电子政务面临安全挑战

　　电子政务最终目标是建设政府办公自动化、面向决策支持、面向公众服务的综合平台。因此电子政务系统一方面要求考虑政府内部网络的安全，另一方面要求考虑面向公众服务的网络安全。电子政务行使政府职能的特点导致来自外部或内部的各种攻击，包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。攻击包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。网络威胁包括来自内部与外部的威胁、主动攻击与被动攻击带来的威胁。网络威胁的隐蔽性、体制性、边界模糊性、突发性、易被忽视的特点要求我们引起高度重视。据统计：11%的安全问题导致网络数据破坏，14%的安全问题导致数据失密。从恶意攻击的特点来看，FBI统计的结果是65%的攻击来自网络系统内部。同时，网络办公自动化也导致依赖性的增强。依赖性必然产生脆弱性，包括技术的脆弱性、社会的脆弱性、人的脆弱性。安全设计本身的不完备性可能构成网络新的安全风险。新的风险点、新的漏洞被发现、新的攻击技术手段被利用等管理安全问题会随时出现。所以安全管理要求考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等一系列问题。解决这些问题的一个关键技术就是对电子政务系统的安全审计。

　　电子政务安全审计

　　电子政务的安全管理可以通过安全评估、安全政策、安全标准、安全审计等四个环节来加以规范并进而实现有效的管理。安全审计已经成为电子政务系统中的重要环节，2002年，安全审计已被正式定为电子政务建设十大标准之一。虽然很多的国际规范以及国内对重要网络的安全规定中都将安全审计放在重要的位置，然而大部分的用户和专家对安全审计这个概念的理解不统一，都认为是“日志记录”的功能。如果仅仅是日志功能就满足安全审计的需求，那么目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志功能，大多数的网络系统都满足了安全审计的需求。但是实际上这些日志根本不能保障系统的安全，而且也无法满足事后的侦察和取证应用。安全审计并非日志功能的简单改进也并非等同入侵检测。

　　传统意义安全审计类产品包括：网络设备及防火墙日志操作系统/应用系统日志、Sniff，Snoop类的工具、入侵检测类的产品等。前两类产品功能与安全测评规范中的安全审计要求相去甚远。Sniff，Snoop类的工具也只是辅助判断网络故障的工具，目前还没有哪个系统真正将这些工具收集的数据长时间完全记录。入侵检测类的产品只能事先安全审计需要中的一部分，不能覆盖完整的安全审计需求。而现代网络安全审计（如图）突破了以往“日志记录”等浅层次的安全审计概念，是全方位、分布式、多层次的强审计概念，真正全面实现CC国际标准的安全审计功能要求。

　　电子政务系统中需要重点审计的几个方面

　　网络通信系统： 主要包括对网络流量中典型协议分析、识别、判断和记录、Telnet、HTTP、Email、FTP、网上聊天、文件共享等的入侵检测；还包括流量监测以及对异常流量的识别和报警、网络设备运行的监测等。

　　重要服务器主机操作系统：主要包括系统启动、运行情况、管理员登录、操作情况、系统配置更改(如注册表、配置文件、用户系统等)以及病毒或蠕虫感染、资源消耗情况的审计；硬盘、CPU、内存、网络负载、进程、操作系统安全日志、系统内部事件、对重要文件的访问等的审计。

　　重要服务器主机应用平台软件：主要包括重要应用平台进程的运行、Web Server、Mail Server、Lotus、Exchange Server、中间件系统、健康状况(相应时间等)等的审计。

　　重要数据库操作的审计：主要包括数据库进程运转情况、 绕过应用软件直接操作数据库的违规访问行为、 对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改、数据完整性等的审计。

重要应用系统的审计：主要包括办公自动化系统、公文流转和操作、网页完整性、 相关政务业务系统等的审计。其中相关政务业务系统包括：业务系统正常运转情况、用户开设/中止等重要操作、授权更改操作、数据提交/处理/访问/发布操作、业务流程等内容。

　　重要网络区域的客户机：主要包括病毒感染情况、通过网络进行的文件共享操作、文件拷贝/打印操作、通过Modem擅自连接外网的情况、非业务异常软件的安装和运行等的

计。

　　构建电子政务安全审计系统的几个关键点

　　首先要把握和控制好数据的来源，比如来自网络数据截获；来自系统、网络、防火墙、中间件等系统的日志；嵌入模块，主动收集系统内部事件；通过网络主动访问，获取信息；来自应用系统、安全系统等。有数据源的要积极获取；无数据源的要设法生成数据。对收集数据的性质也要分已经经过分析和判断的数据和未分析的原始数据不同处理。另外，内部数据要通过转换形成统一的表示规范。

　　其次，分析机制需要具备评判异常、违规的依据，与安全策略相关。分为实时分析和事后分析。实时分析：提供或获取数据的设备/软件具备预分析能力，并能够进行第一道筛选。事后分析：维护审计数据的机构对审计记录的事后分析，包括统计分析和数据挖掘。

　　第三，审计的深度应达到通用网络协议的数据还原、通用网络应用操作审计、系统内部事件的审计和专用应用的审计。如何在实现审计的同时确保原有系统的正常运转同样也是审计系统构建的关键，尽可能使系统做最小修改，并对系统性能产生最小影响。

　　第四，安全审计系统的建立要兼顾与原有系统的关系，同时还要保证审计功能不被绕过。

　　一般有四种形式：

　　完全透明——原有系统根本察觉不到审计系统存在。

　　松散嵌入型——基本上不改变原有系统。

　　紧密嵌入型——需要原有系统的平台层和部分应用作出较大改变。

　　一体化设计——系统设计之初就考虑审计功能，所有模块都有与审计的接口。

　　最后，还要注意增强审计数据的有效利用。保证审计数据的细度，对审计数据进行关联分析、异常点分析、宏观决策支持等的再分析。对严格遵守审计系统中安全事件的处理流程，即：有效的响应与联动措施、应急处理以及预案和演习、与管理机制的结合、对事件处理的审计与评估。

　　安全审计是电子政务系统中的重要环节之一，全面安全审计应当包括多个方面、多个层次，不是靠一套简单产品就能够全面覆盖。电子政务是一项复杂的系统工程，其安全建设要求统一考虑，长远规划，保证技术的先进性和可扩展性。在技术上要求适应网络动态变化，建立自适应的安全保障体系。 同时要求有相关法律保障，加强安全管理。其关键是增强人的安全意识，要求从国家安全、社会稳定的高度认识电子政务的重要性。这样才能适应于政府信息化的发展。

　　与审计有关的几个概念

　　日志（log)：是指系统或软件生成的记录文件，通常是多用户可读的，通常采用字符形式或标准记录形式（如wtmp）。大多数的多用户操作系统、正规的大型软件、多数安全设备都有日志功能。日志通常用于检查用户的登录、分析故障、进行收费管理统计流量、检查软件运行状况和调试软件。系统或设备的日志文件通常可以用作二次开发的基础，多数日志系统不具备防篡改能力，可以被关闭，不能记录详细操作内容或者一旦开启将严重影响性能，很多与安全相关的环节没有日志产生。

　　AAA概念：对AAA有不同的理解，安全厂商认为是Authentication、Authorization、Administrate；

　　网络厂商认为是Authentication、Authorization、Accounting；DCE-Authentication、Authorization、Auditing。审计（Auditing）是第三个A（Administrate）中的重要组成部分。

　　网络监视：是安全审计的基础技术之一。不少网络监视软件生产商和一些Freeware提供者将网络监视（Network Monitoring）功能以及入侵检测（Intrusion Detect)作为网络安全审计的主体。

　　许多的免费软件都宣称是“网络审计软件”，但实际上大多数是实现了“协议分析器的功能”

　　仅仅依靠基于网络的监测手段并不能达到全面审计。

　　TCSEC-Accountbilit：yTCSEC(Trusted Computer System Evaluation Criteria)准则，俗称橙皮书，是美国国防部发行的一个准则，用于评估信息自动数据处理系统产品的安全措施的有效性。

　　TCS

C通常被用来评估操作系统或软件平台的安全性。TCSEC准则将安全等级划分为A，B，C，D 4个大类的等级，A为最高等级。每个等级中又分为几个细的等级，如C类中有2个等级。

　　CC标准：CC（Common Criteria for Information Technology Security Evaluation）标准是国际标准化组织ISO/IEC JTC1发布的一个标准，其标准编号为ISO/IEC 15408。是信息技术安全性通用评估准则，用来评估信息系统或者信息产品的安全性。这个标准被广泛地接受，我国也正以其为蓝本起草中国的安全评估准则。CC标准对一个系统的评估主要分为两个方面：安全功能需求、安全保证需求。