時間:2022-10-11 15:10:37
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇數據安全論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統,它既是計算機網絡安全概念的一部分,但又和計算機網絡安全緊密相連,從一定意義上講,計算機網絡安全其實質即是電子數據安全。國際標準化組織(ISO)對計算機網絡安全的定義為:“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露、更改和破壞。”歐洲幾個國家共同提出的“信息技術安全評級準則”,從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容,保密性是指計算機系統能防止非法泄露電子數據;完整性是指計算機系統能防止非法修改和刪除電子數據;可用性是指計算機系統能防止非法獨占電子數據資源,當用戶需要使用計算機資源時能有資源可用。
二、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患;相反,在今天出現問題的地方,在將來就可能已經解決。例如,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施,尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數據安全的復雜性。
(四)電子數據安全的安全悖論
目前,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現。
三、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據記錄進行安全違反分析;第三步,采取處理措施。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間,與計算機信息系統內敏感的數據、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發現、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證。
1.了解系統技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行,控制能在該系統中起作用。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數據上,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據,監視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數據庫管理系統的查詢設施抽取用戶數據。
二是從數據中尋找什么?一旦抽取數據后,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息);檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用;判斷程序和數據是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執行請求,然而,數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生,滿足逐出系統閥值,則將引起該事件的用戶逐出系統并記錄其內容。
常用的報警類型有:用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。
關鍵詞:無線網絡;數據安全;思考
1無線網絡安全問題的表現
1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為“wardriving”;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。
1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
1.6對無線通信的劫持和監視正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。
2保障無線網絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數,仍可接入目標網絡,因此,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡,一般SOHO,小型企業工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態非交換式密鑰,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于SOHO、中小型企業的安全加密。
2.4AP隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協議802.1x協議由IEEE定義,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議,而且TKIP加密仍不能滿足高端企業和政府的加密需求,該方法多用于企業無線網絡部署。:
2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線
網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。
2.802.11iIEEE正在開發的新一代的無線規格,致力于徹底解決無線網絡的安全問題,草案中包含加密技術AES(AdvancedEncryptionStandard)與TKIP,以及認證協議IEEE802.1x。盡管理論上講此協議可以徹底解決無線網絡安全問題,適用于所有企業網絡的無線部署,但是目前為止尚未有支持此協議的產品問世。
3結語
論文摘要:網絡數據庫安全性問題是一直是圍繞著數據庫管理的重要問題,數據庫數據的丟失以及數據庫被非法用戶的侵入使得網絡數據庫安全性的研究尤為重要。本文以比較常用的Access、數據庫為例圍繞數據庫的安全性技術作了分析。
隨著網絡技術在社會各個行業尤其是電子商務領域的廣泛應用,其安全性和可管理性具有十分重要的意義。數據庫是網絡信息系統的重要組成部分,涉及來自網絡環境下的多方面安全威脅,譬如面對數據庫中信息的竊取、篡改、破壞、計算機病毒等的滲透和攻擊行為。
1網絡數據庫安全性策略分析
1.1系統安全性策略
1.1.1管理數據庫用戶
按照數據庫系統的大小和管理數據庫用戶所需的工作量,數據庫安全性管理者可能只是擁有create,alter、或delete權限的數據庫的一個特殊用戶,或者是擁有這此權限的一組用戶。應注意的是,只有那些值得信任的用戶才應該具有管理數據庫用戶的權限。
1.1.2用戶身份確認
數據庫用戶可以通過操作系統、網絡服務以及數據庫系統進行身份確認,通過主機操作系統進行用戶身份認證。
1.1.3操作系統安全性
數據庫管理員必須有create和delete文件的操作系統權限;一般數據庫用戶不應該有create或delete與數據庫相關文件的操作系統權限;如果操作系統能為數據庫用戶分配角色,那么必須具有修改操作系統賬戶安全性區域的權限。
1.2用戶安全性策略
一般用戶通過密碼和權限管理實現系統的安全性保障;必須針對終端用戶制定安全性策略。例如,對于一個有很多用戶的人規模數據庫,管理員可以決定用戶組分類,您可以使用“角色”對終端用戶進行權限管理。
1.3管理員安全性策略
保護作為服務器和用戶的連接;保護管理者與數據庫的連接;使用角色對管理者權限進行管理。
1.4應用程序開發者的安全性策略
明確應用程序開發者和他們的權限;指定應用程序開發者的環境;授權free和controlled應用程序開發。
2網絡數據庫安全技術分析
本文以比較常用的Access、數據庫為例進行分析,其他數據庫可以作為參考。
2.1Access數據庫地址、路徑過于簡單
Access數據庫被下載,主要是存放數據庫的路徑和數據庫名稱,容易被獲知,例如:用戶建立的xuesheng.mdb(學生信息庫)放在虛擬目錄/student下,如果沒有事先對xuesheng.mdb進行安全加密處理,那么在瀏覽器的地址欄鍵入“http//用戶網站主IP地址/student/xuesheng.mdb”,xuesheng.mdb整個文件就會被輕易下載,文件中所有的重要數據信息就會被別人輕易竊取。操作流程如圖1所示。即使對Access.mdb的文件夾作了變動,文件路徑也會暴露無疑。
獲知源代碼獲得路徑竊取文件名下載文件
圖1網絡環境下數據庫下載流程
2.2使用下載ASP文件所導致的數據安全問題
各單位的網絡服務器一般都存有大量的應用系統賬號及密碼,如電子郵件、聊天室、BBS、留言簿、新聞系統等。由于網絡管理員沒有足夠的時間與精力開發這些應用程序,所以多是采用直接從網上下載的方法來滿足急用。這此程序的源代碼是公開的,所使用的數據庫名,存放路徑沒有任何秘密,如果安全措施不力,會給AccessDB的安全帶來非常大的危險。如從網上下載了一個ASP應用程序,且Access.mdb的連接文件是conn.inc,在ASP程序中,Access.mdb連接的代碼是:2.3服務器操作系統的安全隱患
現在使用WindowsNT/2000Sever作為服務器操作系統的用戶非常主流,由于Win2000Sever目錄權限的默認設置安全性較差,很多網管只知適讓Web服務器運行起來,很少對NTFS進行權限設置。有的服務器甚至未禁止對文件目錄的訪問控制。因此,必然會帶來很大的安全漏洞。
3安全對策及其實現
關鍵詞:網絡數據庫;安全分析;WEB訪問;授權管理.
網絡數據庫是網絡環境下辦公自動化(OA)系統的核心部分。設計一個網絡數據庫所采用的技術實現方法,其先進性和科學性不僅對軟件的開發效率和軟件質量有著很大的影響,而且對整個軟件的使用和維護有著重大的影響。同時,系統的安全性對于系統的實現同樣非常關鍵。系統不安全的因素包括非授權用戶訪問計算機網絡,授權用戶越權訪問有關數據庫,以及敏感信息在基于TCP/IP網絡上的傳輸。結合開發實踐,本文主要介紹網絡數據庫的實現技術和基于SQLSERVER的安全策略。
1系統實現技術
(一)數據庫訪問技術
一般的數據庫開發工具如Delphi5都提供了一些數據庫對象組件,它們封裝了BDE的功能。這樣,開發數據庫應用程序就不必知道BDE的功能。其次,還提供了數據感知組件可以與數據訪問組件彼此通信,這樣,建立數據庫應用程序的界面就變得簡單。SQLLinks為連接Oracle、Sybase、Informix、MicrosoftSQLServer、DB2和InterBase提供了專門的驅動程序,還可以通過ODBC連接其他數據庫[1]。
(二)SQL編程技術
SQL是一組符合工業標準的數據庫操作命令集,它可以在Delphi這樣的編程環境中使用。SQL不是一門語言,無法得到一個專門的SQL軟件,它只是服務器數據庫的一部分。
作為一種查詢語言,是網絡環境下客戶/服務器數據庫應用程序開發的標準[2]。Delphi提供了支持SQL的有關組件。SQL具有一些查看數據的優勢,而且只能使用SQL命令來獲得。通過SQL,也可以靈活地查詢所需要的數據,這種靈活性是面向記錄的數據庫操作所不具備的。
SQL為控制服務器的數據提供了下列功能:
數據定義:使用SQL可以定義數據庫表的結構,包括表中字段的數據類型以及不同表的字段之間的參照關系。
數據檢索:客戶程序可以通過SQL向服務器請求它所需要的數據。SQL還允許客戶定義要檢索什么數據、如何檢索,例如排序、選擇字段等。
數據完整性:SQL可以實現數據完整性約束,這些完整性約束可以定義為數據庫表的一部分,也可以使這些規則以存儲過程或其他數據庫對象的形式從表中獨立出來。
數據處理:SQL允許客戶程序更新、添加或刪除服務器上的數據。這些操作可以由客戶提交的SQL語句來完成,也可以由服務器上的存儲過程來完成。
安全性:通過對不同的數據庫對象定義訪問權限、視圖以及受限制的訪問,SQL可以保護數據的安全。
并發訪問:SQL支持對數據的并發訪問,多個用戶可以同時使用系統而不互相干擾。
簡而言之,SQL是開發和操作客戶/服務器數據的重要工具。
(三)多層分布式應用技術。
MIDAS(MultitudeDistributedApplicationServicesSuite)即多層分布式應用程序服務器,它提供了一整套中間層應用服務,擴展了操作系統標準,這些服務用于解決各種具體的分布式計算問題,從用于網絡定位的目錄服務到數據庫集成和業務規則處理。
在多層的數據庫應用程序中,客戶程序、應用程序服務器和遠程數據庫服務器分布在不同的機器上[3,4]。其中,客戶程序主要是提供用戶界面,他能夠向應用程序服務器請求數據和申請更新數據。再由應用程序服務器向遠程數據庫服務器請求數據和申請更新數據,多層數據庫應用程序的體系結構如圖1所示。
大數據(BigData)本身是一個比較抽象的概念,至今尚未有一個公認的定義。Wiki定義“大數據”是利用常用軟件工具捕獲、管理和處理數據所耗的時間超過可容忍時間的數據集[1]。Gartner這樣定義“:大數據”是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力的海量、高增長率和多樣化的信息資產[2]。也有研究者形象化地描述“大數據”是未來的新石油。不同的定義基本都是根據大數據的特征歸納闡述給出。比較具有代表性的是4V定義,認為大數據具有4個特點:規模性(volume)、多樣性(variety)、高速性(velocity)和價值性(value)。即數據規模巨大,從TB級躍升到PB級;數據類型多樣,包含結構化、半結構化和非結構化的多種數據類型;高效的數據處理能力及蘊含著極高的價值。
2大數據時代圖書館信息安全面臨的威脅
大數據時代,數據資源將逐漸成為圖書館最重要的資產之一,決策行為將在數據分析的基礎上做出。作為以數據分析利用和信息服務為己任的圖書館,它的信息安全將面臨著大數據帶來的挑戰。
2.1存儲安全問題
圖書館關注的數據已不僅限于書目信息、讀者信息、電子期刊等業務數據,還延伸到微信、微博、移動網絡等讀者活動中產生的很難估量的社會化數據。如此龐大的數據集對圖書館的存儲、軟硬件設施是個考驗。如何防止這些數據丟失、損毀、被非法盜取及利用是圖書館安全存儲面臨的一項挑戰。另外,大數據環境下的圖書館為了降低成本,通常會將數據存儲在云端,云的開放性,海量用戶共存性等都帶來了潛在的威脅。
2.2網絡安全問題
圖書館是以網絡為基礎來傳遞信息和數字資源,為讀者提供服務。在網絡上,大數據成為更易被攻擊的顯著目標。圖書館的“大數據”不僅包含了海量數據資源,還包含了讀者行為、敏感數據等,這些海量的信息資源將吸引更多的攻擊者,也使大數據成為更有吸引力的目標。另外,黑客利用大數據發起的僵尸網絡攻擊,能夠同時控制百萬臺機器,這是傳統單點攻擊做不到的。利用大數據,黑客能夠發動APT攻擊,APT的攻擊代碼隱藏在大數據中,很難被檢測到。
2.3隱私泄露問題
社交網絡、微博、移動網絡等這些信息服務新形式的快速發展,互聯網每時每刻都在產生海量的數據。讀者的個人數據可能被任意搜索、獲取,這將極大地威脅隱私安全。一方面,圖書館的海量數據信息資源、讀者信息、讀者行為、科研信息等數據高度集中,即使不被盜取濫用,也增加了數據泄露的風險。另一方面,對于某些重要數據、敏感數據以及隱私數據的挖掘分析,其使用權沒有明確界定,這都將會涉及隱私泄露。
2.4知識產權問題
大數據時代,圖書館雖然會把越來越多的數據資源交給“云”提供商代為托管,但是圖書館應完全擁有這些被托管數據資源的知識產權。然而現實中“,云”提供商利用大數據技術對圖書館的數據資源進行挖掘、發現、分析進而整合成新的數據產品加以利用,本該由圖書館所唯一擁有的數據,一旦被“云”提供商開發成產品,知識產權的界定就成為圖書館要面臨的新難題。
3大數據時代圖書館信息安全應對策略
大數據資源將成為圖書館的核心資產。圖書館在利用數據處理、數據挖掘、數據分析等技術獲取大數據蘊藏的高價值,創新服務模式,提高服務質量的同時,應重點考慮如何確保數據資源存儲安全,如何降低網絡安全威脅,如何防止隱私泄露等。大數據時代的圖書館應首先從技術層面保障存儲安全,提高網絡安全防范技術;其次,建立數據監管體系,對讀者和圖書館的重要數據、敏感數據、隱私數據進行監管;最后,加強圖書館信息安全制度和相關政策法規建設。
3.1保障存儲安全
圖書館的數據資源在無限增長,規模日益龐大,保障這些數據資源的安全存儲顯得尤為重要,同時對硬件設施也是巨大考驗。現有的存儲系統無法充分有效地存儲、管理、分析大數據,限制了數據的增長。大數據時代的圖書館為了降低運維成本,緩解硬件設施壓力,應考慮將數據和信息存儲在云端,利用云存儲實現數據的存儲、管理以及分析。云存儲,即基于云計算的存儲系統,其可擴展性、靈活性、運算高效性能夠解決大數據存儲和管理存在的問題。但是,云存儲具有數據規模海量、管理高度集中、系統規模巨大、平臺開放復雜等特點,這些都將對信息安全帶來威脅。因此,保障云安全是大數據時代圖書館信息安全的基礎。圖書館作為云存儲服務用戶,最關心的就是存儲在云端的數據是否完整安全,是否有人非法訪問,以及當合法訪問這些數據時是否能獲得有效且正確的數據。因此,應重點研究運用身份認證、加密存儲、數據災備這3種技術手段來保障云安全。
(1)身份認證。
加強圖書館云存儲上數據的管理,實行身份認證,確保管理員、讀者用戶、云存儲服務提供商等經過認證獲得訪問權限后,才可管理、分析、訪問“云”上的數據資源。云存儲具有跨平臺、異構、分布式等特點,為了提高管理員、用戶的訪問效率,應建立有效的單點登錄統一身份認證系統,支持各圖書館云存儲之間共享認證服務和用戶身份信息,減少重復驗證帶來的運行開銷。
(2)加密存儲。
對文件和數據進行加密保存,確保圖書館云存儲上的數據資源在存儲和傳輸過程中,不被意外或非意外損毀、丟失、處理及非法利用。加密存儲主要包含兩部分工作:一是密鑰的管理和產生,二是應用密鑰對數據進行加密存儲和解密讀取。云存儲系統為每位注冊用戶生成一個解密密鑰,系統將數據加密存儲在數據中心,用戶讀取加密數據后,利用自己的解密密鑰恢復數據,得到原始數據。這一過程對存儲性能和網絡傳輸效率會有一定影響,因此圖書館一方面要加快對加密存儲技術的研究;另一方面可以考慮先只對重要數據、敏感數據、個人信息數據進行加密存儲。
(3)數據災備。
云計算技術對于數據災備具有天生的優勢。將虛擬化技術、分布式技術和云計算技術結合可實現多點備份、數據自動冗余存儲、云節點無單點故障數據級災備。圖書館可以利用云存儲在不同的地方建設兩個及以上的圖書館云存儲數據中心,構成一個跨地域的統一存儲平臺,各業務部門和每個用戶都可以共享共用這些數據。保證只要有一個數據中心完整,所有數據就不會丟失且能夠提供持續服務。
3.2提高網絡安全防護技術
隨著圖書館數據資源總量的增加和新型社交網絡下讀者原創數據爆炸性增長,網絡在線數據呈現急劇增長的趨勢,導致黑客的攻擊欲望比以往更為強烈,其手段和工具也更為復雜、更加專業。大數據對圖書館網絡安全策略提出更高的要求,從技術層面來說,圖書館網絡安全策略包括漏洞掃描、入侵檢測、訪問控制和網絡安全審計4種技術手段,任何一個單一的防范手段都無法保障圖書館網絡的安全性。
(1)漏洞掃描。
漏洞掃描包括檢測路由器、交換機、防火墻、各應用服務器OS、應用系統以及工作人員用機的安全補丁、系統漏洞、病毒感染等問題。漏洞掃描系統應及時發現系統漏洞、木馬、病毒、蠕蟲、后門程序、網絡攻擊、ARP等,并提供修復、查殺、攔截、防御的有效工具,同時能夠對圖書館整個網絡系統進行風險評估,以便采取相應措施及時消除系統中的安全隱患。與以往的漏洞掃描不同的是,大數據時代,對于海量數據的掃描,將會花費很長的時間,因此需要研究解決如何提高網絡海量數據檢測掃描的精確度和速度。
(2)入侵檢測。
隨著圖書館信息資源和數據資源共建共享步伐的加快,圖書館私有云和行業云的建設加快,網絡應用范圍在不斷擴大,來自校園網內部和外部的黑客攻擊、非法訪問等安全問題與日俱增,因此對惡意入侵的檢測與防范刻不容緩。大數據對信息安全是把雙刃劍,應利用大數據的分析技術,通過分析來源信息,能夠自動確定網絡異常。進一步研究更有效的檢測手段,完成APT高端檢測,做到多點、長時、多類型的檢測。
(3)訪問控制。
接入圖書館網絡的用戶,在使用海量數據資源之前,必須進行身份認證和權限劃分,用戶通過認證獲得授權之后,才可以根據自己的權限訪問相應的數據資源和應用系統,獲取相關的數據分析結果等。采用單點、統一認證方式,并結合PMI權限控制技術,加大認證加密技術研究,有效控制不同用戶分不同級別訪問管理數據、訪問數據、獲取數據以及應用大數據分析結果。
(4)網絡安全審計。
相比入侵檢測系統,網絡安全審計沒有實時性要求,因此可以對海量的服務器運行日志、數據庫操作記錄、系統活動等歷史數據進行分析,并且可以利用大數據進行更加精細和復雜的分析,發現更多的黑客攻擊種類,其誤報率也將低于傳統的入侵檢測。
3.3建立數據安全監管機制
大數據關鍵技術的快速發展,為圖書館大數據的存儲與分析奠定了基礎,大數據將成為圖書館的重要資產。但是,海量數據和數據分析結果一旦泄露,相對于以往,對讀者個人甚至整個圖書館界將會造成巨大的經濟損失,還可能導致聲譽受損,嚴重的還要承擔相關法律責任。大數據安全不僅是技術問題,更是管理問題。因此,大數據時代,圖書館除了要從技術上實現存儲安全、云安全、網絡安全等方式來抵御外來的信息安全威脅,更需要加強在數據安全監管、數據資源共享機制、數據隱私保護、敏感數據審計等方面的制度建設,從管理上防止圖書館核心數據、隱私數據和敏感數據的泄露。力圖建立貫穿于數據生命周期的數據監管機制。在技術層面,運用先進的信息技術手段開展數據監管工作,如利用現有隱理、數據預處理等技術保障數據在使用和傳輸中能夠拒絕服務攻擊、數據傳輸機密性及DNS安全等。在管理層面,提高圖書館工作人員的信息安全意識,加強各業務部門內部管理,明確重要數據庫的范圍,創新有效科學的數據監管手段與方法,制定終端設備尤其是移動終端的安全使用規程,制定并完善重要數據、敏感數據、隱私數據的安全操作和管理制度,規范大數據的使用方法和流程。
3.4加強圖書館信息安全制度建設
依據信息安全管理國際標準ISO27000,明確大數據時代圖書館的實際安全需求和安全目標,量化各類數據資源的安全指標,建立全方位、立體、深度的信息安全防御體系。以信息安全防御體系為基礎,建立信息安全責任人負責制的組織機構;制定日常安全運維制度,包括存儲、業務系統以及各應用系統的安全運行監控制度、數據監管制度、移動終端檢測制度、網絡安全制度等;制定應急響應制度,包括數據災備制度、數據恢復制度、故障系統恢復制度等。對于存儲在云端的數據,建立數據共享制度和機密保護制度。根據保密級別、共享級別、開放級別等明確訪問權限等級劃分,制定數據的訪問、檢索、下載、分析等方面的規定;建立身份認證和權限控制機制,控制非法授權訪問數據;制定數據云存儲的安全規定,加密關鍵數據;制定數據所有權條款,防止“云”提供商第三方泄密。建立相應的法律政策保護數據利用時涉及的知識產權,保障數據資源的合理合法使用,維護圖書館利益,保護知識產權。
4結語
關鍵詞:數據庫;安全;維護
1前言
數據庫存放著大量的應用系統信息,其安全性、數據的完整性是整個信息統統得以穩定運行的關鍵。應用系統用戶通過用戶名和密碼訪問數據庫,數據庫通過接收請求返回信息給使用者。一旦數據庫存在安全漏洞,且發生了安全事故,影響將無法預計。因此應高度重視數據庫的安全與維護工作,只有數據庫穩定運行,整個信息系統才能變得穩定、可靠。
2安全現狀
目前幾乎所有的數據庫都需要依托網絡進行訪問,因此又被稱為網絡數據庫,而網絡中存在大量各種類型的安全隱患,如網絡漏洞,通信中斷,*客攻擊等,同時數據庫本身運行過程中也會出現如數據丟失,數據損壞等種種問題,因此數據庫在運行過程中時刻面臨著各類風險。根據上面的描述,可以將數據庫安全現狀劃分為以下兩類:
(1)外部風險,即網絡中的各類安全隱患。*客的攻擊,網絡的中斷往往會導致數據庫信息被篡改,或者數據不完整,從而無法保證數據的可靠性和真實性;
(2)內部風險,即數據庫故障或操作系統故障。此類風險會導致數據庫系統不可用,同時數據的完整性會遭到破壞,在沒用數據備份的情況下,經常會出現數據不可用的情況。目前數據庫的使用已經非常普遍,各個行業對數據庫的依賴程度也日益增加,對于諸如金融、保險等行業,對數據庫的安全已相當重視,但是在其他行業中,對數據庫安全防范的重視程度仍然不夠,常常導致了一些不可挽回的損失。針對數據庫安全的現狀,需要我們在信息系統管理中,采取相應措施,建立相對安全的運行環境,保障數據庫的穩定運行,從而使信息系統更好地發揮其應有的作用。
3安全技術
目前主要的數據庫安全技術主要有以下幾類:
1)防火墻防火墻的是防止外部網絡攻擊非常有效的手段,大多數*客對數據庫的攻擊輕易地被防火墻所阻隔,從而實現了重要數據與非法訪問之間的隔離。防火墻技術被廣泛應用于網絡邊界安全,它采用的是訪問控制的安全技術,用于保護內網信息安全。防火墻部署在數據庫與外網之間,可以掃描經過它的網絡通信,從而實現對某些攻擊的過濾,防止惡意操作在數據庫上被執行,另外防火墻還可以關閉不必要的端口,減少不必要的訪問,防止了木馬程序的執行。防火墻還可以禁止來自其他站點的訪問,從而杜絕了不安全的通信。目前的防火墻類型主要分為硬件防火墻和軟件防火墻。信息系統應根據數據庫系統的特點,選擇合適的防火墻類型。
2)數據庫審計數據庫審計是指記錄和監控用戶對數據庫系統的操作,包括訪問、增加、刪除、修改等動作,并將這些操作記錄在數據庫升級系統的日志或自身數據庫中,通過訪問數據庫審計記錄,可以找到數據庫發生狀態變化的原因,并可定位到具體用戶、具體操作,從而實現責任追查。另外,數據庫管理者通過檢視審計日志,可以發現數據庫中存在的漏洞,及時補漏。因此,部署一套有效的數據庫安全審計系統,加強對數據庫操作過程的監管力度,挺高數據庫的安全性,降低可能發生的風險,是非常有必要的。
3)數據備份從計算機誕生起,人們就意識到了備份的重要性,計算機有著人腦所不能及的處理能力,但有時候它有非常脆弱,任一部件的損壞,就容易導致計算機的宕機,而伴隨著可修復的硬件故障的,確實無法修復的數據丟失,這時就需要用備份數據來恢復系統。數據備份,就是把數據復制到其他存儲設備上的過程。在信息系統的不斷更新的過程中,也產生了多種備份類型,有磁帶、光盤、磁盤等等。作為數據庫管理者,同時還需要制定切實有效的備份策略,定期對數據進行備份。
在備份系統的設計中,以下三個因素應當被重點考慮:
1)日常使用中,應盡可能保證數據庫的可用性;
2)如果數據庫失效,盡可能縮短數據恢復時間;
3)如果數據庫失效,盡可能減少數據的丟失。如果能很好地做到以上三點,將大大提高數據的可用性和完整性。
4)用戶認證用戶認證是訪問數據庫大門的鑰匙,要想與數據庫進行通行獲取數據,首先要得到數據庫用戶認證系統的認可,這是一種簡單有效的數據庫安全管理技術,任一位數據庫使用者必須使用特定的用戶名和密碼,并通過數據庫認可的驗證方式的驗證,才能使用數據庫。而用戶對數據庫的操作權限,訪問范圍需要在認證系統的控制下安全進行。用戶認證系統不僅定義了用戶的讀寫權限,同時也定義了用戶可訪問的數據范圍,通過全面的安全管理,使得多用戶模式下的數據庫使用變的更加安全、可靠。
5)數據庫加密數據庫如不僅過加密,*客可直接讀取被竊取的文件,同時管理人員也可以訪問庫中的任意數據,而無法受限于用戶權限的控制,從而形成極大的安全隱患。因此,數據庫的數據在傳輸和存儲過程中需要進行加密處理,加密后的數據即使被且須竊取,*客也無法獲得有用的信息。由于數據庫大都是結構化設計,因此它的加密方式必定與傳統的文件加密不一樣。數據庫的傳輸過程中需要不斷的加密,解密,而這兩個操作組成了加密系統。從加密的層次上看,可分別在操作系統層、數據庫內層和外層上實現。另外,加密算法的選擇主要包括:對稱加密、非對稱加密和混合加密。通過對數據庫的加密,極大地提升了數據的安全性、可靠性,奠定了數據庫系統的安全基礎。
4結束語
數據庫在信息系統中處于核心地位,隨著信息化技術的不斷發展,針對數據庫的攻擊手段也在不斷地進行著更新,層出不窮的數據庫安全事件告訴我們,針對數據庫安全的研究仍然任重而道遠,這不僅需要管理者采用各種新技術來保護數據庫的安全運行,也需要管理者在日常管理和維護中,制定完善的數據庫使用規范,提高自身的安全意識,才能最大程度保證數據庫系統持續、穩定地運行。
參考文件:
除了上述提到的制度與物理環境的安全,在電力調度數據中最關鍵的是網絡運行的安全,調動數據網是否能夠安全運行主要取決于網絡設備、網絡結構及對用的安全審計等多個方面的防護措施安全程度。
(一)網絡設備安全分析
在網絡設備安全中主要涉及到四個方面。首先是網絡賬號安全。電力調度數據網安全技術設置一定的賬號方便賬號管理工作,對用戶進行身份驗證,保證電網信息的安全不泄露。其次是配置安全,主要是基于電力數據網內的關鍵數據信息進行定期備份處理,每一次關鍵信息的備份處理都在設備上留有痕跡,保證檔案信息有效。再次是審計安全,我國明確要求整個電力調度數據網具備審計功能,做好審計安全可以保證系統設備運行狀況、網絡流量計用戶日常信息更新,為日后查詢提供方便。最后是維護安全,要求定期安排技術人員進行設備巡視,對于設備中存在的配置漏洞與書寫錯誤進行檢查修復,防止系統漏洞造成的系統崩潰及安全問題。
(二)網絡結構安全分析
在計算機網絡結構技術分析中我們為了保證電力調度數據網的結構安全可以從以下四個方面入手做好技術升級與完善。首先使用冗余技術設計完成網絡拓撲結構,為電力調度提供主要的網絡設備及通信線路硬件冗余。其次依據業務的重要性制定帶寬分配優先級別,從而保證網絡高峰時期的重要業務的寬帶運行。再次積極做好業務系統的單獨劃分安全區域,保證每個安全區域擁有唯一的網絡出口。最后定期進行維護管理,繪制網絡拓撲圖、填寫登記信息,并對這些信息進行定期的更新處理。在網絡安全結構的設計分析上采用安全為區分與網絡專用的原則,對本區的調度數據網進行合理的前期規劃,將系統進行實時控制區、非控制生產區及生產管理區的嚴格區分。堅持“橫向隔離,縱向認證”的原則,在網絡中部署好必要的安全防護設備。優先做好VLAN及VPN的有效隔離。最后不斷優化網絡服務體系。網絡服務是數據運輸及運行的保證,積極做好網絡服務可以避免數據信息的破損入侵,在必要情況下關閉電力設備中存在的不安全或者不必要的非法控制入侵行為,切實提高電力調度數據網的安全性能。
二、系統安全管理技術分析
電力調度數據網本身具有網絡系統的復雜性,只有積極做好網絡系統的安全管理才能實現電力的合理調度。系統管理工作涉及項目繁多,涉及主要的設備采購及軟件開發、工程建設、系統備案等多個方面。在進行系統安全管理時要積極做好核心設備的采購、自行或外包軟件開發過程中的安全管理、設置必要的訪問限制、安全日志及安全口令、漏洞掃描,為系統及軟件的升級與維護保駕護航。
三、應用接入安全技術分析
在電力調度的數據網安全技術中,應用接入安全是不可忽視的重要組成部分。目前由于電力二次系統設備廠家繁多,目前國家沒有明確統一的指導性標準可供遵循,導致生產廠家的應用接入標準不一,無形之中為安全管理工作帶來諸多不便。因此在優化電力調度數據網安全系統時,可以依據調度數據網本身的運行需求,從二次系統業務的規范接入、通信信息的完整性及剩余信息的保護等方面著手,制定出切實可行的安全防護機制,從根本上保障電力調度數據網絡的安全穩定。
四、結束語
1.1安全技術資金不足
煤炭的持續開采會受到地質條件的直接影響,過去國家投入眾多的設施,使用至今均已出現老化,并且維修量非常大。隨著礦井的不斷延深,礦壓極度強化,巷道的維修任務更是不斷的增加,礦井的供電以及通風、提升與排水等都不能適應生產的需要。
1.2安全管理模式傳統
與西方發達產煤國家相比較,我國的煤礦使用技術研究起步很晚。并且人力、財力非常缺乏,某些重大的安全技術問題,比如沖擊地壓以及煤和瓦斯的突出、地熱以及突水等災害不能進行有效的預測和控制。且受到以往傳統運營思想的直接作用與影響以及各個企業的經濟實力的約束,我國的煤礦生產裝備和安全監控設施相對落后。井巷的斷面設計以及支護強度的確定、支護材料的型號選擇較小。生產設施功率以及礦井的供風量等富余參數非常低,極易出現事故。絕大多數的煤炭企業還是利用以往傳統的安全管理模式,各種報表計算仍是靠人工勞動并且精確度很低。信息傳送的時間較長,且速度較慢,管理者的工作重復性很大,資料查詢十分困難,并且工作效率很低。安全檢查以及等級鑒定等總是憑借主觀意念以及相關的經驗。
1.3安全信息管理體制不健全
安全信息可以說是安全管理工作的重要依據,它主要包括事故和職業傷害的有效記錄與分析統計,職業的安全衛生設施的相關研究與設計、生產以及檢驗技術,法律法規以及相應技術標準和其變化的動態,教育培訓以及宣傳和社會活動,國內的新型技術動態以及隱患評估與技術經濟類分析和咨詢、決策的體系。信息體制的健全是安全體制工程以及計算機技術的有效結合,可促使安全工作轉型為定性和定量的超前預測,不過大多數礦井還是處于起步與摸索階段,并未呈現出健全的體制,真正的使用還有待進一步的發展。
2空間數據挖掘技術
數據挖掘研究行業的持續進展,開始由起初的關系數據以及事務數據挖掘,發展至對空間數據庫的不斷挖掘。空間的信息還在逐漸地呈現各類信息體制的主體與基礎。空間數據是一項非常關鍵的數據,具有比普通關系數據庫和事務數據庫更豐富、復雜的相關語義信息,且蘊含了更豐富的知識。所以,雖說數據的挖掘最初是出現在關系數據挖掘以及事務的數據庫,不過因為空間數據庫中的發掘知識,這就很快引起了各個研究者的關注與重視。很多的數據挖掘類研究工作都是從關系型以及事務型數據庫拓展至空間數據庫的。在地學領域中,隨著衛星以及遙感技術的不斷使用,逐漸豐富的空間以及非空間的數據采集與儲存在較大空間數據庫中,大量的地理數據已經算是超過了人們的處理能力,并且傳統的地學分析很難在這些數據中萃取并發現地學知識,這也就給現階段的GIS帶來了很大的挑戰,急切的需要強化GIS相應的分析功能,提升GIS處理地學實際狀況的能力。數據挖掘以及知識發現的產生能滿足地球空間的數據處理要求,并推進了傳統地學空間分析的不斷發展。依據地學空間數據的特性,把數據挖掘的方式融進GIS技術中,呈現地學空間數據挖掘和知識發展的新地學數據分析理念與依據。
3煤礦安全管理水平的提升
3.1建設評價指標體制庫
評價指標體制庫是礦井的自然災害危害存在的具體參數式的知識庫。模型的組建務必要根據礦井的瓦斯以及水害等自然災害危害呈現的不同指標體制和其臨界值構建一定的指標體制庫,危害的警報識別參數關鍵是采掘工程的平面圖動態開采面以及相應的巷道。各種瓦斯的危害以及水害隱患和通風隱患均呈現一定的評價指標庫。
3.2構建專業的分析模型庫
依據瓦斯以及水害等諸多不同的礦井自然災害類別構建相關的專業性模型庫,比如瓦斯的災害預測,應根據礦井的地質條件以及煤層所賦存的狀況構建瓦斯的地質區分圖,再根據采掘工程的平面圖動態呈現的采掘信息以及相應的瓦斯分區構建關聯并實行相應的比較分析,確定可以采集區域未來的可采區域是不是高瓦斯區域。
3.3構建以GIS空間分析為基礎的方法庫
GIS空間分析可以說是礦井自然災害的隱患高度識別的關鍵性方式,并且還是安全故障警報的主要路徑。比如斷層的防水層的有效劃分,關鍵是根據斷層的保安煤柱來實行可靠的確定。斷層的保安煤柱確定可以利用GIS緩沖區域的分析得到。空間的統計分析以及多源信息有效擬合和數據挖掘亦是瓦斯和水害等安全隱患監測經常使用GIS空間分析方式,如物探水文的異常區域確定以及瓦斯突出相應的危險區域確定。
3.4決策支持體制與煤礦管理水平
評價指標體制庫以及模型庫、方式庫與圖形庫均是礦井的自然災害隱患識別和決策的最基礎。利用礦井的自然災害隱患識別決策來支持體系具體的功能呈現礦井的自然災害隱患識別以及決策分析,在根源處提高煤礦的安全管理水平。分類構建礦井的自然災害實時監控體系,進行動態跟蹤相應的災害實時數據,并事實呈現礦井的自然災害數據或是信息和自然災害的指標體系庫以及模型庫與知識庫、空間數據庫的合理化比較,并運用圖形庫的數據再通過GIS空間分析方式來確定安全隱患的,礦井自然災害的隱患實時警報并進行決策分析,以提交空間數據的自然災害隱患識別以及分析處理的決策性報告。
4結語
1.1計算機病毒在計算機網絡安全問題中,計算機病毒給用戶帶來的威脅最為嚴重,并會造成巨大的損失。從其本質上看,計算機病毒是一段特定的程序,這段程序在侵入計算機系統后將會對計算機的正常使用功能造成干擾,并對數據存儲造成破壞,且擁有自我復制的能力。最典型的有蠕蟲病毒,它以計算機為載體,利用操作系統和應用程序的安全漏洞,主動攻擊計算機系統,以網絡為傳播途徑,造成的危害明顯。蠕蟲病毒具有一般病毒的共同特征,如傳染性,隱蔽性,破壞性及潛伏性等,同時也具有自己獨有的特點,如不需要文件來寄生(有時可直接寄生于內存當中),對網絡連接進行拒絕,以及與黑客技術相結合。其他危害較大的病毒種類還有宏病毒,意大利香腸等。
1.2垃圾郵件和間諜軟件當收到垃圾郵件或安裝了間諜軟件時,常常會使計算機的網絡安全陷入不利境地,并成為破壞計算機正常使用的主要因素之一。在計算機網絡的應用環境下,由于電子郵件的地址是完全開放的,同時計算機系統具有可廣播性,因而有些人或團體就會利用這一特性,進行宗教、商業,或政治等活動,主要方式就是強迫目標郵箱接收特定安排的郵件,使目標郵箱中出現垃圾郵件。與計算機病毒有所區別,間諜軟件的主要控制手段為盜取口令,并侵入計算機系統實行違法操作,包括盜取用戶信息,實施貪污、盜竊、詐騙等違法犯罪行為,不僅對計算機安全性能造成破壞,同時也會嚴重威脅用戶的個人隱私。
1.3計算機用戶操作失誤由于計算機用戶操作不當而發生的損失,也是影響計算機正常使用并破壞網絡安全的重要因素之一。目前計算機用戶的整體規模不斷擴大,但其中有許多用戶并未對計算機的安全防護進行應有的重視,對計算機的合理使用認識不到位,因而在安全防范方面力度不夠,這就給惡意攻擊者提供了入侵系統的機會,并進而出現嚴重的安全問題。用戶安全意識差的主要表現包括:賬號密碼過于簡單,破解容易,甚至隨意泄露;使用軟件時進行了錯誤操作;系統備份不完全。這些行為都會引起網絡安全問題的發生。
2計算機網絡安全防范的措施
2.1定期進行數據備份為防止因突破情況,如自然災害,斷電等造成的數據丟失,應在平時養成定期數據備份的習慣,將硬盤上的重要文件,數據復制到其他存儲設備中,如移動硬盤等。如果做好了備份工作,即使當計算機系統遭受攻擊而發生數據毀壞,也無需擔心數據的徹底消失,而只需將已經備份的文件和數據再重新恢復到計算機中即可。因此,數據的定期備份是維護計算機網絡安全的有效途徑之一。如果計算機因意外情況而無法正常啟動,也需在重新安裝系統前進行數據備份,以便在計算機能夠正常使用后完成數據恢復,這在非法入侵系統造成的數據毀壞時也能起到重要的作用。
2.2采用物理隔離網閘物理隔離網閘是一種通過外部設備來實現計算機安全防護的技術手段,利用固態開關讀寫作為媒介,來實現不同主機系統間的對接,可實現多種控制功能。由于在這一技術手段下的不同主機系統之間,并不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,以及基于協議的信息包,只存在無協議“擺渡”,同時只能對存儲媒介發出“讀”與“寫”這兩種指令。因此,物理隔離網閘可以從源頭上保障計算機網絡的安全,從物理上隔離,阻斷了帶有攻擊性質的所有連接,切斷黑客入侵的途徑,使其無法攻擊,無法破壞,真正維護了網絡安全。
2.3防火墻技術防火墻是一種常用的計算機安全軟件,在計算機和互聯網之間構筑一道“安檢”關卡。安裝了防火墻,所有經過這臺計算機的網絡通信都必須接受防火墻的安全掃描,從而使具有攻擊性的通信無法與計算機取得連接,阻斷非授權訪問在計算機上的執行。同時,防火墻還會將不必要的端口關閉,并針對指定端口實施通信禁止,從而對木馬進行封鎖堵截。最后,它可以對特殊站點的訪問實施攔截,拒絕來路不明的所有通信,最大程度地維護計算機網絡的安全。
2.4加密技術為進一步地維護網絡信息安全,保證用戶信息不被侵犯,還可使用加密技術來對計算機的系統安全鑰匙進行升級,對加密技術進行充分合理的利用能有效提高信息的安全程度。首先是數據加密,基本原理在于通過使用特定算法對目標文件加以處理,使其由原來的明文轉為無法識別的代碼,通常稱為密文,如果需要查看加密前的內容,就必須輸入正確的密鑰,這樣就可防止重要信息內容被不法分子竊取和掌握。相對地,加密技術的逆過程為解密,即將代碼轉為可讀的文件。其次是智能卡技術,該技術與加密技術有較強的關聯性。所謂智能卡,其實質為密鑰的一種媒介,與信用卡相類似,只能由經過授權的使用者所持有,授權用戶可對其設置一定的口令,同時保證設置的口令與網絡服務器密碼相同,當同時使用口令與身份特征,能夠起到極為理想的保密效果。
2.5進行入侵檢測和網絡監控計算機網絡安全技術還包括入侵檢測即網絡監控。其中,入侵檢測是一項綜合程度高的安全維護手段,包括統計技術,網絡通信技術,推理技術等,起到的作用十分顯著,可對當前網絡環境進行監督,以便及時發現系統被攻擊的征兆。根據分析手段的不同,可將其分為簽名法與統計法兩種。對于針對系統已知漏洞的攻擊,可用簽名法來實施監控;對于系統的正常運行階段,需要對其中的可疑動作是否出現了異常現象進行確認時,可用統計法進行監控,能夠從動作模式為出發點進行判斷。
2.6及時下載漏洞補丁程序對計算機網絡安全的維護應當是一個長期的,動態的過程,因此及時下載漏洞補丁就顯得十分必要。在使用計算機來連接網絡的過程當中,為避免因存在系統漏洞而被惡意攻擊者利用,必須及時下載最新的漏洞補丁,消除計算機應用環境中的種種隱患。可通過特定的漏洞掃描手段對漏洞進行掃描,例如COPS,tripwire,tiger等,都是非常實用的漏洞掃描軟件,360安全衛士,瑞星卡卡等軟件也有良好的效果,可使用這些軟件進行掃描并下載漏洞補丁。
2.7加強用戶賬號的安全保護為保障計算機網絡賬號的安全,應加強對賬號的保護措施。在計算機應用的網絡環境下,許多應用領域都需要賬號和密碼進行登錄,涉及范圍較廣,包括系統登錄,電子賬號登錄,網上銀行登錄等等,因此加強對賬號的安全防范就有著極其重要的意義。首先,對系統登錄來說,密碼設置應盡量復雜;其次,對于不同應用方面的賬號來說,應避免使用相同或類似的密碼,以免造成重大損失;再次,在設置方式上應采用組合的形式,綜合使用數字、字母,以及特殊符號;最后,應保證密碼長度合適,同時應定期修改密碼。
3結論
