6.5 接入控制管理

6.5 接入控制管理

6.5.1 　統一接入安全管理

在互聯網電子政務系統中，安全管理要求如下：
a) 統一安全管理要求。支持接入安全設備、接入用戶的集中、統一化管理。
b) 可視化安全管理要求。對電子政務系統中的接入安全設備、接入用戶、網絡狀態等進行可視化的管理，更加直觀、形象地進行管理。
c) 遠程安全管理要求。統一接入安全管理宜支持遠程安全管理，使得管理用戶無須親臨現場就能進行接入安全設備的管理與調試。
d) 統一接入安全管理宜包括安全策略管理、安全通道管理、系統管理、網絡管理以及安全審計管理等。

6.5.2 　接入用戶管理

接入用戶管理要求如下：
a) 用戶注冊。接入到電子政務系統的用戶，宜在統一接入安全管理系統中進行注冊。注冊用戶具有唯一的標識。
b) 用戶撤銷。支持用戶的撤銷功能，防止失效用戶的非法接入訪問。

6.5.3 　安全策略管理

接入控制安全策略管理要求如下：
a) 支持安全策略的添加、刪除與修改。依據電子政務系統的安全需求，可靈活地對安全策略進行調整。
b) 支持安全策略的下發。對接入用戶、接入安全設備的安全策略進行分發、加載。
c) 支持組策略管理。主要包括組的管理、組策略的添加、刪除與修改等。
d) 支持安全策略的一致性檢測。通過檢測安全策略的一致性，保證安全策略的可用性。

6.5.4 　安全審計管理

6.5.4.1 　基于數據流的安全審計

基于數據流的安全審計，主要依據數據報文信息，對過往接入安全設備的數據流進行日志記錄。其實施與管理要求如下：
a) 安全審計格式。審計格式可為序號、源IP地址、目標IP地址、源端口號、目標端口號、協議、策略以及審計時間等。
b) 審計轉存。支持審計日志的轉儲功能，實現審計數據的長期保存。
c) 審計操作。具有審計日志存儲、查詢、刪除等功能。

6.5.4.2　基于用戶的安全審計

基于用戶的安全審計，主要依據用戶身份與數據流的關聯，對過往接入安全設備的數據流進行安全審計，以防止IP地址假冒攻擊。其實施與管理要求如下：
a) 用戶身份與數據流綁定。將用戶身份標識與數據安全處理進行關聯綁定，依據綁定關系，審計到用戶。
b) 審計格式。審計格式主要為序號、用戶、訪問服務信息、策略以及審計時間等。
c) 審計操作。具有審計日志存儲、查詢、刪除等功能。