建设电子政务审计监控体系 提高信息安全
来源:电子政务网 更新时间:2012-04-13
在信息化带动工业化,工业化促进现代化,全面建设小康社会和构建社会主义和谐社会关键时期,加强电子政务建设是政务信息化和提高政府工作效率的必然选择。在电子政务建设过程中,安全保障体系建设是保证电子政务网络稳定高效运行的关键。电子政务的安全保障体系建设主要是三大体系建设,即身份认证体系、责任认定体系和授权管理体系建设。建设电子政务的审计监控体系就是要建设完整的责任认定体系和健全授权管理体系,从技术上加强了电子政务安全管理,从而保证了电子政务的安全性。

  一、审计监控体系为电子政务建立了一个完整的责任认定体系

  1)在信任体系中对合法操作行为的责任认定

  责任认定体系设计的定位就是所有的操作者都是不可信任的,这就决定了责任认定在这里所处的地位:起到完善信任体系中痕迹保留以及事后追查的作用,是和身份认证、授权管理并列的保证网络内网安全的三大重要措施。在信任体系中的责任认定,传统的手段是通过查阅应用程序的操作日志、通过调用数据库的操作日志、通过审计其他设备的操作日志来反映合法操作行为和非法行为的责任认定问题。这部分的责任认定体系是整个完整的责任认定体系中的一部分。它不能解决所有的责任认定问题。相反地,由于各产品缺乏有效的协调性,记录的信息无法互通,所以在很大的程度上,这部分分散的、凌乱的信息在工作中很难被有效使用,一直是整个信息安全建设中的一个软肋。

  2)对网络中非法操作行为的责任认定

  对于非法操作的责任认定,现有的手段是通过审计监管技术来实现责任认定。由于这部分的责任认定针对性强,目的明确,又有响应实时、警告及时等特点,所以在电子政务建设中越来越被重视。它的作用与审计机关在国家经济体系中的审计行为有着非常类似的共性--同样是对非法的操作行为进行审计。所不同的是,审计机关是对非法的经济行为进行审计,而信息安全强审计是对电子政务网络中的非法操作行为进行审计。他的作用已经决定了它是责任认定体系中最重要的一个组成部分,对整个责任认定体系起着决定性的作用。

  3)以强审计为核心建立完整的责任认定体系

  要解决一个完整的责任认定体系,我们不仅要考虑到对合法操作行为的责任认定,更要考虑到对非法操作行为的责任认定。同时我们又要兼顾网络中各个设备审计信息的全面收集,以及对审计数据的集约化管理以及分析。以强审计为核心的责任认定体系,我们通过对网络组成要素的审计,通过对应用系统的审计,通过对安全产品的审计,通过对主机、服务器、网络、数据库等网络中所有资源的审计。构建了一个完整的责任认定体系。同时,由于强审计系统强大的审计分析功能,可以及时有效的反映责任认定数据。确保了责任认定体系强有力、完整等的特性。

  二、健全授权管理体系

  1、通过PMI系统完成对应用系统资源的授权管理。

  PMI是基于PKI体系的授权管理系统,通过数字证书认证的机制对用户进行授权管理,将授权管理功能从传统的应用系统中分离出来,以独立服务的方式面向应用提供授权管理服务。PMI主要对应用系统的权限进行分配和管理,是信息资源授权管理的重要环节,PMI不是授权管理体系的全部,它提供了强大的面向应用的授权管理功能,但无法满足所有授权管理的需要。

  2、通过审计监控体系完成对网络资源的授权管理。

  在授权管理中,对网络资源的授权管理是非常重要的问题。不解决这个问题,就无法建立起完整的授权管理体系。审计监控体系从根本上对全网进行授权监督管理。主要表现在以下功能:

  1)网络连接的授权管理

  网络的授权管理主要表现在外部计算机接入授权管理、网络内主机之间的访问和主机访问外网的授权管理等方面。首先,要保证网络的安全性,必须保证所有连接入网络的计算机都是合法的,任何非法接入的企图都是能够得到有效控制和管理的。其次,网络内各主机之间的访问和连接都是得到授权并可以控制的。第三,所有能够连入外网计算机的访问外网的权限都是有限的、受控的和经过授权的。

  2)主机的授权管理

  主机的授权管理主要体现在盘符、MODEM、重要文件资源等方面。第一、对网络的输入输出授权管理是从源头上保证数据的安全性。输入输出的主要途径包括光驱(含刻录光驱)、软驱、USB口等,对网络内的用户使用光驱(含刻录光驱)、软驱、USB口授以权限并统一输入输入通道,从而保证数据进出的安全性。第二,对主机中重要文件资源的使用实行严格的授权管理。重要文件资源的使用包括对文件的阅读,修改、存储、备份、打印、另存、拷贝等行为,对这些行为的授权管理可以有效的保证网络内部用户对文件资源的操作都是在许可范围内的,所有非法的操作或者操作企图都会被禁止的。第三、对拨号的授权。对于有统一出口的网络或者物理隔离于公网的网络通过拨号上网(包括ADSL拨号、MODEM拨号、GPRS拨号、手机拨号等)的方式存在诸多的安全隐患,必须严格的授权与限制。3)数据库的授权管理

  目前对数据库的授权管理通常只能通过采用传统的人为管理手段来实现,但现代的授权管理体系要求我们必须采用有效的网络技术来保证数据库的安全。审计监控体系中对操作者向数据库中字符、段的访问进行授权。有效的解决了数据库的授权管理问题。

  4)服务器的授权管理

  网络中的服务器是整个网络的大脑,它向网络中所有的主机以及终端提供服务。在开放性的网络服务中,服务器的授权管理一直是授权管理体系的重要问题。审计监控体系通过对重要文件的授权管理,对终端访问服务器的授权管理等方法,有效的解决了服务授权管理的问题。

  5)对网络打印机的权限分配、控制与管理

  打印机是文件输出的重要工具,现代办公环境中的打印机提供了开放的网络服务,极大的便捷了网络的应用。但在便捷的同时,网络打印机由于其本身开放性的特点,给网络授权管理造成了很大的难度。审计监控体系从网络打印服务的本质入手,解决了终端对网络打印权限的授权问题。

  通过审计监控体系完成对网络资源的授权管理既是构建完善的授权管理基础设施的重要组成部分,同时也是建立健全责任认定体系的必要前提。和PMI体系共同成为信息系统授权管理的两大组成部分,二者之间是互补的,耦合的,共同发挥效能才能够有效保证信息系统权限安全。

  三、审计监控体系在电子政务建设中的重要性

  1、建了完整的责任认定体系

  审计监控体系的出现,使我们从辨证客观的角度重新分析了责任认定体系所包含的特性。它能够完整的诠释责任认定体系。通过实践证明,只有通过稳定而成熟的审计技术,才能建立起一个行为不可抵赖、数据可靠,完整并且强有力的责任认定体系。

  2、健全授权管理体系

  在信息化建设过程中,事实证明,网络中的传统授权管理体系一直停留在原始的一把钥匙一扇门的模式中。现代的信息化建设需要多层次,多角度的授权管理模式,充分反映网络资源可控、网络授权多元化等现代化办公需求。审计监控体系与PMI的组合,构成了一个完整而又独立的多元化授权管理体系及完善的责任认定体系。将授权管理体系从无序化、不完整的传统授权管理,转化为适应现代化办公需求的现代授权管理体系。同时、审计监控体系与PMI互相补充,同时又互相独立,各自在现代授权管理体系中起到不可替代的作用。

  3、与网络管理相结合,完善电子政务网络管理模式

  安全管理模式经历了从“规章制度建设”到“三分技术、七分管理”再到目前的“技管并重”。强审计系统实质上是“技管并重”管理中的重要一环,初步构建了运用技术手段解决信息安全管理中的问题。同时,它通过与传统的安全管理模式相结合,与行政管理模式相结合,通过分级别,分层次等方法为安全管理提供技术支撑。强审计技术发展至今,已经形成了非常强大的智能分析系统,通过系统分析与智能分析的相结合,强审计系统已经为实时有力地解决网络安全管理问题提供了有效的途径。

  4、促进信息化发展朝科学发展观精神迈进

  通过分析审计数据,减少、减轻信息化过程中的重复投资;通过分析审计数据加大、加快必要环节建设;通过与传统安全管理模式结合,有效的加大行政手段在网络中的管理力度;解决责任认定体系,健全授权管理体系。做为信息安全建设中不可替代的重要一环,加快、加大对审计监控体系的建设对坚持科学发展观解决信息化过程中面临的矛盾和问题有着非常重要的作用。