在政府部門信息化建設初期,由于建設經(jīng)驗不足,存在重建設、重應用、輕安全的現象，緻使部分政府部門信息系統缺乏必要的安全防護措施。同時,網絡安全制度不健全、落實不到位、 網絡安全意識薄弱等問題層出不窮。随著(zhe)電子政務“一站”、“兩(liǎng)網”、“四庫”、“十金”的快速發(fā)展和信息水平的提高，數據中心不但爲政府單位公衆服務業務的快速發(fā)展發(fā)揮基礎的支撐和保障作用，而且對(duì)于提高政府機構内部管理水平，進(jìn)而提高資源配置效率和信息安全度具有重要意義，這(zhè)也意味著(zhe)政府機構對(duì)IT信息系統的依賴已經(jīng)到了須臾不可離的境地。對(duì)重要信息系統及敏感數據進(jìn)行必要的保護顯得尤爲重要，當前政府機關單位在IT運維層面(miàn)，主要面(miàn)臨著(zhe)以下安全風險：

1. 身份不明确，授權不清晰，目前政府機關單位的IT事(shì)務基本采用是項目制，很少有單位有自己的IT運維團隊。即使一線大城市的重要單位，其運維也是外包給第三方公司完成(chéng)。作爲第三方運維公司，其人員的身份、授權往往會(huì)存在多種(zhǒng)問題，比如運維人員可以使用什麼(me)等級的賬号、擁有什麼(me)權限、權限維系的時間多長(cháng)，如果事(shì)先未曾明确規定，就將(jiāng)帶來運維安全問題；

2. 操作不透明，行爲不可控，從以往各大政府部門發(fā)生的安全事(shì)件中可以發(fā)現，某些第三方服務公司服務人員在服務期間，多次未經(jīng)授權就登錄到核心系統和數據庫，導緻公民隐私信息洩漏。而在時間發(fā)生後(hòu)，問題沒(méi)有得到暴露，這(zhè)本身就說明第三方公司在進(jìn)行IT運維操作的時候操作不透明、過(guò)程不可控。而類似的案例在業界其實并不鮮見。在此情況下，用戶隐私信息的安全，就隻能(néng)依靠第三方運維人員的操守與職業道(dào)德。很顯然，這(zhè)種(zhǒng)缺乏監管的IT運維操作，是帶有巨大風險的；

3. 事(shì)後(hòu)難以審計，責任不明确，由于運維工作多交給第三方，且缺乏有效的身份認證與權限控制，造成(chéng)IT運維存在很多和不受監管的彈性操作餘地，以至于安全事(shì)發(fā)之後(hòu)，相關部門不能(néng)及時有效地對(duì)失職人員追責，事(shì)後(hòu)還(hái)需投入大量的人力物力進(jìn)行調查。

針對(duì)這(zhè)些需求，帕拉迪研發(fā)的統一安全管理與綜合審計系統能(néng)夠全面(miàn)的監控運維人員的任何操作，可進(jìn)行細顆粒度的訪問授權、操作記錄控制、審計和回放、以及監控阻斷，實現運維過(guò)程的事(shì)前預防、事(shì)中控制和事(shì)後(hòu)審計，提升政府機關單位網絡運維安全和管理水平。

通過(guò)建立統一安全管理和綜合審計平台，統一訪問入口，所有運維操作都(dōu)必須在信息中心運維區連接到運維審計系統進(jìn)行，集中權限控制，實現運維操作的集中化、規範化管理，專人專職。對(duì)不同系統中的接入維護進(jìn)行統一管理，進(jìn)行的帳号管理，身份認證和授權。可以在平台上基于用戶的權限，進(jìn)行統一的網絡層和應用層訪問控制，提高系統安全性。

部署方式

1. 滿足政務網相關規定、《網絡安全等級保護基本要求》、《網絡安全法》等法案法規合規性審計要求；

2. 爲監管部門提供運維管理的審計報表和原始準确的運維操作日志；

3. 有助于完善組織的IT内控與安全審計體系，使信息系統能(néng)夠順利通過(guò)國(guó)家信息安全等級保護測評；

4. 避免了非法終端、不安全終端直接連接核心資源，降低木馬、間諜、内部安全威脅等對(duì)核心資源造成(chéng)的影響，減輕管理員工作壓力，提高工作效率；

5. 發(fā)生安全事(shì)故，通過(guò)回放操作記錄可快速、準确的進(jìn)行責任鑒定和安全事(shì)件追蹤。