电子政务中安全审计技术的研究应用――我的课题，欢迎指正

本主题下将陆续记录我的课题进展情况，以及一些相关方向资料知识的学习和整理，希望和大家交流，高手请指点一二。

      下面是我的开题报告，在此简单介绍一下。请勿转载，谢谢！

• Ø 课题来源于《北京市某区工业局电子政务系统》项目中对信息安全审计的需求。
  
  
  

• Ø 电子政务是一个将政府工作标准化、服务化、信息化、网络化、公开化的系统工 程。
• Ø 电子政务涉及到国家秘密信息和高敏感度的核心政务，涉及到公共秩序的维护和行 政监管的准确实施，因此电子政务的安全性显得尤为重要。

第一部分：课题背景――电子政务安全性迫切需要加强

• Ø 由于电子政务系统本身的重要性和特殊性，安全性问题便成了人们解析电子政务的 首要话题。
• Ø 电子政务的安全管理可以通过安全评估、安全政策、安全标准、安全审计等四个环 节来加以规范并进而实现有效的管理。
• Ø 安全审计已经成为电子政务系统中的重要环节， 2002 年，安全审计已被正式定为电 子政务建设十大标准之一。

第二部分：当前研究现状

     1980 年， Anderson 首次提出了利用系统日志信息进行安全审计的思想，直到 1995 才 发布了第一个具有实用性的网络安全漏洞审计软件 SATAN ，但是 SATAN 的技术要 求高，使用非常不方便。

      虽然对安全审计的关注也研究起步都比较晚，但是随着安全问题的逐步暴露，尤 其是在涉密系统中对安全性的高要求，信息系统安全领域制定了越来越规范和细密 的安全标准，而无论是在国内还是国际的规范中，安全审计都被放在了重要的位 置，而且贯穿于整个电子政务中物理、网络、系统和应用等各个级别。

 

 

n      “ 信息技术安全性评估通用准则 2.0 版 ” （ ISO/IEC15408 ），俗 称 CC 准则，目前它已被广泛地用于评估一个系统的安全性。 在这个标准中，国际上有关信息技术安全评估标准中对信息系 统安全审计有一个完整的定义：

      信息系统安全审计主要是针对与安全有关活动的相关信息进行识别、记录、存储 和分析；审计的记录用于检查网络上发生了哪些与安全有关的活动，谁（哪个用 户）对这个活动负责。

 

 

第三部分：课题主要任务（应用系统审计和数据库安全审计）

 

• 应用系统审计：主要包括办公自动化系统、相关政务业务系统等的审计。
  
  
• 重要数据库操作的审计：主要包括绕过应用软件直接操作数据库的违规访问行为、 对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改等的审计。
  
  

第四部分：课题涉及的主要技术  

• J2EE 体系架构  
• 管道和过滤器体系架构在 J2EE 中的应用实践
• Oracle 9i Database Auditing（nOracle 9i Database Auditing Methods &

  n Improve usage of Auditing  data & Data Mining)

下面是利用Servlet/Filter/Listener建立的WEB过滤体系模型：