引論:我們?yōu)槟砹?3篇數(shù)據(jù)安全論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
1.1插入攻擊插入攻擊以部署非授權的設備或創(chuàng)建新的無線網(wǎng)絡為基礎,這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網(wǎng)絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內部,他們可以使用網(wǎng)絡掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網(wǎng)絡,這種活動稱為“wardriving”;走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務,這稱為“warwalking”。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網(wǎng)絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創(chuàng)建隱蔽的無線網(wǎng)絡。這種秘密網(wǎng)絡雖然基本上無害,但它卻可以構造出一個無保護措施的網(wǎng)絡,并進而充當了入侵者進入企業(yè)網(wǎng)絡的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網(wǎng)絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網(wǎng)絡的數(shù)據(jù)或攻擊計算機。
1.5竊取網(wǎng)絡資源有些用戶喜歡從鄰近的無線網(wǎng)絡訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖,但仍會占用大量的網(wǎng)絡帶寬,嚴重影響網(wǎng)絡性能。而更多的不速之客會利用這種連接從公司范圍內發(fā)送郵件,或下載盜版內容,這會產生一些法律問題。
1.6對無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡中一樣,劫持和監(jiān)視通過無線網(wǎng)絡的網(wǎng)絡通信是完全可能的。它包括兩種情況,一是無線數(shù)據(jù)包分析,即熟練的攻擊者用類似于有線網(wǎng)絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數(shù)據(jù)一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執(zhí)行一些非授權的命令等。第二種情況是廣播包監(jiān)視,這種監(jiān)視依賴于集線器,所以很少見。
二、保障無線網(wǎng)絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網(wǎng)絡的識別,類似我們的手機識別不同的移動運營商的機制。參數(shù)在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數(shù)或者手動設定與AP相同的SSID才能連接到無線網(wǎng)絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡的。需要注意的是,如果黑客利用其他手段獲取相應參數(shù),仍可接入目標網(wǎng)絡,因此,隱藏SSID適用于一般SOHO環(huán)境當作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數(shù)據(jù)包都會做出判斷,只有符合設定標準的才能被轉發(fā),否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡,一般SOHO,小型企業(yè)工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經(jīng)過WIFI認證的設備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數(shù)據(jù)不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態(tài)非交換式密鑰,安全性也受到了業(yè)界的質疑,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊,一般用于SOHO、中小型企業(yè)的安全加密。
2.4AP隔離類似于有線網(wǎng)絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網(wǎng)絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。作為擴展認證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規(guī)格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議,而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無線網(wǎng)絡部署。
2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線網(wǎng)絡的安全問題。由于部分AP和大多數(shù)移動客戶端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。
篇2
電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統(tǒng)對外部威脅的防范,而廣義的安全是計算機系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數(shù)據(jù)運行在電子商務等以計算機系統(tǒng)作為一個組織業(yè)務目標實現(xiàn)的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數(shù)據(jù)安全的多元性
在計算機網(wǎng)絡系統(tǒng)環(huán)境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數(shù)據(jù)完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數(shù)據(jù)安全出現(xiàn)問題可能是其中一個方面出現(xiàn)了漏洞,也可能是其中兩個或是全部出現(xiàn)互相聯(lián)系的安全事故。
(二)電子數(shù)據(jù)安全的動態(tài)性
由于信息技術在不斷地更新,電子數(shù)據(jù)安全問題就具有動態(tài)性。因為在今天無關緊要的地方,在明天就可能成為安全系統(tǒng)的隱患;相反,在今天出現(xiàn)問題的地方,在將來就可能已經(jīng)解決。例如,線路劫持和竊聽的可能性會隨著加密層協(xié)議和密鑰技術的廣泛應用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現(xiàn)了安全需要。安全問題的動態(tài)性導致不可能存在一勞永逸的解決方案。
(三)電子數(shù)據(jù)安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續(xù)幾個月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺,并最終攻入系統(tǒng)。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協(xié)議、服務等邏輯方式對系統(tǒng)進行試探,可能繞過系統(tǒng)設置的某些安全措施,尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計算機和網(wǎng)絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數(shù)據(jù)安全的復雜性。
(四)電子數(shù)據(jù)安全的安全悖論
目前,在電子數(shù)據(jù)安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統(tǒng)結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發(fā)的安全保證和產品認證的安全保證。
(五)電子數(shù)據(jù)安全的適度性
由以上可以看出,電子數(shù)據(jù)不存在l00%的安全。首先由于安全的多元性和動態(tài)性,難以找到一個方法對安全問題實現(xiàn)百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業(yè)界普遍遵循的概念是所謂的“適度安全準則”,即根據(jù)具體情況提出適度的安全目標并加以實現(xiàn)。
三、電子數(shù)據(jù)安全審計
電子數(shù)據(jù)安全審計是對每個用戶在計算機系統(tǒng)上的操作做一個完整的記錄,以備用戶違反安全規(guī)則的事件發(fā)生后,有效地追查責任。電子數(shù)據(jù)安全審計過程的實現(xiàn)可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據(jù)記錄進行安全違反分析;第三步,采取處理措施。
電子數(shù)據(jù)安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統(tǒng)上的活動、上機下機時間,與計算機信息系統(tǒng)內敏感的數(shù)據(jù)、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發(fā)現(xiàn)、調查、分析及事后追查責任,還可以為加強管理措施提供依據(jù)。
(一)審計技術
電子數(shù)據(jù)安全審計技術可分三種:了解系統(tǒng),驗證處理和處理結果的驗證。
1.了解系統(tǒng)技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執(zhí)行,控制能在該系統(tǒng)中起作用。該技術一般分為實際測試和性能測試,實現(xiàn)方法主要有:
(1)事務選擇
審計人員根據(jù)制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統(tǒng)的事務管理部件引用。
(2)測試數(shù)據(jù)
這種技術是程序測試的擴展,審計人員通過系統(tǒng)動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數(shù)據(jù)。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統(tǒng)的主要功能。當給出實際的和仿真的系統(tǒng)相同數(shù)據(jù)后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數(shù)據(jù)上,而不是對數(shù)據(jù)的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數(shù)據(jù)。將審計數(shù)據(jù)收集技術插入應用程序審計模塊(此模塊根據(jù)指定的標準收集數(shù)據(jù),監(jiān)視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數(shù)據(jù)庫管理系統(tǒng)的查詢設施抽取用戶數(shù)據(jù)。
二是從數(shù)據(jù)中尋找什么?一旦抽取數(shù)據(jù)后,審計人員可以檢查控制信息(含檢驗控制總數(shù)、故障總數(shù)和其他控制信息);檢查語義完整性約束;檢查與無關源點的數(shù)據(jù)。
(二)審計范圍
在系統(tǒng)中,審計通常作為一個相對獨立的子系統(tǒng)來實現(xiàn)。審計范圍包括操作系統(tǒng)和各種應用程序。
操作系統(tǒng)審計子系統(tǒng)的主要目標是檢測和判定對系統(tǒng)的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統(tǒng)完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統(tǒng)、報警閥值的設置與選擇;審計日態(tài)記錄及其數(shù)據(jù)的安全保護等。
應用程序審計子系統(tǒng)的重點是針對應用程序的某些操作作為審計對象進行監(jiān)視和實時記錄并據(jù)記錄結果判斷此應用程序是否被修改和安全控制,是否在發(fā)揮正確作用;判斷程序和數(shù)據(jù)是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區(qū)別的。主要區(qū)別是日志恢復通常不記錄讀操作;但根據(jù)需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規(guī)則的事件發(fā)生時,或在威脅安全的重要操作進行時,及時向安檢員發(fā)出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發(fā)生的時間和地點;引發(fā)事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統(tǒng)是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態(tài)地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數(shù)據(jù)庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執(zhí)行請求,然而,數(shù)據(jù)庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數(shù)據(jù)安全審計工作的流程是:收集來自內核和核外的事件,根據(jù)相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發(fā)送報警信息并記錄其內容。當事件在一定時間內連續(xù)發(fā)生,滿足逐出系統(tǒng)閥值,則將引起該事件的用戶逐出系統(tǒng)并記錄其內容。
篇3
二、信息數(shù)據(jù)安全管理實施過程
1.信息數(shù)據(jù)管理為了保障信息數(shù)據(jù)的安全,信息中心根據(jù)網(wǎng)絡實際運行情況對防火墻及交換機進行安全配置,添加防火墻訪問策略及交換機訪問控制列表,對外部用戶訪問進行限制,只允許訪問指定服務器,防止來自外部的黑客攻擊;對局域網(wǎng)劃分網(wǎng)段,配置訪問權限,保證局域網(wǎng)內部傳輸安全。利用終端安全控制軟件對局域網(wǎng)內所有聯(lián)網(wǎng)終端進行統(tǒng)一管理,監(jiān)控終端機器運行狀況,禁止用戶私自對終端硬件及系統(tǒng)設置進行修改,鎖定終端機器光驅,軟驅,移動存儲介質等數(shù)據(jù)交換設備,終端USB端口只識別公司專用U盤及打印機,并對終端數(shù)據(jù)的流入流出進行安全審計,保存記錄,保障公司信息數(shù)據(jù)的流出、流入安全。
2.服務器運行管理信息機房值班人員每天定時對機房進行巡視,查看服務器機房溫濕度及空調、UPS電源運行狀態(tài),確保服務器運行環(huán)境穩(wěn)定。檢測服務器軟、硬件運行狀態(tài),并填寫機房巡視記錄,保證信息服務器穩(wěn)定運行。執(zhí)行“切換冗余服務器”運行管理,重要信息系統(tǒng)服務器運行實現(xiàn)雙機熱備,其它信息系統(tǒng)進行雙機互備,如果一臺服務器運行出現(xiàn)故障,需要較長時間修復,則立即啟動備用服務器,恢復信息系統(tǒng)運行,保證服務器穩(wěn)定高效運行。
3.數(shù)據(jù)存儲備份管理根據(jù)公司實際將重要信息數(shù)據(jù)劃分為公司級重要數(shù)據(jù)和個人重要數(shù)據(jù),并對規(guī)定的計算機專責人(兼職)進行權限的設置,公司級重要數(shù)據(jù)備份后存入指定備份文件夾,個人重要數(shù)據(jù)由個人整理后轉存至備份服務器中個人備份空間。計算機專責人(兼職)按規(guī)定的備份周期,利用自動備份軟件對所管理信息系統(tǒng)進行本機數(shù)據(jù)備份。農電營銷系統(tǒng)數(shù)據(jù)每月十八日進行上一月數(shù)據(jù)的完整備份,電費收取計算時,每日進行備份;其它信息系統(tǒng)每周一進行上一周數(shù)據(jù)的備份。信息系統(tǒng)管理員將本機數(shù)據(jù)進行可用性檢查,確認數(shù)據(jù)無誤,將數(shù)據(jù)刻錄成DVD數(shù)據(jù)盤并備份至本地備份服務器進行存放,確保數(shù)據(jù)存放安全。重要數(shù)據(jù)存儲備份采取“數(shù)據(jù)異地多點存儲”,與濰坊市領近縣公司建立互備關系,并在服務器中實施了相關安全策略和設置對應訪問權限,簽訂了數(shù)據(jù)互備安全協(xié)議,保證數(shù)據(jù)在異地的安全,確保在本地發(fā)生重大災難時,能夠有效的恢復系統(tǒng)數(shù)據(jù)。
4.移動存儲設備管理信息中心利用移動存儲認證管理軟件,將唯一代碼寫入移動存儲設備內進行認證,認證后只能在公司許可機器中識別讀取。人員調離工作崗位需要交回移動存儲介質,信息中心在收回認證移動存儲設備后,確認數(shù)據(jù)不再需要,將移動存儲設備信息進行集中銷毀,保證數(shù)據(jù)不會流出。
5.數(shù)據(jù)恢復管理信息數(shù)據(jù)管理員將數(shù)據(jù)拷貝至服務器相應文件夾內,進行信息數(shù)據(jù)的恢復操作。進行數(shù)據(jù)恢復操作以后,登陸信息系統(tǒng)查看數(shù)據(jù)恢復情況,進行數(shù)據(jù)恢復測試,測試恢復的數(shù)據(jù)是否完整可靠,確保信息系統(tǒng)恢復正常運行。
三、效益分析
1.經(jīng)濟效益當前電力企業(yè)的財務、人事、生產等信息都已實現(xiàn)了電子化,所有的業(yè)務數(shù)據(jù)都存放于服務器中,隨時讀取,隨時更新,大大減少了數(shù)據(jù)查詢和存儲的時間,不僅節(jié)省了人力、物力,而且大大提高了生產率。但隨著信息化的迅速發(fā)展和信息技術運用的深入、普及,信息數(shù)據(jù)安全管理變得日益重要,其存儲的安全性越來越令人擔憂。重要信息數(shù)據(jù)一旦丟失,將為企業(yè)帶來不可估量的損失。加強信息數(shù)據(jù)安全管理,可為企業(yè)信息化建設和各項工作的持續(xù)開展保駕護航。
2.管理效益信息數(shù)據(jù)的安全管理保證了管理信息系統(tǒng)的穩(wěn)定運行,使我公司各級管理人員能夠在日常工作中方便、快捷的查詢業(yè)務數(shù)據(jù),切實做到了日常工作的網(wǎng)絡化、實用化、效率化,管理者借助于現(xiàn)代計算機技術的優(yōu)勢,可快速查閱準確、完整的各類數(shù)據(jù)的統(tǒng)計分析,提高了工作效率,顯著增強了企業(yè)辦公與服務水準,促進了企業(yè)現(xiàn)代化建設管理的進程。
篇4
2.1網(wǎng)絡病毒
當前,Internet已經(jīng)成為了各種計算機網(wǎng)絡病毒的最大傳播途徑,一旦用戶終端被網(wǎng)絡病毒感染,就可能造成與其進行數(shù)據(jù)通信的其他用戶終端被連帶感染,特別是當前病毒的破壞形式多種多樣,能在不被發(fā)現(xiàn)的情況下對傳輸數(shù)據(jù)進行復制、篡改和毀壞,也可以通過侵入終端內部對系統(tǒng)數(shù)據(jù)進行攻擊,從而造成數(shù)據(jù)通信質量下降或中斷。在政府機構或企業(yè)中,一些非法分子出于經(jīng)濟或政治目的,通過對政府機關網(wǎng)或企業(yè)局域網(wǎng)的服務器植入病毒,造成機密信息外泄,從而造成不可估量的損失,嚴重時還可能威脅到國家安全和社會穩(wěn)定。
2.2黑客攻擊
正常的網(wǎng)絡通信是通過合法訪問的形式實現(xiàn)的,而在現(xiàn)實中,一些網(wǎng)絡黑客出于不同的目的,在未經(jīng)允許的情況下就利用網(wǎng)絡傳輸協(xié)議、服務器以及操作系統(tǒng)上的安全漏洞進行非法訪問,使得系統(tǒng)內部的信息和數(shù)據(jù)被盜取或刪改等,從而造成系統(tǒng)崩潰、重要信息丟失或泄露等嚴重事件。
2.3管理缺失
在實際工作中,很多用戶在利用網(wǎng)絡進行數(shù)據(jù)通信時沒有充分重視安全方面的問題。一方面沒有投入先進的網(wǎng)絡硬件設備,或者投入時只重視服務器、交換機等硬件設備的性能而忽略了安全防護性;另一方面由于相關技術人員和管理人員缺乏,使得信息的使用和傳輸非常隨意,再加上對傳輸和終端設備的入網(wǎng)安全性檢測工作不嚴,容易被不法分子在設備內部設置后門,從而給數(shù)據(jù)通信安全造成威脅。
3網(wǎng)絡數(shù)據(jù)通信中的安全防范技術措施
3.1對網(wǎng)絡入侵進行檢測
網(wǎng)絡數(shù)據(jù)通信一般都是基于TCP/IP等網(wǎng)絡通信協(xié)議的基礎上完成的,在這個過程中可以加強對網(wǎng)絡訪問行為的監(jiān)視和分析,判斷其是否屬于合法訪問的范疇。一旦發(fā)現(xiàn)其存在違反安全策略的行為,就要立即對訪問實施攔截,同時發(fā)出報警,提示相關工作人員進行進一步的處理。
3.2實施訪問控制
首先,對不同的訪問用戶設置不同的安全權限。通過設置不同的安全權限可以有效防止未經(jīng)授權的用戶訪問敏感信息,避免了機密信息數(shù)據(jù)的外泄。其次,局域網(wǎng)用戶還應做好內部訪問外網(wǎng)的控制,通過部署網(wǎng)絡版防火墻等方式杜絕外部病毒和木馬程序順著訪問路徑入侵。最后,采用認證技術來限制用戶訪問網(wǎng)絡。用戶只有通過門戶網(wǎng)站或客戶端的形式完成認證步驟,才能實施對外部網(wǎng)絡的訪問。
3.3進行數(shù)據(jù)加密將信息數(shù)據(jù)在傳輸前進行加密,被接收之后通過解密機進行還原,從而有效提高數(shù)據(jù)在傳輸過程中的安全性。目前常用的數(shù)據(jù)加密技術有兩種:
(1)端到端加密技術。在數(shù)據(jù)信息的發(fā)送端和接收端同時以加密的形式存在。
(2)鏈路加密技術。在數(shù)據(jù)信息的傳輸過程中以加密的形式存在。在實際應用中,這兩種加密技術一般混合采用,以提高數(shù)據(jù)信息的安全性。
篇5
1.2加強安全管理的制度建設
管理工作想要切實加強,離不開科學規(guī)范的制度及有效執(zhí)行。因此必須針對網(wǎng)絡環(huán)境下的檔案數(shù)據(jù)庫安全管理容易發(fā)生問題的所在進行進一步的制度調整和水平升級。首先,要加強數(shù)據(jù)庫直接管理人員的責任制落實,對于某些極為重要的管理職務和管理項目應該推行終身問責制,從而切實保障責任的有效落實。此外還應該加強網(wǎng)絡設備的維護保養(yǎng)制度及人員崗位制度建設,在堅持專人專崗避免職務交叉的同時,推行輪崗制,輪崗制能夠有效避免長期占據(jù)同一職務而滋生的利己主義思想,同時也能夠幫助相關崗位工作人員了解整個管理流程,從而提升崗位與崗位之間的協(xié)作性,確保整個管理工作開展更加科學有序并富有成效。其次,以安全管理工作為核心加強績效考核機制建設。最后,要加強監(jiān)督機制建設,在監(jiān)督機制建設方面,要推行內外結合的監(jiān)督約束建設原則,所謂內,就是內部審計,內部審計工作人員不僅包括熟識檔案數(shù)據(jù)庫安全管理的專門人士,同時也要包括社會專門審計機構的專業(yè)人才,這樣一方面能夠確保審計工作的精確性與實用性,避免走形式以及提升審計工作小組對單位的忠誠度,另一方面能夠利用專門審計人員多年來從事同類型審計工作的豐富經(jīng)驗來提升審計工作的總體質量,幫助單位將審計工作推向更為科學、合理以及規(guī)范的發(fā)展方向。外部監(jiān)督約束機制建設方面,就是加強與社會媒體的溝通協(xié)作,同時加大社會公眾在輿論監(jiān)督權履行方面的主動性與積極性,為安全管理工作打造一個積極的外部環(huán)境,約束其管理行為,促進管理工作質量提升。
1.3加強文化建設工作力度
現(xiàn)代社會,管理工作想要取得實質性的質量提升,除了要有科學嚴密的制度保障以外,更重要的是要讓被管理人員從被動的應付管理轉變?yōu)橹鲃拥膮⑴c管理,因此文化建設工作在現(xiàn)代管理工作中的重要性也日益體現(xiàn),只有將制度融合于文化當中才能夠讓內部人員及被管理對象樹立起遵守管理制度的自覺自愿意識,才能夠激發(fā)他們參與管理的積極性與主動性。在網(wǎng)絡安全管理工作方面,整個檔案單位共同參與相互協(xié)作是重要內容,因此更需要讓文化來推動制度的建立與執(zhí)行,在制度確立、人員素質有效加強的同時還需要將制度轉化為內在文化,促進工作人員的工作積極性與自律性。安全文化建設最重要的一環(huán)就是加強安全學習的組織工作,并通過與個人利益直接掛鉤的形式激發(fā)工作人員的參與熱情。
1.4加強數(shù)據(jù)庫安全管理軟件開發(fā)應用
首先,要加快專門化管理軟件的開發(fā)及使用。當前市面上有許多信息化管理軟件,但是檔案數(shù)據(jù)庫的管理工作不同于一般化的管理,它更多的在訪問權限、訪問時限、訪問者身份以及信息機密性需進行嚴格控制等方面有更多且更高的要求,因此應該進行專門化的軟件開發(fā),軟件開發(fā)雖然比成品軟件購置需要花費更多成本,也需要進行操作技能的專門培訓,但是也能夠更好的實現(xiàn)上述管理目的,從而有效杜絕安全管理中的種種問題,因此應該用全局眼光看待這一問題,切不可顧忌眼前成本而放棄長遠發(fā)展。
篇6
當前,數(shù)據(jù)加密技術是一項確保計算機網(wǎng)絡安全的應用最廣泛的技術,且隨著社會及科技的發(fā)展而不斷發(fā)展。數(shù)據(jù)加密技術的廣泛應用為計算機網(wǎng)絡安全提供良好的環(huán)境,同時較好的保護了人們運用互聯(lián)網(wǎng)的安全。密鑰及其算法是數(shù)據(jù)加密技術的兩個主要元素。密鑰是一種對計算機數(shù)據(jù)進行有效編碼、解碼的算法。在計算機網(wǎng)絡安全的保密過程中,可通過科學、適當?shù)墓芾頇C制以及密鑰技術來提高信息數(shù)據(jù)傳輸?shù)目煽啃约鞍踩浴K惴ň褪前哑胀ㄐ畔⒑兔荑€進行有機結合,從而產生其他人難以理解的一種密文步驟。要提高數(shù)據(jù)加密技術的實用性及安全性,就要對這兩個因素給予高度重視。
2.1鏈路數(shù)據(jù)加密技術在計算機網(wǎng)絡安全中的應用
一般情況下,多區(qū)段計算機計算機采用的就是鏈路數(shù)據(jù)加密技術,其能夠對信息、數(shù)據(jù)的相關傳輸路線進行有效劃分,并以傳輸路徑以及傳輸區(qū)域的不同對數(shù)據(jù)信息進行針對性的加密。數(shù)據(jù)在各個路段傳輸?shù)倪^程中會受到不同方式的加密,所以數(shù)據(jù)接收者在接收數(shù)據(jù)時,接收到的信息數(shù)據(jù)都是密文形式的,在這種情況下,即便數(shù)據(jù)傳輸過程被病毒所獲取,數(shù)據(jù)具有的模糊性也能對數(shù)據(jù)信息起到的一定程度的保護作用。此外,鏈路數(shù)據(jù)加密技術還能夠對傳送中的信息數(shù)據(jù)實行相應的數(shù)據(jù)信息填充,使得數(shù)據(jù)在不同區(qū)段傳輸?shù)臅r候會存在較大的差異,從而擾亂竊取者數(shù)據(jù)判斷的能力,最終達到保證數(shù)據(jù)安全的目的。
2.2端端數(shù)據(jù)加密技術在計算機網(wǎng)絡安全中的應用
相比鏈路數(shù)據(jù)加密技術,端端數(shù)據(jù)加密技術實現(xiàn)的過程相對來說較為容易。端端數(shù)據(jù)加密技術主要是借助密文形式完成信息數(shù)據(jù)的傳輸,所以數(shù)據(jù)信息傳輸途中不需要進行信息數(shù)據(jù)的加密、解密,這就較好的保障了信息安全,并且該種技術無需大量的維護投入及運行投入,由于端端數(shù)據(jù)加密技術的數(shù)據(jù)包傳輸?shù)穆肪€是獨立的,因而即使某個數(shù)據(jù)包出現(xiàn)錯誤,也不會干擾到其它數(shù)據(jù)包,這一定程度上保證了數(shù)據(jù)傳輸?shù)挠行约巴暾浴4送猓趹枚硕藬?shù)據(jù)加密技術傳輸數(shù)據(jù)的過程中,會撤銷原有信息數(shù)據(jù)接收者位置的解密權,除了信息數(shù)據(jù)的原有接收者,其他接收者都不能解密這些數(shù)據(jù)信息,這極大的減少了第三方接收數(shù)據(jù)信息的幾率,大大提高了數(shù)據(jù)的安全性。
2.3數(shù)字簽名信息認證技術在計算機網(wǎng)絡安全中的有效應用
隨著計算機相關技術的快速發(fā)展,數(shù)字簽名信息認證技術在提高計算機網(wǎng)絡安全中的重要作用日漸突出。數(shù)字簽名信息認證技術是保障網(wǎng)絡安全的主要技術之一,主要是通過對用戶的身份信息給予有效的確認與鑒別,從而較好的保證用戶信息的安全。目前,數(shù)字簽名信息認證的方式主要有數(shù)字認證以及口令認證兩種。數(shù)字認證是在加密信息的基礎上完成數(shù)據(jù)信息密鑰計算方法的有效核實,進一步增強了數(shù)據(jù)信息的有效性、安全性。相較于數(shù)字認證而言,口令認證的認證操作更為快捷、簡便,使用費用也相對較低,因而使用范圍更廣。
2.4節(jié)點數(shù)據(jù)加密技術在計算機網(wǎng)絡安全中的有效應用
節(jié)點數(shù)據(jù)加密技術和鏈路數(shù)據(jù)加密技術具有許多相似之處,都是采取加密數(shù)據(jù)傳送線路的方法來進行信息安全的保護。不同之處則是節(jié)點數(shù)據(jù)加密技術在傳輸數(shù)據(jù)信息前就對信息進行加密,在信息傳輸過程中,數(shù)據(jù)信息不以明文形式呈現(xiàn),且加密后的各項數(shù)據(jù)信息在進入傳送區(qū)段之后很難被其他人識別出來,以此來達到保護信息安全的目的。但是實際上,節(jié)點數(shù)據(jù)加密技術也存在一定弊端,由于其要求信息發(fā)送者和接收方都必須應用明文形式來進行信息加密,因而在此過程中,相關信息一旦遭到外界干擾,就會降低信息安全。
2.5密碼密鑰數(shù)據(jù)技術在計算機網(wǎng)絡安全中的有效應用
保護數(shù)據(jù)信息的安全是應用數(shù)據(jù)加密技術的最終目的,數(shù)據(jù)加密是保護數(shù)據(jù)信息安全的主動性防治措施。密鑰一般有私用密鑰及公用密鑰兩種類型。私用密鑰即信息傳送雙方已經(jīng)事先達成了密鑰共識,并應用相同密鑰實現(xiàn)信息加密、解密,以此來提高信息的安全性。而公用密鑰的安全性則比較高,其在發(fā)送文件發(fā)送前就已經(jīng)對文件進行加密,能有效避免信息的泄露,同時公用密鑰還能夠與私用密鑰互補,對私用密鑰存在的缺陷進行彌補。
篇7
Keywords:Databasesecuritymanagement
一、數(shù)據(jù)庫安全概述
1.數(shù)據(jù)庫安全概述
數(shù)據(jù)庫安全是指保護數(shù)據(jù)庫以防止非法用戶的越權使用、竊取、更改或破壞數(shù)據(jù)。數(shù)據(jù)庫安全涉及到很多層面,必須在以下幾個層面做好安全措施:
(1)物理層:重要的計算機系統(tǒng)必須在物理上受到保護,以防止入侵者強行進入或暗中潛入。
(2)人員層:數(shù)據(jù)庫系統(tǒng)的建立、應用和維護等工作,一定要由政治思想上過硬的合法用戶來管理。
(3)操作系統(tǒng)層:要進入數(shù)據(jù)庫系統(tǒng),首先要經(jīng)過操作系統(tǒng),如果操作系統(tǒng)的安全性差,數(shù)據(jù)庫將面臨著重大的威脅。
(4)網(wǎng)絡層:由于幾乎所有網(wǎng)絡上的數(shù)據(jù)庫系統(tǒng)都允許通過終端或網(wǎng)絡進行遠程訪問,所以網(wǎng)絡的安全和操作系統(tǒng)的安全一樣重要,網(wǎng)絡安全了,無疑對數(shù)據(jù)的安全提供了保障。
(5)數(shù)據(jù)庫系統(tǒng)層:數(shù)據(jù)庫系統(tǒng)應該有完善的訪問控制機制,以防止非法用戶的非法操作。為了保證數(shù)據(jù)庫的安全,必須在以上所有層次上進行安全性控制。
2.數(shù)據(jù)庫安全的目標
(1)提供數(shù)據(jù)共享,集中統(tǒng)一管理數(shù)據(jù);
(2)簡化應用程序對數(shù)據(jù)的訪問,應用程序得以在更為邏輯的層次上訪問數(shù)據(jù):
(3)解決數(shù)據(jù)有效性問題,保證數(shù)據(jù)的邏輯一致性:
(4)保證數(shù)據(jù)獨立性問題,降低程序對數(shù)據(jù)及數(shù)據(jù)結構的依賴:
(5)保證數(shù)據(jù)的安全性,在共享環(huán)境下保證數(shù)據(jù)所有者的利益。
以上僅是數(shù)據(jù)庫的幾個最重要的動機,發(fā)展變化的應用對數(shù)據(jù)庫提出了更多的要求。為達到上述的目的,數(shù)據(jù)的集中存放和管理永遠是必要的。其中的主要問題,除功能和性能方面的技術問題,最重要的問題就是數(shù)據(jù)的安全問題.如何既提供充分的服務同時又保證關鍵信息不被泄漏而損害信息屬主的利益,是DBMS的主要任務之一。
二、數(shù)據(jù)庫系統(tǒng)安全的主要風險
數(shù)據(jù)庫系統(tǒng)在實際應用中存在來自各方面的安全風險,由安全風險最終引起安全問題,下面從四個方面講述數(shù)據(jù)庫系統(tǒng)的安全風險。
1.來自操作系統(tǒng)的風險
來自操作系統(tǒng)的風險主要集中在病毒、后門、數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)的關聯(lián)性方面。首先在病毒方面,操作系統(tǒng)中可能存在的特洛伊木馬程序對數(shù)據(jù)庫系統(tǒng)構成極大的威脅,數(shù)據(jù)庫管理員尤其需要注意木馬程序帶給系統(tǒng)入駐程序所帶來的威脅。一個特洛伊木馬程序修改了入駐程序的密碼,并且當更新密碼時,入侵者能得到新的密碼。其次在操作系統(tǒng)的后門方面,許多數(shù)據(jù)庫系統(tǒng)的特征參數(shù)盡管方便了數(shù)據(jù)庫管理員,但也為數(shù)據(jù)庫服務器主機操作系統(tǒng)留下了后門,這使得黑客可以通過后門訪問數(shù)據(jù)庫。最后數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)之間帶有很強的關聯(lián)性。操作系統(tǒng)具有文件管理功能,能夠利用存取控制矩陣,實現(xiàn)對各類文件包括數(shù)據(jù)庫文件的授權進行讀寫和執(zhí)行等,而且操作系統(tǒng)的監(jiān)控程序能進行用戶登錄和口令鑒別的控制,因此數(shù)據(jù)庫系統(tǒng)的安全性最終要靠操作系統(tǒng)和硬件設備所提供的環(huán)境,如果操作系統(tǒng)允許用戶直接存取數(shù)據(jù)庫文件,則在數(shù)據(jù)庫系統(tǒng)中采取最可靠的安全措施也沒有用。
2.來自管理的風險
用戶安全意識薄弱,對信息網(wǎng)絡安全重視不夠,安全管理措施不落實,導致安全事件的發(fā)生,這些都是當前安全管理工作存在的主要問題。從已發(fā)生安全事件的原因中,占前兩位的分別是“未修補軟件安全漏洞”和“登錄密碼過于簡單或未修改”,也表明了用戶缺乏相關的安全防范意識和基本的安全防范常識。比如數(shù)據(jù)庫系統(tǒng)可用的但并未正確使用的安全選項、危險的默認設置、給用戶更多的不適當?shù)臋嘞蓿瑢ο到y(tǒng)配置的未經(jīng)授權的改動等等。
3.來自用戶的風險
用戶的風險主要表現(xiàn)在用戶帳號、作用和對特定數(shù)據(jù)庫目標的操作許可。例如對表單和存儲步驟的訪問。因此必須對數(shù)據(jù)庫系統(tǒng)做范圍更廣的徹底安全分析,找出所有可能領域內的潛在漏洞,包括與銷售商提供的軟件相關的風險軟件的BUG、缺少操作系統(tǒng)補丁、脆弱的服務和選擇不安全的默認配置等。另外對于密碼長度不夠、對重要數(shù)據(jù)的非法訪問以及竊取數(shù)據(jù)庫內容等惡意行動也潛在的存在,以上這些都表現(xiàn)為來自用戶的風險。
4.來自數(shù)據(jù)庫系統(tǒng)內部的風險
雖然絕大多數(shù)常用的關系數(shù)據(jù)庫系統(tǒng)已經(jīng)存在了十多年之久,并且具有強大的特性,產品非常成熟。但許多應該具有的特征,在操作系統(tǒng)和現(xiàn)在普遍使用的數(shù)據(jù)庫系統(tǒng)中,并沒有提供,特別是那些重要的安全特征,絕大多數(shù)關系數(shù)據(jù)庫系統(tǒng)并不夠成熟。
三、數(shù)據(jù)庫安全技術研究
1.數(shù)據(jù)庫加密
對于一些重要的機密的數(shù)據(jù),例如一些金融數(shù)據(jù)、商業(yè)秘密、游戲網(wǎng)站玩家的虛擬財產,都必須存儲在數(shù)據(jù)庫中,需要防止對它們未授權的訪問,哪怕是整個系統(tǒng)都被破壞了,加密還可以保護數(shù)據(jù)的安全。對數(shù)據(jù)庫安全性的威脅有時候是來自于網(wǎng)絡內部,一些內部用戶可能非法獲取用戶名和密碼,或利用其他方法越權使用數(shù)據(jù)庫,甚至可以直接打開數(shù)據(jù)庫文件來竊取或篡改信息。因此,有必要對數(shù)據(jù)庫中存儲的重要數(shù)據(jù)進行加密處理,以實現(xiàn)數(shù)據(jù)存儲的安全保護。
數(shù)據(jù)加密就是將稱為明文的敏感信息,通過算法和密鑰,轉換為一種難于直接辨認的密文。解密是加密的逆向過程,即將密文轉換成可識別的明文。數(shù)據(jù)庫密碼系統(tǒng)要求把明文數(shù)據(jù)加密成密文,數(shù)據(jù)庫存儲密文,查詢時將密文取出解密后得到明文。數(shù)據(jù)庫加密系統(tǒng)能夠有效地保證數(shù)據(jù)的安全,即使黑客竊取了關鍵數(shù)據(jù),他仍然難以得到所需的信息。另外,數(shù)據(jù)庫加密以后,不需要了解數(shù)據(jù)內容的系統(tǒng)管理員不能見到明文,大大提高了關鍵數(shù)據(jù)的安全性。
2.存取管理技術
存取管理技術主要包括用戶認證技術和訪問控制技術兩方面。用戶認證技術包括用戶身份驗證和用戶身份識別技術。訪問控制包括數(shù)據(jù)的瀏覽控制和修改控制。瀏覽控制是為了保護數(shù)據(jù)的保密性,而修改控制是為了保護數(shù)據(jù)的正確性和提高數(shù)據(jù)的可信性。在一個數(shù)據(jù)資源共享的環(huán)境中,訪問控制就顯得非常重要。
2.1用戶認證技術
用戶認證技術是系統(tǒng)提供的最外層安全保護措施。通過用戶身份驗證,可以阻止未授權用戶的訪問,而通過用戶身份識別,可以防止用戶的越權訪問。
(1)用戶身份驗證
該方法由系統(tǒng)提供一定的方式讓用戶標識自己的身份。每次用戶請求進入系統(tǒng)時,系統(tǒng)必須對用戶身份的合法性進行鑒別認證。用戶要登錄系統(tǒng)時,必須向系統(tǒng)提供用戶標識和鑒別信息,以供安全系統(tǒng)識別認證。目前,身份驗證采用的最常用、最方便的方法是設置口令法。但近年來,一些更加有效的身份驗證技術迅速發(fā)展起來,如智能卡技術、物理特征(指紋、虹膜等)認證技術等具有高強度的身份驗證技術日益成熟,并取得了不少應用成果,為將來達到更高的安全強度要求打下了堅實的理論基礎。
(2)用戶身份識別
用戶身份識別以數(shù)據(jù)庫授權為基礎,只有經(jīng)過數(shù)據(jù)庫授權和驗證的用戶才是合法的用戶。數(shù)據(jù)庫授權技術包括授權用戶表、用戶授權表、系統(tǒng)的讀出/寫入規(guī)則和自動查詢修改技術。
2.2訪問控制
訪問控制是從計算機系統(tǒng)的處理功能方面
對數(shù)據(jù)提供保護,是數(shù)據(jù)庫系統(tǒng)內部對已經(jīng)進入系統(tǒng)的用戶的訪問控制,是安全數(shù)據(jù)保護的前沿屏障。它是數(shù)據(jù)庫安全系統(tǒng)中的核心技術,也是最有效的安全手段,限制了訪問者和執(zhí)行程序可以進行的操作,這樣通過訪問控制就可防止安全漏洞隱患。DBMS中對數(shù)據(jù)庫的訪問控制是建立在操作系統(tǒng)和網(wǎng)絡的安全機制基礎之上的。只有被識別被授權的用戶才有對數(shù)據(jù)庫中的數(shù)據(jù)進行輸入、刪除、修改和查詢等權限。通常采用下面兩種方法進行訪問控制:
(1)按功能模塊對用戶授權
每個功能模塊對不同用戶設置不同權限,如無權進入本模塊、僅可查詢、可更新可查詢、全部功能可使用等,而且功能模塊名、用戶名與權限編碼可保存在同一數(shù)據(jù)庫。
(2)將數(shù)據(jù)庫系統(tǒng)權限賦予用戶
通常為了提高數(shù)據(jù)庫的信息安全訪問,用戶在進行正常的訪問前服務器往往都需要認證用戶的身份、確認用戶是否被授權。為了加強身份認證和訪問控制,適應對大規(guī)模用戶和海量數(shù)據(jù)資源的管理,通常DBMS主要使用的是基于角色的訪問控制RBAC(Rolebasedaccesscontrol)。
3.備份與恢復
數(shù)據(jù)備份與恢復是實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全運行的重要技術。數(shù)據(jù)庫系統(tǒng)總免不了發(fā)生系統(tǒng)故障,一旦系統(tǒng)發(fā)生故障,重要數(shù)據(jù)總免不了遭到損壞。為防止重要數(shù)據(jù)的丟失或損壞,數(shù)據(jù)庫管理員應及早做好數(shù)據(jù)庫備份,這樣當系統(tǒng)發(fā)生故障時,管理員就能利用已有的數(shù)據(jù)備份,把數(shù)據(jù)庫恢復到原來的狀態(tài),以便保持數(shù)據(jù)的完整性和一致性。一般來說,數(shù)據(jù)庫備份常用的備份方法有:靜態(tài)備份(關閉數(shù)據(jù)庫時將其備份)、動態(tài)備份(數(shù)據(jù)庫運行時將其備份)和邏輯備份(利用軟件技術實現(xiàn)原始數(shù)據(jù)庫內容的鏡像)等;而數(shù)據(jù)庫恢復則可以通過磁盤鏡像、數(shù)據(jù)庫備份文件和數(shù)據(jù)庫在線日志三種方式來完成。
4.建立安全的審計機制
審計就是對指定用戶在數(shù)據(jù)庫中的操作進行監(jiān)控和記錄的一種數(shù)據(jù)庫功能。這里主要以Oracle數(shù)據(jù)庫為例,Oracle數(shù)據(jù)庫沒有為審計數(shù)據(jù)提供獨立的導出、備份和恢復機制,用戶每導出和刪除1條審計記錄都需要自己來書寫程序,并且審計記錄所需要的存儲空間也是Oracle數(shù)據(jù)庫所提供。如果審計數(shù)據(jù)是保存在操作系統(tǒng)中的文件中,那么審計記錄的保護完全依賴于操作系統(tǒng)的安全性和對文件的加密措施。顯然,現(xiàn)有的數(shù)據(jù)庫管理系統(tǒng)的審計保護功能存在不足,應從以下2方面改進:建立單獨的審計系統(tǒng)和審計員,審計數(shù)據(jù)需要存放在單獨的審計文件中,而不像Oracle那樣存在數(shù)據(jù)庫中,只有審計員才能訪問這些審計數(shù)據(jù)。可以把用戶大致分為審計員、數(shù)據(jù)庫用戶、系統(tǒng)安全員3類,這三者相互牽制,各司其職。分別在3個地方進行審計控制。為了保證數(shù)據(jù)庫系統(tǒng)的安全審計功能,還需要考慮到系統(tǒng)能夠對安全侵害事件做出自動響應,提供審計自動報警功能。當系統(tǒng)檢測到有危害到系統(tǒng)安全的事件發(fā)生并達到預定的閾值時,要給出報警信息,同時還會自動斷開用戶的連接,終止服務器端的相應線程,并阻止該用戶再次登錄系統(tǒng)。
參考文獻:
劉啟原,劉怡.數(shù)據(jù)庫與信息系統(tǒng)的安全[M].科學出版社,2000.
篇8
2.1MAC表洪水攻擊
交換機基本運行形勢為:當幀經(jīng)過交換機的過程會記下MAC源地址,該地址同幀經(jīng)過的端口存在某種聯(lián)系,此后向該地址發(fā)送的信息流只會經(jīng)過該端口,這樣有助于節(jié)約帶寬資源。通常情況下,MAC地址主要儲存于能夠追蹤和查詢的CAM中,以方便快捷查找。假如黑客通過往CAM傳輸大量的數(shù)據(jù)包,則會促使交換機往不同的連接方向輸送大量的數(shù)據(jù)流,最終導致該交換機處在防止服務攻擊環(huán)節(jié)時因過度負載而崩潰.
2.2ARP攻擊
這是在會話劫持攻擊環(huán)節(jié)頻發(fā)的手段之一,它是獲取物理地址的一個TCP/IP協(xié)議。某節(jié)點的IP地址的ARP請求被廣播到網(wǎng)絡上后,這個節(jié)點會收到確認其物理地址的應答,這樣的數(shù)據(jù)包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡中產生大量的ARP通信量使網(wǎng)絡阻塞,ARP欺騙過程如圖1所示。
2.3VTP攻擊
以VTP角度看,探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時,VTP上所配置的版本號均會增多1,當用戶觀察到所配置的版本號明顯高于當前的版本號時,則可判斷和VTP服務器實現(xiàn)同步。當黑客想要入侵用戶的電腦時,那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接,然后再本臺計算機與其構建一條有效的中繼通道,然后就能夠利用VTP。當黑客將VTP信息發(fā)送至配置的版本號較高且高于目前的VTP服務器,那么就會致使全部的交換機同黑客那臺計算機實現(xiàn)同步,最終將全部除非默認的VLAN移出VLAN數(shù)據(jù)庫的范圍。
3安全防范VLAN攻擊的對策
3.1保障TRUNK接口的穩(wěn)定與安全
通常情況下,交換機所有的端口大致呈現(xiàn)出Access狀態(tài)以及Turnk狀態(tài)這兩種,前者是指用戶接入設備時必備的端口狀態(tài),后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時,能夠避免開展任何的命令式操作行為,也同樣能夠實現(xiàn)于跨交換狀態(tài)下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態(tài),為各項攻擊的發(fā)生埋下隱患,可通過如下的方式防止安全隱患的發(fā)生。首先,把交換機設備上全部的接口狀態(tài)認為設置成Access狀態(tài),這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態(tài)后,不管以怎樣的方式進行協(xié)商其最終結果均是Accese狀態(tài),致使黑客難以將交換機設備上的空閑接口作為攻擊突破口,并欺騙為Turnk端口以實現(xiàn)在局域網(wǎng)的攻擊。其次是把交換機設備上全部的接口狀態(tài)認為設置成Turnk狀態(tài)。不管黑客企圖通過設置什么樣的端口狀態(tài)進行攻擊,這邊的接口狀態(tài)始終為Turnk狀態(tài),這樣有助于顯著提高設備的可控性。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置,對出入Turnk端口的VLAN報文給予有效控制。只有經(jīng)過允許的系類VLAN報文才能出入Turnk端口,這樣就能夠有效抑制黑客企圖通過發(fā)送錯誤報文而進行攻擊,保障數(shù)據(jù)傳送的安全性。
3.2保障VTP協(xié)議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN干道協(xié)議)是用來使VLAN配置信息在交換網(wǎng)內其它交換機上進行動態(tài)注冊的一種二層協(xié)議,它主要用于管理在同一個域的網(wǎng)絡范圍內VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置信息將自動傳播到本域內的其他所有交換機,這些交換機會自動地接收這些配置信息,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量,而且保持了VLAN配置的統(tǒng)一性。處于VTP模式下,黑客容易通過VTP實現(xiàn)初步入侵和攻擊,并通過獲取相應的權限,以隨意更改入侵的局域網(wǎng)絡內部架構,導致網(wǎng)絡阻塞和混亂。所以對VTP協(xié)議進行操作時,僅保存一臺設置為VTP的服務器模式,其余為VTP的客戶端模式。最后基于保障VTP域的穩(wěn)定與安全的目的,應將VTP域全部的交換機設置為相同的密碼,以保證只有符合密碼相同的情況才能正常運作VTP,保障網(wǎng)絡的安全。
篇9
1.3計算機用戶操作失誤由于計算機用戶操作不當而發(fā)生的損失,也是影響計算機正常使用并破壞網(wǎng)絡安全的重要因素之一。目前計算機用戶的整體規(guī)模不斷擴大,但其中有許多用戶并未對計算機的安全防護進行應有的重視,對計算機的合理使用認識不到位,因而在安全防范方面力度不夠,這就給惡意攻擊者提供了入侵系統(tǒng)的機會,并進而出現(xiàn)嚴重的安全問題。用戶安全意識差的主要表現(xiàn)包括:賬號密碼過于簡單,破解容易,甚至隨意泄露;使用軟件時進行了錯誤操作;系統(tǒng)備份不完全。這些行為都會引起網(wǎng)絡安全問題的發(fā)生。
2計算機網(wǎng)絡安全防范的措施
2.1定期進行數(shù)據(jù)備份為防止因突破情況,如自然災害,斷電等造成的數(shù)據(jù)丟失,應在平時養(yǎng)成定期數(shù)據(jù)備份的習慣,將硬盤上的重要文件,數(shù)據(jù)復制到其他存儲設備中,如移動硬盤等。如果做好了備份工作,即使當計算機系統(tǒng)遭受攻擊而發(fā)生數(shù)據(jù)毀壞,也無需擔心數(shù)據(jù)的徹底消失,而只需將已經(jīng)備份的文件和數(shù)據(jù)再重新恢復到計算機中即可。因此,數(shù)據(jù)的定期備份是維護計算機網(wǎng)絡安全的有效途徑之一。如果計算機因意外情況而無法正常啟動,也需在重新安裝系統(tǒng)前進行數(shù)據(jù)備份,以便在計算機能夠正常使用后完成數(shù)據(jù)恢復,這在非法入侵系統(tǒng)造成的數(shù)據(jù)毀壞時也能起到重要的作用。
2.2采用物理隔離網(wǎng)閘物理隔離網(wǎng)閘是一種通過外部設備來實現(xiàn)計算機安全防護的技術手段,利用固態(tài)開關讀寫作為媒介,來實現(xiàn)不同主機系統(tǒng)間的對接,可實現(xiàn)多種控制功能。由于在這一技術手段下的不同主機系統(tǒng)之間,并不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,以及基于協(xié)議的信息包,只存在無協(xié)議“擺渡”,同時只能對存儲媒介發(fā)出“讀”與“寫”這兩種指令。因此,物理隔離網(wǎng)閘可以從源頭上保障計算機網(wǎng)絡的安全,從物理上隔離,阻斷了帶有攻擊性質的所有連接,切斷黑客入侵的途徑,使其無法攻擊,無法破壞,真正維護了網(wǎng)絡安全。
2.3防火墻技術防火墻是一種常用的計算機安全軟件,在計算機和互聯(lián)網(wǎng)之間構筑一道“安檢”關卡。安裝了防火墻,所有經(jīng)過這臺計算機的網(wǎng)絡通信都必須接受防火墻的安全掃描,從而使具有攻擊性的通信無法與計算機取得連接,阻斷非授權訪問在計算機上的執(zhí)行。同時,防火墻還會將不必要的端口關閉,并針對指定端口實施通信禁止,從而對木馬進行封鎖堵截。最后,它可以對特殊站點的訪問實施攔截,拒絕來路不明的所有通信,最大程度地維護計算機網(wǎng)絡的安全。
2.4加密技術為進一步地維護網(wǎng)絡信息安全,保證用戶信息不被侵犯,還可使用加密技術來對計算機的系統(tǒng)安全鑰匙進行升級,對加密技術進行充分合理的利用能有效提高信息的安全程度。首先是數(shù)據(jù)加密,基本原理在于通過使用特定算法對目標文件加以處理,使其由原來的明文轉為無法識別的代碼,通常稱為密文,如果需要查看加密前的內容,就必須輸入正確的密鑰,這樣就可防止重要信息內容被不法分子竊取和掌握。相對地,加密技術的逆過程為解密,即將代碼轉為可讀的文件。其次是智能卡技術,該技術與加密技術有較強的關聯(lián)性。所謂智能卡,其實質為密鑰的一種媒介,與信用卡相類似,只能由經(jīng)過授權的使用者所持有,授權用戶可對其設置一定的口令,同時保證設置的口令與網(wǎng)絡服務器密碼相同,當同時使用口令與身份特征,能夠起到極為理想的保密效果。
2.5進行入侵檢測和網(wǎng)絡監(jiān)控計算機網(wǎng)絡安全技術還包括入侵檢測即網(wǎng)絡監(jiān)控。其中,入侵檢測是一項綜合程度高的安全維護手段,包括統(tǒng)計技術,網(wǎng)絡通信技術,推理技術等,起到的作用十分顯著,可對當前網(wǎng)絡環(huán)境進行監(jiān)督,以便及時發(fā)現(xiàn)系統(tǒng)被攻擊的征兆。根據(jù)分析手段的不同,可將其分為簽名法與統(tǒng)計法兩種。對于針對系統(tǒng)已知漏洞的攻擊,可用簽名法來實施監(jiān)控;對于系統(tǒng)的正常運行階段,需要對其中的可疑動作是否出現(xiàn)了異常現(xiàn)象進行確認時,可用統(tǒng)計法進行監(jiān)控,能夠從動作模式為出發(fā)點進行判斷。
2.6及時下載漏洞補丁程序對計算機網(wǎng)絡安全的維護應當是一個長期的,動態(tài)的過程,因此及時下載漏洞補丁就顯得十分必要。在使用計算機來連接網(wǎng)絡的過程當中,為避免因存在系統(tǒng)漏洞而被惡意攻擊者利用,必須及時下載最新的漏洞補丁,消除計算機應用環(huán)境中的種種隱患。可通過特定的漏洞掃描手段對漏洞進行掃描,例如COPS,tripwire,tiger等,都是非常實用的漏洞掃描軟件,360安全衛(wèi)士,瑞星卡卡等軟件也有良好的效果,可使用這些軟件進行掃描并下載漏洞補丁。
2.7加強用戶賬號的安全保護為保障計算機網(wǎng)絡賬號的安全,應加強對賬號的保護措施。在計算機應用的網(wǎng)絡環(huán)境下,許多應用領域都需要賬號和密碼進行登錄,涉及范圍較廣,包括系統(tǒng)登錄,電子賬號登錄,網(wǎng)上銀行登錄等等,因此加強對賬號的安全防范就有著極其重要的意義。首先,對系統(tǒng)登錄來說,密碼設置應盡量復雜;其次,對于不同應用方面的賬號來說,應避免使用相同或類似的密碼,以免造成重大損失;再次,在設置方式上應采用組合的形式,綜合使用數(shù)字、字母,以及特殊符號;最后,應保證密碼長度合適,同時應定期修改密碼。
篇10
1.2“大數(shù)據(jù)”技術
“大數(shù)據(jù)”的價值不只在于其數(shù)據(jù)量之大,更大的意義在于通過數(shù)據(jù)采集、處理、分析、挖掘等技術對“大數(shù)據(jù)”的屬性,包括數(shù)量、速度、多樣性等等進行分析,能獲取很多智能的、深入的、有價值的信息。而這些信息提取過程可大致分為以下三個階段。
1.2.1數(shù)據(jù)輸入
將分布的、異構數(shù)據(jù)源中的關系數(shù)據(jù)、平面數(shù)據(jù)等數(shù)據(jù)進行采集抽取,然后對其進行清洗、轉換、集成等,最后將數(shù)據(jù)加載到數(shù)據(jù)倉中,進而為數(shù)據(jù)聯(lián)機分析、挖掘等處理奠定基礎。其特點主要表現(xiàn)為并發(fā)數(shù)高,因為成千上萬的用戶有可能同時訪問、操作數(shù)據(jù),比較典型的就是火車票售票網(wǎng)站、淘寶等,在峰值時,它們并發(fā)的訪問量能達到上百萬,在這種情況下,在采集端需要部署大量數(shù)據(jù)庫。
1.2.2數(shù)據(jù)處理
“大數(shù)據(jù)”技術核心就是數(shù)據(jù)挖掘算法,基于不同的數(shù)據(jù)類型和格式的各種數(shù)據(jù)挖掘的算法深入數(shù)據(jù)內部,快速地挖掘出公認的價值,科學地呈現(xiàn)出數(shù)據(jù)本身具備的特點。并根據(jù)用戶的統(tǒng)計需求,對存儲于其內的海量數(shù)據(jù)利用分布式數(shù)據(jù)庫或分布式計算集群進行普通的分析和分類匯總等。其特點主要表現(xiàn)為用于挖掘的算法比較復雜,并且計算涉及的數(shù)據(jù)量和計算量都很大,常用數(shù)據(jù)挖掘算法都以單線程為主。
1.2.3數(shù)據(jù)輸出
從“大數(shù)據(jù)”中挖掘出特點,科學的建立模型,通過導入數(shù)據(jù),以得到用戶需要的結果。這已在能源、醫(yī)療、通信、零售等行業(yè)有了廣泛應用。
2“大數(shù)據(jù)”安全隱患
“大數(shù)據(jù)”時代,數(shù)據(jù)量是非線性增長的,隨著數(shù)據(jù)價值的不斷提高,黑客對于數(shù)據(jù)的覬覦已經(jīng)由原來的破壞轉變成竊取和利用,病毒或黑客繞過傳統(tǒng)的防火墻、殺毒軟件、預警系統(tǒng)等防護設備直接進入數(shù)據(jù)層,一些高級持續(xù)性攻擊已經(jīng)難以用傳統(tǒng)安全防御措施檢測防護。“大數(shù)據(jù)”的安全風險主要可以分為以下兩個方面。
2.1從基礎技術角度看
NoSQL(非關系型數(shù)據(jù)庫)是“大數(shù)據(jù)”依托的基礎技術。當前,應用較為廣泛的SQL(關系型數(shù)據(jù)庫)技術,經(jīng)過長期的改進和完善,通過設置嚴格的訪問控制和隱私管理工具,進一步維護數(shù)據(jù)安全。在NoSQL技術中,沒有這樣的要求。而且,對于“大數(shù)據(jù)”來說,無論是來源,還是承載方式都比較豐富,例如物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、車聯(lián)網(wǎng),以及遍布各個角落的傳感器等,通常情況下,數(shù)據(jù)都是處于分散存在的狀態(tài),難以對這些數(shù)據(jù)進行定位,同時難以對所有的機密信息進行保護。
2.2從核心價值角度來看
“大數(shù)據(jù)”技術關鍵在于數(shù)據(jù)分析和利用,但數(shù)據(jù)分析技術的發(fā)展,對用戶隱私產生極大的威脅。在“大數(shù)據(jù)”時代,已經(jīng)無法保證個人信息不被其他組織挖掘利用。目前,各網(wǎng)站均不同程度地開放其用戶所產生的實時數(shù)據(jù),一些監(jiān)測數(shù)據(jù)的市場分析機構可通過人們在社交網(wǎng)站中寫入的信息、智能手機顯示的位置信息等多種數(shù)據(jù)組合,高精度鎖定個人,挖掘出個人信息體系,用戶隱私安全問題堪憂。
3“大數(shù)據(jù)”安全防范
由于“大數(shù)據(jù)”的安全機制是一個非常龐大而復雜的課題,幾乎沒有機構能一手包攬所有細節(jié),因此業(yè)界也缺乏一個統(tǒng)一的思路來指導安全建設。在傳統(tǒng)安全防御技術的基礎上,通過對“大數(shù)據(jù)”攻擊事件模式、時間空間特征等進行提煉和總結,從網(wǎng)絡安全、數(shù)據(jù)安全、應用安全、終端安全等各個管理角度加強防范,建設適應“大數(shù)據(jù)”時代的安全防御方案,可以從一定程度上提高“大數(shù)據(jù)”環(huán)境的可靠度。
3.1網(wǎng)絡安全
網(wǎng)絡是輸送“大數(shù)據(jù)”資源的主要途徑,強化網(wǎng)絡基礎設施安全保障,一是通過訪問控制,以用戶身份認證為前提,實施各種策略來控制和規(guī)范用戶在系統(tǒng)中的行為,從而達到維護系統(tǒng)安全和保護網(wǎng)絡資源的目的;二是通過鏈路加密,建立虛擬專用網(wǎng)絡,隔離公用網(wǎng)絡上的其他數(shù)據(jù),防止數(shù)據(jù)被截取;三是通過隔離技術,對數(shù)據(jù)中心內、外網(wǎng)絡區(qū)域之間的數(shù)據(jù)流量進行分析、檢測、管理和控制,從而保護目標數(shù)據(jù)源免受外部非法用戶的侵入訪問;四是通過網(wǎng)絡審計,監(jiān)聽捕獲并分析網(wǎng)絡數(shù)據(jù)包,準確記錄網(wǎng)絡訪問的關鍵信息;通過統(tǒng)一的策略設置的規(guī)則,智能地判斷出網(wǎng)絡異常行為,并對異常行為進行記錄、報警和阻斷,保護業(yè)務的正常運行。
3.2虛擬化安全
虛擬機技術是大數(shù)據(jù)概念的一個基礎組成部分,它加強了基礎設施、軟件平臺、業(yè)務系統(tǒng)的擴展能力,同時也使得傳統(tǒng)物理安全邊界逐漸缺失。加強虛擬環(huán)境中的安全機制與傳統(tǒng)物理環(huán)境中的安全措施,才能更好地保障在其之上提供的各類應用和服務。一是在虛擬化軟件層面建立必要的安全控制措施,限制對虛擬化軟件的物理和邏輯訪問控制;二是在虛擬化硬件方面建立基于虛擬主機的專業(yè)的防火墻系統(tǒng)、殺毒軟件、日志系統(tǒng)和恢復系統(tǒng),同時對于每臺虛擬化服務器設置獨立的硬盤分區(qū),用以系統(tǒng)和日常數(shù)據(jù)的備份。
3.3數(shù)據(jù)安全
基于數(shù)據(jù)層的保護最直接的安全技術,數(shù)據(jù)安全防護技術包括:一是數(shù)據(jù)加密,深入數(shù)據(jù)層保護數(shù)據(jù)安全,針對不同的數(shù)據(jù)采用不同的加密算法,實施不同等級的加密控制策略,有效地杜絕機密信息泄漏和竊取事件;二是數(shù)據(jù)備份,將系統(tǒng)中的數(shù)據(jù)進行復制,當數(shù)據(jù)存儲系統(tǒng)由于系統(tǒng)崩潰、黑客人侵以及管理員的誤操作等導致數(shù)據(jù)丟失和損壞時,能夠方便且及時地恢復系統(tǒng)中的有效數(shù)據(jù),以保證系統(tǒng)正常運行。
3.4應用安全
由于大數(shù)據(jù)環(huán)境的靈活性、開放性以及公眾可用性等特性,部署應用程序時應提高安全意識,充分考慮可能引發(fā)的安全風險。加強各類程序接口在功能設計、開發(fā)、測試、上線等覆蓋生命周期過程的安全實踐,廣泛采用更加全面的安全測試用例。在處理敏感數(shù)據(jù)的應用程序與服務器之間通信時采用加密技術,以確保其機密性。
3.5終端安全
隨著云計算、移動互聯(lián)網(wǎng)等技術的發(fā)展,用戶終端種類不斷增加,很多應用程序被攻擊者利用收集隱私和重要數(shù)據(jù)。用戶終端上應部署安全軟件,包括反惡意軟件、防病毒、個人防火墻以及IPS類型的軟件,并及時完成應用安全更新。同時注重自身賬號密碼的安全保護,盡量不在陌生的計算機終端上使用公共服務。同時還應采用屏蔽、抗干擾等技術為防止電磁泄漏,可從一定程度上降低數(shù)據(jù)失竊的風險。
4“大數(shù)據(jù)”安全展望
“大數(shù)據(jù)”時代的信息安全已經(jīng)成為不可阻擋的趨勢,如何采用更加主動的安全防御手段,更好地保護“大數(shù)據(jù)”資源將是一個廣泛而持久的研究課題。
4.1重視“大數(shù)據(jù)”及建設信息安全體系
在對“大數(shù)據(jù)”發(fā)展進行規(guī)劃的同時,在“大數(shù)據(jù)”發(fā)展過程中,需要明確信息安全的重要性,對“大數(shù)據(jù)”安全形式加大宣傳的力度,對“大數(shù)據(jù)”的重點保障對象進行明確,對敏感、重要數(shù)據(jù)加大監(jiān)管力度,研究開發(fā)面向“大數(shù)據(jù)”的信息安全技術,引進“大數(shù)據(jù)”安全的人才,建立“大數(shù)據(jù)”信息安全體系。
4.2對重點領域重要數(shù)據(jù)加強監(jiān)管
海量數(shù)據(jù)的匯集在一定程度上可能會暴露隱私信息,廣泛使用“大數(shù)據(jù)”增加了信息泄露的風險。政府層面,需要對重點領域數(shù)據(jù)范圍進行明確,制定完善的管理制度和操作制度,對重點領域數(shù)據(jù)庫加大日常監(jiān)管力度。用戶層面,加強內部管理,建立和完善使用規(guī)程,對“大數(shù)據(jù)”的使用流程和使用權限等進行規(guī)范化處理。
篇11
2.1基礎安全設施
事后數(shù)據(jù)處理系統(tǒng)基礎安全設施是以PKI/PMI/KMI技術為基礎而構建的證書認證、權限管理、密鑰管理和密碼服務等基礎設施。基礎安全設施提供的技術支撐適用于整個事后數(shù)據(jù)處理系統(tǒng),具有通用性。基礎安全設施的技術運行和管理具有相對的獨立性。1)證書認證證書認證是對數(shù)字證書進行全過程的安全管理。由證書簽發(fā)、密鑰管理、證書管理、本地注冊、證書/證書撤銷列表查詢、遠程注冊等部分構成。2)權限管理權限管理是信息安全體系基礎安全設施的重要組成部分。它采用基于角色的訪問控制技術,通過分級的、自上而下的權限管理職能的劃分和委派,建立統(tǒng)一的特權管理基礎設施,在統(tǒng)一的授權管理策略的指導下實現(xiàn)分布式的權限管理。權限管理能夠按照統(tǒng)一的策略實現(xiàn)層次化的信息資源結構和關系的描述和管理,提供統(tǒng)一的、基于角色和用戶組的授權管理,對授權管理和訪問控制決策策略進行統(tǒng)一的描述、管理和實施。建立統(tǒng)一的權限管理,不僅能夠解決面向單獨業(yè)務系統(tǒng)或軟件平臺設計的權限管理機制帶來的權限定義和劃分不統(tǒng)一、各訪問控制點安全策略不一致、管理操作冗余、管理復雜等問題,還能夠提高授權的可管理性,降低授權管理的復雜度和管理成本,方便應用系統(tǒng)的開發(fā),提高整個系統(tǒng)的安全性和可用性。3)密鑰管理密鑰管理是指密鑰管理基礎設施,為基礎安全設施提供支持,并提供證書密鑰的生成、存儲、認證、分發(fā)、查詢、注銷、歸檔及恢復等管理服務。密鑰管理與證書認證服務按照“統(tǒng)一規(guī)劃、同步建設、獨立設置、分別管理、有機結合”的原則進行建設和管理,由指定專人維護管理。密鑰管理與證書認證是分別設立,各自管理,緊密聯(lián)系,共同組成一個完整的數(shù)字證書認證系統(tǒng)。密鑰管理主要為證書認證提供用戶需要的加密用的公/私密鑰對,并為用戶提供密鑰恢復服務。4)密碼服務密碼服務要構建一個相對獨立的、可信的計算環(huán)境,進行安全密碼算法處理。根據(jù)系統(tǒng)規(guī)模,可采用集中式或分布式計算技術,系統(tǒng)性能動態(tài)可擴展。事后數(shù)據(jù)處理系統(tǒng)采用集中式計算技術。
2.2安全技術支撐
安全技術支撐是利用各類安全產品和技術建立起安全技術支撐平臺。安全技術支撐包括物理安全、運行安全和信息安全。物理安全包括環(huán)境安全、設備安全和介質安全;運行安全包括防病毒、入侵檢測和代碼防護等;信息安全包括訪問控制、信息加密、電磁泄漏發(fā)射防護、安全審計、數(shù)據(jù)庫安全等功能。
2.2.1物理安全
物理安全的目標是保護計算機信息系統(tǒng)的設備、設施、媒體和信息免遭自然災害、環(huán)境事故、人為物理操作失誤、各種以物理手段進行的違法犯罪行為導致的破壞、丟失。物理安全主要包括環(huán)境安全、設備安全和介質安全三方面。對事后數(shù)據(jù)處理中心的各種計算機、外設設備、數(shù)據(jù)處理系統(tǒng)等物理設備的安全保護尤其重要。對攜帶進入數(shù)據(jù)處理中心的U盤、移動硬盤、可攜帶筆記本等移動介質進行單獨安全處理。
2.2.2運行安全
運行安全采用防火墻、入侵檢測、入侵防護、病毒防治、傳輸加密、安全虛擬專網(wǎng)等成熟技術,利用物理環(huán)境保護、邊界保護、系統(tǒng)加固、節(jié)點數(shù)據(jù)保護、數(shù)據(jù)傳輸保護等手段,通過對網(wǎng)絡和系統(tǒng)安全防護的統(tǒng)一設計和統(tǒng)一配置,實現(xiàn)全系統(tǒng)高效、可靠的運行安全防護。系統(tǒng)安全域劃分為事后數(shù)據(jù)處理中心專網(wǎng)安全域、靶場專網(wǎng)安全域、外聯(lián)網(wǎng)安全域。事后數(shù)據(jù)處理中心專網(wǎng)與靶場專網(wǎng)安全域邏輯隔離,靶場專網(wǎng)與外聯(lián)網(wǎng)安全域邏輯隔離。1)防火墻防火墻技術以包過濾防火墻為主,對系統(tǒng)劃分的各個安全域進行邊界保護。在事后數(shù)據(jù)處理中心出入口、網(wǎng)絡節(jié)點出入口、外網(wǎng)出入口等節(jié)點安裝配置防火墻設備,保證數(shù)據(jù)傳輸安全。2)入侵檢測入侵檢測對事后數(shù)據(jù)處理系統(tǒng)的關鍵安全域進行動態(tài)風險監(jiān)控,使用成熟的入侵檢測技術對整個系統(tǒng)網(wǎng)絡的入侵進行防控。3)病毒防治在各網(wǎng)絡節(jié)點保證出入站的電子郵件、數(shù)據(jù)及文件安全,保證網(wǎng)絡協(xié)議的使用安全,防止引入外部病毒。在事后數(shù)據(jù)處理系統(tǒng)的重要系統(tǒng)服務器(包括專業(yè)處理服務器、數(shù)據(jù)服務器等)配置服務器防病毒產品。在所有桌面系統(tǒng)配置防病毒防護產品,提供全面的跨平臺病毒掃描及清除保護,阻止病毒通過軟盤、光盤等進入事后數(shù)據(jù)處理系統(tǒng)網(wǎng)絡,同時控制病毒從工作站向服務器或網(wǎng)絡傳播。在事后數(shù)據(jù)處理中心配置防病毒管理控制中心,通過安全管理平臺管理控制服務器、控制臺和程序,進行各個防病毒安全域的防病毒系統(tǒng)的管理和配置。
2.2.3信息安全
信息安全包括訪問控制、信息加密、電磁泄漏發(fā)射防護、安全審計、數(shù)據(jù)庫安全等功能。信息安全技術是保證事后數(shù)據(jù)處理中心的原始測量數(shù)據(jù)、計算結果數(shù)據(jù)、圖像數(shù)據(jù)等各類數(shù)據(jù)的安全技術,使用成熟的安全信息技術產品完成全面的信息安全保障。1)訪問控制訪問控制主要包括防止非法的人員或計算機進入數(shù)據(jù)處理中心的系統(tǒng),允許合法用戶訪問受保護的系統(tǒng),防止合法的用戶對權限較高的網(wǎng)絡資源進行非授權的訪問。訪問控制根據(jù)方式可分為自主訪問控制和強制訪問控制。自主訪問控制是事后數(shù)據(jù)處理中心各級用戶自身創(chuàng)建的對象進行訪問,并授予指定的訪問權限;強制訪問控制是由系統(tǒng)或指定安全員對特定的數(shù)據(jù)、對象進行統(tǒng)一的強制性控制,即使是對象的創(chuàng)建者,也無權訪問。2)安全審計事后數(shù)據(jù)處理中心運用安全審計技術對系統(tǒng)的軟件系統(tǒng)、設備使用、網(wǎng)絡資源、安全事件等進行全面的審計。可建立安全保密檢測控制中心,負責對系統(tǒng)安全的監(jiān)測、控制、處理和審計,所有的安全保密服務功能、網(wǎng)絡中的所有層次都與審計跟蹤系統(tǒng)有關。3)數(shù)據(jù)庫安全數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)而言的,包括數(shù)據(jù)獨立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復等幾個方面。
3事后處理系統(tǒng)解決方案
事后數(shù)據(jù)處理系統(tǒng)主要用于完成遙測和外測的事后數(shù)據(jù)處理任務,提供目標內外彈道參數(shù),并存儲和管理各類測量數(shù)據(jù),為各種武器試驗的故障分析和性能評定提供支撐和依據(jù)。該系統(tǒng)必須具備的主要功能如下:•海量的數(shù)據(jù)輸入輸出和存儲管理功能;•快速的各類試驗測量數(shù)據(jù)處理功能;•可靠的數(shù)據(jù)質量評估和精度分析功能;•有效的信息安全防護功能;•強大的數(shù)據(jù)、圖像、曲線顯示分析以及報告自動生成功能。建立事后數(shù)據(jù)處理系統(tǒng)信息安全運行與管理的基礎平臺,構建整個系統(tǒng)信息安全的安全支撐體系,保證事后數(shù)據(jù)處理系統(tǒng)各種業(yè)務應用的安全運行,通過技術手段實現(xiàn)事后數(shù)據(jù)處理系統(tǒng)安全可管理、安全可控制的目標,使安全保護策略貫穿到系統(tǒng)的物理環(huán)境、網(wǎng)絡環(huán)境、系統(tǒng)環(huán)境、應用環(huán)境、災備環(huán)境和管理環(huán)境的各個層面。•實現(xiàn)事后數(shù)據(jù)處理任務信息、型號信息、處理模型、模型參數(shù)、原始數(shù)據(jù)、計算結果、圖像數(shù)據(jù)的安全保護;•建立起認證快捷安全、權限/密鑰管理完備、密碼服務安全的安全設施;•建立起功能齊全、協(xié)調高效、信息共享、監(jiān)控嚴密、安全穩(wěn)定的安全技術支撐平臺;•建立事后數(shù)據(jù)處理系統(tǒng)信息安全體系的技術標準、規(guī)范和規(guī)章制度。
篇12
2危害計算機安全的手法極其隱秘,不易被發(fā)現(xiàn)
作案者通過對數(shù)據(jù)處理設備中數(shù)據(jù)信息或者應用程序來實施計算機安全危害行為,他們的目標大多都是計算機中的數(shù)據(jù)信息。作案者在充分掌握了計算機系統(tǒng)的漏洞之后,利用這些安全漏洞,把自己編制好的病毒程序或者破壞程序放入目標設備中。由于作案者可以通過網(wǎng)絡遠程操控這些計算機病毒和破壞程序,所以這些程序是很難被人察覺并能及時處理的。或者設置這些計算機病毒和破壞程序在特定的時間、特定的環(huán)境條件下被激活運行,這樣作案進行和獲得作案結果可以分隔開來,給計算機安全危害行為起到了一些掩護,使得計算機安全危害行為更加隱蔽。
二防范計算機安全危害行為的對策
1保障計算機物理及網(wǎng)絡環(huán)境的安全
首先要保證計算機物理實體的安全,確保計算機基礎設備、數(shù)據(jù)存儲介質存放場所得安全性。其次,確保計算機信息系統(tǒng)的安全運行,預防不法人士運用非法手段入侵計算機信息系統(tǒng)之中,獲取非法操作權利。運用專門的技術檢測計算機安全系統(tǒng),發(fā)現(xiàn)和彌補安全系統(tǒng)中的不足即漏洞之處。同時,可以針對一些計算機安全危害行為的常見手段,經(jīng)過合理的嚴密的設計,加固計算機安全系統(tǒng),預防計算機安全危害行為。
2運用和完善加密與認證技術以及加固
防火墻加密技術是最基本的預防信息竊取的安全保護手段,分為對稱加密和非對稱加密兩種。認證技術是一種使用電子手段證明計算機使用者身份的驗證技術,有數(shù)字簽名和數(shù)字證書兩種形式。運用加密和認證技術可以有效的的防止計算機安全危害行為的犯案者非法獲取計算機的操作權限或者訪問重要的數(shù)據(jù)信息。防火墻是計算機安全系統(tǒng)中重要的一環(huán),其中配置訪問策略、安全服務配置和安全日志監(jiān)控等等技術都為計算機安全技術的完善做出了貢獻,但是面對變化多端的計算機安全危害手段,還需要深入發(fā)展這些安全防護技術,加固防火墻。
3努力發(fā)展計算機安全管理技術
首先要運用計算機安全技術保障計算機設備的基礎安全,以及網(wǎng)絡安全。完善計算機系統(tǒng)的不足,最大程度的預防作案人員利用計算機系統(tǒng)的漏洞進行作案。再者要加大計算機安全技術的研究力度和應用水平,盡力彌補我國目前計算計安全管理技術的不足,縮小其與計算機應用技術水平的差距。再者我們要完善計算機技術人員培養(yǎng)體系,培養(yǎng)相關的技術人員,提高技術人員的技術能力。只有有了高水平、高能力的技術人員才能從根本上去預防計算機安全危害行為。
篇13
大數(shù)據(jù)時代,數(shù)據(jù)資源將逐漸成為圖書館最重要的資產之一,決策行為將在數(shù)據(jù)分析的基礎上做出。作為以數(shù)據(jù)分析利用和信息服務為己任的圖書館,它的信息安全將面臨著大數(shù)據(jù)帶來的挑戰(zhàn)。
2.1存儲安全問題
圖書館關注的數(shù)據(jù)已不僅限于書目信息、讀者信息、電子期刊等業(yè)務數(shù)據(jù),還延伸到微信、微博、移動網(wǎng)絡等讀者活動中產生的很難估量的社會化數(shù)據(jù)。如此龐大的數(shù)據(jù)集對圖書館的存儲、軟硬件設施是個考驗。如何防止這些數(shù)據(jù)丟失、損毀、被非法盜取及利用是圖書館安全存儲面臨的一項挑戰(zhàn)。另外,大數(shù)據(jù)環(huán)境下的圖書館為了降低成本,通常會將數(shù)據(jù)存儲在云端,云的開放性,海量用戶共存性等都帶來了潛在的威脅。
2.2網(wǎng)絡安全問題
圖書館是以網(wǎng)絡為基礎來傳遞信息和數(shù)字資源,為讀者提供服務。在網(wǎng)絡上,大數(shù)據(jù)成為更易被攻擊的顯著目標。圖書館的“大數(shù)據(jù)”不僅包含了海量數(shù)據(jù)資源,還包含了讀者行為、敏感數(shù)據(jù)等,這些海量的信息資源將吸引更多的攻擊者,也使大數(shù)據(jù)成為更有吸引力的目標。另外,黑客利用大數(shù)據(jù)發(fā)起的僵尸網(wǎng)絡攻擊,能夠同時控制百萬臺機器,這是傳統(tǒng)單點攻擊做不到的。利用大數(shù)據(jù),黑客能夠發(fā)動APT攻擊,APT的攻擊代碼隱藏在大數(shù)據(jù)中,很難被檢測到。
2.3隱私泄露問題
社交網(wǎng)絡、微博、移動網(wǎng)絡等這些信息服務新形式的快速發(fā)展,互聯(lián)網(wǎng)每時每刻都在產生海量的數(shù)據(jù)。讀者的個人數(shù)據(jù)可能被任意搜索、獲取,這將極大地威脅隱私安全。一方面,圖書館的海量數(shù)據(jù)信息資源、讀者信息、讀者行為、科研信息等數(shù)據(jù)高度集中,即使不被盜取濫用,也增加了數(shù)據(jù)泄露的風險。另一方面,對于某些重要數(shù)據(jù)、敏感數(shù)據(jù)以及隱私數(shù)據(jù)的挖掘分析,其使用權沒有明確界定,這都將會涉及隱私泄露。
2.4知識產權問題
大數(shù)據(jù)時代,圖書館雖然會把越來越多的數(shù)據(jù)資源交給“云”提供商代為托管,但是圖書館應完全擁有這些被托管數(shù)據(jù)資源的知識產權。然而現(xiàn)實中“,云”提供商利用大數(shù)據(jù)技術對圖書館的數(shù)據(jù)資源進行挖掘、發(fā)現(xiàn)、分析進而整合成新的數(shù)據(jù)產品加以利用,本該由圖書館所唯一擁有的數(shù)據(jù),一旦被“云”提供商開發(fā)成產品,知識產權的界定就成為圖書館要面臨的新難題。
3大數(shù)據(jù)時代圖書館信息安全應對策略
大數(shù)據(jù)資源將成為圖書館的核心資產。圖書館在利用數(shù)據(jù)處理、數(shù)據(jù)挖掘、數(shù)據(jù)分析等技術獲取大數(shù)據(jù)蘊藏的高價值,創(chuàng)新服務模式,提高服務質量的同時,應重點考慮如何確保數(shù)據(jù)資源存儲安全,如何降低網(wǎng)絡安全威脅,如何防止隱私泄露等。大數(shù)據(jù)時代的圖書館應首先從技術層面保障存儲安全,提高網(wǎng)絡安全防范技術;其次,建立數(shù)據(jù)監(jiān)管體系,對讀者和圖書館的重要數(shù)據(jù)、敏感數(shù)據(jù)、隱私數(shù)據(jù)進行監(jiān)管;最后,加強圖書館信息安全制度和相關政策法規(guī)建設。
3.1保障存儲安全
圖書館的數(shù)據(jù)資源在無限增長,規(guī)模日益龐大,保障這些數(shù)據(jù)資源的安全存儲顯得尤為重要,同時對硬件設施也是巨大考驗。現(xiàn)有的存儲系統(tǒng)無法充分有效地存儲、管理、分析大數(shù)據(jù),限制了數(shù)據(jù)的增長。大數(shù)據(jù)時代的圖書館為了降低運維成本,緩解硬件設施壓力,應考慮將數(shù)據(jù)和信息存儲在云端,利用云存儲實現(xiàn)數(shù)據(jù)的存儲、管理以及分析。云存儲,即基于云計算的存儲系統(tǒng),其可擴展性、靈活性、運算高效性能夠解決大數(shù)據(jù)存儲和管理存在的問題。但是,云存儲具有數(shù)據(jù)規(guī)模海量、管理高度集中、系統(tǒng)規(guī)模巨大、平臺開放復雜等特點,這些都將對信息安全帶來威脅。因此,保障云安全是大數(shù)據(jù)時代圖書館信息安全的基礎。圖書館作為云存儲服務用戶,最關心的就是存儲在云端的數(shù)據(jù)是否完整安全,是否有人非法訪問,以及當合法訪問這些數(shù)據(jù)時是否能獲得有效且正確的數(shù)據(jù)。因此,應重點研究運用身份認證、加密存儲、數(shù)據(jù)災備這3種技術手段來保障云安全。
(1)身份認證。
加強圖書館云存儲上數(shù)據(jù)的管理,實行身份認證,確保管理員、讀者用戶、云存儲服務提供商等經(jīng)過認證獲得訪問權限后,才可管理、分析、訪問“云”上的數(shù)據(jù)資源。云存儲具有跨平臺、異構、分布式等特點,為了提高管理員、用戶的訪問效率,應建立有效的單點登錄統(tǒng)一身份認證系統(tǒng),支持各圖書館云存儲之間共享認證服務和用戶身份信息,減少重復驗證帶來的運行開銷。
(2)加密存儲。
對文件和數(shù)據(jù)進行加密保存,確保圖書館云存儲上的數(shù)據(jù)資源在存儲和傳輸過程中,不被意外或非意外損毀、丟失、處理及非法利用。加密存儲主要包含兩部分工作:一是密鑰的管理和產生,二是應用密鑰對數(shù)據(jù)進行加密存儲和解密讀取。云存儲系統(tǒng)為每位注冊用戶生成一個解密密鑰,系統(tǒng)將數(shù)據(jù)加密存儲在數(shù)據(jù)中心,用戶讀取加密數(shù)據(jù)后,利用自己的解密密鑰恢復數(shù)據(jù),得到原始數(shù)據(jù)。這一過程對存儲性能和網(wǎng)絡傳輸效率會有一定影響,因此圖書館一方面要加快對加密存儲技術的研究;另一方面可以考慮先只對重要數(shù)據(jù)、敏感數(shù)據(jù)、個人信息數(shù)據(jù)進行加密存儲。
(3)數(shù)據(jù)災備。
云計算技術對于數(shù)據(jù)災備具有天生的優(yōu)勢。將虛擬化技術、分布式技術和云計算技術結合可實現(xiàn)多點備份、數(shù)據(jù)自動冗余存儲、云節(jié)點無單點故障數(shù)據(jù)級災備。圖書館可以利用云存儲在不同的地方建設兩個及以上的圖書館云存儲數(shù)據(jù)中心,構成一個跨地域的統(tǒng)一存儲平臺,各業(yè)務部門和每個用戶都可以共享共用這些數(shù)據(jù)。保證只要有一個數(shù)據(jù)中心完整,所有數(shù)據(jù)就不會丟失且能夠提供持續(xù)服務。
3.2提高網(wǎng)絡安全防護技術
隨著圖書館數(shù)據(jù)資源總量的增加和新型社交網(wǎng)絡下讀者原創(chuàng)數(shù)據(jù)爆炸性增長,網(wǎng)絡在線數(shù)據(jù)呈現(xiàn)急劇增長的趨勢,導致黑客的攻擊欲望比以往更為強烈,其手段和工具也更為復雜、更加專業(yè)。大數(shù)據(jù)對圖書館網(wǎng)絡安全策略提出更高的要求,從技術層面來說,圖書館網(wǎng)絡安全策略包括漏洞掃描、入侵檢測、訪問控制和網(wǎng)絡安全審計4種技術手段,任何一個單一的防范手段都無法保障圖書館網(wǎng)絡的安全性。
(1)漏洞掃描。
漏洞掃描包括檢測路由器、交換機、防火墻、各應用服務器OS、應用系統(tǒng)以及工作人員用機的安全補丁、系統(tǒng)漏洞、病毒感染等問題。漏洞掃描系統(tǒng)應及時發(fā)現(xiàn)系統(tǒng)漏洞、木馬、病毒、蠕蟲、后門程序、網(wǎng)絡攻擊、ARP等,并提供修復、查殺、攔截、防御的有效工具,同時能夠對圖書館整個網(wǎng)絡系統(tǒng)進行風險評估,以便采取相應措施及時消除系統(tǒng)中的安全隱患。與以往的漏洞掃描不同的是,大數(shù)據(jù)時代,對于海量數(shù)據(jù)的掃描,將會花費很長的時間,因此需要研究解決如何提高網(wǎng)絡海量數(shù)據(jù)檢測掃描的精確度和速度。
(2)入侵檢測。
隨著圖書館信息資源和數(shù)據(jù)資源共建共享步伐的加快,圖書館私有云和行業(yè)云的建設加快,網(wǎng)絡應用范圍在不斷擴大,來自校園網(wǎng)內部和外部的黑客攻擊、非法訪問等安全問題與日俱增,因此對惡意入侵的檢測與防范刻不容緩。大數(shù)據(jù)對信息安全是把雙刃劍,應利用大數(shù)據(jù)的分析技術,通過分析來源信息,能夠自動確定網(wǎng)絡異常。進一步研究更有效的檢測手段,完成APT高端檢測,做到多點、長時、多類型的檢測。
(3)訪問控制。
接入圖書館網(wǎng)絡的用戶,在使用海量數(shù)據(jù)資源之前,必須進行身份認證和權限劃分,用戶通過認證獲得授權之后,才可以根據(jù)自己的權限訪問相應的數(shù)據(jù)資源和應用系統(tǒng),獲取相關的數(shù)據(jù)分析結果等。采用單點、統(tǒng)一認證方式,并結合PMI權限控制技術,加大認證加密技術研究,有效控制不同用戶分不同級別訪問管理數(shù)據(jù)、訪問數(shù)據(jù)、獲取數(shù)據(jù)以及應用大數(shù)據(jù)分析結果。
(4)網(wǎng)絡安全審計。
相比入侵檢測系統(tǒng),網(wǎng)絡安全審計沒有實時性要求,因此可以對海量的服務器運行日志、數(shù)據(jù)庫操作記錄、系統(tǒng)活動等歷史數(shù)據(jù)進行分析,并且可以利用大數(shù)據(jù)進行更加精細和復雜的分析,發(fā)現(xiàn)更多的黑客攻擊種類,其誤報率也將低于傳統(tǒng)的入侵檢測。
3.3建立數(shù)據(jù)安全監(jiān)管機制
大數(shù)據(jù)關鍵技術的快速發(fā)展,為圖書館大數(shù)據(jù)的存儲與分析奠定了基礎,大數(shù)據(jù)將成為圖書館的重要資產。但是,海量數(shù)據(jù)和數(shù)據(jù)分析結果一旦泄露,相對于以往,對讀者個人甚至整個圖書館界將會造成巨大的經(jīng)濟損失,還可能導致聲譽受損,嚴重的還要承擔相關法律責任。大數(shù)據(jù)安全不僅是技術問題,更是管理問題。因此,大數(shù)據(jù)時代,圖書館除了要從技術上實現(xiàn)存儲安全、云安全、網(wǎng)絡安全等方式來抵御外來的信息安全威脅,更需要加強在數(shù)據(jù)安全監(jiān)管、數(shù)據(jù)資源共享機制、數(shù)據(jù)隱私保護、敏感數(shù)據(jù)審計等方面的制度建設,從管理上防止圖書館核心數(shù)據(jù)、隱私數(shù)據(jù)和敏感數(shù)據(jù)的泄露。力圖建立貫穿于數(shù)據(jù)生命周期的數(shù)據(jù)監(jiān)管機制。在技術層面,運用先進的信息技術手段開展數(shù)據(jù)監(jiān)管工作,如利用現(xiàn)有隱理、數(shù)據(jù)預處理等技術保障數(shù)據(jù)在使用和傳輸中能夠拒絕服務攻擊、數(shù)據(jù)傳輸機密性及DNS安全等。在管理層面,提高圖書館工作人員的信息安全意識,加強各業(yè)務部門內部管理,明確重要數(shù)據(jù)庫的范圍,創(chuàng)新有效科學的數(shù)據(jù)監(jiān)管手段與方法,制定終端設備尤其是移動終端的安全使用規(guī)程,制定并完善重要數(shù)據(jù)、敏感數(shù)據(jù)、隱私數(shù)據(jù)的安全操作和管理制度,規(guī)范大數(shù)據(jù)的使用方法和流程。
3.4加強圖書館信息安全制度建設
依據(jù)信息安全管理國際標準ISO27000,明確大數(shù)據(jù)時代圖書館的實際安全需求和安全目標,量化各類數(shù)據(jù)資源的安全指標,建立全方位、立體、深度的信息安全防御體系。以信息安全防御體系為基礎,建立信息安全責任人負責制的組織機構;制定日常安全運維制度,包括存儲、業(yè)務系統(tǒng)以及各應用系統(tǒng)的安全運行監(jiān)控制度、數(shù)據(jù)監(jiān)管制度、移動終端檢測制度、網(wǎng)絡安全制度等;制定應急響應制度,包括數(shù)據(jù)災備制度、數(shù)據(jù)恢復制度、故障系統(tǒng)恢復制度等。對于存儲在云端的數(shù)據(jù),建立數(shù)據(jù)共享制度和機密保護制度。根據(jù)保密級別、共享級別、開放級別等明確訪問權限等級劃分,制定數(shù)據(jù)的訪問、檢索、下載、分析等方面的規(guī)定;建立身份認證和權限控制機制,控制非法授權訪問數(shù)據(jù);制定數(shù)據(jù)云存儲的安全規(guī)定,加密關鍵數(shù)據(jù);制定數(shù)據(jù)所有權條款,防止“云”提供商第三方泄密。建立相應的法律政策保護數(shù)據(jù)利用時涉及的知識產權,保障數(shù)據(jù)資源的合理合法使用,維護圖書館利益,保護知識產權。
