企业内网场景:DTC如何实现资产追溯与人员审计?
一、传统企业内网的痛点:你是谁?谁在用?
在企业内部网络中,IT管理员经常遇到以下困境:
痛点1:IP地址是临时的,追不到人
员工电脑每天可能通过DHCP获得不同的IP。安全日志显示“192.168.1.100在凌晨3点访问了敏感数据库”,但查了一圈发现这个IP今天分配给了A,昨天分配给了B,前一天可能是一台打印机。根本无法精确定位到具体员工。
痛点2:共享账号、设备混用
会议室公用电脑、测试服务器、运维跳板机,多人共用。发生安全事件后,只能查到“某台设备”出了问题,但无法确定当时是谁在使用。
痛点3:离职员工仍然能接入
员工的个人笔记本上安装了公司VPN证书,离职后证书没有及时吊销,或者他记住了某个共享密码,仍然可以从外面接入内网。
痛点4:合规审计成本高
为了满足等保、GDPR、SOX等合规要求,企业需要记录谁在什么时间访问了什么数据。传统的基于IP的日志,事后需要大量人工关联分析,效率极低。
这些问题的根源是什么?网络层缺少“身份”概念。IP地址只是临时的位置标签,不是人的身份标签。
二、DTC的双层身份绑定:企业前缀 + 工号哈希
DTC为每一台设备分配了一个16字节的永久身份地址。在企业内网场景下,这个地址分为两层:
字段 长度 说明
类型前缀 2位 团体域固定为01
企业前缀 6字节 基于统一社会信用代码或企业组织机构代码,标识设备归属于哪家公司
工号哈希 6字节 企业内部员工的工号单向哈希值(由企业密钥生成)
设备序号 2字节 同一员工的不同设备(手机、电脑、平板等)
注意:工号哈希不是明文的工号,而是 hash(企业前缀 || 工号 || 企业密钥)。没有企业密钥,谁也无法从哈希反推出工号。但是企业内部IT系统可以用自己的密钥做反向映射。
三、设备生命周期:从入职到离职
3.1 入职:设备写入企业身份
当新员工入职时:
- IT