计日志。有关更多信息,请参阅"导出审计日志"

查看审计日志详细信息

要查看审计日志详细信息:

  1. 在 "Audit Event List" 屏幕中选择需要查看其更多信息的审计日志条目并单击 Details 按钮,或者双击该条目。此时将显示 "Audit Event Details" 对话框,其中除了 PreviousCloseNext 按钮以外,所有字段都处于禁用状态。

    周围文本对 audit_event_details.jpg 进行了说明。

  2. 单击 PreviousNext 按钮可访问上一条或下一条审计事件,单击 Close 按钮可返回到 "Audit Event List" 屏幕。

导出审计日志

利用导出功能可以将所有或者特定的审计日志条目导出到您工作站上的文本文件中。然后,可以在电子表格应用程序中打开该文件。

要导出审计日志:

  1. 在 "Audit Event List" 屏幕的 "View" 菜单中选择 Save Report...,或者按 Ctrl-S 组合键。

  2. 完成时,单击 Start 按钮将启动导出过程。如果在 "Audit Event List" 屏幕中过滤了条目,则仅导出这些条目。否则,将导出所有审计事件。

  3. 导出过程完成时,会在该对话框的底部显示已导出的审计日志数量。

  4. 单击 Close 按钮可关闭此对话框并返回到 "Audit Event List" 屏幕。

"Data Unit List" 菜单

使用 "Data Unit List" 菜单可执行以下操作:

  • 查看数据单元

  • 查看/修改数据单元详细信息

  • 查看数据单元的活动历史记录

  • 销毁操作后的数据单元密钥。

有关使用 "Data Units" 菜单的过程,请参阅""Data Unit List" 菜单"

泄密密钥

合规官有权泄密密钥。

  1. 在 "Data Unit List" 屏幕中选择要修改的数据单元,然后单击 Details 按钮。此时将显示 "Data Unit Details" 对话框。

    周围文本对 data_unit_details.jpg 进行了说明。

  2. 单击 "Key List" 选项卡可查看与此数据单元关联的密钥。

    周围文本对 data_unit_det_key_list_co.jpg 进行了说明。

  3. 选择要泄密的密钥,然后单击 Compromise 按钮。此时将显示一个对话框,要求确认泄密密钥。

  4. 单击 Yes 按钮。此时将显示以下对话框,提示您输入注释。

    周围文本对 dataunit_keylist_comp_cmnt.jpg 进行了说明。

  5. 键入有关泄密选定密钥的注释。如果单击 Compromise 按钮,将再显示一个对话框,要求确认泄密密钥。

  6. 单击 Yes 按钮。此时将显示一个对话框,显示已泄密的密钥数量。

"Key List" 菜单

使用 "Key List" 菜单可以执行以下操作:

  • 直接查询密钥,无需查询数据单元

  • 查询与特定数据单元关联的密钥。

周围文本对 key_list_menu.jpg 进行了说明。

查询密钥

要直接查询密钥:

  1. 在 "System Management" 菜单中选择 "Key List"。此时将显示 "Key List" 屏幕。

    周围文本对 key_list.jpg 进行了说明。

  2. 单击 "Details" 按钮(或者双击某个密钥)可显示有关该密钥的更多信息。此时会出现 "Key Details" 对话框。

    合规官可以更改与此密钥关联的密钥组。操作员可以更改 "In Use By Data Unit" 标记;该标记指示此密钥是否与某个数据单元关联。

    周围文本对 key_list_details.jpg 进行了说明。

  3. 单击 "Data Unit Info" 选项卡可显示有关与此密钥关联的数据单元(如果有)的信息。

    周围文本对 key_list_data_unit.jpg 进行了说明。

其他功能

合规官还可以:

  • 查看审计事件列表

  • 查看系统时间

  • 锁定/解锁 KMA 状态

  • 访问 "KMA List" 屏幕。

  • 查询有关此 OKM 群集中的 KMA 的 KMA 性能信息。

  • 查询有关 GUI 连接到的 KMA 的负载信息。

  • 查询代理性能信息。

  • 查询数据单元列表密钥计数。

有关查看这些功能的过程,请参阅章 5, "安全官操作"