时间:2022-10-11 15:10:37
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇数据安全论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
关键词:无线网络;数据安全;思考
1无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
2保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。:
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线
网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
2.802.11iIEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术AES(AdvancedEncryptionStandard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
3结语
论文摘要:网络数据库安全性问题是一直是围绕着数据库管理的重要问题,数据库数据的丢失以及数据库被非法用户的侵入使得网络数据库安全性的研究尤为重要。本文以比较常用的Access、数据库为例围绕数据库的安全性技术作了分析。
随着网络技术在社会各个行业尤其是电子商务领域的广泛应用,其安全性和可管理性具有十分重要的意义。数据库是网络信息系统的重要组成部分,涉及来自网络环境下的多方面安全威胁,譬如面对数据库中信息的窃取、篡改、破坏、计算机病毒等的渗透和攻击行为。
1网络数据库安全性策略分析
1.1系统安全性策略
1.1.1管理数据库用户
按照数据库系统的大小和管理数据库用户所需的工作量,数据库安全性管理者可能只是拥有create,alter、或delete权限的数据库的一个特殊用户,或者是拥有这此权限的一组用户。应注意的是,只有那些值得信任的用户才应该具有管理数据库用户的权限。
1.1.2用户身份确认
数据库用户可以通过操作系统、网络服务以及数据库系统进行身份确认,通过主机操作系统进行用户身份认证。
1.1.3操作系统安全性
数据库管理员必须有create和delete文件的操作系统权限;一般数据库用户不应该有create或delete与数据库相关文件的操作系统权限;如果操作系统能为数据库用户分配角色,那么必须具有修改操作系统账户安全性区域的权限。
1.2用户安全性策略
一般用户通过密码和权限管理实现系统的安全性保障;必须针对终端用户制定安全性策略。例如,对于一个有很多用户的人规模数据库,管理员可以决定用户组分类,您可以使用“角色”对终端用户进行权限管理。
1.3管理员安全性策略
保护作为服务器和用户的连接;保护管理者与数据库的连接;使用角色对管理者权限进行管理。
1.4应用程序开发者的安全性策略
明确应用程序开发者和他们的权限;指定应用程序开发者的环境;授权free和controlled应用程序开发。
2网络数据库安全技术分析
本文以比较常用的Access、数据库为例进行分析,其他数据库可以作为参考。
2.1Access数据库地址、路径过于简单
Access数据库被下载,主要是存放数据库的路径和数据库名称,容易被获知,例如:用户建立的xuesheng.mdb(学生信息库)放在虚拟目录/student下,如果没有事先对xuesheng.mdb进行安全加密处理,那么在浏览器的地址栏键入“http//用户网站主IP地址/student/xuesheng.mdb”,xuesheng.mdb整个文件就会被轻易下载,文件中所有的重要数据信息就会被别人轻易窃取。操作流程如图1所示。即使对Access.mdb的文件夹作了变动,文件路径也会暴露无疑。
获知源代码获得路径窃取文件名下载文件
图1网络环境下数据库下载流程
2.2使用下载ASP文件所导致的数据安全问题
各单位的网络服务器一般都存有大量的应用系统账号及密码,如电子邮件、聊天室、BBS、留言簿、新闻系统等。由于网络管理员没有足够的时间与精力开发这些应用程序,所以多是采用直接从网上下载的方法来满足急用。这此程序的源代码是公开的,所使用的数据库名,存放路径没有任何秘密,如果安全措施不力,会给AccessDB的安全带来非常大的危险。如从网上下载了一个ASP应用程序,且Access.mdb的连接文件是conn.inc,在ASP程序中,Access.mdb连接的代码是:2.3服务器操作系统的安全隐患
现在使用WindowsNT/2000Sever作为服务器操作系统的用户非常主流,由于Win2000Sever目录权限的默认设置安全性较差,很多网管只知适让Web服务器运行起来,很少对NTFS进行权限设置。有的服务器甚至未禁止对文件目录的访问控制。因此,必然会带来很大的安全漏洞。
3安全对策及其实现
关键词:网络数据库;安全分析;WEB访问;授权管理.
网络数据库是网络环境下办公自动化(OA)系统的核心部分。设计一个网络数据库所采用的技术实现方法,其先进性和科学性不仅对软件的开发效率和软件质量有着很大的影响,而且对整个软件的使用和维护有着重大的影响。同时,系统的安全性对于系统的实现同样非常关键。系统不安全的因素包括非授权用户访问计算机网络,授权用户越权访问有关数据库,以及敏感信息在基于TCP/IP网络上的传输。结合开发实践,本文主要介绍网络数据库的实现技术和基于SQLSERVER的安全策略。
1系统实现技术
(一)数据库访问技术
一般的数据库开发工具如Delphi5都提供了一些数据库对象组件,它们封装了BDE的功能。这样,开发数据库应用程序就不必知道BDE的功能。其次,还提供了数据感知组件可以与数据访问组件彼此通信,这样,建立数据库应用程序的界面就变得简单。SQLLinks为连接Oracle、Sybase、Informix、MicrosoftSQLServer、DB2和InterBase提供了专门的驱动程序,还可以通过ODBC连接其他数据库[1]。
(二)SQL编程技术
SQL是一组符合工业标准的数据库操作命令集,它可以在Delphi这样的编程环境中使用。SQL不是一门语言,无法得到一个专门的SQL软件,它只是服务器数据库的一部分。
作为一种查询语言,是网络环境下客户/服务器数据库应用程序开发的标准[2]。Delphi提供了支持SQL的有关组件。SQL具有一些查看数据的优势,而且只能使用SQL命令来获得。通过SQL,也可以灵活地查询所需要的数据,这种灵活性是面向记录的数据库操作所不具备的。
SQL为控制服务器的数据提供了下列功能:
数据定义:使用SQL可以定义数据库表的结构,包括表中字段的数据类型以及不同表的字段之间的参照关系。
数据检索:客户程序可以通过SQL向服务器请求它所需要的数据。SQL还允许客户定义要检索什么数据、如何检索,例如排序、选择字段等。
数据完整性:SQL可以实现数据完整性约束,这些完整性约束可以定义为数据库表的一部分,也可以使这些规则以存储过程或其他数据库对象的形式从表中独立出来。
数据处理:SQL允许客户程序更新、添加或删除服务器上的数据。这些操作可以由客户提交的SQL语句来完成,也可以由服务器上的存储过程来完成。
安全性:通过对不同的数据库对象定义访问权限、视图以及受限制的访问,SQL可以保护数据的安全。
并发访问:SQL支持对数据的并发访问,多个用户可以同时使用系统而不互相干扰。
简而言之,SQL是开发和操作客户/服务器数据的重要工具。
(三)多层分布式应用技术。
MIDAS(MultitudeDistributedApplicationServicesSuite)即多层分布式应用程序服务器,它提供了一整套中间层应用服务,扩展了操作系统标准,这些服务用于解决各种具体的分布式计算问题,从用于网络定位的目录服务到数据库集成和业务规则处理。
在多层的数据库应用程序中,客户程序、应用程序服务器和远程数据库服务器分布在不同的机器上[3,4]。其中,客户程序主要是提供用户界面,他能够向应用程序服务器请求数据和申请更新数据。再由应用程序服务器向远程数据库服务器请求数据和申请更新数据,多层数据库应用程序的体系结构如图1所示。
大数据(BigData)本身是一个比较抽象的概念,至今尚未有一个公认的定义。Wiki定义“大数据”是利用常用软件工具捕获、管理和处理数据所耗的时间超过可容忍时间的数据集[1]。Gartner这样定义“:大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产[2]。也有研究者形象化地描述“大数据”是未来的新石油。不同的定义基本都是根据大数据的特征归纳阐述给出。比较具有代表性的是4V定义,认为大数据具有4个特点:规模性(volume)、多样性(variety)、高速性(velocity)和价值性(value)。即数据规模巨大,从TB级跃升到PB级;数据类型多样,包含结构化、半结构化和非结构化的多种数据类型;高效的数据处理能力及蕴含着极高的价值。
2大数据时代图书馆信息安全面临的威胁
大数据时代,数据资源将逐渐成为图书馆最重要的资产之一,决策行为将在数据分析的基础上做出。作为以数据分析利用和信息服务为己任的图书馆,它的信息安全将面临着大数据带来的挑战。
2.1存储安全问题
图书馆关注的数据已不仅限于书目信息、读者信息、电子期刊等业务数据,还延伸到微信、微博、移动网络等读者活动中产生的很难估量的社会化数据。如此庞大的数据集对图书馆的存储、软硬件设施是个考验。如何防止这些数据丢失、损毁、被非法盗取及利用是图书馆安全存储面临的一项挑战。另外,大数据环境下的图书馆为了降低成本,通常会将数据存储在云端,云的开放性,海量用户共存性等都带来了潜在的威胁。
2.2网络安全问题
图书馆是以网络为基础来传递信息和数字资源,为读者提供服务。在网络上,大数据成为更易被攻击的显著目标。图书馆的“大数据”不仅包含了海量数据资源,还包含了读者行为、敏感数据等,这些海量的信息资源将吸引更多的攻击者,也使大数据成为更有吸引力的目标。另外,黑客利用大数据发起的僵尸网络攻击,能够同时控制百万台机器,这是传统单点攻击做不到的。利用大数据,黑客能够发动APT攻击,APT的攻击代码隐藏在大数据中,很难被检测到。
2.3隐私泄露问题
社交网络、微博、移动网络等这些信息服务新形式的快速发展,互联网每时每刻都在产生海量的数据。读者的个人数据可能被任意搜索、获取,这将极大地威胁隐私安全。一方面,图书馆的海量数据信息资源、读者信息、读者行为、科研信息等数据高度集中,即使不被盗取滥用,也增加了数据泄露的风险。另一方面,对于某些重要数据、敏感数据以及隐私数据的挖掘分析,其使用权没有明确界定,这都将会涉及隐私泄露。
2.4知识产权问题
大数据时代,图书馆虽然会把越来越多的数据资源交给“云”提供商代为托管,但是图书馆应完全拥有这些被托管数据资源的知识产权。然而现实中“,云”提供商利用大数据技术对图书馆的数据资源进行挖掘、发现、分析进而整合成新的数据产品加以利用,本该由图书馆所唯一拥有的数据,一旦被“云”提供商开发成产品,知识产权的界定就成为图书馆要面临的新难题。
3大数据时代图书馆信息安全应对策略
大数据资源将成为图书馆的核心资产。图书馆在利用数据处理、数据挖掘、数据分析等技术获取大数据蕴藏的高价值,创新服务模式,提高服务质量的同时,应重点考虑如何确保数据资源存储安全,如何降低网络安全威胁,如何防止隐私泄露等。大数据时代的图书馆应首先从技术层面保障存储安全,提高网络安全防范技术;其次,建立数据监管体系,对读者和图书馆的重要数据、敏感数据、隐私数据进行监管;最后,加强图书馆信息安全制度和相关政策法规建设。
3.1保障存储安全
图书馆的数据资源在无限增长,规模日益庞大,保障这些数据资源的安全存储显得尤为重要,同时对硬件设施也是巨大考验。现有的存储系统无法充分有效地存储、管理、分析大数据,限制了数据的增长。大数据时代的图书馆为了降低运维成本,缓解硬件设施压力,应考虑将数据和信息存储在云端,利用云存储实现数据的存储、管理以及分析。云存储,即基于云计算的存储系统,其可扩展性、灵活性、运算高效性能够解决大数据存储和管理存在的问题。但是,云存储具有数据规模海量、管理高度集中、系统规模巨大、平台开放复杂等特点,这些都将对信息安全带来威胁。因此,保障云安全是大数据时代图书馆信息安全的基础。图书馆作为云存储服务用户,最关心的就是存储在云端的数据是否完整安全,是否有人非法访问,以及当合法访问这些数据时是否能获得有效且正确的数据。因此,应重点研究运用身份认证、加密存储、数据灾备这3种技术手段来保障云安全。
(1)身份认证。
加强图书馆云存储上数据的管理,实行身份认证,确保管理员、读者用户、云存储服务提供商等经过认证获得访问权限后,才可管理、分析、访问“云”上的数据资源。云存储具有跨平台、异构、分布式等特点,为了提高管理员、用户的访问效率,应建立有效的单点登录统一身份认证系统,支持各图书馆云存储之间共享认证服务和用户身份信息,减少重复验证带来的运行开销。
(2)加密存储。
对文件和数据进行加密保存,确保图书馆云存储上的数据资源在存储和传输过程中,不被意外或非意外损毁、丢失、处理及非法利用。加密存储主要包含两部分工作:一是密钥的管理和产生,二是应用密钥对数据进行加密存储和解密读取。云存储系统为每位注册用户生成一个解密密钥,系统将数据加密存储在数据中心,用户读取加密数据后,利用自己的解密密钥恢复数据,得到原始数据。这一过程对存储性能和网络传输效率会有一定影响,因此图书馆一方面要加快对加密存储技术的研究;另一方面可以考虑先只对重要数据、敏感数据、个人信息数据进行加密存储。
(3)数据灾备。
云计算技术对于数据灾备具有天生的优势。将虚拟化技术、分布式技术和云计算技术结合可实现多点备份、数据自动冗余存储、云节点无单点故障数据级灾备。图书馆可以利用云存储在不同的地方建设两个及以上的图书馆云存储数据中心,构成一个跨地域的统一存储平台,各业务部门和每个用户都可以共享共用这些数据。保证只要有一个数据中心完整,所有数据就不会丢失且能够提供持续服务。
3.2提高网络安全防护技术
随着图书馆数据资源总量的增加和新型社交网络下读者原创数据爆炸性增长,网络在线数据呈现急剧增长的趋势,导致黑客的攻击欲望比以往更为强烈,其手段和工具也更为复杂、更加专业。大数据对图书馆网络安全策略提出更高的要求,从技术层面来说,图书馆网络安全策略包括漏洞扫描、入侵检测、访问控制和网络安全审计4种技术手段,任何一个单一的防范手段都无法保障图书馆网络的安全性。
(1)漏洞扫描。
漏洞扫描包括检测路由器、交换机、防火墙、各应用服务器OS、应用系统以及工作人员用机的安全补丁、系统漏洞、病毒感染等问题。漏洞扫描系统应及时发现系统漏洞、木马、病毒、蠕虫、后门程序、网络攻击、ARP等,并提供修复、查杀、拦截、防御的有效工具,同时能够对图书馆整个网络系统进行风险评估,以便采取相应措施及时消除系统中的安全隐患。与以往的漏洞扫描不同的是,大数据时代,对于海量数据的扫描,将会花费很长的时间,因此需要研究解决如何提高网络海量数据检测扫描的精确度和速度。
(2)入侵检测。
随着图书馆信息资源和数据资源共建共享步伐的加快,图书馆私有云和行业云的建设加快,网络应用范围在不断扩大,来自校园网内部和外部的黑客攻击、非法访问等安全问题与日俱增,因此对恶意入侵的检测与防范刻不容缓。大数据对信息安全是把双刃剑,应利用大数据的分析技术,通过分析来源信息,能够自动确定网络异常。进一步研究更有效的检测手段,完成APT高端检测,做到多点、长时、多类型的检测。
(3)访问控制。
接入图书馆网络的用户,在使用海量数据资源之前,必须进行身份认证和权限划分,用户通过认证获得授权之后,才可以根据自己的权限访问相应的数据资源和应用系统,获取相关的数据分析结果等。采用单点、统一认证方式,并结合PMI权限控制技术,加大认证加密技术研究,有效控制不同用户分不同级别访问管理数据、访问数据、获取数据以及应用大数据分析结果。
(4)网络安全审计。
相比入侵检测系统,网络安全审计没有实时性要求,因此可以对海量的服务器运行日志、数据库操作记录、系统活动等历史数据进行分析,并且可以利用大数据进行更加精细和复杂的分析,发现更多的黑客攻击种类,其误报率也将低于传统的入侵检测。
3.3建立数据安全监管机制
大数据关键技术的快速发展,为图书馆大数据的存储与分析奠定了基础,大数据将成为图书馆的重要资产。但是,海量数据和数据分析结果一旦泄露,相对于以往,对读者个人甚至整个图书馆界将会造成巨大的经济损失,还可能导致声誉受损,严重的还要承担相关法律责任。大数据安全不仅是技术问题,更是管理问题。因此,大数据时代,图书馆除了要从技术上实现存储安全、云安全、网络安全等方式来抵御外来的信息安全威胁,更需要加强在数据安全监管、数据资源共享机制、数据隐私保护、敏感数据审计等方面的制度建设,从管理上防止图书馆核心数据、隐私数据和敏感数据的泄露。力图建立贯穿于数据生命周期的数据监管机制。在技术层面,运用先进的信息技术手段开展数据监管工作,如利用现有隐理、数据预处理等技术保障数据在使用和传输中能够拒绝服务攻击、数据传输机密性及DNS安全等。在管理层面,提高图书馆工作人员的信息安全意识,加强各业务部门内部管理,明确重要数据库的范围,创新有效科学的数据监管手段与方法,制定终端设备尤其是移动终端的安全使用规程,制定并完善重要数据、敏感数据、隐私数据的安全操作和管理制度,规范大数据的使用方法和流程。
3.4加强图书馆信息安全制度建设
依据信息安全管理国际标准ISO27000,明确大数据时代图书馆的实际安全需求和安全目标,量化各类数据资源的安全指标,建立全方位、立体、深度的信息安全防御体系。以信息安全防御体系为基础,建立信息安全责任人负责制的组织机构;制定日常安全运维制度,包括存储、业务系统以及各应用系统的安全运行监控制度、数据监管制度、移动终端检测制度、网络安全制度等;制定应急响应制度,包括数据灾备制度、数据恢复制度、故障系统恢复制度等。对于存储在云端的数据,建立数据共享制度和机密保护制度。根据保密级别、共享级别、开放级别等明确访问权限等级划分,制定数据的访问、检索、下载、分析等方面的规定;建立身份认证和权限控制机制,控制非法授权访问数据;制定数据云存储的安全规定,加密关键数据;制定数据所有权条款,防止“云”提供商第三方泄密。建立相应的法律政策保护数据利用时涉及的知识产权,保障数据资源的合理合法使用,维护图书馆利益,保护知识产权。
4结语
1.1安全技术资金不足
煤炭的持续开采会受到地质条件的直接影响,过去国家投入众多的设施,使用至今均已出现老化,并且维修量非常大。随着矿井的不断延深,矿压极度强化,巷道的维修任务更是不断的增加,矿井的供电以及通风、提升与排水等都不能适应生产的需要。
1.2安全管理模式传统
与西方发达产煤国家相比较,我国的煤矿使用技术研究起步很晚。并且人力、财力非常缺乏,某些重大的安全技术问题,比如冲击地压以及煤和瓦斯的突出、地热以及突水等灾害不能进行有效的预测和控制。且受到以往传统运营思想的直接作用与影响以及各个企业的经济实力的约束,我国的煤矿生产装备和安全监控设施相对落后。井巷的断面设计以及支护强度的确定、支护材料的型号选择较小。生产设施功率以及矿井的供风量等富余参数非常低,极易出现事故。绝大多数的煤炭企业还是利用以往传统的安全管理模式,各种报表计算仍是靠人工劳动并且精确度很低。信息传送的时间较长,且速度较慢,管理者的工作重复性很大,资料查询十分困难,并且工作效率很低。安全检查以及等级鉴定等总是凭借主观意念以及相关的经验。
1.3安全信息管理体制不健全
安全信息可以说是安全管理工作的重要依据,它主要包括事故和职业伤害的有效记录与分析统计,职业的安全卫生设施的相关研究与设计、生产以及检验技术,法律法规以及相应技术标准和其变化的动态,教育培训以及宣传和社会活动,国内的新型技术动态以及隐患评估与技术经济类分析和咨询、决策的体系。信息体制的健全是安全体制工程以及计算机技术的有效结合,可促使安全工作转型为定性和定量的超前预测,不过大多数矿井还是处于起步与摸索阶段,并未呈现出健全的体制,真正的使用还有待进一步的发展。
2空间数据挖掘技术
数据挖掘研究行业的持续进展,开始由起初的关系数据以及事务数据挖掘,发展至对空间数据库的不断挖掘。空间的信息还在逐渐地呈现各类信息体制的主体与基础。空间数据挖掘技术是一项非常关键的数据,具有比普通关系数据库和事务数据库更丰富、复杂的相关语义信息,且蕴含了更丰富的知识。所以,虽说数据的挖掘最初是出现在关系数据挖掘以及事务的数据库,不过因为空间数据库中的发掘知识,这就很快引起了各个研究者的关注与重视。很多的数据挖掘类研究工作都是从关系型以及事务型数据库拓展至空间数据库的。在地学领域中,随着卫星以及遥感技术的不断使用,逐渐丰富的空间以及非空间的数据采集与储存在较大空间数据库中,大量的地理数据已经算是超过了人们的处理能力,并且传统的地学分析很难在这些数据中萃取并发现地学知识,这也就给现阶段的GIS带来了很大的挑战,急切的需要强化GIS相应的分析功能,提升GIS处理地学实际状况的能力。数据挖掘以及知识发现的产生能满足地球空间的数据处理要求,并推进了传统地学空间分析的不断发展。依据地学空间数据挖掘技术的特性,把数据挖掘的方式融进GIS技术中,呈现地学空间数据挖掘技术和知识发展的新地学数据分析理念与依据。
3煤矿安全管理水平的提升
3.1建设评价指标体制库
评价指标体制库是矿井的自然灾害危害存在的具体参数式的知识库。模型的组建务必要根据矿井的瓦斯以及水害等自然灾害危害呈现的不同指标体制和其临界值构建一定的指标体制库,危害的警报识别参数关键是采掘工程的平面图动态开采面以及相应的巷道。各种瓦斯的危害以及水害隐患和通风隐患均呈现一定的评价指标库。
3.2构建专业的分析模型库
依据瓦斯以及水害等诸多不同的矿井自然灾害类别构建相关的专业性模型库,比如瓦斯的灾害预测,应根据矿井的地质条件以及煤层所赋存的状况构建瓦斯的地质区分图,再根据采掘工程的平面图动态呈现的采掘信息以及相应的瓦斯分区构建关联并实行相应的比较分析,确定可以采集区域未来的可采区域是不是高瓦斯区域。
3.3构建以GIS空间分析为基础的方法库
GIS空间分析可以说是矿井自然灾害的隐患高度识别的关键性方式,并且还是安全故障警报的主要路径。比如断层的防水层的有效划分,关键是根据断层的保安煤柱来实行可靠的确定。断层的保安煤柱确定可以利用GIS缓冲区域的分析得到。空间的统计分析以及多源信息有效拟合和数据挖掘亦是瓦斯和水害等安全隐患监测经常使用GIS空间分析方式,如物探水文的异常区域确定以及瓦斯突出相应的危险区域确定。
3.4决策支持体制与煤矿管理水平评价指标
体制库以及模型库、方式库与图形库均是矿井的自然灾害隐患识别和决策的最基础。利用矿井的自然灾害隐患识别决策来支持体系具体的功能呈现矿井的自然灾害隐患识别以及决策分析,在根源处提高煤矿的安全管理水平。分类构建矿井的自然灾害实时监控体系,进行动态跟踪相应的灾害实时数据,并事实呈现矿井的自然灾害数据或是信息和自然灾害的指标体系库以及模型库与知识库、空间数据库的合理化比较,并运用图形库的数据再通过GIS空间分析方式来确定安全隐患的,矿井自然灾害的隐患实时警报并进行决策分析,以提交空间数据的自然灾害隐患识别以及分析处理的决策性报告。
4结语
除了上述提到的制度与物理环境的安全,在电力调度数据中最关键的是网络运行的安全,调动数据网是否能够安全运行主要取决于网络设备、网络结构及对用的安全审计等多个方面的防护措施安全程度。
(一)网络设备安全分析
在网络设备安全中主要涉及到四个方面。首先是网络账号安全。电力调度数据网安全技术设置一定的账号方便账号管理工作,对用户进行身份验证,保证电网信息的安全不泄露。其次是配置安全,主要是基于电力数据网内的关键数据信息进行定期备份处理,每一次关键信息的备份处理都在设备上留有痕迹,保证档案信息有效。再次是审计安全,我国明确要求整个电力调度数据网具备审计功能,做好审计安全可以保证系统设备运行状况、网络流量计用户日常信息更新,为日后查询提供方便。最后是维护安全,要求定期安排技术人员进行设备巡视,对于设备中存在的配置漏洞与书写错误进行检查修复,防止系统漏洞造成的系统崩溃及安全问题。
(二)网络结构安全分析
在计算机网络结构技术分析中我们为了保证电力调度数据网的结构安全可以从以下四个方面入手做好技术升级与完善。首先使用冗余技术设计完成网络拓扑结构,为电力调度提供主要的网络设备及通信线路硬件冗余。其次依据业务的重要性制定带宽分配优先级别,从而保证网络高峰时期的重要业务的宽带运行。再次积极做好业务系统的单独划分安全区域,保证每个安全区域拥有唯一的网络出口。最后定期进行维护管理,绘制网络拓扑图、填写登记信息,并对这些信息进行定期的更新处理。在网络安全结构的设计分析上采用安全为区分与网络专用的原则,对本区的调度数据网进行合理的前期规划,将系统进行实时控制区、非控制生产区及生产管理区的严格区分。坚持“横向隔离,纵向认证”的原则,在网络中部署好必要的安全防护设备。优先做好VLAN及VPN的有效隔离。最后不断优化网络服务体系。网络服务是数据运输及运行的保证,积极做好网络服务可以避免数据信息的破损入侵,在必要情况下关闭电力设备中存在的不安全或者不必要的非法控制入侵行为,切实提高电力调度数据网的安全性能。
二、系统安全管理技术分析
电力调度数据网本身具有网络系统的复杂性,只有积极做好网络系统的安全管理才能实现电力的合理调度。系统管理工作涉及项目繁多,涉及主要的设备采购及软件开发、工程建设、系统备案等多个方面。在进行系统安全管理时要积极做好核心设备的采购、自行或外包软件开发过程中的安全管理、设置必要的访问限制、安全日志及安全口令、漏洞扫描,为系统及软件的升级与维护保驾护航。
三、应用接入安全技术分析
在电力调度的数据网安全技术中,应用接入安全是不可忽视的重要组成部分。目前由于电力二次系统设备厂家繁多,目前国家没有明确统一的指导性标准可供遵循,导致生产厂家的应用接入标准不一,无形之中为安全管理工作带来诸多不便。因此在优化电力调度数据网安全系统时,可以依据调度数据网本身的运行需求,从二次系统业务的规范接入、通信信息的完整性及剩余信息的保护等方面着手,制定出切实可行的安全防护机制,从根本上保障电力调度数据网络的安全稳定。
四、结束语
作为通过远程连接的方式实现网络资源的共享是大部分用户均会使用到的,不管这样的连接方式是利用何种方式进行连接,都难以避开负载路由器以及交换机的系统网络,这是这样,这些设备存在着某些漏洞极容易成为黑客的攻击的突破口。从路由器与交换机存在漏洞致因看,路由与交换的过程就是于网络中对数据包进行移动。在这个转移的过程中,它们常常被认为是作为某种单一化的传递设备而存在,那么这就需要注意,假如某个黑客窃取到主导路由器或者是交换机的相关权限之后,则会引发损失惨重的破坏。纵观路由与交换市场,拥有最多市场占有率的是思科公司,并且被网络领域人员视为重要的行业标准,也正因为该公司的产品普及应用程度较高,所以更加容易受到黑客攻击的目标。比如,在某些操作系统中,设置有相应的用于思科设备完整工具,主要是方便管理员对漏洞进行定期的检查,然而这些工具也被攻击者注意到并利用工具相关功能查找出设备的漏洞所在,就像密码漏洞主要利用JohntheRipper进行攻击。所以针对这类型的漏洞防护最基本的防护方法是开展定期的审计活动,为避免这种攻击,充分使用平台带有相应的多样化的检查工具,并在需要时进行定期更新,并保障设备出厂的默认密码已经得到彻底清除;而针对BGP漏洞的防护,最理想的办法是于ISP级别层面处理和解决相关的问题,假如是网络层面,最理想的办法是对携带数据包入站的路由给予严密的监视,并时刻搜索内在发生的所有异常现象。
2交换机常见的攻击类型
2.1MAC表洪水攻击
交换机基本运行形势为:当帧经过交换机的过程会记下MAC源地址,该地址同帧经过的端口存在某种联系,此后向该地址发送的信息流只会经过该端口,这样有助于节约带宽资源。通常情况下,MAC地址主要储存于能够追踪和查询的CAM中,以方便快捷查找。假如黑客通过往CAM传输大量的数据包,则会促使交换机往不同的连接方向输送大量的数据流,最终导致该交换机处在防止服务攻击环节时因过度负载而崩溃.
2.2ARP攻击
这是在会话劫持攻击环节频发的手段之一,它是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。黑客可通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,ARP欺骗过程如图1所示。
2.3VTP攻击
以VTP角度看,探究的是交换机被视为VTP客户端或者是VTP服务器时的情况。当用户对某个在VTP服务器模式下工作的交换机的配置实施操作时,VTP上所配置的版本号均会增多1,当用户观察到所配置的版本号明显高于当前的版本号时,则可判断和VTP服务器实现同步。当黑客想要入侵用户的电脑时,那他就可以利用VTP为自己服务。黑客只要成功与交换机进行连接,然后再本台计算机与其构建一条有效的中继通道,然后就能够利用VTP。当黑客将VTP信息发送至配置的版本号较高且高于目前的VTP服务器,那么就会致使全部的交换机同黑客那台计算机实现同步,最终将全部除非默认的VLAN移出VLAN数据库的范围。
3安全防范VLAN攻击的对策
3.1保障TRUNK接口的稳定与安全
通常情况下,交换机所有的端口大致呈现出Access状态以及Turnk状态这两种,前者是指用户接入设备时必备的端口状态,后置是指在跨交换时一致性的VLAN-ID两者间的通讯。对Turnk进行配置时,能够避免开展任何的命令式操作行为,也同样能够实现于跨交换状态下一致性的VLAN-ID两者间的通讯。正是设备接口的配置处于自适应的自然状态,为各项攻击的发生埋下隐患,可通过如下的方式防止安全隐患的发生。首先,把交换机设备上全部的接口状态认为设置成Access状态,这样设置的目的是为了防止黑客将自己设备的接口设置成Desibarle状态后,不管以怎样的方式进行协商其最终结果均是Accese状态,致使黑客难以将交换机设备上的空闲接口作为攻击突破口,并欺骗为Turnk端口以实现在局域网的攻击。其次是把交换机设备上全部的接口状态认为设置成Turnk状态。不管黑客企图通过设置什么样的端口状态进行攻击,这边的接口状态始终为Turnk状态,这样有助于显著提高设备的可控性。最后对Turnk端口中关于能够允许进出的VLAN命令进行有效配置,对出入Turnk端口的VLAN报文给予有效控制。只有经过允许的系类VLAN报文才能出入Turnk端口,这样就能够有效抑制黑客企图通过发送错误报文而进行攻击,保障数据传送的安全性。
3.2保障VTP协议的有效性与安全性
VTP(VLANTrunkProtocol,VLAN干道协议)是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议,它主要用于管理在同一个域的网络范围内VLANs的建立、删除以及重命名。在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。处于VTP模式下,黑客容易通过VTP实现初步入侵和攻击,并通过获取相应的权限,以随意更改入侵的局域网络内部架构,导致网络阻塞和混乱。所以对VTP协议进行操作时,仅保存一台设置为VTP的服务器模式,其余为VTP的客户端模式。最后基于保障VTP域的稳定与安全的目的,应将VTP域全部的交换机设置为相同的密码,以保证只有符合密码相同的情况才能正常运作VTP,保障网络的安全。
4结语
1.1计算机病毒在计算机网络安全问题中,计算机病毒给用户带来的威胁最为严重,并会造成巨大的损失。从其本质上看,计算机病毒是一段特定的程序,这段程序在侵入计算机系统后将会对计算机的正常使用功能造成干扰,并对数据存储造成破坏,且拥有自我复制的能力。最典型的有蠕虫病毒,它以计算机为载体,利用操作系统和应用程序的安全漏洞,主动攻击计算机系统,以网络为传播途径,造成的危害明显。蠕虫病毒具有一般病毒的共同特征,如传染性,隐蔽性,破坏性及潜伏性等,同时也具有自己独有的特点,如不需要文件来寄生(有时可直接寄生于内存当中),对网络连接进行拒绝,以及与黑客技术相结合。其他危害较大的病毒种类还有宏病毒,意大利香肠等。
1.2垃圾邮件和间谍软件当收到垃圾邮件或安装了间谍软件时,常常会使计算机的网络安全陷入不利境地,并成为破坏计算机正常使用的主要因素之一。在计算机网络的应用环境下,由于电子邮件的地址是完全开放的,同时计算机系统具有可广播性,因而有些人或团体就会利用这一特性,进行宗教、商业,或政治等活动,主要方式就是强迫目标邮箱接收特定安排的邮件,使目标邮箱中出现垃圾邮件。与计算机病毒有所区别,间谍软件的主要控制手段为盗取口令,并侵入计算机系统实行违法操作,包括盗取用户信息,实施贪污、盗窃、诈骗等违法犯罪行为,不仅对计算机安全性能造成破坏,同时也会严重威胁用户的个人隐私。
1.3计算机用户操作失误由于计算机用户操作不当而发生的损失,也是影响计算机正常使用并破坏网络安全的重要因素之一。目前计算机用户的整体规模不断扩大,但其中有许多用户并未对计算机的安全防护进行应有的重视,对计算机的合理使用认识不到位,因而在安全防范方面力度不够,这就给恶意攻击者提供了入侵系统的机会,并进而出现严重的安全问题。用户安全意识差的主要表现包括:账号密码过于简单,破解容易,甚至随意泄露;使用软件时进行了错误操作;系统备份不完全。这些行为都会引起网络安全问题的发生。
2计算机网络安全防范的措施
2.1定期进行数据备份为防止因突破情况,如自然灾害,断电等造成的数据丢失,应在平时养成定期数据备份的习惯,将硬盘上的重要文件,数据复制到其他存储设备中,如移动硬盘等。如果做好了备份工作,即使当计算机系统遭受攻击而发生数据毁坏,也无需担心数据的彻底消失,而只需将已经备份的文件和数据再重新恢复到计算机中即可。因此,数据的定期备份是维护计算机网络安全的有效途径之一。如果计算机因意外情况而无法正常启动,也需在重新安装系统前进行数据备份,以便在计算机能够正常使用后完成数据恢复,这在非法入侵系统造成的数据毁坏时也能起到重要的作用。
2.2采用物理隔离网闸物理隔离网闸是一种通过外部设备来实现计算机安全防护的技术手段,利用固态开关读写作为媒介,来实现不同主机系统间的对接,可实现多种控制功能。由于在这一技术手段下的不同主机系统之间,并不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,以及基于协议的信息包,只存在无协议“摆渡”,同时只能对存储媒介发出“读”与“写”这两种指令。因此,物理隔离网闸可以从源头上保障计算机网络的安全,从物理上隔离,阻断了带有攻击性质的所有连接,切断黑客入侵的途径,使其无法攻击,无法破坏,真正维护了网络安全。
2.3防火墙技术防火墙是一种常用的计算机安全软件,在计算机和互联网之间构筑一道“安检”关卡。安装了防火墙,所有经过这台计算机的网络通信都必须接受防火墙的安全扫描,从而使具有攻击性的通信无法与计算机取得连接,阻断非授权访问在计算机上的执行。同时,防火墙还会将不必要的端口关闭,并针对指定端口实施通信禁止,从而对木马进行封锁堵截。最后,它可以对特殊站点的访问实施拦截,拒绝来路不明的所有通信,最大程度地维护计算机网络的安全。
2.4加密技术为进一步地维护网络信息安全,保证用户信息不被侵犯,还可使用加密技术来对计算机的系统安全钥匙进行升级,对加密技术进行充分合理的利用能有效提高信息的安全程度。首先是数据加密,基本原理在于通过使用特定算法对目标文件加以处理,使其由原来的明文转为无法识别的代码,通常称为密文,如果需要查看加密前的内容,就必须输入正确的密钥,这样就可防止重要信息内容被不法分子窃取和掌握。相对地,加密技术的逆过程为解密,即将代码转为可读的文件。其次是智能卡技术,该技术与加密技术有较强的关联性。所谓智能卡,其实质为密钥的一种媒介,与信用卡相类似,只能由经过授权的使用者所持有,授权用户可对其设置一定的口令,同时保证设置的口令与网络服务器密码相同,当同时使用口令与身份特征,能够起到极为理想的保密效果。
2.5进行入侵检测和网络监控计算机网络安全技术还包括入侵检测即网络监控。其中,入侵检测是一项综合程度高的安全维护手段,包括统计技术,网络通信技术,推理技术等,起到的作用十分显著,可对当前网络环境进行监督,以便及时发现系统被攻击的征兆。根据分析手段的不同,可将其分为签名法与统计法两种。对于针对系统已知漏洞的攻击,可用签名法来实施监控;对于系统的正常运行阶段,需要对其中的可疑动作是否出现了异常现象进行确认时,可用统计法进行监控,能够从动作模式为出发点进行判断。
2.6及时下载漏洞补丁程序对计算机网络安全的维护应当是一个长期的,动态的过程,因此及时下载漏洞补丁就显得十分必要。在使用计算机来连接网络的过程当中,为避免因存在系统漏洞而被恶意攻击者利用,必须及时下载最新的漏洞补丁,消除计算机应用环境中的种种隐患。可通过特定的漏洞扫描手段对漏洞进行扫描,例如COPS,tripwire,tiger等,都是非常实用的漏洞扫描软件,360安全卫士,瑞星卡卡等软件也有良好的效果,可使用这些软件进行扫描并下载漏洞补丁。
2.7加强用户账号的安全保护为保障计算机网络账号的安全,应加强对账号的保护措施。在计算机应用的网络环境下,许多应用领域都需要账号和密码进行登录,涉及范围较广,包括系统登录,电子账号登录,网上银行登录等等,因此加强对账号的安全防范就有着极其重要的意义。首先,对系统登录来说,密码设置应尽量复杂;其次,对于不同应用方面的账号来说,应避免使用相同或类似的密码,以免造成重大损失;再次,在设置方式上应采用组合的形式,综合使用数字、字母,以及特殊符号;最后,应保证密码长度合适,同时应定期修改密码。
3结论
