引論:我們為您整理了13篇數據安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為“wardriving”;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。
1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
1.6對無線通信的劫持和監視正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。
二、保障無線網絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數,仍可接入目標網絡,因此,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡,一般SOHO,小型企業工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態非交換式密鑰,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于SOHO、中小型企業的安全加密。
2.4AP隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協議802.1x協議由IEEE定義,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議,而且TKIP加密仍不能滿足高端企業和政府的加密需求,該方法多用于企業無線網絡部署。
2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。
篇2
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患;相反,在今天出現問題的地方,在將來就可能已經解決。例如,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施,尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數據安全的復雜性。
(四)電子數據安全的安全悖論
目前,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現。
三、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據記錄進行安全違反分析;第三步,采取處理措施。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間,與計算機信息系統內敏感的數據、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發現、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證。
1.了解系統技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行,控制能在該系統中起作用。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數據上,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據,監視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數據庫管理系統的查詢設施抽取用戶數據。
二是從數據中尋找什么?一旦抽取數據后,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息);檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用;判斷程序和數據是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執行請求,然而,數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生,滿足逐出系統閥值,則將引起該事件的用戶逐出系統并記錄其內容。
篇3
二、信息數據安全管理實施過程
1.信息數據管理為了保障信息數據的安全,信息中心根據網絡實際運行情況對防火墻及交換機進行安全配置,添加防火墻訪問策略及交換機訪問控制列表,對外部用戶訪問進行限制,只允許訪問指定服務器,防止來自外部的黑客攻擊;對局域網劃分網段,配置訪問權限,保證局域網內部傳輸安全。利用終端安全控制軟件對局域網內所有聯網終端進行統一管理,監控終端機器運行狀況,禁止用戶私自對終端硬件及系統設置進行修改,鎖定終端機器光驅,軟驅,移動存儲介質等數據交換設備,終端USB端口只識別公司專用U盤及打印機,并對終端數據的流入流出進行安全審計,保存記錄,保障公司信息數據的流出、流入安全。
2.服務器運行管理信息機房值班人員每天定時對機房進行巡視,查看服務器機房溫濕度及空調、UPS電源運行狀態,確保服務器運行環境穩定。檢測服務器軟、硬件運行狀態,并填寫機房巡視記錄,保證信息服務器穩定運行。執行“切換冗余服務器”運行管理,重要信息系統服務器運行實現雙機熱備,其它信息系統進行雙機互備,如果一臺服務器運行出現故障,需要較長時間修復,則立即啟動備用服務器,恢復信息系統運行,保證服務器穩定高效運行。
3.數據存儲備份管理根據公司實際將重要信息數據劃分為公司級重要數據和個人重要數據,并對規定的計算機專責人(兼職)進行權限的設置,公司級重要數據備份后存入指定備份文件夾,個人重要數據由個人整理后轉存至備份服務器中個人備份空間。計算機專責人(兼職)按規定的備份周期,利用自動備份軟件對所管理信息系統進行本機數據備份。農電營銷系統數據每月十八日進行上一月數據的完整備份,電費收取計算時,每日進行備份;其它信息系統每周一進行上一周數據的備份。信息系統管理員將本機數據進行可用性檢查,確認數據無誤,將數據刻錄成DVD數據盤并備份至本地備份服務器進行存放,確保數據存放安全。重要數據存儲備份采取“數據異地多點存儲”,與濰坊市領近縣公司建立互備關系,并在服務器中實施了相關安全策略和設置對應訪問權限,簽訂了數據互備安全協議,保證數據在異地的安全,確保在本地發生重大災難時,能夠有效的恢復系統數據。
4.移動存儲設備管理信息中心利用移動存儲認證管理軟件,將唯一代碼寫入移動存儲設備內進行認證,認證后只能在公司許可機器中識別讀取。人員調離工作崗位需要交回移動存儲介質,信息中心在收回認證移動存儲設備后,確認數據不再需要,將移動存儲設備信息進行集中銷毀,保證數據不會流出。
5.數據恢復管理信息數據管理員將數據拷貝至服務器相應文件夾內,進行信息數據的恢復操作。進行數據恢復操作以后,登陸信息系統查看數據恢復情況,進行數據恢復測試,測試恢復的數據是否完整可靠,確保信息系統恢復正常運行。
三、效益分析
1.經濟效益當前電力企業的財務、人事、生產等信息都已實現了電子化,所有的業務數據都存放于服務器中,隨時讀取,隨時更新,大大減少了數據查詢和存儲的時間,不僅節省了人力、物力,而且大大提高了生產率。但隨著信息化的迅速發展和信息技術運用的深入、普及,信息數據安全管理變得日益重要,其存儲的安全性越來越令人擔憂。重要信息數據一旦丟失,將為企業帶來不可估量的損失。加強信息數據安全管理,可為企業信息化建設和各項工作的持續開展保駕護航。
2.管理效益信息數據的安全管理保證了管理信息系統的穩定運行,使我公司各級管理人員能夠在日常工作中方便、快捷的查詢業務數據,切實做到了日常工作的網絡化、實用化、效率化,管理者借助于現代計算機技術的優勢,可快速查閱準確、完整的各類數據的統計分析,提高了工作效率,顯著增強了企業辦公與服務水準,促進了企業現代化建設管理的進程。
篇4
2.1網絡病毒
當前,Internet已經成為了各種計算機網絡病毒的最大傳播途徑,一旦用戶終端被網絡病毒感染,就可能造成與其進行數據通信的其他用戶終端被連帶感染,特別是當前病毒的破壞形式多種多樣,能在不被發現的情況下對傳輸數據進行復制、篡改和毀壞,也可以通過侵入終端內部對系統數據進行攻擊,從而造成數據通信質量下降或中斷。在政府機構或企業中,一些非法分子出于經濟或政治目的,通過對政府機關網或企業局域網的服務器植入病毒,造成機密信息外泄,從而造成不可估量的損失,嚴重時還可能威脅到國家安全和社會穩定。
2.2黑客攻擊
正常的網絡通信是通過合法訪問的形式實現的,而在現實中,一些網絡黑客出于不同的目的,在未經允許的情況下就利用網絡傳輸協議、服務器以及操作系統上的安全漏洞進行非法訪問,使得系統內部的信息和數據被盜取或刪改等,從而造成系統崩潰、重要信息丟失或泄露等嚴重事件。
2.3管理缺失
在實際工作中,很多用戶在利用網絡進行數據通信時沒有充分重視安全方面的問題。一方面沒有投入先進的網絡硬件設備,或者投入時只重視服務器、交換機等硬件設備的性能而忽略了安全防護性;另一方面由于相關技術人員和管理人員缺乏,使得信息的使用和傳輸非常隨意,再加上對傳輸和終端設備的入網安全性檢測工作不嚴,容易被不法分子在設備內部設置后門,從而給數據通信安全造成威脅。
3網絡數據通信中的安全防范技術措施
3.1對網絡入侵進行檢測
網絡數據通信一般都是基于TCP/IP等網絡通信協議的基礎上完成的,在這個過程中可以加強對網絡訪問行為的監視和分析,判斷其是否屬于合法訪問的范疇。一旦發現其存在違反安全策略的行為,就要立即對訪問實施攔截,同時發出報警,提示相關工作人員進行進一步的處理。
3.2實施訪問控制
首先,對不同的訪問用戶設置不同的安全權限。通過設置不同的安全權限可以有效防止未經授權的用戶訪問敏感信息,避免了機密信息數據的外泄。其次,局域網用戶還應做好內部訪問外網的控制,通過部署網絡版防火墻等方式杜絕外部病毒和木馬程序順著訪問路徑入侵。最后,采用認證技術來限制用戶訪問網絡。用戶只有通過門戶網站或客戶端的形式完成認證步驟,才能實施對外部網絡的訪問。
3.3進行數據加密將信息數據在傳輸前進行加密,被接收之后通過解密機進行還原,從而有效提高數據在傳輸過程中的安全性。目前常用的數據加密技術有兩種:
(1)端到端加密技術。在數據信息的發送端和接收端同時以加密的形式存在。
(2)鏈路加密技術。在數據信息的傳輸過程中以加密的形式存在。在實際應用中,這兩種加密技術一般混合采用,以提高數據信息的安全性。
篇5
1.2加強安全管理的制度建設
管理工作想要切實加強,離不開科學規范的制度及有效執行。因此必須針對網絡環境下的檔案數據庫安全管理容易發生問題的所在進行進一步的制度調整和水平升級。首先,要加強數據庫直接管理人員的責任制落實,對于某些極為重要的管理職務和管理項目應該推行終身問責制,從而切實保障責任的有效落實。此外還應該加強網絡設備的維護保養制度及人員崗位制度建設,在堅持專人專崗避免職務交叉的同時,推行輪崗制,輪崗制能夠有效避免長期占據同一職務而滋生的利己主義思想,同時也能夠幫助相關崗位工作人員了解整個管理流程,從而提升崗位與崗位之間的協作性,確保整個管理工作開展更加科學有序并富有成效。其次,以安全管理工作為核心加強績效考核機制建設。最后,要加強監督機制建設,在監督機制建設方面,要推行內外結合的監督約束建設原則,所謂內,就是內部審計,內部審計工作人員不僅包括熟識檔案數據庫安全管理的專門人士,同時也要包括社會專門審計機構的專業人才,這樣一方面能夠確保審計工作的精確性與實用性,避免走形式以及提升審計工作小組對單位的忠誠度,另一方面能夠利用專門審計人員多年來從事同類型審計工作的豐富經驗來提升審計工作的總體質量,幫助單位將審計工作推向更為科學、合理以及規范的發展方向。外部監督約束機制建設方面,就是加強與社會媒體的溝通協作,同時加大社會公眾在輿論監督權履行方面的主動性與積極性,為安全管理工作打造一個積極的外部環境,約束其管理行為,促進管理工作質量提升。
1.3加強文化建設工作力度
現代社會,管理工作想要取得實質性的質量提升,除了要有科學嚴密的制度保障以外,更重要的是要讓被管理人員從被動的應付管理轉變為主動的參與管理,因此文化建設工作在現代管理工作中的重要性也日益體現,只有將制度融合于文化當中才能夠讓內部人員及被管理對象樹立起遵守管理制度的自覺自愿意識,才能夠激發他們參與管理的積極性與主動性。在網絡安全管理工作方面,整個檔案單位共同參與相互協作是重要內容,因此更需要讓文化來推動制度的建立與執行,在制度確立、人員素質有效加強的同時還需要將制度轉化為內在文化,促進工作人員的工作積極性與自律性。安全文化建設最重要的一環就是加強安全學習的組織工作,并通過與個人利益直接掛鉤的形式激發工作人員的參與熱情。
1.4加強數據庫安全管理軟件開發應用
首先,要加快專門化管理軟件的開發及使用。當前市面上有許多信息化管理軟件,但是檔案數據庫的管理工作不同于一般化的管理,它更多的在訪問權限、訪問時限、訪問者身份以及信息機密性需進行嚴格控制等方面有更多且更高的要求,因此應該進行專門化的軟件開發,軟件開發雖然比成品軟件購置需要花費更多成本,也需要進行操作技能的專門培訓,但是也能夠更好的實現上述管理目的,從而有效杜絕安全管理中的種種問題,因此應該用全局眼光看待這一問題,切不可顧忌眼前成本而放棄長遠發展。
篇6
當前,數據加密技術是一項確保計算機網絡安全的應用最廣泛的技術,且隨著社會及科技的發展而不斷發展。數據加密技術的廣泛應用為計算機網絡安全提供良好的環境,同時較好的保護了人們運用互聯網的安全。密鑰及其算法是數據加密技術的兩個主要元素。密鑰是一種對計算機數據進行有效編碼、解碼的算法。在計算機網絡安全的保密過程中,可通過科學、適當的管理機制以及密鑰技術來提高信息數據傳輸的可靠性及安全性。算法就是把普通信息和密鑰進行有機結合,從而產生其他人難以理解的一種密文步驟。要提高數據加密技術的實用性及安全性,就要對這兩個因素給予高度重視。
2.1鏈路數據加密技術在計算機網絡安全中的應用
一般情況下,多區段計算機計算機采用的就是鏈路數據加密技術,其能夠對信息、數據的相關傳輸路線進行有效劃分,并以傳輸路徑以及傳輸區域的不同對數據信息進行針對性的加密。數據在各個路段傳輸的過程中會受到不同方式的加密,所以數據接收者在接收數據時,接收到的信息數據都是密文形式的,在這種情況下,即便數據傳輸過程被病毒所獲取,數據具有的模糊性也能對數據信息起到的一定程度的保護作用。此外,鏈路數據加密技術還能夠對傳送中的信息數據實行相應的數據信息填充,使得數據在不同區段傳輸的時候會存在較大的差異,從而擾亂竊取者數據判斷的能力,最終達到保證數據安全的目的。
2.2端端數據加密技術在計算機網絡安全中的應用
相比鏈路數據加密技術,端端數據加密技術實現的過程相對來說較為容易。端端數據加密技術主要是借助密文形式完成信息數據的傳輸,所以數據信息傳輸途中不需要進行信息數據的加密、解密,這就較好的保障了信息安全,并且該種技術無需大量的維護投入及運行投入,由于端端數據加密技術的數據包傳輸的路線是獨立的,因而即使某個數據包出現錯誤,也不會干擾到其它數據包,這一定程度上保證了數據傳輸的有效性及完整性。此外,在應用端端數據加密技術傳輸數據的過程中,會撤銷原有信息數據接收者位置的解密權,除了信息數據的原有接收者,其他接收者都不能解密這些數據信息,這極大的減少了第三方接收數據信息的幾率,大大提高了數據的安全性。
2.3數字簽名信息認證技術在計算機網絡安全中的有效應用
隨著計算機相關技術的快速發展,數字簽名信息認證技術在提高計算機網絡安全中的重要作用日漸突出。數字簽名信息認證技術是保障網絡安全的主要技術之一,主要是通過對用戶的身份信息給予有效的確認與鑒別,從而較好的保證用戶信息的安全。目前,數字簽名信息認證的方式主要有數字認證以及口令認證兩種。數字認證是在加密信息的基礎上完成數據信息密鑰計算方法的有效核實,進一步增強了數據信息的有效性、安全性。相較于數字認證而言,口令認證的認證操作更為快捷、簡便,使用費用也相對較低,因而使用范圍更廣。
2.4節點數據加密技術在計算機網絡安全中的有效應用
節點數據加密技術和鏈路數據加密技術具有許多相似之處,都是采取加密數據傳送線路的方法來進行信息安全的保護。不同之處則是節點數據加密技術在傳輸數據信息前就對信息進行加密,在信息傳輸過程中,數據信息不以明文形式呈現,且加密后的各項數據信息在進入傳送區段之后很難被其他人識別出來,以此來達到保護信息安全的目的。但是實際上,節點數據加密技術也存在一定弊端,由于其要求信息發送者和接收方都必須應用明文形式來進行信息加密,因而在此過程中,相關信息一旦遭到外界干擾,就會降低信息安全。
2.5密碼密鑰數據技術在計算機網絡安全中的有效應用
保護數據信息的安全是應用數據加密技術的最終目的,數據加密是保護數據信息安全的主動性防治措施。密鑰一般有私用密鑰及公用密鑰兩種類型。私用密鑰即信息傳送雙方已經事先達成了密鑰共識,并應用相同密鑰實現信息加密、解密,以此來提高信息的安全性。而公用密鑰的安全性則比較高,其在發送文件發送前就已經對文件進行加密,能有效避免信息的泄露,同時公用密鑰還能夠與私用密鑰互補,對私用密鑰存在的缺陷進行彌補。
篇7
Keywords:Databasesecuritymanagement
一、數據庫安全概述
1.數據庫安全概述
數據庫安全是指保護數據庫以防止非法用戶的越權使用、竊取、更改或破壞數據。數據庫安全涉及到很多層面,必須在以下幾個層面做好安全措施:
(1)物理層:重要的計算機系統必須在物理上受到保護,以防止入侵者強行進入或暗中潛入。
(2)人員層:數據庫系統的建立、應用和維護等工作,一定要由政治思想上過硬的合法用戶來管理。
(3)操作系統層:要進入數據庫系統,首先要經過操作系統,如果操作系統的安全性差,數據庫將面臨著重大的威脅。
(4)網絡層:由于幾乎所有網絡上的數據庫系統都允許通過終端或網絡進行遠程訪問,所以網絡的安全和操作系統的安全一樣重要,網絡安全了,無疑對數據的安全提供了保障。
(5)數據庫系統層:數據庫系統應該有完善的訪問控制機制,以防止非法用戶的非法操作。為了保證數據庫的安全,必須在以上所有層次上進行安全性控制。
2.數據庫安全的目標
(1)提供數據共享,集中統一管理數據;
(2)簡化應用程序對數據的訪問,應用程序得以在更為邏輯的層次上訪問數據:
(3)解決數據有效性問題,保證數據的邏輯一致性:
(4)保證數據獨立性問題,降低程序對數據及數據結構的依賴:
(5)保證數據的安全性,在共享環境下保證數據所有者的利益。
以上僅是數據庫的幾個最重要的動機,發展變化的應用對數據庫提出了更多的要求。為達到上述的目的,數據的集中存放和管理永遠是必要的。其中的主要問題,除功能和性能方面的技術問題,最重要的問題就是數據的安全問題.如何既提供充分的服務同時又保證關鍵信息不被泄漏而損害信息屬主的利益,是DBMS的主要任務之一。
二、數據庫系統安全的主要風險
數據庫系統在實際應用中存在來自各方面的安全風險,由安全風險最終引起安全問題,下面從四個方面講述數據庫系統的安全風險。
1.來自操作系統的風險
來自操作系統的風險主要集中在病毒、后門、數據庫系統和操作系統的關聯性方面。首先在病毒方面,操作系統中可能存在的特洛伊木馬程序對數據庫系統構成極大的威脅,數據庫管理員尤其需要注意木馬程序帶給系統入駐程序所帶來的威脅。一個特洛伊木馬程序修改了入駐程序的密碼,并且當更新密碼時,入侵者能得到新的密碼。其次在操作系統的后門方面,許多數據庫系統的特征參數盡管方便了數據庫管理員,但也為數據庫服務器主機操作系統留下了后門,這使得黑客可以通過后門訪問數據庫。最后數據庫系統和操作系統之間帶有很強的關聯性。操作系統具有文件管理功能,能夠利用存取控制矩陣,實現對各類文件包括數據庫文件的授權進行讀寫和執行等,而且操作系統的監控程序能進行用戶登錄和口令鑒別的控制,因此數據庫系統的安全性最終要靠操作系統和硬件設備所提供的環境,如果操作系統允許用戶直接存取數據庫文件,則在數據庫系統中采取最可靠的安全措施也沒有用。
2.來自管理的風險
用戶安全意識薄弱,對信息網絡安全重視不夠,安全管理措施不落實,導致安全事件的發生,這些都是當前安全管理工作存在的主要問題。從已發生安全事件的原因中,占前兩位的分別是“未修補軟件安全漏洞”和“登錄密碼過于簡單或未修改”,也表明了用戶缺乏相關的安全防范意識和基本的安全防范常識。比如數據庫系統可用的但并未正確使用的安全選項、危險的默認設置、給用戶更多的不適當的權限,對系統配置的未經授權的改動等等。
3.來自用戶的風險
用戶的風險主要表現在用戶帳號、作用和對特定數據庫目標的操作許可。例如對表單和存儲步驟的訪問。因此必須對數據庫系統做范圍更廣的徹底安全分析,找出所有可能領域內的潛在漏洞,包括與銷售商提供的軟件相關的風險軟件的BUG、缺少操作系統補丁、脆弱的服務和選擇不安全的默認配置等。另外對于密碼長度不夠、對重要數據的非法訪問以及竊取數據庫內容等惡意行動也潛在的存在,以上這些都表現為來自用戶的風險。
4.來自數據庫系統內部的風險
雖然絕大多數常用的關系數據庫系統已經存在了十多年之久,并且具有強大的特性,產品非常成熟。但許多應該具有的特征,在操作系統和現在普遍使用的數據庫系統中,并沒有提供,特別是那些重要的安全特征,絕大多數關系數據庫系統并不夠成熟。
三、數據庫安全技術研究
1.數據庫加密
對于一些重要的機密的數據,例如一些金融數據、商業秘密、游戲網站玩家的虛擬財產,都必須存儲在數據庫中,需要防止對它們未授權的訪問,哪怕是整個系統都被破壞了,加密還可以保護數據的安全。對數據庫安全性的威脅有時候是來自于網絡內部,一些內部用戶可能非法獲取用戶名和密碼,或利用其他方法越權使用數據庫,甚至可以直接打開數據庫文件來竊取或篡改信息。因此,有必要對數據庫中存儲的重要數據進行加密處理,以實現數據存儲的安全保護。
數據加密就是將稱為明文的敏感信息,通過算法和密鑰,轉換為一種難于直接辨認的密文。解密是加密的逆向過程,即將密文轉換成可識別的明文。數據庫密碼系統要求把明文數據加密成密文,數據庫存儲密文,查詢時將密文取出解密后得到明文。數據庫加密系統能夠有效地保證數據的安全,即使黑客竊取了關鍵數據,他仍然難以得到所需的信息。另外,數據庫加密以后,不需要了解數據內容的系統管理員不能見到明文,大大提高了關鍵數據的安全性。
2.存取管理技術
存取管理技術主要包括用戶認證技術和訪問控制技術兩方面。用戶認證技術包括用戶身份驗證和用戶身份識別技術。訪問控制包括數據的瀏覽控制和修改控制。瀏覽控制是為了保護數據的保密性,而修改控制是為了保護數據的正確性和提高數據的可信性。在一個數據資源共享的環境中,訪問控制就顯得非常重要。
2.1用戶認證技術
用戶認證技術是系統提供的最外層安全保護措施。通過用戶身份驗證,可以阻止未授權用戶的訪問,而通過用戶身份識別,可以防止用戶的越權訪問。
(1)用戶身份驗證
該方法由系統提供一定的方式讓用戶標識自己的身份。每次用戶請求進入系統時,系統必須對用戶身份的合法性進行鑒別認證。用戶要登錄系統時,必須向系統提供用戶標識和鑒別信息,以供安全系統識別認證。目前,身份驗證采用的最常用、最方便的方法是設置口令法。但近年來,一些更加有效的身份驗證技術迅速發展起來,如智能卡技術、物理特征(指紋、虹膜等)認證技術等具有高強度的身份驗證技術日益成熟,并取得了不少應用成果,為將來達到更高的安全強度要求打下了堅實的理論基礎。
(2)用戶身份識別
用戶身份識別以數據庫授權為基礎,只有經過數據庫授權和驗證的用戶才是合法的用戶。數據庫授權技術包括授權用戶表、用戶授權表、系統的讀出/寫入規則和自動查詢修改技術。
2.2訪問控制
訪問控制是從計算機系統的處理功能方面
對數據提供保護,是數據庫系統內部對已經進入系統的用戶的訪問控制,是安全數據保護的前沿屏障。它是數據庫安全系統中的核心技術,也是最有效的安全手段,限制了訪問者和執行程序可以進行的操作,這樣通過訪問控制就可防止安全漏洞隱患。DBMS中對數據庫的訪問控制是建立在操作系統和網絡的安全機制基礎之上的。只有被識別被授權的用戶才有對數據庫中的數據進行輸入、刪除、修改和查詢等權限。通常采用下面兩種方法進行訪問控制:
(1)按功能模塊對用戶授權
每個功能模塊對不同用戶設置不同權限,如無權進入本模塊、僅可查詢、可更新可查詢、全部功能可使用等,而且功能模塊名、用戶名與權限編碼可保存在同一數據庫。
(2)將數據庫系統權限賦予用戶
通常為了提高數據庫的信息安全訪問,用戶在進行正常的訪問前服務器往往都需要認證用戶的身份、確認用戶是否被授權。為了加強身份認證和訪問控制,適應對大規模用戶和海量數據資源的管理,通常DBMS主要使用的是基于角色的訪問控制RBAC(Rolebasedaccesscontrol)。
3.備份與恢復
數據備份與恢復是實現數據庫系統安全運行的重要技術。數據庫系統總免不了發生系統故障,一旦系統發生故障,重要數據總免不了遭到損壞。為防止重要數據的丟失或損壞,數據庫管理員應及早做好數據庫備份,這樣當系統發生故障時,管理員就能利用已有的數據備份,把數據庫恢復到原來的狀態,以便保持數據的完整性和一致性。一般來說,數據庫備份常用的備份方法有:靜態備份(關閉數據庫時將其備份)、動態備份(數據庫運行時將其備份)和邏輯備份(利用軟件技術實現原始數據庫內容的鏡像)等;而數據庫恢復則可以通過磁盤鏡像、數據庫備份文件和數據庫在線日志三種方式來完成。
4.建立安全的審計機制
審計就是對指定用戶在數據庫中的操作進行監控和記錄的一種數據庫功能。這里主要以Oracle數據庫為例,Oracle數據庫沒有為審計數據提供獨立的導出、備份和恢復機制,用戶每導出和刪除1條審計記錄都需要自己來書寫程序,并且審計記錄所需要的存儲空間也是Oracle數據庫所提供。如果審計數據是保存在操作系統中的文件中,那么審計記錄的保護完全依賴于操作系統的安全性和對文件的加密措施。顯然,現有的數據庫管理系統的審計保護功能存在不足,應從以下2方面改進:建立單獨的審計系統和審計員,審計數據需要存放在單獨的審計文件中,而不像Oracle那樣存在數據庫中,只有審計員才能訪問這些審計數據。可以把用戶大致分為審計員、數據庫用戶、系統安全員3類,這三者相互牽制,各司其職。分別在3個地方進行審計控制。為了保證數據庫系統的安全審計功能,還需要考慮到系統能夠對安全侵害事件做出自動響應,提供審計自動報警功能。當系統檢測到有危害到系統安全的事件發生并達到預定的閾值時,要給出報警信息,同時還會自動斷開用戶的連接,終止服務器端的相應線程,并阻止該用戶再次登錄系統。
參考文獻:
劉啟原,劉怡.數據庫與信息系統的安全[M].科學出版社,2000.
篇8
2.1MAC表洪水攻擊
交換機基本運行形勢為:當幀經過交換機的過程會記下MAC源地址,該地址同幀經過的端口存在某種聯系,此后向該地址發送的信息流只會經過該端口,這樣有助于節約帶寬資源。通常情況下,MAC地址主要儲存于能夠追蹤和查詢的CAM中,以方便快捷查找。假如黑客通過往CAM傳輸大量的數據包,則會促使交換機往不同的連接方向輸送大量的數據流,最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰.
2.2ARP攻擊
這是在會話劫持攻擊環節頻發的手段之一,它是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上后,這個節點會收到確認其物理地址的應答,這樣的數據包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,ARP欺騙過程如圖1所示。
2.3VTP攻擊
以VTP角度看,探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時,VTP上所配置的版本號均會增多1,當用戶觀察到所配置的版本號明顯高于當前的版本號時,則可判斷和VTP服務器實現同步。當黑客想要入侵用戶的電腦時,那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接,然后再本臺計算機與其構建一條有效的中繼通道,然后就能夠利用VTP。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器,那么就會致使全部的交換機同黑客那臺計算機實現同步,最終將全部除非默認的VLAN移出VLAN數據庫的范圍。
3安全防范VLAN攻擊的對策
3.1保障TRUNK接口的穩定與安全
通常情況下,交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種,前者是指用戶接入設備時必備的端口狀態,后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時,能夠避免開展任何的命令式操作行為,也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態,為各項攻擊的發生埋下隱患,可通過如下的方式防止安全隱患的發生。首先,把交換機設備上全部的接口狀態認為設置成Access狀態,這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后,不管以怎樣的方式進行協商其最終結果均是Accese狀態,致使黑客難以將交換機設備上的空閑接口作為攻擊突破口,并欺騙為Turnk端口以實現在局域網的攻擊。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態。不管黑客企圖通過設置什么樣的端口狀態進行攻擊,這邊的接口狀態始終為Turnk狀態,這樣有助于顯著提高設備的可控性。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置,對出入Turnk端口的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk端口,這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊,保障數據傳送的安全性。
3.2保障VTP協議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN干道協議)是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議,它主要用于管理在同一個域的網絡范圍內VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置信息將自動傳播到本域內的其他所有交換機,這些交換機會自動地接收這些配置信息,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量,而且保持了VLAN配置的統一性。處于VTP模式下,黑客容易通過VTP實現初步入侵和攻擊,并通過獲取相應的權限,以隨意更改入侵的局域網絡內部架構,導致網絡阻塞和混亂。所以對VTP協議進行操作時,僅保存一臺設置為VTP的服務器模式,其余為VTP的客戶端模式。最后基于保障VTP域的穩定與安全的目的,應將VTP域全部的交換機設置為相同的密碼,以保證只有符合密碼相同的情況才能正常運作VTP,保障網絡的安全。
篇9
1.3計算機用戶操作失誤由于計算機用戶操作不當而發生的損失,也是影響計算機正常使用并破壞網絡安全的重要因素之一。目前計算機用戶的整體規模不斷擴大,但其中有許多用戶并未對計算機的安全防護進行應有的重視,對計算機的合理使用認識不到位,因而在安全防范方面力度不夠,這就給惡意攻擊者提供了入侵系統的機會,并進而出現嚴重的安全問題。用戶安全意識差的主要表現包括:賬號密碼過于簡單,破解容易,甚至隨意泄露;使用軟件時進行了錯誤操作;系統備份不完全。這些行為都會引起網絡安全問題的發生。
2計算機網絡安全防范的措施
2.1定期進行數據備份為防止因突破情況,如自然災害,斷電等造成的數據丟失,應在平時養成定期數據備份的習慣,將硬盤上的重要文件,數據復制到其他存儲設備中,如移動硬盤等。如果做好了備份工作,即使當計算機系統遭受攻擊而發生數據毀壞,也無需擔心數據的徹底消失,而只需將已經備份的文件和數據再重新恢復到計算機中即可。因此,數據的定期備份是維護計算機網絡安全的有效途徑之一。如果計算機因意外情況而無法正常啟動,也需在重新安裝系統前進行數據備份,以便在計算機能夠正常使用后完成數據恢復,這在非法入侵系統造成的數據毀壞時也能起到重要的作用。
2.2采用物理隔離網閘物理隔離網閘是一種通過外部設備來實現計算機安全防護的技術手段,利用固態開關讀寫作為媒介,來實現不同主機系統間的對接,可實現多種控制功能。由于在這一技術手段下的不同主機系統之間,并不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,以及基于協議的信息包,只存在無協議“擺渡”,同時只能對存儲媒介發出“讀”與“寫”這兩種指令。因此,物理隔離網閘可以從源頭上保障計算機網絡的安全,從物理上隔離,阻斷了帶有攻擊性質的所有連接,切斷黑客入侵的途徑,使其無法攻擊,無法破壞,真正維護了網絡安全。
2.3防火墻技術防火墻是一種常用的計算機安全軟件,在計算機和互聯網之間構筑一道“安檢”關卡。安裝了防火墻,所有經過這臺計算機的網絡通信都必須接受防火墻的安全掃描,從而使具有攻擊性的通信無法與計算機取得連接,阻斷非授權訪問在計算機上的執行。同時,防火墻還會將不必要的端口關閉,并針對指定端口實施通信禁止,從而對木馬進行封鎖堵截。最后,它可以對特殊站點的訪問實施攔截,拒絕來路不明的所有通信,最大程度地維護計算機網絡的安全。
2.4加密技術為進一步地維護網絡信息安全,保證用戶信息不被侵犯,還可使用加密技術來對計算機的系統安全鑰匙進行升級,對加密技術進行充分合理的利用能有效提高信息的安全程度。首先是數據加密,基本原理在于通過使用特定算法對目標文件加以處理,使其由原來的明文轉為無法識別的代碼,通常稱為密文,如果需要查看加密前的內容,就必須輸入正確的密鑰,這樣就可防止重要信息內容被不法分子竊取和掌握。相對地,加密技術的逆過程為解密,即將代碼轉為可讀的文件。其次是智能卡技術,該技術與加密技術有較強的關聯性。所謂智能卡,其實質為密鑰的一種媒介,與信用卡相類似,只能由經過授權的使用者所持有,授權用戶可對其設置一定的口令,同時保證設置的口令與網絡服務器密碼相同,當同時使用口令與身份特征,能夠起到極為理想的保密效果。
2.5進行入侵檢測和網絡監控計算機網絡安全技術還包括入侵檢測即網絡監控。其中,入侵檢測是一項綜合程度高的安全維護手段,包括統計技術,網絡通信技術,推理技術等,起到的作用十分顯著,可對當前網絡環境進行監督,以便及時發現系統被攻擊的征兆。根據分析手段的不同,可將其分為簽名法與統計法兩種。對于針對系統已知漏洞的攻擊,可用簽名法來實施監控;對于系統的正常運行階段,需要對其中的可疑動作是否出現了異常現象進行確認時,可用統計法進行監控,能夠從動作模式為出發點進行判斷。
2.6及時下載漏洞補丁程序對計算機網絡安全的維護應當是一個長期的,動態的過程,因此及時下載漏洞補丁就顯得十分必要。在使用計算機來連接網絡的過程當中,為避免因存在系統漏洞而被惡意攻擊者利用,必須及時下載最新的漏洞補丁,消除計算機應用環境中的種種隱患。可通過特定的漏洞掃描手段對漏洞進行掃描,例如COPS,tripwire,tiger等,都是非常實用的漏洞掃描軟件,360安全衛士,瑞星卡卡等軟件也有良好的效果,可使用這些軟件進行掃描并下載漏洞補丁。
2.7加強用戶賬號的安全保護為保障計算機網絡賬號的安全,應加強對賬號的保護措施。在計算機應用的網絡環境下,許多應用領域都需要賬號和密碼進行登錄,涉及范圍較廣,包括系統登錄,電子賬號登錄,網上銀行登錄等等,因此加強對賬號的安全防范就有著極其重要的意義。首先,對系統登錄來說,密碼設置應盡量復雜;其次,對于不同應用方面的賬號來說,應避免使用相同或類似的密碼,以免造成重大損失;再次,在設置方式上應采用組合的形式,綜合使用數字、字母,以及特殊符號;最后,應保證密碼長度合適,同時應定期修改密碼。
篇10
1.2“大數據”技術
“大數據”的價值不只在于其數據量之大,更大的意義在于通過數據采集、處理、分析、挖掘等技術對“大數據”的屬性,包括數量、速度、多樣性等等進行分析,能獲取很多智能的、深入的、有價值的信息。而這些信息提取過程可大致分為以下三個階段。
1.2.1數據輸入
將分布的、異構數據源中的關系數據、平面數據等數據進行采集抽取,然后對其進行清洗、轉換、集成等,最后將數據加載到數據倉中,進而為數據聯機分析、挖掘等處理奠定基礎。其特點主要表現為并發數高,因為成千上萬的用戶有可能同時訪問、操作數據,比較典型的就是火車票售票網站、淘寶等,在峰值時,它們并發的訪問量能達到上百萬,在這種情況下,在采集端需要部署大量數據庫。
1.2.2數據處理
“大數據”技術核心就是數據挖掘算法,基于不同的數據類型和格式的各種數據挖掘的算法深入數據內部,快速地挖掘出公認的價值,科學地呈現出數據本身具備的特點。并根據用戶的統計需求,對存儲于其內的海量數據利用分布式數據庫或分布式計算集群進行普通的分析和分類匯總等。其特點主要表現為用于挖掘的算法比較復雜,并且計算涉及的數據量和計算量都很大,常用數據挖掘算法都以單線程為主。
1.2.3數據輸出
從“大數據”中挖掘出特點,科學的建立模型,通過導入數據,以得到用戶需要的結果。這已在能源、醫療、通信、零售等行業有了廣泛應用。
2“大數據”安全隱患
“大數據”時代,數據量是非線性增長的,隨著數據價值的不斷提高,黑客對于數據的覬覦已經由原來的破壞轉變成竊取和利用,病毒或黑客繞過傳統的防火墻、殺毒軟件、預警系統等防護設備直接進入數據層,一些高級持續性攻擊已經難以用傳統安全防御措施檢測防護。“大數據”的安全風險主要可以分為以下兩個方面。
2.1從基礎技術角度看
NoSQL(非關系型數據庫)是“大數據”依托的基礎技術。當前,應用較為廣泛的SQL(關系型數據庫)技術,經過長期的改進和完善,通過設置嚴格的訪問控制和隱私管理工具,進一步維護數據安全。在NoSQL技術中,沒有這樣的要求。而且,對于“大數據”來說,無論是來源,還是承載方式都比較豐富,例如物聯網、移動互聯網、車聯網,以及遍布各個角落的傳感器等,通常情況下,數據都是處于分散存在的狀態,難以對這些數據進行定位,同時難以對所有的機密信息進行保護。
2.2從核心價值角度來看
“大數據”技術關鍵在于數據分析和利用,但數據分析技術的發展,對用戶隱私產生極大的威脅。在“大數據”時代,已經無法保證個人信息不被其他組織挖掘利用。目前,各網站均不同程度地開放其用戶所產生的實時數據,一些監測數據的市場分析機構可通過人們在社交網站中寫入的信息、智能手機顯示的位置信息等多種數據組合,高精度鎖定個人,挖掘出個人信息體系,用戶隱私安全問題堪憂。
3“大數據”安全防范
由于“大數據”的安全機制是一個非常龐大而復雜的課題,幾乎沒有機構能一手包攬所有細節,因此業界也缺乏一個統一的思路來指導安全建設。在傳統安全防御技術的基礎上,通過對“大數據”攻擊事件模式、時間空間特征等進行提煉和總結,從網絡安全、數據安全、應用安全、終端安全等各個管理角度加強防范,建設適應“大數據”時代的安全防御方案,可以從一定程度上提高“大數據”環境的可靠度。
3.1網絡安全
網絡是輸送“大數據”資源的主要途徑,強化網絡基礎設施安全保障,一是通過訪問控制,以用戶身份認證為前提,實施各種策略來控制和規范用戶在系統中的行為,從而達到維護系統安全和保護網絡資源的目的;二是通過鏈路加密,建立虛擬專用網絡,隔離公用網絡上的其他數據,防止數據被截取;三是通過隔離技術,對數據中心內、外網絡區域之間的數據流量進行分析、檢測、管理和控制,從而保護目標數據源免受外部非法用戶的侵入訪問;四是通過網絡審計,監聽捕獲并分析網絡數據包,準確記錄網絡訪問的關鍵信息;通過統一的策略設置的規則,智能地判斷出網絡異常行為,并對異常行為進行記錄、報警和阻斷,保護業務的正常運行。
3.2虛擬化安全
虛擬機技術是大數據概念的一個基礎組成部分,它加強了基礎設施、軟件平臺、業務系統的擴展能力,同時也使得傳統物理安全邊界逐漸缺失。加強虛擬環境中的安全機制與傳統物理環境中的安全措施,才能更好地保障在其之上提供的各類應用和服務。一是在虛擬化軟件層面建立必要的安全控制措施,限制對虛擬化軟件的物理和邏輯訪問控制;二是在虛擬化硬件方面建立基于虛擬主機的專業的防火墻系統、殺毒軟件、日志系統和恢復系統,同時對于每臺虛擬化服務器設置獨立的硬盤分區,用以系統和日常數據的備份。
3.3數據安全
基于數據層的保護最直接的安全技術,數據安全防護技術包括:一是數據加密,深入數據層保護數據安全,針對不同的數據采用不同的加密算法,實施不同等級的加密控制策略,有效地杜絕機密信息泄漏和竊取事件;二是數據備份,將系統中的數據進行復制,當數據存儲系統由于系統崩潰、黑客人侵以及管理員的誤操作等導致數據丟失和損壞時,能夠方便且及時地恢復系統中的有效數據,以保證系統正常運行。
3.4應用安全
由于大數據環境的靈活性、開放性以及公眾可用性等特性,部署應用程序時應提高安全意識,充分考慮可能引發的安全風險。加強各類程序接口在功能設計、開發、測試、上線等覆蓋生命周期過程的安全實踐,廣泛采用更加全面的安全測試用例。在處理敏感數據的應用程序與服務器之間通信時采用加密技術,以確保其機密性。
3.5終端安全
隨著云計算、移動互聯網等技術的發展,用戶終端種類不斷增加,很多應用程序被攻擊者利用收集隱私和重要數據。用戶終端上應部署安全軟件,包括反惡意軟件、防病毒、個人防火墻以及IPS類型的軟件,并及時完成應用安全更新。同時注重自身賬號密碼的安全保護,盡量不在陌生的計算機終端上使用公共服務。同時還應采用屏蔽、抗干擾等技術為防止電磁泄漏,可從一定程度上降低數據失竊的風險。
4“大數據”安全展望
“大數據”時代的信息安全已經成為不可阻擋的趨勢,如何采用更加主動的安全防御手段,更好地保護“大數據”資源將是一個廣泛而持久的研究課題。
4.1重視“大數據”及建設信息安全體系
在對“大數據”發展進行規劃的同時,在“大數據”發展過程中,需要明確信息安全的重要性,對“大數據”安全形式加大宣傳的力度,對“大數據”的重點保障對象進行明確,對敏感、重要數據加大監管力度,研究開發面向“大數據”的信息安全技術,引進“大數據”安全的人才,建立“大數據”信息安全體系。
4.2對重點領域重要數據加強監管
海量數據的匯集在一定程度上可能會暴露隱私信息,廣泛使用“大數據”增加了信息泄露的風險。政府層面,需要對重點領域數據范圍進行明確,制定完善的管理制度和操作制度,對重點領域數據庫加大日常監管力度。用戶層面,加強內部管理,建立和完善使用規程,對“大數據”的使用流程和使用權限等進行規范化處理。
篇11
2.1基礎安全設施
事后數據處理系統基礎安全設施是以PKI/PMI/KMI技術為基礎而構建的證書認證、權限管理、密鑰管理和密碼服務等基礎設施。基礎安全設施提供的技術支撐適用于整個事后數據處理系統,具有通用性。基礎安全設施的技術運行和管理具有相對的獨立性。1)證書認證證書認證是對數字證書進行全過程的安全管理。由證書簽發、密鑰管理、證書管理、本地注冊、證書/證書撤銷列表查詢、遠程注冊等部分構成。2)權限管理權限管理是信息安全體系基礎安全設施的重要組成部分。它采用基于角色的訪問控制技術,通過分級的、自上而下的權限管理職能的劃分和委派,建立統一的特權管理基礎設施,在統一的授權管理策略的指導下實現分布式的權限管理。權限管理能夠按照統一的策略實現層次化的信息資源結構和關系的描述和管理,提供統一的、基于角色和用戶組的授權管理,對授權管理和訪問控制決策策略進行統一的描述、管理和實施。建立統一的權限管理,不僅能夠解決面向單獨業務系統或軟件平臺設計的權限管理機制帶來的權限定義和劃分不統一、各訪問控制點安全策略不一致、管理操作冗余、管理復雜等問題,還能夠提高授權的可管理性,降低授權管理的復雜度和管理成本,方便應用系統的開發,提高整個系統的安全性和可用性。3)密鑰管理密鑰管理是指密鑰管理基礎設施,為基礎安全設施提供支持,并提供證書密鑰的生成、存儲、認證、分發、查詢、注銷、歸檔及恢復等管理服務。密鑰管理與證書認證服務按照“統一規劃、同步建設、獨立設置、分別管理、有機結合”的原則進行建設和管理,由指定專人維護管理。密鑰管理與證書認證是分別設立,各自管理,緊密聯系,共同組成一個完整的數字證書認證系統。密鑰管理主要為證書認證提供用戶需要的加密用的公/私密鑰對,并為用戶提供密鑰恢復服務。4)密碼服務密碼服務要構建一個相對獨立的、可信的計算環境,進行安全密碼算法處理。根據系統規模,可采用集中式或分布式計算技術,系統性能動態可擴展。事后數據處理系統采用集中式計算技術。
2.2安全技術支撐
安全技術支撐是利用各類安全產品和技術建立起安全技術支撐平臺。安全技術支撐包括物理安全、運行安全和信息安全。物理安全包括環境安全、設備安全和介質安全;運行安全包括防病毒、入侵檢測和代碼防護等;信息安全包括訪問控制、信息加密、電磁泄漏發射防護、安全審計、數據庫安全等功能。
2.2.1物理安全
物理安全的目標是保護計算機信息系統的設備、設施、媒體和信息免遭自然災害、環境事故、人為物理操作失誤、各種以物理手段進行的違法犯罪行為導致的破壞、丟失。物理安全主要包括環境安全、設備安全和介質安全三方面。對事后數據處理中心的各種計算機、外設設備、數據處理系統等物理設備的安全保護尤其重要。對攜帶進入數據處理中心的U盤、移動硬盤、可攜帶筆記本等移動介質進行單獨安全處理。
2.2.2運行安全
運行安全采用防火墻、入侵檢測、入侵防護、病毒防治、傳輸加密、安全虛擬專網等成熟技術,利用物理環境保護、邊界保護、系統加固、節點數據保護、數據傳輸保護等手段,通過對網絡和系統安全防護的統一設計和統一配置,實現全系統高效、可靠的運行安全防護。系統安全域劃分為事后數據處理中心專網安全域、靶場專網安全域、外聯網安全域。事后數據處理中心專網與靶場專網安全域邏輯隔離,靶場專網與外聯網安全域邏輯隔離。1)防火墻防火墻技術以包過濾防火墻為主,對系統劃分的各個安全域進行邊界保護。在事后數據處理中心出入口、網絡節點出入口、外網出入口等節點安裝配置防火墻設備,保證數據傳輸安全。2)入侵檢測入侵檢測對事后數據處理系統的關鍵安全域進行動態風險監控,使用成熟的入侵檢測技術對整個系統網絡的入侵進行防控。3)病毒防治在各網絡節點保證出入站的電子郵件、數據及文件安全,保證網絡協議的使用安全,防止引入外部病毒。在事后數據處理系統的重要系統服務器(包括專業處理服務器、數據服務器等)配置服務器防病毒產品。在所有桌面系統配置防病毒防護產品,提供全面的跨平臺病毒掃描及清除保護,阻止病毒通過軟盤、光盤等進入事后數據處理系統網絡,同時控制病毒從工作站向服務器或網絡傳播。在事后數據處理中心配置防病毒管理控制中心,通過安全管理平臺管理控制服務器、控制臺和程序,進行各個防病毒安全域的防病毒系統的管理和配置。
2.2.3信息安全
信息安全包括訪問控制、信息加密、電磁泄漏發射防護、安全審計、數據庫安全等功能。信息安全技術是保證事后數據處理中心的原始測量數據、計算結果數據、圖像數據等各類數據的安全技術,使用成熟的安全信息技術產品完成全面的信息安全保障。1)訪問控制訪問控制主要包括防止非法的人員或計算機進入數據處理中心的系統,允許合法用戶訪問受保護的系統,防止合法的用戶對權限較高的網絡資源進行非授權的訪問。訪問控制根據方式可分為自主訪問控制和強制訪問控制。自主訪問控制是事后數據處理中心各級用戶自身創建的對象進行訪問,并授予指定的訪問權限;強制訪問控制是由系統或指定安全員對特定的數據、對象進行統一的強制性控制,即使是對象的創建者,也無權訪問。2)安全審計事后數據處理中心運用安全審計技術對系統的軟件系統、設備使用、網絡資源、安全事件等進行全面的審計。可建立安全保密檢測控制中心,負責對系統安全的監測、控制、處理和審計,所有的安全保密服務功能、網絡中的所有層次都與審計跟蹤系統有關。3)數據庫安全數據庫系統的安全特性主要是針對數據而言的,包括數據獨立性、數據安全性、數據完整性、并發控制、故障恢復等幾個方面。
3事后處理系統解決方案
事后數據處理系統主要用于完成遙測和外測的事后數據處理任務,提供目標內外彈道參數,并存儲和管理各類測量數據,為各種武器試驗的故障分析和性能評定提供支撐和依據。該系統必須具備的主要功能如下:•海量的數據輸入輸出和存儲管理功能;•快速的各類試驗測量數據處理功能;•可靠的數據質量評估和精度分析功能;•有效的信息安全防護功能;•強大的數據、圖像、曲線顯示分析以及報告自動生成功能。建立事后數據處理系統信息安全運行與管理的基礎平臺,構建整個系統信息安全的安全支撐體系,保證事后數據處理系統各種業務應用的安全運行,通過技術手段實現事后數據處理系統安全可管理、安全可控制的目標,使安全保護策略貫穿到系統的物理環境、網絡環境、系統環境、應用環境、災備環境和管理環境的各個層面。•實現事后數據處理任務信息、型號信息、處理模型、模型參數、原始數據、計算結果、圖像數據的安全保護;•建立起認證快捷安全、權限/密鑰管理完備、密碼服務安全的安全設施;•建立起功能齊全、協調高效、信息共享、監控嚴密、安全穩定的安全技術支撐平臺;•建立事后數據處理系統信息安全體系的技術標準、規范和規章制度。
篇12
2危害計算機安全的手法極其隱秘,不易被發現
作案者通過對數據處理設備中數據信息或者應用程序來實施計算機安全危害行為,他們的目標大多都是計算機中的數據信息。作案者在充分掌握了計算機系統的漏洞之后,利用這些安全漏洞,把自己編制好的病毒程序或者破壞程序放入目標設備中。由于作案者可以通過網絡遠程操控這些計算機病毒和破壞程序,所以這些程序是很難被人察覺并能及時處理的。或者設置這些計算機病毒和破壞程序在特定的時間、特定的環境條件下被激活運行,這樣作案進行和獲得作案結果可以分隔開來,給計算機安全危害行為起到了一些掩護,使得計算機安全危害行為更加隱蔽。
二防范計算機安全危害行為的對策
1保障計算機物理及網絡環境的安全
首先要保證計算機物理實體的安全,確保計算機基礎設備、數據存儲介質存放場所得安全性。其次,確保計算機信息系統的安全運行,預防不法人士運用非法手段入侵計算機信息系統之中,獲取非法操作權利。運用專門的技術檢測計算機安全系統,發現和彌補安全系統中的不足即漏洞之處。同時,可以針對一些計算機安全危害行為的常見手段,經過合理的嚴密的設計,加固計算機安全系統,預防計算機安全危害行為。
2運用和完善加密與認證技術以及加固
防火墻加密技術是最基本的預防信息竊取的安全保護手段,分為對稱加密和非對稱加密兩種。認證技術是一種使用電子手段證明計算機使用者身份的驗證技術,有數字簽名和數字證書兩種形式。運用加密和認證技術可以有效的的防止計算機安全危害行為的犯案者非法獲取計算機的操作權限或者訪問重要的數據信息。防火墻是計算機安全系統中重要的一環,其中配置訪問策略、安全服務配置和安全日志監控等等技術都為計算機安全技術的完善做出了貢獻,但是面對變化多端的計算機安全危害手段,還需要深入發展這些安全防護技術,加固防火墻。
3努力發展計算機安全管理技術
首先要運用計算機安全技術保障計算機設備的基礎安全,以及網絡安全。完善計算機系統的不足,最大程度的預防作案人員利用計算機系統的漏洞進行作案。再者要加大計算機安全技術的研究力度和應用水平,盡力彌補我國目前計算計安全管理技術的不足,縮小其與計算機應用技術水平的差距。再者我們要完善計算機技術人員培養體系,培養相關的技術人員,提高技術人員的技術能力。只有有了高水平、高能力的技術人員才能從根本上去預防計算機安全危害行為。
篇13
大數據時代,數據資源將逐漸成為圖書館最重要的資產之一,決策行為將在數據分析的基礎上做出。作為以數據分析利用和信息服務為己任的圖書館,它的信息安全將面臨著大數據帶來的挑戰。
2.1存儲安全問題
圖書館關注的數據已不僅限于書目信息、讀者信息、電子期刊等業務數據,還延伸到微信、微博、移動網絡等讀者活動中產生的很難估量的社會化數據。如此龐大的數據集對圖書館的存儲、軟硬件設施是個考驗。如何防止這些數據丟失、損毀、被非法盜取及利用是圖書館安全存儲面臨的一項挑戰。另外,大數據環境下的圖書館為了降低成本,通常會將數據存儲在云端,云的開放性,海量用戶共存性等都帶來了潛在的威脅。
2.2網絡安全問題
圖書館是以網絡為基礎來傳遞信息和數字資源,為讀者提供服務。在網絡上,大數據成為更易被攻擊的顯著目標。圖書館的“大數據”不僅包含了海量數據資源,還包含了讀者行為、敏感數據等,這些海量的信息資源將吸引更多的攻擊者,也使大數據成為更有吸引力的目標。另外,黑客利用大數據發起的僵尸網絡攻擊,能夠同時控制百萬臺機器,這是傳統單點攻擊做不到的。利用大數據,黑客能夠發動APT攻擊,APT的攻擊代碼隱藏在大數據中,很難被檢測到。
2.3隱私泄露問題
社交網絡、微博、移動網絡等這些信息服務新形式的快速發展,互聯網每時每刻都在產生海量的數據。讀者的個人數據可能被任意搜索、獲取,這將極大地威脅隱私安全。一方面,圖書館的海量數據信息資源、讀者信息、讀者行為、科研信息等數據高度集中,即使不被盜取濫用,也增加了數據泄露的風險。另一方面,對于某些重要數據、敏感數據以及隱私數據的挖掘分析,其使用權沒有明確界定,這都將會涉及隱私泄露。
2.4知識產權問題
大數據時代,圖書館雖然會把越來越多的數據資源交給“云”提供商代為托管,但是圖書館應完全擁有這些被托管數據資源的知識產權。然而現實中“,云”提供商利用大數據技術對圖書館的數據資源進行挖掘、發現、分析進而整合成新的數據產品加以利用,本該由圖書館所唯一擁有的數據,一旦被“云”提供商開發成產品,知識產權的界定就成為圖書館要面臨的新難題。
3大數據時代圖書館信息安全應對策略
大數據資源將成為圖書館的核心資產。圖書館在利用數據處理、數據挖掘、數據分析等技術獲取大數據蘊藏的高價值,創新服務模式,提高服務質量的同時,應重點考慮如何確保數據資源存儲安全,如何降低網絡安全威脅,如何防止隱私泄露等。大數據時代的圖書館應首先從技術層面保障存儲安全,提高網絡安全防范技術;其次,建立數據監管體系,對讀者和圖書館的重要數據、敏感數據、隱私數據進行監管;最后,加強圖書館信息安全制度和相關政策法規建設。
3.1保障存儲安全
圖書館的數據資源在無限增長,規模日益龐大,保障這些數據資源的安全存儲顯得尤為重要,同時對硬件設施也是巨大考驗。現有的存儲系統無法充分有效地存儲、管理、分析大數據,限制了數據的增長。大數據時代的圖書館為了降低運維成本,緩解硬件設施壓力,應考慮將數據和信息存儲在云端,利用云存儲實現數據的存儲、管理以及分析。云存儲,即基于云計算的存儲系統,其可擴展性、靈活性、運算高效性能夠解決大數據存儲和管理存在的問題。但是,云存儲具有數據規模海量、管理高度集中、系統規模巨大、平臺開放復雜等特點,這些都將對信息安全帶來威脅。因此,保障云安全是大數據時代圖書館信息安全的基礎。圖書館作為云存儲服務用戶,最關心的就是存儲在云端的數據是否完整安全,是否有人非法訪問,以及當合法訪問這些數據時是否能獲得有效且正確的數據。因此,應重點研究運用身份認證、加密存儲、數據災備這3種技術手段來保障云安全。
(1)身份認證。
加強圖書館云存儲上數據的管理,實行身份認證,確保管理員、讀者用戶、云存儲服務提供商等經過認證獲得訪問權限后,才可管理、分析、訪問“云”上的數據資源。云存儲具有跨平臺、異構、分布式等特點,為了提高管理員、用戶的訪問效率,應建立有效的單點登錄統一身份認證系統,支持各圖書館云存儲之間共享認證服務和用戶身份信息,減少重復驗證帶來的運行開銷。
(2)加密存儲。
對文件和數據進行加密保存,確保圖書館云存儲上的數據資源在存儲和傳輸過程中,不被意外或非意外損毀、丟失、處理及非法利用。加密存儲主要包含兩部分工作:一是密鑰的管理和產生,二是應用密鑰對數據進行加密存儲和解密讀取。云存儲系統為每位注冊用戶生成一個解密密鑰,系統將數據加密存儲在數據中心,用戶讀取加密數據后,利用自己的解密密鑰恢復數據,得到原始數據。這一過程對存儲性能和網絡傳輸效率會有一定影響,因此圖書館一方面要加快對加密存儲技術的研究;另一方面可以考慮先只對重要數據、敏感數據、個人信息數據進行加密存儲。
(3)數據災備。
云計算技術對于數據災備具有天生的優勢。將虛擬化技術、分布式技術和云計算技術結合可實現多點備份、數據自動冗余存儲、云節點無單點故障數據級災備。圖書館可以利用云存儲在不同的地方建設兩個及以上的圖書館云存儲數據中心,構成一個跨地域的統一存儲平臺,各業務部門和每個用戶都可以共享共用這些數據。保證只要有一個數據中心完整,所有數據就不會丟失且能夠提供持續服務。
3.2提高網絡安全防護技術
隨著圖書館數據資源總量的增加和新型社交網絡下讀者原創數據爆炸性增長,網絡在線數據呈現急劇增長的趨勢,導致黑客的攻擊欲望比以往更為強烈,其手段和工具也更為復雜、更加專業。大數據對圖書館網絡安全策略提出更高的要求,從技術層面來說,圖書館網絡安全策略包括漏洞掃描、入侵檢測、訪問控制和網絡安全審計4種技術手段,任何一個單一的防范手段都無法保障圖書館網絡的安全性。
(1)漏洞掃描。
漏洞掃描包括檢測路由器、交換機、防火墻、各應用服務器OS、應用系統以及工作人員用機的安全補丁、系統漏洞、病毒感染等問題。漏洞掃描系統應及時發現系統漏洞、木馬、病毒、蠕蟲、后門程序、網絡攻擊、ARP等,并提供修復、查殺、攔截、防御的有效工具,同時能夠對圖書館整個網絡系統進行風險評估,以便采取相應措施及時消除系統中的安全隱患。與以往的漏洞掃描不同的是,大數據時代,對于海量數據的掃描,將會花費很長的時間,因此需要研究解決如何提高網絡海量數據檢測掃描的精確度和速度。
(2)入侵檢測。
隨著圖書館信息資源和數據資源共建共享步伐的加快,圖書館私有云和行業云的建設加快,網絡應用范圍在不斷擴大,來自校園網內部和外部的黑客攻擊、非法訪問等安全問題與日俱增,因此對惡意入侵的檢測與防范刻不容緩。大數據對信息安全是把雙刃劍,應利用大數據的分析技術,通過分析來源信息,能夠自動確定網絡異常。進一步研究更有效的檢測手段,完成APT高端檢測,做到多點、長時、多類型的檢測。
(3)訪問控制。
接入圖書館網絡的用戶,在使用海量數據資源之前,必須進行身份認證和權限劃分,用戶通過認證獲得授權之后,才可以根據自己的權限訪問相應的數據資源和應用系統,獲取相關的數據分析結果等。采用單點、統一認證方式,并結合PMI權限控制技術,加大認證加密技術研究,有效控制不同用戶分不同級別訪問管理數據、訪問數據、獲取數據以及應用大數據分析結果。
(4)網絡安全審計。
相比入侵檢測系統,網絡安全審計沒有實時性要求,因此可以對海量的服務器運行日志、數據庫操作記錄、系統活動等歷史數據進行分析,并且可以利用大數據進行更加精細和復雜的分析,發現更多的黑客攻擊種類,其誤報率也將低于傳統的入侵檢測。
3.3建立數據安全監管機制
大數據關鍵技術的快速發展,為圖書館大數據的存儲與分析奠定了基礎,大數據將成為圖書館的重要資產。但是,海量數據和數據分析結果一旦泄露,相對于以往,對讀者個人甚至整個圖書館界將會造成巨大的經濟損失,還可能導致聲譽受損,嚴重的還要承擔相關法律責任。大數據安全不僅是技術問題,更是管理問題。因此,大數據時代,圖書館除了要從技術上實現存儲安全、云安全、網絡安全等方式來抵御外來的信息安全威脅,更需要加強在數據安全監管、數據資源共享機制、數據隱私保護、敏感數據審計等方面的制度建設,從管理上防止圖書館核心數據、隱私數據和敏感數據的泄露。力圖建立貫穿于數據生命周期的數據監管機制。在技術層面,運用先進的信息技術手段開展數據監管工作,如利用現有隱理、數據預處理等技術保障數據在使用和傳輸中能夠拒絕服務攻擊、數據傳輸機密性及DNS安全等。在管理層面,提高圖書館工作人員的信息安全意識,加強各業務部門內部管理,明確重要數據庫的范圍,創新有效科學的數據監管手段與方法,制定終端設備尤其是移動終端的安全使用規程,制定并完善重要數據、敏感數據、隱私數據的安全操作和管理制度,規范大數據的使用方法和流程。
3.4加強圖書館信息安全制度建設
依據信息安全管理國際標準ISO27000,明確大數據時代圖書館的實際安全需求和安全目標,量化各類數據資源的安全指標,建立全方位、立體、深度的信息安全防御體系。以信息安全防御體系為基礎,建立信息安全責任人負責制的組織機構;制定日常安全運維制度,包括存儲、業務系統以及各應用系統的安全運行監控制度、數據監管制度、移動終端檢測制度、網絡安全制度等;制定應急響應制度,包括數據災備制度、數據恢復制度、故障系統恢復制度等。對于存儲在云端的數據,建立數據共享制度和機密保護制度。根據保密級別、共享級別、開放級別等明確訪問權限等級劃分,制定數據的訪問、檢索、下載、分析等方面的規定;建立身份認證和權限控制機制,控制非法授權訪問數據;制定數據云存儲的安全規定,加密關鍵數據;制定數據所有權條款,防止“云”提供商第三方泄密。建立相應的法律政策保護數據利用時涉及的知識產權,保障數據資源的合理合法使用,維護圖書館利益,保護知識產權。
