電子政務的認證、授權與審計方案

1、內容請參見：，，，citor~cn電子政務的認證、授權與審計方案目前在電子政務中信息安全面臨的問題1缺乏集中統一的用戶身份認證機制。用戶身份認證是建立安全應用系統的第一道防線，各類業務系統和設備管理的用戶身份認證各自為政、互不相同，其認證的方式呈現多樣化，用戶登錄不同的業務系統可能采用完全不同的登錄方式，管理員對于用戶的管理在后臺是分散的。2缺乏集中統一的資源訪問授權機制。各種業務系統對于資源的授權訪問方式不同，資源訪問授權分散于各類業

2、務系統中，缺乏集中的資源訪問授權，使得管理員對于配置細粒度資源訪問以及授權往往感到力不從心。3缺乏集中統一的日志審計機制。同樣，系統資源的訪問日志以及系統資源的關鍵操作審計信息也是分散的，使得管理員對于系統安全事件的分析和追蹤變得十分復雜。4缺乏單點登錄機制。當一個用戶需要操作多種不同的業務系統時，用戶需要采用不同的登錄方式進行多次登錄，可能需要記憶多個不同的登錄口令。5對于不同用戶難于劃分其權限管理域。以電子政務信息系■李忠獻統為例，

3、信息系統的用戶可能包括“系統管理員用戶”、“業務系統用戶”、“同級單位用戶”、“系統開發商用戶”等等，因為沒有集中統一的認證、授權和審計機制，管理員難以對諸多不同的用戶按照權限管理域進行合理劃分，從而難以實施有效的管理措施和手段。針對上述問題，國瑞數碼安全系統有限公司經過多年的市場調研和產品研發，最近推出了資源訪問控制安全支撐平臺產品DigitalTrust。DigitalTrust能夠充分保證信息系統中的各類資源和業務系統登錄以及訪問

4、時的安全性，為上層多種業務和多種設備提供統一的安全支撐服務，提高信息系統的業務可擴展能力，降低信息系統總體管理成本，實現“一個平臺支撐多種業務和設備的安全管理”。DigitalTrust資源訪問控制安全平臺簡介1系統概述DigitalTrust可以對多種業務系統、設備、服務器和數據庫進行統一集中的認證、授權和審計，為上層應用提供底層的應用安全基礎平臺。DigitalTrust可以根據用戶應用的實際需要，提供高強度的身份認證(一次性口令和

5、基于數字證書的認證)，為用戶提供單點登錄功能。當用戶登錄到一個應用系統時，不需要再次登錄其他應用系統就可以訪問這些應用系統中有權限的系統資源。DigitalTrust可以對用戶的資源訪問權限進行集中控制。它既可以控制用戶對WEB網頁的訪問權限，也可以控制用戶對系統功能(例如功能按鈕、功能菜單項等)的訪問權限。DigitalTrust還可以實現對數據庫數據的字段級(即不同的用戶對數據庫表的某些字段具有不同的訪問權限)和記錄級訪問控制(即不

6、同的用戶能夠訪問的數據庫記錄不同)。例如，財務系統中，只有高級管理員才能查詢員工的詳細信息，包括電話、Email、地址等隱私信息，一般管理員只能查詢用戶姓名等一般信息(字段級控制)；一般管理員只能查詢月薪低于4000元的員工薪酬信息，而高級管理員可以查詢所有員工的薪酬信息。DigitalTrust還提供了日志的集中審計。DigitalTrust將用戶所有的操作日志集中記錄、管理和分析，便于對用戶行為進行監控，并可以根據審計日志追究安全事

7、故責任。DigitalTrust將設備、服務器主機和數據庫的訪問控制也納入到集中的認證、授權和審計的安全平臺中。所有的設備、服務器主機和數據庫管理員必須經過D一Apr15200621維普資訊talTrust的身份認證才能夠登錄進行系統維護，有效地遏制了非法用戶登錄并從事惡意行為的情況；而且，DigitalTrust對管理員的維護命令操作權限進行了限制，不同的管理員具有不同的可操作命令集。同樣的，DigitalTrust也會對管理員的登錄

8、和命令操作進行詳細的日志記錄。2系統結構與原理授權策略服務器：負責對用戶進行授權；授權管理終端：對最終用戶進行授權；ORSP服務器：與DT服務器通信，提供給系統統一的資源訪問服務的能力；DT服務器：提供給用戶，業務系統身份鑒別、授權、審計等統一接口服務能力；數據庫服務器：存放資源和用戶的授權等信息；審計分析終端：圖形化管理工具，提供管理員對審計數據進行分析查找的功能?；驹砗喴枋鋈缦拢?1)在邏輯上安全支撐平臺處于用戶和信息資源之間

9、的中間層；(2)用戶對于所有資源的登錄必須要經過安全支撐平臺進行身份確認；(3)用戶對于資源的訪問必須經過安全支撐平臺的許可，安全支撐平臺在后臺策略庫中進行查找和匹配，如果用戶沒有訪問權限，則不允許訪問該資源；(4)對于用戶每一個資源的每一次訪問都能夠在后臺數據庫中保存詳細的審計記錄。3DigitalTrust可管理的資源B／S模式應用系統。Distal—Trust支持多種WEB服務器平臺，如果只對URL或者文件進圖1系統結構與原理用戶

10、端DigitalTrust統一認證授權審計安全支撐平臺行訪問控制，WEB業務系統不需要做任何更改；如果需要對數據庫的記錄或者字段進行訪問控制，WEB業務系統需要做簡單的二次開發工作，Di~talTrust提供AP1支持。C／S模式應用系統。Digital—Trust提供對C／S模式應用系統的認證授權審計的支持，但是需要二次開發，DigitalTrust提供二次開發的AP1支持。網絡設備的訪問管理。Dig—italTrust提供對網絡設備

11、的統一管理和維護，這些設備包括交換機、路由器、防火墻等。服務器主機的訪問管理。Di~talTrust提供對主機服務器的統一管理和維護，這些服務器包括UNIX平臺服務器、Linux主機服務器等。數據庫服務器的訪問管理。Di6talTrust提供對數據庫服務器的統一管理和維護，數據庫類型包括Oracle、Sybase、Microsoft路由器業務與設備資源SqlServer等。4DigitalTrust的特點。支持多層結構的認證授權審計機制

12、；各個業務點建立相對獨立的用戶認證授權審計系統；支持口令認證和基于數字證書的認證等多種認證方式；完善的用戶、組、域管理結構；基于應用角色的資源授權管理；基于管理員角色的管理員權限配置；實現系統的集中認證授權和審計；實現全網的單點登錄功能(sso)；支持基于B／S結構和C／S結構的各種應用，和業務系統進行無縫整合；具有用戶全網漫游功能，支持移動辦公；支持設備的安全集中管理。5主要應用的行業和領域DigitalTrust可以應用于以下行業和