数据安全保护技术

2024-06-23

数据安全保护技术(共12篇)

数据安全保护技术 篇1

摘要:随着大数据时代的到来, 目前已经成为了社会上各个领域关注的重点问题。大数据在人们的生活和生产中产生了重要的影响, 带来积极效应的同时, 也带来了一定的风险。大数据在收集、存储和使用的过程中, 都面临着一定的安全风险, 一旦大数据产生隐私泄露的情况, 会对用户的安全性造成严重威胁。本文对大数据安全与隐私保护技术的概念进行阐述, 对相应的技术进行了探究。

关键词:大数据,安全,隐私保护

随着社会信息化和网络化的发展, 逐渐开始进入大数据时代。在大数据时代下, 信息和数据的分析处理都会变得比以前更加繁杂, 管理起来也更加麻烦。目前的大数据发展仍旧面临着众多问题, 最受大众关注的就是安全与隐私问题。随着互联网的发展, 人们的一举一动都会在商家那里进行记录, 例如购物习惯、好友联络情况等等。根据相关的调查报告发现, 即使泄露的数据是无害的, 也会对客户造成一定程度上的损害。因此, 如何保护用户的隐私, 是大数据在安全方面应当首先注重的问题。

1 大数据概念

1.1 大数据来源和特征

大数据所指的是具有庞大规模, 并且较为复杂, 难以使用现有数据管理工具或数据处理技术进行处理的数据集。因此, 大数据通常具备大规模、高速性和多样性的特点。根据大数据的来源不同, 可以分为人、机、物3类。

人指的是人们在互联网中活动以及使用互联网时所产生的各类数据, 数据类型包括文字、图片、视频等;机指的是各类计算机系统所产生的数据, 大多数是通过文件、数据库、多媒体等形式存在, 还有审计、日志等自动生成的数据;物指的是各类科技设备所收集的数据, 例如摄像头的数字信号。

1.2 大数据分析目标

根据目前我国的使用情况, 大数据已经在科学、医药、商业等各个领域开始广泛应用, 在用途方面也各有区别, 具体可以分为3类:获得知识与推测趋势、分析掌握个性化特征、辨识真相。

在进行数据分析之前, 首先要获得大量的知识, 并利用知识进行分析。在大数据中有着大量的原始信息, 这些信息具备一定的真实性。通过大数据进行分析, 能够避免数据中所产生的误差, 挖掘出更深层次的规律, 通过这些规律, 可以对自然或社会现象进行预测。

个体活动除了能够反映出群体特征之外, 还有着鲜明的个性化特征。这些特征各不相同, 企业通过长时间、多方面的数据积累, 能够对用户的行为进行分析。基于用户的需求, 更好的为用户提供个性化的产品和服务。

错误的信息在数据中没有任何意义, 甚至会带来负面影响。网络中信息的传播较为便利, 所以一旦出现网络虚假信息, 则会带来极大的危害。例如在2013年4月24日, 美联社的Twitter账号被非法盗取, 并发布了总统奥巴马受到恐怖袭击的虚假消息, 即使消息在短时间内被控制, 但是美国股市仍受到虚假信息的影响, 引发了短暂的跳水。大数据的来源渠道较为广泛, 信息多样化, 通过大数据可以在一定程度上辨别信息的真伪。目前人们已经开始通过大数据对信息的真伪进行分析, 确保数据的准确性[1]。

2 大数据带来的安全挑战

2.1 大数据中的隐私保护

根据调查表明, 当大数据处理不当时, 会对用户的隐私造成极大的损害。根据所需保护内容的不同, 可以分为位置隐私保护、标识符匿名保护、连接关系匿名保护等等。大数据对面临的安全挑战除了个人隐私的泄露之外, 还有对人们状态和行为的预测。通过客户的数据记录, 能够发现用户的政治观点、消费习惯等等。

很多企业认为通过匿名处理, 当去除了用户信息的标识符后, 便可以进行信息的公开发布。但即使通过匿名信息, 也有一定的规律可循, 通过数据中的某些信息, 可以精确的定位到个人。目前在用户数据的收集、存储、管理和使用上都没有相应的规范制度, 监督制度也不够完善, 基本上需要通过企业的自律对大数据进行管理, 而用户则难以对自身隐私信息的使用情况进行了解。在商业化应用中, 用户应当有权利决定如何处理自己的信息, 让用户可以对自身的隐私进行控制保护。

2.2 大数据的可信性

在大多数的观点中, 都认为大数据可以说明事物的规律, 数据本身就是事实。但在实际操作中, 如果不对数据进行精确的分析和整理, 数据也会有欺骗性。数据可信性的威胁之一是伪造的数据, 一旦数据出现错误, 则会导致错误的结论。一旦数据的应用场景明确, 则有可能会有人根据场景特点刻意制造数据, 使分析者得出错误的结论。大部分伪造的信息都掺杂在大量的信息中, 导致难以对信息的真伪进行鉴别, 从而导致最后的错误结论。由于网络的散播性较强, 虚假信息的转播也越来越容易, 速度越来越快, 会产生严重的后果, 而通过信息安全手段对所有的信息进行检验的可行性也较小。

大数据可信性威胁的另一方面是数据在传播的过程中会逐步失真。其中一个原因是进行人工数据采集时, 可能会有误差的出现, 由于在进行数据收集时产生了失真和偏差, 影响到了最后结果的准确性。另一方面, 造成数据失真的原因还有可能是版本变更。在数据传播的过程中, 实际情况已经有了一定的改变, 原本收集到的数据难以表现出实时信息。

基于此, 在使用大数据之前首先要保证数据来源的真实性, 并对数据的传播过程、加工处理过程进行严格控制, 提高数据的可信性, 避免因数据错误导致的错误结果[2]。

3 大数据安全与隐私保护技术

3.1 数据溯源技术

在此之前, 数据溯源技术的应用仅仅在数据库的领域之中, 随着科学技术的不断发展, 在大数据的安全与隐私保护中也开始应用这项技术。数据溯源技术中最基本的就是标记法, 其作用主要是对数据的来源和数据的计算方法进行记录。通过对来源数据进行标记, 不仅能够对最后的分析结论进行检验, 还能够让分析者在最短的时间内对信息的真实程度进行判定。另一方面, 在文件的恢复过程中, 数据溯源技术也可以得到良好的应用。

3.2 数据水印技术

数据水印技术是在既不影响数据使用, 也不影响数据内容的情况下, 将标识信息通过一些较为隐秘的方式嵌入到数据载体中。这种技术一般都是应用在媒体版权保护上, 在文本文件和数据库上也有一定的应用。但是在多媒体载体上和在文本文档以及数据库上的应用有较大区别。在数据水印技术的分类上, 可以分为强健水印类和脆弱水印类。强健水印类的应用基本上在数据起源的证明上, 能够对创作权等进行有效的保护。而脆弱水印类大多应用于数据真实性的证明。随着目前大数据的发展, 数据水印技术还需要不断的进行完善。

3.3 身份认证技术

身份认证技术指的是通过用户以及所使用设备的行为数据的收集和分析来获得行为特征, 并通过这些特征对用户以及所用的设备进行验证, 并确认身份。在身份认证技术的发展上, 将大大降低被恶意入侵攻击的可能性。不仅减轻了用户的负担, 也统一了多种系统之间的认证机制。

3.4 数据发布匿名保护技术

根据结构化数据的分析, 数据发布匿名保护技术在数据安全与隐私的保护过程中占有重要地位。根据目前的研究状况, 此技术还有待完善, 需要不断的进行深入研究。在目前的数据发布匿名保护技术的理论中, 大部分的背景环境都是在静态的、一次性的对数据进行发布。但是这样的方式有着一定的局限性, 一些特殊的属性难以被检测出来。而且在实际的过程中, 数据的发布往往是多次连续的。在如此复杂的大数据环境下, 想要将数据发布匿名保护技术进行应用, 会面临着一定的困难。在攻击者的角度, 可以根据不同的途径和不同的发布点来获取信息, 从而窃取到用户的信息。因此在这一方面, 相关的研究人员应当投入更多的精力对数据发布匿名保护技术进行研究, 提高其安全性。

3.5 社交网络匿名保护技术

社交网络所产生出的数据是大数据的重要来源之一, 这些数据中包含着用户的大量隐私信息。在社交网络匿名保护技术中, 攻击者可能会通过其他的信息对匿名用户的身份进行确定, 尤其是对于用户之间是否有联系关系的判断。由于社交网络具备聚集特性, 因此会对关系预测造成一定的影响[3]。

4 结语

大数据不仅为人们的生产生活带来了便利, 另一方面, 大数据环境也带来了一定的安全挑战。随着时代的发展, 人们越来越意识到隐私信息的重要性, 逐渐将信息安全放在首位。但根据目前的发展状况而言, 还有很长的道路要走。想要做到真正意义上的数据安全, 必须要对大数据环境中的漏洞进行分析, 针对性的进行安全与隐私保护技术的发展。通过数据溯源技术、数据水印技术、身份认证技术、数据发布匿名保护技术、社交网络匿名保护技术等进行深入研究。除此之外, 还要建立相应的法律法规, 对大数据环境进行全面保护。

参考文献

[1]冯登国, 张敏, 李昊.大数据安全与隐私保护[J].计算机学报, 2014 (1) :246-258.

[2]应钦.大数据安全与隐私保护技术探究[J].硅谷, 2014 (10) :72, 52.

[3]张营军.大数据安全与隐私保[J].环球市场信息导报, 2015 (19) :79.

数据安全保护技术 篇2

一、加密Microsoft Office文件

1、加密Word、Excel、PowerPoint文件

加密这三种类型的文件,方法相似,可以通过下面两种途径不定期实现。

途径一:选项设置。在上述应用软件的窗口(如Word)中,执行“工具选项”命令,打开“选项”对话框,切换到“安全性”标签下(如图1),设置好“打开权限密码”和“修改权限密码”后,确定退出,然后保存当前文档即可。

图2

途径二:保存加密。在对上述文档(如“演示文稿”)进行“保存”或“另存为”操作时,打开“另存为”对话框,按工具栏上的“工具”按钮右侧的下拉按钮,在随后弹出的下拉列表中,选“安全选项”,打开“安全选项”对话框(如图2),设置好“打开权限密码”和“修改权限密码”后,确定退出,然后再保存文档即可。

图2

[特别提醒]①根据你保密的具体情况“打开权限密码”和“修改权限密码”可以只设置其中一个,也可以设置全部设置(两种密码可以相同,也可以不相同),

②对于PowerPoint,只有2002及以后的版本中才增加了加密功能。③在用途径二加密文件时,在Word中,选择的是“安全措施选项”,在Excel中,选择的是“常规选项”。

2、加密Access数据库文件

启动Access2002,执行“文件打开”命令,打开“打开”对话框,选中需要加密的数据库文件,然后按右下角“打开”按钮右侧的下拉按钮,在随后弹出的下拉列表中(参见图3),选择“以独占方式打开”选项,打开相应的数据库文件。

图3

执行“工具→安全→设置数据库密码”命令,打开“密码”对话框(如图4),设置好密码后,确定返回,即可对打开的数据库文件进行加密。

图4

二、加密WPS Office文件

加密用WPS Office中金山文字、金山表格、金山演示组件制作的文件,其方法是完全一样的,操作起来也非常简单。

在相应的组件(如“金山表格2002”)窗口中,执行“文件文档加密密码”命令,打开“密码”对话框(如图5),确定返回后,再保存(或另存)当前文件就行了。

数据安全保护技术 篇3

目前,存储资源的使用方式正在发生新的变化——趋向网络化的存储和数据的地区性分散(这源于企业对业务连续性和数据共享的需要),要合并联网环境中的存储资源,原有的、基于某个层面的数据保护措施(像防火墙、网络防毒等)就难以应对了。怎么办呢?最近,我们采访了HDS公司首席安全官Art Edmonds,他指出,必须将存储与安全技术有机融合。

安全必备3利器

在过去,存储设备几乎无一例外地通过SCSI连接技术直接连接到服务器上。进入数据存储库只有一个途径:通过应用服务器。如果该服务器是安全的,那么数据也是安全的。但通过网络把存储资源连接起来改变了这种简单模式,它为访问共享资源上的数据提供了多条传输途径,进而带来多方面的安全隐患。用户应用时特别要小心。这里有3种方法可助您一臂之力。

利器1:慎重授权

为了方便管理,大多数网络单元(如交换机和阵列)都为用户提供了带外访问功能,管理员在更改网络配置及许可权时要分外小心,慎重授权,否则数据会丢失或被盗用。

利器2:专线传输

无论是为了数据共享、业务连续性,还是保护数据,用户应该考虑与数据地区分布有关的问题。出于客户支持和产品设计的目的,许多企业需要共享数据,于是通过网关连接SAN的概念日渐盛行。虽然某些安全措施内置在网关当中,但用户仍要注意:如果不使用专线,传输网络将不在自己保护范围之内。

由于提供相对廉价的数据复制功能,特别是美国9.11事件之后,远程复制技术开始流行。需要提醒用户的是,一定要保证传输期间所复制数据的安全。

利器3:加密数据

不管用哪种存储基础设施保护数据,因多半静态数据没有经过加密,故易受到攻击。虽然用户可以把数据备份到磁带上用于恢复,或者找个安全地方保管起来,但只要有人拿走了这盘磁带,或读取到磁带信息,他就等于拥有了数据。

有的备份方案提供了加密,但不是所有企业都在用这项功能。这归因于一系列问题:性能衰退、应用响应延时,还有数据备份、恢复和管理的高复杂度。

硬盘上的数据同样岌岌可危。许多用户认为:硬盘上的数据是安全的,因为应用程序在与客户机通信时会对数据进行加密,网络在传输期间也会对数据进行加密。但如果数据存放到网络应用的后端(存储端),这些几乎是相当原始的数据(除非企业像有些政府部门那样,采用程序对静态数据进行加密)很容易被别人获取(如撤走硬盘),并用合适工具就能读取硬盘上的数据。用户千万要注意静态数据问题,不管用哪种存储基础设施。

细数存储3隐患

1.SAN隐患

光纤通道SAN(Fabric SAN,又称FC SAN)主要部署在数据中心,在FC SAN上的存储资源往往是关键任务数据。也因此,安全一直是FC SAN关注的一个重要方面。通常,人们采用分区和LUN屏蔽技术,保护对存储资源的安全访问。问题是,这2种技术无法提供介质安全,也无法提供加密静态数据的功能。

(1)分区技术的安全漏洞

FC SAN结构包括磁盘阵列、交换机和主机总线适配器(HBA)等多个单元,这些单元允许主机通过光纤通道网络进行通信。分区能够把这些单元配置成几个逻辑组,确保只有该组成员才能通信及访问特定的存储资源。

常用的分区方法有2种:硬分区(Hard Zoning)和软分区(Soft Zoning)。硬分区能够按照端口级别来进行分组,譬如只有连接到某端口的主机适配器才能与连接到该端口的阵列进行通信。这种方法非常有效,但如果网络结构发生变化,需要重新配置时缺乏灵活性。

软分区通常叫做全局名(WWN)分区。光纤通道结构里面的每个单元都由WWN加以标识。WWN分区用交换机里面的简单名字服务器(SNS)来确定某个区中的哪个WWN可以进行通信。这种分区法比较灵活,因为如果重新配置网络,不必改变分区。不过,WWN容易被欺骗,所以安全性不如硬分区。

(2)LUN屏蔽的不足

光纤通道设备以逻辑单元号(LUN)的形式提供数据资源。LUN屏蔽是把某存储资源上的多个LUN分给特定服务器。当众多服务器共享同一存储资源(比如某磁盘阵列)、却因某种原因不允许用户访问该阵列上的同一磁盘时,需要用到屏蔽技术。举例说,网络上有一容量为1TB的磁盘阵列,由Unix和Windows NT服务器共享。因为Windows NT服务器会为它看到的任何LUN分配识别标号,所以就要屏蔽Unix LUN,让Windows NT服务器看不到。有了屏蔽机制,管理员就可以决定每台服务器可以访问哪些LUN。

屏蔽可通过主机、HBA、交换机或磁盘阵列来实现,具体取决于软件支持以及用户如何来管理屏蔽方法。HBA和基于控制器的屏蔽技术相结合,使用WWN和LUN信息,以确保安全访问(譬如说,只可以访问该阵列上带有该WWN名的某个LUN)。

从限定哪个节点可以访问哪些资源的角度来看,分区和LUN屏蔽技术确实提供了一层安全保护。然而,您应该看到:它们没有采用验证或授权措施。虽然许多交换机厂商提供有如口令控制、访问控制列表(ACL)及基于验证的公钥基础设施(PKI)的保护技术。但是,每家厂商的安全级别各不相同,如果同一结构里面的交换机来自多家厂商,实施安全的方法互不兼容,交换机设备的安全控制难以发挥作用。

2.iSCSI隐患

iSCSI的安全防范主要是通过利用IP网络安全技术来实现,尤其是IPSec。IPSec标准为IP网络上传输数据定义了多个级别的安全。iSCSI将会利用IPSec的重要标准,包括验证报头(AH),用来验证初始连接;因特网密钥交换(IKE),用于在连接期间可以不断进行相互验证;封装安全协议(ESP),用于对第4层及更高层的数据进行加密(iSCSI协议位于第4层)。但这一层保护只针对传输中的数据,加密功能并不作用于静态数据。

此外,IP网络上传输iSCSI数据包能够利用其他各种网络安全措施,譬如VPN和防火墙。不过,IP网络上传输的iSCSI数据包是重要信息,因为它里面有数据块的实际位置,所以应当考虑采用另外的安全措施。

3.NAS隐患

NAS方案和充当文件服务器的通用服务器之间有两大区别。首先,NAS设备是经过优化的文件服务器,性能高得多,数据存储容量也大得多,又不会带来任何传输瓶颈问题;其次,NAS能够实现不同文件的共享,这样Unix和Windows等就能共享同一数据。所以,虽然部署NAS根本不会改变网络基础设施,但大规模数据共享和各种访问机制更有可能将数据置于危险境地。

NAS方案的默认设置允许所有用户都可以访问各种资源。所以,管理员应当赶紧设置许可权、ACL及管理权限。管理员要注意一个重要方面:NAS服务器上的安全特性可能会由NAS设备上的操作系统来确定。譬如说,如果NAS方案使用基于Windows NT版本之一的软件,那么其安全类似于Windows NT服务器的安全。这些NAS设备允许Unix服务器访问数据。不过,管理员可能也需要使用本地Unix命令为Unix文件设置安全。另一方面,有些NAS方案能在本地同时支持NFS和CIFS文件许可权,所以要注意NAS方案将提供什么以及每台服务器上需要完成什么。

唾手可得3方案

在美国等市场,已经开始涌现相关存储安全技术,通过利用多种手段来保护数据。不过,这些方法有待改善,特别是在标准方面,只有产品标准化,用户应用才更方便。据悉,现在有多家标准组织和行业协会(如SNIA)在致力于加强存储安全。

近来,一些专注存储技术的公司开始推广存储安全解决方案,比如HDS,它的解决方案涉及从HBA到光纤交换机再到存储设备的端到端整体安全保护,并且作为SINA成员,其方案将率先遵循各种新推标准协议。另外,在存储安全市场,新增诸多新兴企业,并已开始交付各种存储安全方案,主要是加密方案。它们能够分析数据流量,加密数据,并把加密数据传送到存储资源上。由于其加密功能被集成在专用设备上,所以加密起来不会像基于软件的加密技术那样占用宝贵的CPU时间。此外,这类方案还提供了集中管理及实施保密策略的功能,可同时保护主/辅助存储资源上的数据(如下所示)。国内在这方面还没有成熟的方案推出。

方案1:NeoScale解决方案

NeoScale Systems公司提供面向磁盘主存储和磁带辅助存储2种加密方案:CryptoStor FC和CryptoStor for Tape。两者均符合FIPS 140-2(联邦信息保护标准)、基于加密/压缩、状态存储处理、智能卡验证实现基于角色的管理、密钥管理(密钥生成、保护、代管及恢复)及群集操作。与完全采用软件进行加密的方案不同,此2种方案不占用主机CPU资源。

(1)CryptoStor FC

基本功能:用于加密光纤存储设备(如图1所示),可以达到千兆位吞吐量,端口到端口的时延不超过100ms。

特色:基于策略的安全和数据通路透明。

部署位置:部署在主机端、光纤通道结构内部、磁盘阵列前面或者存储网关后面。

售价:3.5万美元以上

网址:http://www.cryptostor.com

(2)CryptoStor for Tape

基本功能:用于加密、验证和数据压缩磁带库和虚拟磁带系统中的数据,兼容主流备份应用软件,配备光纤通道和SCSI两种接口模式。如图2所示。

售价:1.5万美元以上

网址:http://www.neoscale.com

方案2:Decru解决方案

Decru公司的解决方案包括 DataFort E和DataFort FC两个系列,如图3所示。

基本功能:用于加密NAS、SAN、DAS和磁带备份等环境中的数据,速率达千兆位。

特色:(1)以透明方式加密及解密在网络存储设备来回传送的数据,主要是因为采用随机数生成器(TRNG)创建密钥,多密钥加密方法确保了密钥不会以明文形式传输。

(2)采用集成智能卡,提供另一层验证。智能卡确保只有授权的管理员才能配置及管理DataFort、授予数据访问权限。

(3)采用独特的分层方案,隔离开管理存储数据和读取存储数据。

部署:DataFort FC部署如图4所示。

特色:面向NAS环境的DataFort E440为3万美元;面向SAN环境的DataFort FC440售价为3.5万美元。

网址:http://www.decru.com

方案3:Vormetric解决方案

Vormetric的解决方案是CoreGuard Core Security。

基本功能:CoreGuard Core Security集成多种安全技术。首先,CoreGuard保护了主机的完整性,通过认证、授权技术,防止未经授权的应用、软件工具及操作/文件系统以及蠕虫、特洛伊木马、未授权补丁和被篡改代码运行及访问受保护数据;其次,使用行业标准算法AES和3DES,在文件—系统层面提供基于策略的高速数据加密功能。

部署:安装在被保护主机内。

售价:未知

网址:http://www.vormetric.com

上述方案都属于加密方案,由于它们主要针对网络存储中可能存在的众多安全漏洞,所以不需要等待标准机构批准。但是,性能、时延、透明度及与现有存储方法的集成度将是用户采用这类方案的决定性问题。

数据安全保护技术 篇4

1 云计算的相关概述

随着互联网网络技术的不断发展, 网络中数据的传输速度也越来越快了, 为了日益膨胀的数据需求, 云计算就随之诞生了。云计算是根据互联网的相关服务的增加、使用和交付模式, 通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源, 是现代化数据快速发展的技术产物。云计算通过把原来的数据模型从个人计算机转移到大型的计算机数据中心, 实现了计算机硬件、软件等资源的有效配置[1]。它具有一下特点:

1.1 虚拟化

云计算把将计算资源连接起来, 由软件自动管理, 人们可以在任何时候任何地点登陆云。用户通过虚拟的平台使用资源, 而不用关心资源究竟在哪里, 只需要将自己的需求提交给云, 云返回用户所要的结果就可以了, 用户只需用一个终端就可以随时获得想要的资源和服务, 使用起来非常方便, 而且对计算机硬件要求不高, 降低了用户的成本。

1.2 空间大

云计算模式下的空间存储是非常大的, 用户可以根据自己的需要对数据进行各种操作, 云的规模可以动态伸缩, 满足应用和用户规模增长的需要。

2 云计算技术发展的现状

科学技术的发展促进了计算机网络的发展, 在计算机互联网、电信网络、以及广播电视网络三网融合下, 数字信息化的发展已成为时代发展的重要标志, 快节奏的生活方式以及经济快速发展使得人们在处理数据上的要求越来越高, 随着人们的物质文化水平不断提高, 保证人们快节奏的生活内容是三网融合下经济发展的客观要求。在计算机网络快速发展的前提下, 数据的敏感性以及重要性使得人们在数据操作方面越来越里来计算机。云计算是多种科学技术发展的产物, 云计算在网络、信息和存储服务等方面有很大的优势, 随着科学技术的不断发展, 云计算的发展非常迅猛, 在人们的生活中影响逐渐变大[2]。

3 云计算的数据安全问题

科学技术的不断发展, 计算机网络在人们生活当中有着不可或缺的地位, 随着信息化时代的到来, 数据已经成为时代发展的标志, 在人们的日常生活当中处处可见。云计算的出现既是时代发展的需求, 也是科学技术发展的需求。人们利用网络来传输数据, 有效的改变了传统的数据传输方式, 随着当今数据日益膨胀, 科学技术不断发展, 数据的安全性也受到了多方面的威胁[3]。

3.1 数据传输问题

网络信息化技术的发展使得人们在数据传输方面越来越依靠网络了, 传统的传输方式已经不能满足庞大数据发展的要求了, 云计算的高速度数据传输大大的改善了这一状况, 人们利用网络来进行数据传输, 甚至一些机密的数据, 但是随着科学技术的不断发展, 在技术带来有力的一面的同时, 一些黑客利用网络环境来进行数据窃取, 用户在面对多元化的信息网络, 对网络安全隐患的认识比较薄弱, 很容易中黑客设下的全套造成一些机密数据的泄露

3.2 存储数据容易被备份

随着数字化时代的发展, 数据日益膨胀, 在一些事业单位中, 数据的重要性直接关系到企业的发展。有效的将这些数据储存起来是非常重要的。在云计算模式下, 云计算的空间大, 可以有效的为用户提供大容量的存储空间, 但是有些客户对数据的存储不清楚, 对网络信息化环境不了解, 再加上黑客的攻击, 即使用户在数据存储上做的很到位, 但是还是免不了会出现存储安全问题, 被黑客恶意侵扰, 造成一些重要数据被备份。

4 云计算数据安全保护的关键技术

随着数字化信息时代的到来, 数据的重要性对许多企业来说都是非常重要的, 数据具有敏感性, 保障数据的安全性是确保企业良性发展的重要内容, 云计算的虚拟化特性, 在数据安全性能上就要求很高。为了确保市场上各企业的良性发展, 保障各级企业间的重要数据不被窃取, 是现代化经济快速发展的要求。云计算数据安全保护的关键就是被数据的安全和隐私保护, 利用动态加密的方式对数据进行加密, 可以保证云计算的数据安全。将要传输的数据进行加密, 然后存储到云端, 这样能有效的提高数据的安全性, 防止数据被窃取, 如果数据被黑客窃取, 没有相对应的动态密码, 密码只有用户自己知道, 被窃取的数据也不会被打开。同时, 由于动态加密的特性, 云端可以对密文进行操作, 有效的避免了对传统的加密数据进行操作时的效率问题。因为普通的加密方案如需对其进行操作, 须将加密数据回传, 解密操作后再加密回传到云端。

5 云计算数据安全保护措施

5.1 加强用户身份认证

云计算模式自身的虚拟化特点, 在云端中的数据都是共享的, 人们将数传输到云端上进行储存。云的安全性在很大程度上已经超过了用户的控制, 用户在将数据传输到云端上, 云端要为用户提供一个安全的数据环境, 利用全新的动态加密技术来保障机密数据不被窃取, 同时加强云端的身份认证, 实现统一的身份管理, 统一授权, 统一访问管理, 提高数据的安全性。

5.2 国家要完善网络环境

随着网络信息化的发展, 人们通过网络来实现彼此间的交流, 计算机网络已经成为人们日常生活中不可缺少的重要部分, 人们对计算机网络的依赖使得人们将一些重要的数据存储到计算机云端上, 受传统因素的影响, 人们普遍认为计算机是做可靠的, 但是随着科学技术的不断发展, 网络信息化发展的速度不断加快, 在计算机带来有利的一面的同时也带来了一些不利因素, 网络黑客专门利用网络环境来窃取用户的数据, 数据存储安全也成为了现代数据快速发展的一大问题, 面对这一问题政府部门要加大网络环境的整治力度, 加强法律法规制度的见着, 通过有效的手段, 不断完善云的网络环境, 为用户提供一个安全的数据存储环境。

6 结语

云计算是未来科学技术发展的趋势, 云计算时代已经逐渐形成, 当今时代数据的蓬勃发展, 计算机技术的不断发展, 由于数据量大, 数据的重要性, 使得越来越多的人们利用云来存储数据, 网络环境多样化的发展, 完全依赖云是危险的, 在利用云计算模式进行数据处理的时候要正确地认识云, 利用有效的技术手段对重要数据进行加密保护, 从而有效的确保数据的安全, 保证企业的发展, 促进经济的发展。在云技术飞速发展的今天, 云安全体系也要相应地发展, 使得我们可以更快更好地进入云的世界。

参考文献

[1]涂伟, 甘丽新, 蒋科蔚, 易云辉, 陈美芳.基于云计算模式的电子商务安全研究[J].商业时代, 2010, 10 (36) :34-35.

[2]王冰.浅谈云计算环境下用户数据的安全保护和隔离[J].硅谷, 2011, 11 (15) :126-127.

数据安全保护技术 篇5

摘要:大数据征信使个人信息安全处于空前的威胁与挑战,本文简述了大数据征信的概念与发展,探讨其在个人信息安全的保护过程中存在的主要问题,并为完善大数据征信中个人信息保护提出对策与建议。

关键词:大数据征信;保护;个人信息

一、大数据征信的概念与发展

大数据征信是指对海量在线交易记录、社交网络数据等个人的信息进行收集整理,并运用大数据分析和刻画出信用主体的违约率和信用状况,进而控制金融信用风险。解决了传统征信因信息分散导致的采集成本高,效率低下等问题,与传统征信天然互补。由于大数据采集的覆盖面广、信息维度丰富,评估个人信息的信用风险全面而广泛,成为互联网金融和众多相关行业的基石。

二、大数据征信中个人信息安全保护现状及存在的问题

由于互联网征信企业极度依赖于大数据技术的收集与分析,一切信息皆信用,使得个人信息的安全性受到了空前挑战和威胁。近年来违法倒卖、泄露个人信息事件屡见不鲜,极大地影响了社会正常的经济秩序。由于个人信息在我国立法中仍处于薄弱环节,相关法规的制定存在较大的不足与滞后,商业化的大数据征信可能会成为侵害个人信息的工具,需用法律手段加以规制。

(一)立法保护滞后于现实需要

我国目前尚未出台专门的个人信息保护法,尽管个人信息安全保护不断出现在各种法律法规、司法解释中,但相关法律法规的制定过于分散且层次效力不一,在实践中缺乏可操作性,无法满足当前对个人信息保护的高质量法规的需求。现行的《征信业管理条例》与大数据征信的发展不适配,对于大数据征信中个人信息的采集、整理、保存、加工和公布等环节缺乏明确的界定,条例规范范围过于狭窄,对于涉及网络个人信息保护问题未作出合理规范。

(二)征信信息泄露严重监管缺乏

大数据征信涉及大量用户敏感信息,随着越来越多的数据被采集利用,用户面临着面临的信息安全风险变得更加严峻。与普通个人信息相比,征信信息由于价值和敏感性,泄露的危害更为严重。当前信息泄露已经形成产业链,数据黑市犯罪成本低利润高。再加上互联网征信公司内部管理制度不完善,存在业务操作和人员道德双重风险,近年来许多互联网公司人员存在监守自盗的风险,例如京东泄露了12G的`用户数据造成其严重后果。的“526信息泄露案”,湖南银行行长非法出售个人信息257万余条,包括身份证号、征信记录、账户明细等众多敏感信息。而在国外全球第一大个人征信机构益博睿涉及2亿的身份信息泄露,涉案金额超过6500万美元。

(三)个人维权法律救济困难

随着未来信息开发和利用的日益成熟,个人信息尤其是信用信息具备相当的商业、社会和法律价值。大数据时代使个人信息的权利边界消失,给个人信用信息主体维护自己合法权益带来巨大的挑战。由于个人信息主体往往处于弱势地位,与征信信息管理机构存在着信息和技术不对称,让受侵害的个人信息举证维权之路难上加难。在个人信息受到非法收集泄露等侵害时,由于通过法律救济途径解决纠纷可能产生的成本和风险过高,只好选择放弃诉讼维权,使得本应该成为最终保障的司法救济渠道起不到应有的保护作用。

三、大数据征信中保护个人信息安全的对策与建议

(一)完善个人信息立法保护

针对大数据征信的特点,以征信业规制和网络个人信息保护的专门立法现有成果出发,通过立法出台统一的个人信息国家技术标准,给已有的普遍分散立法以操作的指引,制定最低标准网络个人信息保护法,明确规定个人隐私的信息、个人信息采集基本原则和使用目的,采集收集的负面清单制度,防止个人信息被滥用。通过构建完善的个人信息保护法律体系,为征信体系安全建设提供更有力的法律支撑。

(二)加强行政监督管理与行业自律

加强数据安全体系和信息监管体系建设,防范非法入侵造成信息泄露,对于信息泄露问题完善危机应急预案和补救措施。加强信息安全执法监管,严厉打击非法泄露、买卖信用数据的行为,加大对泄露个人信息企业的问责和处罚。对征信管理机构开展内部安全认证和行业自律机制建设,充分发挥征信行业协会其协调沟通征信机构与监管机构的作用,加强征信行业业务交流和制定技术标准,开展征信信息保护宣传提高民众意识。

(三)探索多元化个人信息保护救济方法

建立征信机构内部的纠纷处理机制,完善信息异议处理解决机制,缩短错误征信数据信息的更正时限,提高征信信息录入质量。完善个人对征信机构的投诉渠道,引入征信行业调解、仲裁和第三方纠纷非诉解决的法律机制。对于公民维护个人合法权益面临取证难、诉讼难等问题,完善互联网情景中个人信息侵权赔偿制度,并在个人信息保护中引入举证责任倒置和集体诉讼机制,优化个人信息司法保护程序,提供便捷高效的法律救济渠道。

[参考文献]

[1]刘红熠,杨妮妮.互联网征信背景下个人信息主体权利保护问题研究[J].征信,2016(06).

[2]赵红梅,王志鹏.大数据时代互联网征信发展中的问题及应对策略[J].金融经济,2016(18).

浅析大数据的安全与信息保护 篇6

【关键词】大数据 数据安全 信息保护

前言

现今社会各行各业都逐渐加大对数据的使用,数据系统变得越来越庞大复杂,这对数据安全以及信息保护造成了极大的不便,要处理以及管理如此复杂的数据系统,全面的安全以及信息保护技术是必不可少的,但现在人们面临着日益严峻的信息安全问题,这需要当局正确认识到此项技术的重要性并积极主动解决这一问题。因此,保护信息的安全成为了一项巨大的挑战。

大数据的概念及特征。大数据,简单的说,就是数据集,平常的数据存储和管理工具很难对其进行分类和处理。大数据,字面意思上可以看出其规模庞大,数据的传输速度迅速方便,特征明显呈现多元化。

具体来说,我们平常通过互联网平台进行的一切活动产生的各种数据信息,例如图片、视频、文字、等常见的数据类型。

大数据具有规模性、多样性、价值性、高速性的特征。大数据分析用于不同领域用途大为不同,但他们分析目标差别不大,都是通过对大量的原始数据的分析整合从而获得有价值的信息,再进一步的分析进而预测下一步的发展。

大数据面临着安全与信息保护的挑战。

首先,大数据面临着个人隐私泄露带来的信息安全隐患。大数据时代有利也有弊,大数据给人们的生产和生活带来了便利,但同时由于信息处理不当等原因也给用户的隐私带来了极大的风险。例如,将客户信息扩大化,知道一个人的姓名和消费习惯通过数据搜索即可发现客户的政治观点等方面的信息,即便很多时候对个人的信息会进行一定程度的匿名处理等信息保护。这些给用户带来了极大的经济与精神损失。

其次,大数据面临着缺乏可信性的挑战。数据同样具有欺骗性,需要我们对其进行有效的识别,很多虚假的信息有可能隐藏在大数据中,这就对人们的判断造成了一定的误导,导致人们判断错误。另外,在信息传递的过程中,信息有可能会逐渐降的失真,这是因为在信息传递采集过程中会有一定的误差,而这些误差会导致信息的失真。还有就是数据与现实变更不同步同样会导致信息的失真。

再者,大数据面临着技术缺乏,监管不力的挑战。大数据信息时代,信息传播速度十分迅猛,很多现实都是通过数据信息反映出来的,而由于技术缺乏以及监管的不力,导致存在大量的虚假信息,或者信息在传播过程中失真,损失以及用户信息的泄露等一系列问题给社会或者个人的经济或者精神方面都会带来负面的影响,不利于社会的稳定发展。

最后,在访问控制大数据的时候,同样面临着很多的难点,其一是角色的预先设置问题,不同组织或者不同身份的人所运用的数据是不同的,因此需要对其进行角色划分,但往往是很难实现的。其二是每个角色的实际权限是无法预知的,在现实中很难准确的识别用户访问的数据范围,同时定义所有用户权限的规则,是一种低效的方法。其三是因为对大数据的访问是多样化的,而我们在对其控制处理的时候很难掌握其精度,这同样是挑战之一。总之,数据安全面临着巨大的考研,因此,对大数据安全以及信息保护是十分必要且迫在眉睫。

提高大数据安全与信息保护的方法与措施。

第一,通过对大数据保护技术的创新和灵活运用提高保护力度。大数据保护技术是大数据安全与隐私保护的基础,能够有效的保证数据信息在数据库领域范围内的存储和处理。现代科技条件下,我们不仅需要细化数据信息的来源和记录,而且需要具体形象化数据符号,一定要及时对数据信息进行标记和核实,以便能过高度还原真实的数据信息。而要做到这些就必须强化大数据安全和信息保护,提高大数据保护技术的创新。大数据时代,很多情况下都需要用户对身份信息进行再三确认,强化数据信息保护技术,用来达到最大化保护用户隐私的目的,减少不必要的损失和负面影响,避免给用户带来经济损失和个人财产隐患。

第二,抵抗不良的数据垄断。数据时代的到来,绝大多数的个人和企业都能够认识到数据信息的重要性,数据作为执行的基础以及创新的源泉,提高大数据安全以及隐私保护极其重要。很多的数据大亨利用手中的数据信息资源进行不良操作和恶性违规事件,控制着很多信息的传输和存储,极大的影响了人们的正常生活和对数据信息的有效利用,阻碍了其良性发展。因此提高对于数据信息的正确利用,抵抗对数据的垄断势在必行,只有这样才能公平合理的利用数据信息,利用大数据的优势为社会大众谋福利,避免因为数据信息的违规使用带来的不可避免恶性影响。

第三,数据发布匿名保护技术。对于结构化数据来说,想要有效地实现用户数据安全和信息保护的关键是数据发布匿名保护技术。但是这一技术还需要不断研究和完善。现在的数据发布匿名保护技术的基本理论大部分设定的环境都是用户一次性、静态地发布数据。例如通过泛化元组和抑制处理的方式对标识符进行分组,对有共同属性的集合用k匿名模式进行匿名处理,但这样的方式容易漏掉一些特殊的属性。而且现实是多变的,数据发布是连续、多次的。在复杂的大数据环境中,要实现数据发布匿名保护技术还存在一些技术性困难。攻击者可以获取各类信息利用不同的发布点、不同的渠道,确定一个相对准确的用户的信息。这还需要更多的时间和精力去深入研究。

第四,社交网络匿名保护技术。社交网络作为大数据的重要来源之一,在社交网络中包含了大量的个人信息,因此必须做一些匿名保护。一般攻击者都是利用节点的各种属性来识别用户的身份信息,而我们社交网络匿名保护就是要在用户发布信息的时候,隐藏起用户的标示和属性信息以及用户之间的关系。这是社交网络数据安全与信息保护的要点,可以有效的防止攻击者破解匿名保护。通过用户在不同渠道发布的数据,或者是用户之间的边联系推测出原本受匿名保护的用户。另外是通过在完整的图结构中,利用超级节点对图结构进行部分分割和重新聚集的操作,这样就可以实现边的匿名,但这种方法对数据信息的使用性并不高。

第五,数据水印技术。水印技术是指将可标识信息以一些比较难察觉的方式嵌入到数据载体里当然是要在不影响数据内容和数据使用的情况下。一般用于媒体版权和数据库、文本文件的保护中。但是在多媒体载体上与在数据库或者文本文档上应用水印技术是有很大不同的。因为二者数据的无序和动态性等特点并不一致,数据水印技术从其作用力度可以分为强健水印类和脆弱水印类,强健水印类多用于证明数据起源,保护原作者的原创权;而脆弱水印类则用来证明数据的真实与否。遗憾的是水印技术仍需要改进的就是它并不适应现在快速大量生产的大数据。

总结

大数据时代为我们带来了方便的同时,也引发了一系列的安全问题,所以,我们要采取积极有效的措施来对其进行切实的保护。

数据安全保护技术 篇7

随着数据通信技术的发展, 数据通信的量也在不断的增大。而随着原来的密钥安全技术、VPN等安全技术的应用, 也越来越被攻击者利用。而攻击者利用密钥等获取个人信息和数据, 同时对精通数据的攻击者通过在系统中安装代码, 采集敏感信息和数据, 或者获取其他的安全参数, 或使得操作系统异常等, 将对数据通信的安全构成重大的威胁。这就需要数据通信的提供这在保障数据安全的同时, 也要保障密钥以及相关参数的安全。

2 安全环境边界

安全边境边界的不同, 系统选用的保护类型也就有所不同。安全环境边界是指在对系统进行开发设计时, 给系统进行的连续界限定义, 其主要用在为模块建立一定范围的物理边缘, 在这边缘内, 包含所有安全参数的操作。同时支持在这范围内的所有的硬件和固件以及软件。我们常见的安全边界是将整个系统全部包含在内, 也可定义更加紧凑的边界。

3 嵌入式系统面临的安全问题和类型

3.1 嵌入式系统面临的安全问题

嵌入式系统作为一个特殊的安全系统, 其在面临常见的计算机安全问题之外, 还包含一些特殊的安全漏洞。而系统面临的危险主要包含两类。

(1) 个体安全发生个体安全主要是首先由不安全的环境下进行操作造成。嵌入式设备具有体积小, 便于携带等特点, 常常在野外进行作业, 这样就容易被攻击者恶意进行窃取, 从而导致数据通信设备受到破坏;其次是由用户下载运行未经过授权的软件造成。通过这些软件可能带来恶意软件的安装, 同时携带恶意的代码, 导致嵌入式系统受损。

(2) 群体安全对于不安全的网络通信环境中, 无线通信更容易受到攻击者的监听, 且对于结构简单的硬件设施更容易受到攻击者分析出有效的信息。而在生产的环节, 设备生产厂商为缩短硬件的设计的周期, 往往采用装配的方法进行, 从而忽视了设备整体的安全性设计, 导致存在安全的隐患。

3.2 攻击的类型

从数据通信安全的角度, 系统攻击可分为完整性、机密性和可用性三个主要的类别。从攻击的层次又可分为两个方面:首先为系统结构安全层次, 这主要包括物理、软件与旁路三种类型的攻击;其次为通信安全层次, 主要包含有信道的监听以及消息篡改等。其具体的示意图如图1所示。

4 数据通信安全保护技术应用

要保证嵌入式系统的安全, 保证上述不同的攻击类型得到有效的控制, 以此保证数据通信的完整性、机密性以及可用性, 就必须通过安全引导技术、数据存储及敏感安全信息技术和边界接口保护技术加强对数据通信的保护。

4.1 安全引导

安全引导是指对系统提供软件和配置的完整性检查与认证的一个过程。在处理器允许软件的镜像或者是配置运行之前, 应先对镜像做全面检查, 以确保镜像在系统制造商提供之前未被修改并被创建。安全引导主要的过程包含两个方面: (1) 利用加密的散列函数来确保系统的完整性; (2) 喜用公共的密钥加密来为镜像做数字的签名。

系统制造商在嵌入系统设备中留有私钥, 而仅仅将公钥作为硬件可信根的一部分提供给系统。这就要求必须提供系统的私钥才能在系统上运行, 而对于使用的公钥加密的技术, 即便在攻击者得到公钥的密码, 也不会给系统带来风险。

除上述的对镜像的完整性检查与认证之外, 制造商还通过设定权限删除不安全的旧软件, 以此保护系统的数据通信安全。在系统中, 往往通过安全引导设定版本的接受程度, 对当前和最低配置的软件进行比较, 对版本过低的软件进行删除, 同时使用现在较高版本的软件, 以此通过不断的更新, 保障嵌入式系统的数据通信的安全。

系统开发商同时给软件提供保密性, 防止开发商的软件知识产权被克隆。而通过安全的引导技术, 可有效地防止竞争的对手通过购买等方式制造出同类似的产品。软件的镜像在被存储到板载闪存以前会进行事先的加密和实施完整性保护, 在数据通信的传输的时候也如此。

安全引导的流程中还包含解密的操作, 同时作为镜像认证的一个部分。密钥块作为安全引导的组成, 是一种加密的密钥存储的结构, 其主要的作用是当加密密钥处在系统规定安全边界之外的时候对其进行保护。一旦密钥块处在安全边界规定的范围之内, 则自动对密钥块进行解密, 而当在安全边界之外时, 则自动断开, 不提供任何的资源。

在安全引导中, 通常会涉及多个不同的引导的阶段, 如图2所示。安全引导则严重依赖于对初始引导加载程序。而为了满足要求, 处理器则必须使用第一级的引导代码, 这个代码主要存储在ROM中。初始的引导代码通过对下一引导阶段中完整性的检查和硬件可信根的认证, CPU则会立马执行潜在的解密的代码。这整个的过程会根据需要反复地进行, 这样就会在系统中创建一个“信任链”, 通过软件和相关配置文件的层叠, 保护和确保安全性。

3.2敏感安全参数 (SSP) 与数据存储

SSP主要是指包含短期密钥和在不需电源重启后保留的安全参数, 其中的安全参数包含关键安全参数和公共安全参数。而所谓的安全参数是指任何与安全有关的机密的信息 (如口令、pin码、加密私钥等) , 这些信息一旦泄露就会损坏这个加密模板;公共安全参数是指与安全有关的任何公共信息, 这些信息被修改也同样会损害加密的模板。而不管怎样区分, 都必须对关键的数据进行保护。

一旦安全引导完成, 就会产生需保护的短期数据。不管这些数据是存储在边界之外还是存储在边界之内, 都必须以某种加密的技术对其进行保护。而加强对SSP的保护, 主要采用几种方法。

(1) 内部安全存储器。这种方法不在DRAM中进行外部的缓存, 而采用小型的SRAM, 该存储器可储存少量的数据, 无法进行大量的数据存储。

(2) 缓存加锁。通过在DRAM或者是数据缓存上制定范围, 防止存储在这个范围内的数据被写到外部去。这样的结果是将缓存加锁的部分放在RAM中。而缓存加锁在任意一级均可实现, 但对处理器的系统进行缓存是最好的。如通过处理器系统, 可将其中的1级缓存扩大128~256倍。而使用缓存加锁的优势主要体现在加锁的范围比专门的安全存储器容量更大;其次是可锁定片上的安全数据与指令, 如为防止关键的代码的暴露, 通过安全引导, 通过缓存加锁, 避免了因为直接存放在DRAM, 以明文的方式暴露关键数据。但是缓存加锁适用于少量数据的存储, 过度则会导致系统性能的下降。

(3) 为存往DRAM中的数据加密。通过这种方法, 可使得其更具有扩展性, 因为在这中间不存在缓存加锁等带来的大小限制。这主要采用两种方案:一种是通过“确切”的方法找出其中的敏感数据, 同时给这些数据进行加密;另外一种是通过可覆盖的大量数据的优秀技术, 将其用于整个DRAM段, 在对这整段进行加密, 从而保障数据通。

3.3边界接口保护

对外界接口进行保护, 就需要将每个接口考虑在内, 以此评估其中的哪些数据可直接访问, 那些数据可通过接口间接访问。这个接口可以是网络的接口 (如太网) , 同时也可以是外设的接口 (如UART或PCI-e总线) , 也可以为调试接口 (如JTAG) 与测试接口 (如扫描) 。必须通过适当的控制方法来对敏感数据的访问进行控制, 如存储器保护单元、外设资产保护、扫描保护以及安全调试等方法。

通过存储器保护单元的方法主要保护存储区域不被非安全的总线主控器与DMA控制;外设资产保护的目的是限制访问分配的安全;扫描保护是保证没有相关的敏感数据在扫描中被访问;安全调试是保护比较敏感的信息不被调试的端口访问。

5 结束语

数据通信安全的保护技术是在不断的进步和发展的, 任何技术都不可能完全没有缺陷。而要保证数据通信的安全, 就必须对技术进行不断的更新和改进, 才能保障数据的通信安全。

摘要:现有的IPsec/SSL VPN和数据空中加密等数据通信安全保护技术主要依赖密钥和其他的安全参数。而如何保护密钥等的安全, 成为数据通信保护的技术突破点。本文结合在实际的工作中的嵌入式系统常见的被攻击类型, 提出在嵌入式系统中运用安全引导技术、敏感安全参数 (SSP) 和数据存储技术以及边界接口保护技术加强对数据通信安全的保护, 以此提高通信运营商的服务质量。

关键词:嵌入系统,数据通信,安全

参考文献

[1]郇义鹏.基于串口的数据通信安全技术研究[J].国防科学技术大学, 2003-11-01.

[2]乔加新, 马季, 段凯宇.基于XML的多方数据通信安全模型研究[J].微计算机信息, 2010-01-25.

数据安全保护技术 篇8

云计算技术的发展, 对指挥中心的建设提出了新的挑战, 如何综合利用新的云计算技术、借助Hadoop等开源云计算框架, 实现指挥中心的应急指挥、风险防控等功能, 并提升指挥中心应对重大突发事件的应变能力, 成为新指挥中心建设中面临的重要问题。

作为应急指挥的重要平台, 新指挥中心能够处理不可预测而且突发性强的紧急事件, 结合指挥中心的需求, 可以借助基于Hadoop开源框架的云技术技术, 实现新指挥中心中数据的安全保护功能。要研究云计算在新指挥中心中的数据保护技术, 首先需要分析云计算中的安全问题。

2 云计算安全问题分析

云计算的服务类型由上往下主要有三种:基础架构即服务 (Iaa S) , 平台即服务 (Paa S) 和软件即服务 (Saa S) , 每一层次会提供不同的服务和接口, 因此在不同层次会有不同的安全问题。

Iaa S的作用是供用户使用硬件等基础设施, 由于这一层接触的是最终物理设施, 所以Iaa S层面临最多的安全问题:

(1) 物理设备安全问题。服务器、网关等物理设备是实现云计算平台的基础设施, 公有云计算平台上的设备问题会产生更广泛的影响。

(2) 数据存储安全问题。Iaa S层通过身份验证等机制实现数据的保密性, 利用冗余备份的方式保证数据的可用性, 借助数据校验的手段完成数据的完整性。

(3) 数据传输安全问题。云计算环境下, 数据在云平台内部传输时是非加密的, 这就会带来数据的安全隐患。

Paa S层为用户提供应用编程接口及运行平台等网络开发环境, 这种网络环境下经常会面临模块整合安全问题以及API接口安全问题等。不同云服务提供商可能会提供不同的API接口, 这些接口并没有统一的标准和安全保障, 这样就会使得某云平台上安全的应用程序在另外一个云平台上可能是不安全的;目前Paa S层能够提供的安全API还仅限于诸如SSL配置、基本的权限管理等, 为用户提供完善并安全的API服务是Paa S层面临的主要问题。

Saa S层向用户提供具体的应用程序, 主要面临数据处理的安全问题、权限管理的安全问题等。云服务提供商为保证数据安全, 会提供身份认证以及访问控制等安全策略, 但这些策略都只是粗粒度的, 还没有实现细粒度访问控制。另外, Saa S层的云应用服务在使用静态数据时也是不加密的。

除了上述问题外, 云计算环境下还面临诸如恶意内部使用、服务传输劫持以及服务可用性等问题, 要解决这些问题, 就需要深入研究云计算环境下的数据安全保护技术。

3 云计算的数据安全保护技术

作为应用最广的开源云计算平台, Hadoop框架以其具备数据隔离、角色管理以及非法访问的预防等特性而得到广泛应用。Hadoop集群安全策略主要包括用户权限管理、Kerberos身份认证、HDFS文件系统的安全策略以及Map Reduce计算框架的安全策略等。

Hadoop对用户进行分组管理, 无论HDFS文件系统的访问、Hadoop集群应用的访问还是Map Reduce任务的提交, 都提供了认证和控制机制。创建并配置Hadoop集群的用户将是Hadoop集群的管理员, 它可以使用Kerberos机制完成认证和授权工作, 还能够向授权列表中添加用户及用户组。Kerberos机制是一种成熟的认证机制, 它不仅不依赖于主机的操作系统和主机安全, 也不依赖于主机间的信任;Kerberos机制利用传统的加密技术实现认证, 其认证过程中涉及身份验证中心AS (Authentication Server) 、秘钥分发中心KDC (Key Distribution Center) 以及票据分发中心TGS (Ticket Granting Server) 。client向AS发送自身的身份信息, AS收到后转发给KDC, 并从TGS得到票据, 然后client用公钥加密TGS并加盖时间戳, 只有具有私钥的用户才能解密TGS, 这就保证了云计算平台下数据的安全性。

基于Hadoop的云平台用户在使用HDFS文件系统时, client会与Name Node进行RPC交互, 以此获取要进行通信的Data Node的位置;这种RPC交互也是使用Kerberos认证机制实现用户认证的:client与Name Node连接时, 这二者之间的共享秘钥可以作为授权令牌, 保证云环境下的数据传输时, 具备一定的数据安全性, 防止被恶意窃取。为防止获取到授权令牌的其他人假扮成认证用户, Hadoop限制每个用户只可以通过Kerberos认证机制获取唯一的授权令牌, 并通知Name Node哪个节点是令牌更新节点;这样会保证同一个Map Reduce任务使用同一个授权令牌。

HDFS文件系统也提供了一定的数据备份测量, 以保证数据的安全可用性。首先, HDFS可以将整个集群的元数据保存到多个目录, 一般保存为一个本地目录和一个远程共享目录;这样当故障发生时, 就可以利用备份的元数据快速恢复整个集群。另外, 从Hadoop2.0开始, HA机制引入到集群环境中, 同一个Hadoop中存在两个Name Node, 一个是处于active状态, 另外一个处于standby状态, 一旦发生故障, 备份的Name Node会迅速接管, 保证了数据的安全可用。

4 结论

为深入研究云计算技术在新指挥中心的数据安全保护中的应用, 本文首先分析了云计算平台面临的安全问题, 然后研究了以Hadoop开源框架为基础的云计算平台的数据安全保护技术, 可以为为云计算环境下数据安全保护技术提供一定的借鉴意义。

参考文献

[1]刘婷婷.面向云计算的数据安全保护关键技术研究[D].解放军信息工程大学, 2013-04-20.

[2]刘晓茜.云计算数据中心结构及其调度机制研究[D].中国科学技术大学, 2011-03-01.

[3]叶志伟.面向云计算数据隐私保护的访问控制策略研究[D].哈尔滨工业大学, 2012-07-01.

数据安全保护技术 篇9

1 传统计算机数据库安全机制

目前,计算机数据库管理系统大部分都使用传统的数据库安全保护机制,其主要包括以下方法。第一,用户标识与鉴别。该方法是计算机数据库最表层的保护方法,系统将会提供核对方式让用户输入自身份,当用户进入系统时系统会进行核对,在完成验证后方可使用数据库。用户识别与鉴别这一安全机制存在一定的安全隐患,非法入侵者通过非法手段来获得账号与密码,即可以顺利进入数据库进行操作。第二,存取控制。计算机数据库安全防护的核心即为DBMS的存取,最为关键的就是保证只授权给拥有权限的用户访问数据库,并且禁止未被授权人员接近数据库。要实现这一技术主要需要依靠数据库系统存取控制模式来完成。该模式分为两部分,首先设置用户权限,将其登入至数据字典中;接着,在使用过程中进行合法性检查,在用户发出访问、存储数据库请求时,DBMS对数据字典进行搜索,以判断用户操作的合法性。同样,存取控制方法也存在安全隐患,非法入侵者只要掌握了系统管理员的账号与密令就可以自由控制数据库及其服务器。第三,数据加密。数据加密是避免计算机数据库中数据在存储或传输过程中被窃取的重要方式,其基本思想即为根据一定算法将数据转换成为无法识别的密文,从而使得非法入侵者无法获知数据的具体内容。同样,由于数据库中涉及大量查询修改语句,如使用数据加密技术将会对数据库产生巨大影响。

如上所述,传统数据库安全机制不可避免地都存在一些弱点与安全隐患。特别是伴随着计算机数据库规模不断扩大、空间不断深入、复杂性不断变强,传统的数据库安全机制已无法满足数据的安全需求。因此,研发并实践新技术来保障计算机数据库的安全势在必行。入侵检测技术即为一种能够有效保障数据库安全的技术,其能够实时监控系统的安全状态以及用户的使用行为,其能够作为计算机数据库安全保护的重要辅助与补充技术。

2 计算机数据库入侵检测安全保护技术

2.1 入侵检测

入侵检测是一种主动式安全防护策略,其能够保护计算机数据库免遭外部攻击、内部攻击,并且对其进行实时保护。入侵检测技术的主要功能如下:第一,可以对用户的使用活动与操作行为进行监视、分析与研究;第二,可以对计算机系统的情况与弱点进行分析;第三,能够对检测到的相关活动进行监测与识别,如检测到异常情况后会进行报警;第四,对操作系统的审计情况进行管理评估。

2.2 入侵检测技术

2.2.1 数据挖掘

伴随着数据库技术的进步,数据库管理系统在计算机网络中得到了十分普遍的应用,数据库资源也变得愈加丰富充实。然而,在数据库资源数据持续增长的情况下,存在着数据库资源利用挖掘层次不够深的问题。在大数据和时代如何充分深入地挖掘数据库资源,对数据库信息实施高效而准确的录入,精确的查询与快速的统计功能成为了利用数据库资源的重点。数据挖掘是指对数据库中的资源进行深层次分析,对其中的相关知识与数据进行充分挖掘,以强化其内在关系。数据挖掘方法可以根据用户的不同需求而进行调整。其中,序列模式与关联规则挖掘是主要的数据挖掘方式之一。在计算机数据库入侵检测安全保护技术中,数据挖掘技术主要是利用对用户多次登录或一次登录过程中的相关操作行为进行排序,对用户的行为模式进行检测与分类。

2.2.2 入侵容忍技术

数据库入侵检测技术并不是单一的对恶意入侵进行安全保护,同时还可以在计算机数据库受到攻击后开展自我恢复。数据库入侵容忍技术给计算机数据库的数据恢复提供了支持。入侵容忍技术即为ITDB利用数据库管理中心形成命令,对存在的不安全入侵行为进行隔离处理,然后再根据具体情况来自动配置相应的ITDB,其能够使得计算机数据库管理系统实现自适应功能,从而确保数据库系统的安全。ITDB对计算机数据库入侵检测保护的效用十分显著,其能够对访问计算机数据库的用户进行控制,对其读写数据库的相关行为进行限制。其次,其还能够对攻击计算机数据库的行为进行检测,如检测到异常情况则会立即隔离,避免破坏再次扩散,缩小被危害范围。最后,ITDB技术可以对损害情况进行进一步处理,将数据库恢复至正常运行水平,对攻击计算机数据库的行为进行容忍,以保证数据库的使用安全。

2.3 入侵检测体系

计算机数据库在使用过程中所遭受的各类型非法入侵方式越来越多,病毒类型各式各样,未授权用户所进行的非法访问以及SQL注入情况将会对计算机数据库的安全造成巨大危机与损害。入侵检测技术与一般操作系统的安全保护技术不同,计算机数据库入侵检测安全保护技术将使用IS技术与SQL来开展监视与保护工作,将众多自行开发或预先包装的Web应用进行高效保护。入侵检测体系如下:首先,非法入侵者利用Web登录界面进行网络攻击行为;接着,如非法攻击行为冲破了防火墙到达应用服务器后,应用服务器可以利用SQL功能来对相关的数据库资料进行检索,从而对用户所出示的安全证书进行评估;再次,应用传感器在对用户的安全证书进行评估的过程中可以对SQL语句进行检测,从而发现非法入侵者的入侵行为;最后应用传感器发出警报声。

2.4 数据库入侵检测

针对计算机数据库特点,数据库入侵检测主要有以下方法:分类模型、指印技术以及时间标签。首先,分类模型。分类模型法是在序列模式的基础上形成相关关联规则,数据项之间的密切程度与入侵检测性能之间呈现正相关。数据库中的写操作越多,则其检测效率将更快。分类模型法是将操作作为核心,主要考虑到非法入侵者对数据库中的数据项的恶性篡改,认为其对数据库进行读操作不会产生非法入侵行为,但是实际上非法读取数据库也会导致信息被篡改或泄露。其次,指印技术。计算机数据库中拥有相关事务处理模式与SQL语言,对用户应用的SQL语言进行检测是数据库入侵检测的关键内容之一,而指印技术是对于SQL语言进行检测的技术,如指印推出正常则代表用户行为正常,而偏离指印则代表为异常行为。指印技术尤其适合定性客户机/服务器的数据库应用程序,其能够完成用户无法自己完成的语句查询工作,并且保持较低的失误率。指印技术的缺陷在于受到相关应用范围的限制,仅仅适用于查询格式固定的数据库入侵检测。假如用户能够建立SQL则会形成大量指印,进而降低入侵检测效率。最后,时间标签。一般来说,计算机数据库中的处理都存在时间约束的情况,需要设定截止时间。计算机数据库中短时间数据即表明数据仅仅在某一时间段内有效,数据具有时效性。为了持续保证数据的时效性,需要定期对数据进行更新。定期更新计算机数据库中的实时数据即为时间标签,其拥有周期性的特点,在某一段时间中数据库中的数据仅能被修改一次,如有操作者试图进行二次或多次修改,即为入侵行为。这一入侵检测方式可以被应用至传统数据库中的入侵检测中。

3 结语

鉴于计算机数据库入侵检测安全保护技术的重要性,应加大计算机数据库入侵检测安全保护技术的研发力度,持续根据各类别入侵问题来提升入侵检测安全保护技术的效用,进而为计算机用户建立安全、可靠的使用环境。

摘要:计算机数据库的安全通常来说都是依靠传统的数据库安全机制来进行保护,抵御非法入侵者的入侵以及对数据库数据的窃取。然而,伴随着计算机数据库容量的不断增大,数据量持续增加,计算机网络技术的持续发展,以预防为主的数据库安全机制已无法满足计算机数据库的安全需求。因此,主动的安全保护机制成为了防止攻击计算机数据库的重要方式。笔者主要针对计算机数据库入侵检测安全保护技术进行研究。

关键词:计算机数据库,入侵检测,安全保护

参考文献

[1]柴奇.基于本体的协作式数据库入侵检测模型[J].中国高新技术企业,2007(12):120.

[2]Cai Hongmin,Wu Naiqi,Teng Shaohua.Local Network Security Scanning System Design and Implementation[J].Micro Computer Application,2005(1):45-48.

[3]钟勇,秦小麟,包磊.基于用户查询模式的挖掘算法及其在入侵检测中的应用[J].应用科学学报,2005(5):506-512.

[4]翟菁,赵曼.基于SVM主动学习和数据融合的入侵检测系统的研究[J].计算机与数字工程,2010(4):100-103.

数据安全与保护探析 篇10

人们一般从两方面理解数据安全。一是数据的安全, 主要采用非对称密码及对称密码算法对数据加密, 保证数据传输的完整性, 及身份的验证。二是数据保护的安全, 主要是采用存储手段对数据进行主动保护, 如通过RAID、数据备份、异地备份等手段保证数据的安全, 数据安全是一种主动的保护措施。

数据通信的安全是指如何防止数据在传输、处理、接收过程中由于信号干扰及设备质量而引起的数据丢失或失真。一般采用优质传输介质, 加强信息屏蔽等操作来避免。

数据安全的影响因素很多, 但主要有以下几个方面。一是硬件故障。存储数据的存储介质损坏意味着数据读取困难甚至无没读取。设备的运行过程中意外震动、存储介质损坏、运行环境以及人为的破坏等, 都会造成存储介质损坏导致数据丢失或读取困难。二是误操作。由于失误操作, 使用者可能会误删除系统的文件使系统崩溃, 或者修改影响系统运行的参数, 以及未按规定要求或操作不当导致系统死机甚至无法开启, 都影响到数据的安全。三是黑客。入侵者通过网络入侵系统, 侵入形式很多, 系统漏洞, 管理不力等数据被窃取, 使数据的保密性破坏。四是病毒。部分病毒能够破坏系统中数据文件, 使文件无法打开或直接损坏, 病毒的更新能力强, 破坏力大, 尤其计算机网络环境下, 传播速度更快。五是信息窃取。计算机信息的拷贝、粘贴、删除甚至偷走计算机。六是自然灾害、电源故障、磁干扰等也会使数据遭受破坏。

2 数据安全策略

当数据遇到意外情况发生丢失时, 如何找回是首要考虑的问题。多数人第一时间想到了数据恢复, 这种思想导致日常生活中不注重备份。如果数据备份了, 当灾难发生时, 造成的损失也不会太大。

2.1 数据备份

在数据信息完好时, 采取各种途径把信息的备份存储起来的方法。一是数据存储区域网络备份。存储区域网络存储基础结构是信息所依赖的基础, 和今天的存储基础结构相比, 这种新的基础结构应该能够提供更好的网络可用性、数据访问性和系统管理性。其实质是采用高速光纤传输介质将磁盘与服务器有效的连接, 然后由数据管理者对计算机存储系统采取集中管理模块式, 并通过高速率的光纤进行数据传输, 还可以根据数据端要求采取远距离的访问方法, 以保证数据存储设备能够实现共享。二是冗余存储介质备份。将数据存储在多个存储介质中, 大大降低由于存储介质发生故障的数据丢失的概率。三是网络云存储。随着网络技术的发展, 云技术的发展, 软件厂商都推出了各自的云服务。笔者特别认同将数据备份到云中, 第一, 减少了购买存储介质的投入;第二, 提高了存取数据的灵活性, 只要能上网就可以方便的存取数据;第三, 提高了数据的高可靠性, 作为各个软件厂商在硬件方面的投入比我们自身的投入要大, 硬件的稳定性要高好几个级别, 所以提升了数据可靠性。

理论上数据备份的时间越短越好, 但实际应用中由于数据备份消耗资源、时间, 降低系统工作效率, 所以应根据数据类型制定好合理的备份时间及周期以及备份的方式。

2.2 数据恢复技术

当数据丢失而又未作好备份或备份丢失的情况下, 只能进行数据恢复。实现数据恢复技术主要靠软件技术、硬件技术及二者的结合。

软件技术主要有杀毒软件内嵌的恢复数据功能, 其恢复数据功能比较有限, 而且对于其它类型造成的数据丢失效果不理想。其次是专业的数据恢复软件, 其除了具有备份数据、存储数据功能外, 还采用了许多先进的理念, 如数据直接读取、分析处理数据、修补数据技术, 其数据灾难恢复能力较强。常用的恢复软件包括Scandisk, PC-3000亦是磁盘检测工具功能更强大;现在新兴的修复数据误删除、误格式化的数据的软件较多, 各有优势, 需要在大量的实践中找出适合自己应用技巧的软件。

用软件方法恢复速度较快, 但硬件方面造成的数据丢失一般无法恢复。数据恢复中的硬件恢复能在不破坏原有存储介质系统的条件下, 对多种存储介质、多种硬件平台、软件平台下的大多数原因造成的数据丢失进行数据恢复, 但费用不菲, 同时需要一些高精尖设备的支持。

数据的恢复操作一般应由具在资质的专业人员进行。当用户计算机系统、存储介质、软硬件发生意外, 导致重要数据无法显示或读取, 应立即切断电源, 停止使用, 保护磁盘, 保护数据恢复的现场。避免进行任何非专业的操作, 这样才能最大限度地保证为数据的恢复提供最大的可能。非专业的数据恢复尝试, 有些时候不但不能挽救数据, 而是对数据二次破坏甚至导致数据无法恢复。据统计在日常应用中大部分数据丢失与逻辑数据损坏有关, 所以需要使用者和维修专业人员对本部分知识有更加深入的学习。

数据恢复工作是在数据遭受损失, 采用常规方法无法再次获取数据文件时采取的补救性措施, 这就要求我们养成良好的数据备份的习惯, 多学习数据备份的方法及技巧, 特别要学会用云盘保存重要数据。当然, 也应研究新的加密技术使数据不被非法者所读取。

摘要:随着信息时代的发展, 数据越来越重要, 如何确保数据安全成为非常重要的议题。本文从日常应用讲解如何保护数据安全。首先, 作好备份工作, 这是最重要的, 也是人人能作好的, 但也是被大家忽视的。其次, 是数据恢复工作, 讲解数据恢复的注意事项及基本原理。

关键词:数据安全,数据恢复,数据保护

参考文献

[1]汪中夏.一个起死回生的产业[J].信息化建设, 2003 (4) .

[2]马林.数据重现, 文件系统原理精解与数据恢复最佳实践[M].北京:清华大学出版社, 2009.

数据安全保护技术 篇11

RAID已经成为现代存储系统的主流,但当存储系统的数量和驱动器的容量不断增加时,RAID出现问题的可能性将会不断上升。目前最主要的问题是用于企业数据存储的大容量磁盘驱动器的重建需要大量时间。虽然在2011年,很多专业人士预测RAID将会灭亡,但是现在RAID仍然是大多数存储系统保护的首选。那么2012年有什么不同吗?

什么是RAID?我们可以简单理解,RAID其实就是一种数据保护机制,允许硬盘在存储过程中发生故障,而且仍然能够完整存储据数据的方法。

但是问题是我们重建RAID驱动器的时间很少是以小时计算的,很多时候却是用天来衡量的,而且会随着磁盘的增加而时间不断延长。需要更长时间恢复故障磁盘和被取代磁盘是一件糟糕的事,这有三方面的原因。

1.这意味着危险期更换故障磁盘和恢复其中内容的一段时间变得越来越长。在这期间,可能会有更多故障导致数据丢失。而危险期的加长意味着数据可靠性降低。

2.恢复是一项繁重的工作。这期间,有用的磁盘访问减少,用户工作负载的磁盘性能降低。恢复期越长,用户“事倍功半”的时间就越长。

3.每个硬盘存储数据的容量不断增加,出现故障的几率也同时增加。随着硬盘容量增加,驱动器读取数据的误读率就会增加,这是一个不可修复的读错误的误码率(BER)。而硬盘容量暴涨,误码率的比例一直保持相对增加。一个2TB的驱动器需要更多时间读取整个驱动器,这使得在RAID重建期间发生错误的概率会比1TB驱动器遇到错误的几率大。

结果就是,RAID系统需要更长时间恢复到全面保护状态,发生其他故障的几率和数据丢失的可能性也有所增加。许多大型存储系统很可能处在不断的重建状态。

RAID保护的两种解决方案

显然,该行业面对这样尴尬的现实,而目前的解决方案也只有两个不算太好的办法。

1.使用RAID 5或RAID 6是最常见的“解决方案”。当同时重建出现时,存储供应商可以确保有足够的存储硬盘提供足够的系统性能。你一点也不会为看到一些供应商安排专项备用硬盘驱动器来协助重建而感到奇怪。

2.另一个RAID解决方案,就是所有的关键任务数据基于闪存的存储。虽然闪存也会像硬盘一样失效,但是其重建进程的速度会明显加快。重建RAID保护的闪存通常用时少于15分钟,但是其费用相对昂贵。

最终,我们可能全部加起来会有一堆镜像、复制策略。因为毕竟现在硬盘价格非常便宜,而且有一个存储系统,能够自动保护数据并且存在硬盘里可能是最简单和最实用的方法了。

希望将来,能看到一个能够像闪存一样快速并且向硬盘一样廉价的东西出现,RAID重建将耗时更少,空间利用率更大。

集群环境下数据库的数据安全保护 篇12

摘要:目前大部分的电力企业使用的数据库都是采用集群方式, 在构建数据库时, 一般都会将数据库构建在小型机上, 通过小机操作系统 (UNIX) 自带的集群软件系统创建数据库的集群, 这样在数据库的高可靠性上得到保障。作为电力信息化的核心——数据来说, 其安全保障是不仅仅具有可靠性就能保证的, 其离线备份也是安全保护的重点, 但是基于集群环境的存储备份与恢复和一般的非集群环境下有很多不同。分析数据库的集群原理和结构, 保护集群环境下数据库的数据文件, 论述数据库的集群环境下数据的备份和恢复等相关问题。

关键词:RAC,异机恢,裸设备

参考文献

[1]陈吉平.构建Oracle 高可用环境 [M].北京:电子工业出版社, 2008.

上一篇:医院党委下一篇:学习英语单词技巧