企业数据库的安全保护论文

企业数据库的安全保护论文（通用9篇）

企业数据库的安全保护论文 篇1

随着电力企业的改革不断深化, 应用于管理、生产以及决策的三层管理模式与决策支持系统的应用已经是必然趋势。所以, 首先应当解决电力企业当中的信息问题。电力系统当中的用电、配电、变电以及输电等子系统当中包含巨大的信息量。电力企业一直以来都是国家非常重视的行业, 其自身的信息安全工作就显得尤为重要, 然而近几年国内电力企业安全问题频发, 当中包含黑客入侵、工作人员泄密或者工作人员误操作等原因, 一些自然灾害也会带来对应的安全问题, 又或者系统自身存在的缺陷, 比如电力系统的网络协议方面存在缺陷, 上述的种种因素导致电力企业的信息安全问题屡屡发生。当前针对国内电力企业信息数据系统创建一套科学合理的安全保护体系就显得非常重要, 笔者在下文针对这些问题提出自己的一些见解, 力求为国内电力企业贡献自己的绵薄之力。

国内电力企业近几年的获得了长足的发展, 然而在信息数据安全这一块的建设相对落后, 导致电力信息系统仍然存在许多不足, 大致可以归纳成下面几项:

(1) 没有针对各个业务系统实施分级防护, 全部系统服务器仍然混在一起;

(2) 全部业务系统仍然没有构建一套对应的基本信息安全保护制度;

(3) 当前已经投入运用的业务服务器以及测试使用的服务器之间的网络没有设置对应的隔离防护措施, 将两个服务器混合使用在同一个局域网中;

(4) 国内一些电力企业的信息系统数据已经遭到盗窃;

(5) 电力企业信息系统自身的编码存在缺失, 安全隐患层出不穷。

1 电力企业内信息系统存在的安全问题

1.1 物理层面形成的安全隐患

电力信息系统是由通讯设施、网络、电脑硬件共同组成的, 如此依靠物理的存在致使电力信息系统“相对”较为脆弱。网络线路与设施的老化以及外部自然环境灾害 (雷雨、电磁场、地震) 等各类环境因素或者不可控的事故都会导致电力信息系统的一些物理层次受到破坏, 进而致使整个电力信息系统发生故障。

1.2 管理层面的安全风险

决策层面的安全风险因素通常来源于下面两个地方:沟通联络防御措施存在不足与企业内部的安全管理存在不足。

(1) 倘若电力企业中没有对信息系统的安全管理进行健全, 又或者无法有效的提升电力企业员工对于网络信息安全重要性的认知, 就非常容易致使类似日常维护发生误操作、重要信息资源加密等级不足、重要管理帐号随意外借不相关人员应用、用户口令过于简单等许多威胁到电力系统网络安全的事故;

(2) 电力企业自身的运行模式存在缺失, 伴随电力企业规模的不断拓展, 当前国内电力企业基本上已经发展成为本部企业-地区级企业-省级企业-市级企业-县级企业的运作模式。倘若无法良好的处理各级别电力企业之间在信息资源方面的共享安全, 则会非常容易造成机密资料泄漏, 沟通联络防御措施的缺陷导致各级电力企业之间的协同资料或者共享资料都不能得到安全有效的保障。

1.3 系统层面的安全风险

系统层面存在的安全风险通常可以分为以下三个方面:系统内部存在的漏洞与人为的恶意攻击。

(1) 系统内部存在的漏洞非常容易导致与其相对应的蠕虫病毒侵入, 电力系统当中的每一台电脑, 都应当在漏洞出现的第一时间进行对应的修补。然而当前电力企业针对该方面的维护人员明显不足, 短时间内难以完成对整个电力系统中成千上万台电脑进行对应的漏洞修补工作, 假设要求电脑使用者自身对漏洞进行对应的修补, 则非常容易致使许多升级修补工作无法及时实施或者无限期的拖延, 整个电力系统当中, 一台电脑的漏洞没有修复, 都有可能导致整个电力信息系统遭受病毒的威胁。

(2) 人为的恶意攻击指的是一种来自网络的主动攻击, 攻击者通常会选择电力系统薄弱的方面来入侵, 之后再对电力系统的完整性、机密性以及可用性进行破坏;此外, 还有被动攻击, 这种攻击的目的在于隐藏在电力信息系统的正常工作的外表之下, 采用窃取电力系统网络传输的信息数据包来窃取电力系统的重要资料, 从而导致电力企业的内部信息泄漏。

(3) 外部网络存在的病毒、恶意代码等不良因素可能通过各种途径侵入到电力企业的内部网络, 即使内部网络中绝大多数的系统漏洞能被升级补丁修复, 还存在各类应用软件或不同的网络访问将病毒带入计算机系统的风险。上述几种攻击方式都会对电力企业信息系统安全构成巨大的威胁, 导致电力企业信息系统数据安全无法得到保障。

2 防护实施步骤

2.1 对业务系统进行等级保护

根据《信息安全等级保护管理办法》当中第14条规定:主管机构、运营机构以及使用机构都必须在信息系统构建完成之后跟据对应的规定与方法对系统实施评测, 切实落实信息系统安全等级情况的评测工作。电力企业是国家的重点企业, 更应当聘请具备对应资质的评测部门的工作人员针对电力信息系统进行安全等级评测, 根据相关规定, 评测的结果基本可以分为下面三种:第一级业务系统, 具体是录音系统;第二级业务系统, 具体是邮件系统、企业内部网站、企业对外网站、工程管理系统、人力资源管理系统、生产管理信息系统、营销管理系统以及OA系统;第三级业务系统, 具体是调度生产管理系统与财务管理系统。上述三种都是电力企业信息业务系统的等级评测结果, 能够从这些结果中得知, 电力企业信息系统一般都不会出现第四级或者第五级信息业务系统。

2.2 对机房局域网划分安全区域

对整个电力企业的局域网进行对应的整改, 将整个信息系统根据业务系统的等级来实施详细的划分, 让其处在各个层面的局域网当中, 同时通过中心交换机来实现连接, 各个电脑则可以通过中心交换机来直接获取各个信息业务系统的具体资料。依照业务系统等级保护的评测结果可以具体分成测试业务计算机网络、公共业务计算机网络、一级业务计算机网络、二级业务计算机网络以及三级业务计算机网络, 从而切实落实各个级别局域网的安全性区域划分工作。

2.3 按等级保护测评结果放置业务系统

与之对应的, 在安全区域划分与评测结果的基础之上, 在全部计算机局域网络中构建与之等级相对的业务系统服务器, 比如, 第一级业务系统服务器则构建在一级局域网当中, 具体为录音系统服务器;第二级业务系统服务器则构建在二级局域网当中, 实际包含邮件系统服务器、企业内部网站服务器、企业对外网站服务器、工程管理系统服务器、人力资源管理系统服务器、生产管理信息系统服务器、营销管理系统服务器以及OA系统服务器;而第三级业务系统服务器则构建在三级局域网当中, 实际包含调度生产管理系统服务器与财务管理系统服务器。除此之外, 类似WINDOWS与DNS等这种没有保护级别的服务器则安放在公共使用的业务局域网当中, 没有正式投入应用或者等待测试的服务器则放置在测试业务局域网当中。

2.4 实现分级防护

根据等级保护评测结果构建业务系统以后就能够在各级不同的安全局域网边界设置一些对应的信息安全设施。边界指的是局域网和安全区域连接的地方, 信息安全设施通常包含防火墙、病毒过滤、认证、授权以及入侵防护等。具体到电力企业行业, 具体可以做如下部署:在一级业务区域的边界设置的防护措施建议为防火墙、病毒过滤、拒绝服务防护、认证以及授权;在二级业务区域的边界设置的防护措施建议为防火墙、病毒过滤、入侵防护、拒绝服务防护、认证以及授权;在三级业务区域当中的边界设置的防护措施建议为防火墙、病毒过滤、入侵防护、拒绝服务防护、认证以及授权;而在公共业务区域的边界设置的防护措施建议为防火墙、病毒过滤、认证以及授权;在测试业务区域的边界设置的防护措施建议为防火墙、病毒过滤、认证以及授权。

3 电力企业信息系统安全的防范措施

为了进一步保障电力企业信息系统的安全性, 应当结合电力企业信息系统应用特点与运营特点的具体情况, 构建一套适合电力企业安全要求的信息系统安全体系的防护屏障。要想实现这一目标, 一是要加强电力企业信息系统中安全技术的广泛运用, 二是要健全电力企业信息系统的管理体系。

3.1 防范措施的技术手段

技术手段是解决各类电力企业信息系统安全隐患的核心, 技术手段只有不断与时俱进, 才可以切实保障电力企业信息系统的安全。

3.1.1 加强基础设施建设, 改善网络运行环境

网络自身的运行环境与网络运行的稳定性息息相关, 电力企业网络机房必须要配置接地线防雷、应急照明灯、机房专用灭火器、自动报警系统、视频监控以及门禁等对应的设施。配电间与机房的环境必须要定期维护来保证其清洁。湿度必须符合对应的要求, 空调、UPS等必须要定期进行监察、布线与各类设备的标识必须清晰, 从而保障网络运行环境的安全。

电力企业的网络规划应当尽可能多设置迂回, 传输的网络要尽可能布置成网或成环, 应当尽量防止因为单节点失效致使多点失去网络连接的状况出现。注重网络路由的优化, 尽可能防止城区路由节点, 尽量减少因为线路中断引发的网络连接中断。

3.1.2 有效的网络防护技术, 加强网络安全管理

当前应用于解决网络安全的措施通常有虚拟专用网 (VPN) 、入侵防御系统 (IPS) 、入侵检测系统 (IDS) 以及防火墙。防火墙的作用主要用于在内部网络之间的界面构建一道保护屏障, 从而实现内部网络之间的安全隔离。入侵检测系统则可以在对网络性能不造成影响的前提下针对网络传输数据实施检测, 能够主动并积极的防御网络威胁。VPN技术能够用来解决各个系统之间或者各级分公司之间的数据传输与访问方面的安全隐患, 其主要目的是为了保障电力企业内部的关键数据可以安全的借助公共网络来进行对应的交换。

3.1.3 规范各级公司信息系统安全软件

供电企业应自上而下的统一部署各个分公司所使用的杀毒系统、内部网络监测系统、信息媒介监测系统、系统自动更新升级软件、备份和恢复系统。应做到系统内部的网络设备能够及时更新升级, 并且设置专人维护, 确保各种自动管理系统的安全稳定运行。并且监测在内部网络内的计算机是否有不被允许的外部网络访问及外部信息媒介的接入。

3.2 安全管理

技术手段虽然能够行之有效的解决一些常见的信息系统安全隐患, 然而对于电力企业的信息系统的保护来说, 只是依靠技术手段还不行, 采取科学合理的管理也是电力系统安全运行的保证。

3.2.1 加强信息安全管理, 提高员工安全意识

电力企业员工自身的安全意识对于信息系统的安全也是非常重要的。电力企业应当组织开展各种形式的培训, 提升企业员工自身的警惕性, 并且让他们养成安全使用计算机的良好习惯。此外, 电力企业还应当制定对应的信息系统网络安全管理条例, 将事故的责任明确到个人, 能够较好的加强企业员工的主人翁意识与责任感, 从源头上杜绝信息系统数据使用泄密的情况出现。

3.2.2 完善管理制度, 加强执行力度

要切实控制导致威胁电力信息系统安全的人为因素, 电力企业就必须强化相关管理制度的制定。通过构建一套科学合理的运行维护制度与安全管理体系, 明确各个岗位的职责, 同时根据具体的准则来规范各种操作, 构建应急预案与信息网络故障抢修, 并且要定期或不定期进行联系。通过这些强有力的制度作为保障, 才能够更好的推动电力企业信息系统的稳定安全运作。

4 小结

电力企业网络信息安全是一个复杂的系统工程, 不仅涉及到技术方面的限制, 还牵扯到管理方面等多个层面。如果要得到相对高水平的安全措施, 就必须将多种方法适当综合的应用。随着当今信息技术及计算机技术突飞猛进的发展, 新的安全问题会出现, 也会不断发生变化。在进行电力企业信息系统安全防护的过程中, 相关人员应本着实事求是、小心谨慎的态度从技术和管理两个方面进行大量摸索和实践。随着我国各个行业都处在信息化建设的进程中, 电力行业也不能落后, 当然在推进信息化进程的同时也不要忽略其安全性能。我们必须保证严格执行国家相关法律法规的基础上遵照一定的原则和规范来考虑问题, 搭建一套完备的安全防护体系。做好电力企业信息系统的安全防护工作不是一朝一夕就可办成的, 还有很多工作要做, 例如要做好规范业务系统服务器的日常运行维护工作、建设安全设计系统、建设漏洞扫描系统、实现数据库安全防护、实现补丁管理系统、业务系统编码安全规范和实现数据加密等。当前, 电力企业都是在业务系统建设完成之后才补充进行安全防护, 这种做法严重制约了电力企业信息安全防护建设的开展, 存在很大的安全隐患。在电力企业信息安全建设中, 应坚持信息安全与信息化建设同步规划、同步建设、同步投入运行的原则, 才能不断提高信息安全的综合防护能力, 确保电力企业网络与信息系统的安全运行。

摘要：探讨当前电力企业内部业务系统信息数据的安全保护策略。采用研究分析电力企业业务系统信息数据安全保护的当前状况, 同时充分结合国家电监会对应的制度要求、信息安全等级保护制度相关文件以及国家对应的标准, 从而总结并提出了电力企业内部业务信息系统数据的安全保护的步骤、策略以及具体的思路, 实施信息资料安全等级保护“分级保护、等保评级”的措施, 从而保障电力企业内部业务信息系统数据的安全。

关键词：电力企业,信息系统,安全保护

参考文献

[1]赵志宇.谈电力信息系统安全保障体系建设原则及思路[J].计算机安全, 2009 (06) .

[2]香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技, 2010 (05) .

[3]梁运华, 李明, 谈顺涛, 钱峰.电力企业信息网网络安全层次式防护体系探究[J].电力信息化, 2003 (02) .

[4]齐光胜, 周纲.省级电力营销管理信息系统建设方法与策略[J].电力信息化, 2003 (04) .

[5]李志茹, 张华峰, 党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化, 2012 (04) .

浅析网络数据库的安全保护策略 篇2

【关键词】网络数据库；安全防护策略；网络加密技术

【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158（2013）07-0105-01

1 网络数据库安全性概述

网络数据库一般采用客户机/服务器（Client/Server）模式。在客户机/服务器结构中，客户机向服务器发出请求，服务器为客户机提供完成这个请求的服务。例如，当某用户查询信息时，客户机将用户的要求转换成一个或多个标准的信息查询请求，通过计算机网络发给服务器，服务器接到客户机的查询请求后，完成相应操作，并将查出的结果通过网络回送给客户机。

对网络数据库系统运行环境的分析，网络数据库系统正常运行的管理包括：硬件组成的网络拓扑结构的管理、网络操作系统及网络数据库系统的管理、日常工作中制度和人的管理。它的安全性问题相应包括三个方面的内容：

（1）运行网络数据库系统的硬件安全性，即物理安全。包括服务器、交换机、网线、电源等设备故障、水灾、火灾等环境事故。

（2）运行网络数据库系统的网络安全性。主要指网络数据库系统自身安全性以及网络数据库所处的网络环境面临的安全风险。如病毒入侵和黑客攻击、网络操作系统及应用系统的安全，主要表现在开发商的后门（Back-door）以系统本身的漏洞上。

（3）运行网络数据库系统的管理安全性。主要包括管理不善、人员操作失误、制度不健全，造成日常管理中出现安全风险。

通过分析网络数据库系统的不安全因素，针对不同因素，给出网络数据库系统安全的主要防范技术和措施。它们是相辅相承的，应统筹考虑，以确保数据的安全。

2 网络数据库安全策略

2.1 物理安全防护策略

物理安全保证重要数据免受破坏或受到灾难性破坏时及时得到恢复，防止系统信息空间的扩散。在物理安全方面主要采用如下措施：

（1） 网络安全设计方案符合国家网络安全方面的规定

（2）建立良好的电磁兼容环境，安装防电磁辐射产品，如辐射干扰机。

（3）产品采购、运输、安装等方面的安全措施。

（4）对重要设备和系统设置备份系统。

（5）网络数据库系统运行的服务器、网络设备、安全设备的防范，主要包括防水火、防静电等。

2.2 网络安全防护策略

网络系统是网络数据库应用的基础，网络数据库系统要发挥其强大作用，离不开网络系统的支持。网络系统的安全是网络数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始。

（1）网络数据库系统的安全防护策略。主要表现在对数据的存取控制上，对不同用户设置不同权限，限制一些用户的访问和操作，避免数据丢失或泄露。

（2）防火墙技术。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，目前越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合系统，包括硬件和软件两个部分。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业单位的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙可以是一个分离器、一个限制器、一个分析器，它有效地监控了内部网和 Internet之间的任何活动，保证了内部网络的安全。防火墙主要功能体现在可以强化网络安全策略，对网络存取和访问进行监控审计，防止内部信息的外泄等方面。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为两大类：分组过滤（Packet filtering）和应用代理（Application Proxy）。

（3）网络防病毒技术。对于复杂的网络环境，系统的错误和漏洞是难以避免的，病毒就是利用这一特点，进行网络攻击或信息窃取，构成对网络安全的巨大威胁，因此必须严防计算机病毒对网络的侵袭。网络防病毒技术包括预防病毒、检测病毒和消除病毒等三个方面。管理上加强对工作站和服务器操作的要求，防止病毒从工作站侵入；技术上可以采取带防毒芯片的网卡，安装网络防病毒软件，配备专用病毒免疫程序来进行预防，采用多重技术，互为补充。

（4）入侵检测（Instrusion Detection）。入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，可以说入侵监测系统是防火墙的延续。它们可以和防火墙、路由器配合工作。入侵检测是近年来发展起来的一种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码推理等技术和方法。入侵监测系统IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时监控和报警。

（5）网络加密技术。随着网络技术的发展，网络安全也就成为当今网络社会的焦点，病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。采用网络加密技术，可实现数据传输入的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。

2.3 管理安全防护策略

网络和网络数据库系统的使用、维护和安全运行，归根结底都离不开人，所以要时刻加强对操作人员管理与培训。

（1）根据国家、行业等相关标准，结合实际机房、硬件、软件、数据和网络等各个方面的安全问题，制定切实可行的规章制度。

（2）对操作人员进行培训，提高技术水平，对系统进行及时的升级并利用最新的软件工具制定、分配、实施和审核安全策略。

（3）进行安全宣传教育。对操作人员结合实际安全问题进行安全教育，严格执行操作规章，提高操作人员责任心。

（4）加强内部管理，建立审计和跟踪体系，提高信息安全意识。

3 结论

保障网络数据库系统安全，不仅涉及应用技术，还包括管理等层面上的问题，是各个防范措施综合应用的结果，是物理安全、网络安全、管理安全等方面的防范策略有效的结合。在具体实施时，应根据实际、因地制宜进行分析和采取相应有效措施保护网络数据库系统乃至整个网络系统的安全。

随着网络数据库系统的发展，对网络数据库系统的攻击方式也不断改变，网络数据库系统的安全和维护工作也要与时俱进、合理升级更新技术、加强网络检测与加密技术，确保网络数据库系统运行安全。

参考文献

企业数据库的安全保护论文 篇3

1、计算机数据保护在电力企业应用的现状

由于计算机网络使用的广泛性, 使得电力企业的工作效率大幅度提高, 工作的范围在无形中扩大了。但是伴随而来却是计算机数据在的安全问题。病毒木马感染的途径, 可以说无孔不入, 防不胜防。可能是一张简单的图片, 可能是一封简单的邮件, 均可感染。目前的电力企业的管理系统上, 与互联接口在配置上只有简单的防火墙, 其安全系数很低, 很有可能受到黑客的简单攻击, 就造成企业数据的严重丢失, 重者使企业系统完全瘫痪。

有一些电力企业设有局域网, 在设计上并没有进行正常的虚拟网络VLAN的划分与管理, 在使用高峰时期, 常常出现网络严重阻塞的问题, 致使工作效率明显下降。还有一些电力企业使用盗版或者免费软件, 软件自身做不到及时更新, 或者无法更新, 给企业系统造成巨大的漏洞, 给黑客攻击留下后门。同时由于电力企业的特殊性质, 很多情况下, 其系统要保证24小时不间断工作。这就使得系统中很多工作站长期处于不关闭状态, 系统受到远程攻击的危险系长期存在。

2、计算机数据安全需求分析

通常情况下, 电力企业在计算机数据安全系统规划上, 重视三个方面, 即安全策略、安全产品、安全的人。安全策略作为整个安全系统的核心, 直接对安全产品及其人员有一定影响, 制定一个成功的安全策略是完成网络安全一个重要的环节。电力企业在建设过程中, 应对其高度重视。安全的产品, 可以有效控制和抵御外部各种形式对企业网络信息系统的攻击。其作确保数据安全的积极手段而存在, 安全的人, 带有其不确定性, 如何让其良性的为企业服务, 需要企业对其进行教育与制度的约束。

3、计算机数据安全保护策略

3.1 做好电力企业计算机数据安全风险评估

在电力企业计算机系统建设的工程中, 数据安全应作为安全风险评估中的重点, 应聘请权威专业的风险评估机构, 并组织企业高级专业人员进行全程参与, 全面系统对企业计算机系统建设进行评估, 实行多次评估机制, 尽可能将风险降低到最小化。电力企业系统建设过程中, 要培养信息安全的专业梯队, 只有专业人才与完善的企业系统优化组合, 才能为电力企业计算机数据的安全穿上防护服, 发挥系统的真正的作用。

3.2 做好电力企业计算机数据保密工作

电力企业部分员工对计算机数据保密问题上, 长期存在这一定误区。我们要面对的就是尽一切能力, 把各种计算机泄密可能出现的问题遏制在源头。在于人员操作问题, 由于不是每一个岗位上, 使用这个系统的工作人员均是专业的计算机安全维护人员。这就需要制定严密的计算机操作体制。例如:禁止工作时间上网浏览无关网页、禁止网络游戏、禁止收发未知邮件等等。对电力企业中每一名可能接触到数据的工作人员, 定期进行计算机网络安全方面的培训, 对数据泄露人员保留追究其法律责任。

3.3 做好电力企业数据加密技术的应用

由于电力企业许多数据要求的保存年限都比较长, 其中很大一部分要求永久保存, 对这些特殊数据的加密工作是不可回避的。其方法通常有加密机、虚拟私有网、密钥管理系统、公共密钥体系和身份认证钥匙手段等。根据密钥类型大体上把密码技术有分成两大类, 一类是对称加密算法, 又称为私钥密码体系;一类是非对称加密算法, 也就上面说到的公共密钥体系。其中身份认证钥匙在企业数据加密中应用广泛, 银行业对其使用率很高。这是我们电力企业可以借鉴。

3.4 做好电力企业数据备份传输工作

数据的完整性常常是衡量一个企业业务水平的标准, 确保企业数据备份及其恢复, 是必须要做好的工作。必须确保数据可以精确的备份与传输。在遇到突发情况时, 对于数据的恢复工作, 要做到完整不留死角。对于备份与传输的介质, 要求很高。例如, 通过网络备份, 就要求网络的稳定与畅通。通过硬盘备份, 这就要求硬盘完整, 无任何损害。

3.5 做好电力企业计算机系统攻击入侵处理预案

电力企业计算机系统, 应做好随时面对大规模攻击入侵的准备。应制定一系列的处理预案, 设计上围绕电力企业计算机数据安全为基准, 实行一种情况多套预案原则。通常情况下, 企业原有计算机安全的专业人才, 并不足以抵御大规模入侵。企业应该和权威专业的数据安全厂商进行合作, 在特殊情况下, 请专业数据安全厂商接手, 对其进行处理。

4、结语

在网络进入“云”时代的今天, 计算机渗透到电力系统的日常工作的方方面面, 电力企业应结合自身情况, 建立健全电力企业计算机系统, 完善电力企业计算机数据安全保护。计算机数据安全保护任重道远。

参考文献

[1]刘立兵.浅谈计算机网络在电力系统的应用及安全性[J].科技信息, 2010, (03) .

[2]马晓欢.电力企业计算机网络安全策略探讨[J].企业导报, 2010, (06) .

浅析大数据的安全与信息保护 篇4

【关键词】大数据 数据安全 信息保护

前言

现今社会各行各业都逐渐加大对数据的使用，数据系统变得越来越庞大复杂，这对数据安全以及信息保护造成了极大的不便，要处理以及管理如此复杂的数据系统，全面的安全以及信息保护技术是必不可少的，但现在人们面临着日益严峻的信息安全问题，这需要当局正确认识到此项技术的重要性并积极主动解决这一问题。因此，保护信息的安全成为了一项巨大的挑战。

大数据的概念及特征。大数据，简单的说，就是数据集，平常的数据存储和管理工具很难对其进行分类和处理。大数据，字面意思上可以看出其规模庞大，数据的传输速度迅速方便，特征明显呈现多元化。

具体来说，我们平常通过互联网平台进行的一切活动产生的各种数据信息，例如图片、视频、文字、等常见的数据类型。

大数据具有规模性、多样性、价值性、高速性的特征。大数据分析用于不同领域用途大为不同，但他们分析目标差别不大，都是通过对大量的原始数据的分析整合从而获得有价值的信息，再进一步的分析进而预测下一步的发展。

大数据面临着安全与信息保护的挑战。

首先，大数据面临着个人隐私泄露带来的信息安全隐患。大数据时代有利也有弊，大数据给人们的生产和生活带来了便利，但同时由于信息处理不当等原因也给用户的隐私带来了极大的风险。例如，将客户信息扩大化，知道一个人的姓名和消费习惯通过数据搜索即可发现客户的政治观点等方面的信息，即便很多时候对个人的信息会进行一定程度的匿名处理等信息保护。这些给用户带来了极大的经济与精神损失。

其次，大数据面临着缺乏可信性的挑战。数据同样具有欺骗性，需要我们对其进行有效的识别，很多虚假的信息有可能隐藏在大数据中，这就对人们的判断造成了一定的误导，导致人们判断错误。另外，在信息传递的过程中，信息有可能会逐渐降的失真，这是因为在信息传递采集过程中会有一定的误差，而这些误差会导致信息的失真。还有就是数据与现实变更不同步同样会导致信息的失真。

再者，大数据面临着技术缺乏，监管不力的挑战。大数据信息时代，信息传播速度十分迅猛，很多现实都是通过数据信息反映出来的，而由于技术缺乏以及监管的不力，导致存在大量的虚假信息，或者信息在传播过程中失真，损失以及用户信息的泄露等一系列问题给社会或者个人的经济或者精神方面都会带来负面的影响，不利于社会的稳定发展。

最后，在访问控制大数据的时候，同样面临着很多的难点，其一是角色的预先设置问题，不同组织或者不同身份的人所运用的数据是不同的，因此需要对其进行角色划分，但往往是很难实现的。其二是每个角色的实际权限是无法预知的，在现实中很难准确的识别用户访问的数据范围，同时定义所有用户权限的规则，是一种低效的方法。其三是因为对大数据的访问是多样化的，而我们在对其控制处理的时候很难掌握其精度，这同样是挑战之一。总之，数据安全面临着巨大的考研，因此，对大数据安全以及信息保护是十分必要且迫在眉睫。

提高大数据安全与信息保护的方法与措施。

第一，通过对大数据保护技术的创新和灵活运用提高保护力度。大数据保护技术是大数据安全与隐私保护的基础，能够有效的保证数据信息在数据库领域范围内的存储和处理。现代科技条件下，我们不仅需要细化数据信息的来源和记录，而且需要具体形象化数据符号，一定要及时对数据信息进行标记和核实，以便能过高度还原真实的数据信息。而要做到这些就必须强化大数据安全和信息保护，提高大数据保护技术的创新。大数据时代，很多情况下都需要用户对身份信息进行再三确认，强化数据信息保护技术，用来达到最大化保护用户隐私的目的，减少不必要的损失和负面影响，避免给用户带来经济损失和个人财产隐患。

第二，抵抗不良的数据垄断。数据时代的到来，绝大多数的个人和企业都能够认识到数据信息的重要性，数据作为执行的基础以及创新的源泉，提高大数据安全以及隐私保护极其重要。很多的数据大亨利用手中的数据信息资源进行不良操作和恶性违规事件，控制着很多信息的传输和存储，极大的影响了人们的正常生活和对数据信息的有效利用，阻碍了其良性发展。因此提高对于数据信息的正确利用，抵抗对数据的垄断势在必行，只有这样才能公平合理的利用数据信息，利用大数据的优势为社会大众谋福利，避免因为数据信息的违规使用带来的不可避免恶性影响。

第三，数据发布匿名保护技术。对于结构化数据来说，想要有效地实现用户数据安全和信息保护的关键是数据发布匿名保护技术。但是这一技术还需要不断研究和完善。现在的数据发布匿名保护技术的基本理论大部分设定的环境都是用户一次性、静态地发布数据。例如通过泛化元组和抑制处理的方式对标识符进行分组，对有共同属性的集合用k匿名模式进行匿名处理，但这样的方式容易漏掉一些特殊的属性。而且现实是多变的，数据发布是连续、多次的。在复杂的大数据环境中，要实现数据发布匿名保护技术还存在一些技术性困难。攻击者可以获取各类信息利用不同的发布点、不同的渠道，确定一个相对准确的用户的信息。这还需要更多的时间和精力去深入研究。

第四，社交网络匿名保护技术。社交网络作为大数据的重要来源之一，在社交网络中包含了大量的个人信息，因此必须做一些匿名保护。一般攻击者都是利用节点的各种属性来识别用户的身份信息，而我们社交网络匿名保护就是要在用户发布信息的时候，隐藏起用户的标示和属性信息以及用户之间的关系。这是社交网络数据安全与信息保护的要点，可以有效的防止攻击者破解匿名保护。通过用户在不同渠道发布的数据，或者是用户之间的边联系推测出原本受匿名保护的用户。另外是通过在完整的图结构中，利用超级节点对图结构进行部分分割和重新聚集的操作，这样就可以实现边的匿名，但这种方法对数据信息的使用性并不高。

第五，数据水印技术。水印技术是指将可标识信息以一些比较难察觉的方式嵌入到数据载体里当然是要在不影响数据内容和数据使用的情况下。一般用于媒体版权和数据库、文本文件的保护中。但是在多媒体载体上与在数据库或者文本文档上应用水印技术是有很大不同的。因为二者数据的无序和动态性等特点并不一致，数据水印技术从其作用力度可以分为强健水印类和脆弱水印类，强健水印类多用于证明数据起源，保护原作者的原创权；而脆弱水印类则用来证明数据的真实与否。遗憾的是水印技术仍需要改进的就是它并不适应现在快速大量生产的大数据。

总结

大数据时代为我们带来了方便的同时，也引发了一系列的安全问题，所以，我们要采取积极有效的措施来对其进行切实的保护。

关于数据库安全保护的研究 篇5

1 数据库面临的安全问题

如何对数据库中的数据做到完整性、保密性、一致性、可用性和抗否认性这是数据库安全所考虑的问题。数据库的完整性是指保证数据库中的数据不被删除和遭到破坏;保密性是指不让数据库中的数据泄露和未对数据库授权的人不允许查看数据库;一致性是指满足数据库中的用户自定义完整性、参照完整性、实体完整性的要求;可用性就是确保数据库中的数据不会因为人为因素或自然的原因对授权的用户不能够使用数据库;抗否认性是确保用户事后无法对数据库进行的一系列访问、修改、查询等操作的否认。

目前, 对数据库造成安全威胁的涉及到很多方面, 其中包括:非法用户进行对数据库系统的修改和对数据的窃取。对数据的使用权限系统没有作出明确的管理, 就出现了对数据库的使用权限和对数据库的修改权限的混乱问题从而导致了数据的泄露和破坏。

计算机系统的安全性, 如计算机硬件故障也会是一些数据丢失和遭到破坏, 软件的损坏也会造成数据的丢失。在通信过程中网络带来的数据安全, 在进行网络通信时在通信线路上由于电磁辐射造成的数据丢失。人为因素造成的数据库不安全, 如在数据库授权时并没有指定数据库的防护策略和安全说明, 复制和泄露数据信息。操作系统安装不安全造成的数据丢失面临的安全问题。外部环境造成的数据库不安全, 如火灾、水灾、雷电、地震等自然灾害造成的数据不安全问题, 黑客有意的入侵, 使计算机病毒侵入造成的数据丢失带来的数据不安全。

以上可以反映出数据库不安全因素是比较广泛的, 只有加强数据的安全保护才能保证数据不会被泄露、修改等。

2 确保数据库安全的措施

防火、防盗、防震、防断电等都是数据库的安全问题。本文所讨论的数据库的安全保护是指在数据库管理系统的作用下, 防止数据的损坏、泄露和修改等对数据的不合法的使用。数据存储、访问与管理的核心平台软件是数据库管理系统。因而它也理所当然成为维护数据库系统的安全核心。

2.1 用户身份的标注与验证

用户身份的安全验证是系统安全的第一道防线。它是根据用户的身份信息来确认用户的, 通过数据库权限的限制来确保用户的合法性, 从而保证了数据的安全性, 未授权限的用户访问数据库中的数据和对数据库中的数据进行一定的操作是不被数据库允许的。因为访问数据库前用户都有一个注册信息, 当你访问数据库时系统会根据先前你注册过的信息与你输入的信息进行核对, 如果符合就允许用户访问, 否则就说明是非法用户, 系统会拒绝用户访问数据库的。但是仅靠用户身份信息来确认, 还不足以成为鉴别用户身份的凭证。为了进一步核实用户身份, 系统常常要求用户输入口令。

2.2 存取权限的控制

控制用户对数据库的访问, 只有对数据库授权的用户才能对数据的访问和存取, 这就是数据库存取权限所要完成的任务。通过数据库的存取权限, 从而确保了只有授权的用户有资格访问数据库并拒绝未授权的用户的非授权访问。而数据库管理系统 (简称DBMS) 是系统用来完成存取权限控制的, 利用DBMS的功能, 系统就能够设置不同的用户拥有对那些数据的访问与存取的操作, 并且它也能保证未授权限的用户拒绝访问数据库。在数据库系统中用户只能对于给他授权的数据库对象进行存取操作。并且它也能完成不同的用户对同一个数据进行访问并且它们的访问权限也不相同。

2.3 对数据进行加密

为了确保数据库中的数据不被泄漏和修改, 可以通过数据加密方式来防止。将明文数据转变成一种密文数据就是数据加密。与传统的数据加密技术相比较, 数据库密码系统有其自身的要求和特点。传统的加密以报文为单位, 加解密都是从头至尾顺序进行。而数据库的加密要求是以每个记录的字段数据为序。利用密钥的原理只需借用文件加密的密钥管理方法, 对数据库的数据采用库外加密。利用数据加密保证了只有合法用户访问数据库中有权限的数据时, 系统才把相应的数据进行解密操作, 否则, 数据库系统应当保持对重要数据的加密状态, 以防止非法用户利用窃取到的明文信息对数据进行修改、删除等操作。数据加密仅利用密钥管理对数据进行库外加密是不够安全的, 通常是把密钥管理与置换方式相结合来确保数据库中的数据的安全, 因为, 加密时密钥一旦丢失或出错, 数据库中数据信息就会被非法用户窃取或者修改。在数据库的概念模式与存储模式之间, 增加一个数据的加密模式, 保证了数据库中的数据的安全。使用户更加放心的使用数据库来存放数据信息。

2.4 对数据库进行备份与恢复

数据库的备份与恢复是保证数据库的数据安全的重要手段。数据库总是避免不了会发生一些系统故障, 一旦系统发生故障, 数据库中的重要数据总是避免不了会有一些丢失与损坏。为了防止数据的丢失与损坏, 数据库操作员事先要对数据库中的数据做好备份这样当系统发生故障时就能够根据先前对数据库中的数据做好的备份进行恢复, 从而确保恢复到数据库原先的状态, 保证数据的正确运行, 也保证数据的完整性与一致性。目前, 数据库备份常用的备份方法有静态备份、动态备份和逻辑备份等;而数据库恢复则可以通过磁盘镜像、数据库备份文件和数据库日志三种方式来完成。

3 结语

本文就数据库存在的安全问题展开了相应的措施, 从而保证数据库能够安全的运行, 保证用户、企业、国家等存储在数据库中的重要机密不被泄露、篡取、修改、删除等。

参考文献

[1]萨师煊, 王珊.数据库系统概论[M].北京:高等教育出版社, 2000.

[2]朱良根, 雷振甲, 张玉清.数据库安全技术研究[J].计算机应用研究, 2004 (2) :127-129.

集群环境下数据库的数据安全保护 篇6

摘要：目前大部分的电力企业使用的数据库都是采用集群方式, 在构建数据库时, 一般都会将数据库构建在小型机上, 通过小机操作系统 (UNIX) 自带的集群软件系统创建数据库的集群, 这样在数据库的高可靠性上得到保障。作为电力信息化的核心——数据来说, 其安全保障是不仅仅具有可靠性就能保证的, 其离线备份也是安全保护的重点, 但是基于集群环境的存储备份与恢复和一般的非集群环境下有很多不同。分析数据库的集群原理和结构, 保护集群环境下数据库的数据文件, 论述数据库的集群环境下数据的备份和恢复等相关问题。

关键词：RAC,异机恢,裸设备

参考文献

[1]陈吉平.构建Oracle　高可用环境　[M].北京:电子工业出版社, 2008.

企业数据库的安全保护论文 篇7

关键词：虚拟私有数据库,行级安全,RLS方式

虚拟私有数据库 (Virtual Private Database, VPD) , 是Or acle中引入的能够确保行级安全的一种安全策略, 它通过PL SQL实现的安全函数, 定义了针对表、 视图以及类似对象的行级安全策略。

必要时, 我们的安全需求是需要根据用户的权限对数据进行强制分类, 在这种情况下, 用户被授权可以访问不同敏感等级的记录———SECRET (绝密) 、 CONFIDENTIAL (机密) 以及UNCLASSIFIED (未分类) 。 混合在数据表中的数据有着各自不同的敏感等级。 正在访问数据的用户只能查看到记录的一个子集, 拥有不同权限的不同用户看到的是记录的不同子集。

VPD技术正是基于这种安全需要所引入的, 有趣的是, 这种安全保护方式能够使安全保护能力是透明的, 而且用户无法颠覆安全保护措施。“虚拟私有数据库” 是指使用了行级安全保护 (Row-Level Security, RLS) 能力和应用上下文的数据库。

1 行级安全

VPD的行级安全允许在利用PL/SQL实现的安全策略的基础上, 限制对数据记录的访问, 在这儿所指的安全策略只是简单地表示对数据列的访问控制。 这个过程是通过创建PL SQL函数并返回字符串完成的。 函数将注册各个表、 视图以及使用DBMS_RLS的PL/SQL包保护的类似的对象。 当针对保护的对象发出查询时, Oracle将在原来的SQL语句中添加函数所返回的字符串, 从而过滤数据记录。

Oracle在实现RLS保护时需要使用PL/SQL函数。 PL/SQL函数将接受两个参数, 数据库则会自动透明地调用这个函数。从函数中返回的字符串将被添加在原来的SQL语句中, 这会消去某些行, 从而实现了行级安全。

这个示例中的安全策略是在SCOTT.EMP表的查询结果中去除部门10的记录。具体实现的PL/SQL函数如下:

为了保护SCOTT.EMP表, 只需要利用DBMS_RLS.ADD_POLICY过程把上述的PL/SQL函数与SCOTT.EMP表相关联:SQL>BEGIN

也就是说, 至此已经实现了行级安全保护。为了测试该保护策略, 可以作为用户登录数据库, 并访问SCOTT.EMP表, 发出DML查询, 下面的结果显示了可以获取其他所有部门的记录, 而再也不能获取部门10的记录。

以scott用户身份登录数据库

如果想改变安全策略的具体实现方式, 也很简单。假设更改安全策略, 不给用户SYSTEM返回任何记录:

可见, 由函数实现的安全策略可以随意更改, 而不需要利用DBMS_RLS包重新注册。

上述的示例可以让人们快速了解行级安全, 安全策略可以非常复杂, 而实现安全保护策略的安全函数一般情况下则可以根据用户的权限动态返回不同的字符串。

实现安全测试的函数的功能是返回字符串 (varchar2) , 并作为原来的查询语句中的谓词或“where”子句。为了让安全策略生效, 则必须修改原来的查询语句, 并添加谓词字符, 然后执行查询语句。例如, 一个简单的查询语句select*from EMP可能会被返回谓词ename=USER的RLS策略函数增加部分内容, 然后真正执行的有效的SQL语句是select*from EMP where ename=USER。

通过调用DBMS_RLS.ADD_POLICY过程, PL/SQL函数将在表、视图或者类似的对象中注册。DBMS_RLS并没有被授予每一位用户, 管理员需要拥有直接执行该包的权限。而ADD_POLICY则至少需要得到策略将要应用的对象的名字、策略的名字以及实施安全保护策略的PL/SQL函数的名字。

策略可以应用于SELECT、INSERT、UPDATE、DELETE以及INDEX语句, 而其中的INDEX则会影响CREATE IN-DEX和ALTER INDEX DDL命令。不管用户是直接还是间接访问受保护的表、视图还是类似对象, 都将透明地激活RLS保护策略, 并执行注册的PL/SQL函数, 然后修改原来的SQL语句并执行该语句。

2 RLS的优势

RLS很灵活, 并能在细粒度上实施安全保护。默认情况下, 安全策略可以应用于所有的DML语句。ADD_POLICY过程将接受STATEMENT_TYPES参数, 从而允许管理员指定安全策略将应用于哪种DML操作。这种细粒度的保护允许数据库根据DML的类型分别应用安全保护策略。例如, 数据库可以很方便地支持SELECT安全策略, 即安全策略允许所有利用SELECT获取的记录;而INSERT和UPDATE策略则根据用户的部门号限制INSERT和UPDATE操作。DELETE策略则限制只能针对用户本身的记录执行DELETE操作。

可以对相同的对象使用多个策略:数据库将对多个策略执行逻辑“与 (AND) ”操作。也就是说, 如果某个策略返回了ename=USER, 而另一个策略 (针对相同对象的相同DM操作) 返回了sal>2000, 那么数据库将自动添加这两个策略, 从而产生where ename=USER and sal>2000。

利用VPD所得到的安全保护:利用谓词限制原来的查询语句返回的记录, 而不管查询语句是如何发出的以及是由谁发出的。记录过滤机制提供了确保策略有效的并且是一致的行级安全保护能力, 而不管应用应用程序是如何与数据交互的。整个过程对于发出查询的应用程序是透明的。有关VPD的最有效的因素则是安全保护措施紧贴着其保护的数据———一致的、集中管理的、无法绕道而走的。

数据库在对象级以及对象内部同时支持数据的安全保护, 对于确保安全的一致性和持久性是至关重要的。一个定义良好的数据库模式会在编程语言和应用程序的变化期间保持不变。因此, 针对数据库的良好的安全模式对于确保数据的整体安全是至关重要的。通过使用VPD的特性, 数据库可以实施其安全策略, 从而任何使用数据库中数据的应用程序都可以自动得到安全策略的保护。

3结语

虚拟私有数据库 (VPD) 有助于解决与视图有关的若干问题。通过PL/SQL实现的安全函数, 定义了针对表、视图以及类似对象的RLS策略。当然, 真正用于VPD的PL/SQL函数可以是基于任何相关的信息———IP地址、日期、应用上下文等。

参考文献

[1]薛莹.Oracle Database 10g性能调整与优化[M].清华大学出版社, 2011.

证券业的数据安全与保护 篇8

随着我国资本市场的迅速发展, 市场的规模扩大的同时也增强了社会的影响力。作为国民经济的重要组成部分的证券市场, 同时也是老百姓的投资理财渠道。证券市场的安全与稳定对投资者、社会稳定、国家金融安全都有着非常重要的意义。面对日益复杂的数据安全问题威胁, 应该积极采用防御措施, 减少数据安全问题的发生。

1 证券业数据安全现状与存在的问题

1.1 数据安全法规及标准体系

证券业数据安全需要健全的数据安全法律法规与标准体系来保障, 这些是数据安全的第一道防线。我国证监会从1998年开始就发布了一系列的安全法规和技术标准, 这些安全法规与标准体系的初步形成推动者证券业数据安全的规范化与标准化。虽然我国有众多的数据安全规范性文件, 但是在现行的法律规范中, 立体主体多、体系繁杂、没有统筹规划的问题突出, 不能够适应新形势下的数据安全保护工作。主要存在的问题有: 法规建设滞后, 没有总体的规划;规范不能互通和协调, 尤其不能注重结合行业特点, 可执行性不高;一部分规范已经不能够应对新型的数据安全威胁;部分规范不能够得到落实[1]。

1.2 组织体系与数据安全保障管理

对数据安全的管理和保护都离不开人员的组织与实施, 组织体系是数据安全保护工作最重要的部分。为了协调数据安全保障工作的组织, 应该建立与健全数据安全管理制度与运行机制, 提高整体的数据安全保障工作水平。作为一线的技术管理人员, 我们认识到组织体系和安全管理制度对于数据的保护是十分重要的。例如, 公司应设立专门的安全总监, 负责技术、网络安全;应设立审核岗, 专门负责审核运维、开发工作人员的所有操作记录;应设立资料员岗, 负责保管系统密码, 数据光盘;还有重要的业务数据需要提交测试时, 必须严格按照公司规定进行脱敏处理等等。只有在制度上和运行机制上堵住了数据泄漏或被篡改的渠道, 才能建立起数据安全保障的基本防线。

2 证券业数据保护措施

2.1 完善法律规范与标准体系

从法律法规规划上来说, 应该要统筹兼顾地制定数据安全规范与标准体系框架, 一方面要做好立法工作规划, 另一方面要是数据安全标准与体系科学、规范。从法律法规制定上说, 要将规范与发展统筹兼顾, 提高法规的可操作性。从法律法规的实施上说, 要将规范与引导结合起来, 重视监督工作, 落实责任。

2.2 证券业 IT 治理工作

2.2.1 提高 IT 治理意识

中国证券协会加强IT治理理念的宣传教育工作, 尤其是单位的高层领导, 要对其进行IT治理培训, 在高管任职考核中加入IT治理方面的理论知识[4]。通过让证券经营机构参加论坛、交流会等方式加强IT管理意识, 提高积极性。

要充分认识到数据安全治理的必要性:它是证券公司稳定运行的需要;是监管部门风险管理的需要;是证券业务及管理创新的需要;是合规的需要;要明确IT治理中数据治理的要点: (1) 是明确证券公司数据治理的的主体, 一定要落实到公司的高层管理人员; (2) 是要建立数据质量标准。明确业务框架, 确定业务流程后, 建立清晰的数据视图; (3) 加强数据生民周期全过程管理;数据的生成及传输、数据的存储、数据处理和应用、数据销毁;等环节必须明确流程, 落实到岗, 全过程管控;这些关键点在IT治理中必须要明确, 不能含糊或缺失。

2.2.2 通过 IT 治理试点最终实现以点带面

IT治理不同的模式具有不同的特点, 在证券经营机构不同的阶层要根据具体情况采用不同的IT治理模式。证监会要制定一些证券公司作为试点单位, 对IT治理模式进行实践与探索, 通过这些优秀范例的树立来带动整个证券业IT治理水平的提高。

2.3 落实信息安全等级保护

在行业信息安全等级保护工作中行业监管部门有着非常重要的作用, 应该监管部门的任务与机制进行进一步的明确, 通过统一的部署与组织来实现数据安全保护工作, 为数据安全保护保护工作的展开提供组织基础[5]。证券业各机构应该自主贯彻信息系统安全等级保护, 并对实施情况进行评估, 一旦发现不足应立刻制定整改方案并实施。

证券业应当依托证券业协会, 组织技术力量根据国家的《信息安全等级保护办法》制定符合自己行业特点的等保规范, 按照这个行业规范实施能跟好的保护券商信息系统安全, 达到防范数据风险的目的。

2.4 加强网络安全体系规划

2.4.1 进行以等级保护为依据的统筹规划

围绕信息安全的全过程的基础性的管理制度就是等级保护, 通过等级化的方法将其与安全体系规划结合起来, 对证券网络的安全体系进行统筹规划与建设, 建立一套数据安全保障体系, 是解决证券业网络安全问题的有效办法, 能够最大程度地保护网络数据安全。

2.4.2 提高网络防护能力

加强对证券业提供设备、技术、服务的IT公司的管理, 确保这些设备、技术、服务等符合国家与行业的相关技术标准。依据网络隔离的观点, 在业务网与办公网、互联网之间分别建立网络隔离, 网上交易的子系统之间也要建立有效的网络隔离。从技术上来说, 就是针对不同的业务区域利用网闸来进行隔离; 主要的网络边界和外部进口都要进行渗透测试, 加固系统和设备的安全性, 降低由于系统漏洞带来的安全风险;网上交易是要采用高强度的认证方法, 如电子签名、数字认证等, 通过访问控制的加强来保护数据安全;面对恶意攻击事件越演越烈的情况, 要通过一系列措施的加强来实现网站的保护, 提高对恶意攻击的防护能力;采用高科技手段来提高客户端软件交易的安全性[6]。

3 结语

数据的安全与保护工作要重视平时的工作。市场的监管、组织、参与等方面要通过长期的、不间断的努力来实现证券业数据安全, 使证券业数据保护工作向着安全、经济、高效的方向不断前进与发展, 满足资金市场创新、规范、稳定的新需求, 为证券业的稳定运行与发展提供保障, 从而保障资本市场的快速的、平稳的发展。

摘要：金融服务业是一个高度依赖信息技术的行业, 证券业作为金融行业中的一种, 同样具有这样的特点。数据的安全与保护是资本市场稳定运行的前提和基础, 如果不能够保证数据的安全就会导致资本市场出现混乱。本文主要论述了证券业数据安全的意义, 通过对证券业数据安全的现状及问题的分析, 提出了数据保护的相关措施。

关键词：证券业,数据安全,数据保护

参考文献

[1]张蕊.发挥证券业后发优势实现IT稳步发展——访中国银河证券股份有限公司信息技术部副总经理唐沛来[J].中国金融电脑, 2010, 03 (09) :19-24.

[2]陈建明.中国金融证券业软件与信息服务市场分析[J].发展的信息技术对管理的挑战——管理科学学术会议专辑 (下) , 2010, 12 (11) :11-13.

中小企业的数据保护细节 篇9

20世纪,企业往往将重要的文件(如商业秘密、资金信息、技术专利、员工信息等)锁到保险柜中进行保存,并配备了训练良好的私有保安员日夜守护。21世纪初,现代企业全面实行了自动化办公,通过计算机网络即可实现对信息的数据化操作与存放。由于计算机存在共享性和扩散性,因此计算机信息在处理、存储、传输的过程中很容易被泄露和窃取。很多人以为安装杀毒软件、防火墙可以起到保护企业信息的作用,但是计算机标准化的特性导致这些软件不可能高度智能到可以识别内部机密的泄露行为。

截至2007年6月30日,瑞星公司共截获新病毒133717个,其中木马病毒83119个,后门病毒31204个,两者之和超过11万个。这两类病毒都以获取经济利益为最终目的,侵入用户电脑,窃取账号、密码、电脑控制权等信息。其中,通过MP3 (或U盘)进行传播的“帕虫”病毒危害最为广泛,成为2007上半年的新“毒王”,向瑞星求助的受害用户已经有10多万人次[1]。

报告统计数据表明,2008年的前10个月,互联网上共出现新病毒9306985个,是2007年同期的12.16倍,木马病毒和后门程序之和超过776万,占总体病毒的83.4%,而获取经济利益是病毒制造者的根本目的。病毒数量呈现出了井喷式的爆发,杀毒软件用户开始质疑现有反病毒模式的有效性。

随着信息保密技术的不断发展,窃取者的技术也在不断创新,更多的人性化漏洞存在企业,以前的信息保密解决方案,已经不能从整体上解决企业的信息安全隐患,管理者不再简单满足于以防火墙防病毒,人性化的安全细节逐步得到管理者的重视。本文将从一些现实的计算机病毒攻击场景来再现企业数据保护的细节。

2 移动磁盘泄密的情景再现与分析应对(见表1)

首先,我们先从场景1进行分析,在国内大多数企业中都存在这种现象,造成现象的主要原因是将数据存放于不安全的移动磁盘中,并且没有将数据进行有效的加密[2],这种情况完全属于人为的失误,企业应该注意规定员工对公司信息处理的时间段,超过时间段后不能对数据再进行操作,即使需要将数据带到企业外部处理的,也必须将文件进行加密或者使用带有加密保护功能的移动磁盘[4]。

场景2,是属于一种对方早有预谋的恶意窃取。这种窃取方式很容易实现,以下是笔者编写的将I盘里的所有DOC文档拷贝到D盘内的简单C语言代码,供大家实验。

如果对方在自己机器上运行这段程序,那么当员工B在机器上插入移动磁盘时,移动磁盘内的所有DOC文档都将拷贝到对方的D盘内。网络上已有许多比这段代码更为复杂、精妙的程序,它们简称为“U盘大盗”,对移动磁盘内存储的文件“杀伤力”极高。企业应该明文规定移动磁盘的使用用途和使用权限,用于公司信息传递或者保存的移动磁盘不能被带出公司外部使用或者做其他用途。

场景3,Autorun病毒是一种利用Autorun.inf文件的自动安装功能来实现病毒传播的移动磁盘病毒。这种病毒传播范围广,破坏率和感染率较高,一旦双击U盘盘符就会引发感染。这是国内移动磁盘遭受病毒感染普遍的现象,几乎每一个使用过移动磁盘的人都中过这种病毒。目前,通过U盘传播的病毒占据总病毒数的比例,从2006年的不足10%,上升到2007年的32%左右。一般Autorun病毒的Autorun.inf文件内容为:

对于这样的U盘病毒,无论是使用右键选择“打开”还是运行“资源管理器”,病毒都会运行。目前,国内有很多防御U盘病毒的软件,其原理都是在U盘(或者每个磁盘)中建立一个与病毒Autorun.inf文件同名的Autorun.inf文件夹,然后在Autorun.inf文件夹内部再建立一个auto..的文件夹,其命令行下命令如下,供大家实验。

这个方法利用wnidows系列操作系统对目录处理的BUG,使得Autoun.inf的文件夹无法被删除(因为其内部的auto..这个文件夹windows无法删除),在一定程度上防止了Autorun病毒创建非法的Autorun.inf文件来进行传播。然而笔者在实验中发现,这个创建的Autorun.inf文件夹虽然不能被删除,但却可以更改名字,目前已经有新的Autorun病毒能修改U盘防御软件创建的Autorun.inf文件夹的名字,然后再自己建立一个非法的Autorun.inf文件开展破坏活动。所以,最好的方法就是企业对员工进行一些必要的安全培训,如打开磁盘的正确方式为:在地址栏上输入“盘符:”然后点击“转到”(如C:);接着在“开始”→“运行”中输入“gpedit.msc”调出组策略,在组策略的“计算机配置”→“管理莫板”→“系统”→“关闭自动播放”中启用关闭所有盘符的自动运行功能,这样就能从根本上杜绝“U盘病毒”。

3 WORD文档泄密的情景再现与分析应对(见表2)

场景1中,员工A虽然对利用了OFFICE的文档加密功能对文档进行了加密,但是加密方式和强度不当,网络上已经出现了很多诸如“OFFICE文档破解”“WORD文档密码解密”的软件,可以将加密文档进行解密[3]。合理的方法应该为:选择菜单“工具”→“选项”→“保存”,按需要输入保存和修改的密码(保存和修改的密码最好不同);密码的强度最好有数字和字母的组合并且大于10位以上,密码设置越复杂,被非法用户成功破解的几率越小;并且最重要的是选择加密方式,点击“高级”按钮,然后在打开的“加密类型”窗口中可以设置加密的算法,在列表中选择一个最合适的加密算法,然后在“选择密钥长度”处设置密钥的位数并点击“确定”返回(笔者建议选择128位的RSA和DES算法);当设置好加密算法后,点击“确定”,这时要求再确认所设置的密码,当再次正确输入密码后点击确定即可,系统提示再次输入密码,确认无误,文件将被加上密码保护。

场景2中,涉及企业的文档分级保护问题,也就是DLP(Data Loss Prevention)技术。根据FBI的调查,企业内部信息泄露事件中,70%以上都是内部人员的泄密造成的。DLP中文翻译叫数据丢失防护,DLP能根据数据的特征和许可传播的范围做出不同的访问策略。但是,从目前DLP发展的现状来看,并没有一套十分有效的方法。也许是因为不同企业间对文档保护的需求不同,无法形成一个行内统一标准。目前,国内单位对电子文档普遍的保密处理几乎处于一种“真空”状态,要改变这一现状,最好的方法是从技术与管理两方面下手,一方面用技术手段实现加密,另一方面要制订相应的管理方法,并在实践中将电子文档逐步分级管理,做好标识工作,使之规范化。这两方面工作完成之后,就可以最终从技术上建立一套完整的解决方案,对电子文档进行加密和分权。

4 打印机泄密的情景再现与分析应对(见表3)

现在企业几乎都有了碎纸机,可以将打印、复印造成的废纸切成粉末使之无法还原。物理上的粉碎我们做到了,但是虚拟中的粉碎我们却忽视了。打印机共享,提交的打印数据是可以相互看见的,喷墨和激光打印机都有10秒以上的延迟,容易造成信息泄露。目前许多公司都推出了打印机的保密软件,但是价格都很昂贵。避免泄密最安全的方法就是在网络中设置一台打印服务器,利用“服务器本地打印”方法进行分配:将若干打印终端和打印服务器通过本地端口进行连接,然后打印设备连接到打印服务器,用户通过打印终端将打印任务提交到打印服务器,并在打印服务器中形成队列,由打印服务器提交到打印设备完成打印。对于不同用户需要进行权限的分配,使之不能互相管理对方的任务,可以在“打印机属性”的对话框中选择“安全”选项卡,运用打印机的打印权限设置添加不同权限的用户。

5 邮件泄密的情景再现与分析应对(见表4)

场景1是目前很流行的欺骗手段,它利用了邮件服务的一个漏洞,使用某些程序或者自己在本机架设一个与公司同样域名的邮件服务器,来伪造收件人的信任的发件人以欺骗阅读者,从而让阅读者运行邮件中的病毒。使用EXCHANGE SERVER作为邮件服务器企业,EXCHANGE SERVER在OWA (Outlook Web Access)中是不会记录发件人的IP地址,但是可以从邮件的属性中查看邮件头部信息来判断该邮件是否是伪造邮件。例如,公司(域名为:guet.edu.cn,IP:为202.109.1.1)中A员工(邮件地址为:pengwei@guet.edu.cn.cn)写邮件给B员工(邮件地址为pw@guet.edu.cn.cn),那么邮件的头部信息应该包括如下:

其中,Received:from guet.edu.cn表示该邮件来自于guet.

edu.cn服务器。“(guet.edu.cn[202.109.1.1])”表示guet.edu.cn域名对应的IP为202.109.1.1,从这点我们可以看出这封邮件不是伪造的,因为它源自于guet.edu.cn服务器,且对应的IP和服务器的真实IP是一样的。

如果邮件头部信息如下:

那么很显然Received:from guet.edu.cn表示该邮件来自于Received:from guet.edu.cn (guet.edu.cn[219.159.69.206])From:

guet.edu.cn服务器,而这台guet.edu.cn服务器对应的IP为219.159.69.206,但是我们知道公司中guet.edu.cn服务器的真实IP为202.109.1.1,显然这是一封伪造了发件人的欺骗信。

场景2是一种网络钓鱼手段所为。网络钓鱼(Phishing·,与钓鱼的英语fishing·发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、账号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,而通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。

如笔者下面提供的htm代码:

鼠标放在链接上的时候状态栏显示http://www.guet.edu.cn,可是点了以后却链接到了http://iit.guet.edu.cn。对于这样的钓鱼式攻击,目前还没有有效的防御手段,只有通过加强员工安全意识,及时培训网络安全知识,要求员工提高警惕,不随便打开陌生人的电子邮件来进行防御。

6 结论

网络应用丰富,可供病毒传播利用的途径越来越复杂。根据瑞星公司的统计数据,2007年上半年,有大约1/3的病毒可以通过U盘传播。电子邮件(Email)是最为基础的互联网应用之一,它不但使用人数广泛,而且往往和信用卡、支付账户等进行了绑定,如果不解决好电子邮件的安全问题,将会严重影响到整个互联网的安全和稳定。

在上面各个细节的场景中,给大家重现企业面临的数据安全的各种威胁,它有来自企业内部的威胁,也有来自企业外部的威胁。移动磁盘泄密、WORD文档泄密、打印机泄密、邮件泄密是现在商业社会信息泄露的源头,是各国企业面临的重大问题。如何安全保存自己的信息和数据已经成为不少企业逐步重视的问题。大家可以从现实中或者是在上述场景中发现,往往数据信息的泄露并不是源于程序的漏洞而是人为的疏忽漏洞,只有从人的角度上去防御,从技术与管理两方面下手,一方面用技术手段实现加密,另一方面要制订相应的管理方法,才可以获得最佳的防御效果[5,6]。

21世纪计算机和计算机网络快速发展,把信息对世界的影响逐步提高到一种绝对重要的位置。世界已经发展到了以一个小小的信息就能决定胜负的信息时代。在商业竞争中,某个信息握在自己手里就是王牌,被对手握在手里那就是炸弹。细节决定一切,这就是数据信息保护的真理,也是现代社会生存的真谛。

摘要：信息技术的高速发展，大力促进了中小企业的发展，但也带来了一系列数据使用上的安全隐患。当前，破坏中小企业数据保护工作的手段层出不穷。因此，如何关注细节，从源头上做好数据保护，成为广大用户在使用计算机及其相关产品时极其关注的问题。文章例举了一些常见的数据泄密细节，并提出了一些行之有效的应对方法。

关键词：企业,数据,保护

参考文献

[1]瑞星科技．瑞星2008年度病毒疫情&安全报告[M]．北京：瑞星信息技术有限公司，2008．

[2]Microsoft．移动PC的数据加密工具包[M]．美国：Microsoft，2005．

[3]武小年．企业电子数据安全保护解决方法[J]．桂林电子工业学院学报，2005，26(4)：6-8．

[4]杨军．网络管理[M]．北京：电子工业出版社，2006．

[5]岳峰．“智猪博弈”对中小企业发展战略的启示[J]．桂林电子工业学院学报，2005，25(6)：72-75．