本主题下将陆续记录我的课题进展情况,以及一些相关方向资料知识的学习和整理,希望和大家交流,高手请指点一二。
      下面是我的开题报告,在此简单介绍一下。请勿转载,谢谢!
  • Ø课题来源于《北京市某区工业局电子政务系统》项目中对信息安全审计的需求。


  • Ø电子政务是一个将政府工作标准化、服务化、信息化、网络化、公开化的系统工程。
  • Ø电子政务涉及到国家秘密信息和高敏感度的核心政务,涉及到公共秩序的维护和行政监管的准确实施,因此电子政务的安全性显得尤为重要。
第一部分:课题背景——电子政务安全性迫切需要加强
  • Ø由于电子政务系统本身的重要性和特殊性,安全性问题便成了人们解析电子政务的首要话题。
  • Ø电子政务的安全管理可以通过安全评估、安全政策、安全标准、安全审计等四个环节来加以规范并进而实现有效的管理。
  • Ø安全审计已经成为电子政务系统中的重要环节,2002年,安全审计已被正式定为电子政务建设十大标准之一。
第二部分:当前研究现状
     1980 年,Anderson首次提出了利用系统日志信息进行安全审计的思想,直到 1995 发布了第一个具有实用性的网络安全漏洞审计软件 SATAN,但是 SATAN 的技术要求高,使用非常不方便。
     虽然对安全审计的关注也研究起步都比较晚,但是随着安全问题的逐步暴露,尤其是在涉密系统中对安全性的高要求,信息系统安全领域制定了越来越规范和细密的安全标准,而无论是在国内还是国际的规范中,安全审计都被放在了重要的位置,而且贯穿于整个电子政务中物理、网络、系统和应用等各个级别。

 
 
n     “信息技术安全性评估通用准则 2.0 ISO/IEC15408),俗 CC 准则,目前它已被广泛地用于评估一个系统的安全性。在这个标准中,国际上有关信息技术安全评估标准中对信息系统安全审计有一个完整的定义:
     信息系统安全审计主要是针对与安全有关活动的相关信息进行识别、记录、存储和分析;审计的记录用于检查网络上发生了哪些与安全有关的活动,谁(哪个用户)对这个活动负责。

 
 
第三部分:课题主要任务(应用系统审计和数据库安全审计)
 
  • 应用系统审计:主要包括办公自动化系统、相关政务业务系统等的审计。

  • 重要数据库操作的审计:主要包括绕过应用软件直接操作数据库的违规访问行为、 对数据库配置的更改、数据备份操作和其他维护管理操作、对重要数据的访问和更改等的审计。

第四部分:课题涉及的主要技术 
  • J2EE 体系架构 
  • 管道和过滤器体系架构在 J2EE中的应用实践
  • Oracle 9i Database Auditing(nOracle 9i Database Auditing Methods &
    nImprove usage of Auditing  data & Data Mining)
下面是利用Servlet/Filter/Listener建立的WEB过滤体系模型: