簡(jiǎn)述信息安全的特征精選(五篇)
發(fā)布時(shí)間:2023-10-09 17:41:20
序言:作為思想的載體和知識(shí)的探索者,寫作是一種獨(dú)特的藝術(shù),我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇簡(jiǎn)述信息安全的特征,期待它們能激發(fā)您的靈感。
篇1
關(guān)鍵詞 云安全模型 信息系統(tǒng) 保護(hù)測(cè)評(píng)
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A
文中以云安全服務(wù)模型為研究依據(jù),從云計(jì)算信息系統(tǒng)的安全特性入手,提出建立云安全服務(wù)模型及管理中心,介紹了云安全等級(jí)保護(hù)模型的建立情況。
1簡(jiǎn)述云計(jì)算信息系統(tǒng)安全特性
以傳統(tǒng)的互聯(lián)網(wǎng)信息系統(tǒng)相比較,云計(jì)算信息系統(tǒng)把全部數(shù)據(jù)的處理與存儲(chǔ)都放在服務(wù)端,終端用戶根據(jù)網(wǎng)絡(luò)可以及時(shí)獲取需要的信息和服務(wù),沒有必須在本地配置的情況下進(jìn)行數(shù)據(jù)的處理和存儲(chǔ)。根據(jù)網(wǎng)絡(luò)中所設(shè)置的網(wǎng)絡(luò)安全防護(hù)設(shè)施,可以在服務(wù)端設(shè)置統(tǒng)一的身份兼?zhèn)渑c安全審計(jì)系統(tǒng),確保多數(shù)系統(tǒng)出現(xiàn)的安全問題得到有效解決,但此時(shí)新的設(shè)計(jì)服務(wù)模式又會(huì)帶來新的安全問題,例如:濫用云計(jì)算、不安全的服務(wù)接口、數(shù)據(jù)泄露、安全管理等多個(gè)方面的問題。
2建立云安全服務(wù)模型及管理中心
現(xiàn)實(shí)中的不同云產(chǎn)品,在部署模型、資源位置、服務(wù)模型等各個(gè)方面都展現(xiàn)出不一樣的形態(tài)和模式,進(jìn)而形成各不相同的安全風(fēng)險(xiǎn)特征及安全控制范圍。所以,必須從安全控制的角度創(chuàng)建云計(jì)算的模型,對(duì)各個(gè)屬性組合的云服務(wù)架構(gòu)進(jìn)行描述,從而確保云服務(wù)架構(gòu)到安全架構(gòu)的合理映射,為設(shè)備的安全控制和風(fēng)險(xiǎn)識(shí)別提供有效依據(jù)。建立的云安全服務(wù)模型如圖1所示。
3云安全模型的信息安全等級(jí)測(cè)評(píng)辦法
云安全信息安全保護(hù)測(cè)評(píng)的辦法就是根據(jù)云安全服務(wù)模型與云安全中心模型,考察用戶在云安全方面的不同需求,安全模型處在安全等級(jí)保護(hù)體系下的不同位置。安全模型一端連接著等級(jí)保護(hù)技術(shù),另一端連接著等級(jí)保護(hù)管理的要求。根據(jù)云安全信息中心的建模情況,對(duì)云安全模型下的核心基礎(chǔ)、支撐安全展開分析,獲取企業(yè)在云安全領(lǐng)域的信息安全等級(jí)測(cè)評(píng)模型,依照模型開展下一步的測(cè)評(píng)工作。
3.1分析等級(jí)測(cè)評(píng)云安全模型下的控制項(xiàng)
根據(jù)上述分析情況,可以把云安全模型嵌套在云安全等級(jí)保護(hù)模式中,從而展開與云安全有關(guān)的信息安全等級(jí)評(píng)價(jià),并對(duì)安全模型下的有關(guān)控制項(xiàng)展開分析。首先察看云認(rèn)證及授權(quán)情況,對(duì)是否存在登陸認(rèn)證、程序授權(quán)、敏感文件授權(quán)等進(jìn)行測(cè)評(píng)。依照不同的訪問控制模型,選擇訪問控制的目標(biāo)是強(qiáng)制性訪問、自主性訪問、角色型訪問,進(jìn)而采取與之相對(duì)應(yīng)的方法。為了確保網(wǎng)絡(luò)訪問資源可以有效的控制和分配,需要?jiǎng)?chuàng)建統(tǒng)一、可靠的執(zhí)行辦法和解決策略。自由具備統(tǒng)一、可靠地方式才可以保障安全策略達(dá)到自動(dòng)執(zhí)行的目的。測(cè)試網(wǎng)絡(luò)數(shù)據(jù)的加密情況,要對(duì)標(biāo)準(zhǔn)的加密功能及服務(wù)類型,做到靜態(tài)和動(dòng)態(tài)的安全保護(hù)。探測(cè)數(shù)據(jù)的備份與恢復(fù)情況,就必須查看云備份是否安全、數(shù)據(jù)銷毀情況、磁帶是否加密及密碼鑰匙的管理,檢查的重點(diǎn)是供應(yīng)商的數(shù)據(jù)備份情況。查看對(duì)管理用戶的身份是否可以控制管理,是否可以管理用戶角色的訪問內(nèi)容。查看用戶的安全服務(wù)及審計(jì)日志,其中包括網(wǎng)絡(luò)設(shè)備的監(jiān)控管理、主機(jī)的維護(hù)、告警管理與維護(hù)等。
3.2分析等級(jí)測(cè)評(píng)云安全模型的風(fēng)險(xiǎn)性
依照等級(jí)保護(hù)的有關(guān)要求,運(yùn)用風(fēng)險(xiǎn)分析的辦法,對(duì)信息系統(tǒng)展開分析時(shí)必須重視下面的內(nèi)容。
(1)云身份認(rèn)證、授權(quán)及訪問控制
云安全對(duì)于選擇用戶身份的認(rèn)證、授權(quán)和訪問控制尤為重要,但它所發(fā)揮的實(shí)際效果必須依賴具體的實(shí)施情況。
(2)設(shè)置云安全邊界
云安全內(nèi)部的網(wǎng)絡(luò)設(shè)備運(yùn)用防火墻這系列的措施展開安全防護(hù)。但外部的云用戶只能運(yùn)用虛擬技術(shù),該技術(shù)自身攜帶安全風(fēng)險(xiǎn),所以必須對(duì)其設(shè)置高效的安全隔離。
(3)云安全儲(chǔ)存及數(shù)據(jù)信息備份
一般情況下,云供應(yīng)商采用數(shù)據(jù)備份的方式是最為安全的保護(hù)模式,即使供應(yīng)商進(jìn)行數(shù)據(jù)備份更加安全,仍然會(huì)發(fā)生數(shù)據(jù)丟失的情況。所以,如果有條件的,公司應(yīng)該采用云技術(shù)共享的所有數(shù)據(jù)進(jìn)行備份,或在保留數(shù)據(jù)發(fā)生徹底丟失事件時(shí)提出訴訟,從而獲取有效的賠償。云計(jì)算中一直存在因數(shù)據(jù)的交互放大而導(dǎo)致數(shù)據(jù)丟失或泄露的情況。如果出現(xiàn)安全時(shí)間,導(dǎo)致用戶數(shù)據(jù)丟失,系統(tǒng)應(yīng)該快速把發(fā)生的安全時(shí)間通報(bào)給用戶,防止出現(xiàn)大的損失。
4結(jié)束語
綜上所述,隨著云計(jì)算技術(shù)的發(fā)展,云計(jì)算信息系統(tǒng)會(huì)成為日后信息化建設(shè)的重要組成部分。文中從云安全等級(jí)保護(hù)測(cè)試為研究依據(jù),簡(jiǎn)述了云計(jì)算信息系統(tǒng)安全特性,對(duì)云安全服務(wù)模型及管理中心的建立情況進(jìn)行分析,提出云安全模型的信息安全等級(jí)測(cè)評(píng)辦法。
參考文獻(xiàn)
篇2
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò) 信息安全 威脅 有效防護(hù)
隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用普及化,人們的生活、工作方式發(fā)生了巨大變革,極大促進(jìn)了社會(huì)發(fā)展。大量的信息保存、交流,使得計(jì)算機(jī)網(wǎng)絡(luò)牽涉到巨大的經(jīng)濟(jì)利益和國(guó)家利益,同時(shí)緣于其本身的脆弱性,導(dǎo)致信息安全攻擊不斷,包括病毒感染、數(shù)據(jù)篡改、木馬植入等,嚴(yán)重威脅了社會(huì)和諧穩(wěn)定。新時(shí)期,計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù),已然上升成為嚴(yán)重的社會(huì)問題。
1 計(jì)算機(jī)網(wǎng)絡(luò)信息面臨的安全威脅
隨著科學(xué)技術(shù)發(fā)展,人們?cè)隗w驗(yàn)計(jì)算機(jī)網(wǎng)絡(luò)帶來的便捷性、豐富性同時(shí),也面臨著嚴(yán)峻的信息安全威脅,稍有不慎隨時(shí)可能遭受經(jīng)濟(jì)損失、名譽(yù)損失等。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)最明顯的特征是開放性,這也是其容易受到攻擊的主要原因,包括網(wǎng)絡(luò)攻擊、病毒植入以及軟件入侵等。在完整的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,主要包括硬件和軟件兩部分組成,其本身存在的缺陷導(dǎo)致信息安全問題頻發(fā)。例如,系統(tǒng)的缺省安裝和弱口令是大量攻擊成功的原因之一。有些意圖不良的黑客,以計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)缺陷為突破口,非法侵入他人電腦竊取敏感性重要信息,從而破壞或修改相關(guān)信息數(shù)據(jù),導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。究其根本,造成此類問題不僅僅是緣于技術(shù)不成熟,更重要的體現(xiàn)為用戶安全意識(shí)薄弱。此外,國(guó)家有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的相關(guān)法律制度建設(shè)不完善,黑客攻擊侵入行為成本低,加重了此種現(xiàn)象的猖獗性。
2 計(jì)算機(jī)網(wǎng)絡(luò)信息安全的有效防護(hù)措施
根據(jù)上文分析得知,開放的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下,信息安全威脅的誘因是多種多樣的,有針對(duì)性地防護(hù)才是最有效的。因此,作者基于上述總結(jié),提出了以下幾種計(jì)算機(jī)網(wǎng)絡(luò)信息安全的有效防護(hù)措施,以供參考和借鑒。
2.1 提高安全意識(shí)
用戶作為計(jì)算機(jī)網(wǎng)絡(luò)信息的使用者、提供者以及交換者,其在信息安全建設(shè)方面的重視度、參與度直接影響了算機(jī)網(wǎng)絡(luò)信息安全。因此,強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)用戶的信息安全意識(shí)至關(guān)重要。具體而言,一方面,用戶需養(yǎng)成良好的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用習(xí)慣,選擇正確的途徑獲取信息數(shù)據(jù),不隨意瀏覽或打開富含危險(xiǎn)因子的網(wǎng)站鏈接,提高自身素質(zhì)道德修養(yǎng),杜絕黃賭毒等不良信息侵入。同時(shí),用戶還需加強(qiáng)個(gè)人賬戶管理,在不同的網(wǎng)站注冊(cè)上設(shè)置差異化密碼,并定期進(jìn)行更新,提高賬戶密碼復(fù)雜度。另一方面,計(jì)算機(jī)網(wǎng)絡(luò)用戶需樹立良好的技術(shù)防范意識(shí),重視殺毒軟件及防火墻技術(shù)學(xué)習(xí)應(yīng)用,并針對(duì)個(gè)人電腦進(jìn)行定期維護(hù)查殺,及時(shí)修復(fù)軟硬件漏洞,對(duì)于私人文件要確定其可被訪問范圍,最大程度保護(hù)自身信息安全。從某種意義上講,計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)屬個(gè)人意識(shí)行為,提高主動(dòng)防御能力是解決信息安全問題的根本途徑。
2.2 軟件硬件兼施
客觀角度分析,科技發(fā)展是一把雙刃劍,既可提高計(jì)算機(jī)網(wǎng)絡(luò)信息安全性能,又能豐富計(jì)算機(jī)網(wǎng)絡(luò)安全威脅因子。現(xiàn)實(shí)生活中,黑客攻擊、病毒植入、木馬侵染屬高科技犯罪行為。對(duì)此,用戶應(yīng)按需選擇不同安全等級(jí)的計(jì)算機(jī)網(wǎng)絡(luò)軟硬件設(shè)備,及時(shí)更換損壞的硬件,主動(dòng)學(xué)習(xí)了解軟件功能性能,不能隨意打開信息安全防護(hù)軟件的限制和保護(hù)功能,以免影響自身網(wǎng)絡(luò)服務(wù)體驗(yàn),又需正確使用安裝信息安全防護(hù)軟件,切斷不法分子侵入途徑。而對(duì)于行業(yè)及企業(yè)而言,要主動(dòng)承擔(dān)起維護(hù)社會(huì)穩(wěn)定的重任,協(xié)同高校大力發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)信息安全方面的專業(yè)人才,以市場(chǎng)經(jīng)濟(jì)需求為導(dǎo)向,加緊相關(guān)防護(hù)技術(shù)創(chuàng)新,進(jìn)一步提高計(jì)算機(jī)網(wǎng)絡(luò)信息安全性能,豐富防護(hù)軟件功能服務(wù)。如此,不僅可推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域企業(yè)的可持續(xù)發(fā)展,提高其社會(huì)價(jià)值、經(jīng)濟(jì)價(jià)值,同時(shí)還有利于社會(huì)和諧穩(wěn)定。
2.3 完善保障機(jī)制
計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù),不單單是個(gè)人事務(wù),更是關(guān)乎社會(huì)和諧穩(wěn)定的大事。全球經(jīng)濟(jì)一體化態(tài)勢(shì)下,計(jì)算機(jī)網(wǎng)絡(luò)作為各國(guó)貿(mào)易交流的重要平臺(tái)載體,涉及到大量隱秘信息數(shù)據(jù),一旦受到威脅和攻擊,可能會(huì)引發(fā)嚴(yán)重的經(jīng)濟(jì)問題、政治問題。因此,我國(guó)應(yīng)逐步建立完善的計(jì)算機(jī)網(wǎng)絡(luò)信息安全相關(guān)法律法規(guī),明確公民權(quán)利與責(zé)任,規(guī)范用戶上網(wǎng)行為,提高違法犯罪成本,維護(hù)網(wǎng)民正當(dāng)權(quán)益,利用法律的威嚴(yán)性、震懾性肅清計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。同時(shí),國(guó)家還需重視信息安全產(chǎn)業(yè)發(fā)展,加大政策引導(dǎo)與扶持力度,逐步增加財(cái)政投入,擴(kuò)大其規(guī)模,建立完善的計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)體系。同時(shí),相關(guān)主管部門還需加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的巡查力度,及時(shí)發(fā)現(xiàn)問題,督促相關(guān)單位有針對(duì)性地予以改進(jìn),并嚴(yán)懲一切違法犯罪行為,潛移默化中強(qiáng)化公民信息安全意識(shí),維護(hù)社會(huì)治安穩(wěn)定。
3 結(jié)語
總而言之,有效防護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全十分重要和必要。由于個(gè)人能力有限,加之計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境復(fù)雜多變,威脅信息安全的因素眾多,本文作出的研究可能不盡完善。因此,作者希望業(yè)界更多專家及學(xué)者持續(xù)關(guān)注計(jì)算機(jī)網(wǎng)絡(luò)信息安全建設(shè),客觀、全面剖析當(dāng)前所面臨的信息安全問題,有針對(duì)性地提出更多有效防護(hù)措施。
參考文獻(xiàn)
[1]汪東芳,鞠杰.大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].無線互聯(lián)科技,2015(24):40-41.
[2]吳思.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略探究[J].信息與電腦(理論版),2015(19):184-185.
[3]吳一凡,秦志剛.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].科技傳播,2016(02):156-157.
作者簡(jiǎn)介
胡元軍(1983-),男,江蘇省徐州市人。工程師。研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)。
篇3
隨著網(wǎng)絡(luò)與科學(xué)技術(shù)的不斷發(fā)展與成熟,現(xiàn)代社會(huì)生活中每一位個(gè)體產(chǎn)生的數(shù)據(jù)量也在迅猛增長(zhǎng),數(shù)據(jù)的計(jì)量單位已經(jīng)達(dá)到PB(1,024TB)級(jí),我們已經(jīng)迎來了大數(shù)據(jù)時(shí)代。大數(shù)據(jù)時(shí)代的人們運(yùn)用智能手機(jī)、iPad等移動(dòng)電子設(shè)備,可以隨時(shí)隨地在社交網(wǎng)絡(luò)上地址定位信息、照片、日記等個(gè)人隱私信息。
這些信息被網(wǎng)絡(luò)數(shù)據(jù)服務(wù)商等機(jī)構(gòu)不斷地跟蹤和記錄,挖掘其潛在的巨大價(jià)值,尋求數(shù)據(jù)背后隱藏的巨大經(jīng)濟(jì)利益。如何保護(hù)好個(gè)人的信息一直是網(wǎng)絡(luò)用戶、專家學(xué)者乃至國(guó)家備受關(guān)注的問題。
1大數(shù)據(jù)的內(nèi)涵及其特征
1.1大數(shù)據(jù)的內(nèi)涵
每一位個(gè)體在搜索引擎上的任何一次搜索形成的數(shù)據(jù)都會(huì)被記錄下來,這些數(shù)據(jù)在不斷積累、匯集的過程中,逐漸成了“大數(shù)據(jù)”。大數(shù)據(jù)的定義很多學(xué)者已經(jīng)給出,但表述各不相同。
綜合來看,大數(shù)據(jù)就是數(shù)據(jù)量大、數(shù)據(jù)類型多的數(shù)據(jù)集合,同時(shí)傳統(tǒng)的數(shù)據(jù)處理技術(shù)及IT技術(shù)無法對(duì)該數(shù)據(jù)集進(jìn)行采集、獲取、處理等操作。用戶最能切身感受到的大數(shù)據(jù)表現(xiàn)為:相關(guān)企業(yè)根據(jù)個(gè)體在網(wǎng)絡(luò)上的瀏覽痕跡,進(jìn)行細(xì)致的用戶需求分析,然后向用戶提供定制和個(gè)性化的服務(wù)。
1.2大數(shù)據(jù)的特征
大數(shù)據(jù)通常是指數(shù)據(jù)的規(guī)模大于10TB以上的數(shù)據(jù)集,可以概括成“4V”:①數(shù)據(jù)量大(Volume)。生活在網(wǎng)絡(luò)時(shí)代里,數(shù)據(jù)的計(jì)量單位也在隨著數(shù)據(jù)量的不斷變化而變大。②數(shù)據(jù)類型多(Variety)。常見的類型有結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化的數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)。
多類型的數(shù)據(jù)結(jié)構(gòu)對(duì)數(shù)據(jù)的處理分析能力提出了更高的要求。③價(jià)值稀疏性(Value)。大數(shù)據(jù)時(shí)代數(shù)據(jù)量非常大,但是有價(jià)值的數(shù)據(jù)比例又很小。④速度快、時(shí)效高(Velocity)。信息技術(shù)的不斷創(chuàng)新發(fā)展,促使數(shù)據(jù)的增長(zhǎng)速度也急速提高,使各行各業(yè)對(duì)數(shù)據(jù)的時(shí)效性提出了更高的要求,對(duì)處理數(shù)據(jù)的響應(yīng)速度也有更嚴(yán)格的要求。
2大數(shù)據(jù)時(shí)代個(gè)人信息不安全的原因分析
2.1外在原因
2.1.1數(shù)據(jù)本身在傳播中具有動(dòng)態(tài)、交互、連續(xù)性。大數(shù)據(jù)時(shí)代信息和數(shù)據(jù)在傳播的過程中是動(dòng)態(tài)化、碎片化的,而有著這樣特性的數(shù)據(jù)在網(wǎng)絡(luò)中更加容易被捕捉和搜索,這就加大了個(gè)人信息被泄露的風(fēng)險(xiǎn)。大數(shù)據(jù)時(shí)代用戶的數(shù)據(jù)具有緊密的交互性,擁有龐大數(shù)據(jù)量的計(jì)算機(jī)可以依據(jù)用戶之間的數(shù)據(jù)的交互分析出兩者之間的網(wǎng)絡(luò)關(guān)系。所以,一旦某人信息泄露,就有可能因蛛絲馬跡而泄露其好友的個(gè)人信息。
2.1.2相關(guān)企業(yè)過度尋求大數(shù)據(jù)背后的商業(yè)利益。互聯(lián)網(wǎng)能夠及時(shí)地追蹤到個(gè)體的個(gè)人信息,其手段之一就是運(yùn)用瀏覽器里的瀏覽記錄和Cookies。如:在2013年“3·15晚會(huì)”曝光有關(guān)企業(yè)對(duì)用戶的Cookies信息進(jìn)行無告知收集,通過對(duì)數(shù)據(jù)的分析處理,辨別每一個(gè)用戶的社會(huì)階層、職業(yè)、家庭收入等。更有被利益驅(qū)使的企業(yè)通過不正當(dāng)?shù)那雷冑u用戶的個(gè)人信息,為自己贏取利潤(rùn)。
2.2內(nèi)在原因
個(gè)人信息主體安全意識(shí)薄弱。根據(jù)《中國(guó)移動(dòng)語音社交應(yīng)用行業(yè)研究報(bào)告》,預(yù)測(cè)2017年中國(guó)整體網(wǎng)民規(guī)模將達(dá)8.5億人,中國(guó)移動(dòng)網(wǎng)民將達(dá)7.5億人,中國(guó)的網(wǎng)民數(shù)量呈現(xiàn)穩(wěn)步的增長(zhǎng)趨勢(shì)[1]。網(wǎng)民數(shù)量在不斷增加的同時(shí),信息安全事件也頻頻發(fā)生。如:中國(guó)鐵路12306網(wǎng)站個(gè)人用戶信息的泄露等。雖然我國(guó)在信息安全保護(hù)技術(shù)方面存在一定的欠缺,但根本原因還是用戶的個(gè)人隱私保護(hù)的意識(shí)薄弱。目前,在國(guó)內(nèi)非常流行的社交網(wǎng)絡(luò)當(dāng)屬微信朋友圈和新浪微博。
相關(guān)報(bào)告指出:微信用戶平均每4分鐘便會(huì)看一下手機(jī)微信,新浪微博更是廣大網(wǎng)民及時(shí)了解各類實(shí)時(shí)專題新聞并進(jìn)行互動(dòng)的渠道之一。根據(jù)《TIME》(時(shí)代周刊)2012年8月的調(diào)查顯示:“1/4的人每隔30分鐘就看一下手機(jī),1/5的人每隔10分鐘就要看一下,1/3的人承認(rèn)即使很短時(shí)間不用手機(jī),他們也會(huì)感到焦慮。”這種過度依賴網(wǎng)絡(luò)的行為,更有可能在不經(jīng)意間泄露個(gè)人的信息。
3大數(shù)據(jù)時(shí)代個(gè)人信息安全保護(hù)存在的問題
3.1缺乏完善的個(gè)人信息安全保護(hù)法
大數(shù)據(jù)時(shí)代,提到個(gè)人信息的保護(hù),很多人會(huì)認(rèn)為我國(guó)個(gè)人信息保護(hù)的法律是空缺的。實(shí)際情況并非如此,我國(guó)涉及個(gè)人信息保護(hù)的法律法規(guī)不在少數(shù),如:《中華人民共和國(guó)電子簽名法》《侵權(quán)責(zé)任法》[2]以及2013年3月1日開始實(shí)施的個(gè)人信息安全國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》[3],然而其內(nèi)容都是較為零散的,不具備一定的針對(duì)性和適用性,整體缺乏制約作用。同時(shí),如何切實(shí)可行地保護(hù)個(gè)人的信息問題,現(xiàn)有的法律沒有做出明確的規(guī)定,也沒有進(jìn)行細(xì)致的歸納和劃分,不能從根本上保障個(gè)人的信息安全。
3.2外在攻擊技術(shù)力度加強(qiáng),應(yīng)對(duì)技術(shù)相對(duì)薄弱
在技術(shù)層面上,一方面,傳統(tǒng)的信息安全技術(shù)已經(jīng)不能適用于大數(shù)據(jù)時(shí)代復(fù)雜多樣的數(shù)據(jù)集;另一方面,侵權(quán)者攻擊的力度也在不斷地加強(qiáng),傳統(tǒng)的信息保護(hù)技術(shù)已經(jīng)被依次破解,新的攻擊形式層出不窮,而新的防衛(wèi)技術(shù)研發(fā)投入不足。
3.3缺乏完善的管理機(jī)制
談及信息安全,“三分靠技術(shù),七分靠管理”,合理高效的管理是信息安全的一大保障。目前,國(guó)家層面缺乏完善的管理機(jī)制,企業(yè)層面缺少行業(yè)的自律機(jī)制,個(gè)人而言則更加隨意,難以形成統(tǒng)一高效的管理。網(wǎng)絡(luò)上隨處可見參差不齊的信息就是管理存在不足最直接的表現(xiàn)。現(xiàn)實(shí)生活中的每個(gè)人都會(huì)受到很多管理體制的制約,若違犯必將受到相應(yīng)的懲罰,虛擬的網(wǎng)絡(luò)世界更應(yīng)該如此,但目前我國(guó)尚欠缺有力的監(jiān)管體制保障其整體秩序。
4大數(shù)據(jù)時(shí)代有效保護(hù)個(gè)人信息安全的建議4.1完善立法
進(jìn)一步加強(qiáng)個(gè)人信息安全的立法制度。在大數(shù)據(jù)時(shí)代,各行各業(yè)的數(shù)據(jù)處于不斷交融、碰撞的動(dòng)態(tài)變化之中,慢慢形成行業(yè)發(fā)展的新局面。首先,政府應(yīng)該建立個(gè)人信息保護(hù)的專項(xiàng)法律。個(gè)人信息保護(hù)的專項(xiàng)法案是對(duì)其他已有相關(guān)法律法規(guī)的有力補(bǔ)充,既保障個(gè)人信息保護(hù)有法可依,也打擊侵犯?jìng)€(gè)人信息安全的行為。
其次,法律法規(guī)要明確數(shù)據(jù)的采集界限以及數(shù)據(jù)的使用權(quán)。什么樣的數(shù)據(jù)能夠被獲取利用?什么樣的數(shù)據(jù)屬于個(gè)人隱私應(yīng)該予以保護(hù)?這都需要有明確的規(guī)定。數(shù)據(jù)采集過程中,一定要按照法律規(guī)定的獲取范圍采集所需數(shù)據(jù),數(shù)據(jù)的使用權(quán)同樣也是需要探討的。
4.2技術(shù)創(chuàng)新預(yù)防外來攻擊
在注重信息安全的理念中,雖然只提及三分靠技術(shù),但是技術(shù)的提升卻是保障信息安全最直接有效的方式。首先,在大數(shù)據(jù)時(shí)代,需要加強(qiáng)個(gè)人信息保護(hù)技術(shù)的研發(fā)創(chuàng)新,同時(shí)加大力度推動(dòng)云計(jì)算、移動(dòng)互聯(lián)網(wǎng)的硬件技能的不斷提升;其次,技術(shù)的不斷創(chuàng)新依靠的是強(qiáng)大的技術(shù)團(tuán)隊(duì)、技術(shù)人才。從賽迪智庫頒布的2015版大數(shù)據(jù)白皮書得知,大數(shù)據(jù)的人才無論是中國(guó)還是美國(guó)等發(fā)達(dá)國(guó)家都是稀缺的,這就需要國(guó)家加大資金的投入,培養(yǎng)專業(yè)性的大數(shù)據(jù)技術(shù)人才,提高信息技術(shù)水平。
4.3加強(qiáng)各行各業(yè)的自律和監(jiān)管
信息安全的七分靠管理,應(yīng)該體現(xiàn)在各行各業(yè)、各組織機(jī)構(gòu),應(yīng)該相對(duì)應(yīng)地形成內(nèi)部的標(biāo)準(zhǔn)和公約,明確各方的責(zé)任與義務(wù),監(jiān)督與管理其對(duì)數(shù)據(jù)的各項(xiàng)使用權(quán)利。同時(shí),政府需要加強(qiáng)對(duì)個(gè)人信息服務(wù)行業(yè)的引導(dǎo),如:對(duì)移動(dòng)運(yùn)營(yíng)商應(yīng)該加以鼓勵(lì)合理地運(yùn)用數(shù)據(jù),為廣大網(wǎng)民提供更加便捷且個(gè)性化的服務(wù)。在監(jiān)管方面,需要引入第三方安全評(píng)估的認(rèn)證機(jī)構(gòu),加強(qiáng)對(duì)行業(yè)數(shù)據(jù)處理的全部流程的監(jiān)管。
4.4推行網(wǎng)絡(luò)實(shí)名制
推行網(wǎng)絡(luò)實(shí)名制是提高個(gè)體信息安全意識(shí)的方式之一。有些人認(rèn)為推行網(wǎng)絡(luò)實(shí)名制會(huì)壓制網(wǎng)民言論自由,不能完全體現(xiàn)民主。但是從鐵路運(yùn)輸?shù)氖燮睂?shí)名制的成功案例來看,互聯(lián)網(wǎng)絡(luò)實(shí)名制雖然可能會(huì)存在不足之處,但是必定是利大于弊。首先,實(shí)行網(wǎng)絡(luò)實(shí)名制,某種程度上會(huì)讓網(wǎng)絡(luò)上的言論更加得體,從而營(yíng)造健康的網(wǎng)絡(luò)環(huán)境。
如:網(wǎng)絡(luò)冷暴力給網(wǎng)民帶來的危害案例比比皆是,網(wǎng)絡(luò)言論的過度自由給青少年群體帶來的傷害也是顯而易見。推行網(wǎng)絡(luò)實(shí)名制可以在一定程度上限制不法分子的惡意中傷等。其次,實(shí)行網(wǎng)絡(luò)實(shí)名制可以有效地保護(hù)用戶的個(gè)人財(cái)產(chǎn)。當(dāng)下,“微商”是非常紅火的一個(gè)名詞,但“微商”的可信度不高。假若這樣的網(wǎng)絡(luò)創(chuàng)業(yè)能夠推行實(shí)名制,必然會(huì)提高網(wǎng)民對(duì)其的認(rèn)可度。最后,推行實(shí)名制一定程度上能夠降低網(wǎng)絡(luò)犯罪的發(fā)生。
4.5加強(qiáng)信息安全教育
加強(qiáng)信息安全教育是一個(gè)漫長(zhǎng)的且需要持之以恒的過程。社會(huì)各階層群體都應(yīng)該加強(qiáng)信息安全知識(shí)的學(xué)習(xí)。國(guó)家也應(yīng)該針對(duì)不同的人群,提供相應(yīng)的學(xué)習(xí)條件。如:對(duì)在校學(xué)生,可以開設(shè)信息安全相關(guān)的課程,鼓勵(lì)學(xué)生進(jìn)行選修學(xué)習(xí);對(duì)工作人員,應(yīng)該定期參加信息安全知識(shí)的培訓(xùn)。
篇4
關(guān)鍵詞:計(jì)算機(jī);網(wǎng)絡(luò);信息;安全;漏洞掃描
中圖分類號(hào):G718 文獻(xiàn)標(biāo)識(shí)碼:B 文章編號(hào):1672-1578(2017)04-0012-01
1.網(wǎng)絡(luò)安全簡(jiǎn)述
網(wǎng)絡(luò)安全并沒有一個(gè)固定的范圍和固定的定義。隨著觀察角度的變化,對(duì)網(wǎng)絡(luò)安全的定義也不盡相同。例如,從網(wǎng)絡(luò)用戶個(gè)人或者單位來說。他們想要擁有的網(wǎng)絡(luò)安全,必然是個(gè)人隱私信息的安全、單位商業(yè)信息受到保護(hù),避免因他人運(yùn)用竊聽、篡改等手段,泄露信息,或者造成商業(yè)危害。從網(wǎng)絡(luò)運(yùn)用以及管理者的角度來看,他們理解的網(wǎng)絡(luò)安全必然是希望在對(duì)本地網(wǎng)絡(luò)信息進(jìn)行訪問、讀寫時(shí),受到相應(yīng)的保護(hù)。防止出現(xiàn)病毒入侵、拒絕服務(wù)或者網(wǎng)絡(luò)資源非法控制等威脅。從本質(zhì)上來講,網(wǎng)絡(luò)安全屬于網(wǎng)絡(luò)上的信息安全范圍。指的是通過多網(wǎng)絡(luò)系統(tǒng)的強(qiáng)化管理,以及對(duì)硬件、軟件中的數(shù)據(jù)保護(hù),防止其因有意的,或無意的破壞而出現(xiàn)信息泄露等狀況。保障系統(tǒng)連續(xù)可靠的運(yùn)作,以及提供源源不斷的網(wǎng)絡(luò)服務(wù)。從宏觀上來看,凡是有關(guān)網(wǎng)絡(luò)上信息的隱私、完整、可用、真實(shí)等相關(guān)的技術(shù)研究,以及網(wǎng)絡(luò)安全管理全部屬于網(wǎng)絡(luò)安全需要研究的對(duì)象。網(wǎng)絡(luò)安全不僅僅是網(wǎng)絡(luò)使用硬件或軟件上的問題,也是信息管理上的問題。在二者的互相補(bǔ)充下,才能實(shí)現(xiàn)完善的信息保護(hù)。在硬件和軟件方面,主要側(cè)重點(diǎn)是防止外在非法行為對(duì)網(wǎng)絡(luò)的攻擊。對(duì)于管理上來講,主要的側(cè)重點(diǎn)在于對(duì)網(wǎng)絡(luò)管理人員的管理。對(duì)于網(wǎng)絡(luò)安全的基本要求主要有以下一個(gè)方面:
1.1 可靠性。可靠性的定義就是網(wǎng)絡(luò)信息系統(tǒng)能夠在目前具有的條件下,以及相應(yīng)的時(shí)間范圍之內(nèi),保持預(yù)先想要其達(dá)到的功能性特征。可靠性是對(duì)于網(wǎng)絡(luò)系統(tǒng)安全的最基本的要求,如果連可靠性都保障不了,難么一切的網(wǎng)絡(luò)活動(dòng)將無從談起。
1.2 可用性。可用性就是W絡(luò)經(jīng)過設(shè)置之后,網(wǎng)絡(luò)信息可以被所授權(quán)實(shí)體進(jìn)行訪問并按照需求使用的特性。即在經(jīng)過許可之后,網(wǎng)絡(luò)信息服務(wù)在需要的時(shí)候,就會(huì)給予授權(quán)用戶或?qū)嶓w進(jìn)行使用的特性;或者是網(wǎng)絡(luò)在受到部分的損壞及需要降級(jí)使用的時(shí)候,依舊為授權(quán)用戶提供最有效服務(wù)的特性。可用性就是網(wǎng)絡(luò)信息系統(tǒng)面向所有用戶的而最安全性能。網(wǎng)絡(luò)信息進(jìn)系統(tǒng)最基礎(chǔ)的功能就是向用戶提供他們所需的服務(wù),然而用戶的需求是隨機(jī)的、多方面的、甚至還會(huì)有時(shí)間和速度的要求。與此同時(shí),可用性就會(huì)對(duì)系統(tǒng)的正常使用時(shí)間與整個(gè)工作時(shí)間的之比來進(jìn)行度量。
1.3 保密性。對(duì)保密性的定義就是保障網(wǎng)絡(luò)信息能夠不受外界非法行為的影響,導(dǎo)致出現(xiàn)信息泄露、信息篡改等。保密性是建立在可靠性以及可用性的基礎(chǔ)之上的,是網(wǎng)絡(luò)安全保障的重點(diǎn)對(duì)象。
1.4 完整性。完整性就是網(wǎng)絡(luò)信息在沒有經(jīng)過授權(quán)之前不能對(duì)其進(jìn)行任何改變的特性。也就是說,網(wǎng)絡(luò)信息在儲(chǔ)存或傳輸?shù)倪^程中保持其完整,不會(huì)偶然的失誤或蓄意地刪除、修改、偽造、插入等破壞的特性。完整性是網(wǎng)絡(luò)中面向信息的安全模式,無論經(jīng)歷怎樣的阻撓和破壞,它要求必須保持信息的原版,換句話說,就是信息的正確生產(chǎn)及安全準(zhǔn)確的存蓄和傳輸。
2.計(jì)算機(jī)網(wǎng)絡(luò)安全中的漏洞掃描技術(shù)分析
由于網(wǎng)絡(luò)會(huì)給人們帶來較多的不安全問題,導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)的使用者必須要運(yùn)用相應(yīng)的安全保護(hù)措施,來實(shí)現(xiàn)個(gè)人或者單位的信息安全。在許多網(wǎng)絡(luò)安全研究者的共同努力下,推出的網(wǎng)絡(luò)安全保護(hù)技術(shù)能夠從不同的角度切實(shí)保障網(wǎng)絡(luò)信息的可靠性、可用性、保密性、完整性等。對(duì)安全技術(shù)進(jìn)行分析,主要有:漏洞技術(shù)掃描、訪問控制技術(shù)、防火墻技術(shù)等。這些事比較常規(guī)的,對(duì)于一些稍微特殊的,在此就不一一列舉。以下主要分析的就是漏洞掃描技術(shù)。安全漏洞是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中的缺陷,它會(huì)導(dǎo)致外界非法授權(quán)者為獲取信息利用其進(jìn)行不正當(dāng)?shù)脑L問。
2.1 D級(jí)漏洞。D級(jí)漏洞允許遠(yuǎn)程用戶獲取該計(jì)算機(jī)當(dāng)中的某些信息,例如該計(jì)算機(jī)是否處于運(yùn)行狀態(tài),該計(jì)算機(jī)的操作系統(tǒng)類別等。例如,可以向一臺(tái)計(jì)算機(jī)的目標(biāo)端口發(fā)送SYN分組,假如收到的是一個(gè)來自目標(biāo)端口的SYN/ACK分組,那么我們可以確定此臺(tái)計(jì)算機(jī)正處于被監(jiān)聽的狀態(tài)。從具體實(shí)踐來講,D級(jí)漏洞在其余漏洞當(dāng)中,是對(duì)計(jì)算機(jī)危害最小的。但是它會(huì)為非法侵入者采取下一項(xiàng)行動(dòng)奠定基礎(chǔ)。
2.2 C級(jí)漏洞。C級(jí)漏洞外在表現(xiàn)為允許拒絕服務(wù)。拒絕服務(wù)攻擊是一類個(gè)人或者多人運(yùn)用ntIemct當(dāng)中的某些特性,拒絕向其他的用戶提供合法訪問服務(wù)。這種漏洞最終導(dǎo)致的結(jié)果就是,受到攻擊的計(jì)算機(jī)反映速度減慢,從而導(dǎo)致合法授權(quán)者無法連接目標(biāo)計(jì)算機(jī)。
2.3 B級(jí)漏洞。B級(jí)漏洞是允許本地用戶獲取非授權(quán)的訪問。此種漏洞常常在多種平臺(tái)應(yīng)用程序當(dāng)中出現(xiàn)。
2.4 A級(jí)漏洞A級(jí)漏洞主要是允許用戶未經(jīng)授權(quán)訪問。這屬于這幾種漏洞當(dāng)中危害最大的一種。許多情況下產(chǎn)生的A級(jí)漏洞,都是由于系統(tǒng)管理出現(xiàn)問題,或者系統(tǒng)內(nèi)部參數(shù)設(shè)置錯(cuò)誤導(dǎo)致的。
3.結(jié)語
總而言之,漏洞掃描技術(shù)就是在解決網(wǎng)絡(luò)安全問題的一門比較新穎的技術(shù)。通過市場(chǎng)調(diào)研,防火墻技術(shù)就是當(dāng)病毒入侵時(shí)的被動(dòng)防御,入侵檢測(cè)技術(shù)也是一門被動(dòng)的檢測(cè),然而,漏洞掃描技術(shù)則是在沒有別的病毒入侵之前就主動(dòng)進(jìn)行有關(guān)安全方面的全面檢測(cè)技術(shù)。所以,從網(wǎng)絡(luò)全面安全的角度出發(fā),主動(dòng)進(jìn)行安全檢測(cè),防范于未然的漏洞檢測(cè)越來越受人們的青睞。
參考文獻(xiàn):
[1] 朱健華.淺析信息化建設(shè)中的安全漏洞掃描技術(shù)[J].中國(guó)科技投資,2012(27).
[2] 趙燕.漏洞掃描技術(shù)淺析[J].內(nèi)蒙古水利,2011(03).
篇5
關(guān)鍵詞:三網(wǎng)合一;企業(yè)數(shù)據(jù)庫;安全策略
中圖分類號(hào):TP315 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 14-0000-01
Enterprise Database Security Policies under the Tri-networks Integration Situation
Liu Yuan
(Wuhan Economic Development Investment Corporation,Wuhan430015,China)
Abstract:Triple play in the context of enterprise database security issues become increasingly prominent,the paper on enterprise database for triple-play situation,the security environment changes and analyze security threats,and the corresponding security policy.
Keywords:Tri-networks Integration;Enterprise database;Security policy
一、三網(wǎng)合一安全問題簡(jiǎn)述
三網(wǎng)合一也稱為三網(wǎng)融合,我國(guó)最早是在2001年十五計(jì)劃綱要中明確提出來的,而現(xiàn)在正在為階段性的試點(diǎn)時(shí)期,并已經(jīng)成為最熱門的技術(shù)和熱門話題之一。
通俗來說,三網(wǎng)融合就是在電信網(wǎng)、電視網(wǎng)和互聯(lián)網(wǎng)技術(shù)趨于一致的發(fā)展趨勢(shì)下,打破各自界限,在網(wǎng)絡(luò)層面資源共享、業(yè)務(wù)層面互相滲透和逐步融合的一種新型的信息服務(wù)監(jiān)管體系。而其權(quán)威的官方定義,來自2010年《關(guān)于印發(fā)國(guó)務(wù)院關(guān)于印發(fā)推進(jìn)三網(wǎng)融合總體方案的通知》,三網(wǎng)融合:“是指電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)在向?qū)拵ㄐ啪W(wǎng)、數(shù)字電視網(wǎng)、下一代互聯(lián)網(wǎng)演進(jìn)過程中,其技術(shù)功能趨于一致,業(yè)務(wù)范圍趨于相同,網(wǎng)絡(luò)互聯(lián)互通、資源共享,能為用戶提供語音、數(shù)據(jù)和廣播電視等多種服務(wù)。”
三網(wǎng)合一的安全問題大體可以分為網(wǎng)絡(luò)安全與信息內(nèi)容安全兩個(gè)層次:網(wǎng)絡(luò)安全主要是解決網(wǎng)絡(luò)系統(tǒng)的可用、穩(wěn)定及可控,保證網(wǎng)絡(luò)系統(tǒng)的正常可靠運(yùn)行,防護(hù)惡意行為、保護(hù)合法用戶,其威脅主要來自網(wǎng)絡(luò)系統(tǒng)軟硬件非正常狀態(tài)、惡意攻擊、安全漏洞等;信息內(nèi)容安全主要是解決數(shù)據(jù)信息的完整、保密、真實(shí)和可控,防止信息內(nèi)容泄露、竊取或篡改,其威脅主要來自隱私信息盜用、不良信息傳播、知識(shí)產(chǎn)權(quán)保護(hù)等等。
三網(wǎng)合一安全問題的兩個(gè)層次也是互相滲透互相影響的。對(duì)于企業(yè)數(shù)據(jù)庫來說,在三網(wǎng)合一的形勢(shì)下,其安全問題的重點(diǎn)主要是信息安全。
二、三網(wǎng)合一形勢(shì)下企業(yè)數(shù)據(jù)庫安全分析
(一)企業(yè)數(shù)據(jù)安全環(huán)境的變化。對(duì)于傳統(tǒng)的移動(dòng)通信和廣播電視來說,其承載業(yè)務(wù)單一,參與的主體也較單純,因此具有相對(duì)清晰的安全邊界,其所要面臨的安全問題也大多是自身領(lǐng)域內(nèi)的問題。而在三網(wǎng)合一的形勢(shì)下,高速互聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)和廣播電視網(wǎng)絡(luò)進(jìn)行融合,各種業(yè)務(wù)都會(huì)混雜在一起。由于傳統(tǒng)互聯(lián)網(wǎng)絡(luò)在物理和邏輯上并沒有進(jìn)行很好的隔離,使得三網(wǎng)融合的參與主體呈現(xiàn)復(fù)雜性,既包括網(wǎng)絡(luò)運(yùn)維人員,也包括社會(huì)大眾,其安全特點(diǎn)呈現(xiàn)出明顯的無網(wǎng)絡(luò)邊界的特征。
而且在三網(wǎng)合一的背景下,大多數(shù)企業(yè)也必會(huì)順應(yīng)科技的發(fā)展,在企業(yè)戰(zhàn)略的選擇上可能會(huì)傾向于多業(yè)務(wù)運(yùn)營(yíng)。充分利用三網(wǎng)合一的便捷,應(yīng)用互動(dòng)電視、網(wǎng)絡(luò)接入、企業(yè)專線、IP語音等多種技術(shù),為企業(yè)發(fā)展增添新的活力和途徑。而企業(yè)的各項(xiàng)核心業(yè)務(wù)都會(huì)承載于其核心的數(shù)據(jù)庫系統(tǒng),一旦企業(yè)的數(shù)據(jù)庫系統(tǒng)出現(xiàn)安全問題,后果不可想象。可以說,網(wǎng)絡(luò)的開放性和無國(guó)界性,既給參與其中的企業(yè)提供了機(jī)遇,但也對(duì)其數(shù)據(jù)信息的安全管理提出了新的要求。
(二)企業(yè)數(shù)據(jù)庫安全威脅。對(duì)于企業(yè)來說,尤其是一些大企業(yè),其信息網(wǎng)絡(luò)往往結(jié)構(gòu)龐雜,業(yè)務(wù)應(yīng)用也是多種多樣。三網(wǎng)融合的背景下,企業(yè)的業(yè)務(wù)應(yīng)用可能會(huì)涉及到業(yè)務(wù)審批系統(tǒng)、電子報(bào)文系統(tǒng)、企業(yè)管理系統(tǒng)、網(wǎng)絡(luò)服務(wù)系統(tǒng)、企業(yè)數(shù)據(jù)庫的后臺(tái)管理系統(tǒng)、運(yùn)營(yíng)業(yè)務(wù)管理系統(tǒng)、寬帶系統(tǒng)及軟硬件系統(tǒng)等等。而這些系統(tǒng)的核心就是企業(yè)數(shù)據(jù)庫。
對(duì)于企業(yè)管理系統(tǒng)的管理和操作人員來說,他們所面臨的最大挑戰(zhàn)就是怎樣有效的管理和監(jiān)控企業(yè)核心數(shù)據(jù)庫系統(tǒng),同時(shí)要面臨如何規(guī)范企業(yè)員工的網(wǎng)絡(luò)行為等一系列問題。而一旦在某方面出現(xiàn)漏洞,對(duì)于一些關(guān)鍵的應(yīng)用保障機(jī)制,管理措施和管理手段跟不上的話,企業(yè)的數(shù)據(jù)庫庫可能會(huì)得不到有效、合理的運(yùn)用,造成企業(yè)數(shù)據(jù)庫系統(tǒng)效率低下、運(yùn)維出現(xiàn)問題,甚至?xí)l(fā)一系列安全問題:一是對(duì)于企業(yè)核心數(shù)據(jù)庫的非法操作。包括對(duì)企業(yè)數(shù)據(jù)庫的登錄、注銷,以及對(duì)于數(shù)據(jù)庫中的數(shù)據(jù)表的插入、修改、刪除操作。二是對(duì)于數(shù)據(jù)庫安全事件反映不及時(shí)。對(duì)于違反數(shù)據(jù)庫安全策略的事件,做不到及時(shí)響應(yīng)、追蹤和取證。三是對(duì)于數(shù)據(jù)庫異常事件不能預(yù)警和快速定位。四是企業(yè)網(wǎng)絡(luò)異常。而對(duì)于這種異常的原因,管理人員卻無法分析和判斷。
三、三網(wǎng)合一形勢(shì)下企業(yè)數(shù)據(jù)庫安全策略
(一)網(wǎng)絡(luò)層面的常規(guī)維護(hù)策略。三網(wǎng)合一的背景下,企業(yè)數(shù)據(jù)庫不可避免會(huì)面對(duì)網(wǎng)絡(luò)開放,網(wǎng)絡(luò)系統(tǒng)的安全是企業(yè)數(shù)據(jù)庫安全的第一道屏障。而企業(yè)數(shù)據(jù)庫也會(huì)面臨網(wǎng)絡(luò)入侵的威脅,企業(yè)信息系統(tǒng)的機(jī)密性、完整性和可用性都會(huì)面臨考驗(yàn)。因此,在網(wǎng)絡(luò)層面的安全策略應(yīng)該著重于以下幾點(diǎn):一是以防火墻技術(shù)作為企業(yè)數(shù)據(jù)庫系統(tǒng)的第一道防線,包括數(shù)據(jù)包過濾器、和狀態(tài)分析等,但因其只是用事先設(shè)定的規(guī)則來攔截信息流的進(jìn)出,故此防火墻無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作;二是應(yīng)用入侵檢測(cè)技術(shù),監(jiān)控網(wǎng)絡(luò)系統(tǒng)是否被入侵或?yàn)E用,包括網(wǎng)絡(luò)簽名、統(tǒng)計(jì)和數(shù)據(jù)完整性分析,但獨(dú)立的入侵監(jiān)測(cè)系統(tǒng)存在運(yùn)作上的不足;三是可采用協(xié)作式入侵監(jiān)測(cè)技術(shù),組件見自動(dòng)交換信息,可用于各種網(wǎng)絡(luò)環(huán)境。
(二)數(shù)據(jù)庫內(nèi)部信息安全策略。企業(yè)數(shù)據(jù)庫內(nèi)部信息安全策略主要包括以下幾點(diǎn):一是加密數(shù)據(jù)庫,這是企業(yè)數(shù)據(jù)庫安全的關(guān)鍵手段,可以避免被繞過數(shù)據(jù)庫安全機(jī)制而直接訪問數(shù)據(jù)庫,可不受密鑰長(zhǎng)度限制,但不能采用一般通用的加密技術(shù),而必須針對(duì)企業(yè)數(shù)據(jù)庫的特點(diǎn),使用相應(yīng)的加密方法和密鑰管理方法;二是采用數(shù)據(jù)分級(jí)控制的策略,根據(jù)安全要求和數(shù)據(jù)重要程度定義密級(jí),如公用級(jí)、秘密級(jí)、機(jī)密級(jí)、絕密級(jí)等,并對(duì)不同權(quán)限用戶設(shè)置相應(yīng)級(jí)別,使系統(tǒng)能夠?qū)崿F(xiàn)“信息流控制”,避免非法信息流動(dòng);三是當(dāng)數(shù)據(jù)庫遭到破壞時(shí),要有可靠的數(shù)據(jù)庫備份數(shù)據(jù)用以恢復(fù),使系統(tǒng)快速恢復(fù)系統(tǒng)運(yùn)行。嚴(yán)格的數(shù)據(jù)備份與恢復(fù)管理,是保障企業(yè)數(shù)據(jù)庫系統(tǒng)安全的有效手段。備份可以分為硬件級(jí)和軟件級(jí),而其恢復(fù)可以通過磁盤鏡像、備份文件和在線日志等方法。
四、結(jié)語
需要注意的是,三網(wǎng)合一對(duì)于企業(yè)數(shù)據(jù)庫來說,從單體、獨(dú)立防御走向整體聯(lián)合防御已經(jīng)是安全解決方案的大勢(shì)所趨。企業(yè)必須要能夠預(yù)見風(fēng)險(xiǎn)和問題,制定出適合自己數(shù)據(jù)庫安全維護(hù)的具體策略。
參考文獻(xiàn):
