数据安全技术(精选12篇)
数据安全技术 篇1
摘要:伴随着互联网信息技术的发展以及大数据时代的到来, 当今社会的信息交流与传递具有高速便捷的特点。足不出门可知天下事已经成为可能。信息技术的高速发展对当今社会的经济政治和文化发展都有着很大的促进作用。但是, 与此同时, 互联网中也暗藏着种种不安全的因素, 数据存储安全也越来越受到人们的重视。
关键词:数据安全,数据备份,存储技术
一、数据安全
1.1逻辑上的安全。数据的不安全性主要原因包括病毒入侵, 黑客攻击, 人为篡改等等, 其中硬件和软件的故障是造成数据不安全性的主要原因。逻辑上的安全, 一般是指防止不法分子入侵或病毒破坏的措施。就比如说, 现在很多企业都是通过互联网来进行业务往来或通过互联网与其分支机构进行联系与管理, 一旦数据丢失, 造成的损失是巨大的。所以这些企业都很重视存储在服务器里的数据, 比如说, 公司内部文件, 公司账户, 或客户资料。而硬盘在数据存储中发挥着重大的作用, 正因为如此才成为黑客攻击的对象, 硬盘的价值是有价的, 但是存储在硬盘内的数据是无价的。
1.2物理上的安全。这就是对于电脑本身而言, 电脑受到人为因素的破坏或者不可抗力的灾害时, 若之前没有对电脑内部存储的数据进行数据备份, 那这些数据也会随着电脑的损坏而消失。
其实不管是逻辑上的安全还是物理上的安全受到威胁, 数据备份都是一个直接有效的措施, 这也就是俗话说的有备无患。
二、数据备份
数据备份是防止数据安全性受到挑战的有效措施, 一旦原有数据受到侵犯, 在对不法分子进行法律追踪的同时, 也能启动备用数据, 使服务器快速再次投入使用, 将受到的损害减少到最小的限度, 减少损失。
三、数据备份技术分类
数据备份从不同的角度可以分为不同的类型, 以备份模式的角度来看, 可以分为逻辑备份和物理备份。
3.1逻辑备份。逻辑备份也可以称为基于数据的备份, 前面我们提到过, 硬盘是有价的, 而硬盘内的数据是无价的, 逻辑备份就是针对数据进行备份。
每一个文件都是由不同的数据组成的额逻辑块组成的, 而每一个逻辑块都存储在有顺序的物理磁盘块上。备份软件不仅可以对磁盘块进行操作, 也可以对文件进行操作, 智能识别文件结构, 将所有的文件和数据拷贝到备份资源系统中去, 这样就可以按照文件的排列顺序读取文件, 并且录入备份媒介上, 这样极大地促使了单独文件的恢复速度。但是, 长期连续存储数据, 会让备份文件的速度减慢, 因此在进行无顺序文件的查找时需要消耗更多的时间。逻辑备份的缺点就在于, 因为其备份的原则是按照顺序连续备份, 如果只是其中一小部分的文件出现问题, 也要对整个文件进行备份。
3.2物理备份。物理备份也被称为“基于设备的备份”, 故名思义就是在电脑操作方面对文件进行备份。电脑系统在将数据拷贝到备份媒介上时, 会自动忽略文件的结构, 因为备份文件要求在实施过程中花费较少的时间和开销, 因此就需要以这种方式提高文件的性能。不过, 这种方法也有它的缺点, 因为物理备份与逻辑备份不同, 它并不是将文件连续的存储在备份媒介上, 这样的话文件恢复起来就会比较缓慢。在这种情况下, 要对数据进行备份的话, 就需要了解文件在磁块上的组织信息。物理备份的另外一个缺点就是可能会导致数据引入的不一致, 一般电脑在进行数据备份时, 会对要备份录入磁盘块的数据进行缓存, 而物理备份跨越磁盘块的特点会忽略缓存文件的数据, 造成数据的丢失。
即使两种备份方法或多或少地存在一些缺点, 但也不能否认其在数据备份中的重要性以及实用性, 对数据安全的保护作用。
四、结束语
数据备份的技术多种多样, 以上着重讨论了逻辑备份和物理备份技术, 人们在进行数据备份时, 也可以根据需要备份数据的不同, 选择合适的备份方式。但是, 不管如何, 数据安全与数据备份的目的都是为了保护重要信息不泄露, 保证数据的完整以及防止数据丢失。
参考文献
[1]章壮洪, 刘谦.组织的数据安全与容灾备份[J].会计之友 (中旬刊) , 2009 (02) .
[2]刘丽, 李海洋.浅析数据的存储备份及灾难恢复技术[J].中小企业管理与科技 (下旬刊) , 2009 (04) .
数据安全技术 篇2
昂楷科技接受深圳报业集团《追梦深圳》专访
引领数据安全技术潮流 完整构建中国信息安全
信息安全问题是互联网诞生之日起就与生俱来的,而随着IT产业在全球的迅猛发展,信息安全问题日益凸显。信息网络技术涉及国家安全、企业经营秘密以及个人隐私权的危险性也进一步显现出来,不久前发生的“棱镜门”事件,引发了全球网络空间安全问题的大讨论,这个被称作“棱镜”的监控项目被曝光后,引起国际舆论和民众纷纷谴责的同时,也为我国的网络和信息安全状况敲响了警钟。
据斯诺登供述的情况可知,谷歌、微软、苹果、雅虎,Facebook等美国IT公司均涉足到美国棱镜项目中,这些公司在美国政府的操纵中,涉嫌向美国国家安全局开放其服务器,使美国政府能轻而易举地监控全球上千万网民的邮件、即时通讯及存取的数据。在我们庆幸网络给我们的生活、工作带来快捷便利的同时,我们或许已经身在险境,从信息系统的生产者,到信息系统的运行维护者,再到服务的提供者,在整个长长的供应链中,谁都有机会接触到我们提交的数据(包括机密数据),每个环节都存在着重大的安全隐患。在信息产业的高速公路上,如果我们继续甘心于依赖别国,我们可能就会成为温水中被煮的青蛙,在毫无知觉中渐渐耗尽自己防御的能力。
国内政企盲目选择国外电子产品,国内网络和信息系统大量使用外国信息技术产品。据统计,思科的设备在我国网络中,尤其是在网络核心节点中占据很大的比重,微软的操作系统在PC领域垄断了市场,IBM的主机主宰了银行信息系统,甲骨文的数据库拥有很大的市场份额„„
中国的信息安全缺乏战略顶层设计,国家信息安全自主可控能力不足的背后,是中国信息安全顶层战略设计的缺失,政企相关人员缺乏居安思危的意识,从业者在实践中却常常急功近利,怎么赚钱怎么来。“棱镜门”事件告诉我们,如果只有投机而没有战略,就谈不上博弈。自身的安全就无从谈起。
目前我国具有自主知识产权的信息技术产品虽然大多已达到实用水平,但是在许多指标上和世界先进水平还是有相当大的差距,自主知识产权产品的技术质量水平还亟需提高。
作为中国改革开放与科技创兴前沿阵地的深圳,这里孕育了众多知名中国网络信息高科技公司。但是,就是有这样一家公司——昂楷科技有限公司,在这瞬
息万变的网络安全领域中,昂楷科技已经默默耕耘数载,他是厚积而薄发的典型代表。从昂楷诞生之日起,时至今日,他已成为信息安全产业中的一颗闪亮的新星。
千里之行始于激情坚定创业源于梦想
激情时代为这个社会的有志之士提供了广阔的舞台,2000年以后的中国是一个敢于大胆改革和创新激情横溢的生机勃发的年代,互联网在中国取得了火箭式的迅猛发展。2008年,中国网民已超过美国,位居世界第一。2009年,中国网民继续快速增加,已超过美国全国总人口。互联网已经在我国各行各业中发挥着巨大的作用,它给我们的生活工作带来便捷的同时也带来了网络完全隐患,瞄准了网络安全这项国内的朝阳产业,在华为安全核心技术部门工作了整整11年时间的刘永波被自己内心的创业激情所激励与牵引,果断放弃了在华为的优厚待遇与光明前景,选择了一条既充满机会也充满风险的自主创业的追梦之路。
他充满着创业的激情,充满着为中国信息安全做贡献的热情,虽然当时还有很多人不能理解他的选择,但是他义无反顾的走着自己的路。
他掌握着先进技术,了解国际市场,又熟悉中国国情,急切地想投入到中国互联网发展大潮中。改变中国在网络安全方面受制于国外公司的危险局面,努力的打造中国自己的安全产业链是刘永波一直以来的梦想与信念。
“中国的信息安全需要由中国的厂商自己来搞,不能假手与别人”这是刘永波最爱挂在嘴边的话,更是他人生最坚定的信念,他始终将自己的事业与国家的信息安全结合在一起,正是出于这份对国家,对社会的贡献信念,对自己创业的那份激情,很快就凝聚了业内很多顶尖的专家学者一起为其共同的梦想而不畏艰险,勇往直前的走着他们所坚持的创业之路,就这样,昂楷科技有限公司正式挂牌成立了。
我们都深知创业之初的那份艰难与痛苦,但是在昂楷人看来,此时他们乘风破浪的奋斗苦楚,为的是将来挂帆济海的收获喜悦。
宁静为力创新是魂
我们都知道宁静以致远。宁静是一种气质,一种智慧,一种态度,更是一种巨大无比的力量。
每个走进昂楷的人都会被他的宁静气质深深的所吸引与感染,宁静、淡薄、勤奋,智慧已经成为昂楷独特的风格。在信息安全领域默默耕耘的几年中,每一个昂楷人都知道自己肩上背负的责任重大,而且这种责任的重量随着中国信息产业的发展而不断增加。因此,他们每时每刻,始终如一的保持着谦虚谨慎,不骄不躁,不张扬,默默无闻的做着自己该做的事情,勤奋安静的钻研,孜孜不倦的探索的生活工作作风,他们用自己的行动诠释着:唯有不辞辛苦,才会有收获的希望;唯有厚积薄发,才会有创新的成功。
昂楷人的宁静是高远的,是坚韧的,是实在的,更是幸福收获的。
在这份宁静中,心怀无比巨大的勇气,以国家大业民族安危为己任,承载起发展中华民族安全产业的重任;在宁静中,昂楷风雨兼程,夜以继日,默默耕耘,终于从一粒破土而出的种子长成了一颗硕果累累的大树;在宁静中,昂楷深知自己背负的国家与社会之使命:提供具有国际竞争力的自主创新的安全产品和最佳实践服务,成为中国领先的数据安全解决方案专业研发商,提供最领先的数据安全解决方案,提供最专业的数据安全解决方案,提供最中国化的数据安全解决方案,完整构建中国人自己的信息安全世界。
温家宝总理曾经说过:“立足自主研发与技术创新,企业才有生命力;拥有自主知识产权和核心技术,企业才有竞争力。”多年来,自主创新一直是昂楷孜孜不变的追求,技术是根、人才是本、创新是魂,是昂楷的真实写照和生存发展之本。
昂楷清楚地明白只有自主创新才能在激烈的市场竞争中站稳脚跟,市场竞争的残酷性使昂楷人深深认识到,如果不能通过自主创新掌握相对领先的技术,企业的元气将随着他人的产品技术创新而丧失殆尽。这一道理在昂楷的成立之初已经成为公司无时无刻的警钟,敲打着每个昂楷人去探索,求创新。
无论是什么行业,都需要有自己独到的技术,更不用说昂楷涉足的高新尖的高技术产业,更是只有依靠自己的高技术,不断推出自己的高端产品与服务,才能树立自己的品牌,打破中国信息安全市场被国外安全巨头垄断的窘境,最终实现中国的网络安全有中国的企业来掌管的终极目标。
创新的源泉来于人才,人才才是创新的根本,所以昂楷公司在不断壮大自己的人才队伍,招纳着全国乃至世界业内资深专家凝聚在昂楷的旗帜下,为同一个
目标与梦想奉献着他们的智慧与汗水。
这里的每个人无疑都有着渊博的知识,崇高的品德,敏锐的视角,活跃的创新思维。目前,公司已经凝聚了一支约50人的资深网络信息安全与电信背景的专家团队,全身心投入于数据安全领域的技术研究和产品开发。
宁静之中,积聚力量,这无疑为未来昂楷科技攀得更高,走得更远提供这源源不断的精神思维动力。
昂楷科技始建之初,中国信息安全公司算是在起步阶段,处于不断地学习追赶外企的阶段,自主企业的技术不高、市场规模不大、国人的信息安全意识不强。昂楷科技的创业者们深知,中国的信息安全应该由中国人自己来做,只有坚持自主创新之路,国家信息基础设施的安全才能真正得到保障,于是,从那时起,自主创新的精神就在昂楷深深扎下了根,数年来一支引领着昂楷不断开拓进取。
昂楷科技自主研发的WEB应用漏洞扫描系统JSKY已经为业界广泛使用,已被国内外多家安全服务提供商所采用;相继推出具备行业特色的ANKKI AAS数据库多重审计系统及FES文档智能加密系统等系列产品,ANKKI-AAS审计数据通过网络完全独立地采集,这使得数据库维护或开发小组,安全审计小组的工作进行适当的分离。而且,审计工作不影响数据库的性能、稳定性或日常管理流程。审计结果独立存储于ANKKI-AAS自带的存储空间中,避免了数据库特权用户或恶意入侵数据库服务器用户,干扰审计信息的公正性,其综合性能与技术全国领先。昂楷 FES文件智能加密系统,是国内较早的可为企业核心电子数据资产提供全方位内容安全防护的信息安全防护系统。上述技术产品已在我国政府、金融、军工、医疗、教育、企业等各行各业的发展运行中发挥着巨大的作用,为国家的军事、经济与社会安全贡献这着自己的力量。
在这几年内昂楷先后获得了国际顶级Web应用安全组织OWASP理事单位;华中科技大学网络信息安全联合研发基地;华为战略合作伙伴等资质,有高新技术企业,双软企业,资质。
宁静永存昂楷,在宁静中,昂楷人不断体会着更广阔的世界,起步之时,心已飞越千山万壑,心比路远,智者无疆,德行天下。
创新永无止境。持续创新、追求卓越的精神,已经伴昂楷走过了数个春秋,未来,他仍将不断探索尝试,不断接受新的挑战,永远进取并超越自我。
跟市场动态随顾客随需
在如今的互联网行业,很多企业都在大谈特谈,“客户是上帝”、“一切为了客户”、“一切服务于客户”,但在经济利益的驱使下和这个鱼龙混杂的市场中,以客户为中心,仅仅停留在口头上是远远不够的,真正落实起来需要有很大的决心与执行力。
从上世纪七八十年代开始,我国信息安全产业先后经历了开始启蒙阶段、到九十年代的开始发展阶段,再到2000后的快速发展阶段以及走向正规阶段,从这段历史发展中我们不难得出以下的结论。
不管信息安全事业也好,产业和市场也好,其发展与整个国家信息化发展及国家相关政策关系极大。正像任何事物都有个发展过程一样,信息安全事业也有个发展过程,有其规律和特点。只有掌握其规律和特点才能取得主动。尤其重要的是要了解我国的特点,以我国的实际国情为基础来看问题。
目前,我国的网络安全问题越来越受到中央及各级政府领导的高度重视并采取了一系列重要措施而促使本土的网络信息安全企业有了长足的发展,取得可喜成果。随着世界网络信息战的发酵,相信信息安全问题会得到更多重视,未来中国对自主开发生产的信息安全产品的需求会持续高速增长,产业与市场会很快的扩大。
昂楷高层领导对当前安全市场形式、所面临问题以及昂楷的应对策略一一做了详细分析,漏洞的出现到大规模蠕虫出现的时间越来越短,对文件加解密,文件传输终端安全的需求,企业对数据库安全管控的需求日趋增长,规模会越来越大。安全问题加安全事件构成了当前信息安全市场的需求,昂楷紧随市场需求而动,在提供安全的软硬件的同时,更为顾客提供优质的安全服务。
公司始终坚信保护客户的核心资产——数据,是他们存在的唯一理由。昂楷与安全行业联盟及行业市场保持良好的合作关系,始终站在行业的前沿。为客户提供安全产品全过程咨询服务,包括业务需求确定、安全产品需求确定、安全产品选型、安全产品部署规划、安全产品运维机制建立等内容。帮助客户花费合理的资源,获得合适的安全产品,并且确保安全产品能真正起到效果,最终满足业务的安全需求。
昂楷科技用数年的时间向众多企业用户证明了自主创新品牌网络安全系统的真正价值,从自主研发的数据库多重审计系统AAS,文件智能加密系统FES,网页防篡改系统WDS,医院防统方系统,这些产品能够随时跟进用户变化发展的动态服务需求,深入挖掘企业未来安全管理系统需求,满足企业用户不同时期的需求和提供持续的服务关注,这一做法使得昂楷科技赢得了地方政府、教育机构、金融机构、医疗机构、贸易机构等众多政企用户的高度认可。
昂科科技依靠不断的自主创新,随顾客所需不断推出新产品,新技术,为顾客提供全方位,全时辰,全过程的安全服务。2010年,昂楷科技公司获得开源WEB应用安全项目峰会授予的“电子制造行业最佳安全运用服务奖”,2010年取得了深圳市软件行业协会会员单位资格。
精确分析市场,时刻把满足顾客需求放在创新工作的第一位,全心,全程,全时的为顾客服务,这无疑是昂楷科技今日取得成功,更是未来昂楷要成为网络安全帝国需要执行的基本之策。
仔细品味昂楷科技,你会觉得他是一位与世无争的谦谦君子,有着宁静谨慎的气质与品格。他更是一位学者,一位智者,一位敢于挑战,勇于创新的历史担当者,作为中国信息安全产业的新星与技术领跑者,他默默无闻的工作着,奋斗着,奉献着。昂楷科技“保护客户的核心资产——数据,是我们存在的唯一理由;完整构建中国的信息安全是我们的光荣使命”的坚定信念已经与公司的发展融于一体,他承载起发展中华民族安全产业的重任,他始终愿意挺立在信息安全产业的潮头浪尖。
他有一个无比强大与和谐的团队,共同的理想和信念将这群志同道合的人凝聚在昂楷的旗帜下,共同造就了今天昂楷科技的成功,他们更是居安思危,每时每刻都在为昂楷明日的更加辉煌而殚尽竭虑,努力拼搏奋斗着。
我们坚信昂楷科技一定会在以后的发展中取得更大的成就,最终实现他对国家,对人民的庄严承诺,完整构建出属于自己的中国信息安全世界。
数据安全技术 篇3
关键词:计算机;数据加密;加密技术
中图分类号:TP3文献标识码:A文章编号:1007-3973(2010)010-053-02
计算机网络技术和通讯技术的逐渐普及,促进了海量的敏感信息和个人隐私在计算机网络中进行传输与交换,于是如何确保网络传播中的数据安全就能成为人们重点关注的问题。在此背景之下,基于计算机安全技术的数据加密技术就应运而生,并逐渐发展成为网络数据信息安全中的一个重要的研究课题。
1、数据加密技术概述
1.1加密的由来
加密作为保障数据和信息安全的一种方式已经具有相当长久的历史,大约在公元前2000年以前,加密概念的雏形就已经诞生,并广泛应用于社会各个领域的数据和信息保护。后来随着社会发展的进步,加密技术主要在军事领域得以推广,主要用于军事信息的保护,如德国人在二战期间就发明了编码机器GermanEnigma,该机器对德国军事机密的保护起到了至关重要的作用。在此之后,计算机的研究的重点就是为了破解德国人的密码,只是随着计算机运算能力的增强,破解过去的密码已经变得十分简单,于是人们开始研究新的数据加密方式,这样加密技术就不断发展和形成了。
1.2加密的概念
所谓加密就是对原来为公开的文件、数据或信息按某种算法进行处理以后,使其成为一段正常情况下不可读的代码,即我们所谓的“密文”,对密文的阅读只有在输入事先设定好的密钥之后才能进行,否则显示的只是一连串错误的代码,通过这样的途径就可以实现对数据和信息的保护。数据加密过程的逆过程称为数据解密过程,该过程主要是将加密过程编写的编码信息转化为其原来的数据信息,以便进行正常阅读或修改。
1.3加密的理由
世界经济的一体化发展以及网络技术的普及为数据信息的在线传输创造了条件。网络世界是一个开放的世界,如何在开放的网络系统中确保数据信息的安全就成为网络信息传播参与者必须面对和解决的问题。于是当今网络社会选择数据加密来确保传输文件的安全就成为必然选择。从另一个角度来看,网络世界的参与者既要享受网络带来的便捷,又要避免因网络传输中数据信息的泄密而造成的损失,只好选择数据加密和基于加密技术的数字签名。可以说,数据信息的加密在网络上的作用就是防止有用或私有化的信息在网络上被篡改、拦截甚至窃取。
2、数据加密技术
尽管数据加密的方式比较多,但就其原理来看,主要分为对称式密钥加密技术和非对称式密钥加密技术两种。
2.1对称式密钥加密技术
所谓对称式密钥加密技术,就是数据信息收发采用同一个密钥进行加密和解密,这种密钥通称为“Session Key”。显而易见,基于这种对称式密钥加密技术的密钥本身必须是保密的,否则无法起到保密的作用。另外,由于这种加密技术采用同一个密钥进行加密和解密,因此大大提高了加密过程与解密过程的效率。这种对称密钥加密技术的主要代表就是美国政府所使用的DES加密技术和AES加密技术。
DES加密技术由IBM研发,是Data Encryption Standard的缩写,又称数据加密标准,是一种比较典型的“对称式”数据加密技术。DES加密工作原理为:其采用的是一种分组对称加解密算法,即用64位密钥来加密或解密64位数据。DES加密或解密的过程大致可分为两步:第一步就是通过一定的算法对密钥实施变换,从而可以获得56位密钥,在此基础上再对密钥实施转换操作,便可获得48位密钥,这48位密钥又分为16组子密钥:第二步是用上面得到的16组子密钥对64位明(密)文进行加密或解密。尽管DES加密技术对数据和信息的保护取得了一定的效果,但DES加密后的数据并非绝对安全,目前通过密钥穷举攻击的方式就可以轻而易举地破解。因此,随着DES被破解的机率逐步增大,使得人们开始认识到基于密钥长度为56位的DES数据加密技术已经无法满足当今分布式开放网络对数据加密安全性的要求,必须增加密钥的长度才能进一步确保数据信息的安全。
AES是Advanced Encryption Standard的缩写,是由比利时人Joan Daeman和Vincent Rijmen联合开发的另一种“对称式”数据加密技术。与DES技术相比,AES设计有三个密钥长度,分别为128,192和256位,这使得其具有更高的安全性,并且其性能和灵活性也更加优越。可以肯定的是,在未来几十年里AES加密技术将逐步取代DES加密技术的位置,成为使用最为广泛的数据加密技术之一。
2.2非对称密钥加密技术
1976年,为解决信息公开传送和密钥管理中存在的问题,美国学者Dime和Henman提出一种允许数据信息可以在不安全的媒体上交换的非对称密钥交换协议,该协议能够安全地达成一致,这就是我们所谓的“公开密钥系统”。该技术的突出特点就是加密与解密使用密钥不同,因此这种算法叫做非对称加密算法。
不对称密钥加密技术的基本原理是:加密者必须在解密者提供的公钥的基础上才能对数据实施加密,换句话说,加密者在实施加密之前须必须事先知道解密者的公钥:而解密者只需利用自己的私钥就可以对加密者加密后的密文实施解密。因此,不对称加密算法必须拥有两个不同的密钥,即“公钥”和“私钥”,目前应用最为广泛的不对称加密算法就是RSA算法。RSA算法采用的密钥很长,这样增加了其安全性,但同时也增加了加密工作的计算量,限制了加密速度,其应用范围也具有一定的局限性。
因此,实际工作中为减少加密工作的计算量,提高加密工作的效率,常采用传统加密方法与公开密钥加密方法相结合的方式对数据实施加密,即采用改进的DES对称密钥加密,而对话密钥和信息摘要则使用RSA密钥加密。这种将DES技术与RSA技术融合使用的加密方式正好让二者实现优缺点互补,即DES加密速度快,可用于对较长报文的明文加密;RSA加密速度慢,安全性好,应用于DES密钥的加密,可解决DES密钥分配的问题。
3、密钥的管理
明文加密后要做好密钥的管理工作,否则加密工作只是徒劳无功。对密钥的管理要注意以下几个方面:
3.1密钥的使用要注意时效和次数
出于习惯,很多用户往往选择同样密钥多次与别人交换信息,这样尽管用户的私钥是不对外公开的,但很难保证私钥长期保密而不被泄露。因为密钥使用的次数越多,密钥曝光的概率就越大,这样提供给窃听者的机会也就越多。因此,仅将一个对话密钥用于一条信息中或一次对话中,或者建立一种按时更换密钥的机制就可以减小密钥暴露的可能性,从而会提高加密数据信息的安全。
3.2多密钥的管理
为了解决机构内部多人公用密钥的安全性问题以及管理问题,Ketheros提供了一种解决这个问题的好方案,即他建立了一个安全的、可信任的密钥分发中心KDC(KeyDistri-butionCenter),该中心可以在Intemet上为中心用户提供一个相对实用的解决方案。通过这个中心,中心内的每个用户只要知道一个和KDC进行会话的密钥就可以了,而不需要知道成百上千个不同的密钥。也就是说,中心成员之间的会话回通过KDC生成标签和随机会话密码进行加密。并且这种密钥只有相互通信的两个人知道。
4、结束语
随着黑客技术的发展,单纯的加密技术已经不能很好地解决所有的网络安全问题,密码技术只有与信息安全技术、访问控制技术、网络监控技术等相结合,才能形成综合的信息网络安全保障。换句话说,解决信息网络安全问题仅依靠加密技术是难以实现的,要结合管理、法制、政策、教育、技术等手段,方能化解网络信息风险。
参考文献:
[1]周黎明,计算机网络的加密技术[J],科技信息,2007(22)
[2]BruceSehneier,应用密码学[M],北京:机械工业出版社,2000
[3]冯登国,密码分析学,北京:清华大学出版社,2000
数据安全技术 篇4
会计电子数据是指将许多复杂多变的会计信息转变为可度量的数字、数据, 再为这些数据建立适当的数字化模型, 将其转变为一系列二进制代码, 引入计算机内部, 通过计算机的处理, 产生为用户所需的各种信息, 并可以通过互联网络, 将数据传送到全球各地。会计电子数据根据不同的用途可分为电子原始数据、电子账表数据。原始数据经过会计人员的确认, 按照指令计算机开始进行账务处理, 生成报表, 产生会计电子账表数据。因此电子原始数据是最关键的数据, 它的正确与否关系到账表数据的正确性。
二、会计电子数据安全面临的威胁
(一) 管理上的威胁
一是企业信息安全组织不完善。企业信息安全组织负责管理系统的规划、制定、部署和维护, 领导和推动企业的信息建设。信息安全组织的不完善, 导致在安全保障的过程中缺乏统一的领导, 不能有效地协调各方面的资源, 不能对会计信息系统进行有效地监督和维护, 这些漏洞都会对会计信息的安全造成危害。二是来自人员的威胁。由于电脑无法具备人类所具有的判断和处理能力, 在信息处理中, 一旦输入数据错误, 尽管程序运行无误, 但输出的结果是错误的。在网络环境下, 由于数据的集中化和处理的高速性, 使得错误一旦发生, 就会在短时间内迅速蔓延, 使得账簿、报表以及凭此数据所进行的分析报告失真。如果操作人员通过对程序作非法改动, 将导致会计数据的不真实、不可靠、不准确, 以此达到某种非法目的。三是政策、措施的威胁。会计人员日常工作政策的缺失, 将会导致对会计信息系统的使用和维护行为时缺乏合理的指导和控制, 易导致信息处理设备的滥用、误用等事件的发生, 对数据信息的安全造成危害。
(二) 技术上的威胁
一是物理上面临的威胁。物理安全指的是会计数据在产生、存储、处理、传输和使用各个环节中所涉及到的物理设备及这些设备所在的环境的安全。温度、湿度、电磁等环境因素, 水灾、火灾、地震等自然因素, 偷盗、损毁等人员行为因素都会威胁到物理安全。二是系统面临的威胁。会计存储、处理和传输设备中所使用的操作系统, 由于技术的限制, 存在各种各样的漏洞, 易被病毒、木马侵袭和受到黑客的攻击。由于病毒的隐蔽性强、传播范围广、破坏力大等特点, 对远程网络会计信息传输的安全构成了极大的威胁。三是应用过程中面临的威胁。传统会计中, 会计信息的真实完整和经济责任的明确是通过白纸黑字的会计记录、相关会计记录中的签字盖章、审计制度及内部控制制度来确保的。而在网络环境下, 在网络传输和保存中对电子数据的修改、非法拦截、获取、篡改、转移、伪造、删除、隐匿等可以不留任何痕迹, 从而加剧了会计信息失真的风险。
三、会计电子数据的安全对策
(一) 本地会计电子数据的安全对策
一方面是单个文件数据的安全加密。单个文件的数据包装是基于软件本身所提供的数据加密形式, 这种数据加密形式是一种基本的, 也是一种简单的数据加密技术, 所采用的加密手段仅限于软件提供的数据防护功能, 只要文档编辑者在文档中设置数据访问的密码, 其他无权限的 (不知其密码) 无法打开此文档。这种加密技术在安全应用程度上最低, 只要有一定基础的操作者, 按照相关的技巧类文章操作, 完全能破解其加密。另一方面是整个硬盘逻辑分区的数据加密。在网络和通信技术推动下, 会计电子数据的安全与加密得到了快速的发展, 采用对硬盘逻辑分区的加密形式, 比较有效地解决了大容量信息的相对安全。这种方式的加密对象是指定的逻辑分区, 只有当访问者输入了有效的密码后, 才能访问该逻辑分区, 否则访问过程将会拒绝。同单个文件的加密相比, 在安全强度上相当, 只是将数据加密的范围扩大到了整个逻辑区, 都是属于基于操作系统的软加密, 数据的加密平台位于操作系统之上。
(二) 网络会计电子数据的安全对策
存储加密技术。存储加密技术的目的是防止在存储环节上的数据失密, 可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码加密、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制, 防止非法用户存取数据或合法用户越权存取数据。传输加密技术。目的是对传输中的数据流进行加密, 常用的方法有线路加密和端至端加密包装两种。前者侧重在线路上而不考虑信源与信宿, 通过对各线路采用不同的加密密钥保密信息提供安全保护。后者则指信息由发送者端自动加密, 并进入TCP/IP数据包, 然后作为不可阅读和不可识别的数据穿过互联网, 这些信息一旦到达目的地, 将被自动重组、解密, 成为可读数据。密钥管理加密技术和确认加密技术。为了数据使用的方便, 数据加密在许多场合集中表现为密钥的应用, 因此密钥保密与窃密的主要对象。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。数字签名。为验证对方身份, 保证数据的安全性, 通常采用数字签名这一安全手段。数字签名是由于公开密钥和私有密钥之间存在的数学关系, 使用其中一个密钥加密的数据只能用另一个密钥解开。发送者用自己的私有密钥加密数据传给接收者, 接收者用发送者的公钥解开数据后, 就可确定消息来源, 从而有效地防护数据不被盗用。
会计电子数据的安全保密是多方面的、动态的且不完全的, 各个企业可根据自己的具体情况, 按“适度安全”原则, 提出安全目标, 系统化地解决会计电子数据安全保密问题。
参考文献
[1]骆正云:《会计电算化数据安全问题及对策》, 《中国管理信息化》2006年第9期。
[2]郑庆良、杨莹:《网络会计信息系统安全风险及其防范》, 《财会通讯》 (综合版) 2006年第12期。
数据安全技术 篇5
【摘要】在时代的不断发展中,对于教学,人们逐渐提出了新的需求,将课堂内容融入生活是新课程标准提出的新要求,需要进行一定的关注。利用当地资源展开教学,可以更好地实现课堂效果。文章对教学中的方法以及策略展开讨论,使大家对该项教育模式的认识进一步增强。
【关键词】地理资源;初中;地理;教学
在进行地理教学过程中,与当地地理资源有效结合是新课标提出的要求,可以使学生的认识更加直观具体,从而更好地实现课堂教学,真正意义上实现了“以人文本”的新课标理念。
一、教学方法
1.角色扮演法
角色扮演是使学生以一个全新的角度进行思考,换一个身份对问题展开思索可以更加全面地考虑,在进行教学的过程中,学生需要采用多种途径进行信息的收集,包括阅读文献资料、实地勘察以及社会访问等。在对收集到的信息进行分析之后,就某一项环境问题进行角色扮演,分析出不同的机构在进行问题处理时的责任与意义[1]。例如,在进行“世界的人口”一课的学习时,首先采用多种途径进行信息采集,搜集世界人口的分布状况以及因为人口的过快或过慢增长造成的各项问题,然后从不同的角度分析这些问题。对“人口过快增长”这一问题进行分析,一组学生扮演环境保护协会的成员进行分析,一组学生扮演国家福利机构进行分析。两组学生分别从不同的角度进行探索,认识到该问题对不同方面造成的影响,从而提出针对性的解决策略,也使学生对课堂有了更多的兴趣,实现了新课标的要求。
2.多媒体展开教学
在进行地理教学过程中,存在着很多的景观是学生在生活中难以接触到的,对其认识也具有一定的局限性,通过多媒体手段展开教学,可以使学生的认识更加直观。利用多媒体展开教学可以使教学容量增大,将课堂内容现实化、简单化,使学生更加真实的感受课堂所学内容,使其接收信息更加全面,尤其是面对一些自然灾害的讲解时,采用多媒体教学,可以使学生更加直观地认识到环境问题带来的恶劣影响,使课堂达到预期的目标。例如,在进行“中国的河流”的讲解时,讲述黄河部分时,首先可以利用多媒体设备使学生见识到黄河的气势恢宏,在讲述到“地上河”的问题时,可以利用多媒体设备让学生们对当地的土层进行观察,认识到该问题的产生原因,然后利用多媒体演示在我国历史上由于该分体产生的危害,使学生对其危害的认识进一步增强,最后多该项问题的治理进行一定的分析[2]。
3.辩论教学
辩论教学法是根据某一项问题,让学生阐述自己的认识,分析自己的观点对他人见解进行反驳,其目的是使学生对问题的认识深入,从而提出具有可行性的对策,在现代教学中,新课标提出了“以人为本”的教学理念,通过该方法展开教学,可以更好地使学生作为课堂主体,在进行学习时,也可以使学生掌握更多的主动权。例如,在进行“世界的人口”一课的学习时,教学可以就“人口增长过快及过慢哪一个危害更大?”这一问题让学生展开辩论,勇于阐述自己的见解,使学生的信息处理能力、思维逻辑能力等方面都得到培养,同时也使其对人口问题的认识进一步增强。
二、课堂策略
1.理论联系实际
教师在进行教学时,需要进行“乡土地理”的教学模式,从学生身边的真实案例入手,进行课堂的开展。利用该方法,可以使学生在进行学习的过程中,对课堂内容更好地把握,使课堂难度得到了一定程度的降低,同时还可以使学生发散思维得到培养,利用身边的案例就可以映射出世界地理的大体局势,基于此,在进行地理教学时,对当地的地理资源进行利用,实现地理教学的渗入是一项具有推广意义的教学模式[3]。真正意义上实现了将地理学习融入生活的教学目标,使学生认识到进行地理学习的意义,从而更好地进行学习。例如,在进行地形的学习时,可以首先带学生去当地的不同地形进行实地考察,对不同的环境条件下地形的情况进行具体的分析,从而映射出我国不同的地势条件下不同的`地形环境,最好结合教材对映射出的关系进行验证,如果验证不一致,需要再次展开分析,对其不同进行深层次的挖掘,分析出其原因。通过该方法,可以使学生对课堂内容认识更加深刻。
2.把握渗透层次
在进行渗透的过程中,对于渗透的层次需要进行一定的把握,如在教学过程中,进行一些概念类的内容时,需要与教材相结合,进行深入的讲解;在进行一些与环境保护密切相关的内容时,需要进行一定的扩展与补充;在面对一些与环境保护没有直接关系,但是却存在必然联系的问题时,需要与现实环境相结合,对两者联系进行深层次的分析,使学生对环境的认识进一步加强[4]。新课程标准中,地理教学更加注重与环境的结合,强调了教学需要面向生活,同时也强调了从学生的生活中实现新内容的引入,对学生解决问题的能力也提出了一定的要求。在进行教学过程中,对当地的地理资源进行渗透,可以使课堂效率得到提高,促进了我国教育事业的有效发展,具有一定的发展意义。
【参考文献】
[1]王东.利用地方旅游资源渗透初中地理教学[J].中学教学参考,(19):124-124.
[2]彭联友.在初中地理教学中渗透环境教育[J].课程教材教学研究:中教研究,2016(Z2):49-50.
[3]李纯燕.初中地理课堂如何渗透环境教育[J].考试周刊,2016(61):139-139.
数据安全技术 篇6
关键词:电力;营销系统;安全;DB2数据库;身份验证;权限
中图分类号:TP311文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
The Analysis of Power Marketing System Data Information Security Technology
Shen Hao
(Jiangsu Gaoyou Power Supply Company,Gaoyou225600,China)
Abstract:Strong safety awareness and strong technical condition is the key to security,DB2 database provides access to user authentication,user authorization is verified and the level of privilege control,to protect the security of DB2 database information to create a technically strong conditions,
which has a profound administrator should understand and master.And from safety awareness,safety management and security technologies,multi-system operators to consider in order to ensure that the power marketing information system security gateway to protect data,information and interests foolproof.
Keywords:Power;Marketing system;Security;DB2 database;Authentication;
Permissions
DB2数据库以其优良的结构和性能,被广泛应用在银行、电力、电信、保险等行业,作为系统管理人员,除了熟练掌握其使用和性能调优的方法、流程等技能外,必须在保证系统信息安全上给予足够重视,进行不断的研究和探索。在此,仅就DB2数据库管理与使用过程的几个与安全相关的问题进行初步探讨。
一、安全意识与安全技术
安全问题的出现往往是因安全意识的淡薄造成的。现在,是网络信息时代,从某种意义讲,也可以说成是“账户”的时代,或者“密码”的时代。这是电子化时代的一个明显的特征,登录网络、网上银行、登录网站、防火墙升级等等,都需要输入一个账号来完成,这是软件系统对用户实施安全保护重要措施。电力营销信息管理系统后台DB2数据中,存有成千上万的海量信息,保障信息安全是管理员的重要职责。
DB2数据库为管理员提供了适当的授权和限制访问,此外,还提供了防止未授权用户存取机密数据的方法。用以保护数据库的安全,防止任何人在企业无需知道的情况下对机密数据进行未授权存取,防止未授权用户恶意删除进行破坏或擅自改变数据。
二、DB2数据库安全控制之一——验证
DB2数据库身份验证是用户尝试访问DB2数据库和实例时第一个安全设置,是保证DB2数据库安全的第一重门户。DB2身份验证与底层操作系统紧密协作来验证当前用户的身份,即:其输入的ID和密码。当然,DB2数据库还可以利用Kerberos这样的安全协议对用户进行身份验证。
因为验证可以由操作系统或第三方产品处理,所以DB2提供您可以在数据库管理器配置(dbm cfg)文件中使用AUTHENTICATION参数设置的不同验证选项。DB2使用这一参数确定验证应该以何种方式、在何处发生。
(一)服务器验证
SERVER(服务器)验证。这是DB2缺省安全性机制,指明验证应该使用服务器的操作系统,如果用户标识和密码是在连接期间指定的,那么DB2将调用操作系统函数来验证提交的用户标识和密码。(即由用户名和密码组成的用户账户)
(二)Client(客户机)验证
该组仅有的选项CLIENT指明验证将在客户机上发生。如果客户机驻留在原本就具有安全特性的操作系统(例如,AIX、LINUX、WINDOWS2000等)上,那么它就是可信任客户机。通常,除Microsoft Windows 95和98被认为不可信任之外,所有客户机都是可信任的。如果服务器接收到来自可信任客户机的验证请求,那么TRUST_ALLCLNTS和TRUST_CLNTAUTH选项允许可信任客户机使用客户机验证(client authentication)获得访问权。而不可信任客户机则必须提供密码才能成功验证。
(三)DCE验证选项
一些管理员愿意实现DCE安全性服务,原因是DCE提供用户和密码集中式管理,不传送明文密码和用户标识,并且向用户提供单次登录。DB2使用第三方DCE产品来提供对DCE安全性服务的集成支持。您可以选择以下两种设置之一:
DCE指明使用DCE安全性服务来验证用户。已经登录到DCE的DB2客户机可以得到一张加密的“票证”,它可以用这张票证向DB2服务器证明自己的身份。
DCE_SERVER_ENCRYPT指明服务器将把DCE票证或用户标识以及加密的密码当作验证证据接受,由DB2客户机选择。
(四)Kerberos验证选项
Kerberos这一新的验证机制被作为它与Microsoft Windows 2000紧密集成的一部分添加到DB2 UDB v.7.1中,单次登录工具就可以完成DB2验证。一旦通过验证,用户就不会受到存在于Kerberos环境中的任何服务器的再次质疑。
三、DB2数据库安全控制之二——授权
一旦身份验证获得成功,就冲破了DB2数据库的第一道安全防线,没关系,DB2数据库提供了第二道防线:授权控制。
授权决定用户或用户组可以执行的操作以及他们可以访问的数据对象,被分为两个不同类别:权限和特权。
(一)权限
用户执行高级数据库和实例管理操作的能力由指派给他们的权限所决定。权限提供一种把特权分组的方法,并对数据库管理器和实用程序进行更高级的维护和操作加以控制。数据库相关权限存储在数据库目录中,系统权限关系到组成员关系,对给定的实例,它存储在数据库管理器配置文件中。DB2有如下四个预定义的权限级别:SYSADM、SYSCTRL、SYSMAINT和DBADM。
SYSADM、SYSCTRL和SYSMAINT在实例级别上操作,范围是整个服务器。每個级别都有自己的按组分的特权和访问规则,这些权限都是在每个实例的数据库管理器配置文件中被定义的。
DBADM授权级别链接到服务器实例中的特定数据库,并自动把这一权限级别授予创建数据库的用户。DBADM对数据库及其内的所有对象都拥有所有可能的按组分的特权。
DB2使用不止一个纵向授权流。对于每个用户请求,依据涉及到的对象和操作,可能会需要多次授权检查。授权是使用DB2工具执行的。DB2系统目录中记录了与每个授权名有关联的特权。对通过验证的用户的授权名以及该用户所属的组与记录在案的属于他们的特权进行比较。根据比较结果,DB2决定是否允许请求的访问。
(二)特权
特权在授权级别的粒度上要比权限细,它可以分配给用户或用户组,特权定义用户可以创建或删除的对象。它们还定义用户可以用来访问对象(比如表、视图、索引和包)的命令。在DB2数据库存9版本中还新增了一个概念,是基于标签的访问控制(LBAC),它允许以更细的粒度控制谁有权访问单独的行或列。
特权(privilege)定义对授权名的单一许可,使用户能够修改或访问数据库资源。特权存储于数据库目录中。虽然权限组预定义了一组可以隐性授予组成员的特权,但是特权是单独的许可。DB2可以利用由操作系统安全功能维护的用户组。组允许数据库管理员给组指派特权。对所有种类的操作和对象的访问都由特权控制。特定用户标识、所有用户自动归属的特定组(PUBLIC)或多个组都可以被授予(或被撤消)每种特权。您必须先拥有做某事的特权,DB2才会允许您做这件事。
四、结束语
基于DB2数据库的电力营销信息管理系统中,存放着千家万户的客户信息及电力企业其它机密、重要数据,强烈的安全意识和严密的企业管理机制,与DB2数据库强大的技术安全保护特性相结合,才能把一切数据置于掌控之中,从而保障数据、信息、机密及利益的万无一失。
参考文献:
[1]牛新庄.DB2数据库性能调整与优化
[2]学网.DB2通用数据库自学教程.DB2数据库安全技术
数据库安全隐患与安全防护技术 篇7
随着网络技术的不断发展, 网络安全问题越来越显得重要。数据库的安全之所以重要其主要原因如下:1) 在数据库中存放着大量的数据, 它们在重要程度及保密级别上有着不同的要求, 这些数据中有的是由许多用户所共享, 而各用户又有各种不同的职责和权限。因此, 必须根据要求来对不同的用户加以限制, 使人们得到的不是整个数据库的数据, 而只是一些他们所必需的或与他们的权利相适应的数据。不允许用户访问非授权的数据, 并严格控制用户修改数据库中的数据, 以免因一个用户在未经许可的情况下修改了数据, 而对其他用户和系统造成不良影响。2) 由于在通常的情况下, 数据库中数据的冗余度很小, 数据库一旦被更改, 原来存储的数值就被破坏了, 而且在一般的情况下, 几乎没有同等的数据来帮助恢复原来的值。因此, 从安全的角度来看, 必须有一套数据库恢复技术, 保证在系统或程序出现故障后, 能帮助恢复数据库, 并考虑对推理攻击的防范。3) 对于一些特殊的机构来说, 例如银行和电信企业, 由于数据库通常是联机工作的, 可以支持多用户同时进行存取, 因此必须采取措施防止由此引起的破坏数据库完整性的问题和面临的安全威胁。4) 数据库涉及其他应用软件, 因而数据库的安全还涉及到应用软件的安全与数据的安全。要想做好数据库的安全防护工作, 最重要的是首先要了解数据库安全的隐患, 然后针对这些安全因素, 采用一些必要的安全技术。
1 数据库安全隐患与安全因素
由于计算机软、硬件故障、口令泄密、黑客攻击等等因素, 都可导致数据库系统不能正常运转, 造成大量数据信息丢失, 数据被恶意篡改, 甚至使数据库系统崩溃。
按照影响数据库安全因素的来源进行分类, 破坏数据库安全运行的主要因素有以下四个方面:l) 系统故障。2) 并发引起的数据不一致。3) 数据操作过程中输入或更新数据库的数据有误, 更新事务未遵守保持数据库一致性的原则。4) 人为破坏 (如数据被人恶意篡改或破坏) 。随着计算机技术和数据库技术的发展, 针对不同的破坏因素, 人们采用了不同的措施加以防范, 以此保护数据库安全、有效的运行。针对上面列出的第一类破坏因素, 目前的主要措施是备份技术和系统恢复技术。对于第二类破坏因素, 目前可以采用的是并发访问控制方法, 避免系统出现数据库混乱和不一致的错误。对于第三类问题的主要解决措施是通过程序设计来解决, 即通过各种检验程序的运行状态是否满足规定的逻辑条件, 是通过管理系统来实现的。对于第四类情况, 目前可以通过访问控制、数据加密、审计追踪以及网络方面的防火墙等措施加以保护。
因此, 进一步细分影响数据库安全的因素还有以下几方面内容:l) 数据输入或处理中的错误, 如准备输入的数据在输入前已被修改, 有的机密数据在输入到计算机之前己被公开, 在数据处理操作中的误操作等, 均会使数据出错。2) 硬件I/O故障造成存储的信息丢失或破坏。3) 软件保护功能失效造成信息泄漏, 如操作系统设计上的缺陷, 缺少存取控制机制或破坏了存取控制机制, 造成信息泄漏。4) 未授权用户的非法存取、篡改数据。如数据库管理人员对数据的使用权限不进行严格的管理, 对哪些人有数据访问权、哪些人有数据修改更新权, 心中无数, 缺乏严格的检查控制措施;对用户在计算机上的活动没有进行监督检查, 致使未授权用户非法存取, 合法用户对数据进行篡改。5) 授权者制定不正确、不安全的防护策略。6) 操作者复制和泄露机密、敏感数据资料。7) 系统设计者回避安全功能, 安装不安全的系统。8) 应用程序员设计、安装了“特洛伊木马”软件。9) 终端放置在不安全的环境而被窃听。10) 伪终端使用者隐瞒自己身份, 进行不正确的输入。11) 病毒侵入系统, 破坏或修改了数据库软件。数据库面对着各方面的严重威胁, 要保证其安全、可靠, 必须采用一定的安全策略和安全技术措施, 才能保证数据库中的信息不泄漏、不破坏、不被删除或修改。下面对目前一些常用的数据库安全技术进行分析。
2 审计跟踪与攻击检测
审计功能是数据库管理系统安全性重要的一部分。通过审计功能, 凡是与数据库安全性相关的操作均可被记录在审计日志中。只要检测审计记录, 系统安全员便可掌握数据库被使用状况。例如, 检查库中实体的存取模式, 监测指定用户的行为。审计系统可以跟踪用户的全部操作, 这也使审计系统具有一种威慑力, 提醒用户安全使用数据库。
基于审计信息的攻击检测工作, 以及自动分析工具根据审计数据分析检测内部和外部攻击者的攻击企图, 再现导致系统现状事件, 以分析发现系统安全的弱点, 追查有关责任者。可以向系统安全管理员报告此前一天计算机系统活动的评估报告。对攻击的实时检测系统的工作原理是基于对用户历史行为的建模。审计系统实时地检测用户对系统的使用情况, 根据系统内部保持的用户行为的概率统计模型进行监测, 当发现有可疑的用户行为发生时, 保持跟踪并监测, 记录该用户的行为。
3 隐通道分析
尽管自主和强制访问控制限制了系统中的信息只能由低安全级主体向高安全级主体流动, 低安全级主体仍然可以通过其他方式向高安全级主体发送信息, 隐通道就是其中的一种。隐通道是系统的一个用户以违反系统安全策略的方式传送信息给另一用户的机制。它往往通过系统原本不用于数据传送的系统资源来传送信息, 并且这种通信方式往往不被系统的访问控制机制所检测和控制。隐通道包括存储隐通道与定时隐通道。隐通道的发送者和接收者之间事先约定好某种编码方式, 并使用系统正常操作。如果隐通道的发送者直接或间接地修改资源属性, 另一主体 (接收者) 直接或间接地读取这个属性的变化时, 这个隐通道就是存储隐通道。如果一个隐通道是一个主体, 通过调整系统资源 (如c Pu) 的使用时间影响了另一个主体实际的响应时间, 从而发送信息给另一主体时, 这个隐通道是定时隐通道。如利用并发控制上锁机制的隐通道存在于oracle等数据库管理系统中。尽管高安全级的用户有可能利用隐通道传送信息给低安全级的用户, 但隐通道的主要潜在威胁是它有可能被特洛伊木马所利用。
根据美国《可信计算机系统评估标准》 (即TCSEC) 的要求, 对BZ安全级及以上的系统必须进行隐通道分析, 并估算隐通道的带宽, 根据带宽决定对隐通道的处理 (容忍存在、消除或审计) 。
4 数据库加密技术
大型数据库管理系统的运行平台一般是Windows NT和Unix, 这些操作系统的安全级别通常为Cl、C2级。它们具有用户注册、识别用户、任意存取控制 (DAC) 、审计等安全功能。虽然DBMS在OS的基础上增加了不少安全措施, 例如基于权限的访问控制等, 但OS和DBMS对数据库文件本身仍然缺乏有效的保护措施, 有经验的网上黑客会“绕道而行”直接利用OS工具窃取或篡改数据库文件内容。这种隐患被称为通向DBMS的“隐秘通道”, 它所带来的危害一般数据库用户难以觉察。分析和堵塞“隐秘通道”被认为是B2级的安全技术措施。对数据库中的敏感数据进行加密处理, 是堵塞这一“隐秘通道”的有效手段。数据库加密与传统的通信或网络加密技术相比, 由于数据保存的时间要长得多, 对加密强度的要求也更高。而且, 由于数据库中数据是多用户共享, 对加密和解密的时间要求也更高, 要求不会明显降低系统性能。以下技术应用于数据库加密可以大大提高加密的灵活性, 增强加密强度。
数据库加密可以在DBMS内核层实现, 加密解密过程对用户与应用透明, 数据在物理存取之前完成加密解密工作。这种方法把加密功能集成为DBMS的功能, 实现加密功能与DBMS之间的无缝祸合。但这种实现机制依赖与数据库厂商的支持, 加密密钥与数据库一同保存在服务器中, 密钥管理风险大。加密算法和强度受限。“数据分区安全管理系统”就是采用这种方法进行数据库内加密。数据库加密可以在DBMS之外实现, DBMS管理的是密文。加解密过程可以在客户端实现, 或有专门的加密服务器或硬件完成。这种方式可以减少数据库服务器与DBMS的负担, 将加密密钥与加密的数据分开保存, 有助于密钥的管理。但加密后的数据库功能会受限, 比如加密后的数据无法正常索引。
数据库的加密粒度可以分为四类:表、属性、记录和数据元素。各种加密粒度的特点不同, 一般来说粒度越小灵活性越高但实现起来越复杂, 对系统运行效率影响也较大。
l) 表加密:加密对象是整个表, 这种加密方法类似于系统中文件加密的方法, 用密钥对每个表进行加密运算形成密文后存储。这种方式最简单, 但是有时会把许多不需要加密的记录或数据项一起进行加密操作, 造成巨大的资源浪费, 效率很低。
2) 属性加密:也称位域加密或字段加密, 加密对象是列。这种方法可以根据属性的机密程度进行选择, 相比表加密灵活性更高, 系统开销少。“数据分区安全管理系统”采用属性加密, 对列进行加密解密操作。
3) 一记录加密:加密对象是记录。当表中需要加密的记录较少时可以选择此方法。
4) 数据元素加密:加密对象是记录中的每个字段。这种方法需要加密的数据量比较大, 更加灵活, 同时系统开销最大。
在数据库加密技术中对密钥的保护是一项重点, 如果对所有加密数据采用同一密钥, 攻击者可以采用统计分析的方法对原文进行推测。目前可以采用密钥实时计算, 也称为密钥自动滚动技术, 对密钥进行实时计算、更新。
5 数据库管理员与安全管理员职责分离机制
在传统的数据库系统中, 数据库管理员的权力至高无上, 他既负责各项系统管理工作 (包括安全管理) 。例如资源分配、用户授权、系统审计等, 又可以查询数据库中的一切信息。这种管理机制使得DBA的权力过于集中, 存在安全隐患。在安全管理方面数据库可以采用数据库管理员与安全管理员职责分离机制, 把系统管理员分为数据库管理员DBA, 数据库安全管理员SSO。DBA负责自主存取控制及系统维护与管理方面的工作, SSO负责强制存取控制。有的数据库安全机制技术还进一步分出了数据库审计员Auditor, 由Anditor负责系统的审计。这种管理体制真正做到各行其责, 相互制约, 可靠地保证了数据库的安全性。
摘要:随着信息技术的不断发展, 数据库系统给人们在处理大系统问题方面带来了方便和效率, 但同时也带来了系统安全隐患。因此, 对于各类使用数据库的单位, 数据库的安全问题尤为重要。数据库安全使用和安全防护十分重要, 同时随着网络技术的大量应用, 数据库面临的安全威胁也随之增加。
关键词:数据库,安全隐患,防护技术
参考文献
[1]卿斯汉, 蒙杨, 刘克龙.分布式应用中的多级安全密钥管理[J].电子学报, 2001, (2) .
[2]张纲, 李晓林, 游赣梅, 徐志伟.基于角色的信息网格访问控制的研究[J].计算机研究与发展, 2002, (8) .
浅析数据库的安全需求与安全技术 篇8
该体系是一个体系软件, 具体应用的时候它和别的软件是相同的都要维护。该安全之所以非常关键, 关键是因为有如下的一些缘由。第一, 在库中放置的总数较多的数据, 其重要性和保密级数可以分成如下的一些类型, 此类信息为很多的使用人享受, 但是因为使用人不一样, 所以他们的权限也有差异。所以, 该体系要切实的结合不一样的使用人的权限, 确保他们获取其所需的, 和其权限能够有效对应的一些信息, 并非是所有的使用人都能够访问这些信息。此时对使用人开展分类设置, 认真的掌控好使用人并更信息库中的信息的权利, 进而最大化的降低一个使用人在没有授权的背景中变革信息的几率, 而对别的使用人的活动带来一些不合理的干扰。第二, 在数据库里, 其冗余度不高, 如果信息被改动的话, 之前的内容就会丢失。所以, 要设置信息恢复科技, 以此来确保在体系或者是步骤发生问题之后, 能够迅速的复原。其次, 因为其是联机活动的, 所以可以许可很多的使用人一次的开展存取活动, 所以要使用合理的方法来避免因此而导致的完整性被干扰的现象。其牵扯到别的软件, 所以他的安全还牵扯到其软件和信息的安全。所以, 要切实的分析其安全事项, 设置综合化的预防方法。
总体上讲, 该体系在给我们带来益处的时候, 也对使用人提出了更为严苛的安全性的规定。因此, 其安全十分的受人们关注。
2 关于其安全威胁和应对方法
它是存在于操作体系以上的, 要靠着电脑硬件来活动, 因此它的安全性完全的要借助于该体系的安全以及硬件的安全。而且相关的工作者的不当操作以及不法人员的故意攻击同样会影响到其安全性。通过分析如上的两个要素, 我们可知, 该问题关键有如下的一些。第一, 硬件导致的信息丢失。比如存储装置受到影响, 体系掉电带来的信息破坏。第二, 软件维护不合理导致的信息外泄。比如操作体系之中的不利点或者是缺乏存储机制, 又或是干扰到其机制, 进而使得信息外泄。第五, 电脑放在不安全地方容易被盗听。第六, 授权人设置了不合理的维护方法。第七, 信息输入不合理。比如在输入之前的时候被改动, 关键信息在输入之前被外泄。第八, 没有授权的使用人的不正当使用, 或者是授权的使用人不顺着设定的权限来活动。其受到的不利现象是多方面的, 要想确保其安全性, 就要设置合理的安全方法, 采用优秀的技术方法, 财会确保信息库不被外泄, 不被破坏和干扰。
数据库的安全策略是指导数据库操作人员合理地设置数据库的指导思想。它包括以下几方面:
(1) 最小特权策略
该方法是让使用人能够合法的存取或者是改动信息的前提之下, 配置最低的权限, 确保这些信息可以完成使用人的活动, 别的权利都不下放。所以对使用热的权限加以掌控, 能够降低泄密几率, 维护信息的稳定性。
(2) 最大共享策略
它是说在确保库稳定以及可用性高的背景之中, 尽量的确保信息高度分享。
(3) 粒度适当策略
在其中, 把不一样的项分为不一样的颗粒, 如果颗粒小的话, 就表示着它的安全性高。一般要结合具体情况来决定其大小。
(4) 按内容存取控制策略
根据数据库的内容, 不同权限的用户访问数据库不同的部分。
(5) 开系统和闭系统策略
数据库在开放的系统中采取的策略为开系统策略。开系统策略即除了明确禁止的项目, 数据库的其他的项均可被用户访问。数据库在封闭系统中采取的策略称闭系统策略。闭系统策略即在封闭的系统中, 除了明确授权的内容可以访问, 其余均不可以访问。
(6) 按上下文存取控制策略
这种策略包括两方面:一方面限制用户在其一次请求中或特定的一组相邻的请求中不能对不同属性的数据进行存取;另一方面可以规定用户对某些不同属性的数据必须一组存取。这种策略是根据上下文的内容严格控制用户的存取区域。
(7) 根据历史的存取控制策略
有些数据本身不会泄密, 但当和其他的数据或以前的数据联系在一起时可能会泄露保密的信息。为防止这种推理的攻击, 必须记录主数据库用户过去的存取历史。根据其以往执行的操作, 来控制其现在提出的请求。
数据库的安全本身很复杂, 并不是简单的哪一种策略就可以涵盖的, 所以制订数据库的安全策略时应根据实际情况, 遵循一种或几种安全策略才可以更好的保护数据库的安全。
3 数据库安全技术
3.1 数据库的完整性与可靠性
数据库的完整性是关系到客户/服务器应用系统正常工作的关键。维护数据库的完整性即需要数据库设计人员的周密设计, 也需要客户端开发人员的积极配合。数据库完整性约束是用于维护数据库完整性的一种机制, 这种约束是一系列预先定义好的数据完整性规划和业务规则, 这些数据规则存放于数据库中, 防止用户输入错误的数据, 以保证数据库中所有的数据是合法的、完整的。
3.2 存取控制
访问控制是信息安全保障机制的核心内容, 它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体对访问客体的访问权限, 从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么, 能做到什么程度。访问控制, 作为提供信息安全保障的主要手段, 被广泛用于防火墙、文件访问、VPN及物理安全等多个方面。访问控制也是数据库系统的基本安全需求之一。为了使用访问控制来保证数据库安全, 必须使用相应的安全策略和安全机制保证其实施。
在其中, 记录以及元素等本身是互相联系的。使用人能够经由读取别的要素来获取其中的一个要素, 我们将这个现象叫做是推理。要想避免推理出现, 就要使用和历史有关的控制。其不但规定要分清当前请求的具体事项, 还要分析之前的事项, 以此来控制存取。换句话讲, 它是为了维护电脑中的信息, 防止它被不正当破坏的一项关键的方法。除此之外, 基于角色的存取控制机制可以为用户提供强大而灵活的安全机制, 使管理员能以接近部门组织的自然形式来进行用户权限划分。
3.3 数据库加密
在实际使用数据库的过程中, 并不是允许所有人都能够对数据库进行信息浏览和查询的。所以, 为了确保信息不被不法人员掌控, 就要对它开展合理的保护。对数据库进行加密就是一个很好的安全保护方法。在给数据库设置密码或取消密码之前, 必须确定数据库是以独占方式打开的。
目前对其开展的安全以及加密科技探索仅仅的处在初始时期, 还有非常多的细节性的要素要发展。由于体系高速前进, 此时更加的要关注其安全和加密等相关的工作。
参考文献
[1]张海光.浅析计算机病毒及其防范措施[J].科技信息:科学教研, 2007 (13) .[1]张海光.浅析计算机病毒及其防范措施[J].科技信息:科学教研, 2007 (13) .
[2]戴锐, 范霞, 方东.SQLServer数据库的安全策略探讨[J].江西电力职业技术学院学报, 2010 (1) .[2]戴锐, 范霞, 方东.SQLServer数据库的安全策略探讨[J].江西电力职业技术学院学报, 2010 (1) .
数据库安全技术教学探究 篇9
一、数据库安全概述
(1) 数据库安全定义。数据库安全是指数据库的任何部分都不允许受到恶意侵害或未经授权的存取或修改。其主要内涵包括三个方面: (1) 保密性。不允许未经授权的用户存取信息。 (2) 完整性。只允许被授权的用户修改数据。 (3) 可用性。不应拒绝已授权的用户对数据进行存取。
(2) 数据库安全威胁。当前对数据库安全的威胁主要分为物理上的威胁和逻辑上的威胁。物理的威胁是如水灾、火灾等造成的硬件故障, 从而导致数据的损坏和丢失等。为了消除物理上的威胁, 通常采用备份和恢复的策略。逻辑上的威胁主要是指对信息的未被授权的存取, 可以分为三类: (1) 信息泄漏, 包括直接和非直接 (通过推理) 地对保护数据的存取; (2) 非法的数据修改, 由操作人员的失误或非法用户的故意修改引起; (3) 拒绝服务, 通过独占系统资源导致其他用户不能访问数据库。
(3) 数据库基本安全架构。数据库系统信息安全性依赖于两个层次:一层是数据库管理系统本身提供的用户名、口令识别、视图、审计等管理措施, 另一层就是靠应用程序设置的控制管理。
二、实现数据库安全的常用方法
数据库的安全是保证信息管理系统的关键, 保证其安全性可以有以下几种方法:用户标志与鉴别、存取控制、审计与跟踪监视、视图机制、数据加密和设置防火墙等方法。
(1) 用户标志与鉴别。用户标志与鉴别是系统提供的最外层安全保护措施。用户标志和鉴定的方法有很多, 而且在一个系统中往往是多种方法并举, 以获得更强的安全性。常用的方法有:通过用户名和口令。但用户名与口令容易被人窃取, 因此, 建议不要使用与用户特征相关的口令 (如生日、电话号码等) , 口令最好定期更换。
(2) 存取控制。数据库安全性所关心的主要是DBMS的存取控制机制。数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限, 只有识别允许的用户才有输入、删除、修改和查询信息的权利。同时令所有未被授权的人员无法接近数据, 这主要通过数据库系统的存取控制机制实现。
(3) 视图机制。进行存取时可以为不同的用户定义不同的视图, 把数据对象限制在一定范围内, 即通过视图机制, 可以把要保密的数据对无权存取的用户隐藏起来, 从而自动地对数据提供一定程度的安全保护。
(4) 审计跟踪技术。为了使DBMS达到一定的安全级别, 还需要在其他方面提供相应的支持, 如审计跟踪技术。其基本过程就是把用户对数据库的所有操作自动记录下来放入审计日志中, DBA可以利用审计跟踪的信息, 重现导致数据库现有状况的一系列事件, 找出非法存取数据的人、时间和内容等, 进行相关的分析和调查。
(5) 防火墙技术。防火墙技术是在被保护网络和Internet之间设置一个隔离保护软件, 从而为一个地理上比较集中的网络提供抵抗外部入侵的能力, 是一种被广泛使用的安全性技术, 它分为应用级和网络防火墙。对于一个运行在与外部公共网络环境相连的数据库系统, 为了维护数据库系统内部的安全, 防止来自外部网络的危害和破坏, 有效地防范黑客窃取数据库的重要信息, 可以在内部网和外部网之间建立防火墙。
三、有关数据库安全技术的探讨
数据库系统的安全保密性至关重要。除了上述技术上的考虑以外, 还应该加强对数据库管理人员的安全意识和相应的培训。另外, 备份和恢复策略也是提高数据库安全的有效手段。在实际应用中, 为了提高其安全性, 往往将以上多种方法并用。同时国家也可以出台有关法律政策严惩蓄意破坏数据库的人, 达到保护数据库的目的。
防数据泄密安全技术的研究 篇10
现在普遍存在的现象是, 任何一家企业都有可能发生自己的产品机密信息被带走或是被利用在自己的对手上的情况, 从而给自己的技术带来诸多麻烦。我们可以通过科技设备对生产内容监控, 是防止信息安全人员对外数据汇密威胁的武器。这样不但能解决企业员工泄密的问题, 还能把员工变成传统的安全资产纳入解决方案在针对外部威胁来保护网络方面都有着重大的意义。
1. 实行主动监控数据泄密技术
本章节提出了主动监控数据泄密的技术方案, 如图1所示。主动监控技术方案由用户组群绑方案、网络绑定方案、数据加密处理方案及个人身份实名制方案4部份组成。用户组群绑方案实现了部门涉密文件与用户个人绑定, 防止用户个人对文件的外带或用作贪图利益的非法行为。网络绑定方案是一些相关的重要文件只能出现在公司内部的网络, 如果出现在INTERNET网就成为无效, 这也可以通过监控内网来实时对员工作人所做的行为, 在最早时期出产内容监控都是通过扫描各种数据流, 电子邮件, 服务器, 网站或是聊天记录等。如果在公司电话上监控软件还能保存为各种文档格式供浏览, 可以把所有的敏感数据复制下来。数据加密处理方案则实现了对每个文件进行MD5等加密技术, 或企业里自行开发加密程序软件, 这样能更进一步的安全防护重要技术文件外泄露。而个人身份实名制方案是进行一人一帐号, 一台机通过监控服务器绑定, 这样能更进一步实时查清数据泄密根据。如果不能确定那些文件能构成外泄, 有些设备软件也有帮助弄清楚实际情况, 譬如某些网络安全防泄密产品可以对保密文件做独有的指纹技术认证, 对其传输进行跟踪和监控, 同时可以捕获所有流量电子邮件, 服务器, 网站或是聊天记录等, 对它们进行检测索引, 为了保护哪些重要内容提供方案。还可以对终端设备进行监管。以上通常是根据预定义规则, 在各种类型的内容中找出违反政策的情况。它们会挑出特定数据, 或者使用关键字搜索, 确保无权访问的员工无法获得含有这些关键字的敏感文件。
根据存在的数据进行监控, 不管是什么数据, 主要针对数据的分析敏感因素, 把数据中的内容关健词, 词组查找, 提供分析, 来对安全数据的了解进行对比度.同时进行深入的理解分析, 只要发表敏感数据方进行报警, 例如某公司员工给外面发相关的文件, 不管是通过什么手段, 只要经过这监控软件就能检测出是否安全。同时能分析出数据的重要性。在这检测出不安全文后通过EMAIL发送到管理员邮箱。由管理员进行评估分析。这样能够更安全保护公司重要的数据外泄。
2. 利用信息归属权的方式预防数据泄密
在上面已提到过主动监控数据泄密技术, 但它是内容保护方案的一部份, 内容监控其实是被动保护, 应该结合各部门想办法自动保护, 那就少不了用到企业版权管理软件的问题。如果企业版权管理软件监控到所有的文档进行内容加密, 可以用不同的方法进行加密, 然后把他封闭式部份连同分析的控制机制重新加到文档上。新的控制方案可以从文件服务器上进行管理, 能够进行灵活的允许或者禁止剪切、拷贝、粘贴、编辑和打印等这类功能操作, 谁要访问受保护的文档, 必须有正确的用户名和口令, 还要用个人的身份验证和访问权限。如果文档经过受保护后你取消了访问权内容还是安全的, 因为内容经过加密, 必须要经过用到那一种加密方式, 才能真正解码, 然后为文件加上控制封装部分。所以, 利用内容监控软件和企业版权管理软件结合起来, 能够起到双重保护的作用。在我们实际过程中“如果我们有一种支持多协议的网络控制方案, 具体的功能就是能够分析那些敏感数据, 所以要结盟起来, 就可以自动保护来自外界的数据, 这样才能引起我们的重视。”在分析重要数据时监控设备厂商要把加密这个功能着重结合在一起, 这样可以直接保护数据的传送, 网络数据下载, 电子邮件流量的分析方法, 把员工变成传统的安全资产解决方案在针对外部威胁, 保护网络方面都有非常重要的意义。人们需要知道他们的一些行为, 比如, 把文件拷到U盘带出办公室, 可能会损害公司的数据, 有了联盟结合, 各企业就能够使保证数据安全成为公司文化的一部分, 使员工们投身于敏感数据的保卫战中。”
所以, 数据泄密会给企业带来巨大的安全风险, 专家建议控制用户对待信息的方式。个人用户必须停止任何有风险的行为, 例如传送未加密的信息到U盘之中, 而公司机构应当扩大他们的反恶意软件基础建设, 以便控制信息的使用, 保证系统有效运行, 并确保符合法规要求。
3. 利用WEB安全结构加密技术
WEB安全结构模型, 是由客户与SP服务器代理组成的系统, 主要负责客户机对INTERNET服务器发送、接收数据进行加密和解密处理, 所有数据都由服务器进行监控, 负责数据传输的安全;对客户机发送过来的加密文件进行WEB请求, 再进行数据分析的出入口及安全性。就客户机和服务器在某模式网络下能实现规范的协议, 它们能独立于应用层的分析协议, 并能响应不同的服务进行运作, 因此, 我们选择了WEB安全结构加密技术, 就客户数据所发的数据包都经过TCP的形式发送到服务器上, 然后再转发, 将接收的数据分发给相应的客户。
对于WEB通信的管理, 可以通过对客户浏览器的“代理服务器”选项进行设置, 数据加密则由技术公钥密码算法 (RSA) 和数据加密规范标准来实现。同时, 验证本地客户文件是否合法性, 如用户名、密码, 同时能让请求服务器判断该文件是否受保护。在上面说的WEB服务器管理, 可以由HTTP服务通信管理, 能通过对HTTP;服务端口的监听、数据分析来实现, 同时加密由MD5和RSA等加密方法来实现。服务器可以通过软件来进行验证本地客户机端口和IP地址是否合法、安全。
为了防止入侵者利用某种手段进行伪装成安全用户发出请求, 进行相应的回答, 客户端和服务器在通信传送时必须相互身份验证。 (1) 客户向服务器发送请求, 并且只能接受服务器分析后的应答; (2) 服务器只接受客户的请求作者回应, 系统则对公钥技术实现客户身份验证, 客户和服务器在分析传送的数据前对数据进行确定性的签名;必须签名后, 方可进行后同的操作。
4. 对数据传输过程中进行选择性的加密方式。
我们可以把发送发和接收方分别设为A (加密密钥C, 解密密钥D) B (加密密钥E, 解密密钥F) , 那加密方案就可以分如下几个步骤。 (1) 首先发送A方生成加密的密钥C, 而每个密钥只能用一次后就失效, 需重新设置。 (2) 发送方可以从服务器中得知接收方的加密密钥C, 并用E加密成C密钥文件Q。 (3) 发送方用C加密成文件后和签名信息, 再连同上方2所加密成的密钥文件一起生成密文Q发送给接收方。 (4) 接收方收到Q文件后, 再得用解密密钥D进行解密出Q中的密钥C, 再得用F解密出原文件。 (5) 发送、接收双方均可以删除密钥进行阅读。
对所有的文件加密会对服务器能信效率的降低, 并且还会导致别的不良影响.应该利用一种分配方式, 并不是所有文件都加密, 是在阅读一些非保密信息并无需要加密。所以在设计这方案中要提高工作效率, 也是对文件传送数据进行分析, 如果分析出数据里有敏感数据, 则应该加密再传送, 分析流程表如图2所示。
结束语
本文分析了主动监控数据加密和归属权, 传送加密等方法进行预防数据泄密安全技术。但是在实际操作过程中, 并不意味着只用一种方法方可以保证安全, 相关人员应该有效结合多种方法, 通过各种不同的尝试更好的实现数据泄密安全分析。
摘要:进入信息时代, 不管是跨国企业还是国内企业, 为了防止数据泄密, 可以通过监控工具和数字版权管理的机制策略, 同时再利用现有的安全操作系统, 可以通过指导终端用户并与之交互达到预防数据泄密和安全威胁的目的
关键词:监控设备,泄密软件,版权管理,数据泄密
参考文献
[1]张乐星.基于RSA和高级数据加密标准数据加密方案 (J) .科技通报, 2008, 21 (2) :1998
[2]陈兵, 王立松.SOCKS服务器的研究与实现 (J) , 数据采集与处理, 2007, 17 (3) :349
[3]葛春, 杨百龙.涉密微机信息安全防护系统研究[J].现代电子技术, 2007, 30 (12) :98-100.
数据安全技术 篇11
关键词:云计算;数据安全;模型架构
中图分类号:TP309
互联网技术发展一直都很迅速,近年也不例外。随着时间的推移,网络基础硬件设施在不断地更新换代,互联网的应用深度和广度都在不断地深化,对于互联网的重要一环——数据存储,其成本也已经变得较低,互联网的用户数量也已经有了显著升高。因而,当今的世界也变得越来越信息化,大量的数据需要处理,传统的数据计算技术以及网络通信技术的简单结合遇到了瓶颈,数据的安全也受到了威胁,从而传统结构的数据中心满足不了当下的需求。随着研究人员的不懈努力,这个问题终于得到了极大地缓解,这也就是云计算以及预期相对应的云计算数据中心的相关理论的提出及应用。本文在介绍云计算的相关概念及理论之后,简单的地分析研究了数据安全的策略问题。
1 云计算数据中心概述
1.1 云计算的定义
云计算所涉及的内容非常广泛,总体来看主要包括以下三个部分:分布式处理、并行处理以及网络信息海量计算。云计算的概念是十分广泛的,目前所讲的云计算的标准是美国国家标准提出的:使用云计算的费用主要是流量的费用,只要有流量用户就可以随时随地的在云计算终端上查阅自己的资料,流量的费用可以在运营商那里进行购买,而且用户可以访问可配置的网络计算资源共享池。访问网络的用户如果想要使用这些网络资源,只需要通过一些简单的操作,即可以方便的得到。现如今,很多工业生产过程均涉及了云计算这项技术,而且经过长期的实践经验积累,云计算技术所能够提供的服务范围也大大拓展。
1.2 云计算的原理介绍
云计算的运行原理是将所需要计算的海量数据分别在不同的计算机上进行运算,也就是说将任务分开同步执行。企业数据中心的运行过程中实际上与网络极其相似,企业资源由需求大小来决定,按照需求量来访问计算机以及存储系统。互联网近些年的发展已经遇到了瓶颈,云计算的出现打破了这一阻碍,让互联网技术有了新的突破方向。目前比较流行的网络交易手机查询等业务,都是根据云计算技术而进行发展的,总的来说云计算就是利用网络对用户的数据进行运算存储从而最大限度的扩展互联网的应用范围及内容。
2 云计算安全的相关研究
当前社会是信息技术的社会,信息技术飞速的发展,计算机逐渐普及,计算机的风险问题也慢慢的被重视,其中最主要的就是存储数据的安全,这一方面一直是专家们研究的重点,很多研究机构都慢慢的发布了他们自己的研究成果,计算机所承受的不同的风险主要有以下7个方面:
(1)特权用户的接入:主要是工作人员在进行云计算服务操作时,对敏感的数据要进行加密,防止数据的泄露。这样管理员就必须认真的记下每次操作的日志,方便操作;
(2)数据位置:数据的位置就是相关信息在计算机中存储的位置,这个位置对用户而言是未知的,因此云计算的服务商必须允许用户查询存储的位置,这个权利是受到法律保护的;
(3)数据隔离:云计算的服务商提供了一个巨大的数据存储场所,这些数据都被存储在数据中心,但数据中心必须进行数据隔离服务;
(4)可审查性:用户在云计算中心的数据是不可控的,因此服务商必须要有相关机构的认证才能博得用户的信任,同时服务商要遵守国家的相关法律。
(5)数据恢复:很多用户的数据存在云计算中心中,而在自己的计算机中是没有备份的,因此数据中心必须对用户的数据进行备份。以免出现一些突发事件时能够及时的恢复用户的数据,减少损失;
(6)调查支持:一直有很多用户对云计算服务商持有怀疑的态度,针对这种现象云计算服务商可以开放一些调查的权限,使得用户对其不当的行为进行监督;
(7)长期生存性:云服务服务商能够长期的为用户存储数据,使得用户的数据不能迁移,一直存在一个固定的位置,保证用户的数据的安全。
虽然现阶段云计算有安全问题,但是相对于传统的计算模型来说还是具有一定的优势,云计算的参与者主要有云端和客户端组成,客户端主要是针对用户,云端则主要针对服务商,用户可以通过通信设备进行浏览,云端则具有很庞大的服务器,这也使得云计算在安全上有优势。
云计算的管理模式是独特的,是高度集中的,这种模式使得管理者很容易控制系统,虽然云端自身也有不安全的因素存在,这是无法避免的。在世界上任何一个架构都不是十全十美的,都多少会受到一些威胁。由于客户的数据比较集中这樣就能便于查找危险漏洞进行监控。
其次,云计算主要是提供数据的存储,这些数据存储服务器都要专业的技术人员进行维护,还要对一些用户的数据进行备份,以免会出现一些数据丢失的可能,云计算支持用户随时获取数据,只要有网络覆盖的地方用户就能获取自己的数据。
云计算的服务商服务很周到,其随时能提供高效的日志记录,而且还能够应对紧急情况的发生,在突发事件发生时云计算能够用最短的时间进行危机处理,速度惊人,这也能够最大限度的减少用户的损失。
用户大多都是通过计算机中的浏览器进行操作,自己的隐私能够得到保护。也使得一些人利用不正当的手段盗取别人的个人隐私。同时也允许用户进行数据加密,与传统的方式相比具有很大的灵活性。
3 云计算安全防护策略
(1)多安全域防护:云计算与传统的计算模式不同,其主要采用多层次的安全域设置,这就需要对不同的安全域进行必要的隔离;
(2)可靠的接入认证:如今,云计算用户不断的增长用户的身份验证以及维护显的更加重要,如今很流行的认证方式是手机认证或者证件认证,还有一些认证方式比如密码认证、生物认证等,这些认证都很方便快捷,安全性基本差不多;
(3)安全的数据维护:云计算服务商必须保证用户数据的安全,必须有能力保证用户数据的完成和保密,除此之外还要能够提供一些验证功能;
(4)高效的服务:云计算服务商不仅要提供安全可靠的服务还要提供实时的服务,避免由于自身服务器的原因使得服务延迟,使用户能够迅速的获取自己的数据,提高办事效率;
(5)可信的审计监管:云计算中心如果只有服务商和用户是远不够的,必须有相关的机构提供相关的认证,或者政府出台相关的政策和法律法规来约束云计算服务,使其能够受到用户的满意,从而更好的发展。
4 结束语
云计算的迅速发展是不可避免的,其被大多数人认为是下一代计算机的核心构架,改变的人们使用计算机的习惯,如今人们使用的计算机时数据都是存在自己电脑中,云计算则不同,其用户所有的数据都在一个庞大的服务器中,这也给用户的安全造成了影响。虽然很多专家说云计算很安全,但是世界上没有十全十美的东西,本文将基于云计算的数据安全作为研究课题,针对云计算的虚拟化、大规模、动态配置和可扩展等诸多特性,对云计算数据安全领域的关键技术进行了研究,最后给出了云计算安全防护的策略。
参考文献:
[1]石磊,邹德清,金海.Xen虚拟化技术[M].武汉:华中科技大学出版社,2009.
[2]吴吉义,傅建庆,张明西等.云数据管理研究综述[J].电信科学,2010.
[3]陈龙,肖敏.云计算安全:挑战与策略[J].数字通信,2010.
[4]陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009.
作者简介:李彦蓉(1985.07-),女,云南文山人,本科,助教,经济师,研究方向:教育管理。
浅议数据库安全技术 篇12
数据库系统的安全除了要建立自身内部的安全机制外, 还要与外部网络环境、应用环境、人员素质等因素建立密切相关的联系。从广义上讲, 数据库系统的安全框架可以分为网络系统层次、宿主操作系统层次和数据库管理系统层次。
只有建立三个层次数据库系统的安全体系, 数据库安全防范才能有一个从外到内、由表及里逐层加强的保障过程, 才能确保数据的安全性。
一网络系统层次安全技术
随着互联网和电子商务的跃进式发展, 很多电商、企业将自己的主要业务移植到互联网上, 业务的数据存储、运行需要大量的网络数据库来支持, 网络数据库的安全同时也成为企业的一项重要工作。
既然是网络数据库, 那么网络就是网络数据库的基础和外部环境, 是网络数据库发挥其作用的基本、支持。没有网络也就没有网络数据库, 网络数据库的安全必须从网络的安全做起。网络用户通过互联网远程访问数据库中的数据, 当然黑客也可以远程访问数据库, 因此网络系统的安全也是数据库安全的第一道防御堡垒。
网络入侵企图破坏信息系统的完整性、保密性或信任性, 具有以下特点:
第一, 可以在网络的任何点、任何时间对数据库服务器发起攻击;
第二, 现代网络攻击往往混在大量正常的网络活动中, 隐蔽性非常强, 不容易分离出来;
第三, 入侵手段更加微妙和复杂。
从技术角度看, 网络系统的安全技术有多种, 可分为防火墙、入侵检测、协作入侵检测等。
1. 利用防火墙技术来为网络安全作基本保障
防火墙技术自1993年发明并引入互联网以来, 一直是一项网络安全防御的重要技术, 在外网和内网之间建立一道屏障, 保证内部的信息不被外界非法获取, 保证外部的非授权访问不能进入内网, 在一定程度上保证了网络的安全。但是它利用已经设定好的规则来判断信息流的进出, 这些规则是预先设定好的, 不能随着现实情况的变化而改变, 缺少智能判断的能力, 而网络攻击却是瞬息万变的, 随时都可能发生。另外, 如果是内部的非法操作, 防火墙是没有能力来阻止的。现代防火墙产品往往将包过滤、代理和状态分析混合使用。
2. 入侵检测 (IDS) 是一项积极主动的防护技术
入侵检测实时地对网络进行监控, 发现安全隐患主动反应, 采取措施, 是一种自主积极的防护技术。它扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应) , 提高了信息安全基础结构的完整性。它从系统和网络中采集、分析数据, 查看网络是否有违反安全策略的行为, 是否有网络攻击的迹象。1987年Derothy Denning第一次提出检测入侵理论, 经过不断的发展和完善, 有了监测和攻击识别的标准解决方案, 90年代分别出现了基于网络的I D S、基于主机的I D S和分布式的I D S。入侵检测系统已经成为防火墙技术的重要安全补充, 甚至有人认为, 它有可能替代防火墙技术成为主要的网络安全技术。
3. 协同入侵检测
独立的入侵检测系统存在着一些缺陷:一是存在着报警信息过多的问题, 就算不是恶意攻击发生, 它也容易触发IPS;二是IDS本身所具有的抗攻击能力是有限的, 它自身也非常容易受到攻击;三是IDS检测手段相对来说比较单一、简单, 有效性不高, 水平较低。为了弥补单一入侵检测的不足, 提出了协同入侵检测的思想。基于分布式管理的协同入侵检测, 利用分布式的包嗅探器、传感器数据、系统日志、低层I D S分析结果等综合信息, 实现对攻击速率、威胁源识别、攻击严重性评估等功能, 达成有效识别、防范攻击的目的。
二宿主操作系统安全技术
操作系统是大型数据库系统的操作平台, 它是数据库系统运行、操作的支撑, 它的安全性直接关系到数据库的安危。目前大多数操作系统平台主要集中在Windows NT和UNIX上, 大多数的大规模软件系统几乎都存在一些安全漏洞。
许多报告指出, 使用少量的基本加固措施就能抵御大量已知的攻击。根据ASD (澳大利亚信号董事会) 的调查发现, 以下四条策略的实施就能减少85%的网络入侵:①白名单许可的应用;②给第三方应用和操作系统漏洞打补丁;③限制管理员的权限;④创建深度防御系统。
三数据库管理系统安全技术
1. 数据库加密
网络数据库安全最为核心的工作是数据加密。在数据库管理系统中, 数据库文件安全性已经设计得比较完备, 但对数据安全性的要求仍然非常高, 并不能完全满足安全性要求。数据库加密最有效的方法是对敏感数据进行加密, 将明文储存在密文中, 对数据库进行访问时, 再将密文解密来进行操作, 每一个对数据的访问必须要有密钥, 对于非法的数据访问, 由于缺少密钥, 自然也无法获取明文。数据库加密技术目前应用比较多的是多级密钥管理体制, 整个系统密钥结构由主密钥、表密钥和各个数据库的项密钥组成。整个数据库系统有一个主密钥, 每个数据表有一个表密钥, 在多级密钥体制中, 主密钥是加密系统的关键, 它的安全性决定了数据库系统的安全性。
在对数据库明文进行操作中能够进行的如增加数据、删除数据等操作, 在对密文进行操作时也要能够进行, 而且对密文进行操作时所花费的时间不能比对明文操作时花费的时间多很多, 即密文加密解密要求有较高的效率, 不能以牺牲效率来换取安全性。同时, 在对密钥的存储管理上要有高效、灵活的方案, 能够确实地保管好密钥, 因为再好的加密方法, 如果密钥泄露了, 整个数据库的安全也就无法保证。由此可见, 数据库加密是数据安全管理不可缺少的重要组成部分。
2. 数据分层控制
根据数据库的安全要求和不同数据的安全性要求, 对不同安全级别的数据进行分类定级, 对不同权限的用户分别定义不同的视图, 通过视图机制把要保密的数据对没有权限进行访问的用户隐藏起来, 从而达到自动对数据提供一定程度的安全保障。
3. 数据库备份与恢复
备份对数据库系统的安全来说是最重要的环节, 是指在某种介质上, 如磁带、磁盘等, 存储数据库或部分数据库的拷贝。恢复则是指及时将数据库返回到原来的状态。备份的目的是为了在系统崩溃的时候能够恢复, 如果恢复过程无法进行或需要长时间来恢复, 那么这样的备份是没有用处的。数据备份和恢复是数据库长久运行的保障, 是使丢失损失最小的保障, 是数据库可用性的强大保障。
4. 网络数据库容灾系统设计
为了排除危险和灾难, 为了确保企业数据能不间断在线被访问, 建立远程容灾系统成为必然选择。
数据的备份和恢复也是容灾系统的一部分, 只不过这样的容灾系统只能处理计算机的单点故障, 对区域性和灾难性的故障却束手无策, 因此在保障数据库安全运行方面要考虑到设计远程的容灾中心。当灾难发生时, 为了保证数据不丢失、不被破坏, 提前于灾难发生前将整个系统包括操作系统、应用程序、数据完整地通过光纤备份到异地的容灾系统中, 这样就算灾难发生, 系统也能在几秒钟或几分钟内切换到备份服务器上, 系统照常提供服务, 远程在线依然能实现。
构建实施远程容灾中心的方法有:实时复制、定时复制、存储转发复制。
四SQL Server数据库系统
综上所述, 数据库的安全是贯穿数据库应用开发的一项重要技术。了解和掌握数据库的安全技术是一项重要的工作。在我们的实践工作中, 最常用到的是SQL Server数据库系统, 所以重点对SQL Server进行安全保障显得特别迫切。以下为对加强SQL Server数据库安全性的一些认识和探究。
SQL Server应用程序的运行依赖于数据的安全、可靠, 保护数据显得越来越重要。SQL Server是最受黑客们欢迎的目标, 因此我们的数据存在被故意损害的风险。当然, 我们的数据也存在被意外损坏的风险。我们可以通过加强SQL Server的安全措施来减少这些风险, 以下为实践工作中的一些安全措施。
(1) 仅安装必需的S Q L S e r v e r组件。安装S Q L S e r v e r通常是一个非常简单的任务, 但是当我们需要开始加强SQL Serve的安全性时, 安装SQL S e r v e r就需要注意, 不应包括S Q L S e r v e r分析服务 (SSAS) 、SQL Server集成服务 (SSIS) 或全文引擎及其过滤进程启动器。当然, 如果需要, 可以稍后添加这些组件。
(2) 不要在与数据库引擎相同的服务器上安装SQL Server Reporting Services (SSRS) 。如果在与数据库引擎相同的服务器上安装SSRS, 则Web服务将在安全层中打开一个孔。在过去, IIS和Web服务已经有很多漏洞, 这让黑客有机可乘, 控制服务器, 从而将托管在服务器上的东西置于危险之中。我们可以通过在数据库服务器上安装SSRS来避免这种风险。
(3) 禁用不会立即使用的SQL Server服务。我们应该禁用未使用的服务, 例如:禁用SQL Server VSS Writer服务, 它是卷影复制服务 (VSS) 使用的SQL Writer服务。只有当它被使用时才启用它。禁用Active Directory帮助服务, SQL Server将会根据需要启用和禁用它。使SQL Server浏览器服务处于禁用状态, 通常不需要这个服务来响应对SQL Server资源的请求, 并将呼叫者重定向到正确的端口;保持浏览器服务禁用将删除重定向器作为攻击方式。
(4) 不要使用默认的TCP/IP端口。安装后, 我们应该将SQL Server配置为对TCP/IP端口使用非默认号。默认端口是SQL Server中的已知入口点, 并且它们已经被利用过。病毒、特洛伊木马和黑客有其他方法来利用这些漏洞。不使用这些端口不能消除攻击途径, 只是隐藏它。因此, 这仍然是个安全隐患。
(5) 禁用不需要的网络协议。我们应该禁用不需要的网络协议。在大多数情况下, 连接到SQL S e r v e r不需要命名管道和T C P/I P, 因此我们应该确定服务器的最佳网络协议, 并禁用其他协议。
(6) 确保防病毒软件和防火墙软件版本是当前的最新版本并且配置正确, 能有效地保护系统。此外, 应将其配置为关闭任何默认端口。例如:确保防火墙没有将SQL Server的默认端口打开。
(7) 在SQL Server 2005中, Microsoft引入了S u r f a c e A r e a C o n f i g u r a t i o n M a n a g e r (及其命令行对应的sac.exe) 。但是, 该工具仅执行最常见的管理任务 (例如启用远程连接和支持的协议) 。要执行不常见的任务 (例如指定服务账户和身份验证模式) , 就需要使用SQL Server配置管理器、系统存储过程sp_configure或Windows工具 (例如Windows Management Instrumentation-WMI) 。
在SQL Server 2008中, Microsoft将基于策略的管理系统替换为Surface Area Configuration M a n a g e r。使用该系统, 我们就可以管理整个表区的配置。
(8) 控制访问对SQL Server的访问控制不仅仅是向用户授予权限, 访问控制还包括以下内容。
配置认证:如果有可能, 我们应该仅使用Windows身份验证。
配置管理账号:我们应该删除B U I LT I NA d m i n i s t r a t o r s账户并禁用系统管理员 (s a) 账户。通常, 我们要严格限制哪些用户获得系统管理员权限, 而不是为需要执行特定服务器级别功能的特权用户使用服务器角色, 如备份操作员或安全管理员。现在还不可能用系统管理员权限限制用户权限, 但可以使用SQL Server审计来监视它们。我们还应该限制本地管理员组的成员资格。本地管理员可以访问SQL S e r v e r计算机, 并为自己授予系统管理员权限。这样做很难被发现, 但可以做到这一点, 必须采取相同的严格协议来保护承载SQL Server的服务器作为SQL Server实例本身。
(9) 创建安全组。我们不应该授予单个用户访问SQL Server的权限。相反, 我们应该在AD中为特定服务器和权限创建安全组, 然后根据需要将单个用户添加到相应的组。DBA或运营团队来管理安全组。通常情况下, 使用一种工具, 让团队成员对安全组进行更改 (例如添加用户) , 但要求组所有者批准更改或将其回滚。不允许将不在团队控制下的组添加到其中任何一个安全组, 因为这样做可以轻松查看组成员, 并具有控制添加谁到组或从组中删除的能力。
(10) 配置服务账户。
我们不使用内置的W i n d o w s系统账户 (如L o c a l S e r v i c e、L o c a l S y s t e m) 为S Q L S e r v e r服务账户, 因为内置系统账户在Active Directory中的某些权限继承升高, 这些权限不是由SQL Server要求给予的。例如, 网络服务账户可以验证在网络上使用的计算机账户, 和Local System账户具有创建和删除自己的服务主体名称 (SPN) 的权限。
当将权限分配给SQL Server服务账户时, 应始终遵循最小特权规则。通常, 我们应该将服务账户添加到为每个SQL Server组件专门创建的适当的本地组。这允许服务账户在Windows级别继承任何必需的权限。授予组的权限而不是服务账户将确保如果服务账户更改, 权限不会丢失。它还可以防止旧服务账户保留它不再需要的权限。
通过上述对SQL Server服务器的配置, 在一定程度上能提高服务器的安全性, 抵御一部分的攻击, 但是中国有句老话:“道高一尺, 魔高一丈”, 黑客们是不会放弃一点有价值的信息的, 所以数据库安全的学习、改进、加固仍是今后很长一段时间的主题。
参考文献
[1]魏红芹编著.计算机信息安全管理[M].北京:中国纺织出版社, 2016
[2]杨义先、钮心忻编著.入侵检测理论与技术[M].北京:高等教育出版社, 2006
【数据安全技术】推荐阅读:
数据安全保护技术06-23
网络数据库安全技术10-19
数据加密技术网络安全05-29
数据库安全技术分析07-08
网络数据通信安全技术10-23
数据安全与数据恢复09-06
数据安全08-05
数据安全策略05-19
个人数据安全06-18
数据安全规划06-19