电子政务内网安全现状分析与对策（二）

特别是对于系统中数据的保密，要求中明确指出：对于机密级以上的系统要从运行管理三权分立、身份鉴别、访问控制、安全审计等方面进行一系列的技术和测评要求，具体涉及以下三方面：

一、访问审计

1. 审计范围应覆盖到服务器和重要客户端上的每个数据库用户
2. 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等
3. 应能够根据记录数据进行分析，并生成审计报表
4. 应保护审计进程避免受到未预期的中断
5. 应保护审计记录避免受到未预期的删除、修改或覆盖等
6. 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

二、主动预防

通过三权分立，独立权控限制管理员对敏感数据访问。

应针对SQL注入攻击特征有效防护

应检测对数据库进行漏洞攻击的行为，能够记录入侵的源IP、攻击的类型，并在发生严重入侵事件时主动防御

定期通过数据库漏洞扫描按行业特点检查弱口令，修改口令尝试配置

三、敏感数据管理

1、生产数据不离生产系统，管控敏感数据至开放环境的发布渠道，防止生产数据中敏感信息的泄漏，保障数据安全，规避数据风险；

2、对数据库中的涉密敏感字段进行数据防护，并采取强制访问控制措施。

电子政务内网作为涉密信息系统，一旦遭到数据泄露，将可能对公众隐私甚至国家安全构成威胁。4月28日，第三届首都网络安全日活动中，特设“电子政务安全应用论坛”，届时，安华金和作为唯一的数据库安全企业受邀演讲，针对电子政府内网系统安全问题及政策要求进行分析，并提出电子政务内网数据库安全解决方案，在电子政府系统数据库中已有的安全配置基础上，引入可信的访问控制机制，同时可确保不影响系统正常使用，显著提升内网数据保密性。