数据库安全技术分析(精选12篇)
数据库安全技术分析 篇1
摘要:伴随着互联网信息技术的发展以及大数据时代的到来, 当今社会的信息交流与传递具有高速便捷的特点。足不出门可知天下事已经成为可能。信息技术的高速发展对当今社会的经济政治和文化发展都有着很大的促进作用。但是, 与此同时, 互联网中也暗藏着种种不安全的因素, 数据存储安全也越来越受到人们的重视。
关键词:数据安全,数据备份,存储技术
一、数据安全
1.1逻辑上的安全。数据的不安全性主要原因包括病毒入侵, 黑客攻击, 人为篡改等等, 其中硬件和软件的故障是造成数据不安全性的主要原因。逻辑上的安全, 一般是指防止不法分子入侵或病毒破坏的措施。就比如说, 现在很多企业都是通过互联网来进行业务往来或通过互联网与其分支机构进行联系与管理, 一旦数据丢失, 造成的损失是巨大的。所以这些企业都很重视存储在服务器里的数据, 比如说, 公司内部文件, 公司账户, 或客户资料。而硬盘在数据存储中发挥着重大的作用, 正因为如此才成为黑客攻击的对象, 硬盘的价值是有价的, 但是存储在硬盘内的数据是无价的。
1.2物理上的安全。这就是对于电脑本身而言, 电脑受到人为因素的破坏或者不可抗力的灾害时, 若之前没有对电脑内部存储的数据进行数据备份, 那这些数据也会随着电脑的损坏而消失。
其实不管是逻辑上的安全还是物理上的安全受到威胁, 数据备份都是一个直接有效的措施, 这也就是俗话说的有备无患。
二、数据备份
数据备份是防止数据安全性受到挑战的有效措施, 一旦原有数据受到侵犯, 在对不法分子进行法律追踪的同时, 也能启动备用数据, 使服务器快速再次投入使用, 将受到的损害减少到最小的限度, 减少损失。
三、数据备份技术分类
数据备份从不同的角度可以分为不同的类型, 以备份模式的角度来看, 可以分为逻辑备份和物理备份。
3.1逻辑备份。逻辑备份也可以称为基于数据的备份, 前面我们提到过, 硬盘是有价的, 而硬盘内的数据是无价的, 逻辑备份就是针对数据进行备份。
每一个文件都是由不同的数据组成的额逻辑块组成的, 而每一个逻辑块都存储在有顺序的物理磁盘块上。备份软件不仅可以对磁盘块进行操作, 也可以对文件进行操作, 智能识别文件结构, 将所有的文件和数据拷贝到备份资源系统中去, 这样就可以按照文件的排列顺序读取文件, 并且录入备份媒介上, 这样极大地促使了单独文件的恢复速度。但是, 长期连续存储数据, 会让备份文件的速度减慢, 因此在进行无顺序文件的查找时需要消耗更多的时间。逻辑备份的缺点就在于, 因为其备份的原则是按照顺序连续备份, 如果只是其中一小部分的文件出现问题, 也要对整个文件进行备份。
3.2物理备份。物理备份也被称为“基于设备的备份”, 故名思义就是在电脑操作方面对文件进行备份。电脑系统在将数据拷贝到备份媒介上时, 会自动忽略文件的结构, 因为备份文件要求在实施过程中花费较少的时间和开销, 因此就需要以这种方式提高文件的性能。不过, 这种方法也有它的缺点, 因为物理备份与逻辑备份不同, 它并不是将文件连续的存储在备份媒介上, 这样的话文件恢复起来就会比较缓慢。在这种情况下, 要对数据进行备份的话, 就需要了解文件在磁块上的组织信息。物理备份的另外一个缺点就是可能会导致数据引入的不一致, 一般电脑在进行数据备份时, 会对要备份录入磁盘块的数据进行缓存, 而物理备份跨越磁盘块的特点会忽略缓存文件的数据, 造成数据的丢失。
即使两种备份方法或多或少地存在一些缺点, 但也不能否认其在数据备份中的重要性以及实用性, 对数据安全的保护作用。
四、结束语
数据备份的技术多种多样, 以上着重讨论了逻辑备份和物理备份技术, 人们在进行数据备份时, 也可以根据需要备份数据的不同, 选择合适的备份方式。但是, 不管如何, 数据安全与数据备份的目的都是为了保护重要信息不泄露, 保证数据的完整以及防止数据丢失。
参考文献
[1]章壮洪, 刘谦.组织的数据安全与容灾备份[J].会计之友 (中旬刊) , 2009 (02) .
[2]刘丽, 李海洋.浅析数据的存储备份及灾难恢复技术[J].中小企业管理与科技 (下旬刊) , 2009 (04) .
数据库安全技术分析 篇2
2.1数据采集
网络安全分析需要依托全面、完整的信息数据,在应用大数据技术时,应先完成数据采集。对于每秒数百兆的日志信息来讲,可以利用Chukwa等工具对其进行采集;对于全数量数据来讲,可以使用传统数镜向方式对其进行采集[2]。
2.2数据存储
完成数据采集后,需依托数据库对其进行集中存储,在大数据技术的帮助下,数据类型存在差异时,可以采用与其相匹配的方式完成存储,不仅能够保证数据之间的明确分类,又可以方便数据查询。数据类型为即时数据时,可采用列式存储方法,先运用流式计算方式进行分析,然后存储所得结果。数据类型为日志时,为提高数据查询效率,可选用列式存储方法完成存储。另外,当数据经过标准化处理后,需要先对其进行处理,所用方法为分布式计算方法,然后再采用列式存储方法进行存储。
2.3数据查询
将大数据技术应用于网络安全分析中去,就数据查询来讲,可依托MapReduce完成[3]。系统发出查询指令后,在对应的节点位置完成处理,并将多种结果加以整合,然后可以通过检索得到自己所需数据信息。相较于传统网络安全分析平台,这种数据查询方式的指令反应及处理更为迅速,大大提高了查询效率。
2.4数据分析
基于大数据技术的网络安全分析平台,当数据类型不同时,所用分析处理方法也是不一样的。首先,如果数据类型为实时数据时,在对其进行分析和处理时,主要用到了流式计算方式、CEP技术、关联分析算法等,可以及时发现潜在的安全隐患及威胁。其次,如果数据类型为历史数据、统计结果时,在实效性方面要求并不严格,可对其进行离线处理,完成更为深入、全面的分析,所用方法主要为分布式存储与计算,既能够发现其中的风险隐患,又可以找出攻击来源。
2.5复杂数据处理
面对越来越复杂以及关联性越来越强的数据,以大数据技术为依托的网络安全分析平台,也可以更加迅速、精准地对其进行处理,包括多源异构数据、系统安全隐患以及关联性攻击行为等。以网络安全问题中常见的僵尸网络为例,借助大数据技术,不但能够从流量和DNS访问特性出发,而且能进行发散性关联分析,同时结合多方面的数据信息,可对数据进行多维度、深层次、全方位分析,确保了数据处理的有效性。
3大数据技术背景下网络安全平台建设
基于大数据技术所体现出的多方面优势,已经在网络安全分析方面得到了越来越广泛的应用,在构建网络安全平台时,需要科学设计其基础构架,并严格把控关键技术环节,充分发挥其应用价值。
3.1平台构架
以大数据技术为依托,所搭建的网络安全平台分为四个层级,包括数据采集层、数据存储层、数据挖掘分析层、数据呈现层,四个层级功能各不相同,需要分别对其进行分析。首先,数据采集层主要负责采集各种类型数据,包括即时数据、用户身份信息、日志等,实现方式为分布式采集。其次,数据存储层的能够实现海量信息的长期保存,并采用结构化、半结构化、非结构化方式对其进行统一存储,使用均衡算法将现实数据均匀分布在分布式文件系统上[4]。另外,网络安全异常的发现及溯源,则是在数据挖掘分析层完成,具体方法包括特征提取、情境分析、关联分析等,可通过检索查询对异常网络行为进行准确定位。最后,数据呈现层则可以通过可视化形式将大数据分析结果呈现出来,通过多种维度展现网络安全状态。
3.2关键技术
构建网络安全平台时,所用到的关键技术主要有数据采集技术、数据存储技术、数据分析技术等。此次研究所用数据采集技术包括Flume、Kafka、Storm等,Flume能够采用分布式方式,对来源不同的数据进行收集和整理,经过处理后将其传输至定制方。Kafka中应用了Zookeeper平台,可实现数据的集群配置管理,能够作为一个高吞吐量的分布式发布订阅系统应用,平衡数据处理环节的系统负荷。完成数据采集后,采用HDFS分布式文件系统对其进行存储,其容错性和吞吐量都比较高,使用元数据管理节点文件系统对空间命名,数据文件保存至数据节点,基本存储单位为64兆字节的数据块。数据文件会随着元数据节点的增多而减少,两者之间呈反比关系,多个文件同时被访问时,会对系统性能造成影响,而HDFS分布式文件系统的应用可有效避免这种问题。在数据分析环节,该平台所用技术为Hivc,对于非结构化数据的检索,所用语言为HiveQL,与HDFS和HBase匹配性良好。API的封装则是采用Hive完成,使用定制的插件开发和实现各种数据的处理、分析与统计。
4结束语
将大数据技术应用于网络安全分析领域,不仅能够提高分析速率、分析精准度,而且还可以降低技术成本,有着多方面显著优势,是未来网络安全防护的必然发展方向。在实际应用时,应采用层级结构构建网络安全平台,就数据采集、数据存储、数据分析等关键技术环节进行重点把控,以此来改善当前网络安全分析中的缺陷与不足,提高网络安全等级。
参考文献:
[1]孙玉.浅谈网络安全分析中的大数据技术应用[J].网络安全技术与应用,.
[2]王帅,汪来富,金华敏等.网络安全分析中的大数据技术应用[J].电信科学,.
[3]贾卫.网络安全分析中的大数据技术应用探讨[J].网络安全技术与应用,.
数据库安全技术分析 篇3
关键词:计算机;数据库;安全管理技术
1 计算机数据库安全管理方面存在的问题
1.1 计算机操作系统方面的问题 一般来说,操作系统方面的问题主要就是病毒、后门以及数据库系统和操作系统的关联性引起的。
病毒方面:在操作系统中很可能有特洛伊木马程序的存在,这对操作系统来说是一个极大的威胁,这种木马程序可以将入驻的程序的密码加以修改,一旦密码更新,入侵者就会获得信息的密码,使信息内容被窃取、破坏等。
数据库系统和操作系统的关联性方面:数据库和操作系统之间的关联性非常强,操作系统中文件管理这个功能可以通过存取控制对各种文件进行续写和执行等操作,所以数据库文件也存在这方面的威胁;同时,操作系统中的监控程序也能够对数据库中的用户登录和口令鉴别进行控制。所以,数据库的安全与操作系统和硬件设备所组成的环境有很大的关系。
1.2 管理方面的问题 很多用户都没有真正意义上认识到网络信息安全的重要性,重视程度不够就使得实施的管理措施强度不够,就使得数据库的安全事件经常发生。因为限制数据库服务器的访问权可以减少数据库遭到攻击,所以很多用户都懒得进行补丁的修复,这就在数据库的管理上造成了严重的失误。想要数据库绝对的安全,就必须进行补丁的修复,因为经常修复补丁可以不因为很久以前没有经过修复的漏洞而遭到攻击。这类问题的主要原因就是存在没有进行修补的系统安全漏洞和所设的登录密码太过简单或者没有进行修改,所以,用户应该建立一个测试环境,进行补丁修复,然后确认补丁修复,再修复生产环境的补丁,提高网络信息安全的防范意识,加强管理措施。
1.3 数据库系统本身存在的问题 关系数据库这个系统已经使用了很多年了,拥有自身强大的特性,产品也非常成熟,但是在实际的应用中,其应该具有的某些特征,在操作系统和数据库系统中并没有被提供,特别是一些比较关键的安全特征。所以,很多关系数据库系统都不是很成熟,还有待改进。
2 计算机数据库安全管理的意义
计算机数据库安全管理对于整个信息技术的应用具有重要的意义,是信息技术能够良好的得到应用的一个基础。通过数据库的安全管理可以将数据进行统一管理,实现数据的资源共享,能够有效地简化数据的访问程序,是应用程序对实际数据能够良好调用的基础,能够有效地解决数据应用中存在的各种问题,能够保证整个数据库具有良好的逻辑结构,使得数据和程序之间的相互影响,能够有效地保证数据的安全性,避免因为数据的泄漏和遗失给数据所有者带来利益上的影响。
3 强化计算机数据库安全管理技术的有效措施
计算机数据库的安全性是数据库发展的根本,所以,做好数据库的安全管理工作是数据库发展的需要。强化计算机数据库安全管理不仅要提高用户的网络信息安全意识,也要从管理技术方面出发,以下介绍几种常见的数据库安全管理技术:
3.1 安全模型 ①多级安全模型:此模型最早是用以支持军用系统以及数据库的安全保密的。一般来说密级从高到低可以分为绝密级、机密级和秘密级,这样分级的意义在于使各级的秘密只能让各级的有权限的人知道,这样可以防止高级的信息流入低级,信息所传递的范围始终在控制之内。②多边安全模型:这也是保护数据库安全的重要措施之一,其主要作用是防止信息的横向泄露,尽可能的确保数据库信息的安全。
3.2 访问控制 访问控制主要是在计算机系统的处理功能的方面对数据库加以保护,其访问控制的对象主要是数据库内部已经进入系统的用户,对数据的安全保护形成一个自订屏障。
访问控制又主要分为两种:自由访问控制和强制访问控制。
①由访问控制:又叫做任选访问控制,运用这种控制方式,资源的拥有者就是创建者,有权利选择可以访问其资源的用户,所以这样就使得用户和用户进程之间可以有选择的与其他的用户进行资源共享。②强制访问控制:在这种控制方式中,系统分配给了主体和客体不一样的安全属性,而用户是不能对自身或其他的客体的安全属性进行更改的,就是不允许单个客户来确定访问权限,用户与用户组的访问权限只能是通过系统管理员来确定,系统是通过对主客体的安全属性进行比较来确定主体能否对客体进行访问。
3.3 安全审计 安全设计功能就是监控和记录指定用户在数据库中的操作行为,其实就是对安全方案中的功能提供持续的评估。在安全审计过程中,管理员应该掌握一组可以进行分析的数据,用来发现何时何处出现的违反安全方案的一些操作行为。通过分析安全审计的结果,及时对安全政策进行调整,修补出现的漏洞。
4 结束语
当今社会,数据库已经成为各企业信息系统正常运行的重要支撑,很大程度上促进了企业的发展,给社会带来了非常可观的价值利益,所以其安全问题应该引起高度的重视。企业数据库中存放着企业日常生产的重要数据,这些数据影响着企业的正常生产和运行,为企业管理者的决策起到重要作用,同时,影响着企业的发展方向。数据的安全很大程度来自于数据库的安全管理,所以企业应该做好数据库安全管理工作,采取有效措施,保证数据的安全存放,在强化数据库安全管理技术措施的同时,企业信息化建设中的其他各个方面也应该积极配合,这样才能真正意义上提高数据库的安全性。
参考文献:
[1]马涛,秦轶翠,吴宝珠等.试论计算机数据库安全管理[J].计算机光盘软件与应用,2011(14):153-153.
[2]李丹.数据库安全管理的应用[J].吉林省经济管理干部学院学报,2009,23(6):99-101.
[3]杨淑波.浅谈计算机数据库安全技术[J].科技与生活,2010,(19):33-33.
数据库安全技术分析 篇4
关键词:计算机网络,数据库安全,技术
1 网络数据库概述
计算机技术应用中, 其数据的储存、管理大多通过数据库进行, 而计算机网络的应用中, 数据的储存管理则需要通过网络数据库进行。网络数据库是建立在数据库的基础上, 其信息数据的储存以及查询则需要通过浏览器等客户端软件予以实现。同计算机数据库不同, 网络数据库能够储存很多信息数据, 并保证这些数据的完整性与一致性。计算机网络技术发展至今最常见的网络数据库部署模式为客户机-服务器模式以及浏览器-服务器模式, 上述两种部署模式都相对较为简单且操作方便。
2 网络数据库的安全问题
计算机网络在信息数据的传输中具有大规模、迅速性, 这正是由于网络数据库能够进行大文件的存储, 且可靠性高, 能够进行数据的实时更新且用户多等特性。但是由于网络数据库中存放的各类重要机密的信息, 因此容易产生诸多安全隐患, 例如恶意篡改数据、数据丢失以及非法入侵等。这种情况下, 必须采取有效的安全措施, 以提高网络数据库的安全性。计算机网络应用规则中, 只有合法的用户才能够进行数据的查询、使用, 而非法用户对数据库中数据的攻击通常是通过计算机网络系统进行。因此, 计算机网络系统安全与否就直接决定了网络数据库的安全性, 因此合理、科学的网络数据库安全技术方案对网络数据库的安全性提升具有重要意义。具体分析当前网络数据库所遇到的安全问题, 主要包含以下几种:首先是非法篡改。窃取网络数据库中的数据以及信息;其次则是恶意攻击网络数据库, 破坏其中的信息数据;再者是非法用户对网络数据库中非权限内的数据进行访问;最终则是由于操作失误导致的数据错误。
3 安全技术分析
正是由于计算机网络具有开放性, 其网络数据库中的数据极易受到各种因素的不良影响, 导致数据库的安全性受到威胁。因此必须有针对性的采取合理、科学的安全技术以提高网络数据库的安全性, 令信息数据在计算机网络中更加安全, 保证其完整性及一致性。在目前的技术条件下, 计算机网络数据库实用的安全技术方案主要包括安全性保证和信息对象存取权合法性保证两种。
3.1 审计追踪。
审计追踪是计算机网络数据库安全技术方案中最常见的技术方案, 用户在使用计算机网络时, 会对网络数据库进行操作, 此时计算机网络数据库管理人员或者系统本身能够对用户所有的操作进行自动跟踪访问, 并将这些信息详细精确的记录在审计日志中, 这种方式能够为数据库的管理提供有效的参考。管理员在管理网络数据库过程中, 通过查阅审计日志, 能够准确掌握访问用户的操作情况, 及时有效的发现网络数据库中存在的问题。一旦网络数据库出现故障, 管理人员也能够通过审计日志及时确定故障引发原因, 甚至能够迅速锁定恶意篡改数据的非法操作人员, 对其追责。除此之外, 网络数据库审计日志还能够及时有效的发现网络数据库存在的系统漏洞, 令技术人员能够及时对系统进行完善和修补, 从而提高网络数据库的安全性能。
3.2 备份、恢复信息数据。
在网络数据库的使用中, 信息的备份是最常用的安全机制, 一旦网络数据库发生问题, 通过信息的备份能够有效恢复数据库中的数据, 从而保证数据的完整性及准确性, 这是目前社会上普遍认可的一种安全技术方案。通过数据的备份和恢复, 即便网络数据库受到了恶意攻击, 其中的数据受到了篡改, 计算机网络系统出现了功能故障, 管理人员也可以迅速的恢复网络数据库中的数据, 从而恢复网络数据库的功能, 令其可以征程访问。在目前网络数据库的应用中, 数据的备份方案通常有动态备份、静态备份以及逻辑备份三种, 而恢复数据的技术主要为在线日志、备份文件以及磁盘镜像等。
3.3 加密技术。
对计算机网络数据库采取加密措施指的是借助于加密功能来不断提高计算机网络数据库数据文件的安全以及正常访问的可靠性。对计算机网络数据库进行加密是指管理人员或者技术人员通过一种非常特殊的算法来对数据文件中的信息进行一定程度的改变, 从而使没有被授权访问的客户即使得到了己经加密过的信息, 但是由于不知道数据加密的方法, 仍然无法即使获取正确的信息数据。为了确保数据库加密功能可以正常使用, 必须对计算机网络数据库加密系统的内部模块进行优化处理, 通过高效的加密和解密, 使用户可以安全获取需要的信息数据。
3.4 用户认证技术。
计算机网络环境面向的用户非常多, 并且属于一种开放式的环境, 所以为了提高计算机网络数据库的安全性, 必须对每一个有权访问计算机网络数据库的用户进行身份认证, 有效防止防止计算机网络数据库被无权访问的用户恶意攻击或者非法访问。计算机网络数据库的用户身份认证主要是通过数据库对象、数据库连接和系统登录三级安全机制来实现用户身份认证的功能。其中, 数据库对象是借助于不同程度的权限机制, 为不同的用户设置针对性的访问对象权限:计算机网络数据库的连接是数据库关系系统要求对访问用户的身份进行验证;而系统登录主要是对用户输入的用户名和密码进行验证。
结束语
通过上述分析可以看出, 虽然计算机网络给人们的生活带来了一定的便利, 但是由于其具有开放性, 因此在应用中, 网络数据库容易受到外界多重因素的影响及重攻击, 着对网络数据库的使用以及信息的安全都造成了不良影响。因此必须针对网络数据库的安全保护进行加强, 从其所面临的诸多安全隐患出发, 在技术研发中进行深入分析, 通过对安全技术的改进更新, 提高技术方案对安全隐患的应对能力。除此之外数据库的备份、恢复以及网络数据加密, 也是有效提高网络数据库安全性的技术方案。针对外界不良因素影响, 通过审计以及攻击检测可以最大程度提高网络数据库的防御能力, 而通过用户身份认证可以从客户端访问方面提供数据库的完整性和安全性。计算机网络安全一直是计算机网络技术发展的重点, 而其中网络数据库的安全性更是重中之重, 而网络数据库安全保障涉及面相对较广, 仍旧需要技术研发人员的进一步研究。
参考文献
[1]滕萍.论计算机网络数据库安全技术[J].网络安全技术与应用, 2014 (3) :170-171.
数据库安全技术分析 篇5
修订说明 工作简要过程 1.1 任务来源
近年来,随着黑客技术的不断发展以及网络非法入侵事件的激增,国内网络安全产品市场也呈现出良好的发展态势,各种品牌的防火墙产品、入侵检测产品等已经达到了相当可观的规模。最近几年,网络脆弱性扫描产品的出现,为网络安全产品厂商提供了一个展现自身技术水平的更高层次舞台,市场上,各种实现脆弱性扫描功能的产品层出不穷,发展迅速,标准《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》已不能满足现在产品的发展需求,另一方面,为了更好地配合等级保护工作的开展,为系统等级保护在产品层面上的具体实施提供依据,需要对该标准进行合理的修订,通过对该标准的修订,将更加全面系统的阐述网络脆弱性扫描产品的安全技术要求,并对其进行合理的分级。本标准编写计划由中国国家标准化管理委员会2010年下达,计划号20101497-T-469,由公安部第三研究所负责制定,具体修订工作由公安部计算机信息系统安全产品质量监督检验中心承担。1.2 参考国内外标准情况
该标准修订过程中,主要参考了:
—GB 17859-1999 计算机信息系统安全保护等级划分准则 —GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 —GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
—GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第二部分:安全功能要求 —GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第三部分:安全保证要求 —GA/T 404-2002 信息技术 网络安全漏洞扫描产品技术要求 —GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求 —GB/T 20280-2006信息安全技术 网络脆弱性扫描产品测试评价方法 —MSTL_JGF_04-017 信息安全技术 主机安全漏洞扫描产品检验规范 1.3 主要工作过程
1)成立修订组
2010年11月在我中心成立了由顾建新具体负责的标准修订组,共由5人组成,包括俞优、顾建新、张笑笑、陆臻、顾健。
2)制定工作计划
修订组首先制定了修订工作计划,并确定了修订组人员例会及时沟通交流工作情况。3)确定修订内容
确定标准主要内容的论据 2.1 修订目标和原则 2.1.1 修订目标
本标准的修订目标是:对网络脆弱性扫描类产品提出产品功能要求、产品自身安全要求以及产品保证要求,使之适用于我国脆弱性扫描产品的研究、开发、测试、评估以及采购。2.1.2 修订原则
为了使我国网络脆弱性扫描产品的开发工作从一开始就与国家标准保持一致,本标准的编写参考了国家有关标准,主要有GA/T 698-2007、GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008第二、三部分。本标准又要符合我国的实际情况,遵从我国有关法律、法规的规定。具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。目前,我国网络脆弱性扫描类产品种类繁多,功能良莠不齐,要制定出先进的信息安全技术标准,必须参考国内外先进技术和标准,吸收其精华,制定出具有先进水平的标准。本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义。因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。2.2 对网络脆弱性扫描类产品的理解 2.2.1 网络脆弱性扫描产品
脆弱性扫描是一项重要的安全技术,它采用模拟攻击的形式对网络系统组成元素(服务器、工作站、路由器和防火墙等)可能存在的安全漏洞进行逐项检查,根据检查结果提供详细的脆弱性描述和修补方案,形成系统安全性分析报告,从而为网络管理员完善网络系统提供依据。通常,我们将完成脆弱性扫描的软件、硬件或软硬一体的组合称为脆弱性扫描产品。
脆弱性扫描产品的分类
根据工作模式,脆弱性扫描产品分为主机脆弱性扫描产品和网络脆弱性扫描产品。其中前者基于主机,通过在主机系统本地运行代理程序来检测系统脆弱性,例如针对操作系统和数据库的扫描产品。后者基于网络,通过请求/应答方式远程检测目标网络和主机系统的安全脆弱性。例如Satan 和ISS Internet Scanner等。针对检测对象的不同,脆弱性扫描产品还可分为网络扫描产品、操作系统扫描产品、WWW服务扫描产品、数据库扫描产品以及无线网络扫描产品。
这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。
FIN+URG+PUSH扫描
向目标主机发送一个FIN、URG和PUSH 分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志。
NULL扫描
通过发送一个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的,它应该发送回一个RST数据包。
UDP ICMP端口不能到达扫描
在向一个未打开的UDP端口发送一个数据包时,许多主机会返回一个ICMP_PORT_UNREACH 错误。这样就能发现哪个端口是关闭的。UDP和ICMP错误都不保证能到达,因此这种扫描器必须能够重新传输丢失的数据包。这种扫描方法速度很慢,因为RFC对ICMP错误消息的产生速率做了规定。
安全漏洞特征定义
目前,脆弱性扫描产品多数采用基于特征的匹配技术,与基于误用检测技术的入侵检测系统相类似。扫描产品首先通过请求/应答,或通过执行攻击脚本,来搜集目标主机上的信息,然后在获取的信息中寻找漏洞特征库定义的安全漏洞,如果有,则认为安全漏洞存在。可以看到,安全漏洞能否发现很大程度上取决于漏洞特征的定义。
扫描器发现的安全漏洞应该符合国际标准,这是对扫描器的基本要求。但是由于扫描器的开发商大都自行定义标准,使得安全漏洞特征的定义不尽相同。
漏洞特征库通常是在分析网络系统安全漏洞、黑客攻击案例和网络系统安全配置的基础上形成的。对于网络安全漏洞,人们还需要分析其表现形式,检查它在某个连接请求情况下的应答信息;或者通过模式攻击的形式,查看模拟攻击过程中目标的应答信息,从应答信息中提取安全漏洞特征。漏洞特征的定义如同入侵检测系统中对攻击特征的定义,是开发漏洞扫描系统的主要工作,其准确直接关系到漏洞扫描系统性能的好坏。这些漏洞特征,有的存在于单个应答数据包中,有的存在于多个应答数据包中,还有的维持在一个网络连接之中。因此,漏洞特征定义的难度很大,需要反复验证和测试。目前,国内许多漏洞扫描产品直接基于国外的一些源代码进行开发。利用现成的漏洞特征库,使系统的性能基本能够与国外保持同步,省掉不少工作量,但核心内容并不能很好掌握。从长远发展来看,我国需要有自主研究安全漏洞特征库实力的扫描类产品开发商,以掌握漏洞扫描的核心技术。
技术趋势
从最初的专门为UNIX系统编写的具有简单功能的小程序发展到现在,脆弱性扫描系统已经成为能够运行在各种操作系统平台上、具有复杂功能的商业程序。脆弱性扫描产品的发展正呈现出以下趋势。
系统评估愈发重要
目前多数脆弱性扫描产品只能够简单地把各个扫描器测试项的执行结果(目标主机信息、安全漏洞信息和补救建议等)罗列出来提供给测试者,而不对信息进行任何分析处理。少数脆弱性扫描产品能够将扫描结果整理形成报表,依据一些关键词(如IP地址和风险等级等)对扫描结果进行归纳总结,但是仍然没有分析扫描结果,缺乏对网络安全状况的整体评估,也不会提出解决方案。
在系统评估方面,我国的国标已明确提出系统评估分析应包括目标的风险等级评估、同一目标多次扫描形式的趋势分析、多个目标扫描后结果的总体分析、关键脆弱性扫描信息的摘要和主机间的比较分析等等,而不能仅仅将扫描结果进行简单罗列。应该说,脆弱性扫描技术已经对扫描后的评估越来越重视。下一代的脆弱性扫描系统不但能够扫描安全漏洞,还能够智能化地协助管理人员评估网络的安全状况,并给出安全建议。为达这一目的,开发厂商需要在脆弱性扫描产品中集成安全评估专家系统。专家系统应能够从网络安全策略、风险评估、脆弱性评估、脆弱性修补、网络结构和安全体系等多个方面综合对网络系统进行安全评估。
插件技术和专用脚本语言
插件就是信息收集或模拟攻击的脚本,每个插件都封装着一个或者多个漏洞的测试手段。通常,脆弱性扫描产品是借助于主扫描程序通过用插件的方法来执行扫描,通过添加新的插件就可以使扫描产品增加新的功能,扫描更多的脆弱性。如果能够格式化插件的编写规范并予以公布,用户或者第三方就可以自己编写插件来扩展扫描器的功能。插件技术可使扫描产品的结构清晰,升级维护变的相对简单,并具有非常强的扩展性。目前,大多数扫描产品其实已采用了基于插件的技术,但各开发商自行规定接口规范,还没有达到严格的规范水平。
专用脚本语言是一种更高级的插件技术,用户使用专用脚本语言可以大大扩展扫描器的功能。这些脚本语言语法通常比较简单直观,十几行代码就可以定制一个安全漏洞的检测,为扫描器添加新的检测项目。专用脚本语言的使用,简化了编写新插件的编程工作,使扩展扫描产品功能的工作变的更加方便,能够更快跟上安全漏洞出现的速度。
网络拓扑扫描
网络拓扑扫描目前还被大多数扫描器所忽略。随着系统评估的愈发重要,网络拓扑结构正成为安全体系中的一个重要因素。拓扑扫描能够识别网络上的各种设备以及设备的连接关系,能够识别子网或
和增强级两个级别,且与“基本要求”和“通用要求”中的划分没有对应关系,不利于该类产品在系统等级保护推行中产品选择方面的有效对应。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》的网络安全管理,从第一级就要求“定期进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补”,《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》中的信息系统安全性检测分析,从第二级开始要求“操作系统安全性检测分析、数据库管理系统安全性检测分析、网络系统安全性检测分析、应用系统安全性检测分析和硬件系统安全性检测分析的要求,运用有关工具,检测所选用和/或开发的操作系统、数据库管理系统、网络系统、应用系统、硬件系统的安全性,并通过对检测结果的分析,按系统审计保护级的要求,对存在的安全问题加以改进。”
本次在对原标准的修订过程中,对于产品本身的安全保护要求,主要参考了GB/T 17859-1999、GB/T 20271-2006、GB/T 18336-2008、GB/T 22239-2008等,以等级保护的思路编写制定了自身安全功能要求和保证要求。对于产品提供服务功能的安全保护能力方面,现阶段是以产品功能强弱以及配合等级保护安全、审计等要素进行分级的。通过对标准意见的不断收集以及修改,将产品提供的功能与等级保护安全要素产生更密切的联系,以便有能力参与到系统等级保护相关要素的保护措施中去。2.2.3 与原标准的区别
1)标准结构更加清晰规范,全文按照产品安全功能要求、自身安全功能要求和安全保证要求三部分进行整理修订,与其他信息安全产品标准的编写结构保持一致。
2)删除原标准中性能部分的要求,将原来有关扫描速度、稳定性和容错性,以及脆弱性发现能力等重新整理,作为功能部分予以要求,同时,考虑到原来对于误报率和漏报滤的模糊描述以及实际测试的操作性较差,删除了这两项内容的要求。
3)对于产品功能要求的逻辑结构进行重新整理,按照信息获取,端口扫描,脆弱性扫描,报告的先后顺序进行修订,使得产品的功能要求在描述上逐步递进,易于读者的理解,并且结合产品的功能强弱进行分级。
4)对于产品的自身安全功能要求和安全保证要求,充分参考了等级保护的要求,对其进行了重新分级,使得该标准在应用时更能有效指导产品的开发和检测,使得产品能更加有效的应用于系统的等级保护工作。
5)将标准名称修改为《信息安全技术 网络脆弱性扫描产品安全技术要求》,增加了“安全”二字,体现出这个标准的内容是规定了产品的安全要求,而非其它电器、尺寸、环境等标准要求。
6)将原标准中“网络脆弱性扫描”的定义修改为“通过网络对目标网络系统安全隐患进行远程探测的过程,它对网络系统进行安全脆弱性检测和分析,从而发现可能被入侵者利用的漏洞,并可以提出一定的防范和补救措施建议。”作为扫描类产品,在发现系统脆弱性的同时,还要求“能够采取一定的准,结合当前国内外网络脆弱性扫描产品的发展情况,系统地描述了产品的功能要求、自身安全要求和保证要求。这些技术是在对国内外现有技术及标准进行吸收、消化的基础上,考虑了我国国情制定的。
本次是对原有国标《GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求》的修订,在修订过程中,重新整理了内容和结构,结合等级保护的要求重新进行了分级,在内容和结构上趋于完整化、可行化和系统化。4 贯彻标准的要求和实施建议
本标准是对网络脆弱性扫描产品安全技术要求的详细描述,为生产、测试和评估信息过滤产品提供指导性意见。建议将本标准作为国家标准在全国推荐实施。
《信息安全技术 网络脆弱性扫描产品安全技术要求》修订组
数据库安全技术分析 篇6
关键词:数据加密;计算机应用安全;应用
中图分类号:TP393.08
随着科技与时代的发展,互联网成为人们生活中不可缺少的一部分,与人们基本生活、工作有着密切的联系。计算机应用日趋广泛,目前已在各行各业落地生根,计算机安全问题也逐渐得到重视,为保证数据的安全性、保密性、完整性,只有通过数据加密技术来实现[1],数据加密技术对维护计算机安全有着深远的意义。
1 数据加密技术的概念
在计算机运行的过程中,应用系统的任何操作都要经过数据传输,只有保证信息数据的安全计算机的安全才得以实现,换言说之,计算机安全取决于数据传输的安全。数据加密技术就是在特定的环境下,信息发送方传输给接收方的数据要经过解密然后才能获得的一种方式[2],数据加密首先处理明文或数据,将其转化为一段无意义的代码,然后挑选随机数组成对应的密钥,还原信息内容,运用密钥来保护信息数据的安全。数据加密的算法有置换表算法、改进的置换表、循环移位和XOR操作、循环冗余校验算法这几个类型[3],数据加密技术根据以上几种控制算法,将数据通过加密密钥、函数转换成没有任何联系、不可读的密文,此密文难以破解,实现了计算机安全的有效运行。
2 影响计算机安全的问题
2.1 计算机操作系统的漏洞
现阶段全球运用最多的是微软系统,用户高达百分之九十以上,由于微软系统用户较多,黑客也将主要攻击目标放在此类系统上,因此,微软系统的漏洞也被这些黑客们首先曝光,给计算机安全带来了极大的安全隐患。黑客或病毒会通过漏洞来获取用户信息、账号密码等形式来达到从中获利的目的。计算机操作系统的漏洞是不可避免的,操作系统由开发团队来支持,其编写的代码接口本身就有问题,通过补丁的形式来修复漏洞[4]。操作系统大都支持多用户、多进程,这就表示在同一个主机上可能会同时接收到较多进程的运作,在它们传输的过程中,网络系统就会因为操作而出现漏洞受到病毒或黑客的袭击。
2.2 互联网的安全隐患
互联网时代的来临,使得计算机随之运用得越来越广泛,网络参与使得计算机发挥出巨大的功效,人们坐在家中就可处理生活、工作上的问题,给人们的生活带来了极大的便利。互联网本身就是一个重大的安全隐患,根据研究表明,百分之九十以上的计算机安全问题都是因为互联网造成的,互联网的链路层、传输层等协议出现了问题,就会被黑客抓住漏洞,置入木马及病毒传输给互联网用户,这种计算机病毒往往传播速度快、范围广,甚至会隐藏在程序中,一旦被共享或打开,计算机就会被感染,致使黑客恶意盗取用户信息。
2.3 非法入侵
除了黑客与恶意攻击者之外,也有这样的一部分非法入侵者,利用监视网站或计算机,来取得用户口令、密码或IP,运用这种违法的手段登录系统冒充用户,并且将自己的IP地址取代用户地址,借此盗取更多的互联网信息。
3 数据加密技术在计算机安全中的应用
3.1 数据加密技术
数据加密技术是将明文经过加密算法使其转换为密文,从而使黑客与攻击者无法破译,但是只有加密方法和加密算法进行保障数据还是比较不安全的。现阶段运用最多的数据加密技术有链路层加密、节点加密、端对端加密这三种[5],比如电子银行系统就是通过运用先进的加密技术来达到安全稳定运作的目的,一旦电子银行数据被破解就会导致巨额损失。因此,电子银行的客户端、服务器等多种数据都是加密的,即使攻击者破译了加密数据,也无法盗取其它端口的信息,有许多银行通过数据加密技术再加上交换网络设备,共同防范数据的泄露,从而增强信息安全性,通过多重加密数据来保证数据安全是一种行之有效的方式。
多设备交换共同作战的方法就是当路由器、防火墙等在运行的过程中,数据传输到安全设备时,数据加密系统会自行检测是否带有潜在的风险,如果发现有危险,就会按照原来的路径将错误的信息回馈到路由器或防火墙中,设备将及时对其作出处理,立即关闭端口,保护信息安全。
3.2 数据加密方案
目前可实施的数据加密方案有三种,分别是对称数据加密技术、非对称数据加密技术、公开密钥加密技术。对称数据加密其实就是加密与解密密钥相同的加密方法,传输信息的双方通过使用同样的密钥,接受和传送数据,来保证数据的完整与安全。非对称数据加密技术是指对数据加密、数据解密时采用多种不相同的密钥,通过个人密钥接收信息,来保障密钥的安全。公开密钥加密由两个密钥组成,加密信息叫做加密密钥,解密信息叫做解密密钥,这两种密钥与数学有着密切的关联,会同时出现,但这两种密钥却又相互无法计算,只有加密用户才知道该数据的解密密钥。
3.3 数据加密的应用
数据加密技术中通过密钥的应用,可在一定程度上加大对计算机安全的保障,由于加密算法比较固定,密钥密文的形式多变,实现信息数据的双重加密。现阶段密钥有个人、公用这两种,其中个人密钥只参与两台计算机间的相互访问,具有较高的安全保障,但个人密钥的缺点也就表现在这里,如果访问其它密钥的时候个人密钥就不能继续访问,会通过公用密钥来实现。因此,大多用户采用个人与公用密钥这两种方式同时加密。计算机用户传输数据时首先进行公用密钥加密,接收方则通过个人密钥对此进行解密,这样一来就能解决因个人密钥的泄密,而无法实现数据加密的状况,从而保证用户信息的安全。
数字签名认证加密技术在电子银行系统运用比较广泛,通过认证签名的方式来核对用户身份,这个过程也是一种加解密。现阶段数字签名认证加密技术也分为两种,与密钥形式相同,分为基于个人密钥和基于公用密钥的这两种数字签名形式,通过公用密钥保护个人密钥,使此种加密技术的安全性得到提高。
4 结束语
综上所述,数据加密技术是保护计算机信息安全的重要前提,只有数据加密技术不断得到提高,才能更加有效的保证计算机信息的安全。作为普通的互联网用户,安装杀毒软件,创建良好的互联网环境并培养优良的使用习惯也是保证信息安全的重要方面。
参考文献:
[1]李晓利.数据加密技术在计算机网络安全中的应用探讨[J].数字技术与应用,2011(06).
[2]朱闻亚.数据加密技术在计算机网络安全中的应用价值研究[J].制造业自动化,2012(06).
[3]刘宇平.数据加密技术在计算机安全中的应用分析[J].信息通信,2012(02).
[4]王广利.数据加密技术在计算机网络安全中的运用[J].科技传播,2012(14).
[5]金波.简析数据加密技术在计算机网络安全中的应用[J].黑龙江科技信息,2013(06).
作者简介:孙志峰(1981.12-),湖北武汉人,工程师,工学学士,研究方向:网络安全;屈雷(1984.08-),湖北武汉人,硕士研究生,研究方向:网络安全。
数据库安全技术分析 篇7
大数据给人们的工作、生活和学习带来了极大的便利,提高了人们的生活质量、工作效率和学习成效,具有重要的作用。 数据库是承载互联网大数据的存储器,是为人们提供数据信息的基础,因此数据库在大数据时代具有重要的作用。 面对日益增长的海量数据信息资源以及丰富的互联网应用软件,大数据时代数据库信息系统的安全风险呈现多样化、智能化、传播迅速化特点。 许多计算机学者将数据库安全风险评估、安全防御作为数据库未来发展的重要方向之一。 计算机学者经过多年的研究,已经提出了许多风险评估技术,比如基于灰色理论、基于专家系统、基于神经网络和数据挖掘算法等,有效地提高了数据库信息系统安全风险评估的准确程度,快速地发现数据库存在的安全漏洞,及时打补丁和构建防御系统,为大数据的应用保驾护航。
2 大数据时代数据库信息系统面临的安全风险
大数据时代数据库信息系统面临的安全风险包括多种,比如木马、病毒和黑客攻击,并且存在安全攻击形式和渠道多样化、数据库信息系统漏洞快速增长、安全威胁智能化等特点。
2.1 安全攻击形式和渠道多样化
数据库信息系统为大数据应用提供基础支撑。 云计算、分布式计算、移动计算等技术的快速发展和进步,为大数据应用软件接入数据库信息系统提供了丰富的渠道, 为人们应用大数据资源的同时带来了潜在的攻击,并且使得攻击形式和渠道呈现多样化特点。 安全攻击可以采用应用软件接入端口、邮件传输端口、数据采集端口等攻入数据信息系统,并且攻击形式除了木马、病毒和黑客之外,还采取了拒绝服务、断网等形式。
2.2 数据库信息系统漏洞快速增长
大数据为人们提供了丰富的数据资源,促进许多软件开发商设计与实现适于人们需求的应用程序,以便存取数据资源,提供不同种类的应用。 应用软件开发过程中,采用的系统架构、实现技术、接入数据库端口不同,因此导致数据库信息系统面临着多种存取模式,比如离线存取、在线存取、断点续传等,使得数据库信息系统漏洞在应用中不断的上升,为数据库信息系统的防护带来了潜在威胁。
2.3 数据库信息系统安全威胁智能化
随着计算机技术的快速提升, 网络中传播的木马、病毒和黑客攻击也得到迅速提升, 呈现出智能化的特点,潜藏的时间更长,传播速度更快,感染范围也更加广泛,更加难以被风险评估技术、安全防御技术扫描到,一旦爆发将会给数据库信息系统带来严重的影响。
3 大数据时代数据库信息系统风险评估技术
数据库信息系统可以为大数据时代提供数据来源,丰富应用系统功能。 数据库信息系统需要为用户提供强大的安全风险评估技术,以便能够确保数据库信息系统的安全。 目前,许多计算机学者经过多年的研究,数据库信息系统风险评估技术包括安全检查表法、 专家评价法、事故树分析法、层次分析方法。
(1)安全检查表法 。 安全检查表法可以指定详细的数据库风险评估规范、评估内容,邀请经验较为丰富的安全风险评估专家根据安全检查表逐项进行评估,及时发现数据库信息系统存在的风险。
(2)专家评估法 。 专家评估方法可以根据数据库信息系统过去、现在运行的情况,参考风险评估标准和准则,预测数据库信息系统未来的安全趋势,专家评估过程中, 主要采取专家审议法和专家质疑法两种措施,都可以有效的进行风险分析和评估。
(3)事故树分析方法 。 事故树分析方法本质是一种信息系统风险演绎分析方法,通过分析数据库信息系统组成部分之间的逻辑关系,以便能够明确安全事故发生的基本原因,事故树分析方法能够识别诱发安全事故的基本风险元素。
(4)层次分析方法 。 层次分析方法可以自顶向下将组成数据库信息系统的软硬件资源划分不同的层次,形成一个层次模型,并且按照风险可能发生的概率进行优化和组织,最终识别风险发生可能较大的资源。
安全检查表法、专家评估法、事故树分析方法属于定性风险评估,其需要依赖数据库信息系统安全评估人员的风险分析经验, 结合风险评估标准和类似案例等,评估数据库信息系统的风险分级,风险评估结果具有很强的个人主观性。 层次分析方法属于定量分析方法,其可以确定威胁事件发生的概率,确定威胁发生后对系统引起的损失,定量分析可以更加准确的、直观的描述系统的风险级别,获取更好的风险分析结果,更具有客观性,因此逐渐成为风险分析和评估的主流方法。
4 结束语
数据库安全技术分析 篇8
1计算机网络数据库的安全管理漏洞
1.1系统本身的不足
在目前广泛使用的计算机系统中,其本身存在一定的漏洞或缺陷,这也是计算机系统供应商一直期望解决的问题,并定时提供系统更新的主要原因。正是由于计算机系统本身存在一些问题,有些人则专门利用这些漏洞来对计算机系统进行攻击,使网络数据库受到极大的安全威胁,究其主要原因,一方面是设计者故意留有“后门”,以便于能够对使用者的相关信息进行搜集,对系统本身的情况能够及时掌握,可以对其进行随时“掌控”;另一方面,则是因为过去人们大多经历都放在信息防护中,忽略了网络数据库的安全,资金投入很少,致使自然网络数据库的安全防护不能被及时更新,加上计算机系统的不断发展,致使更多漏洞的产生。系统本身的问题使得网络数据库安全防护网变得非常脆弱,改善计算机系统本身不足有助于提升网络数据库的安全防护作用。
1.2第三方尤其是黑客的攻击
在没有黑客的时代,网络数据库的安全并没有多大的威胁,但是黑客如同阳光的背面,其与网络同时存在,其选择相应的目标进行攻击,针对某一漏洞进行数据窃取,是网络数据库最大的安全隐患。随着网络积累更多的程序数据,各种程序的编译方法的不同,有些程序员编写的数据程序存在许多安全隐患,给黑客留下了“入口”,如不及时更新软件,将会造成严重的后果,如用户数据被窃取,众多用户信息丢失等等。黑客往往会选择前期运行的软件,或者其功能不完善的软件,通过其所存在的漏洞进行攻击,成为窃取数据、进入网络的重要渠道。
2计算机网络数据库安全技术方案
2.1攻击检测和审计追踪
用户在对计算机网络数据库进行操作时,计算机本身或者网络管理员会记录下操作记录,然后将所有的操作记录都保存在审计日志文件中,准确而详细保存在文档中,然后管理人员可以随时进行查阅和追踪,掌握计算机网络数据库的运行状态,和安全防护问题,也可以作为参考来查阅其他信息,这就是计算机网络数据库的攻击检测和审计追踪功能。一旦计算机网络数据库出现故障时,网络管理员可以在最短的时间内找到发生问题的位置,原因和制定解决方案。还能追查发生问题的责任人员,追究其责任,做经验分析,找出系统本身存在的缺陷,进行修补,确保计算机网络数据库的安全性。通过攻击检测和审计追踪的方式可以对网络漏洞进行及时跟进和检查,有助于提高网络的安全性。
2.2信息数据的备份和恢复
备份和恢复机制是对网络数据库管理准确性和科学性的更高改进,其可以进行数据备份,在必要的时候进行数据恢复,是保障网络数据库安全的一种必不可少的机制。在这种安全保护机制下,一旦数据受到攻击,管理人员可以轻松地借助恢复功能,将被删除的信息资源恢复,使系统恢复到被攻击之前的状态。然后对漏洞进行修复。这种机制最大的优点在于能够在最短的时间内完成信息的恢复,确保计算机网络数据库无法访问。当前阶段,对于网络数据库备份的技术主要包括在线日志、备份文件、磁盘镜像等,管理人员可以结合具体情况进行选择使用,从而保障网络数据的安全性。
2.3数据库加密
网络数据库的安全性还在于数据库的加密,对不同密级的文件做不同的加密处理,不同权限的人员能够浏览不同的文件,灵活的控制不同用户对不同信息的使用问题,针对不同级别的用户划分不同的权限,既能够保证用户的基本使用,也能够保证关键数据行信息的安全性。如果某一用户需要对该信息进行修改处理,就要使用能够进行操作的账号,否则则不能浏览到相关数据,也不能够能够对相关数据进行操作,甚至可能无法浏览相关数据。这就保证信息数据的管理更加合理,有利的保障网络数据库的安全。而且其能保证数据信息无时无刻都在加密状态,在信息传递过程中也保护了信息的传递安全。并且,加密数据还可以在运输途中保证其安全性,防止黑客等在途中对数据进行拦截、窃听,从而有效防止数据外泄。
3结语
综上所述,计算机网络数据库的安全影响的因素主要在于计算机本身的系统漏洞,数据库管理的安全技术问题。加强对计算机系统开发的研究能力,对管理技术水平进一步提升都能够保障计算机网络数据库的安全,提高其安全性,防止黑客攻击,达到维护信息安全的目的。
参考文献
[1]王艳杰.计算机网络数据库安全技术方案的研究[J].计算机光盘软件与应用,2014(23):171+173.
[2]谢妮娜.计算机网络数据库安全技术的优化探究[J].信息技术与信息化,2015(09):93-95.
任务网数据存储安全关键技术分析 篇9
目前, 海南发射场建设快速推进, 将建成信息化、现代化、开放型的新一代运载火箭发射场, 任务领域进一步延伸, 任务复杂度进一步提高, 发射任务更加密集, 对整个发射场一体化信息系统安全防护提出了更高要求。为了防范任务数据遭到可能的恶意破坏和攻击, 最大限度降低发射场内部网络存在的安全风险, 防止数据泄露、毁坏等给试验任务带来负面影响和损失, 加强内网数据存储安全防护, 成为当下需要重视的一项技术课题。
1 内网安全概述
1.1 网络安全的定义
所谓的网络安全, 主要是指在整个网络系统中, 包括软件、硬件以及各项数据的保护, 避免来自外部的恶意破坏、更改以及数据泄漏等, 保证系统网络安全正常的不间断运行。从实质意义上讲, 它所重视的就是网络上各项信息数据的安全, 利用网络、通信、密码、安全应用等关键技术, 实现网络信息的保密、可用、完整、可控与真实[1]。
1.2 内网安全实现的设计原则分析
1.2.1 木桶原则
计算机系统中涉及内容最多, 最复杂的就是信息系统, 这使得内网本身信息数据就存在物理性的漏洞与缺失, 再加之网络操作管理过程中的疏忽, 使得网络信息数据的存储管理安全存在更大风险。按照木桶原则来看, 数据管理薄弱的地方最容易遭受攻击者的入侵, 而试验任务中, 五大系统数据将实现资源共享, 攻击者一旦从任意一台操作终端入侵, 将有可能侵入内网数据存储内部, 造成数据的破坏、泄漏等严重后果。因此, 要对整个内网的数据信息存储进行全面的管理、检测, 以计量减少外来侵略的可能。
1.2.2 实用与有效结合原则
在网络系统运行过程中, 信息的有效管理以及共享实用是一个矛盾体[2]。加大力度管理内网数据存储安全, 就会采用一些过滤技术和管理措施对网络进行安全防护, 检测修补各种系统漏洞缺陷。但是, 在进行数据安全系统技术加强的过程中, 会给内网用户信息数据使用带来不便, 尤其是在实时试验任务情况下, 对于数据传输的时效性有着很高要求, 由系统安全管理带来的数据扩张以及时间延迟, 是不被接受的。因此, 最大限度地确保内网系统安全, 并不影响数据的正常使用, 真正体现网络的实用性与安全防护的有效性, 是网络信息数据安全技术解决的重难点。
2 内网数据存储安全的技术分析
对于提高内网数据存储安全的技术探析, 无论是网络硬件的设计, 还是软件的改善, 甚至整个网络结构的重新调节, 包括网络应用、网络管理等的设计考虑, 都是为了更好地提高内网数据的安全系数, 保证整个内网有效安全的运行。
2.1 分布式文件系统设计
对于内网数据存储的安全解决方案, 将所有信息数据进行分布式应用是一个基础的解决技术。并且P2P (Peer to Peer) 对等网技术成本低, 负载信息数据均衡, 也是地方一些大型企业成功保护数据安全的主要应用技术。在P2P技术中最重要的就是资源的寻址, 而根据其定位文件分布方法的差异, 也分为中心化对等网、非结构化对等网以及结构化对等网三大类。其中中心化对等网以集中文件目录为目的, 也是最早的网络结构技术, 它将分布各处的文件索引及目录有效的集中存储在内网服务器上, 具体位置则在用户节点上。在使用内网数据过程中, 通过服务器了解到文件地址, 找到所需文件的具体节点, 且进行文件数据下载, 不涉及服务器的功能影响, 只在节点间完成, 而没有中心结构的非结构化对等网在中心化P2P结构中, 取消了中央服务器, 通过用户节点在网络中的邻居相互连接, 共同形成覆盖整个内网的文件分布网。它的优势在于不存在瓶颈节点, 具有高度的可扩展性及容错性, 便于内网资源的共享[3]。在非结构化对等网技术的推动上, 逐渐又形成了结构化对等网。它的基础技术是寻址算法的应用, 使整个内网结构都具有这一属性。例如:将DHT (Distributed Hash Table) 技术的结构化对等网, 映射成坐标空间, 其中的用户节点属于坐标区域, 而存储的共享文件, 映射为坐标点, 遍布于坐标区域中, 决定了自身的存储节点位置。在使用文件时, 只需根据寻址算法找到相对应的坐标点, 以及区域中心, 就能利用两点间直线最短的原则, 确定文件存储具体位置。
2.2 透明文件解密过滤器设计
在提高内网数据存储安全的同时, 保证文件资源的共享, 其中一个技术就是对文件进行透明处理, 并设置解密过滤器, 实现内网数据的存储安全性。目前, 常见的内网数据安全保障措施有网络端口隔离, 或者手动操作加密, 转换文件格式、文件存储磁盘加密等, 这些手段对于内网数据的安全具有一定的保障, 但同时也容易被破解, 存在一定的安全隐患。为了最大程度的杜绝这些隐忧, 提高内网数据存储的安全, 需要采取一定的处理措施来改善这一状况。
该项技术利用API (Application Programming Interface) 挂钩应用层设计能够得到快速实现, 同时使用的过滤器不是网络硬件设备, 而是驱动虚拟的软件扩展系统功能设备, 需绑定其他设备才能真正实现其解密过滤功能。内网数据经加密过后, 不仅对加密文件进行了安全防护, 也加强了泄密渠道的有效防护, 且使用文件透明也不影响用户平常的使用习惯。同时, 整个内网数据的存储加密钥匙, 统一由网络系统管理, 对用户专业知识要求不高, 数据防护代码运行过程, 由内核实现, 安全权限高, 不易被破解, 稳定性高。使用透明文件解密过滤器设计来维护内网数据存储的安全, 还能够有效的根据文件类型的不同而灵活进行相应安全防护, 具有良好的兼容性。
2.3 多协议并行安全文件系统设计
简单来说, 多协议文件系统是对分布式文件的提高与发展, 在加强安全防护的同时, 进一步实现文件的共享, 它是整个内网系统的核心部分, 由各项网络板块共同形成。它通过提供文件存储的接口与具体方法, 用存储卷来进行文件存储模式的记录, 存储卷是由元数据结构、操作接口、功能函数、优化方法、回收方法等组成的结构数据。通过各个程序的映射能够找到文件存储的正确数据卷, 在使用文件前经过访问权限表的鉴定, 找到用户入口, 系统对其信息进行存储记录, 并提供视图进行验证检查。在身份以及访问权限经过认证后, 用户可以通过内容搜索引擎板块, 进行文件存储信息数据的优化管理, 帮助用户快速的找到所需正确文件信息。这样多重文件安全防护措施, 大大的提高了内网数据存储的安全性[4]。
3 结论
综上所述, 利用不同的内网数据存储安全技术, 能够有效的提高内网数据存储的可靠性和安全性, 并同时保证数据使用的时效性和有效性, 能够为试验任务数据使用和安全防护提供一定帮助。
摘要:航天发射任务内网数据包含五大系统信息和各类指挥信息、处理信息, 时效性、安全性要求高, 需要提供有效防护。论文简单分析了内网安全的定义及其设计原则, 结合网络技术的进步发展, 提出了从文件分布式存储、文件透明解密过滤器以及多协议并行安全系统上进行内网数据存储安全的防护, 力求进一步提高试验任务内网数据存储的安全性。
关键词:航天发射,数据存储,安全
参考文献
[1].韩德志, 傅丰耿.高可用存储网络关键技术的研究[M].北京:科学出版社, 2009:7.
[2].程炜, 王小曼.局域网安全设计关键技术分析[J].北京:计算机光盘软件与应用, 2010 (5) :69, 99.
[3].解炜.内网数据安全存储关键技术研究[D].国防科学科技大学硕士学位论文, 2009:8-9.
电力大数据信息安全分析技术研究 篇10
云计算、物联网、大数据、移动互联等信息化新技术快速发展与应用,促使每天产生大量的数据,这些数据已经渗透到经济社会各个方面和各个环节,成为一项重要资源[1]。伴随着智能化电网的全面建设,以大数据和云计算为代表的新一代IT技术在电力行业广泛应用,电力数据资源开始急剧增长,并形成一定的规模,因此,国家电网公司也开展了相关的研究与应用,积极应对电力数据的增长,通过将基于电网实际的电力数据运用于配网规划业务、智能变电站、电网调度、用电信息采集、移动购电等,使得电力大数据广泛覆盖到“三集五大体系”中的大规划、大检修、大运行、大营销等诸多方面,推动国家电网公司的业务和管理水平的提升。信息化新技术应用的同时也伴随着信息安全风险的提升,因此,通过构建电力大数据信息安全分析架构,对其数据处理、安全分析方法进行系统地分析,为电力企业提供应对大数据的信息安全解决方案。
1 电力大数据的应用特征
大数据本身具有4个典型特征:容量巨大;数据类型多样;价值密度低;处理速度快[2],对此业界已基本达成共识,但还没有统一的定义。
电力大数据的应用主要是以业务应用为主,实现面向典型业务场景的模式创新及应用提升。电力大数据应用于大规划,主要是针对电网趋势进行预测,通过用电量预测、空间负荷预测以及多项指标关联分析,进行综合分析,从而支持规划设计;电力大数据应用于大检修,通过视频监测变电站,实时准确识别多种表计、刀闸、开关与隔离开关的位置、状态或读数,利用大数据技术,智能分析视频数据,从而代替传统的传感器;电力大数据应用于大运行,通过对电网调度的电网设备台账信息、设备拓扑信息、设备遥信遥测的相关信息的历史时刻查询,预测分析未来状态,为设备状态管理提供完善建议,为电网调度提供辅助决策;电力大数据应用于大营销,拓展面向智能化、互动化的服务能力,面向用电信息采集、计量、收费和服务资源,开展用电互动服务,实时反馈用电、购电信息,例如营销微信平台、营销手机、营销支付宝等。
随着居民用电信息采集的表记终端数量达到上亿只,供电电压自动采集接入电压监测点达到上万个,输变电状态监测装置接入上万个,监测数据达到上千万条,电力大数据的应用也具有数据量大、数据类型多、实时性强等大数据的典型应用特征。
2 电力大数据的信息安全风险
电力大数据在提升行业、企业管理水平和经济效益的同时,数据爆发式的增长也给数据存储、分析处理、统计计算带来极大的挑战,加大了数据在产生、传输、处理、存储、应用和运维管理各环节的安全风险。数据在产生和传输过程中存在传输中断、被恶意窃听、伪造和篡改的风险;数据在处理、存储和应用过程中,面临着部分用户越权读写、主机物理故障等风险;以及内部运维控制措施不当带来的风险等[3]。
除了面临上述传统的安全风险外,电力大数据还面临新技术应用后所带来的新型安全风险。高级持续性威 胁(Advanced Persistent Threat,APT)攻击(长时间窃取数据)就是这种新型安全风险之一,其典型特点就是持续时间长,攻击者对于防护设备进行持续的试探和尝试,不断研究和测试攻击目标系统的弱点,一旦发现防护短板,就利用各种技术进行攻击[4]。这不仅对目前信息化新技术应用的业务系统造成巨大威胁,也对传统的信息安全防护体系提出了挑战。
3 电力大数据的信息安全分析架构
新技术的发展也带动信息安全发展趋势从面向合规的安全向面向对抗的安全转变,从消极被动防御到积极主动防御甚至是攻防兼备、积极对抗的转变。100%的安全是绝对不可能的,但是可以主动认识潜在的威胁和敌人,充分分析电力大数据技术应用场景下的安全风险,具备先发制人、主动防御能力,这就是新型信息安全防御体系的理念。将该理念融入到大数据信息安全分析中,通过进一步研究数据分析、挖掘技术[5],构建电力大数据信息安全分析架构(见图1)。
电力大数据信息安全分析架构代表一种技术、一种安全分析的理念和方法,是作为一个较为完备的基于大数据安全分析的解决方案的核心,承载大数据分析的核心功能,将分散的安全要素信息进行集中、存储、分析、可视化,对分析的结果进行分发,对分析的任务进行调度,将各个分散的安全分析技术整合到一起,实现各种技术间的互动。电力大数据信息安全分析架构分为采集层、数据层、分析层、管控层和展现层,分别完成天量异构数据的采集、预处理、存储、分析和展示,采用关联分析、序列分析、联机分析处理、机器学习、恶意代码分析、统计分析等多种分析手段对数据进行综合关联,完成数据分析和挖掘功能,为安全分析人员和管理人员提供快捷高效的决策支持。
4 电力大数据信息安全分析架构的数据处理
4.1 数据库类型
电力大数据信息安全分析架构采集到的数据依据其业务应用的不同分为关系数据、多维数据、事务数据、文本数据以及多媒体数据。按照不同的数据类型,其存储的数据库也不同。
1)关系数据库。关系数据库是建立在关系数据库模型基础上的数据库,是目前最流行、最丰富的数据源,是电力大数据信息安全分析处理的主要数据形式。
2)数据仓库。数据仓库是多维数据库结构。数据仓库的实际数据结构可以是关系数据存储或多维数据立方体,提供数据的多维视图,并允许预计算、快速访问和汇总数据,通过多维数据视图和汇总数据预计算,运用联机分析处理允许在不同的抽象层提供数据,同时允许用户在不同的汇总级别观察数据。
3)事务数据库。事务数据库由一个文件组成,其中每个记录代表一个事务。事务数据库中可有一些相关联的附加表存放事务。
4)文本数据库。文本数据库是包含对象文字描述的数据库,是整篇文档。文本数据库可能是高度非结构化(HTML网页)、半结构化的(E-MAIL)或结构化的(如图书馆数据库)。
5)多媒体数据库。多媒体数据库存放图像、音频和视频数据,用于图像内容、声音、视频的检索等。
4.2 数据处理步骤
电力大数据信息安全分析的数据处理分3步:确定数据处理目标、数据量化处理、评估与展示。
4.2.1 确定数据处理目标
根据不同的数据类型、不同的数据库,确定不同的数据挖掘分析算法进行量化建模检测及预测等。
4.2.2 数据量化处理
将海量信息安全事件数据量化为能够具体反映安全事件的基准指标,并根据基准指标值实时评估信息安全态势[6]。
汇总海量数据判断信息安全态势是否正常的指标,一是事件数量是否正常:正常情况下局域网上每个固定采样周期内产生的安全事件数量是服从一定分布规律的,其波动范围不应超过某个阈值;二是事件地址分布是否正常:正常情况下安全攻击事件的源地址分布、目的地址分布是服从一定分布规律的,其分布状态不应发生明显变化;三是事件增长速度是否正常:正常情况下各攻击事件的增长速度不应太快,如果其增长速度超过某个阈值,则有可能发生了异常。根据上述研判标准设计安全基准指标如下。
1)安全事件数量指标。安全事件数量指标用于度量各类攻击事件数量,按照危害、原理、传播方式的不同,将攻击事件划分为各种类型,然后依次统计在固定时间间隔内,各类攻击事件的数量。设当前为第t个观测周期,在当前观测周期内检测到的各类安全事件数量分别为Pt、Qt、Rt…,这里P、Q、R等分别代表不同类型的安全事件,则Pt、Qt、Rt…即为当前时刻的安全数量指标值。
2)地址熵指标。信息熵是信息论中用于度量信息总量的一个概念。一个系统越有序,分布越集中,信息熵就越低;反之,一个系统越是混乱,分布越分散,信息熵就越高。利用地址熵反映攻击事件IP地址分布状况,IP地址越混乱,分布越分散,地址熵就越高;反之IP地址越有序,分布越集中,地址熵就越低。许多大规模信息安全事件均反映在IP地址分布的异常上。统计攻击事件的源IP地址、目的IP地址的出现次数。
3)安全事件扩散指标。安全事件扩散指标用于度量各类攻击事件的增长速度,对造成大范围传播的事件进行及时检测。设第t–1个观测周期,安全事件数量指标的取值分别为Pt–i、Qt–1、Rt–1,在t个观测周期,安全事件数量指标的取值分别为Pt、Qt、Rt…,观测周期长度为△;则P代表安全事件的扩散指标P=(Pt–Pt–i)/ △。
4.2.3 评估与展示
筛选和评价数据处理结果中有用的部分,将正确的结果直观地以图表等形式展示出来,由用户进一步分析。
5 电力大数据信息安全分析架构的分析方法
大数据的信息安全分析方法很多,随着数据挖掘技术的日渐成熟,分析算法也日渐丰富,其中关联分析、序列分析、空间同位算法、分类技术、离群算法等[7]针对大量序列式的分析具有很好的处理效果。不同的数据库采用不同的数据挖掘分析算法,例如关系数据库、事务数据库可以采用关联分析、序列分析、统计分析等算法进行数据挖掘;数据仓库采用联机分析处理等数据挖掘技术;文本数据库采用自动聚类、机器学习、模式匹配、数据摘要等数据挖掘技术;多媒体数据库采用聚类、关联分析等数据挖掘技术。因此,本文以关联分析、序列分析方法为例,根据数据流量、攻击行为特征与时间的相关性,对每个小时内各个指标值分别进行建模。指定数据的起止时间、观测周期长度,利用各指标值在不同时刻的取值,对指标数据通过关联分析、序列分析进行量化,计算各指标值均值和方差,将其作为指标的统计模型。采用异常检测与假设检验的方式,对攻击事件的指标突变异常和渐变异常进行检测与校验。
5.1 异常检测方式
应用数据挖掘技术的关联分析和序列分析算法对基准指标进行异常检测,寻找发现强关联规则的数据。关联规则就是形如A → B的表达式,A、B均为子集,A与B的交集为空,关联规则的支持度:support=P(A并B);这条关联规则的置信度:confidence=support(A并B)/support(A);如果存在一条关联规则,它的支持度和置信度都大于预先定义好的最小支持度与置信度,就称为强关联规则。因此发现异常就是寻找强关联规则,也就是必须找到频繁集,所谓频繁集就是支持度大于最小支持度的项集。采用关联分析的Apriori算法提取前一次的频繁项,不断迭代生成本次频繁项[8]。然后再利用序列分析算法,把频繁集中的数据之间的关联性与时间联系起来,分析数据间的前后序列关系[9],即将一条记录的横向数据进行关联,然后按照时间序列又进行了纵向排列。例如同一条审计记录中不同字段存在关联规则关系,再利用序列分析将不同记录按照时间顺序排列,这样就可以提取出正常情况下基准指标的实时值与历史值的相关性,不应有太大的偏差。即通过关联分析与序列分析算出当前基准指标实时值为s,在建模时得到的指标模型参数为N(μ0,σ0),其中 μ0,σ0分别表示正态分布模型的均值和方差,则异常检测的判断公式为:
其中的判断阈值2.33、3.1和3.72分别对应于标准正态分布的0.01、0.001和0.000 1分位点[10]。对于安全事件数量指标和安全事件传播指标,按照上述判断方法即可;对于地址熵指标,需要对|s–μ0|进行判断,地址熵实时值过大(IP地址分布过于分散)或过小(IP地址分布过于集中)都是异常,而对于其他指标只有过大时才是异常。
5.2 假设检验方式
某些攻击可能不会引起基准指标的明显变化,通过异常检测的方式无法检测到安全状态异常。但是这些攻击会引起指标的分布与建模时不一致,因此采用假设检验的方式,通过判断指标值是否仍然服从原来的分布来评估信息安全状况,并将可能出现的安全状况进行预警,达到主动防御的目的。
假设某个基准指标S在当前时刻的统计模型参数为N(μ0,σ0),其中 μ0,σ0分别表示正态分布模型的均值和方差,假设通过关联分析与序列分析算出当前基准指标实时值为s,则构造如下的U统计量:
其中:表示从模型参数更新起,所有该指标值的均值;n表示从模型参数更新起,该指标值的观测个数。
利用U统计量进行异常检测的判断方式为:
这里判断阈值的含义与异常检测时相同,对于安全事件数量指标和安全事件扩散指标,按照上述判断方法即可;对于地址熵指标,需要利用|s–μ0|进一步构造双边统计量。
可以通过异常检测方式分析静态信息安全攻击事件;通过假设检验方式检验动态不可预知的信息安全攻击事件,达到主动防御的目的。
6 结语
电力大数据信息安全分析的方法很多,全面预测电力大数据信息安全事件是多种分析方法综合应用的结果,随着大数据技术的迅速演化,基于大数据的安全分析算法也在不断丰富。可以预见的是其前景乐观,新技术应用催生新的安全防护体系发展,大量数据挖掘分析算法综合运用、数据共享,可以更好地实现电力大数据信息安全态势评估。因此,电力大数据信息安全分析架构的广泛应用将指日可待。
摘要:伴随着电力大数据的广泛应用,传统的信息安全防护体系面临着新的挑战,为了给电力企业提供应对大数据的信息安全解决方案,文章通过运用数据挖掘的关联分析、序列分析方法,异常检测与假设检验方式,探讨电力大数据信息安全分析技术的可行性,为电力大数据信息安全事件预警与防护提供技术支持。
数据库安全技术研究与应用 篇11
关键词:数据库安全技术;研究;应用
中图分类号:TP3 文献标识码:A 文章编号:1007-9599 (2013) 01-0143-02
计算机的广泛应用使得数据库应用到社会各个领域,但也带来数据库的安全问题。数据库作为信息的集聚体,是计算机信息系统重要的核心部件,安全也是至关重要。因此必须采取相应的安全技术来确保数据库的安全。
1 数据库安全定义
对于数据库安全定义中,C·P·Pfleeger对数据库的定义最具代表性。他从逻辑数据库和物理数据库的完整性、元素的安全性和可审性、访问控制和使用者的身份验证等方面对数据库安全进行全方位的描述。
国内对数据库安全的定义基于数据库信息的完整性、可用性、一致性和保密性处罚。保密性就是确保数据库信息的安全,不会泄露和未授权的获取;完整性就是确保数据库信息不会遭受到破坏和删除;可用性就是数据库信息不会因为各种不可控制的原因致使授权用户不可用。数据库安全技术包含身份鉴别、数据完整性、访问控制、数据库信息安全审计、隐蔽渠道分析和可信路径等。
2 数据库面临的安全威胁
对于数据库系统来说,面临的主要安全威胁有:不正确的访问数据库引起的数据库信息数据的错误;外来者因为实现某种目的故意破坏数据库的数据信息,使得这些信息不能够恢复;数据库信息受到非法访问、并且不会留下访问痕迹;数据库用户访问数据库过程中,可能受到的各种攻击;未经授权而非法篡改数据库的信息数据,致使数据库的信息数据失去真实性;数据库存储硬件毁坏等。从这些数据库可能面临的威胁来,研究数据库安全技术显得非常必要和迫切。
3 数据库安全技术的研究现状
3.1 常用的安全技术。存取管理技术能够防止未经授权的用户访问和使用数据库的一种技术,他是通过正在运行的各种程序来控制数据库信息数据的存取,以及未经授权的用户访问共享数据库,涉及的技术有存取控制技术和用户认证技术,用户认证技术包含用户身份确认、识别和验证,存取控制技术的模型有DAC、RBAC和MAC。
安全管理技术是采取各种安全管理机制对数据库的管理权限进行分配的一种技术,安全管理分为分散控制和集中控制两种,集中控制是有单个授权者来实现整个控制系统的安全维护,这样可以更加方便地实现安全管理;分散控制就是采用管理程序来控制数据库的不同部分,从而实现数据库系统的安全维护。
数据库加密技术是防止数据库的数据信息篡改和泄露的有效手段,通过数据信息加密技术能够确保数据用户信息的安全,可以减少因为备份媒介遭受丢失而给用户造成损失。常用的数据库加密技术有库内加密、库外加密和硬件加密等。
审计追踪技术和攻击检测技术,审计系统运行过程中,数据库会自动地将数据库用户的操作记录在审计日志中,攻击检测系统通过审计数据分析来发现外部和内部可能存在的攻击企图,分析发现数据库系统的安全弱点,进而追究相关的责任人。
信息流控制技术是对数据库系统的所有元素和组成成分划分级别和类别。信息流控制主要负责检查数据信息的流向,确保高级别的保护对象不会流向低级别的保护对象中,这样可以避免低级别用户获得高级别用户的数据信息。
数据备份和恢复技术能够在数据库信息遭受破坏之后,能够通过数据备份和数据恢复技术将这些遭受破坏的数据信息进行恢复,从而确保数据信息的完整性和有效性。
3.2 数据信息安全传输协议。SSL协议已经成为当今网络用来鉴别网络浏览者和网站浏览者的身份,在网页服务器同网页用户之间进行的加密,SSL技术已经运用到了所有的Web服务器程序和浏览器中,因此只需要通过安装服务器证书或者数字证书就能够激活服务器的功能。
IPSee协议所定义的安全标准框架能够给专用网路和公用网络的端对端提供验证和加密服务,它首先制定可选网络安全服务,我们可以根据自身的安全策略来匹配这些服务。在IPSee安全标准框架上构建的安全解决方法,能够确保发送的数据信息的可靠性、安全性和完整性。
HTTPS协议又称为安全超文本传输协议,是由Netscape开发的传输协议,其内置于浏览器中,通常用于数据信息的解压和压缩操作,并且返回到网络上传送操作结果。
4 数据库安全技术的应用
4.1 用户鉴别和标识。用户鉴别和标识是数据库安全系统提供的最外层的安全保护措施。数据库安全系统会记录所有合法用户的用户名、口令和操作权限,用户每次进入数据库系统都需要验证用户的身份,确定用户在数据库的权限。
4.2 存取控制。数据库安全系统最重要的环节就是只有经过系统授权的用户能够访问数据库,这样能够禁止未经授权的用户了解数据库的信息数据,主要通过数据库系统的存取控制机制来实现的。
首先是定义用户的权限,将所有用户的权限登记在数据字典中。其次是检查合法的权限,在用户发出存取数据库的操作请求之后,数据库安全系统会通过数据字典来检查用户的合法权限,如果用户请求超过相应的权限,系统会自动拒绝这些请求和操作。访问权限的设置是以数据库为对象的,进而授予相应的数据库用户,例如用户是文献数据库用户,他只拥有文献数据库的访问权限,对于会计数据库没有访问权限。每一位数据库用户对数据库还有访问级别的限制,低级别用户不能够访问高级别的数据库。
4.3 视图机制。数据库系统的用户是通过视图以多种角度观察数据库的数据信息,视图是一个或者多个基本表导出的表,与基本表不同的是视图是一个虚表,数据库的数据信息都存放在基本表中,视图只是一个浏览窗口,用户能够通过视图来浏览数据库的数据及其变化。数据库进行存放权限控制的过程中,数据库系统可以为不同的用户来定义不同的视图,同时限制访问用户的权限,也就是说,通过视图能够将保密的数据对没有相应权限的用户隐藏起来,这样在一定程度上保护数据库信息的安全。
4.4 审计功能。上面的几种数据库安全技术应用的几个重要方面。要想提高数据库的安全级别,在其他方面还需要提供相应的支持。例如按照TDI/TCSEC《可信计算机系统评估标准关于可信数据库系统的解释》,《DoD可信计算机系统评估标准》对于安全策略的要求,审计功能能够将DBMS的安全级别达到C2。因此审计是提高数据库系统安全级别不可或缺的重要组成部分。
我们知道任何安全系统的防护措施都不是绝对安全的,总会有非法用户通过各种措施来获得数据库的信息数据。审计功能能够将所有用户对数据库的操作记录自动记录到审计日志中,而数据库管理通过审计日志,发现数据库出现的任何情况,进而找到非法使用数据库的人,但是审计需要花费大量的时间和精力,审计功能通常使用在安全级别要求较高的数据库中。
4.5 数据加密。对于财务数据、国家机密和军事数据等高度敏感的数据信息,处了采取必要的安全保护措施以外,还需要通过数据加密技术来提高数据信息的安全级别。加密的思路是通过既定的算法将原始数据明文转变成为不可识别的密文,这样不经过解密算法将无法获得数据信息的具体的内容。
5 结语
数据库安全问题是一个综合性和系统性的问题,但是随着计算机技术、网络技术和数据库安全技术的发展,也将会产生新的安全问题。因此必须加强数据库安全技术的研究和应用来应对这些新问题,确保数据库的安全。
参考文献:
[1]周明.电子商务网站的数据库安全技术问题探析[J].软件导刊,2010,9(9).
数据中心安全防护技术措施分析 篇12
随着计算机网络的普及,互联网在给人们带来极大便利的同时,其开放性和自由性也给个人、企业和社会带来很多的安全隐患。在计算机网络中潜伏着大量的病毒和专业性黑客,它们对于电网企业数据中心构成巨大威胁,为了进一步提高数据中心的安全性和可靠性,结合当前电网企业数据中心存在的安全威胁,针对性地采取现代化的安全防护技术,优化和改进数据中心安全架构,充分发挥各种安全防护技术的重要作用。
1数据中心面临的安全威胁
1.1硬件和软件设施不完善
当前,电网企业数据中心存在多种安全隐患,直接影响了数据信息的安全运用和传输,给企业造成很多麻烦和不便。电网企业数据中心包含大量硬件设备和计算机软件系统,并且还包括多种安全装置、监控设备、环境控制设备、数据通信连接装置等, 而这些硬件设备和软件系统并不完善,长时间的超负荷运转,很容易导致计算机网络系统漏洞或者硬件设备损坏,影响数据中心的正常运转。同时,电网企业数据中心的网络防护设备、安全装置和监控系统也存在一些问题,很容易遭受网络黑客的非法入侵和恶意攻击,导致电网企业数据中心的数据信息丢失或者泄露。
1.2网络安全隐患
电网企业数据中心主要是依托内联网完成各个业务部门、各级数据中心之间的数据交换传递,数据中心的日常运转对于网络的带宽和稳定性要求很高,当数据中心内联网中的某个网络设备或者某个中心节点线路发生故障,会直接影响上级和下级、各级业务分中心的数据传送,导致一些需要在网络上办理的业务不能正常、顺利进行。同时,电网企业数据中心的一些业务数据经常在短时间或者集中在某个时间段内出现巨量数据传送或者用户访问,数据中心的峰值处理能力和传输能力不足,很容易导致整个数据业务系统瘫痪或者故障。
1.3病毒侵害或者恶意攻击
当前,计算机网络环境中的病毒层出不穷,这些计算机病毒对于数据中心网络系统的侵害,严重影响了电网企业数据中心的安全性,一旦数据中心网络感染计算机病毒,它们会在短时间快速感染整个网络系统中的各种设备,给网络黑客以可乘之机,大范围的计算机病毒爆发,造成电网企业数据中心运行瘫痪或者大量数据信息丢失,严重影响电网企业正常开展各项网络业务。
2数据中心安全防护技术措施
2.1优化安全防护框架结构
电网企业数据中心安全防护应坚持分级防护、分区存储和整体防护相结合的原则,采用先进的信息保障技术,构建多层次、 动态的安全防护框架结构,特别是加强安全服务和管理、应用安全、数据安全、网络安全以及物理安全,即使某一类或者某个层次安全防护被损坏后,其它层次也可安全运行,不能攻破电网企业的整个数据中心,保障数据中心的关键业务和核心业务能够安全、连续的运行。同时,利用现代化的科学技术快速恢复、检测被攻破的网络层次,确保数据中心的安全防护体系可以快速恢复。
2.2防火墙技术
防火墙技术是一种非常重要的安全防护技术,在电网企业数据中心应用防火墙技术,可对数据中心的数据分包进行传输,并且有效抵御外界的非法入侵和恶意攻击。在网络环境中,所有数据信息都是以各个独立的数据包形式进行信息传输,每个数据包都包含着数据的UDP/TCP目标端口、源端口、目标地址、源地址等标准信息,一组大数据可分为若干个大小不等、相互独立的数据包,而防火墙主要用于通过检测这些数据包的目标地址和源地址信息是否正确,检查这些数据包来源的站点是否是安全可信的,如果检测到这些数据包的源地址或者来源站点没有基本的安全凭证,防火墙会自动阻止这些数据包进入电网企业数据中心。 这种防火墙技术在实际应用中,不仅成本较低、操作简单,而且性价比较高,被广泛的应用在各种计算机软件系统中,可有效提高电网企业数据中心的安全。同时,我们也应注意防火墙技术只能根据数据包的端口、目的地址和源地址等特定信息抵御外界网络环境的安全威胁,无法解决数据中心内部网络的安全隐患,因此电网企业数据中心除了应用防火墙技术外,还要配合其他先进的安全防护技术。
2.3VPN技术
在电网企业数据中心应用VPN技术,其原理是在外界互联网和数据中心局域网之间设置VPN设备,所有从外界互联网进入数据中心的数据信息都要经过VPN设备的审核,可极大地提高电网企业数据中心的安全性。电网企业数据中心可结合企业自身的运行要求,合理设置VPN服务器,通过验证电网企业数据中心用户的合法身份,只有符合相应条件或者通过审核的用户才能连接到VPN服务器,然后获得访问数据中心网络的权限,拒绝电网企业数据中心的一些危险操作,相关管理人员通过VPN技术全面监控数据中心用户的一些网络操作,一旦发现故障或者隐患,可远程调控和维护。同时,利用VPN技术,可对电网企业数据中心在通信网络中传输的数据进行加密,只有符合相关条件或者拥有授权的用户才能接收这些数据。另外,通过VPN技术,生成电网企业数据中心的一种标准通讯协议,提高整个数据中心的兼容性和可靠性。最关键的是电网企业数据中心在应用VPN技术,不需要在网络环境中安装任何VPN客户端设备,极大地降低电网企业数据中心的运营成本。
2.4数据加密技术
数据加密技术在电网企业数据中心中的应用,可极大提高数据中心数据的安全性。在实际应用中,数据加密技术主要包括两种加密算法:对称加密算法和非对称加密算法。首先,对称加密算法最大的特点是采用IDEA、AES和DES等加密程序,数据接收方和发送方采用同一个密钥进行数据的加密和解密,也称为共享密钥加密算法,数据发送方和接收方提前约定一个密钥,只要双方不泄露,就可以正常的对数据进行加密和解密,保障数据的完整性和安全性。其次,和对称加密算法相比,非对称加密算法更加复杂,数据发送方和接收方基于标准的通信协议,同时拥有私有密钥和公开密钥,数据信息加密和解密的方法是不同的, 极大地提高数据中心在传输数据过程中的安全性。
2.5构建完善的数据恢复和备份机制
电网企业数据中心应结合自身实际业务需求,构建完善的数据恢复和备份机制,使软件系统定期对数据备份,一旦数据中心软件系统和硬件设备出现运行故障,可通过备份数据恢复数据库或者配置其它数据文件,并且记录数据库的参数调整和修改等各种操作,形成完整的数据库操作日志,提高电网企业数据中心的安全性。
3结束语