|
快速了解
绿叶OA优势
技术框架
售后服务及其它
|
发布时间:2008-5-7 16:20:24 点击:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| asp通知发布系统,asp文章发布系统,. | oa工作流系统,oa流程控制,市场化条件. | 中国政府采购,政务信息化,2007世界电. |
| 协同OA在线试用,协同OA办公系统下载,. | 办公室工作流程,人事工作流程,我国电子政. | 短信收发软件,电子邮件收发软件,政府信息. |
| 公文处理系统,公文签收系统,电子商务应用. | 公文处理系统 注册,办公室公文处理系统,. | 电子签名,电子印章,西藏电信全力推进藏文. |
随着计算机信息技术的飞速发展,信息网络国际化、社会化、开放化和个人化的特点在给人们带来方便、高效和信息共享的同时,也给信息安全带来许多问题。中办、国办印发《2006━2020年国家信息化发展战略》中提到:全面加强国家信息安全保障体系建设。坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。此举标志着国家在大力倡导政府部门信息化建设的同时,已经充分意识到信息安全的重要性和紧迫性。如何保证网络的安全性已经成为电子政务建设过程中亟待解决的问题。现今,在网络信息交互的应用环境中,除了信息加密等措施以外,还需解决信任问题,网络的信任体系是保证网络安全的一个重要因素。 一、信任和信任体系 信任是衡量可信任程度的度量,它依赖于所能提供的可信事实。由于信任是在事前对事物的判断,所以,信任与风险是紧密相连的。 网络信任体系就是在网络上建立的信任关系,它将所有活动的实体通过信任关系连接起来,记录各实体的历史表现,并维护这种信任关系。在网络中进行信息交流时,首先要了解对方的一些情况(如:他是谁?),这就是一个建立初始信任的过程。在这个过程中可能会用到第三方提供的信息,如身份证件等。在建立初始信任以后,我们还需要查阅对方所在单位、职务、权限和资信等情况,建立起可靠的信任关系,在这个过程中会再次用到第三方提供的信息,如权限证明等。最后是在这种信任关系之上进行信息交流,同时解决交流过程中出现的纠纷及安全事件。 可以看到,网络信任体系必须为网络使用者解决两个问题: 1、建立可靠的信任关系。信息交流的各个阶段的保密性应该得到保证,交流双方的身份认证应该是正确的,权限应该是恰当的,并能够给出对方的信用评估,该可信度可以帮助用户进行决策。 2、为网络用户提供风险规避的手段。为信息交流提供责任追究手段。 二、网络信任体系建设现状 一谈到网络信任体系建设,人们首先想到的是PKI/PMI基础设施。PKI是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是现今应用最广泛的一种加密体制,这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。PKI体系在统一的安全认证标准和规范基础上提供在线身份认证,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系,PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。PKI的核心是要确定信息网络空间中各种经济、军事和管理行为主体(包括组织和个人)身份的惟一性、真实性和合法性,确认“你是谁,我是谁,他是谁”的问题,保护信息网络空间中各种主体的安全利益。 PMI是“Privilege Management Infrastructure”的缩写,意为“授权管理基础设施”。它的目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。PMI是一个属性证书、属性权威和属性证书库等部件构成的综合系统,它以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。同公钥基础设施PKI相比,两者主要区别在于:PKI证明用户是谁,而PMI证明这个用户有什么权限,能干什么,而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证,能够与PKI和目录服务紧密地集成,为合法用户的信息资源访问提供权限管理。 三、对网络信任体系建设现状的思考 随着信息化发展对信息安全保障工作要求的进一步提高,我们应该看到,我国的网络信任体系建设还处在起步阶段,还存在着诸多问题。 1、对网络信任体系的认识存在偏差 在建设电子政务和电子商务过程中,不管是主管部门领导还是技术人员普遍认为建设网络信任体系就是建设PKI/PMI基础设施。很多政府部门在建立CA系统以后就认为自己已经建立了完善的网络信任体系,其实不然。 网络信任体系不是一种产品,也不仅仅是几张证书,而是一种机制。就像现实生活中的身份证和工作证一样,身份证用来说明你是谁;工作证通常记录你的工作单位、职务,从某种程度上规定了你的权限。对一般人而言,看到的只是一张身份证或工作证,但是,在一张薄薄的卡片后面,却是强大的机制作为支撑,如发证机构、管理机构和验证机构等,一旦出现冒用身份,越权操作还应该有责任认定和事故追查机构。 目前,在信息化建设过程中积极推进的PKI/PMI基础设施,它基本解决了上网用户身份的合法性签定,以及基于用户身份角色的权限管理,但缺少事后责任认定和追查机制。 2、PKI建设存在一些问题 1)PKI建设基本上由各地区、各行业自行规划建设,条块分割,成为互不关联的“信任孤岛”,使各证书之间缺乏“互通性”。不同CA中心签发的证书彼此间不能互认,没能形成互联互通的国家PKI信任体系,不适应网上业务跨行业、跨地区的要求。 2)PKI/CA建设盲目,应用需求和应用支撑能力考虑不足,目前应用规模偏小,没能得到充分应用。 3)总体来看,已建CA自身安全考虑不够全面,离作为信息安全基础设施的要求尚有较大差距。 4)CA的地位、责任和义务在我国现行政策、法规中尚未明确界定,导致国内CA运行无规可依、无法可循,CA与用户间责任不明。 产生这些问题的主要原因归纳为以下几个方面: 1)缺乏国家整体规划和统一指导,管理问题突出,至今没有权威的管理部门来统筹规划和管理国家PKI信任体系建设; 2)缺乏有力的法律支持,至今国家尚未出台一个和PKI、数字签名等相关的政策和法律法规; 3)在目前尚未确立国家标准的情况下,各家CA在实施中对已有国际相关标准和管理规范理解、执行有较大的差距。 3、权限管理不完善 目前,在信息化建设过程中,权限管理通常采用PMI技术。PMI需要PKI为其提供身份认证,它根据用户身份为用户签发一张属性证书,该证书记录了用户的各种权限,它基本解决了用户访问应用系统、信息资源的权限管理。 但是,目前普遍存在PMI无法“扎根”个性化应用的现象。应用系统的千差万别,注定了与PMI的接口也千差万别,PMI与应用系统无法紧密集成,接口由谁来开发成为亟待解决的问题。应用系统的安全性很大程度上取决于对PMI的信任,因此,用户存在着双重风险——自身的安全性和所信任的PMI的安全性。 同时,我们在建设授权管理系统时主要侧重于对应用系统、信息资源访问权限的管理,忽略了对设备使用,设备接入的权限管理(如:软硬件的使用、拨号、I/O设备、移动存储介质、网络端口、红外线接口和1394口等的使用);缺少对重要文件的访问、存取、删除、拷贝和打印等进行授权管理。 4、缺少责任认定和事后追查机制 随着计算机技术的成熟与广泛应用,以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动越来越猖獗。计算机取证是将计算机调查和分析技术应用于对存在于计算机和相关外围设备中(包括网络介质)的潜在的和有法律效力电子证据的确定与获取。 用户通过身份认证、授权管理建立了可靠的信任关系,并在该关系上进行信息交流,一旦出现用户冒用身份,越权访问,这种信任链就会受到破坏,造成信息的失窃密、不完整和不可用。此时我们必须要有完善的事后追查机制,将责任定位到人。 责任认定的核心技术亟为安全审计。审计是对日志记录(日志主要指记录的事件或统计数据,这些事件或统计数据能提供关于系统使用及性能方面的信息)进行分析并以清晰的、能理解的方式表述系统信息。审计提供了一种机制,它能分析系统的安全状态,能判断某个请求的行为是否会使系统处于不安全状态,并记录权限的任何使用情况。它是事后认定违反安全规则行为的分析技术。 四、加强审计监控技术建设 以责任认定为核心的审计监控体系较完整的解决了责任认定并延伸到基于网络的授权管理,与解决身份认证的CA等技术共同构建了完善的网络信息安全内部保障体系。 1、审计监控体系构建了完整的责任认定体系 在电子政务中对操作行为进行责任认定,它的前提就是操作者的行为是不可信任的,这就决定了责任认定在这里所处的地位。作为信息安全体系的核心,对整个电子政务起到防范、取证和安全管理等的作用。一个完整的强有力的责任认定体系是保障电子政务建设顺利进行非常重要的一环。责任认定体系是和身份认证体系、授权管理体系互相并列的,是保障网络安全的重要举措。责任认定体系主要分为两个方面:对合法操作行为的责任认定和对非法操作行为的责任认定。 1)对合法操作行为的责任认定 传统的手段是通过查阅应用程序的操作日志和通过审计其他设备的操作日志来反映合法操作行为的责任认定。这部分的责任认定是整个完整的责任认定体系中的一部分。它不能解决所有的责任认定问题。相反地,由于各产品缺乏有效的协调性,记录的信息无法互通,所以在很大的程度上,这部分的责任认定一直是整个信息安全建设中的一个软肋。 2)对网络中非法操作行为的责任认定 现有的手段是通过审计监管技术来实现责任认定。由于这部分的责任认定针对性强,目的明确,又有实时响应、警告及时等特点,所以在电子政务建设中越来越被重视。审计监控体系是对电子政务网络中的非法操作行为进行审计。对非法操作责任认定的作用已经决定了它是责任认定体系中最重要的一个组成部分,对整个责任认定体系起着决定性的作用。这是PMI无法做到的。 3)审计监控体系构建了完整的责任认定体系 要解决一个完整的责任认定体系,不仅要考虑到对合法操作行为的责任认定,更要考虑到对非法操作行为的责任认定,并且又要兼顾网络中各个设备审计信息的全面收集和对审计数据的集约化管理以及分析。审计监控体系的责任认定体系是将审计合法和非法操作都纳入到审计监控体系中去。通过对应用程序、安全产品、主机、服务器、网络和数据库等网络中所有资源的审计来构建一个完整的责任认定体系。审计监控体系强大的审计分析功能可以及时有效的反映责任认定数据,从而确保了责任认定体系强有力、完整等的特性。 审计监控体系的责任认定体系主要是针对操作行为的责任认定,主要功能包括为:主机、服务器操作行为责任认定系统、网络行为责任认定系统、数据库操作行为责任认定系统、网络安全设备责任认定系统、应用系统操作行为责任认定系统和其他操作行为责任认定。 2、审计监控体系完善授权管理体系 1)通过PMI系统完成对应用系统资源的授权管理 PMI是基于PKI体系的授权管理系统,通过数字证书认证的机制对用户进行授权管理,将授权管理功能从传统的应用系统中分离出来,以独立服务的方式面向应用提供授权管理服务。PMI主要对应用系统的权限进行分配和管理,是信息资源授权管理的重要环节,PMI不是授权管理体系的全部,它提供了强大的面向应用的授权管理功能,但无法满足所有的授权管理。 2)通过审计监控体系完成对网络资源的授权管理 在授权管理中,对网络资源的授权管理是非常重要的问题。不解决这个问题,就无法建立起完整的授权管理体系。审计监控体系从根本上解决对全网进行授权监督管理的问题。主要表现在以下几个方面: 网络的授权管理:主要表现在外部计算机接入授权管理、网络内主机之间的访问和主机访问外网的授权管理等方面。首先,要保证网络的安全性,必须保证所有连接入网络的计算机都是合法的,任何非法接入的企图都是能够得到有效控制和管理的。其次,网络内各主机之间的访问和连接都是得到授权并可以控制的。第三,所有能够连入外网计算机的访问外网的权限都是有限的、受控的和经过授权的。 主机的授权管理:主要体现在盘符、MODEM、重要文件资源等方面。第一、对网络的输入输出授权管理是从源头上保证数据的安全性。输入输出的主要途径包括光驱(含刻录光驱)、软驱、USB口等,对网络内的用户使用光驱(含刻录光驱)、软驱、USB口授以权限并统一输入输出通道,从而保证数据进出的安全性。第二,对主机中重要文件资源的使用实行严格的授权管理。重要文件资源的使用包括对文件的阅读,修改、存储、备份、打印、另存、拷贝等行为,对这些行为的授权管理可以有效的保证网络内部用户对文件资源的操作都是在许可范围内的,所有非法的操作或者操作企图都会被禁止的。第三、对拨号的授权。对于有统一出口的网络或物理隔离于互联网的网络通过拨号(ADSL、MODEM、GPRS和手机等)上网的方式存在诸多的安全隐患,必须严格的授权与限制。 数据库的授权管理:通常只能通过采用传统的人为管理手段来实现,但现代的授权管理体系要求我们必须采用有效的网络技术来保证数据库的安全。审计监控体系中对操作者向数据库中字符、段的访问进行授权。有效的解决了数据库的授权管理问题。 服务器的授权管理:网络中的服务器是整个网络的大脑,它向网络中所有的主机以及终端提供服务。在开放性的网络服务中,服务器的授权管理一直是授权管理体系的重要问题。审计监控体系通过对重要文件的授权管理,对终端访问服务器的授权管理等方法,有效的解决了服务授权管理的问题。 网络打印机的权限分配、控制与管理:打印机是文件输出的重要工具,现代办公环境中的打印机提供了开放的网络服务,极大的便捷了网络的应用。但在便捷的同时,网络打印机由于其本身开放性的特点,给网络授权管理造成了很大的难度。审计监控体系从网络打印服务的本质入手,解决了终端对网络打印权限的授权问题。 同时,审计监控体系与信息安全管理的行政手段有效结合,加强了网络安全管理力度,为信息安全管理策略的制定及风险评估等方面起到了极其重要的作用。 通过审计监控体系的建设将建立起完整的责任认定体系,健全授权管理体系,并且能够与网络管理相结合,从而完善电子政务网络管理模式,促进信息化建设全面发展。做到可防、可控和可查的事前事中事后的信息安全纵深防御体系,切实保障内部网络安全。 对审计监控体系建设的重视是我国信息化建设的重要转变,是我国信息化建设史上具有战略意义的重大举措,必须引起我们在各个方面的高度重视并给予积极配合;以技术方面不断创新,适应不断变化的网络威胁变化趋势;以秉承“技管并重”的原则,科学建设安全管理体制。只有加强网络内部安全监管意识,加速审计监管技术的不断创新才能构建完善的安全审计监控体系。才能为电子政务安全保障体系的进一步完善奠定坚实的基础。 |
| 返回顶部 |
OA关键词:公文传输软件,公文共享,网络信任体系建设现状所带来的思考,政府oa办公系统破解版,政府什么是oa办公系统 OA OA办公系统 OA系统 OA办公软件 办公自动化 无纸化办公 协同办公系统
OA信息:[1][2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17][18][19][20][21][22][23]更多>> (后续页1 后续页2 后续页3)
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
