導言：作為寫作愛好者，不可錯過為您精心挑選的10篇數(shù)據(jù)安全論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

二、電子數(shù)據(jù)安全的性質(zhì)

電子數(shù)據(jù)安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統(tǒng)對外部威脅的防范，而廣義的安全是計算機系統(tǒng)在保證電子數(shù)據(jù)不受破壞并在給定的時間和資源內(nèi)提供保證質(zhì)量和確定的服務。在電子數(shù)據(jù)運行在電子商務等以計算機系統(tǒng)作為一個組織業(yè)務目標實現(xiàn)的核心部分時，狹義安全固然重要，但需更多地考慮廣義的安全。在廣義安全中，安全問題涉及到更多的方面，安全問題的性質(zhì)更為復雜。

(一)電子數(shù)據(jù)安全的多元性

在計算機網(wǎng)絡系統(tǒng)環(huán)境中，風險點和威脅點不是單一的，而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產(chǎn)存放地點的安全等內(nèi)容；邏輯安全涉及到訪問控制和電子數(shù)據(jù)完整性等方面；安全管理包括人員安全管理政策、組織安全管理政策等內(nèi)容。電子數(shù)據(jù)安全出現(xiàn)問題可能是其中一個方面出現(xiàn)了漏洞，也可能是其中兩個或是全部出現(xiàn)互相聯(lián)系的安全事故。

(二)電子數(shù)據(jù)安全的動態(tài)性

由于信息技術在不斷地更新，電子數(shù)據(jù)安全問題就具有動態(tài)性。因為在今天無關緊要的地方，在明天就可能成為安全系統(tǒng)的隱患；相反，在今天出現(xiàn)問題的地方，在將來就可能已經(jīng)解決。例如，線路劫持和竊聽的可能性會隨著加密層協(xié)議和密鑰技術的廣泛應用大大降低，而客戶機端由于B0這樣的黑客程序存在，同樣出現(xiàn)了安全需要。安全問題的動態(tài)性導致不可能存在一勞永逸的解決方案。

(三)電子數(shù)據(jù)安全的復雜性

安全的多元性使僅僅采用安全產(chǎn)品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外，因為黑客常常利用防火墻的隔離性，持續(xù)幾個月在防火墻外試探系統(tǒng)漏洞而未被發(fā)覺，并最終攻入系統(tǒng)。另外，攻擊者通常會從不同的方面和角度，例如對物理設施或協(xié)議、服務等邏輯方式對系統(tǒng)進行試探，可能繞過系統(tǒng)設置的某些安全措施，尋找到系統(tǒng)漏洞而攻入系統(tǒng)。它涉及到計算機和網(wǎng)絡的硬件、軟件知識，從最底層的計算機物理技術到程序設計內(nèi)核，可以說無其不包，無所不在，因為攻擊行為可能并不是單個人的，而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理，在防范這些問題時，也只有掌握了各種入侵技術和手段，才能有效的將各種侵犯拒之門外，這樣就決定了電子數(shù)據(jù)安全的復雜性。

(四)電子數(shù)據(jù)安全的安全悖論

目前，在電子數(shù)據(jù)安全的實施中，通常主要采用的是安全產(chǎn)品。例如防火墻、加密狗、密鑰等，一個很自然的問題會被提出：安全產(chǎn)品本身的安全性是如何保證的?這個問題可以遞歸地問下去，這便是安全的悖論。安全產(chǎn)品放置點往往是系統(tǒng)結構的關鍵點，如果安全產(chǎn)品自身的安全性差，將會后患無窮。當然在實際中不可能無限層次地進行產(chǎn)品的安全保證，但一般至少需要兩層保證，即產(chǎn)品開發(fā)的安全保證和產(chǎn)品認證的安全保證。

(五)電子數(shù)據(jù)安全的適度性

由以上可以看出，電子數(shù)據(jù)不存在l00％的安全。首先由于安全的多元性和動態(tài)性，難以找到一個方法對安全問題實現(xiàn)百分之百的覆蓋；其次由于安全的復雜性，不可能在所有方面應付來自各個方面的威脅；再次，即使找到這樣的方法，一般從資源和成本考慮也不可能接受。目前，業(yè)界普遍遵循的概念是所謂的“適度安全準則”，即根據(jù)具體情況提出適度的安全目標并加以實現(xiàn)。

三、電子數(shù)據(jù)安全審計

電子數(shù)據(jù)安全審計是對每個用戶在計算機系統(tǒng)上的操作做一個完整的記錄，以備用戶違反安全規(guī)則的事件發(fā)生后，有效地追查責任。電子數(shù)據(jù)安全審計過程的實現(xiàn)可分成三步：第一步，收集審計事件，產(chǎn)生審記記錄；第二步，根據(jù)記錄進行安全違反分析；第三步，采取處理措施。

電子數(shù)據(jù)安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統(tǒng)上的活動、上機下機時間，與計算機信息系統(tǒng)內(nèi)敏感的數(shù)據(jù)、資源、文本等安全有關的事件，可隨時記錄在日志文件中，便于發(fā)現(xiàn)、調(diào)查、分析及事后追查責任，還可以為加強管理措施提供依據(jù)。

（一）審計技術

電子數(shù)據(jù)安全審計技術可分三種：了解系統(tǒng)，驗證處理和處理結果的驗證。

1．了解系統(tǒng)技術

審計人員通過查閱各種文件如程序表、控制流程等來審計。

2．驗證處理技術

這是保證事務能正確執(zhí)行，控制能在該系統(tǒng)中起作用。該技術一般分為實際測試和性能測試，實現(xiàn)方法主要有：

（1）事務選擇

審計人員根據(jù)制訂的審計標準，可以選擇事務的樣板來仔細分析。樣板可以是隨機的，選擇軟件可以掃描一批輸入事務，也可以由操作系統(tǒng)的事務管理部件引用。

（2）測試數(shù)據(jù)

這種技術是程序測試的擴展，審計人員通過系統(tǒng)動作準備處理的事務。通過某些獨立的方法，可以預見正確的結果，并與實際結果相比較。用此方法，審計人員必須通過程序檢驗被處理的測試數(shù)據(jù)。另外，還有綜合測試、事務標志、跟蹤和映射等方法。

（3）并行仿真。審計人員要通過一應用程序來仿真操作系統(tǒng)的主要功能。當給出實際的和仿真的系統(tǒng)相同數(shù)據(jù)后，來比較它們的結果。仿真代價較高，借助特定的高級語音可使仿真類似于實際的應用。

（4）驗證處理結果技術

這種技術，審計人員把重點放在數(shù)據(jù)上，而不是對數(shù)據(jù)的處理上。這里主要考慮兩個問題：

一是如何選擇和選取數(shù)據(jù)。將審計數(shù)據(jù)收集技術插入應用程序?qū)徲嬆K（此模塊根據(jù)指定的標準收集數(shù)據(jù)，監(jiān)視意外事件）；擴展記錄技術為事務（包括面向應用的工具）建立全部的審計跟蹤；借用于日志恢復的備份庫（如當審計跟蹤時，用兩個可比較的備份去檢驗賬目是否相同）；通過審計庫的記錄抽取設施（它允許結合屬性值隨機選擇文件記錄并放在工作文件中，以備以后分析），利用數(shù)據(jù)庫管理系統(tǒng)的查詢設施抽取用戶數(shù)據(jù)。

二是從數(shù)據(jù)中尋找什么？一旦抽取數(shù)據(jù)后，審計人員可以檢查控制信息（含檢驗控制總數(shù)、故障總數(shù)和其他控制信息）；檢查語義完整性約束；檢查與無關源點的數(shù)據(jù)。

（二）審計范圍

在系統(tǒng)中，審計通常作為一個相對獨立的子系統(tǒng)來實現(xiàn)。審計范圍包括操作系統(tǒng)和各種應用程序。

操作系統(tǒng)審計子系統(tǒng)的主要目標是檢測和判定對系統(tǒng)的滲透及識別誤操作。其基本功能為：審計對象（如用戶、文件操作、操作命令等）的選擇；審計文件的定義與自動轉換；文件系統(tǒng)完整性的定時檢測；審計信息的格式和輸出媒體；逐出系統(tǒng)、報警閥值的設置與選擇；審計日態(tài)記錄及其數(shù)據(jù)的安全保護等。

應用程序?qū)徲嬜酉到y(tǒng)的重點是針對應用程序的某些操作作為審計對象進行監(jiān)視和實時記錄并據(jù)記錄結果判斷此應用程序是否被修改和安全控制，是否在發(fā)揮正確作用；判斷程序和數(shù)據(jù)是否完整；依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。

（三）審計跟蹤

通常審計跟蹤與日志恢復可結合起來使用，但在概念上它們之間是有區(qū)別的。主要區(qū)別是日志恢復通常不記錄讀操作；但根據(jù)需要，日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來，就可以在違反安全規(guī)則的事件發(fā)生時，或在威脅安全的重要操作進行時，及時向安檢員發(fā)出告警信息，以便迅速采取相應對策，避免損失擴大。審計記錄應包括以下信息：事件發(fā)生的時間和地點；引發(fā)事件的用戶；事件的類型；事件成功與否。

審計跟蹤的特點是：對被審計的系統(tǒng)是透明的；支持所有的應用；允許構造事件實際順序；可以有選擇地、動態(tài)地開始或停止記錄；記錄的事件一般應包括以下內(nèi)容：被審訊的進程、時間、日期、數(shù)據(jù)庫的操作、事務類型、用戶名、終端號等；可以對單個事件的記錄進行指定。

按照訪問控制類型，審計跟蹤描述一個特定的執(zhí)行請求，然而，數(shù)據(jù)庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密，因為審計人員可以限制時間，但代價比較昂貴。

（四）審計的流程

電子數(shù)據(jù)安全審計工作的流程是：收集來自內(nèi)核和核外的事件，根據(jù)相應的審計條件，判斷是否是審計事件。對審計事件的內(nèi)容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時，則向?qū)徲嬋藛T發(fā)送報警信息并記錄其內(nèi)容。當事件在一定時間內(nèi)連續(xù)發(fā)生，滿足逐出系統(tǒng)閥值，則將引起該事件的用戶逐出系統(tǒng)并記錄其內(nèi)容。

篇2

在會計電算化環(huán)境下，會計信息數(shù)據(jù)都是以磁性材料為介質(zhì)以文件形式保存，這給會計數(shù)據(jù)的安全留下了隱患。財會從業(yè)人員安全防范意識的缺失，在出現(xiàn)軟硬件故障、非法的操作和病毒，使會計電算化系統(tǒng)癱瘓時，難以恢復完整數(shù)據(jù)。多中小型企業(yè)在會計實務中操作權限設置不規(guī)范和口令密碼不嚴，導致會計數(shù)據(jù)丟失、非法篡改或外泄。而且會計檔案管理在存儲過程中，沒有脫機進行保存，未對相關的檔案管理人員劃定職責，造成檔案損毀，乃至企業(yè)會計信息外泄。

1．2注重核算而忽視管理功能

只有將財務會計和管理會計有機結合起來的電算化才是真正意義上全面電算化。中小企業(yè)只有在實現(xiàn)財務會計電算化的同時，推進管理會計電算化，將財務會計與管理會計有機結合后的電算化才能實質(zhì)性地促進管理會計在企業(yè)中的推廣應用，從而真正實現(xiàn)會計的核算職能、管理職能和控制職能。管理會計電算化是以財務會計電算化為基礎的，但目前，我國中小企業(yè)的電算化只是實現(xiàn)了基礎而對于向中級階段會計電算化的發(fā)展卻停滯不前。

1．3對會計電算化重要性的認識不足

電算化相關人員還未能充分認識到建立完整的會計信息系統(tǒng)對企業(yè)的重要性，以致無法利用會計電算化系統(tǒng)的優(yōu)勢來提高企業(yè)運作效率，造成現(xiàn)有會計提供的信息不能及時、有效地為企業(yè)決策及管理服務。沒有隨著手工業(yè)務環(huán)境向電算化環(huán)境轉變而相應地調(diào)整內(nèi)控模式和制度導致企業(yè)會計電算化的發(fā)展遲緩甚至停滯。

二、基于以上對現(xiàn)階段我國中小企業(yè)會計電算化實施過程中存在問題的列示

不難發(fā)現(xiàn)針對出現(xiàn)的問題主要可以從企業(yè)、財會軟件開發(fā)商以及政府三個方面分別提出有效性的解決對策。

2．1強化數(shù)據(jù)安全建設

正因為對會計電算化的不重視才加劇了企業(yè)財務數(shù)據(jù)的風險，所以首先應該在整個企業(yè)文化之中增強“領導———財會人員———其他工種”各級人員的電算化安全意識。防范計算機病毒，健全并嚴格執(zhí)行防范病毒管理制度。其次，完善企業(yè)的內(nèi)控制度，保證財務數(shù)據(jù)的穩(wěn)定:不相容崗位相互分離;會計工作人員相互制約;建立適當保密制度，通過設置用戶權限、密碼、定期更新加密鑰等措施以增強數(shù)據(jù)的安全性。再次，加強對財務數(shù)據(jù)的備份以防不測。給電算化計算機安裝UPS，解決電源干擾問題。保證出現(xiàn)電源問題時，可以為系統(tǒng)提供10—25分鐘，進行數(shù)據(jù)的緊急存儲等。經(jīng)濟業(yè)務活動通過賬務處理系統(tǒng)處理之后，應該及時備份，防止儲存介質(zhì)磁化、侵蝕，進行定期或者不定期的檢查和復制，防止數(shù)據(jù)丟失。采取雙重備份，異地保管，對于能夠打印的數(shù)據(jù)應該進行打印，同時以紙質(zhì)和電子形式進行雙重保管?？梢耘c開發(fā)商簽訂合同，使用其提供的“云+端”服務，給企業(yè)的財務數(shù)據(jù)安全再加上一重保護。而且電算化的硬件維護也是電算化數(shù)據(jù)安全的一項重要內(nèi)容，硬件的維護一般應由專業(yè)人員進行，但小型企業(yè)一般無力配備專職硬件維護員，因此硬件設備只能在日常使用時注意使用要求，不亂拆亂動硬件設備。

2．2積極轉型

加強對于中小企業(yè)的認識，明白企業(yè)的真正需求，在財會軟件層面上推進中小企業(yè)的會計電算化從“核算”向“管理”過渡。將會計電算化系統(tǒng)與物資供應、產(chǎn)成品銷售、庫存管理、勞資管理等管理業(yè)務子系統(tǒng)對接，建立計算機財務系統(tǒng)指標分析系統(tǒng)，為決策層提供決策和評價依據(jù)。完善財會軟件功能模塊，向財務管理方面過渡，將會計電算化納入管理信息系統(tǒng)，開發(fā)財會軟件具有管理型功能的模塊。

篇3

2.專業(yè)管理的范圍數(shù)據(jù)管理是利用計算機軟、硬件技術對數(shù)據(jù)進行有效的收集、存儲、處理和應用的過程。將專業(yè)管理的范圍分成四大部分：網(wǎng)絡數(shù)據(jù)管理、服務器數(shù)據(jù)管理、終端設備數(shù)據(jù)管理和人員管理，涉及公司客戶服務中心、安全運檢部、財務資產(chǎn)部等各專業(yè)部門和單位。針對每一部分的特點制定相應的管理方案，保證數(shù)據(jù)的獨立性、可靠性、安全性與完整性，減少了數(shù)據(jù)冗余，提高數(shù)據(jù)共享程度及數(shù)據(jù)管理效率，使信息數(shù)據(jù)安全管理覆蓋整個信息網(wǎng)絡。

二、信息數(shù)據(jù)安全管理實施過程

1.信息數(shù)據(jù)管理為了保障信息數(shù)據(jù)的安全，信息中心根據(jù)網(wǎng)絡實際運行情況對防火墻及交換機進行安全配置，添加防火墻訪問策略及交換機訪問控制列表，對外部用戶訪問進行限制，只允許訪問指定服務器，防止來自外部的黑客攻擊；對局域網(wǎng)劃分網(wǎng)段，配置訪問權限，保證局域網(wǎng)內(nèi)部傳輸安全。利用終端安全控制軟件對局域網(wǎng)內(nèi)所有聯(lián)網(wǎng)終端進行統(tǒng)一管理，監(jiān)控終端機器運行狀況，禁止用戶私自對終端硬件及系統(tǒng)設置進行修改，鎖定終端機器光驅(qū)，軟驅(qū)，移動存儲介質(zhì)等數(shù)據(jù)交換設備，終端USB端口只識別公司專用U盤及打印機，并對終端數(shù)據(jù)的流入流出進行安全審計，保存記錄，保障公司信息數(shù)據(jù)的流出、流入安全。

2.服務器運行管理信息機房值班人員每天定時對機房進行巡視，查看服務器機房溫濕度及空調(diào)、UPS電源運行狀態(tài)，確保服務器運行環(huán)境穩(wěn)定。檢測服務器軟、硬件運行狀態(tài)，并填寫機房巡視記錄，保證信息服務器穩(wěn)定運行。執(zhí)行“切換冗余服務器”運行管理，重要信息系統(tǒng)服務器運行實現(xiàn)雙機熱備，其它信息系統(tǒng)進行雙機互備，如果一臺服務器運行出現(xiàn)故障，需要較長時間修復，則立即啟動備用服務器，恢復信息系統(tǒng)運行，保證服務器穩(wěn)定高效運行。

3.數(shù)據(jù)存儲備份管理根據(jù)公司實際將重要信息數(shù)據(jù)劃分為公司級重要數(shù)據(jù)和個人重要數(shù)據(jù)，并對規(guī)定的計算機專責人（兼職）進行權限的設置，公司級重要數(shù)據(jù)備份后存入指定備份文件夾，個人重要數(shù)據(jù)由個人整理后轉存至備份服務器中個人備份空間。計算機專責人（兼職）按規(guī)定的備份周期，利用自動備份軟件對所管理信息系統(tǒng)進行本機數(shù)據(jù)備份。農(nóng)電營銷系統(tǒng)數(shù)據(jù)每月十八日進行上一月數(shù)據(jù)的完整備份，電費收取計算時，每日進行備份；其它信息系統(tǒng)每周一進行上一周數(shù)據(jù)的備份。信息系統(tǒng)管理員將本機數(shù)據(jù)進行可用性檢查，確認數(shù)據(jù)無誤，將數(shù)據(jù)刻錄成DVD數(shù)據(jù)盤并備份至本地備份服務器進行存放，確保數(shù)據(jù)存放安全。重要數(shù)據(jù)存儲備份采取“數(shù)據(jù)異地多點存儲”，與濰坊市領近縣公司建立互備關系，并在服務器中實施了相關安全策略和設置對應訪問權限，簽訂了數(shù)據(jù)互備安全協(xié)議，保證數(shù)據(jù)在異地的安全，確保在本地發(fā)生重大災難時，能夠有效的恢復系統(tǒng)數(shù)據(jù)。

4.移動存儲設備管理信息中心利用移動存儲認證管理軟件，將唯一代碼寫入移動存儲設備內(nèi)進行認證，認證后只能在公司許可機器中識別讀取。人員調(diào)離工作崗位需要交回移動存儲介質(zhì)，信息中心在收回認證移動存儲設備后，確認數(shù)據(jù)不再需要，將移動存儲設備信息進行集中銷毀，保證數(shù)據(jù)不會流出。

5.數(shù)據(jù)恢復管理信息數(shù)據(jù)管理員將數(shù)據(jù)拷貝至服務器相應文件夾內(nèi)，進行信息數(shù)據(jù)的恢復操作。進行數(shù)據(jù)恢復操作以后，登陸信息系統(tǒng)查看數(shù)據(jù)恢復情況，進行數(shù)據(jù)恢復測試，測試恢復的數(shù)據(jù)是否完整可靠，確保信息系統(tǒng)恢復正常運行。

三、效益分析

1.經(jīng)濟效益當前電力企業(yè)的財務、人事、生產(chǎn)等信息都已實現(xiàn)了電子化，所有的業(yè)務數(shù)據(jù)都存放于服務器中，隨時讀取，隨時更新，大大減少了數(shù)據(jù)查詢和存儲的時間，不僅節(jié)省了人力、物力，而且大大提高了生產(chǎn)率。但隨著信息化的迅速發(fā)展和信息技術運用的深入、普及，信息數(shù)據(jù)安全管理變得日益重要，其存儲的安全性越來越令人擔憂。重要信息數(shù)據(jù)一旦丟失，將為企業(yè)帶來不可估量的損失。加強信息數(shù)據(jù)安全管理，可為企業(yè)信息化建設和各項工作的持續(xù)開展保駕護航。

2.管理效益信息數(shù)據(jù)的安全管理保證了管理信息系統(tǒng)的穩(wěn)定運行，使我公司各級管理人員能夠在日常工作中方便、快捷的查詢業(yè)務數(shù)據(jù)，切實做到了日常工作的網(wǎng)絡化、實用化、效率化，管理者借助于現(xiàn)代計算機技術的優(yōu)勢，可快速查閱準確、完整的各類數(shù)據(jù)的統(tǒng)計分析，提高了工作效率，顯著增強了企業(yè)辦公與服務水準，促進了企業(yè)現(xiàn)代化建設管理的進程。

篇4

網(wǎng)絡數(shù)據(jù)庫是網(wǎng)絡環(huán)境下辦公自動化（OA）系統(tǒng)的核心部分。設計一個網(wǎng)絡數(shù)據(jù)庫所采用的技術實現(xiàn)方法，其先進性和科學性不僅對軟件的開發(fā)效率和軟件質(zhì)量有著很大的影響，而且對整個軟件的使用和維護有著重大的影響。同時，系統(tǒng)的安全性對于系統(tǒng)的實現(xiàn)同樣非常關鍵。系統(tǒng)不安全的因素包括非授權用戶訪問計算機網(wǎng)絡，授權用戶越權訪問有關數(shù)據(jù)庫，以及敏感信息在基于TCP/IP網(wǎng)絡上的傳輸。結合開發(fā)實踐，本文主要介紹網(wǎng)絡數(shù)據(jù)庫的實現(xiàn)技術和基于SQLSERVER的安全策略。

1系統(tǒng)實現(xiàn)技術

（一）數(shù)據(jù)庫訪問技術

一般的數(shù)據(jù)庫開發(fā)工具如Delphi5都提供了一些數(shù)據(jù)庫對象組件，它們封裝了BDE的功能。這樣，開發(fā)數(shù)據(jù)庫應用程序就不必知道BDE的功能。其次，還提供了數(shù)據(jù)感知組件可以與數(shù)據(jù)訪問組件彼此通信，這樣，建立數(shù)據(jù)庫應用程序的界面就變得簡單。SQLLinks為連接Oracle、Sybase、Informix、MicrosoftSQLServer、DB2和InterBase提供了專門的驅(qū)動程序，還可以通過ODBC連接其他數(shù)據(jù)庫[1]。

（二）SQL編程技術

SQL是一組符合工業(yè)標準的數(shù)據(jù)庫操作命令集，它可以在Delphi這樣的編程環(huán)境中使用。SQL不是一門語言，無法得到一個專門的SQL軟件，它只是服務器數(shù)據(jù)庫的一部分。

作為一種查詢語言，是網(wǎng)絡環(huán)境下客戶/服務器數(shù)據(jù)庫應用程序開發(fā)的標準[2]。Delphi提供了支持SQL的有關組件。SQL具有一些查看數(shù)據(jù)的優(yōu)勢，而且只能使用SQL命令來獲得。通過SQL，也可以靈活地查詢所需要的數(shù)據(jù)，這種靈活性是面向記錄的數(shù)據(jù)庫操作所不具備的。

SQL為控制服務器的數(shù)據(jù)提供了下列功能：

數(shù)據(jù)定義：使用SQL可以定義數(shù)據(jù)庫表的結構，包括表中字段的數(shù)據(jù)類型以及不同表的字段之間的參照關系。

數(shù)據(jù)檢索：客戶程序可以通過SQL向服務器請求它所需要的數(shù)據(jù)。SQL還允許客戶定義要檢索什么數(shù)據(jù)、如何檢索，例如排序、選擇字段等。

數(shù)據(jù)完整性：SQL可以實現(xiàn)數(shù)據(jù)完整性約束，這些完整性約束可以定義為數(shù)據(jù)庫表的一部分，也可以使這些規(guī)則以存儲過程或其他數(shù)據(jù)庫對象的形式從表中獨立出來。

數(shù)據(jù)處理：SQL允許客戶程序更新、添加或刪除服務器上的數(shù)據(jù)。這些操作可以由客戶提交的SQL語句來完成，也可以由服務器上的存儲過程來完成。

安全性：通過對不同的數(shù)據(jù)庫對象定義訪問權限、視圖以及受限制的訪問，SQL可以保護數(shù)據(jù)的安全。

并發(fā)訪問：SQL支持對數(shù)據(jù)的并發(fā)訪問，多個用戶可以同時使用系統(tǒng)而不互相干擾。

簡而言之，SQL是開發(fā)和操作客戶/服務器數(shù)據(jù)的重要工具。

（三）多層分布式應用技術。

MIDAS(MultitudeDistributedApplicationServicesSuite)即多層分布式應用程序服務器，它提供了一整套中間層應用服務，擴展了操作系統(tǒng)標準，這些服務用于解決各種具體的分布式計算問題，從用于網(wǎng)絡定位的目錄服務到數(shù)據(jù)庫集成和業(yè)務規(guī)則處理。

篇5

2計算機網(wǎng)絡安全中數(shù)據(jù)加密技術的有效應用

當前，數(shù)據(jù)加密技術是一項確保計算機網(wǎng)絡安全的應用最廣泛的技術，且隨著社會及科技的發(fā)展而不斷發(fā)展。數(shù)據(jù)加密技術的廣泛應用為計算機網(wǎng)絡安全提供良好的環(huán)境，同時較好的保護了人們運用互聯(lián)網(wǎng)的安全。密鑰及其算法是數(shù)據(jù)加密技術的兩個主要元素。密鑰是一種對計算機數(shù)據(jù)進行有效編碼、解碼的算法。在計算機網(wǎng)絡安全的保密過程中，可通過科學、適當?shù)墓芾頇C制以及密鑰技術來提高信息數(shù)據(jù)傳輸?shù)目煽啃约鞍踩?。算法就是把普通信息和密鑰進行有機結合，從而產(chǎn)生其他人難以理解的一種密文步驟。要提高數(shù)據(jù)加密技術的實用性及安全性，就要對這兩個因素給予高度重視。

2.1鏈路數(shù)據(jù)加密技術在計算機網(wǎng)絡安全中的應用

一般情況下，多區(qū)段計算機計算機采用的就是鏈路數(shù)據(jù)加密技術，其能夠?qū)π畔?、?shù)據(jù)的相關傳輸路線進行有效劃分，并以傳輸路徑以及傳輸區(qū)域的不同對數(shù)據(jù)信息進行針對性的加密。數(shù)據(jù)在各個路段傳輸?shù)倪^程中會受到不同方式的加密，所以數(shù)據(jù)接收者在接收數(shù)據(jù)時，接收到的信息數(shù)據(jù)都是密文形式的，在這種情況下，即便數(shù)據(jù)傳輸過程被病毒所獲取，數(shù)據(jù)具有的模糊性也能對數(shù)據(jù)信息起到的一定程度的保護作用。此外，鏈路數(shù)據(jù)加密技術還能夠?qū)魉椭械男畔?shù)據(jù)實行相應的數(shù)據(jù)信息填充，使得數(shù)據(jù)在不同區(qū)段傳輸?shù)臅r候會存在較大的差異，從而擾亂竊取者數(shù)據(jù)判斷的能力，最終達到保證數(shù)據(jù)安全的目的。

2.2端端數(shù)據(jù)加密技術在計算機網(wǎng)絡安全中的應用

相比鏈路數(shù)據(jù)加密技術，端端數(shù)據(jù)加密技術實現(xiàn)的過程相對來說較為容易。端端數(shù)據(jù)加密技術主要是借助密文形式完成信息數(shù)據(jù)的傳輸，所以數(shù)據(jù)信息傳輸途中不需要進行信息數(shù)據(jù)的加密、解密，這就較好的保障了信息安全，并且該種技術無需大量的維護投入及運行投入，由于端端數(shù)據(jù)加密技術的數(shù)據(jù)包傳輸?shù)穆肪€是獨立的，因而即使某個數(shù)據(jù)包出現(xiàn)錯誤，也不會干擾到其它數(shù)據(jù)包，這一定程度上保證了數(shù)據(jù)傳輸?shù)挠行约巴暾?。此外，在應用端端?shù)據(jù)加密技術傳輸數(shù)據(jù)的過程中，會撤銷原有信息數(shù)據(jù)接收者位置的解密權，除了信息數(shù)據(jù)的原有接收者，其他接收者都不能解密這些數(shù)據(jù)信息，這極大的減少了第三方接收數(shù)據(jù)信息的幾率，大大提高了數(shù)據(jù)的安全性。

2.3數(shù)字簽名信息認證技術在計算機網(wǎng)絡安全中的有效應用

隨著計算機相關技術的快速發(fā)展，數(shù)字簽名信息認證技術在提高計算機網(wǎng)絡安全中的重要作用日漸突出。數(shù)字簽名信息認證技術是保障網(wǎng)絡安全的主要技術之一，主要是通過對用戶的身份信息給予有效的確認與鑒別，從而較好的保證用戶信息的安全。目前，數(shù)字簽名信息認證的方式主要有數(shù)字認證以及口令認證兩種。數(shù)字認證是在加密信息的基礎上完成數(shù)據(jù)信息密鑰計算方法的有效核實，進一步增強了數(shù)據(jù)信息的有效性、安全性。相較于數(shù)字認證而言，口令認證的認證操作更為快捷、簡便，使用費用也相對較低，因而使用范圍更廣。

2.4節(jié)點數(shù)據(jù)加密技術在計算機網(wǎng)絡安全中的有效應用

節(jié)點數(shù)據(jù)加密技術和鏈路數(shù)據(jù)加密技術具有許多相似之處，都是采取加密數(shù)據(jù)傳送線路的方法來進行信息安全的保護。不同之處則是節(jié)點數(shù)據(jù)加密技術在傳輸數(shù)據(jù)信息前就對信息進行加密，在信息傳輸過程中，數(shù)據(jù)信息不以明文形式呈現(xiàn)，且加密后的各項數(shù)據(jù)信息在進入傳送區(qū)段之后很難被其他人識別出來，以此來達到保護信息安全的目的。但是實際上，節(jié)點數(shù)據(jù)加密技術也存在一定弊端，由于其要求信息發(fā)送者和接收方都必須應用明文形式來進行信息加密，因而在此過程中，相關信息一旦遭到外界干擾，就會降低信息安全。

2.5密碼密鑰數(shù)據(jù)技術在計算機網(wǎng)絡安全中的有效應用

保護數(shù)據(jù)信息的安全是應用數(shù)據(jù)加密技術的最終目的，數(shù)據(jù)加密是保護數(shù)據(jù)信息安全的主動性防治措施。密鑰一般有私用密鑰及公用密鑰兩種類型。私用密鑰即信息傳送雙方已經(jīng)事先達成了密鑰共識，并應用相同密鑰實現(xiàn)信息加密、解密，以此來提高信息的安全性。而公用密鑰的安全性則比較高，其在發(fā)送文件發(fā)送前就已經(jīng)對文件進行加密，能有效避免信息的泄露，同時公用密鑰還能夠與私用密鑰互補，對私用密鑰存在的缺陷進行彌補。

篇6

當前，大部分計算機的系統(tǒng)為Windows系統(tǒng)，只有少數(shù)計算機的系統(tǒng)為Linux系統(tǒng)。Windows系統(tǒng)受眾面廣，受網(wǎng)絡攻擊的可能性更大，再加上系統(tǒng)本身存在很多漏洞，嚴重影響了計算機數(shù)據(jù)信息的安全性。如果黑客攻擊系統(tǒng)所存在的漏洞，就會導致病毒通過漏洞感染計算機。計算機操作系統(tǒng)建設所用的代碼會涉及到匯編、反匯編等底層代碼，并且所有代碼的編寫需要整個團隊來完成，這樣往往在代碼編寫過程中就會出現(xiàn)漏洞，需要用專門的補丁來修復。系統(tǒng)漏洞的存在給計算機的安全使用帶來了極大的威脅，導致銀行賬號、密碼，游戲賬號、密碼等泄露，從而對計算機使用者造成一定的損失。

1.2計算機病毒

計算機病毒具有感染性強、蔓延范圍廣、傳播速度快等特點，是威脅計算機數(shù)據(jù)安全的重要因素。在病毒進入到計算機程序后，如果將帶有病毒的數(shù)據(jù)文件應用于計算機網(wǎng)絡傳輸或共享，那么其他計算機在瀏覽或打開此數(shù)據(jù)文件時也會被感染，出現(xiàn)連鎖式病毒傳播。另外，如果計算機病毒過多，會對計算機操作系統(tǒng)造成十分嚴重的影響，出現(xiàn)死機或者數(shù)據(jù)丟失等事故。

1.3非正常入侵

計算機網(wǎng)絡具有開放性特點，在互聯(lián)網(wǎng)背景下，很多不法分子利用系統(tǒng)本身存在的漏洞非法入侵用戶計算機。非法入侵者一般采取竊聽、監(jiān)視等手段，獲取計算機網(wǎng)絡用戶的口令、IP包和用戶信息等，然后利用各種信息進入計算機局域網(wǎng)內(nèi)，并采用冒充系統(tǒng)客戶或者用合法用戶的IP地址代替自己的IP地址等方式，篡改或竊取計算機網(wǎng)絡內(nèi)的數(shù)據(jù)信息。

2數(shù)據(jù)加密技術的應用

2.1密鑰保護

密鑰保護是數(shù)據(jù)加密中一種常用的加密技術。改變密鑰的表達方式，可提高密文書寫的多變性，體現(xiàn)多層次的加密方式。密鑰保護可分為公鑰保護和私鑰保護兩種方式。通常這兩種方式相互配合，對提高計算機數(shù)據(jù)信息的安全性具有重要意義。私鑰保護具有一定的局限性，在使用時必須借助公鑰保護來完成整個保護動作。密鑰保護的原理是：當計算機進行數(shù)據(jù)傳輸時，選用公鑰對需要傳輸?shù)男畔⑦M行加密，在用戶接收數(shù)據(jù)后，需要通過私鑰來完成解密動作，以此來確保傳輸數(shù)據(jù)的安全性，避免攻擊者非法竊取傳輸過程中的數(shù)據(jù)。當前，秘鑰保護方式一般用于管理系統(tǒng)和金融系統(tǒng)中，可以完成對私人信息、用戶登錄和訪問過程等方面的保護。

2.2USBkey保護

USBkey是數(shù)據(jù)加密技術的典型代表，一般用于銀行交易系統(tǒng)中，保證網(wǎng)絡交易環(huán)境的安全性。USBkey服務于客戶端到銀行系統(tǒng)，對每項數(shù)據(jù)信息的傳輸都需要加密處理，避免數(shù)據(jù)在傳輸過程中受到惡意攻擊。就現(xiàn)狀來看，銀行系統(tǒng)通過計算機網(wǎng)絡來完成工作的概率逐漸上升。USBkey可以保護銀行系統(tǒng)能夠在相對安全的環(huán)境中完成交易。在用戶利用計算機網(wǎng)絡進行銀行交易時，USBkey中的加密技術會自動匹配用戶信息，即便用戶行為被跟蹤，攻擊者也無法破譯USBkey中的加密技術，通過加強用戶登錄身份的驗證，保證用戶財務安全。

2.3數(shù)字簽名保護

數(shù)字簽名保護是比較常用的一種數(shù)據(jù)加密技術，具有很好的保護效果。數(shù)字簽名保護的原理是利用加密、解密過程，識別用戶身份，從而保證數(shù)據(jù)信息的安全性。數(shù)字簽名保護也分為公鑰保護和私鑰保護兩種，如果只使用其中的一種保護方式，會在本質(zhì)上降低安全保護的效果。因此，通常情況下，常在私鑰簽名處外加一層公鑰保護，提高數(shù)字簽名保護的效果。

篇7

（一）網(wǎng)絡設備安全分析

在網(wǎng)絡設備安全中主要涉及到四個方面。首先是網(wǎng)絡賬號安全。電力調(diào)度數(shù)據(jù)網(wǎng)安全技術設置一定的賬號方便賬號管理工作，對用戶進行身份驗證，保證電網(wǎng)信息的安全不泄露。其次是配置安全，主要是基于電力數(shù)據(jù)網(wǎng)內(nèi)的關鍵數(shù)據(jù)信息進行定期備份處理，每一次關鍵信息的備份處理都在設備上留有痕跡，保證檔案信息有效。再次是審計安全，我國明確要求整個電力調(diào)度數(shù)據(jù)網(wǎng)具備審計功能，做好審計安全可以保證系統(tǒng)設備運行狀況、網(wǎng)絡流量計用戶日常信息更新，為日后查詢提供方便。最后是維護安全，要求定期安排技術人員進行設備巡視，對于設備中存在的配置漏洞與書寫錯誤進行檢查修復，防止系統(tǒng)漏洞造成的系統(tǒng)崩潰及安全問題。

（二）網(wǎng)絡結構安全分析

在計算機網(wǎng)絡結構技術分析中我們?yōu)榱吮ＷC電力調(diào)度數(shù)據(jù)網(wǎng)的結構安全可以從以下四個方面入手做好技術升級與完善。首先使用冗余技術設計完成網(wǎng)絡拓撲結構，為電力調(diào)度提供主要的網(wǎng)絡設備及通信線路硬件冗余。其次依據(jù)業(yè)務的重要性制定帶寬分配優(yōu)先級別，從而保證網(wǎng)絡高峰時期的重要業(yè)務的寬帶運行。再次積極做好業(yè)務系統(tǒng)的單獨劃分安全區(qū)域，保證每個安全區(qū)域擁有唯一的網(wǎng)絡出口。最后定期進行維護管理，繪制網(wǎng)絡拓撲圖、填寫登記信息，并對這些信息進行定期的更新處理。在網(wǎng)絡安全結構的設計分析上采用安全為區(qū)分與網(wǎng)絡專用的原則，對本區(qū)的調(diào)度數(shù)據(jù)網(wǎng)進行合理的前期規(guī)劃，將系統(tǒng)進行實時控制區(qū)、非控制生產(chǎn)區(qū)及生產(chǎn)管理區(qū)的嚴格區(qū)分。堅持“橫向隔離，縱向認證”的原則，在網(wǎng)絡中部署好必要的安全防護設備。優(yōu)先做好VLAN及VPN的有效隔離。最后不斷優(yōu)化網(wǎng)絡服務體系。網(wǎng)絡服務是數(shù)據(jù)運輸及運行的保證，積極做好網(wǎng)絡服務可以避免數(shù)據(jù)信息的破損入侵，在必要情況下關閉電力設備中存在的不安全或者不必要的非法控制入侵行為，切實提高電力調(diào)度數(shù)據(jù)網(wǎng)的安全性能。

二、系統(tǒng)安全管理技術分析

電力調(diào)度數(shù)據(jù)網(wǎng)本身具有網(wǎng)絡系統(tǒng)的復雜性，只有積極做好網(wǎng)絡系統(tǒng)的安全管理才能實現(xiàn)電力的合理調(diào)度。系統(tǒng)管理工作涉及項目繁多，涉及主要的設備采購及軟件開發(fā)、工程建設、系統(tǒng)備案等多個方面。在進行系統(tǒng)安全管理時要積極做好核心設備的采購、自行或外包軟件開發(fā)過程中的安全管理、設置必要的訪問限制、安全日志及安全口令、漏洞掃描，為系統(tǒng)及軟件的升級與維護保駕護航。

三、應用接入安全技術分析

在電力調(diào)度的數(shù)據(jù)網(wǎng)安全技術中，應用接入安全是不可忽視的重要組成部分。目前由于電力二次系統(tǒng)設備廠家繁多，目前國家沒有明確統(tǒng)一的指導性標準可供遵循，導致生產(chǎn)廠家的應用接入標準不一，無形之中為安全管理工作帶來諸多不便。因此在優(yōu)化電力調(diào)度數(shù)據(jù)網(wǎng)安全系統(tǒng)時，可以依據(jù)調(diào)度數(shù)據(jù)網(wǎng)本身的運行需求，從二次系統(tǒng)業(yè)務的規(guī)范接入、通信信息的完整性及剩余信息的保護等方面著手，制定出切實可行的安全防護機制，從根本上保障電力調(diào)度數(shù)據(jù)網(wǎng)絡的安全穩(wěn)定。

篇8

自主訪問控制模型是基于用戶身份的訪問和控制。在自主型訪問安全模型中，每個用戶都要被分配一定的權限，例如用戶或者是被允許讀取，或是被允許寫入。也就是說，在自主型訪問安全模型中，對資源對象的“擁有”是用戶最核心的權限屬性。當某個用戶要求訪問某個數(shù)據(jù)庫資源時，系統(tǒng)檢查該用戶對該資源的所有權限，或衍生出來的訪問權限，如果通過，則允許該訪問在許可的方式下進行，如果不能通過，則拒絕繼續(xù)訪問系統(tǒng)。在自主型安全模型中，擁有某種權限的用戶可以自主地將其所擁有的權限傳授給其他任意在系統(tǒng)中登錄的用戶，它是該模型存在的致命缺點。自主訪問安全模型的典型代表是存取矩陣。DAC模型可對用戶提供靈活和易行的數(shù)據(jù)訪問方式，但安全性相對較低。在該模型中，盡管訪問控制只在授權后才能得到，但攻擊者也很容易越過訪問的授權限制。如當一個用戶有權對某數(shù)據(jù)進行讀操作時，它可以把這個權利傳遞給無權讀此數(shù)據(jù)的人，而數(shù)據(jù)的所有者并不知道這一切。一旦某個信息為用戶所獲得，那么該模型策略對信息的使用是不加任何限制的。也就是說，在該模型中，盡管有自主型控制，對于非授權的人來說，非法讀取數(shù)據(jù)是可能的，這樣一來，系統(tǒng)就很容易受到類似特洛伊木馬的攻擊。特洛伊木馬可以改變系統(tǒng)的保護狀態(tài)，使系統(tǒng)安全受到威脅。

二、改造數(shù)據(jù)庫實現(xiàn)數(shù)據(jù)庫安全

（一）采用對數(shù)據(jù)庫驅(qū)動程序進行安全擴展的方法

在數(shù)據(jù)庫存取接口上，通過擴展標準的SQL語句，透明地實現(xiàn)對數(shù)據(jù)庫中敏感信息的加密和完整性保護，對關系數(shù)據(jù)庫的操作可以采用SQLDDL和SQLDML語言，通過ODBC、．IDBC、BDE等數(shù)據(jù)庫驅(qū)動程序?qū)崿F(xiàn)對數(shù)據(jù)庫中表格、記錄或字段的存取控制；并對用戶操作進行日志記錄和審計，從內(nèi)部增強關系數(shù)據(jù)庫的存儲和存取安全。這種方式具有通用性，并且不會對數(shù)據(jù)庫系統(tǒng)的性能造成大的影響。該模型在常規(guī)數(shù)據(jù)庫驅(qū)動程序中增加密鑰管理、審計日志管理、完整性驗證和數(shù)據(jù)加解密等安全擴展模塊，通過附加的安全屬性如數(shù)據(jù)庫存儲加密密鑰和審計日志等與安全相關的信息來加強數(shù)據(jù)庫的安全；同時，增加數(shù)據(jù)庫主密鑰設置、更新和加密算法設置等安全屬性來提高SQL語句的安全性。

（二）采用基于視圖的數(shù)據(jù)庫安全模型

SQLServer通用安全模型的特點是將權限賦予表，用戶要查詢數(shù)據(jù)、更改數(shù)據(jù)或?qū)?shù)據(jù)庫進行其它操作時，直接存取表，用戶只要有對表的Select權限，就可以檢索表中所有的信息。但是，現(xiàn)實世界中大多數(shù)的應用都要求對信息本身劃分為不同的保密級別，如軍隊中對信息的分類就不能簡單地劃分為公開和保密2類，而是需要更加細致的分類，可能對同一記錄內(nèi)的不同字段都要劃分為不同的保密級別。甚至同一字段的不同值之間都要求劃分為不同的保密級別。多級保密系統(tǒng)中，對不同數(shù)據(jù)項賦予不同的保密級別。然后根據(jù)數(shù)據(jù)項的密級，給存取本數(shù)據(jù)項的操作賦予不同的級別。SQLServer通用安全模式顯然不能將不同的字段和同一字段的不同值分為不同的保密級別。這是因為用戶直接存取存儲數(shù)據(jù)的數(shù)據(jù)庫表。采用基于視圖的數(shù)據(jù)庫安全模型。這個問題就可迎刃而解。

篇9

1引言

經(jīng)過20多年的發(fā)展，無線局域網(wǎng)（WirelessLocalAreaNetwork，WLAN），已經(jīng)成為一種比較成熟的技術，應用也越來越廣泛，是計算機有線網(wǎng)絡的一個必不可少的補充。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應用是基于開放系統(tǒng)的，它具有更大的開放性，數(shù)據(jù)傳播范圍很難控制，因此無線局域網(wǎng)將面臨著更嚴峻的安全問題。

無線局域網(wǎng)的安全問題伴隨著市場與產(chǎn)業(yè)結構的升級而日益凸現(xiàn)，安全問題已經(jīng)成為WLAN走入信息化的核心舞臺，成為無線局域網(wǎng)技術在電子政務、行業(yè)應用和企業(yè)信息化中大展拳腳的桎梏。

2無線局域網(wǎng)的安全威脅

隨著公司無線局域網(wǎng)的大范圍推廣普及使用，WLAN網(wǎng)絡信息系統(tǒng)所面臨的安全問題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標發(fā)起攻擊，而且我們的系統(tǒng)還同時要面臨來自外部、內(nèi)部、自然等多方面的威脅。

由于無線局域網(wǎng)采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權存取和竊聽的行為也更不容易防備。無線局域網(wǎng)必須考慮的安全威脅有以下幾種：

＞所有有線網(wǎng)絡存在的安全威脅和隱患都存在；

＞無線局域網(wǎng)的無需連線便可以在信號覆蓋范圍內(nèi)進行網(wǎng)絡接入的嘗試，一定程度上暴露了網(wǎng)絡的存在；

＞無線局域網(wǎng)使用的是ISM公用頻段，使用無需申請，相鄰設備之間潛在著電磁破壞（干擾）問題；

＞外部人員可以通過無線網(wǎng)絡繞過防火墻，對公司網(wǎng)絡進行非授權存??；

＞無線網(wǎng)絡傳輸?shù)男畔]有加密或者加密很弱，易被竊取、竄改和插入；

＞無線網(wǎng)絡易被拒絕服務攻擊（DOS）和干擾；

＞內(nèi)部員工可以設置無線網(wǎng)卡為P2P模式與外部員工連接。

3無線局域網(wǎng)的安全保障

自從無線局域網(wǎng)誕生之日起，安全患與其靈活便捷的優(yōu)勢就一直共存，安全問題的解決方案從反面制約和影響著無線局域網(wǎng)技術的推廣和應用。為了保證無線局域網(wǎng)的安全性，IEEE802.11系列標準從多個層次定義了安全性控制手段。

3.1SSID訪問控制

服務集標識符(ServiceSetIdentifier，SSID)這是人們最早使用的一種WLAN安全認證方式。服務集標識符SSID，也稱業(yè)務組標識符，是一個WLAN的標識碼，相當于有線局域網(wǎng)的工作組（WORKGROUP）。無線工作站只有出示正確的SSID才能接入WLAN，因此可以認為SSID是一個簡單的口令，通過對AP點和網(wǎng)卡設置復雜的SSID（服務集標識符），并根據(jù)需求確定是否需要漫游來確定是否需要MAC地址綁定，同時禁止AP向外廣播SSID。嚴格來說SSID不屬于安全機制，只不過，可以用它作為一種實現(xiàn)訪問控制的手段。

3.2MAC地址過濾

MAC地址過濾是目前WLAN最基本的安全訪問控制方式。MAC地址過濾屬于硬件認證，而不是用戶認證。MAC地址過濾這種很常用的接入控制技術，在運營商鋪設的有線網(wǎng)絡中也經(jīng)常使用，即只允許合法的MAC地址終端接入網(wǎng)絡。用無線局域網(wǎng)中，AP只允許合法的MAC地址終端接入BSS，從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時更新，但是目前都是通過手工操作完成，因此擴展能力差，只適合小型網(wǎng)絡規(guī)模，同時這種方法的效率也會隨著終端數(shù)目的增加而降低。

3.3802.11的認證服務

802.11站點（AP或工作站）在與另一個站點通信之前都必須進行認證服務，兩個站點能否通過認證是能否相互通信的根據(jù)。802.11標準定義了兩種認證服務：開放系統(tǒng)認證和共享密鑰認證。采用共享密鑰認證的工作站必須執(zhí)行有線等效保密協(xié)議（WiresEquivalentPrivacy，WEP）。

WEP利用一個64位的啟動源密鑰和RC4加密算法保護調(diào)制數(shù)據(jù)傳輸。WEP為對稱加密，屬于序列密碼。為了解決密鑰重用的問題，WEP算法中引入了初始向量（InitialilizationVector，IV），IV為一隨機數(shù)，每次加密時隨機產(chǎn)生，IV與原密鑰結合作為加密的密鑰。由于IV并不屬于密鑰的一部分，所以無須保密，多以明文形式傳輸。

WEP協(xié)議自公布以來，它的安全機制就遭到了廣泛的抨擊，主要問題如下：

(1)WEP加密存在固有的缺陷，它的密鑰固定且比較短（只有64-24＝40bits）。

(2)IV的使用解決了密鑰重用的問題，但是IV的長度太短，強度并不高，同時IV多以明文形式傳輸，帶來嚴重的安全隱患。

(3)密鑰管理是密碼體制中最關鍵的問題之一，但是802.11中并沒有具體規(guī)定密鑰的生成、分發(fā)、更新、備份、恢復以及更改的機制。

(4)WEP的密鑰在傳遞過程中容易被截獲。

所有上述因素都增加了以WEP作為安全手段的WLAN的安全風險。目前在因特網(wǎng)上已經(jīng)出現(xiàn)了許多可供下載的WEP破解工具軟件，例如WEPCrack和AirSnort。

4WLAN安全的增強性技術

隨著WLAN應用的進一步發(fā)展，802.11規(guī)定的安全方案難以滿足高端用戶的需求。為了推進WLAN的發(fā)展和應用，業(yè)界積極研究，開發(fā)了很多增強WLAN安全性的方法。

4.1802.1x擴展認證協(xié)議

IEEE802.1x使用標準安全協(xié)議（如RADIUS）提供集中的用戶標識、身份驗證、動態(tài)密鑰管理?；?02.1x認證體系結構，其認證機制是由用戶端設備、接入設備、后臺RADIUS認證服務器三方完成。IEEE802.1x通過提供用戶和計算機標識、集中的身份驗證以及動態(tài)密鑰管理，可將無線網(wǎng)絡安全風險減小到最低程度。在此執(zhí)行下，作為RADIUS客戶端配置的無線接入點將連接請求發(fā)送到中央RADIUS服務器。中央RADIUS服務器處理此請求并準予或拒絕連接請求。如果準予請求，根據(jù)所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成唯一密鑰。然后，客戶機與AP激活WEP，利用密鑰進行通信。

為了進一步提高安全性，IEEE802.1x擴展認證協(xié)議采用了WEP2算法，即將啟動源密鑰由64位提升為128位。

移動節(jié)點可被要求周期性地重新認證以保持一定的安全級。

4.2WPA保護機制

Wi-FiProtectedAccess（WPA，Wi-Fi保護訪問）是Wi-Fi聯(lián)盟提出的一種新的安全方式，以取代安全性不足的WEP。WPA采用了基于動態(tài)密鑰的生成方法及多級密鑰管理機制，方便了WLAN的管理和維護。WPA由認證、加密和數(shù)據(jù)完整性校驗三個部分組成。

(1)認證

WPA要求用戶必須提供某種形式的證據(jù)來證明它是合法用戶，才能擁有對某些網(wǎng)絡資源的訪問權，并且這是是強制性的。WPA的認證分為兩種：第一種采用802.1xEAP（ExtensibleAuthenticationProtocol）的方式，用戶提供認證所需的憑證，如用戶名密碼，通過特定的用戶認證服務器來實現(xiàn)。另一種為WPA預共享密鑰方式，要求在每個無線局域網(wǎng)節(jié)點（AP、STA等）預先輸入一個密鑰，只要密鑰吻合就可以獲得無線局域網(wǎng)的訪問權。

(2)加密

WPA采用TKIP（TemporalKeyIntegrityProtocol，臨時密鑰完整性協(xié)議）為加密引入了新的機制，它使用一種密鑰構架和管理方法，通過由認證服務器動態(tài)生成、分發(fā)密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到128位等方法增強安全性。而且，TKIP利用了802.1x/EAP構架。認證服務器在接受了用戶身份后，使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。然后，TKIP把這個密鑰通過安全通道分發(fā)到AP和客戶端，并建立起一個密鑰構架和管理系統(tǒng)，使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰，來加密每一個無線通訊數(shù)據(jù)報文。

(3)消息完整性校驗

除了保留802.11的CRC校驗外，WPA為每個數(shù)據(jù)分組又增加了一個8個字節(jié)的消息完整性校驗值，以防止攻擊者截獲、篡改及重發(fā)數(shù)據(jù)報文。

4.3VPN的應用

目前許多企業(yè)以及運營商已經(jīng)采用虛擬專用網(wǎng)（VPN）技術。虛擬專用網(wǎng)（VPN）技術是指在一個公共IP網(wǎng)絡平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全性，其本身并不屬于802.11標準定義，但是用戶可以借助VPN來抵抗無線網(wǎng)絡的不安全因素，同時還可以提供基于RADIUS的用戶認證以及計費?？梢酝ㄟ^購置帶VPN功能防火墻，在無線基站和AP之間建立VPN隧道，這樣整個無線網(wǎng)的安全性得到極大的提高，能夠有效地保護數(shù)據(jù)的完整性、可信性和不可抵賴性。

VPN技術作為一種比較可靠的網(wǎng)絡安全解決方案，在有線網(wǎng)絡中，尤其是企業(yè)有線網(wǎng)絡應用中得到了一定程度的采用，然而無線網(wǎng)絡的應用特點在很大程度上阻礙了VPN技術的應用，如吞吐量性能瓶頸、網(wǎng)絡的擴展性問題、成本問題等。

4.4WAPI鑒別與保密

無線局域網(wǎng)鑒別與保密基礎結構（WLANAuthenticationandPrivacyInfrastructure，WAPI）是我國無線局域網(wǎng)國家標準制定的，由無線局域網(wǎng)鑒別基礎結構（WLANAuthenticationInfrastructure，WAI）和無線局域網(wǎng)保密基礎結構（WLANPrivacyInfrastructure，WPI）組成。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰體制的分組密碼算法，分別用于WLAN設備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。

在WAPI中，身份鑒別的基本功能是實現(xiàn)對接入設備用戶證書和其身份的鑒別，若鑒別成功則允許接入網(wǎng)絡，否則解除其關聯(lián)，鑒別流程包含下列幾個步驟：

1)鑒別激活：當STA登錄至AP時，由AP向STA發(fā)送認證激活以啟動認證過程；

2)接入鑒別請求：工作站STA向AP發(fā)出接入認證請求，將STA證書與STA的當前系統(tǒng)時間（接入認證請求時間）發(fā)往AP；

3)證書鑒別請求：AP收到STA接入認證請求后，向AS（認證服務器）發(fā)出證書認證請求，將STA證書、接入認證請求時間、AP證書及用AP的私鑰對上述字段的簽名，構成認證請求報文發(fā)送給AS。

4)證書鑒別響應：AS收到AP的證書認證請求后，驗證AP的簽名以及AP和STA證書的合法性。驗證完畢后，AS將STA證書認證結果信息(包括STA證書、認證結果及AS對它們的簽名)、AP證書認證結果信息(包括AP證書、認證結果、接入認證請求時間及AS對它們的簽名)構成證書認證響應報文發(fā)回給AP。

5)接入鑒別響應：AP對AS返回的證書認證響應進行簽名驗證，得到STA證書的認證結果。AP將STA證書認證結果信息、AP證書認證結果信息以及AP對它們的簽名組成接入認證響應報文回送至STA。STA驗證AS的簽名后，得到AP證書的認證結果。STA根據(jù)該認證結果決定是否接入該AP。

至此，工作站STA與AP之間完成了雙向的證書鑒別過程。為了更大程度上保證WLAN的安全需求，還可以進行私鑰的驗證，以確認AP和工作站STA是否是證書的合法持有者，私鑰驗證由請求和響應組成。

當工作站STA與接入點AP成功進行證書鑒別后，便可進行會話密鑰的協(xié)商。會話密鑰協(xié)商包括密鑰協(xié)商請求和密鑰協(xié)商響應。密鑰協(xié)商請求可以由AP或STA中的任意一方發(fā)起，另一方進行響應。為了進一步提高通信的保密性能，在通信一段時間或交換一定數(shù)量的報文后，工作站STA與AP之間應該重新進行會話密鑰的協(xié)商來確定新的會話密鑰。

5結束語

要保證WLAN的安全，需要從加密技術和密鑰管理技術兩方面來提供保障。使用加密技術可以保證WLAN傳輸信息的機密性，并能實現(xiàn)對無線網(wǎng)絡的訪問控制，密鑰管理技術為加密技術服務，保證密鑰生成、分發(fā)以及使用過程中不會被非法竊取，另外靈活的、基于協(xié)商的密鑰管理技術為WLAN的維護工作提供了便利。盡管我們國家WLAN標準的出臺以及強制執(zhí)行引起了很大的影響，但這是我國信息安全戰(zhàn)略的具體落實，它表明我們國家已經(jīng)邁出了堅實的一步。

參考文獻

篇10

我國近二十年來信息化建設飛速發(fā)展，各個行業(yè)對信息系統(tǒng)的依賴程度都在提高，信息化、數(shù)字化已經(jīng)成為現(xiàn)代社會一個非常明顯的進步標志。目前，信息技術在高校建設應用范圍也越來越廣，數(shù)據(jù)中心作為高校辦學核心技術所在更是早就向數(shù)字化和信息化發(fā)展，由此導致信息系統(tǒng)的安全問題越來越突出，所以數(shù)據(jù)中心的信息安全建設日趨重要，以此提高數(shù)據(jù)中心對信息風險的防范能力。

1高校數(shù)據(jù)中心信息安全建設的重要性及隱患

高校數(shù)據(jù)中心是保障校內(nèi)多個應用系統(tǒng)安全運行，保證學生身份認證和管理、日常辦公、人事管理、財務管理、圖書資料管理、教務選課等工作的前提條件，另外數(shù)據(jù)中心內(nèi)存有學校各種重要的資料和關鍵的數(shù)據(jù)。保證這些資料數(shù)據(jù)的安全，保障各應用系統(tǒng)的安全運行是數(shù)據(jù)中心的一項重要職責，所以進行數(shù)據(jù)中心信息安全建設是確保高校數(shù)據(jù)安全的必然選擇，其根本出發(fā)點和歸宿是為了保證數(shù)據(jù)中心信息不丟失或者被盜［1］。然而，隨著互聯(lián)網(wǎng)技術日新月異的發(fā)展，數(shù)據(jù)中心存在安全隱患。這些安全隱患除了來自管理制度的不健全外，有來自于現(xiàn)有網(wǎng)絡各種攻擊技術手段，未被授權的訪問可能會導致數(shù)據(jù)整體性和私密性遭到破壞，還有一些數(shù)據(jù)中心內(nèi)部的操作，如新業(yè)務系統(tǒng)上線，系統(tǒng)升級等帶來的網(wǎng)絡宕機。各種安全產(chǎn)品、安全技術的簡單堆砌并不能保證數(shù)據(jù)中心的安全，所以只有在安全策略的指導下，建立有機的、智能化的安全防范體系，才能有效地保障校園數(shù)據(jù)中心的關鍵業(yè)務和關鍵數(shù)據(jù)的安全［2］。

2高校數(shù)據(jù)中心信息安全建設的主要內(nèi)容

2．1高校數(shù)據(jù)中心信息安全建設的主要技術手段

高校數(shù)據(jù)中心信息安全建設的主要技術手段有：防火墻、防病毒系統(tǒng)、入侵防御、漏洞掃描、CA認證、數(shù)據(jù)備份與容災、個人桌面控制系統(tǒng)、監(jiān)控與審計系統(tǒng)、不間斷電源系統(tǒng)等。這些手段聯(lián)合起來才可以確保組建成一個較為堅固的安全運行環(huán)境。

2．1．1防火墻

防火墻是信息安全體系中最重要的設備之一，對高校數(shù)據(jù)中心來說，它可以為內(nèi)部辦公的局域網(wǎng)以及外部網(wǎng)絡提供安全屏障。它對流經(jīng)的網(wǎng)絡通信進行監(jiān)測掃描，只有選擇指定的網(wǎng)絡應用協(xié)議才可以通過。另外，防火墻還強化了網(wǎng)絡安全策略的配置和管理，對經(jīng)過它的各種訪問進行記錄并做出日志，利用它提供的網(wǎng)絡使用數(shù)據(jù)統(tǒng)計情況，當有可疑的訪問發(fā)生時，能自動進行報警。我們還可以通過防火墻對內(nèi)部網(wǎng)絡進行劃分，實現(xiàn)對內(nèi)部網(wǎng)中的重點網(wǎng)段的隔離（如服務器的DMZ區(qū)），從而防止局部重點網(wǎng)絡安全出現(xiàn)問題對全局網(wǎng)絡造成傷害。

2．1．2防病毒系統(tǒng)、入侵防御、漏洞掃描

計算機病毒傳播途徑多，同時具有非授權性、隱蔽性、傳染性、潛伏性、破壞性、可觸發(fā)性等多重特點，殺傷力極大，不但能攻擊系統(tǒng)數(shù)據(jù)區(qū)、文件和內(nèi)存，而且還能干擾系統(tǒng)、堵塞網(wǎng)絡等，單憑防火墻是無法保證數(shù)據(jù)中心的信息安全的，因此，部署防病毒系統(tǒng)、入侵檢測（防御）、漏洞掃描是很有必要的。我們在網(wǎng)絡中部署網(wǎng)絡殺毒軟件，定期對內(nèi)網(wǎng)中所有服務器和客戶端進行殺毒，并實時更新病毒庫。還需要在網(wǎng)絡入口處部署入侵防御系統(tǒng)，阻止各種嘗試性闖入、偽裝攻擊、系統(tǒng)滲透、泄露、拒絕服務和惡意使用等各種手段的入侵。部署漏洞掃描系統(tǒng)就是每天定期掃描網(wǎng)絡和操作系統(tǒng)中可能存在的漏洞，并立即告警，及時打補丁，把各種攻擊消滅在萌芽狀態(tài)。

2．1．3CA認證系統(tǒng)（身份認證、數(shù)據(jù)傳輸加密、電子簽名、電子公章、時間戳等）

為數(shù)據(jù)中心信息的安全考慮，尤其是機密數(shù)據(jù)的電子政務系統(tǒng)必須采用CA認證。CA認證可以解決網(wǎng)絡環(huán)境中可信的身份認證，并且可以解決信息機密性、信息完整性、身份認證實體性、行為不可否認性、授權有效性等問題。只有本人憑電子鑰匙經(jīng)過CA認證后才能登錄系統(tǒng)訪問機密數(shù)據(jù)，數(shù)據(jù)也只有經(jīng)過CA加密才能在網(wǎng)絡中傳輸，數(shù)據(jù)的接收方也必須經(jīng)過CA認證，所有操作必須經(jīng)過電子簽名并加蓋時間戳。這樣，通過CA認證，數(shù)據(jù)中心中的數(shù)據(jù)的安全系數(shù)就得到了極大的提高。

2．1．4數(shù)據(jù)備份與容災

為了提高服務器的安全性和持續(xù)穩(wěn)定運行，在大多數(shù)模式下可以建立服務器集群，就是集群中所有的計算機擁有一個共同的名稱，這樣集群內(nèi)任何一個系統(tǒng)上運行的服務可被所有的網(wǎng)絡客戶所使用。另外要建立容災備份系統(tǒng)，這是對數(shù)據(jù)做好保護至關重要的，也是保證提供正常服務的最后一道防線。一旦有影響數(shù)據(jù)安全的情況發(fā)生，可以在最短的時間內(nèi)恢復受損的數(shù)據(jù)。備份的方法也很多，有手動備份、自動備份、LAN備份、雙機熱備等。對于海量的空間數(shù)據(jù)，在資金許可的情況下，還可以考慮利用廣域網(wǎng)進行數(shù)據(jù)遠程異地備份，建立容災中心，來確保數(shù)據(jù)的安全。

2．2高校數(shù)據(jù)中心信息安全的制度建設

想要建設成供任何一個系統(tǒng)，除了要配置較為完善的技術設備、軟件支持外，還要建立一個與之適用的完善、合理的規(guī)章制度。高校數(shù)據(jù)中心信息安全的制度建設過程中，必須成立校內(nèi)的信息安全小組，他們的主要任務就是從整體上規(guī)范安全建設，制定數(shù)據(jù)標準，貫徹執(zhí)行和完善信息安全的規(guī)章制度，并且對日常工作進行認真檢查、監(jiān)督和指導。在實際工作中要認真研究各種相關制度，不斷的對當前制度進行更新和完善，進一步確保信息數(shù)據(jù)的安全。

2．3高校數(shù)據(jù)中心信息安全建設的其他方面

數(shù)據(jù)中心的信息安全建設除了要建設各種軟件防護系統(tǒng)、制定完善的制度外，安全管理也是其中一個非常重要的部分。安全管理貫穿整個安全防范體系，是安全防范體系的核心。代表了安全防范體系中人的因素。為了保障數(shù)據(jù)中心信息的安全，必須要進行安全操作培訓工作，而這一工作的重要前提就是做好數(shù)據(jù)中心的安全管理工作。再好的技術如果沒有能夠落實到位，其高水平無法真正發(fā)揮作用。所以，建設高效的數(shù)據(jù)中心信息安全系統(tǒng)，必須要將安全管理落實到位。安全管理不僅包括行政意義上的安全管理，更主要的是對安全技術和安全策略的管理，使用者的安全意識是信息系統(tǒng)是否安全的決定因素，因此對校園數(shù)據(jù)中心用戶的安全培訓和安全服務是整個安全體系中重要、不可或缺的一部分。具體實施的時候，首先對所有相關工作人員進行安全知識培訓，要求所有相關人員對數(shù)據(jù)中心的安全有一個最充分全面的認識，從而在實際工作中更加主動、積極的去關注系統(tǒng)安全、信息安全，盡早消除各種隱患因素［3］。

3對目前高校數(shù)據(jù)中心信息安全建設的建議

3．1建立信息安全框架及安全組織機構

高校應建立信息安全框架，即制定系統(tǒng)安全保障方案，實施安全宣傳教育、安全監(jiān)管和安全服務。在大多數(shù)高校，網(wǎng)絡信息管理中心是信息安全的主管部門和技術支持部門，身兼管理和技術兩項職能，但學校往往賦予網(wǎng)絡中心的只有技術支持的職能，沒有真正意義上的管理職能，出現(xiàn)安全事故只解決技術問題，遺留的很多問題得不到明確的解決。因此，高校還應該建立專門負責信息安全管理的組織機構，該組織機構由學校主要領導負責，并由技術部門和管理部門的人員構成，其中包括網(wǎng)絡中心的負責人，并由網(wǎng)絡中心負責各部門間的協(xié)調(diào)和聯(lián)絡，制定安全政策和策略以及一系列體現(xiàn)安全政策的規(guī)章制度并監(jiān)督執(zhí)行，真正的發(fā)揮這類機構的作用。另外應該重視網(wǎng)絡中心的人員配置情況，引進高層次的技術人才和管理人才，分別負責網(wǎng)絡建設、管理和維護、信息資源建設、信息安全治理等工作，做到分工明確、責任到人，這樣才能切實地提高數(shù)據(jù)中心的信息安全。

3．2加強信息安全的思想認識培養(yǎng)，樹立信息安全意識

網(wǎng)絡信息管理中心要充分發(fā)揮其管理職能，與學校保衛(wèi)處、學工部、校團委等相關部門協(xié)調(diào)配合，積極在全校范圍內(nèi)開展有關信息安全的宣傳活動，邀請信息安全方面的專家對師生、員工進行安全培訓，定期舉行關于信息安全的學術報告，將一些信息安全的實際案例放到中心、校園網(wǎng)站等等，加強對師生、員工的安全教育，將安全意識擴展為一種氛圍，努力提高和強化校內(nèi)的信息安全觀念意識，確立信息安全管理的基本思想與策略，加快信息安全人才的培養(yǎng)。這就從強制性的安全策略轉換為自主接受的安全策略文化，當然這也是實現(xiàn)信息安全目標的基本前提。

3．3確保信息安全得到成熟有效的技術保證，定期進行信息安全審核和評估

環(huán)境的不斷變化決定了信息安全工作的性質(zhì)是長期的、無盡頭的，因此要求使用的安全產(chǎn)品在技術上必須是成熟的、有效的。對于高校數(shù)據(jù)中心信息安全，從技術角度來說，主要涉及到網(wǎng)絡通信系統(tǒng)的保密與安全、操作系統(tǒng)與數(shù)據(jù)庫平臺的安全、應用軟件系統(tǒng)的安全等三個方面。所以必須對網(wǎng)絡系統(tǒng)進行科學的安全分析，結合具體應用，將上述三個方面密切結合，在網(wǎng)絡信息系統(tǒng)中建立了一整套安全機制，實現(xiàn)從外到內(nèi)的安全防護。另外，必須定期的對學校的信息安全過程進行嚴格的審核，并對學校的信息安全進行新的風險分析和風險評估，制定適合現(xiàn)狀的信息安全策略。

4結語

校園數(shù)據(jù)中心是校園信息系統(tǒng)的核心樞紐，數(shù)據(jù)中心的信息安全保障體系應是一個包含安全政策法規(guī)、標準規(guī)范、組織管理、技術保障、基礎設施、人才培養(yǎng)的多層次、全方位的系統(tǒng)。，充分利用現(xiàn)代社會先進的安全保護技術和高水平的安全管理技術對數(shù)據(jù)中心進行全面改造和升級，真正提高高校數(shù)據(jù)中心信息安全系數(shù)，同時，積極促進行業(yè)整體信息化應用水平的全面提高，為信息化發(fā)展保駕護航。

作者:邵美科 單位:東北財經(jīng)大學

主要參考文獻: