電子政務(wù)的認(rèn)證、授權(quán)與審計(jì)方案

1、內(nèi)容請(qǐng)參見：，，，citor~cn電子政務(wù)的認(rèn)證、授權(quán)與審計(jì)方案目前在電子政務(wù)中信息安全面臨的問題1缺乏集中統(tǒng)一的用戶身份認(rèn)證機(jī)制。用戶身份認(rèn)證是建立安全應(yīng)用系統(tǒng)的第一道防線，各類業(yè)務(wù)系統(tǒng)和設(shè)備管理的用戶身份認(rèn)證各自為政、互不相同，其認(rèn)證的方式呈現(xiàn)多樣化，用戶登錄不同的業(yè)務(wù)系統(tǒng)可能采用完全不同的登錄方式，管理員對(duì)于用戶的管理在后臺(tái)是分散的。2缺乏集中統(tǒng)一的資源訪問授權(quán)機(jī)制。各種業(yè)務(wù)系統(tǒng)對(duì)于資源的授權(quán)訪問方式不同，資源訪問授權(quán)分散于各類業(yè)

2、務(wù)系統(tǒng)中，缺乏集中的資源訪問授權(quán)，使得管理員對(duì)于配置細(xì)粒度資源訪問以及授權(quán)往往感到力不從心。3缺乏集中統(tǒng)一的日志審計(jì)機(jī)制。同樣，系統(tǒng)資源的訪問日志以及系統(tǒng)資源的關(guān)鍵操作審計(jì)信息也是分散的，使得管理員對(duì)于系統(tǒng)安全事件的分析和追蹤變得十分復(fù)雜。4缺乏單點(diǎn)登錄機(jī)制。當(dāng)一個(gè)用戶需要操作多種不同的業(yè)務(wù)系統(tǒng)時(shí)，用戶需要采用不同的登錄方式進(jìn)行多次登錄，可能需要記憶多個(gè)不同的登錄口令。5對(duì)于不同用戶難于劃分其權(quán)限管理域。以電子政務(wù)信息系■李忠獻(xiàn)統(tǒng)為例，

3、信息系統(tǒng)的用戶可能包括“系統(tǒng)管理員用戶”、“業(yè)務(wù)系統(tǒng)用戶”、“同級(jí)單位用戶”、“系統(tǒng)開發(fā)商用戶”等等，因?yàn)闆]有集中統(tǒng)一的認(rèn)證、授權(quán)和審計(jì)機(jī)制，管理員難以對(duì)諸多不同的用戶按照權(quán)限管理域進(jìn)行合理劃分，從而難以實(shí)施有效的管理措施和手段。針對(duì)上述問題，國(guó)瑞數(shù)碼安全系統(tǒng)有限公司經(jīng)過多年的市場(chǎng)調(diào)研和產(chǎn)品研發(fā)，最近推出了資源訪問控制安全支撐平臺(tái)產(chǎn)品DigitalTrust。DigitalTrust能夠充分保證信息系統(tǒng)中的各類資源和業(yè)務(wù)系統(tǒng)登錄以及訪問

4、時(shí)的安全性，為上層多種業(yè)務(wù)和多種設(shè)備提供統(tǒng)一的安全支撐服務(wù)，提高信息系統(tǒng)的業(yè)務(wù)可擴(kuò)展能力，降低信息系統(tǒng)總體管理成本，實(shí)現(xiàn)“一個(gè)平臺(tái)支撐多種業(yè)務(wù)和設(shè)備的安全管理”。DigitalTrust資源訪問控制安全平臺(tái)簡(jiǎn)介1系統(tǒng)概述DigitalTrust可以對(duì)多種業(yè)務(wù)系統(tǒng)、設(shè)備、服務(wù)器和數(shù)據(jù)庫進(jìn)行統(tǒng)一集中的認(rèn)證、授權(quán)和審計(jì)，為上層應(yīng)用提供底層的應(yīng)用安全基礎(chǔ)平臺(tái)。DigitalTrust可以根據(jù)用戶應(yīng)用的實(shí)際需要，提供高強(qiáng)度的身份認(rèn)證(一次性口令和

5、基于數(shù)字證書的認(rèn)證)，為用戶提供單點(diǎn)登錄功能。當(dāng)用戶登錄到一個(gè)應(yīng)用系統(tǒng)時(shí)，不需要再次登錄其他應(yīng)用系統(tǒng)就可以訪問這些應(yīng)用系統(tǒng)中有權(quán)限的系統(tǒng)資源。DigitalTrust可以對(duì)用戶的資源訪問權(quán)限進(jìn)行集中控制。它既可以控制用戶對(duì)WEB網(wǎng)頁的訪問權(quán)限，也可以控制用戶對(duì)系統(tǒng)功能(例如功能按鈕、功能菜單項(xiàng)等)的訪問權(quán)限。DigitalTrust還可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫數(shù)據(jù)的字段級(jí)(即不同的用戶對(duì)數(shù)據(jù)庫表的某些字段具有不同的訪問權(quán)限)和記錄級(jí)訪問控制(即不

6、同的用戶能夠訪問的數(shù)據(jù)庫記錄不同)。例如，財(cái)務(wù)系統(tǒng)中，只有高級(jí)管理員才能查詢員工的詳細(xì)信息，包括電話、Email、地址等隱私信息，一般管理員只能查詢用戶姓名等一般信息(字段級(jí)控制)；一般管理員只能查詢?cè)滦降陀?000元的員工薪酬信息，而高級(jí)管理員可以查詢所有員工的薪酬信息。DigitalTrust還提供了日志的集中審計(jì)。DigitalTrust將用戶所有的操作日志集中記錄、管理和分析，便于對(duì)用戶行為進(jìn)行監(jiān)控，并可以根據(jù)審計(jì)日志追究安全事

7、故責(zé)任。DigitalTrust將設(shè)備、服務(wù)器主機(jī)和數(shù)據(jù)庫的訪問控制也納入到集中的認(rèn)證、授權(quán)和審計(jì)的安全平臺(tái)中。所有的設(shè)備、服務(wù)器主機(jī)和數(shù)據(jù)庫管理員必須經(jīng)過D一Apr15200621維普資訊talTrust的身份認(rèn)證才能夠登錄進(jìn)行系統(tǒng)維護(hù)，有效地遏制了非法用戶登錄并從事惡意行為的情況；而且，DigitalTrust對(duì)管理員的維護(hù)命令操作權(quán)限進(jìn)行了限制，不同的管理員具有不同的可操作命令集。同樣的，DigitalTrust也會(huì)對(duì)管理員的登錄

8、和命令操作進(jìn)行詳細(xì)的日志記錄。2系統(tǒng)結(jié)構(gòu)與原理授權(quán)策略服務(wù)器：負(fù)責(zé)對(duì)用戶進(jìn)行授權(quán)；授權(quán)管理終端：對(duì)最終用戶進(jìn)行授權(quán)；ORSP服務(wù)器：與DT服務(wù)器通信，提供給系統(tǒng)統(tǒng)一的資源訪問服務(wù)的能力；DT服務(wù)器：提供給用戶，業(yè)務(wù)系統(tǒng)身份鑒別、授權(quán)、審計(jì)等統(tǒng)一接口服務(wù)能力；數(shù)據(jù)庫服務(wù)器：存放資源和用戶的授權(quán)等信息；審計(jì)分析終端：圖形化管理工具，提供管理員對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析查找的功能?；驹砗?jiǎn)要描述如下：(1)在邏輯上安全支撐平臺(tái)處于用戶和信息資源之間

9、的中間層；(2)用戶對(duì)于所有資源的登錄必須要經(jīng)過安全支撐平臺(tái)進(jìn)行身份確認(rèn)；(3)用戶對(duì)于資源的訪問必須經(jīng)過安全支撐平臺(tái)的許可，安全支撐平臺(tái)在后臺(tái)策略庫中進(jìn)行查找和匹配，如果用戶沒有訪問權(quán)限，則不允許訪問該資源；(4)對(duì)于用戶每一個(gè)資源的每一次訪問都能夠在后臺(tái)數(shù)據(jù)庫中保存詳細(xì)的審計(jì)記錄。3DigitalTrust可管理的資源B／S模式應(yīng)用系統(tǒng)。Distal—Trust支持多種WEB服務(wù)器平臺(tái)，如果只對(duì)URL或者文件進(jìn)圖1系統(tǒng)結(jié)構(gòu)與原理用戶

10、端DigitalTrust統(tǒng)一認(rèn)證授權(quán)審計(jì)安全支撐平臺(tái)行訪問控制，WEB業(yè)務(wù)系統(tǒng)不需要做任何更改；如果需要對(duì)數(shù)據(jù)庫的記錄或者字段進(jìn)行訪問控制，WEB業(yè)務(wù)系統(tǒng)需要做簡(jiǎn)單的二次開發(fā)工作，Di~talTrust提供AP1支持。C／S模式應(yīng)用系統(tǒng)。Digital—Trust提供對(duì)C／S模式應(yīng)用系統(tǒng)的認(rèn)證授權(quán)審計(jì)的支持，但是需要二次開發(fā)，DigitalTrust提供二次開發(fā)的AP1支持。網(wǎng)絡(luò)設(shè)備的訪問管理。Dig—italTrust提供對(duì)網(wǎng)絡(luò)設(shè)備

11、的統(tǒng)一管理和維護(hù)，這些設(shè)備包括交換機(jī)、路由器、防火墻等。服務(wù)器主機(jī)的訪問管理。Di~talTrust提供對(duì)主機(jī)服務(wù)器的統(tǒng)一管理和維護(hù)，這些服務(wù)器包括UNIX平臺(tái)服務(wù)器、Linux主機(jī)服務(wù)器等。數(shù)據(jù)庫服務(wù)器的訪問管理。Di6talTrust提供對(duì)數(shù)據(jù)庫服務(wù)器的統(tǒng)一管理和維護(hù)，數(shù)據(jù)庫類型包括Oracle、Sybase、Microsoft路由器業(yè)務(wù)與設(shè)備資源SqlServer等。4DigitalTrust的特點(diǎn)。支持多層結(jié)構(gòu)的認(rèn)證授權(quán)審計(jì)機(jī)制

12、；各個(gè)業(yè)務(wù)點(diǎn)建立相對(duì)獨(dú)立的用戶認(rèn)證授權(quán)審計(jì)系統(tǒng)；支持口令認(rèn)證和基于數(shù)字證書的認(rèn)證等多種認(rèn)證方式；完善的用戶、組、域管理結(jié)構(gòu)；基于應(yīng)用角色的資源授權(quán)管理；基于管理員角色的管理員權(quán)限配置；實(shí)現(xiàn)系統(tǒng)的集中認(rèn)證授權(quán)和審計(jì)；實(shí)現(xiàn)全網(wǎng)的單點(diǎn)登錄功能(sso)；支持基于B／S結(jié)構(gòu)和C／S結(jié)構(gòu)的各種應(yīng)用，和業(yè)務(wù)系統(tǒng)進(jìn)行無縫整合；具有用戶全網(wǎng)漫游功能，支持移動(dòng)辦公；支持設(shè)備的安全集中管理。5主要應(yīng)用的行業(yè)和領(lǐng)域DigitalTrust可以應(yīng)用于以下行業(yè)和