时间:2022-11-12 13:16:34
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇数据安全论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1.1云计算数据应用系统模型
云计算的平台构架主要技术有并行编程的模式,分布式文件系统,数据处理模型。其层次如图1所示。云计算的数据应用共分为三个层次:应用层、索引层和数据存储层。同时要了解云计算数据应用系统的三个要素:用户、应用服务器和数据中心。这三个要素各有着不同的功能,用户的功能是存储数据,在数据计算的基础上,计算个体用户和组织用户的数据。应用服务器的功能是维护云计算的系统。数据中心的功能是存贮实际的数据信息。但是,在云计算数据应用系统模型中,存在着很大的安全威胁,主要是来自传统数据的威胁,容易受到影响的对象有客户端、主从结构和病毒的传播,通信的安全性。其中,病毒的传播主要是通过互联网的数据交易服务,病毒侵入计算机网络系统,它的破坏性远远大于单机系统,用户也很难进行防范。现在的互联网中,病毒一般有隐蔽性,传播速度也很快。另外,病毒的制造技术也越来越高级,不仅可以破坏用户的程序,还可以窃取信息,造成系统的交叉感染。这种感传染性的病毒危害性非常大。对于通信故障,网络中通常分为两种类型的安全攻击类型:主动攻击和被动攻击。常见的攻击手段有偷窃、分析、冒充、篡改。对于数据安全来说,除了上述的数据安全,还有新数据的安全威胁,主要表现在几个方面:保密失效威胁、分布式可用威胁、动态完整性威胁。
1.2云计算数据安全模型
典型云计算数据技术如图2所示。该数据安全模型主要分三个层次:第一层的功能是负责验证用户的身份,保证云计算中数据的安全;第二层的功能是负责对用户的数据进行保密处理,保护用户的隐私;第三层的功能是恢复用户误删的数据,是系统保护用户数据的最后一道防线。这三层结构是相互联系,层层深入。首先要验证用户的身份,保证用户的数据信息不被篡改。如果非法用户进入的系统,则进入系统后还要经过加密保护和防御系统。最后是文件恢复的层次,这一层次可以帮助用户在数据受损的情况下修复数据。
2多维免疫的云数据安全
2.1多维免疫算法
多维免疫算法的组成主要依靠生物原理、免疫系统的多维模型、多维免疫的基本原则组成。其中,生物原理是把生物学的理论应用在云计算中。人工免疫系统发展到现在,在免疫能力的发挥方面有了很大的发展。免疫能力的增长是一个漫长的过程,后天的免疫的生成更是一个艰难的过程。在一个系统生成初期,完全没有后天的免疫能力,但是随着身体的成长,免疫细胞逐渐增多,免疫系统也开始形成。多维免疫系统的形成也是这样的。
2.2多维免疫的数据安全原理
阻碍多维免疫的数据安全的因素主要有不可靠网络、节点故障、超大规模的用户访问、数据更新引起的数据不一致性等。为了提高数据管理的安全性,云计算为用户提供了一个一致的入口,只有向用户提供透明的文件,进行文件数据的定位数据选择。对于数据管理服务,应该注意,这项服务是连接用户和系统的。应用服务器和数据中心共同组成了云计算数据应用系统。应用服务器主要目的是方便用户访问历史和相关的文件信息。
2.3多维免疫的云数据安全策略
主要包括文件分布的策略,HDFS文件冗余度计算,多维免疫的文件分布,数据块选择机制等。对于云计算中的用户文件,需要考虑到数据块的数量分布、数据块的颗粒度和数据库的创建时间。多维免疫的文件分布中,首先要掌握文件分布的原理,多维免疫算法和云计算中文件的创建和文件块的分配法是一致的。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于B0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
2新型网络安全控制
在现有网络环境中不断革新网络环境,并提出相应的安全控制措施是现阶段SDN数据中心网络改良的核心任务。新的安全系统主要借助网络控制结构形成的,新型的网络环境中控制平台会出现上移的状况,这就会导致控制机制出现一定程度的集中化趋势,这就需要根据SDN信息处理中心设计一个更加可靠有效的控制器。从具体的操作层次而言,应该先将控制器添加到某一控制单元内,允许其可以进行自由的进出访问,并在信息访问过程中添加审计程序,动态性的检查控制器中用户登录信息,保证其合法性,从本质上切断进攻者进入终端数据中心的途径。再次,应该保证整体控制器信息交流的有效性,这就要求OpenFlow协议应该在不同的数据交流中心建立一个安全的通讯通道,防止某些攻击者借助通道漏洞进入控制中心。传统的安全产品中存在的网络安全缺点还表现在安全控制网络系统中存在某些致命的缺点,因此,根据现阶段安全控制产品设计出不同类型的安全控制产品,分为以下几个类型:第一种传统的安全控制产品是虚拟机的形态,相应的安全设备可以借助虚拟设备完成数据信息的循环化处理,通过这种方式可以将保证其中的网络拓扑稳定性,但是该种产品其安全性相对较低,容易被其他受到感染的虚拟处理终端目的性攻击,其该设备内部配置相对比较复杂。第二种是形态,一般是agent模式,它是一种具体的形式部署在不同虚拟机的操作系统当中的模式,该系统内质是借助Hypervisor完成不同应用之间的连接,通过该种模式可以真实性的监控虚拟机的现实数据传输量,从而控制其中的数据传输。但是该种方法受到了一定程度的Hypervisor的显示,如果该端口没有提供合理性的接口,那么虚拟中的数据传输就需要寻找其它端口进行数据连接,这对于开发者而言是相对困难的。第三,可以在实体的网络连接当中接入SDN处理技术,虽然该形态可能受到虚拟环境的限制,但是该种方法可以从系统内部完成对数据传输的控制,这样信道内部的数据就可以完整的被牵引到实体设备当中,而操作者仅仅通过建立隔离模板就完整的实现了对系统的控制。
有效保障数据通信网络的稳定性和安全性,就必须充分发挥技术人力资源的作用,积极构建起健全完善的数据通信平台,并积极对系统平台的安全性进行科学的全面的评估。作为一名合格具备专业化技术的人员,应按照相关制度要求和标准流程,设置科学的评估方式,对整个网络环境进行系统的评估,并适时给予安全调整,准确分析潜在的用户群体以及信息源,并对他们进行安全评估和识别,充分了解数据通信网络的发展实际,以此为出发点开展系统安全性的分析活动。
1.2及时排查隐存的安全威胁
定期开展网络安全的检查与维修活动,以及时确保数据信息的可靠性与真实性得到有效的安全确认,避免服务器的终端设备以及信息网中的硬件设备和软件设备受到恶意破坏,防止系统网络受到不法分子的严重攻击,达到对数据库内部的信息进行保密的目的。所以这就要求专业化的技术人员需以对网络安全性的有效评估为前提,全面仔细存在的隐形的安全威胁,积极设置高效的网管设置等形式,不断优化系统漏洞,拒绝一切不法分析用户的对网络系统的入侵和攻击,降低安全风险的发生。
2路由器与交换机漏洞的发现和防护
作为通过远程连接的方式实现网络资源的共享是大部分用户均会使用到的,不管这样的连接方式是利用何种方式进行连接,都难以避开负载路由器以及交换机的系统网络,这是这样,这些设备存在着某些漏洞极容易成为黑客的攻击的突破口。从路由器与交换机存在漏洞致因看,路由与交换的过程就是于网络中对数据包进行移动。在这个转移的过程中,它们常常被认为是作为某种单一化的传递设备而存在,那么这就需要注意,假如某个黑客窃取到主导路由器或者是交换机的相关权限之后,则会引发损失惨重的破坏。纵观路由与交换市场,拥有最多市场占有率的是思科公司,并且被网络领域人员视为重要的行业标准,也正因为该公司的产品普及应用程度较高,所以更加容易受到黑客攻击的目标。比如,在某些操作系统中,设置有相应的用于思科设备完整工具,主要是方便管理员对漏洞进行定期的检查,然而这些工具也被攻击者注意到并利用工具相关功能查找出设备的漏洞所在,就像密码漏洞主要利用JohntheRipper进行攻击。所以针对这类型的漏洞防护最基本的防护方法是开展定期的审计活动,为避免这种攻击,充分使用平台带有相应的多样化的检查工具,并在需要时进行定期更新,并保障设备出厂的默认密码已经得到彻底清除;而针对BGP漏洞的防护,最理想的办法是于ISP级别层面处理和解决相关的问题,假如是网络层面,最理想的办法是对携带数据包入站的路由给予严密的监视,并时刻搜索内在发生的所有异常现象。
3交换机常见的攻击类型
3.1MAC表洪水攻击
交换机基本运行形势为:当帧经过交换机的过程会记下MAC源地址,该地址同帧经过的端口存在某种联系,此后向该地址发送的信息流只会经过该端口,这样有助于节约带宽资源。通常情况下,MAC地址主要储存于能够追踪和查询的CAM中,以方便快捷查找。假如黑客通过往CAM传输大量的数据包,则会促使交换机往不同的连接方向输送大量的数据流,最终导致该交换机处在防止服务攻击环节时因过度负载而崩溃。
3.2ARP攻击
这是在会话劫持攻击环节频发的手段之一,它是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。黑客可通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,ARP欺骗过程如图1所示。
3.3VTP攻击
以VTP角度看,探究的是交换机被视为VTP客户端或者是VTP服务器时的情况。当用户对某个在VTP服务器模式下工作的交换机的配置实施操作时,VTP上所配置的版本号均会增多1,当用户观察到所配置的版本号明显高于当前的版本号时,则可判断和VTP服务器实现同步。当黑客想要入侵用户的电脑时,那他就可以利用VTP为自己服务。黑客只要成功与交换机进行连接,然后再本台计算机与其构建一条有效的中继通道,然后就能够利用VTP。当黑客将VTP信息发送至配置的版本号较高且高于目前的VTP服务器,那么就会致使全部的交换机同黑客那台计算机实现同步,最终将全部除非默认的VLAN移出VLAN数据库的范围。
4安全防范VLAN攻击的对策
4.1保障TRUNK接口的稳定与安全
通常情况下,交换机所有的端口大致呈现出Access状态以及Turnk状态这两种,前者是指用户接入设备时必备的端口状态,后置是指在跨交换时一致性的VLAN-ID两者间的通讯。对Turnk进行配置时,能够避免开展任何的命令式操作行为,也同样能够实现于跨交换状态下一致性的VLAN-ID两者间的通讯。正是设备接口的配置处于自适应的自然状态,为各项攻击的发生埋下隐患,可通过如下的方式防止安全隐患的发生。首先,把交换机设备上全部的接口状态认为设置成Access状态,这样设置的目的是为了防止黑客将自己设备的接口设置成Desibarle状态后,不管以怎样的方式进行协商其最终结果均是Accese状态,致使黑客难以将交换机设备上的空闲接口作为攻击突破口,并欺骗为Turnk端口以实现在局域网的攻击。其次是把交换机设备上全部的接口状态认为设置成Turnk状态。不管黑客企图通过设置什么样的端口状态进行攻击,这边的接口状态始终为Turnk状态,这样有助于显著提高设备的可控性[3]。最后对Turnk端口中关于能够允许进出的VLAN命令进行有效配置,对出入Turnk端口的VLAN报文给予有效控制。只有经过允许的系类VLAN报文才能出入Turnk端口,这样就能够有效抑制黑客企图通过发送错误报文而进行攻击,保障数据传送的安全性。
4.2保障VTP协议的有效性与安全性
VTP(VLANTrunkProtocol,VLAN干道协议)是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议,它主要用于管理在同一个域的网络范围内VLANs的建立、删除以及重命名。在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。处于VTP模式下,黑客容易通过VTP实现初步入侵和攻击,并通过获取相应的权限,以随意更改入侵的局域网络内部架构,导致网络阻塞和混乱。所以对VTP协议进行操作时,仅保存一台设置为VTP的服务器模式,其余为VTP的客户端模式。最后基于保障VTP域的稳定与安全的目的,应将VTP域全部的交换机设置为相同的密码,以保证只有符合密码相同的情况才能正常运作VTP,保障网络的安全。
任何管理工作都需要争取更多人的支持与拥护,而想要达到这一目的就必然需要加强相应的宣传教育工作。对于网络安全管理工作来说,它不仅仅是某一个部门或者管理人员的本职工作,想要切实加强档案数据库的安全管理就必须形成一个良性的管理环境,而凡是涉及到档案数据库使用的部门和个人都应该参与其中,应该加强所有人在档案数据库安全管理问题上的意识和能力。所以必须加强安全管理的宣传教育工作力度,宣传教育应该避免浮于表面,应该从各个部门的具体工作实际出发,将安全管理与日常具体工作有机结合。宣传教育形式应该多元化,授课式、辩论式、培训式等,同时重视同级单位之间的交流互访,为各部门工作人员提供更多学习的平台。在宣传教育的周期上应该采用定期学习新技术以及强化阶段性管理成果分析研究的方式,从而在思想上形成安全管理人人有责的正确认识。
1.2加强安全管理的制度建设
管理工作想要切实加强,离不开科学规范的制度及有效执行。因此必须针对网络环境下的档案数据库安全管理容易发生问题的所在进行进一步的制度调整和水平升级。首先,要加强数据库直接管理人员的责任制落实,对于某些极为重要的管理职务和管理项目应该推行终身问责制,从而切实保障责任的有效落实。此外还应该加强网络设备的维护保养制度及人员岗位制度建设,在坚持专人专岗避免职务交叉的同时,推行轮岗制,轮岗制能够有效避免长期占据同一职务而滋生的利己主义思想,同时也能够帮助相关岗位工作人员了解整个管理流程,从而提升岗位与岗位之间的协作性,确保整个管理工作开展更加科学有序并富有成效。其次,以安全管理工作为核心加强绩效考核机制建设。最后,要加强监督机制建设,在监督机制建设方面,要推行内外结合的监督约束建设原则,所谓内,就是内部审计,内部审计工作人员不仅包括熟识档案数据库安全管理的专门人士,同时也要包括社会专门审计机构的专业人才,这样一方面能够确保审计工作的精确性与实用性,避免走形式以及提升审计工作小组对单位的忠诚度,另一方面能够利用专门审计人员多年来从事同类型审计工作的丰富经验来提升审计工作的总体质量,帮助单位将审计工作推向更为科学、合理以及规范的发展方向。外部监督约束机制建设方面,就是加强与社会媒体的沟通协作,同时加大社会公众在舆论监督权履行方面的主动性与积极性,为安全管理工作打造一个积极的外部环境,约束其管理行为,促进管理工作质量提升。
1.3加强文化建设工作力度
现代社会,管理工作想要取得实质性的质量提升,除了要有科学严密的制度保障以外,更重要的是要让被管理人员从被动的应付管理转变为主动的参与管理,因此文化建设工作在现代管理工作中的重要性也日益体现,只有将制度融合于文化当中才能够让内部人员及被管理对象树立起遵守管理制度的自觉自愿意识,才能够激发他们参与管理的积极性与主动性。在网络安全管理工作方面,整个档案单位共同参与相互协作是重要内容,因此更需要让文化来推动制度的建立与执行,在制度确立、人员素质有效加强的同时还需要将制度转化为内在文化,促进工作人员的工作积极性与自律性。安全文化建设最重要的一环就是加强安全学习的组织工作,并通过与个人利益直接挂钩的形式激发工作人员的参与热情。
1.4加强数据库安全管理软件开发应用
首先,要加快专门化管理软件的开发及使用。当前市面上有许多信息化管理软件,但是档案数据库的管理工作不同于一般化的管理,它更多的在访问权限、访问时限、访问者身份以及信息机密性需进行严格控制等方面有更多且更高的要求,因此应该进行专门化的软件开发,软件开发虽然比成品软件购置需要花费更多成本,也需要进行操作技能的专门培训,但是也能够更好的实现上述管理目的,从而有效杜绝安全管理中的种种问题,因此应该用全局眼光看待这一问题,切不可顾忌眼前成本而放弃长远发展。
当前,大部分计算机的系统为Windows系统,只有少数计算机的系统为Linux系统。Windows系统受众面广,受网络攻击的可能性更大,再加上系统本身存在很多漏洞,严重影响了计算机数据信息的安全性。如果黑客攻击系统所存在的漏洞,就会导致病毒通过漏洞感染计算机。计算机操作系统建设所用的代码会涉及到汇编、反汇编等底层代码,并且所有代码的编写需要整个团队来完成,这样往往在代码编写过程中就会出现漏洞,需要用专门的补丁来修复。系统漏洞的存在给计算机的安全使用带来了极大的威胁,导致银行账号、密码,游戏账号、密码等泄露,从而对计算机使用者造成一定的损失。
1.2计算机病毒
计算机病毒具有感染性强、蔓延范围广、传播速度快等特点,是威胁计算机数据安全的重要因素。在病毒进入到计算机程序后,如果将带有病毒的数据文件应用于计算机网络传输或共享,那么其他计算机在浏览或打开此数据文件时也会被感染,出现连锁式病毒传播。另外,如果计算机病毒过多,会对计算机操作系统造成十分严重的影响,出现死机或者数据丢失等事故。
1.3非正常入侵
计算机网络具有开放性特点,在互联网背景下,很多不法分子利用系统本身存在的漏洞非法入侵用户计算机。非法入侵者一般采取窃听、监视等手段,获取计算机网络用户的口令、IP包和用户信息等,然后利用各种信息进入计算机局域网内,并采用冒充系统客户或者用合法用户的IP地址代替自己的IP地址等方式,篡改或窃取计算机网络内的数据信息。
2数据加密技术的应用
2.1密钥保护
密钥保护是数据加密中一种常用的加密技术。改变密钥的表达方式,可提高密文书写的多变性,体现多层次的加密方式。密钥保护可分为公钥保护和私钥保护两种方式。通常这两种方式相互配合,对提高计算机数据信息的安全性具有重要意义。私钥保护具有一定的局限性,在使用时必须借助公钥保护来完成整个保护动作。密钥保护的原理是:当计算机进行数据传输时,选用公钥对需要传输的信息进行加密,在用户接收数据后,需要通过私钥来完成解密动作,以此来确保传输数据的安全性,避免攻击者非法窃取传输过程中的数据。当前,秘钥保护方式一般用于管理系统和金融系统中,可以完成对私人信息、用户登录和访问过程等方面的保护。
2.2USBkey保护
USBkey是数据加密技术的典型代表,一般用于银行交易系统中,保证网络交易环境的安全性。USBkey服务于客户端到银行系统,对每项数据信息的传输都需要加密处理,避免数据在传输过程中受到恶意攻击。就现状来看,银行系统通过计算机网络来完成工作的概率逐渐上升。USBkey可以保护银行系统能够在相对安全的环境中完成交易。在用户利用计算机网络进行银行交易时,USBkey中的加密技术会自动匹配用户信息,即便用户行为被跟踪,攻击者也无法破译USBkey中的加密技术,通过加强用户登录身份的验证,保证用户财务安全。
2.3数字签名保护
数字签名保护是比较常用的一种数据加密技术,具有很好的保护效果。数字签名保护的原理是利用加密、解密过程,识别用户身份,从而保证数据信息的安全性。数字签名保护也分为公钥保护和私钥保护两种,如果只使用其中的一种保护方式,会在本质上降低安全保护的效果。因此,通常情况下,常在私钥签名处外加一层公钥保护,提高数字签名保护的效果。
2关于大数据时代下网络安全问题控制的几点思考
2.1做好对访问的控制
对于大数据时代下网络安全问题控制,就要对安全的防御技术加以采取,并做好黑客攻击以及病毒传播等的控制,将对访问的控制有效加强,对网络资源的合法访问和使用加以确保,并合理的认证以及控制用户对网络资源权限的访问,避免非法目的用户的不法访问。将身份认证和相关口令加以添加,做好对规范用户的基础控制,有效维护系统,并对网络资源进行高效性的保护。
2.2做好对数据的加密控制
做好对数据加密控制,就要采取加密算法以及密钥的方法,对明文数据进行转化,将其转化成为一种密文,并保证加密后的信息,在实际的传播过程中,有着一定的保护作用,一旦信息窃取,对于信息的内容无法查看。同时在对数据存储安全性以及稳定性进行确保时,就要依据于数据的相关特点和基本类型,对机密信息的安全性加以确保,实现网络信息数据的安全传输。
2.3做好对网络的隔离控制
将网络的隔离控制加强,主要是当前防火墙技术常见的一种网络隔离技术,通过对防火墙部署在数据存储系统上加以采用,尽可能的将网络分为外部和内部,并对数据通道进行授权处理,对网络访问权进行一定的隔离和限制,并对网络的安全进行合理的控制。
2.4做好对入侵的检测控制
一般而言,入侵检测,主要是借助于主机系统和互联网,综合性的分析预设的关键信息,并对非法入侵进行检测,在入侵检测控制中,就要借助于监测网络将内外攻击以及相关的操作进行及时的监测,并采取主动性和实时性的特点,对信息的安全结构进行保证,进而做好入侵的检测控制,对网络信息安全进行最大上的保障。
2.5及时防治病毒
当前大数据环境中,保证网络安全,就要做好病毒的有效防治,在计算机上安装杀毒软件,并定期对文件进行扫描和杀毒,对于不能识别的网络病毒,就要对漏洞补丁进行及时的更新和修补。同时良好的网络安全意识培养,不点击不明的链接以及相关的网站,对正规正版的软件下载,并综合提升病毒防治的成效,做好计算机的日常安全维护基础工作。
2.6做好安全审计工作
做好网络安全审计工作,就要综合提升网络信息安全性能和网络信息的稳定性,在实际的工作过程中,借助于网络对原始数据包进行合理的监控和分析,并借助于审计的手段,还原原始信息,准确的记录访问网络的关键性信息,对网络方位、上网时间控制以及邮件的访问等行为进行极好的记录,尽可能的保证业务正常有序的进行。
2.7提高安全防范意识
提高安全防范意识,同样也是大数据时代下网络安全控制的有效方法之一,将网络安全增强,并提升网络安全性能,对相关的管理制度进行建立,将软件的操作和管理加强,对用户的安全保护意识进行加强,并对完全稳定的网路环境进行创造。
2交换机常见的攻击类型
2.1MAC表洪水攻击
交换机基本运行形势为:当帧经过交换机的过程会记下MAC源地址,该地址同帧经过的端口存在某种联系,此后向该地址发送的信息流只会经过该端口,这样有助于节约带宽资源。通常情况下,MAC地址主要储存于能够追踪和查询的CAM中,以方便快捷查找。假如黑客通过往CAM传输大量的数据包,则会促使交换机往不同的连接方向输送大量的数据流,最终导致该交换机处在防止服务攻击环节时因过度负载而崩溃.
2.2ARP攻击
这是在会话劫持攻击环节频发的手段之一,它是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。黑客可通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,ARP欺骗过程如图1所示。
2.3VTP攻击
以VTP角度看,探究的是交换机被视为VTP客户端或者是VTP服务器时的情况。当用户对某个在VTP服务器模式下工作的交换机的配置实施操作时,VTP上所配置的版本号均会增多1,当用户观察到所配置的版本号明显高于当前的版本号时,则可判断和VTP服务器实现同步。当黑客想要入侵用户的电脑时,那他就可以利用VTP为自己服务。黑客只要成功与交换机进行连接,然后再本台计算机与其构建一条有效的中继通道,然后就能够利用VTP。当黑客将VTP信息发送至配置的版本号较高且高于目前的VTP服务器,那么就会致使全部的交换机同黑客那台计算机实现同步,最终将全部除非默认的VLAN移出VLAN数据库的范围。
3安全防范VLAN攻击的对策
3.1保障TRUNK接口的稳定与安全
通常情况下,交换机所有的端口大致呈现出Access状态以及Turnk状态这两种,前者是指用户接入设备时必备的端口状态,后置是指在跨交换时一致性的VLAN-ID两者间的通讯。对Turnk进行配置时,能够避免开展任何的命令式操作行为,也同样能够实现于跨交换状态下一致性的VLAN-ID两者间的通讯。正是设备接口的配置处于自适应的自然状态,为各项攻击的发生埋下隐患,可通过如下的方式防止安全隐患的发生。首先,把交换机设备上全部的接口状态认为设置成Access状态,这样设置的目的是为了防止黑客将自己设备的接口设置成Desibarle状态后,不管以怎样的方式进行协商其最终结果均是Accese状态,致使黑客难以将交换机设备上的空闲接口作为攻击突破口,并欺骗为Turnk端口以实现在局域网的攻击。其次是把交换机设备上全部的接口状态认为设置成Turnk状态。不管黑客企图通过设置什么样的端口状态进行攻击,这边的接口状态始终为Turnk状态,这样有助于显著提高设备的可控性。最后对Turnk端口中关于能够允许进出的VLAN命令进行有效配置,对出入Turnk端口的VLAN报文给予有效控制。只有经过允许的系类VLAN报文才能出入Turnk端口,这样就能够有效抑制黑客企图通过发送错误报文而进行攻击,保障数据传送的安全性。
3.2保障VTP协议的有效性与安全性
VTP(VLANTrunkProtocol,VLAN干道协议)是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议,它主要用于管理在同一个域的网络范围内VLANs的建立、删除以及重命名。在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。处于VTP模式下,黑客容易通过VTP实现初步入侵和攻击,并通过获取相应的权限,以随意更改入侵的局域网络内部架构,导致网络阻塞和混乱。所以对VTP协议进行操作时,仅保存一台设置为VTP的服务器模式,其余为VTP的客户端模式。最后基于保障VTP域的稳定与安全的目的,应将VTP域全部的交换机设置为相同的密码,以保证只有符合密码相同的情况才能正常运作VTP,保障网络的安全。
2大数据时代下网络安全的基本内涵
大数据时代下网络完全问题逐渐受到重视,但是在对网络安全确保的同时,就要正确全面的认识网络的安全。就其实质性而言,大数据时代下网络安全就要做好物理安全的综合分析,和信息内容安全的全面分析。保证网络安全的物理安全,就要在当前的网络工程中,对网络的设计和网络的规划进行充分的考虑,并做好对各种电源故障以及电脑硬件配置的全面考虑。综合分析信息内容安全时,主要是保证信息的保护,并避免信息泄露和破坏的产生,并禁止非法用户在没有一定的授权,进而对目标系统中的数据进行窃取和破译,进而为用户带来一定的隐患。而信息破坏的过程中,就要做好系统故障的维护,对非法行为进行抑制。对于信息传播安全和管理安全分析时,就要在当前的网络环境中,做好数据信息的有效传输,并避免网络的攻击以及病毒的入侵,并做好对整个网络系统的维护工作。而管理安全性分析时,就要对软件的可操作性进行综合性的分析,做好实时监控和相关的应对措施准备,并做好对数据的综合保护。总而言之,大数据时代下网络安全更要做好网络硬件的维护和常规管理,同时也要做好信息传播安全以及管理安全的综合性分析,进而对大数据时代下网络安全加以保障。
3关于大数据时代下网络安全问题控制的几点思考
大数据时代下网络安全问题控制过程中,就要综合分析网络系统本身上的漏洞,并做好系统漏洞和威胁的全面分析评估,并结合当前的新技术手段,进而做好网络的安全的极大保障。
3.1做好对访问的控制
对于大数据时代下网络安全问题控制,就要对安全的防御技术加以采取,并做好黑客攻击以及病毒传播等的控制,将对访问的控制有效加强,对网络资源的合法访问和使用加以确保,并合理的认证以及控制用户对网络资源权限的访问,避免非法目的用户的不法访问。将身份认证和相关口令加以添加,做好对规范用户的基础控制,有效维护系统,并对网络资源进行高效性的保护。
3.2做好对数据的加密控制
做好对数据加密控制,就要采取加密算法以及密钥的方法,对明文数据进行转化,将其转化成为一种密文,并保证加密后的信息,在实际的传播过程中,有着一定的保护作用,一旦信息窃取,对于信息的内容无法查看。同时在对数据存储安全性以及稳定性进行确保时,就要依据于数据的相关特点和基本类型,对机密信息的安全性加以确保,实现网络信息数据的安全传输。
3.3做好对网络的隔离控制
将网络的隔离控制加强,主要是当前防火墙技术常见的一种网络隔离技术,通过对防火墙部署在数据存储系统上加以采用,尽可能的将网络分为外部和内部,并对数据通道进行授权处理,对网络访问权进行一定的隔离和限制,并对网络的安全进行合理的控制。
3.4做好对入侵的检测控制
一般而言,入侵检测,主要是借助于主机系统和互联网,综合性的分析预设的关键信息,并对非法入侵进行检测,在入侵检测控制中,就要借助于监测网络将内外攻击以及相关的操作进行及时的监测,并采取主动性和实时性的特点,对信息的安全结构进行保证,进而做好入侵的检测控制,对网络信息安全进行最大上的保障。
3.5及时的防治病毒
当前大数据环境中,保证网络安全,就要做好病毒的有效防治,在计算机上对杀毒软件安装,并定期的对文件进行扫描和杀毒,对于不能识别的网络病毒,就要对漏洞补丁进行及时的更新和修补。同时也要对良好的网络安全意识习惯培养,不点击不明的链接以及相关的网站,对正规正版的软件下载,并综合提升病毒防治的成效,做好计算机的日常安全维护基础工作。
3.6做好安全审计工作
做好网络安全审计工作,就要综合提升网络信息安全性能和网络信息的稳定性,在实际的工作过程中,借助于网络对原始数据包进行合理的监控和分析,并借助于审计的手段,还原原始信息,准确的记录访问网络的关键性信息,对网络方位、上网时间控制以及邮件的访问等行为进行极好的记录,尽可能的保证业务正常有序的进行[5]。
3.7提高安全防范意识
提高安全防范意识,同样也是大数据时代下网络安全控制的有效方法之一,将网络安全增强,并提升网络安全性能,对相关的管理制度进行建立,将软件的操作和管理加强,对用户的安全保护意识进行加强,并对完全稳定的网路环境进行创造。
2基于空间数据挖掘的煤矿安全监测系统的建设
2.1系统模型的设计
空间数据挖掘系统包含了三种结构体系,第一种是数据源,是指利用大空间数据库中所提供给我们的索引来查询出具体的功能,在具体的操作中可以直接使用到数据库中的数据。第二种是数据的挖掘,首要前提是要把原始的数据转换为数据挖掘算法的专用格式,并删除其他不相干的数据,然后利用这种算法来具体分析提取出来的空间数据,最后在挖掘中不断调整数据的参数值。最后一种是用户界面,在这个技术层面中,用户可以根据可视化的工具来获取知识。
2.2空间挖掘关联规则的分析
空间挖掘技术有一项十分重要的元素,就是空间对象的结构以及空间之间的关联规则,想要深入地分析出这些规则,空间挖掘模型还要设计出一组空间关系。通过设计的空间关系而研究出的空间关联规则是空间挖掘技术中的重要内容。空间的关联规则包含了不同的空间属性,如相邻、共生、包含、覆盖等关系,同时还表现出了距离上的信息,比如交叉、远离等。在众多的应用程序中,我们很难在原始的数据中找到一些关联规则,但却可以在高层次的概念上找到,这也可以提供一些十分重要的知识。因此,在实际的空间数据挖掘系统的建立中,应该时刻注意到要在不同的概念层次中挖掘出空间的关联规则,以及在不同概念的空间里互相转换的功能。
2.3空间数据挖掘算法的选择
就目前的实际情况来看,空间数据的挖掘算法主要有三种形式,第一种是分类和预测模型,第二种是集群和单点检测模型,最后一种是空间关联规则。这三种算法都和煤矿的安全管理中所需要的空间模式息息相关。在这三种算法中,空间关联规则是最为重要的内容,它主要是指空间数据的价值和每个数据项目之间关系的准确描述。这些知识的描述可以显示特定的参数和空间位置之间的关系,显而易见的是,空间关联规则所体现出的空间定位的特性,对于煤矿的安全生产和管理来说,有着多么深远的意义。在实际情况中,煤矿安全的空间关联规则算法需要用到双向挖掘,双向挖掘具体分为了两个步骤,第一点是根据统计的结果来得出非空间项目,第二点就是利用空间关联的算法来生成规则。
2体系划分
2.1基础安全设施
事后数据处理系统基础安全设施是以PKI/PMI/KMI技术为基础而构建的证书认证、权限管理、密钥管理和密码服务等基础设施。基础安全设施提供的技术支撑适用于整个事后数据处理系统,具有通用性。基础安全设施的技术运行和管理具有相对的独立性。1)证书认证证书认证是对数字证书进行全过程的安全管理。由证书签发、密钥管理、证书管理、本地注册、证书/证书撤销列表查询、远程注册等部分构成。2)权限管理权限管理是信息安全体系基础安全设施的重要组成部分。它采用基于角色的访问控制技术,通过分级的、自上而下的权限管理职能的划分和委派,建立统一的特权管理基础设施,在统一的授权管理策略的指导下实现分布式的权限管理。权限管理能够按照统一的策略实现层次化的信息资源结构和关系的描述和管理,提供统一的、基于角色和用户组的授权管理,对授权管理和访问控制决策策略进行统一的描述、管理和实施。建立统一的权限管理,不仅能够解决面向单独业务系统或软件平台设计的权限管理机制带来的权限定义和划分不统一、各访问控制点安全策略不一致、管理操作冗余、管理复杂等问题,还能够提高授权的可管理性,降低授权管理的复杂度和管理成本,方便应用系统的开发,提高整个系统的安全性和可用性。3)密钥管理密钥管理是指密钥管理基础设施,为基础安全设施提供支持,并提供证书密钥的生成、存储、认证、分发、查询、注销、归档及恢复等管理服务。密钥管理与证书认证服务按照“统一规划、同步建设、独立设置、分别管理、有机结合”的原则进行建设和管理,由指定专人维护管理。密钥管理与证书认证是分别设立,各自管理,紧密联系,共同组成一个完整的数字证书认证系统。密钥管理主要为证书认证提供用户需要的加密用的公/私密钥对,并为用户提供密钥恢复服务。4)密码服务密码服务要构建一个相对独立的、可信的计算环境,进行安全密码算法处理。根据系统规模,可采用集中式或分布式计算技术,系统性能动态可扩展。事后数据处理系统采用集中式计算技术。
2.2安全技术支撑
安全技术支撑是利用各类安全产品和技术建立起安全技术支撑平台。安全技术支撑包括物理安全、运行安全和信息安全。物理安全包括环境安全、设备安全和介质安全;运行安全包括防病毒、入侵检测和代码防护等;信息安全包括访问控制、信息加密、电磁泄漏发射防护、安全审计、数据库安全等功能。
2.2.1物理安全
物理安全的目标是保护计算机信息系统的设备、设施、媒体和信息免遭自然灾害、环境事故、人为物理操作失误、各种以物理手段进行的违法犯罪行为导致的破坏、丢失。物理安全主要包括环境安全、设备安全和介质安全三方面。对事后数据处理中心的各种计算机、外设设备、数据处理系统等物理设备的安全保护尤其重要。对携带进入数据处理中心的U盘、移动硬盘、可携带笔记本等移动介质进行单独安全处理。
2.2.2运行安全
运行安全采用防火墙、入侵检测、入侵防护、病毒防治、传输加密、安全虚拟专网等成熟技术,利用物理环境保护、边界保护、系统加固、节点数据保护、数据传输保护等手段,通过对网络和系统安全防护的统一设计和统一配置,实现全系统高效、可靠的运行安全防护。系统安全域划分为事后数据处理中心专网安全域、靶场专网安全域、外联网安全域。事后数据处理中心专网与靶场专网安全域逻辑隔离,靶场专网与外联网安全域逻辑隔离。1)防火墙防火墙技术以包过滤防火墙为主,对系统划分的各个安全域进行边界保护。在事后数据处理中心出入口、网络节点出入口、外网出入口等节点安装配置防火墙设备,保证数据传输安全。2)入侵检测入侵检测对事后数据处理系统的关键安全域进行动态风险监控,使用成熟的入侵检测技术对整个系统网络的入侵进行防控。3)病毒防治在各网络节点保证出入站的电子邮件、数据及文件安全,保证网络协议的使用安全,防止引入外部病毒。在事后数据处理系统的重要系统服务器(包括专业处理服务器、数据服务器等)配置服务器防病毒产品。在所有桌面系统配置防病毒防护产品,提供全面的跨平台病毒扫描及清除保护,阻止病毒通过软盘、光盘等进入事后数据处理系统网络,同时控制病毒从工作站向服务器或网络传播。在事后数据处理中心配置防病毒管理控制中心,通过安全管理平台管理控制服务器、控制台和程序,进行各个防病毒安全域的防病毒系统的管理和配置。
2.2.3信息安全
信息安全包括访问控制、信息加密、电磁泄漏发射防护、安全审计、数据库安全等功能。信息安全技术是保证事后数据处理中心的原始测量数据、计算结果数据、图像数据等各类数据的安全技术,使用成熟的安全信息技术产品完成全面的信息安全保障。1)访问控制访问控制主要包括防止非法的人员或计算机进入数据处理中心的系统,允许合法用户访问受保护的系统,防止合法的用户对权限较高的网络资源进行非授权的访问。访问控制根据方式可分为自主访问控制和强制访问控制。自主访问控制是事后数据处理中心各级用户自身创建的对象进行访问,并授予指定的访问权限;强制访问控制是由系统或指定安全员对特定的数据、对象进行统一的强制性控制,即使是对象的创建者,也无权访问。2)安全审计事后数据处理中心运用安全审计技术对系统的软件系统、设备使用、网络资源、安全事件等进行全面的审计。可建立安全保密检测控制中心,负责对系统安全的监测、控制、处理和审计,所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。3)数据库安全数据库系统的安全特性主要是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。
3事后处理系统解决方案
事后数据处理系统主要用于完成遥测和外测的事后数据处理任务,提供目标内外弹道参数,并存储和管理各类测量数据,为各种武器试验的故障分析和性能评定提供支撑和依据。该系统必须具备的主要功能如下:•海量的数据输入输出和存储管理功能;•快速的各类试验测量数据处理功能;•可靠的数据质量评估和精度分析功能;•有效的信息安全防护功能;•强大的数据、图像、曲线显示分析以及报告自动生成功能。建立事后数据处理系统信息安全运行与管理的基础平台,构建整个系统信息安全的安全支撑体系,保证事后数据处理系统各种业务应用的安全运行,通过技术手段实现事后数据处理系统安全可管理、安全可控制的目标,使安全保护策略贯穿到系统的物理环境、网络环境、系统环境、应用环境、灾备环境和管理环境的各个层面。•实现事后数据处理任务信息、型号信息、处理模型、模型参数、原始数据、计算结果、图像数据的安全保护;•建立起认证快捷安全、权限/密钥管理完备、密码服务安全的安全设施;•建立起功能齐全、协调高效、信息共享、监控严密、安全稳定的安全技术支撑平台;•建立事后数据处理系统信息安全体系的技术标准、规范和规章制度。
