序論:速發表網結合其深厚的文秘經驗��,特別為您篩選了11篇數據安全論文范文。如果您需要更多原創資料����,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識�!
篇1
1.1云計算數據應用系統模型
云計算的平臺構架主要技術有并行編程的模式,分布式文件系統����,數據處理模型�。其層次如圖1所示�。云計算的數據應用共分為三個層次:應用層�、索引層和數據存儲層��。同時要了解云計算數據應用系統的三個要素:用戶、應用服務器和數據中心�。這三個要素各有著不同的功能���,用戶的功能是存儲數據,在數據計算的基礎上,計算個體用戶和組織用戶的數據����。應用服務器的功能是維護云計算的系統�����。數據中心的功能是存貯實際的數據信息。但是����,在云計算數據應用系統模型中����,存在著很大的安全威脅,主要是來自傳統數據的威脅���,容易受到影響的對象有客戶端�����、主從結構和病毒的傳播�����,通信的安全性。其中����,病毒的傳播主要是通過互聯網的數據交易服務���,病毒侵入計算機網絡系統�,它的破壞性遠遠大于單機系統�����,用戶也很難進行防范?�,F在的互聯網中��,病毒一般有隱蔽性��,傳播速度也很快。另外��,病毒的制造技術也越來越高級,不僅可以破壞用戶的程序�,還可以竊取信息�����,造成系統的交叉感染。這種感傳染性的病毒危害性非常大�����。對于通信故障����,網絡中通常分為兩種類型的安全攻擊類型:主動攻擊和被動攻擊����。常見的攻擊手段有偷竊�����、分析、冒充�����、篡改。對于數據安全來說�,除了上述的數據安全�,還有新數據的安全威脅�����,主要表現在幾個方面:保密失效威脅、分布式可用威脅�、動態完整性威脅�����。
1.2云計算數據安全模型
典型云計算數據技術如圖2所示。該數據安全模型主要分三個層次:第一層的功能是負責驗證用戶的身份�,保證云計算中數據的安全�;第二層的功能是負責對用戶的數據進行保密處理�����,保護用戶的隱私;第三層的功能是恢復用戶誤刪的數據���,是系統保護用戶數據的最后一道防線。這三層結構是相互聯系��,層層深入�����。首先要驗證用戶的身份���,保證用戶的數據信息不被篡改。如果非法用戶進入的系統���,則進入系統后還要經過加密保護和防御系統�����。最后是文件恢復的層次�,這一層次可以幫助用戶在數據受損的情況下修復數據�����。
2多維免疫的云數據安全
2.1多維免疫算法
多維免疫算法的組成主要依靠生物原理、免疫系統的多維模型��、多維免疫的基本原則組成�����。其中����,生物原理是把生物學的理論應用在云計算中����。人工免疫系統發展到現在���,在免疫能力的發揮方面有了很大的發展���。免疫能力的增長是一個漫長的過程���,后天的免疫的生成更是一個艱難的過程��。在一個系統生成初期,完全沒有后天的免疫能力����,但是隨著身體的成長�,免疫細胞逐漸增多�,免疫系統也開始形成�。多維免疫系統的形成也是這樣的���。
2.2多維免疫的數據安全原理
阻礙多維免疫的數據安全的因素主要有不可靠網絡�����、節點故障�、超大規模的用戶訪問��、數據更新引起的數據不一致性等。為了提高數據管理的安全性����,云計算為用戶提供了一個一致的入口,只有向用戶提供透明的文件��,進行文件數據的定位數據選擇�����。對于數據管理服務�,應該注意����,這項服務是連接用戶和系統的����。應用服務器和數據中心共同組成了云計算數據應用系統����。應用服務器主要目的是方便用戶訪問歷史和相關的文件信息����。
2.3多維免疫的云數據安全策略
主要包括文件分布的策略�����,HDFS文件冗余度計算���,多維免疫的文件分布����,數據塊選擇機制等。對于云計算中的用戶文件����,需要考慮到數據塊的數量分布、數據塊的顆粒度和數據庫的創建時間�。多維免疫的文件分布中����,首先要掌握文件分布的原理���,多維免疫算法和云計算中文件的創建和文件塊的分配法是一致的�。
篇2
二��、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范�,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務����。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時�,狹義安全固然重要����,但需更多地考慮廣義的安全。在廣義安全中�����,安全問題涉及到更多的方面����,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中���,風險點和威脅點不是單一的�,而存在多元性�。這些威脅點包括物理安全����、邏輯安全和安全管理三個主要方面���。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容���;邏輯安全涉及到訪問控制和電子數據完整性等方面���;安全管理包括人員安全管理政策、組織安全管理政策等內容�。電子數據安全出現問題可能是其中一個方面出現了漏洞�����,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新��,電子數據安全問題就具有動態性。因為在今天無關緊要的地方����,在明天就可能成為安全系統的隱患�;相反�����,在今天出現問題的地方�,在將來就可能已經解決。例如��,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低���,而客戶機端由于B0這樣的黑客程序存在,同樣出現了安全需要��。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效����。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性����,持續幾個月在防火墻外試探系統漏洞而未被發覺�,并最終攻入系統�。另外,攻擊者通常會從不同的方面和角度��,例如對物理設施或協議、服務等邏輯方式對系統進行試探��,可能繞過系統設置的某些安全措施����,尋找到系統漏洞而攻入系統��。它涉及到計算機和網絡的硬件�����、軟件知識����,從最底層的計算機物理技術到程序設計內核��,可以說無其不包��,無所不在����,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動����。同樣道理�����,在防范這些問題時���,也只有掌握了各種入侵技術和手段��,才能有效的將各種侵犯拒之門外�,這樣就決定了電子數據安全的復雜性�。
(四)電子數據安全的安全悖論
目前���,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻���、加密狗、密鑰等�����,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論��。安全產品放置點往往是系統結構的關鍵點���,如果安全產品自身的安全性差,將會后患無窮����。當然在實際中不可能無限層次地進行產品的安全保證��,但一般至少需要兩層保證����,即產品開發的安全保證和產品認證的安全保證���。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全�����。首先由于安全的多元性和動態性��,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性�,不可能在所有方面應付來自各個方面的威脅���;再次,即使找到這樣的方法��,一般從資源和成本考慮也不可能接受。目前�����,業界普遍遵循的概念是所謂的“適度安全準則”��,即根據具體情況提出適度的安全目標并加以實現��。
三����、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄���,以備用戶違反安全規則的事件發生后,有效地追查責任�。電子數據安全審計過程的實現可分成三步:第一步���,收集審計事件�����,產生審記記錄;第二步����,根據記錄進行安全違反分析;第三步,采取處理措施�。
電子數據安全審計工作是保障計算機信息安全的重要手段�。凡是用戶在計算機系統上的活動��、上機下機時間���,與計算機信息系統內敏感的數據��、資源�、文本等安全有關的事件�����,可隨時記錄在日志文件中�����,便于發現、調查��、分析及事后追查責任,還可以為加強管理措施提供依據��。
(一)審計技術
電子數據安全審計技術可分三種:了解系統��,驗證處理和處理結果的驗證��。
1.了解系統技術
審計人員通過查閱各種文件如程序表����、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行����,控制能在該系統中起作用�����。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準�����,可以選擇事務的樣板來仔細分析。樣板可以是隨機的���,選擇軟件可以掃描一批輸入事務���,也可以由操作系統的事務管理部件引用�����。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務����。通過某些獨立的方法���,可以預見正確的結果,并與實際結果相比較�。用此方法����,審計人員必須通過程序檢驗被處理的測試數據�。另外��,還有綜合測試����、事務標志、跟蹤和映射等方法�。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后���,來比較它們的結果。仿真代價較高�,借助特定的高級語音可使仿真類似于實際的應用���。
(4)驗證處理結果技術
這種技術����,審計人員把重點放在數據上�,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據��。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據���,監視意外事件)���;擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤���;借用于日志恢復的備份庫(如當審計跟蹤時�����,用兩個可比較的備份去檢驗賬目是否相同)�;通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析)���,利用數據庫管理系統的查詢設施抽取用戶數據��。
二是從數據中尋找什么�����?一旦抽取數據后���,審計人員可以檢查控制信息(含檢驗控制總數�、故障總數和其他控制信息)�����;檢查語義完整性約束�����;檢查與無關源點的數據�。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現����。審計范圍包括操作系統和各種應用程序���。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶�����、文件操作�����、操作命令等)的選擇�;審計文件的定義與自動轉換;文件系統完整性的定時檢測�����;審計信息的格式和輸出媒體���;逐出系統�����、報警閥值的設置與選擇����;審計日態記錄及其數據的安全保護等�。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用����;判斷程序和數據是否完整;依靠使用者身份��、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用�����,但在概念上它們之間是有區別的�。主要區別是日志恢復通常不記錄讀操作���;但根據需要����,日記恢復處理可以很容易地為審計跟蹤提供審計信息���。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時�����,或在威脅安全的重要操作進行時�����,及時向安檢員發出告警信息���,以便迅速采取相應對策����,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點��;引發事件的用戶����;事件的類型;事件成功與否�����。
審計跟蹤的特點是:對被審計的系統是透明的���;支持所有的應用���;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄��;記錄的事件一般應包括以下內容:被審訊的進程、時間��、日期����、數據庫的操作、事務類型��、用戶名、終端號等�����;可以對單個事件的記錄進行指定�。
按照訪問控制類型��,審計跟蹤描述一個特定的執行請求����,然而����,數據庫不限制審計跟蹤的請求��。獨立的審計跟蹤更保密�����,因為審計人員可以限制時間����,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件���,根據相應的審計條件,判斷是否是審計事件��。對審計事件的內容按日志的模式記錄到審計日志中���。當審計事件滿足報警閥的報警值時�,則向審計人員發送報警信息并記錄其內容����。當事件在一定時間內連續發生���,滿足逐出系統閥值���,則將引起該事件的用戶逐出系統并記錄其內容���。
篇3
2新型網絡安全控制
在現有網絡環境中不斷革新網絡環境����,并提出相應的安全控制措施是現階段SDN數據中心網絡改良的核心任務��。新的安全系統主要借助網絡控制結構形成的�����,新型的網絡環境中控制平臺會出現上移的狀況,這就會導致控制機制出現一定程度的集中化趨勢��,這就需要根據SDN信息處理中心設計一個更加可靠有效的控制器���。從具體的操作層次而言�,應該先將控制器添加到某一控制單元內��,允許其可以進行自由的進出訪問�����,并在信息訪問過程中添加審計程序,動態性的檢查控制器中用戶登錄信息�,保證其合法性����,從本質上切斷進攻者進入終端數據中心的途徑����。再次,應該保證整體控制器信息交流的有效性�,這就要求OpenFlow協議應該在不同的數據交流中心建立一個安全的通訊通道���,防止某些攻擊者借助通道漏洞進入控制中心�。傳統的安全產品中存在的網絡安全缺點還表現在安全控制網絡系統中存在某些致命的缺點�,因此��,根據現階段安全控制產品設計出不同類型的安全控制產品�,分為以下幾個類型:第一種傳統的安全控制產品是虛擬機的形態���,相應的安全設備可以借助虛擬設備完成數據信息的循環化處理��,通過這種方式可以將保證其中的網絡拓撲穩定性���,但是該種產品其安全性相對較低�,容易被其他受到感染的虛擬處理終端目的性攻擊,其該設備內部配置相對比較復雜����。第二種是形態�����,一般是agent模式�,它是一種具體的形式部署在不同虛擬機的操作系統當中的模式,該系統內質是借助Hypervisor完成不同應用之間的連接�,通過該種模式可以真實性的監控虛擬機的現實數據傳輸量�����,從而控制其中的數據傳輸�����。但是該種方法受到了一定程度的Hypervisor的顯示���,如果該端口沒有提供合理性的接口����,那么虛擬中的數據傳輸就需要尋找其它端口進行數據連接,這對于開發者而言是相對困難的�。第三,可以在實體的網絡連接當中接入SDN處理技術����,雖然該形態可能受到虛擬環境的限制,但是該種方法可以從系統內部完成對數據傳輸的控制���,這樣信道內部的數據就可以完整的被牽引到實體設備當中�����,而操作者僅僅通過建立隔離模板就完整的實現了對系統的控制�����。
篇4
有效保障數據通信網絡的穩定性和安全性,就必須充分發揮技術人力資源的作用���,積極構建起健全完善的數據通信平臺,并積極對系統平臺的安全性進行科學的全面的評估。作為一名合格具備專業化技術的人員���,應按照相關制度要求和標準流程���,設置科學的評估方式����,對整個網絡環境進行系統的評估����,并適時給予安全調整,準確分析潛在的用戶群體以及信息源��,并對他們進行安全評估和識別,充分了解數據通信網絡的發展實際���,以此為出發點開展系統安全性的分析活動���。
1.2及時排查隱存的安全威脅
定期開展網絡安全的檢查與維修活動�,以及時確保數據信息的可靠性與真實性得到有效的安全確認���,避免服務器的終端設備以及信息網中的硬件設備和軟件設備受到惡意破壞�����,防止系統網絡受到不法分子的嚴重攻擊�,達到對數據庫內部的信息進行保密的目的�����。所以這就要求專業化的技術人員需以對網絡安全性的有效評估為前提,全面仔細存在的隱形的安全威脅��,積極設置高效的網管設置等形式,不斷優化系統漏洞�,拒絕一切不法分析用戶的對網絡系統的入侵和攻擊�,降低安全風險的發生��。
2路由器與交換機漏洞的發現和防護
作為通過遠程連接的方式實現網絡資源的共享是大部分用戶均會使用到的�,不管這樣的連接方式是利用何種方式進行連接����,都難以避開負載路由器以及交換機的系統網絡���,這是這樣,這些設備存在著某些漏洞極容易成為黑客的攻擊的突破口���。從路由器與交換機存在漏洞致因看,路由與交換的過程就是于網絡中對數據包進行移動��。在這個轉移的過程中��,它們常常被認為是作為某種單一化的傳遞設備而存在,那么這就需要注意��,假如某個黑客竊取到主導路由器或者是交換機的相關權限之后�����,則會引發損失慘重的破壞?�?v觀路由與交換市場�����,擁有最多市場占有率的是思科公司��,并且被網絡領域人員視為重要的行業標準����,也正因為該公司的產品普及應用程度較高����,所以更加容易受到黑客攻擊的目標���。比如,在某些操作系統中�����,設置有相應的用于思科設備完整工具�����,主要是方便管理員對漏洞進行定期的檢查,然而這些工具也被攻擊者注意到并利用工具相關功能查找出設備的漏洞所在���,就像密碼漏洞主要利用JohntheRipper進行攻擊。所以針對這類型的漏洞防護最基本的防護方法是開展定期的審計活動�����,為避免這種攻擊,充分使用平臺帶有相應的多樣化的檢查工具����,并在需要時進行定期更新�,并保障設備出廠的默認密碼已經得到徹底清除��;而針對BGP漏洞的防護����,最理想的辦法是于ISP級別層面處理和解決相關的問題��,假如是網絡層面,最理想的辦法是對攜帶數據包入站的路由給予嚴密的監視��,并時刻搜索內在發生的所有異?,F象���。
3交換機常見的攻擊類型
3.1MAC表洪水攻擊
交換機基本運行形勢為:當幀經過交換機的過程會記下MAC源地址����,該地址同幀經過的端口存在某種聯系,此后向該地址發送的信息流只會經過該端口�,這樣有助于節約帶寬資源����。通常情況下,MAC地址主要儲存于能夠追蹤和查詢的CAM中����,以方便快捷查找。假如黑客通過往CAM傳輸大量的數據包����,則會促使交換機往不同的連接方向輸送大量的數據流��,最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰。
3.2ARP攻擊
這是在會話劫持攻擊環節頻發的手段之一�����,它是獲取物理地址的一個TCP/IP協議����。某節點的IP地址的ARP請求被廣播到網絡上后,這個節點會收到確認其物理地址的應答,這樣的數據包才能被傳送出去�����。黑客可通過偽造IP地址和MAC地址實現ARP欺騙�����,能夠在網絡中產生大量的ARP通信量使網絡阻塞,ARP欺騙過程如圖1所示����。
3.3VTP攻擊
以VTP角度看��,探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況�����。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時���,VTP上所配置的版本號均會增多1�����,當用戶觀察到所配置的版本號明顯高于當前的版本號時,則可判斷和VTP服務器實現同步����。當黑客想要入侵用戶的電腦時���,那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接����,然后再本臺計算機與其構建一條有效的中繼通道�����,然后就能夠利用VTP���。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器,那么就會致使全部的交換機同黑客那臺計算機實現同步��,最終將全部除非默認的VLAN移出VLAN數據庫的范圍�����。
4安全防范VLAN攻擊的對策
4.1保障TRUNK接口的穩定與安全
通常情況下,交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種�,前者是指用戶接入設備時必備的端口狀態�,后置是指在跨交換時一致性的VLAN-ID兩者間的通訊�。對Turnk進行配置時��,能夠避免開展任何的命令式操作行為�����,也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊�����。正是設備接口的配置處于自適應的自然狀態��,為各項攻擊的發生埋下隱患���,可通過如下的方式防止安全隱患的發生����。首先�,把交換機設備上全部的接口狀態認為設置成Access狀態,這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后���,不管以怎樣的方式進行協商其最終結果均是Accese狀態,致使黑客難以將交換機設備上的空閑接口作為攻擊突破口��,并欺騙為Turnk端口以實現在局域網的攻擊��。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態��。不管黑客企圖通過設置什么樣的端口狀態進行攻擊,這邊的接口狀態始終為Turnk狀態��,這樣有助于顯著提高設備的可控性[3]。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置�����,對出入Turnk端口的VLAN報文給予有效控制���。只有經過允許的系類VLAN報文才能出入Turnk端口,這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊����,保障數據傳送的安全性�����。
4.2保障VTP協議的有效性與安全性
VTP(VLANTrunkProtocol����,VLAN干道協議)是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議,它主要用于管理在同一個域的網絡范圍內VLANs的建立�����、刪除以及重命名��。在一臺VTPServer上配置一個新的VLAN時����,該VLAN的配置信息將自動傳播到本域內的其他所有交換機,這些交換機會自動地接收這些配置信息��,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量���,而且保持了VLAN配置的統一性��。處于VTP模式下��,黑客容易通過VTP實現初步入侵和攻擊����,并通過獲取相應的權限���,以隨意更改入侵的局域網絡內部架構�,導致網絡阻塞和混亂。所以對VTP協議進行操作時�,僅保存一臺設置為VTP的服務器模式�����,其余為VTP的客戶端模式。最后基于保障VTP域的穩定與安全的目的����,應將VTP域全部的交換機設置為相同的密碼���,以保證只有符合密碼相同的情況才能正常運作VTP���,保障網絡的安全�。
篇5
任何管理工作都需要爭取更多人的支持與擁護���,而想要達到這一目的就必然需要加強相應的宣傳教育工作����。對于網絡安全管理工作來說�����,它不僅僅是某一個部門或者管理人員的本職工作�����,想要切實加強檔案數據庫的安全管理就必須形成一個良性的管理環境�,而凡是涉及到檔案數據庫使用的部門和個人都應該參與其中���,應該加強所有人在檔案數據庫安全管理問題上的意識和能力�。所以必須加強安全管理的宣傳教育工作力度���,宣傳教育應該避免浮于表面,應該從各個部門的具體工作實際出發���,將安全管理與日常具體工作有機結合����。宣傳教育形式應該多元化�����,授課式�����、辯論式��、培訓式等�,同時重視同級單位之間的交流互訪,為各部門工作人員提供更多學習的平臺��。在宣傳教育的周期上應該采用定期學習新技術以及強化階段性管理成果分析研究的方式,從而在思想上形成安全管理人人有責的正確認識�。
1.2加強安全管理的制度建設
管理工作想要切實加強��,離不開科學規范的制度及有效執行���。因此必須針對網絡環境下的檔案數據庫安全管理容易發生問題的所在進行進一步的制度調整和水平升級��。首先��,要加強數據庫直接管理人員的責任制落實�����,對于某些極為重要的管理職務和管理項目應該推行終身問責制,從而切實保障責任的有效落實����。此外還應該加強網絡設備的維護保養制度及人員崗位制度建設,在堅持專人專崗避免職務交叉的同時�����,推行輪崗制����,輪崗制能夠有效避免長期占據同一職務而滋生的利己主義思想,同時也能夠幫助相關崗位工作人員了解整個管理流程���,從而提升崗位與崗位之間的協作性�,確保整個管理工作開展更加科學有序并富有成效。其次��,以安全管理工作為核心加強績效考核機制建設�。最后��,要加強監督機制建設,在監督機制建設方面����,要推行內外結合的監督約束建設原則���,所謂內,就是內部審計����,內部審計工作人員不僅包括熟識檔案數據庫安全管理的專門人士���,同時也要包括社會專門審計機構的專業人才,這樣一方面能夠確保審計工作的精確性與實用性���,避免走形式以及提升審計工作小組對單位的忠誠度�����,另一方面能夠利用專門審計人員多年來從事同類型審計工作的豐富經驗來提升審計工作的總體質量���,幫助單位將審計工作推向更為科學、合理以及規范的發展方向。外部監督約束機制建設方面�����,就是加強與社會媒體的溝通協作��,同時加大社會公眾在輿論監督權履行方面的主動性與積極性,為安全管理工作打造一個積極的外部環境����,約束其管理行為�,促進管理工作質量提升��。
1.3加強文化建設工作力度
現代社會���,管理工作想要取得實質性的質量提升�,除了要有科學嚴密的制度保障以外���,更重要的是要讓被管理人員從被動的應付管理轉變為主動的參與管理,因此文化建設工作在現代管理工作中的重要性也日益體現,只有將制度融合于文化當中才能夠讓內部人員及被管理對象樹立起遵守管理制度的自覺自愿意識��,才能夠激發他們參與管理的積極性與主動性。在網絡安全管理工作方面�,整個檔案單位共同參與相互協作是重要內容�,因此更需要讓文化來推動制度的建立與執行,在制度確立����、人員素質有效加強的同時還需要將制度轉化為內在文化�����,促進工作人員的工作積極性與自律性�����。安全文化建設最重要的一環就是加強安全學習的組織工作�,并通過與個人利益直接掛鉤的形式激發工作人員的參與熱情。
1.4加強數據庫安全管理軟件開發應用
首先�,要加快專門化管理軟件的開發及使用。當前市面上有許多信息化管理軟件����,但是檔案數據庫的管理工作不同于一般化的管理��,它更多的在訪問權限�����、訪問時限、訪問者身份以及信息機密性需進行嚴格控制等方面有更多且更高的要求����,因此應該進行專門化的軟件開發��,軟件開發雖然比成品軟件購置需要花費更多成本���,也需要進行操作技能的專門培訓�����,但是也能夠更好的實現上述管理目的��,從而有效杜絕安全管理中的種種問題����,因此應該用全局眼光看待這一問題��,切不可顧忌眼前成本而放棄長遠發展���。
篇6
煤炭的持續開采會受到地質條件的直接影響�����,過去國家投入眾多的設施,使用至今均已出現老化�,并且維修量非常大。隨著礦井的不斷延深�,礦壓極度強化,巷道的維修任務更是不斷的增加,礦井的供電以及通風����、提升與排水等都不能適應生產的需要。
1.2安全管理模式傳統
與西方發達產煤國家相比較�����,我國的煤礦使用技術研究起步很晚����。并且人力��、財力非常缺乏�����,某些重大的安全技術問題,比如沖擊地壓以及煤和瓦斯的突出���、地熱以及突水等災害不能進行有效的預測和控制。且受到以往傳統運營思想的直接作用與影響以及各個企業的經濟實力的約束��,我國的煤礦生產裝備和安全監控設施相對落后�����。井巷的斷面設計以及支護強度的確定、支護材料的型號選擇較小���。生產設施功率以及礦井的供風量等富余參數非常低����,極易出現事故��。絕大多數的煤炭企業還是利用以往傳統的安全管理模式�����,各種報表計算仍是靠人工勞動并且精確度很低���。信息傳送的時間較長,且速度較慢��,管理者的工作重復性很大����,資料查詢十分困難���,并且工作效率很低。安全檢查以及等級鑒定等總是憑借主觀意念以及相關的經驗����。
1.3安全信息管理體制不健全
安全信息可以說是安全管理工作的重要依據,它主要包括事故和職業傷害的有效記錄與分析統計���,職業的安全衛生設施的相關研究與設計、生產以及檢驗技術�����,法律法規以及相應技術標準和其變化的動態,教育培訓以及宣傳和社會活動�,國內的新型技術動態以及隱患評估與技術經濟類分析和咨詢�����、決策的體系����。信息體制的健全是安全體制工程以及計算機技術的有效結合,可促使安全工作轉型為定性和定量的超前預測�,不過大多數礦井還是處于起步與摸索階段,并未呈現出健全的體制���,真正的使用還有待進一步的發展�。
2空間數據挖掘技術
數據挖掘研究行業的持續進展�����,開始由起初的關系數據以及事務數據挖掘�,發展至對空間數據庫的不斷挖掘�??臻g的信息還在逐漸地呈現各類信息體制的主體與基礎���?����?臻g數據挖掘技術是一項非常關鍵的數據����,具有比普通關系數據庫和事務數據庫更豐富�����、復雜的相關語義信息����,且蘊含了更豐富的知識�����。所以�����,雖說數據的挖掘最初是出現在關系數據挖掘以及事務的數據庫,不過因為空間數據庫中的發掘知識����,這就很快引起了各個研究者的關注與重視�����。很多的數據挖掘類研究工作都是從關系型以及事務型數據庫拓展至空間數據庫的�����。在地學領域中,隨著衛星以及遙感技術的不斷使用�,逐漸豐富的空間以及非空間的數據采集與儲存在較大空間數據庫中�����,大量的地理數據已經算是超過了人們的處理能力�����,并且傳統的地學分析很難在這些數據中萃取并發現地學知識��,這也就給現階段的GIS帶來了很大的挑戰�����,急切的需要強化GIS相應的分析功能�����,提升GIS處理地學實際狀況的能力���。數據挖掘以及知識發現的產生能滿足地球空間的數據處理要求,并推進了傳統地學空間分析的不斷發展�����。依據地學空間數據挖掘技術的特性,把數據挖掘的方式融進GIS技術中�,呈現地學空間數據挖掘技術和知識發展的新地學數據分析理念與依據�����。
3煤礦安全管理水平的提升
3.1建設評價指標體制庫
評價指標體制庫是礦井的自然災害危害存在的具體參數式的知識庫����。模型的組建務必要根據礦井的瓦斯以及水害等自然災害危害呈現的不同指標體制和其臨界值構建一定的指標體制庫�,危害的警報識別參數關鍵是采掘工程的平面圖動態開采面以及相應的巷道。各種瓦斯的危害以及水害隱患和通風隱患均呈現一定的評價指標庫���。
3.2構建專業的分析模型庫
依據瓦斯以及水害等諸多不同的礦井自然災害類別構建相關的專業性模型庫�,比如瓦斯的災害預測���,應根據礦井的地質條件以及煤層所賦存的狀況構建瓦斯的地質區分圖�,再根據采掘工程的平面圖動態呈現的采掘信息以及相應的瓦斯分區構建關聯并實行相應的比較分析�,確定可以采集區域未來的可采區域是不是高瓦斯區域����。
3.3構建以GIS空間分析為基礎的方法庫
GIS空間分析可以說是礦井自然災害的隱患高度識別的關鍵性方式����,并且還是安全故障警報的主要路徑���。比如斷層的防水層的有效劃分�,關鍵是根據斷層的保安煤柱來實行可靠的確定�����。斷層的保安煤柱確定可以利用GIS緩沖區域的分析得到����?���?臻g的統計分析以及多源信息有效擬合和數據挖掘亦是瓦斯和水害等安全隱患監測經常使用GIS空間分析方式�����,如物探水文的異常區域確定以及瓦斯突出相應的危險區域確定����。
3.4決策支持體制與煤礦管理水平評價指標
體制庫以及模型庫���、方式庫與圖形庫均是礦井的自然災害隱患識別和決策的最基礎。利用礦井的自然災害隱患識別決策來支持體系具體的功能呈現礦井的自然災害隱患識別以及決策分析����,在根源處提高煤礦的安全管理水平。分類構建礦井的自然災害實時監控體系�,進行動態跟蹤相應的災害實時數據,并事實呈現礦井的自然災害數據或是信息和自然災害的指標體系庫以及模型庫與知識庫、空間數據庫的合理化比較�����,并運用圖形庫的數據再通過GIS空間分析方式來確定安全隱患的,礦井自然災害的隱患實時警報并進行決策分析��,以提交空間數據的自然災害隱患識別以及分析處理的決策性報告�����。
篇7
2關于大數據時代下網絡安全問題控制的幾點思考
2.1做好對訪問的控制
對于大數據時代下網絡安全問題控制����,就要對安全的防御技術加以采取�,并做好黑客攻擊以及病毒傳播等的控制���,將對訪問的控制有效加強,對網絡資源的合法訪問和使用加以確保�,并合理的認證以及控制用戶對網絡資源權限的訪問,避免非法目的用戶的不法訪問��。將身份認證和相關口令加以添加��,做好對規范用戶的基礎控制,有效維護系統��,并對網絡資源進行高效性的保護�。
2.2做好對數據的加密控制
做好對數據加密控制�,就要采取加密算法以及密鑰的方法��,對明文數據進行轉化��,將其轉化成為一種密文����,并保證加密后的信息���,在實際的傳播過程中,有著一定的保護作用�,一旦信息竊取,對于信息的內容無法查看�。同時在對數據存儲安全性以及穩定性進行確保時,就要依據于數據的相關特點和基本類型�����,對機密信息的安全性加以確保,實現網絡信息數據的安全傳輸���。
2.3做好對網絡的隔離控制
將網絡的隔離控制加強,主要是當前防火墻技術常見的一種網絡隔離技術����,通過對防火墻部署在數據存儲系統上加以采用��,盡可能的將網絡分為外部和內部�����,并對數據通道進行授權處理�,對網絡訪問權進行一定的隔離和限制���,并對網絡的安全進行合理的控制。
2.4做好對入侵的檢測控制
一般而言���,入侵檢測����,主要是借助于主機系統和互聯網��,綜合性的分析預設的關鍵信息�����,并對非法入侵進行檢測�,在入侵檢測控制中,就要借助于監測網絡將內外攻擊以及相關的操作進行及時的監測,并采取主動性和實時性的特點����,對信息的安全結構進行保證�����,進而做好入侵的檢測控制�,對網絡信息安全進行最大上的保障�。
2.5及時防治病毒
當前大數據環境中����,保證網絡安全���,就要做好病毒的有效防治�����,在計算機上安裝殺毒軟件,并定期對文件進行掃描和殺毒���,對于不能識別的網絡病毒,就要對漏洞補丁進行及時的更新和修補�。同時良好的網絡安全意識培養�����,不點擊不明的鏈接以及相關的網站����,對正規正版的軟件下載,并綜合提升病毒防治的成效�,做好計算機的日常安全維護基礎工作��。
2.6做好安全審計工作
做好網絡安全審計工作,就要綜合提升網絡信息安全性能和網絡信息的穩定性�,在實際的工作過程中,借助于網絡對原始數據包進行合理的監控和分析����,并借助于審計的手段��,還原原始信息�����,準確的記錄訪問網絡的關鍵性信息���,對網絡方位�����、上網時間控制以及郵件的訪問等行為進行極好的記錄�,盡可能的保證業務正常有序的進行。
2.7提高安全防范意識
提高安全防范意識��,同樣也是大數據時代下網絡安全控制的有效方法之一����,將網絡安全增強���,并提升網絡安全性能��,對相關的管理制度進行建立�,將軟件的操作和管理加強,對用戶的安全保護意識進行加強����,并對完全穩定的網路環境進行創造��。
篇8
2交換機常見的攻擊類型
2.1MAC表洪水攻擊
交換機基本運行形勢為:當幀經過交換機的過程會記下MAC源地址���,該地址同幀經過的端口存在某種聯系,此后向該地址發送的信息流只會經過該端口�����,這樣有助于節約帶寬資源。通常情況下��,MAC地址主要儲存于能夠追蹤和查詢的CAM中��,以方便快捷查找��。假如黑客通過往CAM傳輸大量的數據包����,則會促使交換機往不同的連接方向輸送大量的數據流,最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰.
2.2ARP攻擊
這是在會話劫持攻擊環節頻發的手段之一�����,它是獲取物理地址的一個TCP/IP協議���。某節點的IP地址的ARP請求被廣播到網絡上后,這個節點會收到確認其物理地址的應答�,這樣的數據包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現ARP欺騙����,能夠在網絡中產生大量的ARP通信量使網絡阻塞���,ARP欺騙過程如圖1所示。
2.3VTP攻擊
以VTP角度看�,探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時�����,VTP上所配置的版本號均會增多1���,當用戶觀察到所配置的版本號明顯高于當前的版本號時���,則可判斷和VTP服務器實現同步����。當黑客想要入侵用戶的電腦時�����,那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接���,然后再本臺計算機與其構建一條有效的中繼通道��,然后就能夠利用VTP�����。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器,那么就會致使全部的交換機同黑客那臺計算機實現同步���,最終將全部除非默認的VLAN移出VLAN數據庫的范圍。
3安全防范VLAN攻擊的對策
3.1保障TRUNK接口的穩定與安全
通常情況下�����,交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種����,前者是指用戶接入設備時必備的端口狀態����,后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時�,能夠避免開展任何的命令式操作行為����,也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態���,為各項攻擊的發生埋下隱患,可通過如下的方式防止安全隱患的發生��。首先���,把交換機設備上全部的接口狀態認為設置成Access狀態��,這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后�����,不管以怎樣的方式進行協商其最終結果均是Accese狀態���,致使黑客難以將交換機設備上的空閑接口作為攻擊突破口,并欺騙為Turnk端口以實現在局域網的攻擊�����。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態��。不管黑客企圖通過設置什么樣的端口狀態進行攻擊,這邊的接口狀態始終為Turnk狀態���,這樣有助于顯著提高設備的可控性�����。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置�����,對出入Turnk端口的VLAN報文給予有效控制���。只有經過允許的系類VLAN報文才能出入Turnk端口���,這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊���,保障數據傳送的安全性�。
3.2保障VTP協議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN干道協議)是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議�,它主要用于管理在同一個域的網絡范圍內VLANs的建立�、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置信息將自動傳播到本域內的其他所有交換機�,這些交換機會自動地接收這些配置信息�����,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量��,而且保持了VLAN配置的統一性�����。處于VTP模式下��,黑客容易通過VTP實現初步入侵和攻擊�,并通過獲取相應的權限��,以隨意更改入侵的局域網絡內部架構,導致網絡阻塞和混亂�����。所以對VTP協議進行操作時�,僅保存一臺設置為VTP的服務器模式,其余為VTP的客戶端模式��。最后基于保障VTP域的穩定與安全的目的�,應將VTP域全部的交換機設置為相同的密碼����,以保證只有符合密碼相同的情況才能正常運作VTP,保障網絡的安全�。
篇9
2大數據時代下網絡安全的基本內涵
大數據時代下網絡完全問題逐漸受到重視��,但是在對網絡安全確保的同時,就要正確全面的認識網絡的安全��。就其實質性而言�,大數據時代下網絡安全就要做好物理安全的綜合分析,和信息內容安全的全面分析�����。保證網絡安全的物理安全����,就要在當前的網絡工程中,對網絡的設計和網絡的規劃進行充分的考慮,并做好對各種電源故障以及電腦硬件配置的全面考慮�����。綜合分析信息內容安全時���,主要是保證信息的保護����,并避免信息泄露和破壞的產生�����,并禁止非法用戶在沒有一定的授權,進而對目標系統中的數據進行竊取和破譯��,進而為用戶帶來一定的隱患�。而信息破壞的過程中��,就要做好系統故障的維護�����,對非法行為進行抑制�����。對于信息傳播安全和管理安全分析時����,就要在當前的網絡環境中���,做好數據信息的有效傳輸�,并避免網絡的攻擊以及病毒的入侵�����,并做好對整個網絡系統的維護工作�����。而管理安全性分析時,就要對軟件的可操作性進行綜合性的分析��,做好實時監控和相關的應對措施準備���,并做好對數據的綜合保護?��?偠灾?�,大數據時代下網絡安全更要做好網絡硬件的維護和常規管理�,同時也要做好信息傳播安全以及管理安全的綜合性分析,進而對大數據時代下網絡安全加以保障����。
3關于大數據時代下網絡安全問題控制的幾點思考
大數據時代下網絡安全問題控制過程中����,就要綜合分析網絡系統本身上的漏洞,并做好系統漏洞和威脅的全面分析評估�����,并結合當前的新技術手段�,進而做好網絡的安全的極大保障。
3.1做好對訪問的控制
對于大數據時代下網絡安全問題控制���,就要對安全的防御技術加以采取�����,并做好黑客攻擊以及病毒傳播等的控制��,將對訪問的控制有效加強����,對網絡資源的合法訪問和使用加以確保����,并合理的認證以及控制用戶對網絡資源權限的訪問�,避免非法目的用戶的不法訪問。將身份認證和相關口令加以添加�����,做好對規范用戶的基礎控制����,有效維護系統�����,并對網絡資源進行高效性的保護����。
3.2做好對數據的加密控制
做好對數據加密控制��,就要采取加密算法以及密鑰的方法�,對明文數據進行轉化,將其轉化成為一種密文�,并保證加密后的信息,在實際的傳播過程中���,有著一定的保護作用,一旦信息竊取���,對于信息的內容無法查看����。同時在對數據存儲安全性以及穩定性進行確保時���,就要依據于數據的相關特點和基本類型�����,對機密信息的安全性加以確保,實現網絡信息數據的安全傳輸����。
3.3做好對網絡的隔離控制
將網絡的隔離控制加強,主要是當前防火墻技術常見的一種網絡隔離技術��,通過對防火墻部署在數據存儲系統上加以采用��,盡可能的將網絡分為外部和內部����,并對數據通道進行授權處理���,對網絡訪問權進行一定的隔離和限制��,并對網絡的安全進行合理的控制�。
3.4做好對入侵的檢測控制
一般而言�����,入侵檢測�,主要是借助于主機系統和互聯網,綜合性的分析預設的關鍵信息���,并對非法入侵進行檢測�����,在入侵檢測控制中���,就要借助于監測網絡將內外攻擊以及相關的操作進行及時的監測�����,并采取主動性和實時性的特點���,對信息的安全結構進行保證����,進而做好入侵的檢測控制����,對網絡信息安全進行最大上的保障�����。
3.5及時的防治病毒
當前大數據環境中�,保證網絡安全��,就要做好病毒的有效防治���,在計算機上對殺毒軟件安裝����,并定期的對文件進行掃描和殺毒,對于不能識別的網絡病毒����,就要對漏洞補丁進行及時的更新和修補��。同時也要對良好的網絡安全意識習慣培養���,不點擊不明的鏈接以及相關的網站��,對正規正版的軟件下載�,并綜合提升病毒防治的成效�,做好計算機的日常安全維護基礎工作����。
3.6做好安全審計工作
做好網絡安全審計工作,就要綜合提升網絡信息安全性能和網絡信息的穩定性���,在實際的工作過程中���,借助于網絡對原始數據包進行合理的監控和分析��,并借助于審計的手段�,還原原始信息,準確的記錄訪問網絡的關鍵性信息����,對網絡方位��、上網時間控制以及郵件的訪問等行為進行極好的記錄�����,盡可能的保證業務正常有序的進行[5]。
3.7提高安全防范意識
提高安全防范意識����,同樣也是大數據時代下網絡安全控制的有效方法之一,將網絡安全增強��,并提升網絡安全性能�����,對相關的管理制度進行建立��,將軟件的操作和管理加強�,對用戶的安全保護意識進行加強����,并對完全穩定的網路環境進行創造�。
篇10
2基于空間數據挖掘的煤礦安全監測系統的建設
2.1系統模型的設計
空間數據挖掘系統包含了三種結構體系,第一種是數據源����,是指利用大空間數據庫中所提供給我們的索引來查詢出具體的功能,在具體的操作中可以直接使用到數據庫中的數據�����。第二種是數據的挖掘,首要前提是要把原始的數據轉換為數據挖掘算法的專用格式��,并刪除其他不相干的數據����,然后利用這種算法來具體分析提取出來的空間數據�����,最后在挖掘中不斷調整數據的參數值。最后一種是用戶界面���,在這個技術層面中,用戶可以根據可視化的工具來獲取知識����。
2.2空間挖掘關聯規則的分析
空間挖掘技術有一項十分重要的元素,就是空間對象的結構以及空間之間的關聯規則��,想要深入地分析出這些規則�����,空間挖掘模型還要設計出一組空間關系。通過設計的空間關系而研究出的空間關聯規則是空間挖掘技術中的重要內容�����。空間的關聯規則包含了不同的空間屬性�,如相鄰、共生��、包含、覆蓋等關系���,同時還表現出了距離上的信息��,比如交叉����、遠離等��。在眾多的應用程序中�,我們很難在原始的數據中找到一些關聯規則����,但卻可以在高層次的概念上找到����,這也可以提供一些十分重要的知識。因此�,在實際的空間數據挖掘系統的建立中��,應該時刻注意到要在不同的概念層次中挖掘出空間的關聯規則����,以及在不同概念的空間里互相轉換的功能��。
2.3空間數據挖掘算法的選擇
就目前的實際情況來看,空間數據的挖掘算法主要有三種形式�,第一種是分類和預測模型,第二種是集群和單點檢測模型�,最后一種是空間關聯規則�����。這三種算法都和煤礦的安全管理中所需要的空間模式息息相關�����。在這三種算法中�,空間關聯規則是最為重要的內容���,它主要是指空間數據的價值和每個數據項目之間關系的準確描述。這些知識的描述可以顯示特定的參數和空間位置之間的關系����,顯而易見的是,空間關聯規則所體現出的空間定位的特性�����,對于煤礦的安全生產和管理來說����,有著多么深遠的意義。在實際情況中�����,煤礦安全的空間關聯規則算法需要用到雙向挖掘���,雙向挖掘具體分為了兩個步驟,第一點是根據統計的結果來得出非空間項目�����,第二點就是利用空間關聯的算法來生成規則�����。
篇11
2體系劃分
2.1基礎安全設施
事后數據處理系統基礎安全設施是以PKI/PMI/KMI技術為基礎而構建的證書認證����、權限管理、密鑰管理和密碼服務等基礎設施�。基礎安全設施提供的技術支撐適用于整個事后數據處理系統����,具有通用性��?�;A安全設施的技術運行和管理具有相對的獨立性���。1)證書認證證書認證是對數字證書進行全過程的安全管理。由證書簽發��、密鑰管理�����、證書管理�����、本地注冊、證書/證書撤銷列表查詢���、遠程注冊等部分構成���。2)權限管理權限管理是信息安全體系基礎安全設施的重要組成部分。它采用基于角色的訪問控制技術����,通過分級的、自上而下的權限管理職能的劃分和委派��,建立統一的特權管理基礎設施�����,在統一的授權管理策略的指導下實現分布式的權限管理。權限管理能夠按照統一的策略實現層次化的信息資源結構和關系的描述和管理��,提供統一的��、基于角色和用戶組的授權管理�����,對授權管理和訪問控制決策策略進行統一的描述����、管理和實施。建立統一的權限管理���,不僅能夠解決面向單獨業務系統或軟件平臺設計的權限管理機制帶來的權限定義和劃分不統一�、各訪問控制點安全策略不一致�、管理操作冗余���、管理復雜等問題,還能夠提高授權的可管理性�,降低授權管理的復雜度和管理成本,方便應用系統的開發����,提高整個系統的安全性和可用性。3)密鑰管理密鑰管理是指密鑰管理基礎設施�����,為基礎安全設施提供支持����,并提供證書密鑰的生成���、存儲�����、認證����、分發���、查詢�����、注銷����、歸檔及恢復等管理服務���。密鑰管理與證書認證服務按照“統一規劃、同步建設�����、獨立設置�、分別管理、有機結合”的原則進行建設和管理����,由指定專人維護管理����。密鑰管理與證書認證是分別設立,各自管理��,緊密聯系�����,共同組成一個完整的數字證書認證系統��。密鑰管理主要為證書認證提供用戶需要的加密用的公/私密鑰對�,并為用戶提供密鑰恢復服務�����。4)密碼服務密碼服務要構建一個相對獨立的���、可信的計算環境,進行安全密碼算法處理�����。根據系統規模��,可采用集中式或分布式計算技術��,系統性能動態可擴展。事后數據處理系統采用集中式計算技術���。
2.2安全技術支撐
安全技術支撐是利用各類安全產品和技術建立起安全技術支撐平臺�����。安全技術支撐包括物理安全�、運行安全和信息安全。物理安全包括環境安全���、設備安全和介質安全;運行安全包括防病毒��、入侵檢測和代碼防護等����;信息安全包括訪問控制、信息加密���、電磁泄漏發射防護�����、安全審計��、數據庫安全等功能。
2.2.1物理安全
物理安全的目標是保護計算機信息系統的設備�����、設施�、媒體和信息免遭自然災害、環境事故�、人為物理操作失誤、各種以物理手段進行的違法犯罪行為導致的破壞���、丟失�。物理安全主要包括環境安全�����、設備安全和介質安全三方面��。對事后數據處理中心的各種計算機���、外設設備����、數據處理系統等物理設備的安全保護尤其重要。對攜帶進入數據處理中心的U盤����、移動硬盤、可攜帶筆記本等移動介質進行單獨安全處理�����。
2.2.2運行安全
運行安全采用防火墻�����、入侵檢測���、入侵防護、病毒防治�����、傳輸加密��、安全虛擬專網等成熟技術��,利用物理環境保護�����、邊界保護�、系統加固、節點數據保護��、數據傳輸保護等手段����,通過對網絡和系統安全防護的統一設計和統一配置�����,實現全系統高效�����、可靠的運行安全防護�。系統安全域劃分為事后數據處理中心專網安全域�����、靶場專網安全域�����、外聯網安全域����。事后數據處理中心專網與靶場專網安全域邏輯隔離,靶場專網與外聯網安全域邏輯隔離���。1)防火墻防火墻技術以包過濾防火墻為主����,對系統劃分的各個安全域進行邊界保護�。在事后數據處理中心出入口、網絡節點出入口�、外網出入口等節點安裝配置防火墻設備,保證數據傳輸安全����。2)入侵檢測入侵檢測對事后數據處理系統的關鍵安全域進行動態風險監控��,使用成熟的入侵檢測技術對整個系統網絡的入侵進行防控����。3)病毒防治在各網絡節點保證出入站的電子郵件、數據及文件安全�,保證網絡協議的使用安全,防止引入外部病毒����。在事后數據處理系統的重要系統服務器(包括專業處理服務器、數據服務器等)配置服務器防病毒產品��。在所有桌面系統配置防病毒防護產品��,提供全面的跨平臺病毒掃描及清除保護���,阻止病毒通過軟盤�����、光盤等進入事后數據處理系統網絡�,同時控制病毒從工作站向服務器或網絡傳播��。在事后數據處理中心配置防病毒管理控制中心,通過安全管理平臺管理控制服務器��、控制臺和程序��,進行各個防病毒安全域的防病毒系統的管理和配置��。
2.2.3信息安全
信息安全包括訪問控制����、信息加密、電磁泄漏發射防護����、安全審計、數據庫安全等功能��。信息安全技術是保證事后數據處理中心的原始測量數據����、計算結果數據、圖像數據等各類數據的安全技術����,使用成熟的安全信息技術產品完成全面的信息安全保障��。1)訪問控制訪問控制主要包括防止非法的人員或計算機進入數據處理中心的系統����,允許合法用戶訪問受保護的系統�����,防止合法的用戶對權限較高的網絡資源進行非授權的訪問。訪問控制根據方式可分為自主訪問控制和強制訪問控制����。自主訪問控制是事后數據處理中心各級用戶自身創建的對象進行訪問,并授予指定的訪問權限����;強制訪問控制是由系統或指定安全員對特定的數據、對象進行統一的強制性控制�����,即使是對象的創建者�,也無權訪問��。2)安全審計事后數據處理中心運用安全審計技術對系統的軟件系統�、設備使用、網絡資源�����、安全事件等進行全面的審計��?�?山踩C軝z測控制中心����,負責對系統安全的監測、控制��、處理和審計,所有的安全保密服務功能���、網絡中的所有層次都與審計跟蹤系統有關�。3)數據庫安全數據庫系統的安全特性主要是針對數據而言的��,包括數據獨立性����、數據安全性、數據完整性�����、并發控制����、故障恢復等幾個方面��。
3事后處理系統解決方案
事后數據處理系統主要用于完成遙測和外測的事后數據處理任務�����,提供目標內外彈道參數,并存儲和管理各類測量數據�����,為各種武器試驗的故障分析和性能評定提供支撐和依據���。該系統必須具備的主要功能如下:•海量的數據輸入輸出和存儲管理功能����;•快速的各類試驗測量數據處理功能�����;•可靠的數據質量評估和精度分析功能�����;•有效的信息安全防護功能���;•強大的數據�、圖像���、曲線顯示分析以及報告自動生成功能。建立事后數據處理系統信息安全運行與管理的基礎平臺�,構建整個系統信息安全的安全支撐體系����,保證事后數據處理系統各種業務應用的安全運行,通過技術手段實現事后數據處理系統安全可管理�����、安全可控制的目標���,使安全保護策略貫穿到系統的物理環境����、網絡環境����、系統環境����、應用環境���、災備環境和管理環境的各個層面�。•實現事后數據處理任務信息��、型號信息����、處理模型����、模型參數、原始數據�����、計算結果�、圖像數據的安全保護;•建立起認證快捷安全����、權限/密鑰管理完備、密碼服務安全的安全設施�����;•建立起功能齊全�����、協調高效���、信息共享、監控嚴密���、安全穩定的安全技術支撐平臺�;•建立事后數據處理系統信息安全體系的技術標準���、規范和規章制度。
