數據安全論文模板(10篇)
時間:2023-03-20 16:24:37
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇數據安全論文,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
二、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患;相反,在今天出現問題的地方,在將來就可能已經解決。例如,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施,尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數據安全的復雜性。
(四)電子數據安全的安全悖論
目前,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現。
三、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據記錄進行安全違反分析;第三步,采取處理措施。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間,與計算機信息系統內敏感的數據、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發現、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證。
1.了解系統技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行,控制能在該系統中起作用。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數據上,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據,監視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數據庫管理系統的查詢設施抽取用戶數據。
二是從數據中尋找什么?一旦抽取數據后,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息);檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用;判斷程序和數據是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執行請求,然而,數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生,滿足逐出系統閥值,則將引起該事件的用戶逐出系統并記錄其內容。
篇2
在會計電算化環境下,會計信息數據都是以磁性材料為介質以文件形式保存,這給會計數據的安全留下了隱患。財會從業人員安全防范意識的缺失,在出現軟硬件故障、非法的操作和病毒,使會計電算化系統癱瘓時,難以恢復完整數據。多中小型企業在會計實務中操作權限設置不規范和口令密碼不嚴,導致會計數據丟失、非法篡改或外泄。而且會計檔案管理在存儲過程中,沒有脫機進行保存,未對相關的檔案管理人員劃定職責,造成檔案損毀,乃至企業會計信息外泄。
1.2注重核算而忽視管理功能
只有將財務會計和管理會計有機結合起來的電算化才是真正意義上全面電算化。中小企業只有在實現財務會計電算化的同時,推進管理會計電算化,將財務會計與管理會計有機結合后的電算化才能實質性地促進管理會計在企業中的推廣應用,從而真正實現會計的核算職能、管理職能和控制職能。管理會計電算化是以財務會計電算化為基礎的,但目前,我國中小企業的電算化只是實現了基礎而對于向中級階段會計電算化的發展卻停滯不前。
1.3對會計電算化重要性的認識不足
電算化相關人員還未能充分認識到建立完整的會計信息系統對企業的重要性,以致無法利用會計電算化系統的優勢來提高企業運作效率,造成現有會計提供的信息不能及時、有效地為企業決策及管理服務。沒有隨著手工業務環境向電算化環境轉變而相應地調整內控模式和制度導致企業會計電算化的發展遲緩甚至停滯。
二、基于以上對現階段我國中小企業會計電算化實施過程中存在問題的列示
不難發現針對出現的問題主要可以從企業、財會軟件開發商以及政府三個方面分別提出有效性的解決對策。
2.1強化數據安全建設
正因為對會計電算化的不重視才加劇了企業財務數據的風險,所以首先應該在整個企業文化之中增強“領導———財會人員———其他工種”各級人員的電算化安全意識。防范計算機病毒,健全并嚴格執行防范病毒管理制度。其次,完善企業的內控制度,保證財務數據的穩定:不相容崗位相互分離;會計工作人員相互制約;建立適當保密制度,通過設置用戶權限、密碼、定期更新加密鑰等措施以增強數據的安全性。再次,加強對財務數據的備份以防不測。給電算化計算機安裝UPS,解決電源干擾問題。保證出現電源問題時,可以為系統提供10—25分鐘,進行數據的緊急存儲等。經濟業務活動通過賬務處理系統處理之后,應該及時備份,防止儲存介質磁化、侵蝕,進行定期或者不定期的檢查和復制,防止數據丟失。采取雙重備份,異地保管,對于能夠打印的數據應該進行打印,同時以紙質和電子形式進行雙重保管。可以與開發商簽訂合同,使用其提供的“云+端”服務,給企業的財務數據安全再加上一重保護。而且電算化的硬件維護也是電算化數據安全的一項重要內容,硬件的維護一般應由專業人員進行,但小型企業一般無力配備專職硬件維護員,因此硬件設備只能在日常使用時注意使用要求,不亂拆亂動硬件設備。
2.2積極轉型
加強對于中小企業的認識,明白企業的真正需求,在財會軟件層面上推進中小企業的會計電算化從“核算”向“管理”過渡。將會計電算化系統與物資供應、產成品銷售、庫存管理、勞資管理等管理業務子系統對接,建立計算機財務系統指標分析系統,為決策層提供決策和評價依據。完善財會軟件功能模塊,向財務管理方面過渡,將會計電算化納入管理信息系統,開發財會軟件具有管理型功能的模塊。
篇3
2.專業管理的范圍數據管理是利用計算機軟、硬件技術對數據進行有效的收集、存儲、處理和應用的過程。將專業管理的范圍分成四大部分:網絡數據管理、服務器數據管理、終端設備數據管理和人員管理,涉及公司客戶服務中心、安全運檢部、財務資產部等各專業部門和單位。針對每一部分的特點制定相應的管理方案,保證數據的獨立性、可靠性、安全性與完整性,減少了數據冗余,提高數據共享程度及數據管理效率,使信息數據安全管理覆蓋整個信息網絡。
二、信息數據安全管理實施過程
1.信息數據管理為了保障信息數據的安全,信息中心根據網絡實際運行情況對防火墻及交換機進行安全配置,添加防火墻訪問策略及交換機訪問控制列表,對外部用戶訪問進行限制,只允許訪問指定服務器,防止來自外部的黑客攻擊;對局域網劃分網段,配置訪問權限,保證局域網內部傳輸安全。利用終端安全控制軟件對局域網內所有聯網終端進行統一管理,監控終端機器運行狀況,禁止用戶私自對終端硬件及系統設置進行修改,鎖定終端機器光驅,軟驅,移動存儲介質等數據交換設備,終端USB端口只識別公司專用U盤及打印機,并對終端數據的流入流出進行安全審計,保存記錄,保障公司信息數據的流出、流入安全。
2.服務器運行管理信息機房值班人員每天定時對機房進行巡視,查看服務器機房溫濕度及空調、UPS電源運行狀態,確保服務器運行環境穩定。檢測服務器軟、硬件運行狀態,并填寫機房巡視記錄,保證信息服務器穩定運行。執行“切換冗余服務器”運行管理,重要信息系統服務器運行實現雙機熱備,其它信息系統進行雙機互備,如果一臺服務器運行出現故障,需要較長時間修復,則立即啟動備用服務器,恢復信息系統運行,保證服務器穩定高效運行。
3.數據存儲備份管理根據公司實際將重要信息數據劃分為公司級重要數據和個人重要數據,并對規定的計算機專責人(兼職)進行權限的設置,公司級重要數據備份后存入指定備份文件夾,個人重要數據由個人整理后轉存至備份服務器中個人備份空間。計算機專責人(兼職)按規定的備份周期,利用自動備份軟件對所管理信息系統進行本機數據備份。農電營銷系統數據每月十八日進行上一月數據的完整備份,電費收取計算時,每日進行備份;其它信息系統每周一進行上一周數據的備份。信息系統管理員將本機數據進行可用性檢查,確認數據無誤,將數據刻錄成DVD數據盤并備份至本地備份服務器進行存放,確保數據存放安全。重要數據存儲備份采取“數據異地多點存儲”,與濰坊市領近縣公司建立互備關系,并在服務器中實施了相關安全策略和設置對應訪問權限,簽訂了數據互備安全協議,保證數據在異地的安全,確保在本地發生重大災難時,能夠有效的恢復系統數據。
4.移動存儲設備管理信息中心利用移動存儲認證管理軟件,將唯一代碼寫入移動存儲設備內進行認證,認證后只能在公司許可機器中識別讀取。人員調離工作崗位需要交回移動存儲介質,信息中心在收回認證移動存儲設備后,確認數據不再需要,將移動存儲設備信息進行集中銷毀,保證數據不會流出。
5.數據恢復管理信息數據管理員將數據拷貝至服務器相應文件夾內,進行信息數據的恢復操作。進行數據恢復操作以后,登陸信息系統查看數據恢復情況,進行數據恢復測試,測試恢復的數據是否完整可靠,確保信息系統恢復正常運行。
三、效益分析
1.經濟效益當前電力企業的財務、人事、生產等信息都已實現了電子化,所有的業務數據都存放于服務器中,隨時讀取,隨時更新,大大減少了數據查詢和存儲的時間,不僅節省了人力、物力,而且大大提高了生產率。但隨著信息化的迅速發展和信息技術運用的深入、普及,信息數據安全管理變得日益重要,其存儲的安全性越來越令人擔憂。重要信息數據一旦丟失,將為企業帶來不可估量的損失。加強信息數據安全管理,可為企業信息化建設和各項工作的持續開展保駕護航。
2.管理效益信息數據的安全管理保證了管理信息系統的穩定運行,使我公司各級管理人員能夠在日常工作中方便、快捷的查詢業務數據,切實做到了日常工作的網絡化、實用化、效率化,管理者借助于現代計算機技術的優勢,可快速查閱準確、完整的各類數據的統計分析,提高了工作效率,顯著增強了企業辦公與服務水準,促進了企業現代化建設管理的進程。
篇4
網絡數據庫是網絡環境下辦公自動化(OA)系統的核心部分。設計一個網絡數據庫所采用的技術實現方法,其先進性和科學性不僅對軟件的開發效率和軟件質量有著很大的影響,而且對整個軟件的使用和維護有著重大的影響。同時,系統的安全性對于系統的實現同樣非常關鍵。系統不安全的因素包括非授權用戶訪問計算機網絡,授權用戶越權訪問有關數據庫,以及敏感信息在基于TCP/IP網絡上的傳輸。結合開發實踐,本文主要介紹網絡數據庫的實現技術和基于SQLSERVER的安全策略。
1系統實現技術
(一)數據庫訪問技術
一般的數據庫開發工具如Delphi5都提供了一些數據庫對象組件,它們封裝了BDE的功能。這樣,開發數據庫應用程序就不必知道BDE的功能。其次,還提供了數據感知組件可以與數據訪問組件彼此通信,這樣,建立數據庫應用程序的界面就變得簡單。SQLLinks為連接Oracle、Sybase、Informix、MicrosoftSQLServer、DB2和InterBase提供了專門的驅動程序,還可以通過ODBC連接其他數據庫[1]。
(二)SQL編程技術
SQL是一組符合工業標準的數據庫操作命令集,它可以在Delphi這樣的編程環境中使用。SQL不是一門語言,無法得到一個專門的SQL軟件,它只是服務器數據庫的一部分。
作為一種查詢語言,是網絡環境下客戶/服務器數據庫應用程序開發的標準[2]。Delphi提供了支持SQL的有關組件。SQL具有一些查看數據的優勢,而且只能使用SQL命令來獲得。通過SQL,也可以靈活地查詢所需要的數據,這種靈活性是面向記錄的數據庫操作所不具備的。
SQL為控制服務器的數據提供了下列功能:
數據定義:使用SQL可以定義數據庫表的結構,包括表中字段的數據類型以及不同表的字段之間的參照關系。
數據檢索:客戶程序可以通過SQL向服務器請求它所需要的數據。SQL還允許客戶定義要檢索什么數據、如何檢索,例如排序、選擇字段等。
數據完整性:SQL可以實現數據完整性約束,這些完整性約束可以定義為數據庫表的一部分,也可以使這些規則以存儲過程或其他數據庫對象的形式從表中獨立出來。
數據處理:SQL允許客戶程序更新、添加或刪除服務器上的數據。這些操作可以由客戶提交的SQL語句來完成,也可以由服務器上的存儲過程來完成。
安全性:通過對不同的數據庫對象定義訪問權限、視圖以及受限制的訪問,SQL可以保護數據的安全。
并發訪問:SQL支持對數據的并發訪問,多個用戶可以同時使用系統而不互相干擾。
簡而言之,SQL是開發和操作客戶/服務器數據的重要工具。
(三)多層分布式應用技術。
MIDAS(MultitudeDistributedApplicationServicesSuite)即多層分布式應用程序服務器,它提供了一整套中間層應用服務,擴展了操作系統標準,這些服務用于解決各種具體的分布式計算問題,從用于網絡定位的目錄服務到數據庫集成和業務規則處理。
篇5
1前言
數據庫存放著大量的應用系統信息,其安全性、數據的完整性是整個信息統統得以穩定運行的關鍵。應用系統用戶通過用戶名和密碼訪問數據庫,數據庫通過接收請求返回信息給使用者。一旦數據庫存在安全漏洞,且發生了安全事故,影響將無法預計。因此應高度重視數據庫的安全與維護工作,只有數據庫穩定運行,整個信息系統才能變得穩定、可靠。
2安全現狀
目前幾乎所有的數據庫都需要依托網絡進行訪問,因此又被稱為網絡數據庫,而網絡中存在大量各種類型的安全隱患,如網絡漏洞,通信中斷,*客攻擊等,同時數據庫本身運行過程中也會出現如數據丟失,數據損壞等種種問題,因此數據庫在運行過程中時刻面臨著各類風險。根據上面的描述,可以將數據庫安全現狀劃分為以下兩類:
(1)外部風險,即網絡中的各類安全隱患。*客的攻擊,網絡的中斷往往會導致數據庫信息被篡改,或者數據不完整,從而無法保證數據的可靠性和真實性;
(2)內部風險,即數據庫故障或操作系統故障。此類風險會導致數據庫系統不可用,同時數據的完整性會遭到破壞,在沒用數據備份的情況下,經常會出現數據不可用的情況。目前數據庫的使用已經非常普遍,各個行業對數據庫的依賴程度也日益增加,對于諸如金融、保險等行業,對數據庫的安全已相當重視,但是在其他行業中,對數據庫安全防范的重視程度仍然不夠,常常導致了一些不可挽回的損失。針對數據庫安全的現狀,需要我們在信息系統管理中,采取相應措施,建立相對安全的運行環境,保障數據庫的穩定運行,從而使信息系統更好地發揮其應有的作用。
3安全技術
目前主要的數據庫安全技術主要有以下幾類:
1)防火墻防火墻的是防止外部網絡攻擊非常有效的手段,大多數*客對數據庫的攻擊輕易地被防火墻所阻隔,從而實現了重要數據與非法訪問之間的隔離。防火墻技術被廣泛應用于網絡邊界安全,它采用的是訪問控制的安全技術,用于保護內網信息安全。防火墻部署在數據庫與外網之間,可以掃描經過它的網絡通信,從而實現對某些攻擊的過濾,防止惡意操作在數據庫上被執行,另外防火墻還可以關閉不必要的端口,減少不必要的訪問,防止了木馬程序的執行。防火墻還可以禁止來自其他站點的訪問,從而杜絕了不安全的通信。目前的防火墻類型主要分為硬件防火墻和軟件防火墻。信息系統應根據數據庫系統的特點,選擇合適的防火墻類型。
2)數據庫審計數據庫審計是指記錄和監控用戶對數據庫系統的操作,包括訪問、增加、刪除、修改等動作,并將這些操作記錄在數據庫升級系統的日志或自身數據庫中,通過訪問數據庫審計記錄,可以找到數據庫發生狀態變化的原因,并可定位到具體用戶、具體操作,從而實現責任追查。另外,數據庫管理者通過檢視審計日志,可以發現數據庫中存在的漏洞,及時補漏。因此,部署一套有效的數據庫安全審計系統,加強對數據庫操作過程的監管力度,挺高數據庫的安全性,降低可能發生的風險,是非常有必要的。
3)數據備份從計算機誕生起,人們就意識到了備份的重要性,計算機有著人腦所不能及的處理能力,但有時候它有非常脆弱,任一部件的損壞,就容易導致計算機的宕機,而伴隨著可修復的硬件故障的,確實無法修復的數據丟失,這時就需要用備份數據來恢復系統。數據備份,就是把數據復制到其他存儲設備上的過程。在信息系統的不斷更新的過程中,也產生了多種備份類型,有磁帶、光盤、磁盤等等。作為數據庫管理者,同時還需要制定切實有效的備份策略,定期對數據進行備份。
在備份系統的設計中,以下三個因素應當被重點考慮:
1)日常使用中,應盡可能保證數據庫的可用性;
2)如果數據庫失效,盡可能縮短數據恢復時間;
3)如果數據庫失效,盡可能減少數據的丟失。如果能很好地做到以上三點,將大大提高數據的可用性和完整性。
4)用戶認證用戶認證是訪問數據庫大門的鑰匙,要想與數據庫進行通行獲取數據,首先要得到數據庫用戶認證系統的認可,這是一種簡單有效的數據庫安全管理技術,任一位數據庫使用者必須使用特定的用戶名和密碼,并通過數據庫認可的驗證方式的驗證,才能使用數據庫。而用戶對數據庫的操作權限,訪問范圍需要在認證系統的控制下安全進行。用戶認證系統不僅定義了用戶的讀寫權限,同時也定義了用戶可訪問的數據范圍,通過全面的安全管理,使得多用戶模式下的數據庫使用變的更加安全、可靠。
5)數據庫加密數據庫如不僅過加密,*客可直接讀取被竊取的文件,同時管理人員也可以訪問庫中的任意數據,而無法受限于用戶權限的控制,從而形成極大的安全隱患。因此,數據庫的數據在傳輸和存儲過程中需要進行加密處理,加密后的數據即使被且須竊取,*客也無法獲得有用的信息。由于數據庫大都是結構化設計,因此它的加密方式必定與傳統的文件加密不一樣。數據庫的傳輸過程中需要不斷的加密,解密,而這兩個操作組成了加密系統。從加密的層次上看,可分別在操作系統層、數據庫內層和外層上實現。另外,加密算法的選擇主要包括:對稱加密、非對稱加密和混合加密。通過對數據庫的加密,極大地提升了數據的安全性、可靠性,奠定了數據庫系統的安全基礎。
4結束語
數據庫在信息系統中處于核心地位,隨著信息化技術的不斷發展,針對數據庫的攻擊手段也在不斷地進行著更新,層出不窮的數據庫安全事件告訴我們,針對數據庫安全的研究仍然任重而道遠,這不僅需要管理者采用各種新技術來保護數據庫的安全運行,也需要管理者在日常管理和維護中,制定完善的數據庫使用規范,提高自身的安全意識,才能最大程度保證數據庫系統持續、穩定地運行。
篇6
2計算機網絡安全中數據加密技術的有效應用
當前,數據加密技術是一項確保計算機網絡安全的應用最廣泛的技術,且隨著社會及科技的發展而不斷發展。數據加密技術的廣泛應用為計算機網絡安全提供良好的環境,同時較好的保護了人們運用互聯網的安全。密鑰及其算法是數據加密技術的兩個主要元素。密鑰是一種對計算機數據進行有效編碼、解碼的算法。在計算機網絡安全的保密過程中,可通過科學、適當的管理機制以及密鑰技術來提高信息數據傳輸的可靠性及安全性。算法就是把普通信息和密鑰進行有機結合,從而產生其他人難以理解的一種密文步驟。要提高數據加密技術的實用性及安全性,就要對這兩個因素給予高度重視。
2.1鏈路數據加密技術在計算機網絡安全中的應用
一般情況下,多區段計算機計算機采用的就是鏈路數據加密技術,其能夠對信息、數據的相關傳輸路線進行有效劃分,并以傳輸路徑以及傳輸區域的不同對數據信息進行針對性的加密。數據在各個路段傳輸的過程中會受到不同方式的加密,所以數據接收者在接收數據時,接收到的信息數據都是密文形式的,在這種情況下,即便數據傳輸過程被病毒所獲取,數據具有的模糊性也能對數據信息起到的一定程度的保護作用。此外,鏈路數據加密技術還能夠對傳送中的信息數據實行相應的數據信息填充,使得數據在不同區段傳輸的時候會存在較大的差異,從而擾亂竊取者數據判斷的能力,最終達到保證數據安全的目的。
2.2端端數據加密技術在計算機網絡安全中的應用
相比鏈路數據加密技術,端端數據加密技術實現的過程相對來說較為容易。端端數據加密技術主要是借助密文形式完成信息數據的傳輸,所以數據信息傳輸途中不需要進行信息數據的加密、解密,這就較好的保障了信息安全,并且該種技術無需大量的維護投入及運行投入,由于端端數據加密技術的數據包傳輸的路線是獨立的,因而即使某個數據包出現錯誤,也不會干擾到其它數據包,這一定程度上保證了數據傳輸的有效性及完整性。此外,在應用端端數據加密技術傳輸數據的過程中,會撤銷原有信息數據接收者位置的解密權,除了信息數據的原有接收者,其他接收者都不能解密這些數據信息,這極大的減少了第三方接收數據信息的幾率,大大提高了數據的安全性。
2.3數字簽名信息認證技術在計算機網絡安全中的有效應用
隨著計算機相關技術的快速發展,數字簽名信息認證技術在提高計算機網絡安全中的重要作用日漸突出。數字簽名信息認證技術是保障網絡安全的主要技術之一,主要是通過對用戶的身份信息給予有效的確認與鑒別,從而較好的保證用戶信息的安全。目前,數字簽名信息認證的方式主要有數字認證以及口令認證兩種。數字認證是在加密信息的基礎上完成數據信息密鑰計算方法的有效核實,進一步增強了數據信息的有效性、安全性。相較于數字認證而言,口令認證的認證操作更為快捷、簡便,使用費用也相對較低,因而使用范圍更廣。
2.4節點數據加密技術在計算機網絡安全中的有效應用
節點數據加密技術和鏈路數據加密技術具有許多相似之處,都是采取加密數據傳送線路的方法來進行信息安全的保護。不同之處則是節點數據加密技術在傳輸數據信息前就對信息進行加密,在信息傳輸過程中,數據信息不以明文形式呈現,且加密后的各項數據信息在進入傳送區段之后很難被其他人識別出來,以此來達到保護信息安全的目的。但是實際上,節點數據加密技術也存在一定弊端,由于其要求信息發送者和接收方都必須應用明文形式來進行信息加密,因而在此過程中,相關信息一旦遭到外界干擾,就會降低信息安全。
2.5密碼密鑰數據技術在計算機網絡安全中的有效應用
保護數據信息的安全是應用數據加密技術的最終目的,數據加密是保護數據信息安全的主動性防治措施。密鑰一般有私用密鑰及公用密鑰兩種類型。私用密鑰即信息傳送雙方已經事先達成了密鑰共識,并應用相同密鑰實現信息加密、解密,以此來提高信息的安全性。而公用密鑰的安全性則比較高,其在發送文件發送前就已經對文件進行加密,能有效避免信息的泄露,同時公用密鑰還能夠與私用密鑰互補,對私用密鑰存在的缺陷進行彌補。
篇7
(一)網絡設備安全分析
在網絡設備安全中主要涉及到四個方面。首先是網絡賬號安全。電力調度數據網安全技術設置一定的賬號方便賬號管理工作,對用戶進行身份驗證,保證電網信息的安全不泄露。其次是配置安全,主要是基于電力數據網內的關鍵數據信息進行定期備份處理,每一次關鍵信息的備份處理都在設備上留有痕跡,保證檔案信息有效。再次是審計安全,我國明確要求整個電力調度數據網具備審計功能,做好審計安全可以保證系統設備運行狀況、網絡流量計用戶日常信息更新,為日后查詢提供方便。最后是維護安全,要求定期安排技術人員進行設備巡視,對于設備中存在的配置漏洞與書寫錯誤進行檢查修復,防止系統漏洞造成的系統崩潰及安全問題。
(二)網絡結構安全分析
在計算機網絡結構技術分析中我們為了保證電力調度數據網的結構安全可以從以下四個方面入手做好技術升級與完善。首先使用冗余技術設計完成網絡拓撲結構,為電力調度提供主要的網絡設備及通信線路硬件冗余。其次依據業務的重要性制定帶寬分配優先級別,從而保證網絡高峰時期的重要業務的寬帶運行。再次積極做好業務系統的單獨劃分安全區域,保證每個安全區域擁有唯一的網絡出口。最后定期進行維護管理,繪制網絡拓撲圖、填寫登記信息,并對這些信息進行定期的更新處理。在網絡安全結構的設計分析上采用安全為區分與網絡專用的原則,對本區的調度數據網進行合理的前期規劃,將系統進行實時控制區、非控制生產區及生產管理區的嚴格區分。堅持“橫向隔離,縱向認證”的原則,在網絡中部署好必要的安全防護設備。優先做好VLAN及VPN的有效隔離。最后不斷優化網絡服務體系。網絡服務是數據運輸及運行的保證,積極做好網絡服務可以避免數據信息的破損入侵,在必要情況下關閉電力設備中存在的不安全或者不必要的非法控制入侵行為,切實提高電力調度數據網的安全性能。
二、系統安全管理技術分析
電力調度數據網本身具有網絡系統的復雜性,只有積極做好網絡系統的安全管理才能實現電力的合理調度。系統管理工作涉及項目繁多,涉及主要的設備采購及軟件開發、工程建設、系統備案等多個方面。在進行系統安全管理時要積極做好核心設備的采購、自行或外包軟件開發過程中的安全管理、設置必要的訪問限制、安全日志及安全口令、漏洞掃描,為系統及軟件的升級與維護保駕護航。
三、應用接入安全技術分析
在電力調度的數據網安全技術中,應用接入安全是不可忽視的重要組成部分。目前由于電力二次系統設備廠家繁多,目前國家沒有明確統一的指導性標準可供遵循,導致生產廠家的應用接入標準不一,無形之中為安全管理工作帶來諸多不便。因此在優化電力調度數據網安全系統時,可以依據調度數據網本身的運行需求,從二次系統業務的規范接入、通信信息的完整性及剩余信息的保護等方面著手,制定出切實可行的安全防護機制,從根本上保障電力調度數據網絡的安全穩定。
篇8
1引言
經過20多年的發展,無線局域網(WirelessLocalAreaNetwork,WLAN),已經成為一種比較成熟的技術,應用也越來越廣泛,是計算機有線網絡的一個必不可少的補充。WLAN的最大優點就是實現了網絡互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網應用是基于開放系統的,它具有更大的開放性,數據傳播范圍很難控制,因此無線局域網將面臨著更嚴峻的安全問題。
無線局域網的安全問題伴隨著市場與產業結構的升級而日益凸現,安全問題已經成為WLAN走入信息化的核心舞臺,成為無線局域網技術在電子政務、行業應用和企業信息化中大展拳腳的桎梏。
2無線局域網的安全威脅
隨著公司無線局域網的大范圍推廣普及使用,WLAN網絡信息系統所面臨的安全問題也發生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標發起攻擊,而且我們的系統還同時要面臨來自外部、內部、自然等多方面的威脅。
由于無線局域網采用公共的電磁波作為載體,傳輸信息的覆蓋范圍不好控制,因此對越權存取和竊聽的行為也更不容易防備。無線局域網必須考慮的安全威脅有以下幾種:
>所有有線網絡存在的安全威脅和隱患都存在;
>無線局域網的無需連線便可以在信號覆蓋范圍內進行網絡接入的嘗試,一定程度上暴露了網絡的存在;
>無線局域網使用的是ISM公用頻段,使用無需申請,相鄰設備之間潛在著電磁破壞(干擾)問題;
>外部人員可以通過無線網絡繞過防火墻,對公司網絡進行非授權存取;
>無線網絡傳輸的信息沒有加密或者加密很弱,易被竊取、竄改和插入;
>無線網絡易被拒絕服務攻擊(DOS)和干擾;
>內部員工可以設置無線網卡為P2P模式與外部員工連接。
3無線局域網的安全保障
自從無線局域網誕生之日起,安全患與其靈活便捷的優勢就一直共存,安全問題的解決方案從反面制約和影響著無線局域網技術的推廣和應用。為了保證無線局域網的安全性,IEEE802.11系列標準從多個層次定義了安全性控制手段。
3.1SSID訪問控制
服務集標識符(ServiceSetIdentifier,SSID)這是人們最早使用的一種WLAN安全認證方式。服務集標識符SSID,也稱業務組標識符,是一個WLAN的標識碼,相當于有線局域網的工作組(WORKGROUP)。無線工作站只有出示正確的SSID才能接入WLAN,因此可以認為SSID是一個簡單的口令,通過對AP點和網卡設置復雜的SSID(服務集標識符),并根據需求確定是否需要漫游來確定是否需要MAC地址綁定,同時禁止AP向外廣播SSID。嚴格來說SSID不屬于安全機制,只不過,可以用它作為一種實現訪問控制的手段。
3.2MAC地址過濾
MAC地址過濾是目前WLAN最基本的安全訪問控制方式。MAC地址過濾屬于硬件認證,而不是用戶認證。MAC地址過濾這種很常用的接入控制技術,在運營商鋪設的有線網絡中也經常使用,即只允許合法的MAC地址終端接入網絡。用無線局域網中,AP只允許合法的MAC地址終端接入BSS,從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時更新,但是目前都是通過手工操作完成,因此擴展能力差,只適合小型網絡規模,同時這種方法的效率也會隨著終端數目的增加而降低。
3.3802.11的認證服務
802.11站點(AP或工作站)在與另一個站點通信之前都必須進行認證服務,兩個站點能否通過認證是能否相互通信的根據。802.11標準定義了兩種認證服務:開放系統認證和共享密鑰認證。采用共享密鑰認證的工作站必須執行有線等效保密協議(WiresEquivalentPrivacy,WEP)。
WEP利用一個64位的啟動源密鑰和RC4加密算法保護調制數據傳輸。WEP為對稱加密,屬于序列密碼。為了解決密鑰重用的問題,WEP算法中引入了初始向量(InitialilizationVector,IV),IV為一隨機數,每次加密時隨機產生,IV與原密鑰結合作為加密的密鑰。由于IV并不屬于密鑰的一部分,所以無須保密,多以明文形式傳輸。
WEP協議自公布以來,它的安全機制就遭到了廣泛的抨擊,主要問題如下:
(1)WEP加密存在固有的缺陷,它的密鑰固定且比較短(只有64-24=40bits)。
(2)IV的使用解決了密鑰重用的問題,但是IV的長度太短,強度并不高,同時IV多以明文形式傳輸,帶來嚴重的安全隱患。
(3)密鑰管理是密碼體制中最關鍵的問題之一,但是802.11中并沒有具體規定密鑰的生成、分發、更新、備份、恢復以及更改的機制。
(4)WEP的密鑰在傳遞過程中容易被截獲。
所有上述因素都增加了以WEP作為安全手段的WLAN的安全風險。目前在因特網上已經出現了許多可供下載的WEP破解工具軟件,例如WEPCrack和AirSnort。
4WLAN安全的增強性技術
隨著WLAN應用的進一步發展,802.11規定的安全方案難以滿足高端用戶的需求。為了推進WLAN的發展和應用,業界積極研究,開發了很多增強WLAN安全性的方法。
4.1802.1x擴展認證協議
IEEE802.1x使用標準安全協議(如RADIUS)提供集中的用戶標識、身份驗證、動態密鑰管理。基于802.1x認證體系結構,其認證機制是由用戶端設備、接入設備、后臺RADIUS認證服務器三方完成。IEEE802.1x通過提供用戶和計算機標識、集中的身份驗證以及動態密鑰管理,可將無線網絡安全風險減小到最低程度。在此執行下,作為RADIUS客戶端配置的無線接入點將連接請求發送到中央RADIUS服務器。中央RADIUS服務器處理此請求并準予或拒絕連接請求。如果準予請求,根據所選身份驗證方法,該客戶端獲得身份驗證,并且為會話生成唯一密鑰。然后,客戶機與AP激活WEP,利用密鑰進行通信。
為了進一步提高安全性,IEEE802.1x擴展認證協議采用了WEP2算法,即將啟動源密鑰由64位提升為128位。
移動節點可被要求周期性地重新認證以保持一定的安全級。
4.2WPA保護機制
Wi-FiProtectedAccess(WPA,Wi-Fi保護訪問)是Wi-Fi聯盟提出的一種新的安全方式,以取代安全性不足的WEP。WPA采用了基于動態密鑰的生成方法及多級密鑰管理機制,方便了WLAN的管理和維護。WPA由認證、加密和數據完整性校驗三個部分組成。
(1)認證
WPA要求用戶必須提供某種形式的證據來證明它是合法用戶,才能擁有對某些網絡資源的訪問權,并且這是是強制性的。WPA的認證分為兩種:第一種采用802.1xEAP(ExtensibleAuthenticationProtocol)的方式,用戶提供認證所需的憑證,如用戶名密碼,通過特定的用戶認證服務器來實現。另一種為WPA預共享密鑰方式,要求在每個無線局域網節點(AP、STA等)預先輸入一個密鑰,只要密鑰吻合就可以獲得無線局域網的訪問權。
(2)加密
WPA采用TKIP(TemporalKeyIntegrityProtocol,臨時密鑰完整性協議)為加密引入了新的機制,它使用一種密鑰構架和管理方法,通過由認證服務器動態生成、分發密鑰來取代單個靜態密鑰、把密鑰首部長度從24位增加到128位等方法增強安全性。而且,TKIP利用了802.1x/EAP構架。認證服務器在接受了用戶身份后,使用802.1x產生一個唯一的主密鑰處理會話。然后,TKIP把這個密鑰通過安全通道分發到AP和客戶端,并建立起一個密鑰構架和管理系統,使用主密鑰為用戶會話動態產生一個唯一的數據加密密鑰,來加密每一個無線通訊數據報文。
(3)消息完整性校驗
除了保留802.11的CRC校驗外,WPA為每個數據分組又增加了一個8個字節的消息完整性校驗值,以防止攻擊者截獲、篡改及重發數據報文。
4.3VPN的應用
目前許多企業以及運營商已經采用虛擬專用網(VPN)技術。虛擬專用網(VPN)技術是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性,其本身并不屬于802.11標準定義,但是用戶可以借助VPN來抵抗無線網絡的不安全因素,同時還可以提供基于RADIUS的用戶認證以及計費。可以通過購置帶VPN功能防火墻,在無線基站和AP之間建立VPN隧道,這樣整個無線網的安全性得到極大的提高,能夠有效地保護數據的完整性、可信性和不可抵賴性。
VPN技術作為一種比較可靠的網絡安全解決方案,在有線網絡中,尤其是企業有線網絡應用中得到了一定程度的采用,然而無線網絡的應用特點在很大程度上阻礙了VPN技術的應用,如吞吐量性能瓶頸、網絡的擴展性問題、成本問題等。
4.4WAPI鑒別與保密
無線局域網鑒別與保密基礎結構(WLANAuthenticationandPrivacyInfrastructure,WAPI)是我國無線局域網國家標準制定的,由無線局域網鑒別基礎結構(WLANAuthenticationInfrastructure,WAI)和無線局域網保密基礎結構(WLANPrivacyInfrastructure,WPI)組成。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰體制的分組密碼算法,分別用于WLAN設備的數字證書、密鑰協商和傳輸數據的加解密,從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。
在WAPI中,身份鑒別的基本功能是實現對接入設備用戶證書和其身份的鑒別,若鑒別成功則允許接入網絡,否則解除其關聯,鑒別流程包含下列幾個步驟:
1)鑒別激活:當STA登錄至AP時,由AP向STA發送認證激活以啟動認證過程;
2)接入鑒別請求:工作站STA向AP發出接入認證請求,將STA證書與STA的當前系統時間(接入認證請求時間)發往AP;
3)證書鑒別請求:AP收到STA接入認證請求后,向AS(認證服務器)發出證書認證請求,將STA證書、接入認證請求時間、AP證書及用AP的私鑰對上述字段的簽名,構成認證請求報文發送給AS。
4)證書鑒別響應:AS收到AP的證書認證請求后,驗證AP的簽名以及AP和STA證書的合法性。驗證完畢后,AS將STA證書認證結果信息(包括STA證書、認證結果及AS對它們的簽名)、AP證書認證結果信息(包括AP證書、認證結果、接入認證請求時間及AS對它們的簽名)構成證書認證響應報文發回給AP。
5)接入鑒別響應:AP對AS返回的證書認證響應進行簽名驗證,得到STA證書的認證結果。AP將STA證書認證結果信息、AP證書認證結果信息以及AP對它們的簽名組成接入認證響應報文回送至STA。STA驗證AS的簽名后,得到AP證書的認證結果。STA根據該認證結果決定是否接入該AP。
至此,工作站STA與AP之間完成了雙向的證書鑒別過程。為了更大程度上保證WLAN的安全需求,還可以進行私鑰的驗證,以確認AP和工作站STA是否是證書的合法持有者,私鑰驗證由請求和響應組成。
當工作站STA與接入點AP成功進行證書鑒別后,便可進行會話密鑰的協商。會話密鑰協商包括密鑰協商請求和密鑰協商響應。密鑰協商請求可以由AP或STA中的任意一方發起,另一方進行響應。為了進一步提高通信的保密性能,在通信一段時間或交換一定數量的報文后,工作站STA與AP之間應該重新進行會話密鑰的協商來確定新的會話密鑰。
5結束語
要保證WLAN的安全,需要從加密技術和密鑰管理技術兩方面來提供保障。使用加密技術可以保證WLAN傳輸信息的機密性,并能實現對無線網絡的訪問控制,密鑰管理技術為加密技術服務,保證密鑰生成、分發以及使用過程中不會被非法竊取,另外靈活的、基于協商的密鑰管理技術為WLAN的維護工作提供了便利。盡管我們國家WLAN標準的出臺以及強制執行引起了很大的影響,但這是我國信息安全戰略的具體落實,它表明我們國家已經邁出了堅實的一步。
參考文獻
篇9
1.2垃圾郵件和間諜軟件當收到垃圾郵件或安裝了間諜軟件時,常常會使計算機的網絡安全陷入不利境地,并成為破壞計算機正常使用的主要因素之一。在計算機網絡的應用環境下,由于電子郵件的地址是完全開放的,同時計算機系統具有可廣播性,因而有些人或團體就會利用這一特性,進行宗教、商業,或政治等活動,主要方式就是強迫目標郵箱接收特定安排的郵件,使目標郵箱中出現垃圾郵件。與計算機病毒有所區別,間諜軟件的主要控制手段為盜取口令,并侵入計算機系統實行違法操作,包括盜取用戶信息,實施貪污、盜竊、詐騙等違法犯罪行為,不僅對計算機安全性能造成破壞,同時也會嚴重威脅用戶的個人隱私。
1.3計算機用戶操作失誤由于計算機用戶操作不當而發生的損失,也是影響計算機正常使用并破壞網絡安全的重要因素之一。目前計算機用戶的整體規模不斷擴大,但其中有許多用戶并未對計算機的安全防護進行應有的重視,對計算機的合理使用認識不到位,因而在安全防范方面力度不夠,這就給惡意攻擊者提供了入侵系統的機會,并進而出現嚴重的安全問題。用戶安全意識差的主要表現包括:賬號密碼過于簡單,破解容易,甚至隨意泄露;使用軟件時進行了錯誤操作;系統備份不完全。這些行為都會引起網絡安全問題的發生。
2計算機網絡安全防范的措施
2.1定期進行數據備份為防止因突破情況,如自然災害,斷電等造成的數據丟失,應在平時養成定期數據備份的習慣,將硬盤上的重要文件,數據復制到其他存儲設備中,如移動硬盤等。如果做好了備份工作,即使當計算機系統遭受攻擊而發生數據毀壞,也無需擔心數據的徹底消失,而只需將已經備份的文件和數據再重新恢復到計算機中即可。因此,數據的定期備份是維護計算機網絡安全的有效途徑之一。如果計算機因意外情況而無法正常啟動,也需在重新安裝系統前進行數據備份,以便在計算機能夠正常使用后完成數據恢復,這在非法入侵系統造成的數據毀壞時也能起到重要的作用。
2.2采用物理隔離網閘物理隔離網閘是一種通過外部設備來實現計算機安全防護的技術手段,利用固態開關讀寫作為媒介,來實現不同主機系統間的對接,可實現多種控制功能。由于在這一技術手段下的不同主機系統之間,并不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,以及基于協議的信息包,只存在無協議“擺渡”,同時只能對存儲媒介發出“讀”與“寫”這兩種指令。因此,物理隔離網閘可以從源頭上保障計算機網絡的安全,從物理上隔離,阻斷了帶有攻擊性質的所有連接,切斷黑客入侵的途徑,使其無法攻擊,無法破壞,真正維護了網絡安全。
2.3防火墻技術防火墻是一種常用的計算機安全軟件,在計算機和互聯網之間構筑一道“安檢”關卡。安裝了防火墻,所有經過這臺計算機的網絡通信都必須接受防火墻的安全掃描,從而使具有攻擊性的通信無法與計算機取得連接,阻斷非授權訪問在計算機上的執行。同時,防火墻還會將不必要的端口關閉,并針對指定端口實施通信禁止,從而對木馬進行封鎖堵截。最后,它可以對特殊站點的訪問實施攔截,拒絕來路不明的所有通信,最大程度地維護計算機網絡的安全。
2.4加密技術為進一步地維護網絡信息安全,保證用戶信息不被侵犯,還可使用加密技術來對計算機的系統安全鑰匙進行升級,對加密技術進行充分合理的利用能有效提高信息的安全程度。首先是數據加密,基本原理在于通過使用特定算法對目標文件加以處理,使其由原來的明文轉為無法識別的代碼,通常稱為密文,如果需要查看加密前的內容,就必須輸入正確的密鑰,這樣就可防止重要信息內容被不法分子竊取和掌握。相對地,加密技術的逆過程為解密,即將代碼轉為可讀的文件。其次是智能卡技術,該技術與加密技術有較強的關聯性。所謂智能卡,其實質為密鑰的一種媒介,與信用卡相類似,只能由經過授權的使用者所持有,授權用戶可對其設置一定的口令,同時保證設置的口令與網絡服務器密碼相同,當同時使用口令與身份特征,能夠起到極為理想的保密效果。
2.5進行入侵檢測和網絡監控計算機網絡安全技術還包括入侵檢測即網絡監控。其中,入侵檢測是一項綜合程度高的安全維護手段,包括統計技術,網絡通信技術,推理技術等,起到的作用十分顯著,可對當前網絡環境進行監督,以便及時發現系統被攻擊的征兆。根據分析手段的不同,可將其分為簽名法與統計法兩種。對于針對系統已知漏洞的攻擊,可用簽名法來實施監控;對于系統的正常運行階段,需要對其中的可疑動作是否出現了異常現象進行確認時,可用統計法進行監控,能夠從動作模式為出發點進行判斷。
2.6及時下載漏洞補丁程序對計算機網絡安全的維護應當是一個長期的,動態的過程,因此及時下載漏洞補丁就顯得十分必要。在使用計算機來連接網絡的過程當中,為避免因存在系統漏洞而被惡意攻擊者利用,必須及時下載最新的漏洞補丁,消除計算機應用環境中的種種隱患。可通過特定的漏洞掃描手段對漏洞進行掃描,例如COPS,tripwire,tiger等,都是非常實用的漏洞掃描軟件,360安全衛士,瑞星卡卡等軟件也有良好的效果,可使用這些軟件進行掃描并下載漏洞補丁。
2.7加強用戶賬號的安全保護為保障計算機網絡賬號的安全,應加強對賬號的保護措施。在計算機應用的網絡環境下,許多應用領域都需要賬號和密碼進行登錄,涉及范圍較廣,包括系統登錄,電子賬號登錄,網上銀行登錄等等,因此加強對賬號的安全防范就有著極其重要的意義。首先,對系統登錄來說,密碼設置應盡量復雜;其次,對于不同應用方面的賬號來說,應避免使用相同或類似的密碼,以免造成重大損失;再次,在設置方式上應采用組合的形式,綜合使用數字、字母,以及特殊符號;最后,應保證密碼長度合適,同時應定期修改密碼。
篇10
我國近二十年來信息化建設飛速發展,各個行業對信息系統的依賴程度都在提高,信息化、數字化已經成為現代社會一個非常明顯的進步標志。目前,信息技術在高校建設應用范圍也越來越廣,數據中心作為高校辦學核心技術所在更是早就向數字化和信息化發展,由此導致信息系統的安全問題越來越突出,所以數據中心的信息安全建設日趨重要,以此提高數據中心對信息風險的防范能力。
1高校數據中心信息安全建設的重要性及隱患
高校數據中心是保障校內多個應用系統安全運行,保證學生身份認證和管理、日常辦公、人事管理、財務管理、圖書資料管理、教務選課等工作的前提條件,另外數據中心內存有學校各種重要的資料和關鍵的數據。保證這些資料數據的安全,保障各應用系統的安全運行是數據中心的一項重要職責,所以進行數據中心信息安全建設是確保高校數據安全的必然選擇,其根本出發點和歸宿是為了保證數據中心信息不丟失或者被盜[1]。然而,隨著互聯網技術日新月異的發展,數據中心存在安全隱患。這些安全隱患除了來自管理制度的不健全外,有來自于現有網絡各種攻擊技術手段,未被授權的訪問可能會導致數據整體性和私密性遭到破壞,還有一些數據中心內部的操作,如新業務系統上線,系統升級等帶來的網絡宕機。各種安全產品、安全技術的簡單堆砌并不能保證數據中心的安全,所以只有在安全策略的指導下,建立有機的、智能化的安全防范體系,才能有效地保障校園數據中心的關鍵業務和關鍵數據的安全[2]。
2高校數據中心信息安全建設的主要內容
2.1高校數據中心信息安全建設的主要技術手段
高校數據中心信息安全建設的主要技術手段有:防火墻、防病毒系統、入侵防御、漏洞掃描、CA認證、數據備份與容災、個人桌面控制系統、監控與審計系統、不間斷電源系統等。這些手段聯合起來才可以確保組建成一個較為堅固的安全運行環境。
2.1.1防火墻
防火墻是信息安全體系中最重要的設備之一,對高校數據中心來說,它可以為內部辦公的局域網以及外部網絡提供安全屏障。它對流經的網絡通信進行監測掃描,只有選擇指定的網絡應用協議才可以通過。另外,防火墻還強化了網絡安全策略的配置和管理,對經過它的各種訪問進行記錄并做出日志,利用它提供的網絡使用數據統計情況,當有可疑的訪問發生時,能自動進行報警。我們還可以通過防火墻對內部網絡進行劃分,實現對內部網中的重點網段的隔離(如服務器的DMZ區),從而防止局部重點網絡安全出現問題對全局網絡造成傷害。
2.1.2防病毒系統、入侵防御、漏洞掃描
計算機病毒傳播途徑多,同時具有非授權性、隱蔽性、傳染性、潛伏性、破壞性、可觸發性等多重特點,殺傷力極大,不但能攻擊系統數據區、文件和內存,而且還能干擾系統、堵塞網絡等,單憑防火墻是無法保證數據中心的信息安全的,因此,部署防病毒系統、入侵檢測(防御)、漏洞掃描是很有必要的。我們在網絡中部署網絡殺毒軟件,定期對內網中所有服務器和客戶端進行殺毒,并實時更新病毒庫。還需要在網絡入口處部署入侵防御系統,阻止各種嘗試性闖入、偽裝攻擊、系統滲透、泄露、拒絕服務和惡意使用等各種手段的入侵。部署漏洞掃描系統就是每天定期掃描網絡和操作系統中可能存在的漏洞,并立即告警,及時打補丁,把各種攻擊消滅在萌芽狀態。
2.1.3CA認證系統(身份認證、數據傳輸加密、電子簽名、電子公章、時間戳等)
為數據中心信息的安全考慮,尤其是機密數據的電子政務系統必須采用CA認證。CA認證可以解決網絡環境中可信的身份認證,并且可以解決信息機密性、信息完整性、身份認證實體性、行為不可否認性、授權有效性等問題。只有本人憑電子鑰匙經過CA認證后才能登錄系統訪問機密數據,數據也只有經過CA加密才能在網絡中傳輸,數據的接收方也必須經過CA認證,所有操作必須經過電子簽名并加蓋時間戳。這樣,通過CA認證,數據中心中的數據的安全系數就得到了極大的提高。
2.1.4數據備份與容災
為了提高服務器的安全性和持續穩定運行,在大多數模式下可以建立服務器集群,就是集群中所有的計算機擁有一個共同的名稱,這樣集群內任何一個系統上運行的服務可被所有的網絡客戶所使用。另外要建立容災備份系統,這是對數據做好保護至關重要的,也是保證提供正常服務的最后一道防線。一旦有影響數據安全的情況發生,可以在最短的時間內恢復受損的數據。備份的方法也很多,有手動備份、自動備份、LAN備份、雙機熱備等。對于海量的空間數據,在資金許可的情況下,還可以考慮利用廣域網進行數據遠程異地備份,建立容災中心,來確保數據的安全。
2.2高校數據中心信息安全的制度建設
想要建設成供任何一個系統,除了要配置較為完善的技術設備、軟件支持外,還要建立一個與之適用的完善、合理的規章制度。高校數據中心信息安全的制度建設過程中,必須成立校內的信息安全小組,他們的主要任務就是從整體上規范安全建設,制定數據標準,貫徹執行和完善信息安全的規章制度,并且對日常工作進行認真檢查、監督和指導。在實際工作中要認真研究各種相關制度,不斷的對當前制度進行更新和完善,進一步確保信息數據的安全。
2.3高校數據中心信息安全建設的其他方面
數據中心的信息安全建設除了要建設各種軟件防護系統、制定完善的制度外,安全管理也是其中一個非常重要的部分。安全管理貫穿整個安全防范體系,是安全防范體系的核心。代表了安全防范體系中人的因素。為了保障數據中心信息的安全,必須要進行安全操作培訓工作,而這一工作的重要前提就是做好數據中心的安全管理工作。再好的技術如果沒有能夠落實到位,其高水平無法真正發揮作用。所以,建設高效的數據中心信息安全系統,必須要將安全管理落實到位。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術和安全策略的管理,使用者的安全意識是信息系統是否安全的決定因素,因此對校園數據中心用戶的安全培訓和安全服務是整個安全體系中重要、不可或缺的一部分。具體實施的時候,首先對所有相關工作人員進行安全知識培訓,要求所有相關人員對數據中心的安全有一個最充分全面的認識,從而在實際工作中更加主動、積極的去關注系統安全、信息安全,盡早消除各種隱患因素[3]。
3對目前高校數據中心信息安全建設的建議
3.1建立信息安全框架及安全組織機構
高校應建立信息安全框架,即制定系統安全保障方案,實施安全宣傳教育、安全監管和安全服務。在大多數高校,網絡信息管理中心是信息安全的主管部門和技術支持部門,身兼管理和技術兩項職能,但學校往往賦予網絡中心的只有技術支持的職能,沒有真正意義上的管理職能,出現安全事故只解決技術問題,遺留的很多問題得不到明確的解決。因此,高校還應該建立專門負責信息安全管理的組織機構,該組織機構由學校主要領導負責,并由技術部門和管理部門的人員構成,其中包括網絡中心的負責人,并由網絡中心負責各部門間的協調和聯絡,制定安全政策和策略以及一系列體現安全政策的規章制度并監督執行,真正的發揮這類機構的作用。另外應該重視網絡中心的人員配置情況,引進高層次的技術人才和管理人才,分別負責網絡建設、管理和維護、信息資源建設、信息安全治理等工作,做到分工明確、責任到人,這樣才能切實地提高數據中心的信息安全。
3.2加強信息安全的思想認識培養,樹立信息安全意識
網絡信息管理中心要充分發揮其管理職能,與學校保衛處、學工部、校團委等相關部門協調配合,積極在全校范圍內開展有關信息安全的宣傳活動,邀請信息安全方面的專家對師生、員工進行安全培訓,定期舉行關于信息安全的學術報告,將一些信息安全的實際案例放到中心、校園網站等等,加強對師生、員工的安全教育,將安全意識擴展為一種氛圍,努力提高和強化校內的信息安全觀念意識,確立信息安全管理的基本思想與策略,加快信息安全人才的培養。這就從強制性的安全策略轉換為自主接受的安全策略文化,當然這也是實現信息安全目標的基本前提。
3.3確保信息安全得到成熟有效的技術保證,定期進行信息安全審核和評估
環境的不斷變化決定了信息安全工作的性質是長期的、無盡頭的,因此要求使用的安全產品在技術上必須是成熟的、有效的。對于高校數據中心信息安全,從技術角度來說,主要涉及到網絡通信系統的保密與安全、操作系統與數據庫平臺的安全、應用軟件系統的安全等三個方面。所以必須對網絡系統進行科學的安全分析,結合具體應用,將上述三個方面密切結合,在網絡信息系統中建立了一整套安全機制,實現從外到內的安全防護。另外,必須定期的對學校的信息安全過程進行嚴格的審核,并對學校的信息安全進行新的風險分析和風險評估,制定適合現狀的信息安全策略。
4結語
校園數據中心是校園信息系統的核心樞紐,數據中心的信息安全保障體系應是一個包含安全政策法規、標準規范、組織管理、技術保障、基礎設施、人才培養的多層次、全方位的系統。,充分利用現代社會先進的安全保護技術和高水平的安全管理技術對數據中心進行全面改造和升級,真正提高高校數據中心信息安全系數,同時,積極促進行業整體信息化應用水平的全面提高,為信息化發展保駕護航。
作者:邵美科 單位:東北財經大學
主要參考文獻:
