1、內容請參見：，，，citor~cn電子政務的認證、授權與審計方案目前在電子政務中信息安全面臨的問題1缺乏集中統(tǒng)一的用戶身份認證機制。用戶身份認證是建立安全應用系統(tǒng)的第一道防線，各類業(yè)務系統(tǒng)和設備管理的用戶身份認證各自為政、互不相同，其認證的方式呈現(xiàn)多樣化，用戶登錄不同的業(yè)務系統(tǒng)可能采用完全不同的登錄方式，管理員對于用戶的管理在后臺是分散的。2缺乏集中統(tǒng)一的資源訪問授權機制。各種業(yè)務系統(tǒng)對于資源的授權訪問方式不同，資源訪問授權分散于各類業(yè)

2、務系統(tǒng)中，缺乏集中的資源訪問授權，使得管理員對于配置細粒度資源訪問以及授權往往感到力不從心。3缺乏集中統(tǒng)一的日志審計機制。同樣，系統(tǒng)資源的訪問日志以及系統(tǒng)資源的關鍵操作審計信息也是分散的，使得管理員對于系統(tǒng)安全事件的分析和追蹤變得十分復雜。4缺乏單點登錄機制。當一個用戶需要操作多種不同的業(yè)務系統(tǒng)時，用戶需要采用不同的登錄方式進行多次登錄，可能需要記憶多個不同的登錄口令。5對于不同用戶難于劃分其權限管理域。以電子政務信息系■李忠獻統(tǒng)為例，

3、信息系統(tǒng)的用戶可能包括“系統(tǒng)管理員用戶”、“業(yè)務系統(tǒng)用戶”、“同級單位用戶”、“系統(tǒng)開發(fā)商用戶”等等，因為沒有集中統(tǒng)一的認證、授權和審計機制，管理員難以對諸多不同的用戶按照權限管理域進行合理劃分，從而難以實施有效的管理措施和手段。針對上述問題，國瑞數(shù)碼安全系統(tǒng)有限公司經(jīng)過多年的市場調研和產(chǎn)品研發(fā)，最近推出了資源訪問控制安全支撐平臺產(chǎn)品DigitalTrust。DigitalTrust能夠充分保證信息系統(tǒng)中的各類資源和業(yè)務系統(tǒng)登錄以及訪問

4、時的安全性，為上層多種業(yè)務和多種設備提供統(tǒng)一的安全支撐服務，提高信息系統(tǒng)的業(yè)務可擴展能力，降低信息系統(tǒng)總體管理成本，實現(xiàn)“一個平臺支撐多種業(yè)務和設備的安全管理”。DigitalTrust資源訪問控制安全平臺簡介1系統(tǒng)概述DigitalTrust可以對多種業(yè)務系統(tǒng)、設備、服務器和數(shù)據(jù)庫進行統(tǒng)一集中的認證、授權和審計，為上層應用提供底層的應用安全基礎平臺。DigitalTrust可以根據(jù)用戶應用的實際需要，提供高強度的身份認證(一次性口令和

5、基于數(shù)字證書的認證)，為用戶提供單點登錄功能。當用戶登錄到一個應用系統(tǒng)時，不需要再次登錄其他應用系統(tǒng)就可以訪問這些應用系統(tǒng)中有權限的系統(tǒng)資源。DigitalTrust可以對用戶的資源訪問權限進行集中控制。它既可以控制用戶對WEB網(wǎng)頁的訪問權限，也可以控制用戶對系統(tǒng)功能(例如功能按鈕、功能菜單項等)的訪問權限。DigitalTrust還可以實現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的字段級(即不同的用戶對數(shù)據(jù)庫表的某些字段具有不同的訪問權限)和記錄級訪問控制(即不

6、同的用戶能夠訪問的數(shù)據(jù)庫記錄不同)。例如，財務系統(tǒng)中，只有高級管理員才能查詢員工的詳細信息，包括電話、Email、地址等隱私信息，一般管理員只能查詢用戶姓名等一般信息(字段級控制)；一般管理員只能查詢月薪低于4000元的員工薪酬信息，而高級管理員可以查詢所有員工的薪酬信息。DigitalTrust還提供了日志的集中審計。DigitalTrust將用戶所有的操作日志集中記錄、管理和分析，便于對用戶行為進行監(jiān)控，并可以根據(jù)審計日志追究安全事

7、故責任。DigitalTrust將設備、服務器主機和數(shù)據(jù)庫的訪問控制也納入到集中的認證、授權和審計的安全平臺中。所有的設備、服務器主機和數(shù)據(jù)庫管理員必須經(jīng)過D一Apr15200621維普資訊talTrust的身份認證才能夠登錄進行系統(tǒng)維護，有效地遏制了非法用戶登錄并從事惡意行為的情況；而且，DigitalTrust對管理員的維護命令操作權限進行了限制，不同的管理員具有不同的可操作命令集。同樣的，DigitalTrust也會對管理員的登錄

8、和命令操作進行詳細的日志記錄。2系統(tǒng)結構與原理授權策略服務器：負責對用戶進行授權；授權管理終端：對最終用戶進行授權；ORSP服務器：與DT服務器通信，提供給系統(tǒng)統(tǒng)一的資源訪問服務的能力；DT服務器：提供給用戶，業(yè)務系統(tǒng)身份鑒別、授權、審計等統(tǒng)一接口服務能力；數(shù)據(jù)庫服務器：存放資源和用戶的授權等信息；審計分析終端：圖形化管理工具，提供管理員對審計數(shù)據(jù)進行分析查找的功能?；驹砗喴枋鋈缦拢?1)在邏輯上安全支撐平臺處于用戶和信息資源之間

9、的中間層；(2)用戶對于所有資源的登錄必須要經(jīng)過安全支撐平臺進行身份確認；(3)用戶對于資源的訪問必須經(jīng)過安全支撐平臺的許可，安全支撐平臺在后臺策略庫中進行查找和匹配，如果用戶沒有訪問權限，則不允許訪問該資源；(4)對于用戶每一個資源的每一次訪問都能夠在后臺數(shù)據(jù)庫中保存詳細的審計記錄。3DigitalTrust可管理的資源B／S模式應用系統(tǒng)。Distal—Trust支持多種WEB服務器平臺，如果只對URL或者文件進圖1系統(tǒng)結構與原理用戶

10、端DigitalTrust統(tǒng)一認證授權審計安全支撐平臺行訪問控制，WEB業(yè)務系統(tǒng)不需要做任何更改；如果需要對數(shù)據(jù)庫的記錄或者字段進行訪問控制，WEB業(yè)務系統(tǒng)需要做簡單的二次開發(fā)工作，Di~talTrust提供AP1支持。C／S模式應用系統(tǒng)。Digital—Trust提供對C／S模式應用系統(tǒng)的認證授權審計的支持，但是需要二次開發(fā)，DigitalTrust提供二次開發(fā)的AP1支持。網(wǎng)絡設備的訪問管理。Dig—italTrust提供對網(wǎng)絡設備

11、的統(tǒng)一管理和維護，這些設備包括交換機、路由器、防火墻等。服務器主機的訪問管理。Di~talTrust提供對主機服務器的統(tǒng)一管理和維護，這些服務器包括UNIX平臺服務器、Linux主機服務器等。數(shù)據(jù)庫服務器的訪問管理。Di6talTrust提供對數(shù)據(jù)庫服務器的統(tǒng)一管理和維護，數(shù)據(jù)庫類型包括Oracle、Sybase、Microsoft路由器業(yè)務與設備資源SqlServer等。4DigitalTrust的特點。支持多層結構的認證授權審計機制

12、；各個業(yè)務點建立相對獨立的用戶認證授權審計系統(tǒng)；支持口令認證和基于數(shù)字證書的認證等多種認證方式；完善的用戶、組、域管理結構；基于應用角色的資源授權管理；基于管理員角色的管理員權限配置；實現(xiàn)系統(tǒng)的集中認證授權和審計；實現(xiàn)全網(wǎng)的單點登錄功能(sso)；支持基于B／S結構和C／S結構的各種應用，和業(yè)務系統(tǒng)進行無縫整合；具有用戶全網(wǎng)漫游功能，支持移動辦公；支持設備的安全集中管理。5主要應用的行業(yè)和領域DigitalTrust可以應用于以下行業(yè)和