電子政務中安全審計技術的研究及應用

金永光

【摘要】 由于電子政務對于安全的特殊要求，安全審計技術的重要性日漸突出，安全審計可以對電子政務活動中的信息進行識別同時完成記錄和儲存功能并達到分析的效果，為電子政務提供解決一系列安全配置問題的需求。

【關鍵字】 電子政務 安全審計 研究

電子政務作為一個支持決策和服務公眾的辦公自動化的平臺，其業務涉及政府機關和社會團體。電子政務在各級機構開展政務工作和實現辦公自動化中扮演越來越重要的角色，由于電子政務中包含許多涉密業務因此就決定了電子政務系統的長期安全有效運作的必要性。電子政務的特殊性更易導致來自內部和外部的攻擊，安全審計技術貫穿于電子政務的各個層面，對潛在的攻擊者起到震懾和己經發生的破壞行為提供有效的追究查證，為電子政務系統的安全保駕護航。

一、電子政務中的安全審計技術

1.1 安全審計

作為一種對安全性要求極高的信息系統，電子政務需要對系統的安全、可靠、有效性進行審計。一般情況下，作為一個單獨的系統安全審計主要工作是對用戶在應用系統和計算機系統上進行比較完整的記錄，能夠將違反安全規則的事件進行有效的追責，作為電子政務的重要環節，安全審計可以直接對用戶違規操作提供依據，并且可避免電子政務中的抵賴性行為的發生。安全審計系統通過網絡資產設備上報的日志，實時監視網絡各類操作行為及攻擊信息，根據設置的規則，智能的判斷出各種風險行為，對違規行為進行報警等，因此對電子政務和內部的網絡監管中都發揮了極其重要的作用。電子政務系統安全環境在構建過程中，受到安全級別達到一定程度后就無法提高安全級別的限制，為了完善審計系統彌補系統不足，安全審計通過記錄安全策略和分析操作數據為系統性能改進和系統安全提供了保障，從而提升了安全系統的強度。安全審計技術的作用：（1）發現和警示電子政務工作中存在的潛在危險。（2）對于已經形成的系統破壞現狀提供糾正的證據。（3）安全審計的系統使用日志可以為系統管理員提供發現入侵和潛在問題，同時還可以提供系統在性能上需要加強和改進的方面。 安全審計的審計對象包括操作系統、應用系統、設備和網絡應用。

1.2 電子政務中安全審計的方向

由于電子政務自身比較特殊所以在安全審計過程中要對如下幾點進行重點審計。

（1）檢測通信系統，對網絡流量中的特殊協議分析記錄，聊天和文件傳輸是否入侵進行檢測，流量和設備運行檢測，遇到異常流量報警等。（2）主要服務器的主機操作系統和應用平臺軟件，對系統啟動和運行情況進行審計，同時管理員登陸下載情況和系統內部事件審計等。（3）操作重要數據庫的審計。對數據庫的運行情況和日常違規訪問，數據庫的管理操作及數據備份，重要數據的訪問或者更改進行審計。（4）應用系統審計，公文的傳送和操作，網頁是否完整，相關政務系統業務審計。（5）在網絡區域的客戶機審計，是否感染病毒，共享政務文件，文件的復制和打印操作，非必要外網連接，安裝和運行異常軟件等情況的審計。

二、安全審計在電子政務中的關鍵技術所在

（1）截獲數據來源要認真控制和處理。通過嵌入模塊的方式收集截獲來自網絡數據、系統日志、網絡日志、防火墻日志等的數據；通過網絡的主動訪問記錄獲取數據；應用和安全系統的有效數據獲取；對于無效數據源也要設法生成數據。對收集數據要區分分析判斷過的數據和未判斷過的數據，并根據不同性質作出不同處理。（2）安全審計的分析機制要根據安全策略具有判斷和處理異常的依據。作為電子政務的第一層過濾實時分析提供數據并完成預分析步驟；事后分析通過統計分析和挖掘深層數據的方式對審計數據進行的事后分析。（3）審計的目的要實現還原通用網絡協議數據、審計網絡應用操作、審計系統內部事件、審計專用應用。安全審計的構建關鍵是在審計的過程中仍不影響系統的正常運行，盡量做到系統變動最小和產生最小影響。（4）建立與原有系統兼顧的安全審計體系，還需保證審計功能可以不被繞過。（5）在審計過程中對數據要合理有效的利用，同時能夠實現數據之間的關聯并進行分析。對于異常點和宏觀決策支持要實現著重分析。

三、結論

作為電子政務中重要環節之一的安全審計，它在審計過程中涉及技術和硬件和以及策略等多個層面多個角度，并非單個方面能夠覆蓋。作為一個復雜的系統工程電子政務要求其安全建設能夠統一考慮并且實現長遠規劃，這就要求其技術具有先進和可拓展性。對于電子政務的安全性要上升到維護國家安全和社會穩定的高度，這樣才能不斷適應電子政務的安全要求和實現政府信息化的發展要求。

參 考 文 獻

[l] 羅傳榮，郭文秀.政府上網工程實用技術[M].人民郵電出版社，2000.1.

[2] 歐培中，仲治國，王熙.常見漏洞攻擊與防范實戰[M].重慶出版社，2003.8.

[3] 閻宏.Java與模式.北京電子工業出版社，2002.

[4] 姚國章，電子政務基礎基礎與應用，北京大學出版社，2002.

[5] 胡克瑾，IT審計，北京電子工業出版社，2002.