前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇数据安全范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
随着科学技术的不断发展,我国信息技术化的程度也越来越高。云计算作为目前一种新的数据存储方式,以资源利用率高,成本节约性强等优势成为计算的主流。但传统的云数据安全存储模式还存在着一些弊端,主要表现为数据的安全性不高,加密设施不健全等等。所以,我们要创新云计算的利用效率,在数据安全、结构合理等多方面进行协调。本文以云数据安全存储的一些问题作为切入点,探讨其安全制约方式。
【关键词】云数据 安全存储 技术
当今信息技术的高速发展,使得云计算出现。它是数据统计方面的主要手段,也能够做到资源的集约化利用,技术平台的科学管理。并且,云计算是适合目前社会发展的新型存储方式,它与虚拟化计算方法相比更加稳定,是政府大力倡导的计算模式。
1 云数据安全存储技术中存在的问题
1.1 数据的加密存储
在传统的数据统计模式下,通常都采用一般性加密的手段进行规划,这种途径的安全性虽然不高,但是重在节省时间。在云计算中,这种方式的利用效率也很高。它的实现途径很不易,传统过程中的云加密途径如下:数据在一个完全虚拟的平台上被输入,进行节约化的管理。用户使用的资源在此过程中实施全程控制。所以,对于服务来说,这种控制方法是很不利的。数据在被加密的过程中,操作系统想要发挥其应有的作用就变得相当困难。在加密性平台里,很多程序都是被占用的。我们不能对数据进行查看,不能对相关信息进行检索,更不能将运算步骤加入到其中。数据的云存储在与安全加密就由此发生了冲突。如果不加密,安全性得不到保障,而如果加密,设备的利用效率又相对较弱,这也正是目前云计算所面临的挑战。
1.2 数据隔离
在云计算的过程中,多租户技术是必不可少的。多租户技术主要是针对各大用户在同一平台上进行的数据信息存储模式。通常他们会将这些数据放在同一位置上进行隔离管理。但是目前的云计算却不能保障绝对的隔离,它可能会使信息进行泄露。一些人黑客会以非用户访问的方式将信息窃取。一些云服务商为了谋取利益,也有可能将这些数据分享给第三方。
1.3 数据迁移和残留
在运算的计算当中,为了使各大服务系统能够快速的运行,计算系统会将数据进行迁移。在迁移过程中,不仅包括数据的储存硬盘,还要让用户在毫无感知的情况下进行快速迁移。但在这个过程中,云数据的安全输送是无法保障的。对于数据的残留,也是云计算中的一大问题。有些数据即使是删除了还会有一定的痕迹,还有些云计算厂商将这些过度到计算垃圾中的数据进行人工回收,再将数据卖给第三方。
2 云数据安全存储技术探究
2.1 云数据安全存储框架
在云数据安全存储技术中,微软研究院提出的面向公有云的加密存储框架,对我国云数据安全存储的发展提供了不小的帮助。这一面向公有云的加密存储框架主要由数据处理DP、数据验证DV、令牌生成TG以及凭证生成CG组成,这些组成部件在这一面向公有云的加密存储框架中各自发挥着不同的作用。其中,数据处理主要负责数据存储前的分块、加密、编码等操作;而数据验证则主要负责保证数据存储的完整性;令牌生成负责具体的密文数据提取;而凭证生成则负则会授权用户根据令牌从云中提取共享文件的密文。在这一面向公有云的加密存储框架使用中,这一框架具备着有效解决数据安全与隐私问题的优点,但由于微软研究院只提出了一种构架宏观模型,这使得这一面向公有云的加密存储框架参考价值有限。
2.2 云数据安全存储加密
在我国当下较为常见的云数据安全存储加密技术中,其存在着同态加密技术、基于VMM的数据保护技术、基于可信平台的数据安全存储技术等多种技术形式。这些云数据安全存储加密技术形式各自都存在着一些优点与缺点,其中基于可信平台的数据安全存储技术当属其中的佼佼者,这一技术形式不仅具备着硬件和软件都可信的技术特点,还能够支持全部的云运算,其对于内存安全与外存安全的保护也较为优秀,但其也存在着特权用户可解密用户数据等方面的问题。
2.3 基于加解密的数据安全存储技术
在基于加解密的数据安全存储技术中,这一技术形式一般会结合传统的加解密技术保证数据的安全,而基于重加密方法也是一种较为常见的数据加密形式,这种加密形式由于使用了对称内容与公主密钥,这就使得只有拥有公主密钥的人才能够对相关加密文件进行解密,这在一定程度上就能够较好的实现云数据的安全存储。不过这种基于重加密方法的数据安全存储技术存在着恶意服务器和任意一个恶意用户勾结就能够实现数据破解的漏洞,这也是其没有得到钢钒应用的原因之一。
2.4 支持查询的云数据加密存储技术
除了上述几种云数据安全存储技术外,支持查询的云数据加密存储技术也是我国当下较为流行的一种云数据安全存储技术形式,这一技术能够满足数据云存储后用户需要的数据查询功能,持查询的数据加密方法SE技术就属于这一支持查询的云数据加密存储技术的范畴。SE技术的应用能够通过查询关键字或查询条件,在服务器中快速找到符合条件的数据,不过其在实际应用中存在着遍历整个索引表的问题,这就使得这一技术形式在应用中存在着计算代价较大、效率低下的问题,这点需要引起我们重视。
3 结论
综上所述,目前对于云计算的最大问题就是其安全保密性能与运行稳定性的提高规律,这些问题已经严重阻碍了云计算的发展。技术人员应该对安全性能设置,在建立云计算服务框架的基础上简化运算过程,增加云计算的访问次数,控制不同属性的访问条件,使云计算在数据集约性、安全性的基础上得到发展。
参考文献
[1]陈钊.基于云灾备的数据安全存储关键技术研究[D].北京:北京邮电大学,2012.
[2]裴新.云存储中数据安全模型设计及分析关键技术研究[D].上海:华东理工大学,2016.
[3]肖庆.面向产业链协同SaaS平台的数据安全存储技术研究[D].成都:西南交通大学,2015.
[4]吕琴.云计算环境下数据存储安全的关键技术研究[D].贵阳:贵州大学,2015.
关键词:数据安全;云计算;数据加密
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2013) 02-0000-02
1 引言
云计算是一种新兴的、极具延展能力的运算方式,能将包括运算、储存及视频,以服务的形式,透过网络的方式提供给用户。计算将大量分布式的和高性价比的计算机、网络设备和存储资源集成管理,以支持各种应用软件, 通过互联网向广大用户提供优质低价服务。与传统的大型机和服务器计算模式相比,云计算大大提高了应用软件的计算能力和高性价比,因此是一场信息技术的革命。
2 什么是云计算
是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。云其实是网络、互联网的一种比喻说法。云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。狭义云计算指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。
3 云计算有哪些优缺点
云计算的四个显著优点:
首先,云计算提供了最可靠、最安全的数据存储中心,用户不用再担心数据丢失、病毒入侵等麻烦。其次,云计算对用户端的设备要求最低,使用起来也最方便。
此外,云计算可以轻松实现不同设备间的数据与应用共享。最后,云计算为我们使用网络提供了几乎无限多的可能。尽管云计算模式具有许多优点,但是也存在的一些问题,如数据隐私问题、安全问题、软件许可证问题、网络传输问题等。数据隐私问题:如何保证存放在云服务提供商的数据隐私,不被非法利用,不仅需要技术的改进,也需要法律的进一步完善。数据安全性:有些数据是企业的商业机密,数据的安全性关系到企业的生存和发展。云计算数据的安全性问题解决不了会影响云计算在企业中的应用。用户使用习惯:如何改变用户的使用习惯,使用户适应网络化的软硬件应用是长期而艰巨的挑战。网络传输问题:云计算服务依赖网络,目前网速低且不稳定,使云应用的性能不高。云计算的普及依赖网络技术的发展。
4 云计算应用领域
电信、教育、医疗、金融等行业将成为云计算应用的重点领域
5 云计算的数据安全
数据安全一是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的包含措施,数据本身的安全必须基于可靠的加密算法与安全体系。三是根据国家法律和有关规定制定,制定适合的数据安全制度。由于传统软件和云计算在技术架构上有着非常明显的差异,这就需要我们用不同的思路来思考两种架构下有关数据安全的解决方案。下面从技术角度探讨一下云计算的数据安全。
5.1 保护企业的数据安全采用虚拟化技术和高效能密码技术
结合企业客户的实际需求和云的技术,在保护企业的数据安全层面,可以考虑采用虚拟化技术和新一代的高效能密码技术。
虚拟化是指计算元件在虚拟的基础上而不是真实的基础上运行,是一个为了简化管理,优化资源的解决方案。如同空旷、通透的写字楼,整个楼层几乎看不到墙壁,用户可以用同样的成本构建出更加自主适用的办公空间,进而节省成本,发挥空间最大利用率。这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫做虚拟化技术。
大型企业的信息系统中,涉及很多重要的敏感数据信息,如何保护这些信息?有很多的解决方案,例如:两网分离方案,但这些方案都投入巨大,难度很大,而且依然有很多的数据泄漏点。从终端用户层面,结合用户的网络现状,采用虚拟化技术在系统和用户之间部署一层虚拟的用户接入层,将数据隔离在虚拟层。 而在实际的业务系统中,数据并不能简单的隔离在虚拟层,因为某些情况下还需要数据的介质传递,所以在虚拟层之外,还需要部署终端交互层的防护。
加密技术依然是解决信息安全最有效、最可靠、最经济的方式。云计算环境下,用户认证和数据加密是最主要的需求。
用户认证指的是是数据库服务器建立客户端的标识, 然后通过一些手段判断是否允许此客户端应用(或者运行这个客户端应用的用户)与它所要求的数据库用户名进行联接的过程。
数据加密是一种限制对网络上传输数据的访问权的技术。原始数据(也称为明文)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文。
加密的基本功能包括:
(1)防止不速之客查看机密的数据文件;(2)防止机密数据被泄露或篡改;(3)防止特权用户(如系统管理员)查看私人数据文件;(4)使入侵者不能轻易地查找一个系统的文件。
数据加密是确保计算机网络安全的一种重要机制,数据加密是实现分布式系统和网络环境下数据安全的重要手段之一。
5.2 决定哪部分业务应用参与云.
从云计算的服务范围看,分为公有云和私有云:公有云就是在互联网上向所有网民提供云计算服务。
私有云是指在一个企业内部提供云计算服务,资源池(水库)放在企业内部,供企业内部员工使用。作为企业用户,要从数据安全方面出发,考虑好企业的哪一部分业务应用参与云,是构建私有云还是公有云的共享。私有云只为企业内部服务,公有云则是可以为所有人提供服务的云计算系统。这样把企业业务云应用划分清楚后增强数据的安全。
5.3 企业用户开发身份认证系统和制定内部监控机制
身份认证系统可以为云数据安全提供多一重安全关卡,使得企业客户可以方便地为数据中心服务实现基于身份的访问,保证只有授权的企业内部人员才可以访问数据,从而加强身份认证在整个网络安全系统中作用。应用数据存储云端,除了云服务提供商会建立相应的监控机制进行实时监控外,作为企业用户自身内部,应该安排固定负责人员对云端之物也进行动态实时监控。
5.4 多备份
备份工作的核心是恢复,由于云安全问题,云存储本身也存在安全隐患,因此要经常做云端数据备份工作。
6 结语
云计算在信息安全上的应用将会日渐成熟。正如所有崭新的技术,它既能为企业保障自身安全,也能为不法份子提供方便。
参考文献:
[1]王鹏.走进云计算[M].北京:人民邮电出版社,2009.
[2]张为民.云计算-深刻改变未来[M].北京:科学出版社,2009.
在数据爆炸的同时,我们也面临着更严重的安全威胁。赛门铁克提供的数据显示,为应对恶意代码,2008年公司共创建了160万个恶意代码签名特征,2009年创建了290万个,而2010年创建的数量达到前27年之和,恶意代码增长之快令人瞠目。除了量的变化外,安全威胁的目的性也越来越强,黑客们制造安全威胁从最初的技术能力炫耀,发展到今天为谋取经济利益而盗取、攻击和破坏企业和公共服务机构网站和设施,这些都对企业和公共服务机构的数据安全保护提出了新的要求。
作为一家提供信息安全、存储和管理全方位产品、技术和服务的公司,赛门铁克于5月20日在中国澳门举行的2011大中国区合作伙伴大会上,介绍了应对新的数据安全和存储状况推出的全新产品、方案和服务,以及增强版赛门铁克合作伙伴计划,以更好地服务于大中国区用户,开拓大中国区市场。本报总编辑许传朝借此与赛门铁克高级副总裁、亚太及日本区总裁郭尊华进行了深入交流。
把握IT大趋势
许传朝:今天的IT技术和应用环境发生了很大的变化,您认为目前IT技术和应用环境主要有哪些趋势;这些趋势对于数据安全和存储市场会有怎样的影响;对赛门铁克这样的数据存储、管理和安全公司来说,意味着怎样的机会和挑战?
郭尊华:今天的IT领域主要有五大趋势值得关注,这也将对数据安全和存储市场产生影响。第一个趋势是数据的爆炸性增长,同时我们也关注到IT预算和投资没有相对应地提高,客户考虑的问题是如何用更少的资源去做更多的事情;第二个趋势是安全威胁的改变,无论从量到质都发生了很大的变化;第三个趋势是虚拟化,虚拟化已经走过了初期阶段,现在是考虑如何把更关键的应用放在虚拟化环境里,虚拟化如果处理得不好,存储的需求会继续提高,同时虚拟环境的应用跟实体环境应用息息相关,但越来越难以察觉和监测,需要考虑怎样使其简单化、自动化,这是赛门铁克所能够提供的;第四个趋势是移动终端、IT消费化和SNS对企业安全带来了全新的考验。目前移动设备的普及率已经远远超过了PC,笔记本电脑的销量早已经超过了台式PC,中国手机普及率为61%、日本为92%、美国为98%、印度为62%。iPad上市一个月的销量就突破100万台,这些移动设备的使用会产生大量的数据,但同时有40%的设备没有设置密码等保护措施,而每一周仅在全球的机场就有1.2万台笔记本电脑丢失,这都是潜在的数据安全威胁。随着类似于iPhone和iPad这些消费类移动设备进入企业应用,企业在利用这些设备提高生产力的同时,也必须要保护企业数据中心的数据完整性、网络的完整性和数据安全,企业对信息安全的要求越来越高,所以赛门铁克必须兼顾到信息安全;第五大趋势是云计算,云计算带来了很多好处,但很多企业担心云计算带来的信息安全问题。以上五大趋势需要IT技术、系统和服务都进行相应的变化。
许传朝:赛门铁克近几年通过收购使自己的能力逐渐扩张,业务越来越全面,然而,将服务做好、做深则需要业务更专注、更专业,在专注、专业与业务越来越宽泛之间有没有矛盾,如何平衡?
郭尊华:对赛门铁克的挑战,关键是怎样有效利用不同的产品,组成好的解决方案给客户。很多公司对客户都进行三角形划分,我们最擅长大企业,像中石油、中移动;其次是中型企业,还有一些小型企业,对不同类型的企业赛门铁克有不同的产品组合和解决方案,例如赛门铁克端点安全产品(SEP)、备份产品Backup Exec、存储备份产品NetBackup。我们希望不同的业务团队、不同的渠道和合作伙伴专注于某一组产品,最终实现差异化经营。
建立全新的客户生态
许传朝:面对新的IT趋势,赛门铁克正在改变传统的客户生态关系,不再是简单的甲方、乙方关系,而是非常深度的合作关系,与合作伙伴也不再是简单依靠体制,可能需要非常密切的合作,赛门铁克有怎样的体系来维护这种全新的生态关系?
郭尊华:赛门铁克与客户、合作伙伴所追求的是建立一个长期的建设性合作伙伴关系,合作伙伴首先会考虑赛门铁克有没有全世界一流、该领域一流、最全面的解决方案,而不是一个单点解决方案或单点产品。客户要看到最好的技术,看到解决方案有能力符合今天的一些要求,但同时也会考虑赛门铁克财务状态如何、公司的创新力有没有问题。赛门铁克以13%左右的收入比重投资在研究和开发上,财务非常健康,有足够的能力继续收购,将产品线扩大。还有,赛门铁克在中国建立了合资公司,也建立了研究开发中心、安全响应中心;服务技术资源部在中国成立资源中心,让产品和服务适合中国,而且赛门铁克在中国的业务也保持着非常健康的增长。
许传朝:赛门铁克已经在国内建立了两个技术研发中心,技术研发在立足国内用户需求的情况下,如何与全球联动,如何提供最新的技术更好地适合中国?
郭尊华:赛门铁克在国内的两个技术研发中心的确要同时兼顾国内需求和最新技术趋势。一方面要做符合中国需求的产品研发;另一方面配合美国总部参与全球研发,全球所有研发中心是紧密联动的,牵一发而动全身。所以,国内的两个技术研发中心所做的事情一方面要符合中国的要求,一方面必须兼顾世界各地的需求和技术趋势。
许传朝:目前,中国企业不缺资金、不缺技术,但缺乏管理和运营经验,赛门铁克有没有计划将优秀、成功的管理和运营经验传授给国内企业?
郭尊华:赛门铁克愿意并一直在与所有合作伙伴分享经验,渠道大会就是分享经验的一种方式,我们推出了面向合作伙伴的专业认证,这也是一种分享。我们不但在市场推广的时候要让合作伙伴更专业、更专注,也会与合作伙伴分享我们的管理理念,管理理念实质上是制定策略,策略本身是选择,选择做什么选择不做什么。
中国市场值得期待
许传朝:从公布的财报看,赛门铁克的整体业绩不错,您领导的亚太和日本市场尤其是中国市场的发展状况如何?
郭尊华:赛门铁克公司目前的状况非常健康,不久前公布的公司业绩全面超过了华尔街分析师预期。而我们在亚太及日本地区方面,基于经济环境好转,客户对赛门铁克公司提供的解决方案需求旺盛。业绩公布中的数据,整个亚太及日本地区增长了22%,超过了整个公司的增长率,中国的比例在这期间也逐渐提高,中国在赛门铁克全球业务中所扮演的角色越来越重。
许传朝:中国的数据存储、管理和安全市场与全球市场相比有哪些特点,您对未来中国市场有怎样的判断?
郭尊华:中国市场的成长性很强,首先从数据增长率看,2010年全球数据增长率为65%,过去和未来几年年平均增长率在50%左右,中国的数据增长率则是全球的两倍,所以中国用户对高速增长的信息量如何管理和保护将是未来的热门话题;其次,中国已经进入第十二个五年规划,规划让我印象比较深刻的是国家对环境保护非常重视,中国要控制总体的电量输出,所以绿色IT将会越来越受关注。最后,中国的用户很喜欢自己研究问题,很多企业的老总都对技术方面有很深的了解,所以中国的CIO不单只善于管理,对技术本身的研究也有自己的一套。
许传朝:作为一家技术厂商的领导者,从技术提供端角度,您会给中国的CIO一些怎样的建议,使其更好地存储和管理企业的数据?
郭尊华:第一,不能只看当下,而是要顾全未来,给自己最大的空间、最大的弹性。今天的投资必须要考虑明天是否可以继续用。
第二,在选择技术时一定要考虑对技术的控制权,不要被技术公司绑架,架构必须要安全、开放、有弹性。比如云计算,云计算本身意味着架构非常有弹性,可以扩张,不用的时候可以缩小。赛门铁克的存储解决方案能力就可以扩张,不需要太多存储。所以,CIO必须非常有效地知道你究竟使用什么、在什么环境里应用最有用,是在虚拟环境,还是在硬件环境、物理环境,此外,我认为弹性管理对于CIO非常重要。
第三,保证信息安全,信息安全必须要提前进行部署。我们通常将不能管理的环境定义为不安全的环境,而信息安全是七分管理、三分技术,管理方面也是非常关键的元素。
总编观察
企业文化是做出来的
做企业如同做人,要有正确的态度和性格,这都是企业文化的范畴。“企业文化本身就是你的行为,所以企业文化不是怎么去讲,而是怎么去做。”这是郭总关于企业文化的理解,也是他所领导的赛门铁克亚太及日本区共同的态度和性格。
几乎所有的企业都会讲以客户为中心,但真正能将客户放在第一位的不多。在赛门铁克,将客户放在第一位,首先会换位思考,从客户的角度、合作伙伴的角度,考虑客户和合作伙伴对赛门铁克的需要和要求,同时赛门铁克要考虑如何提升自己的能力,怎么满足客户的需要,怎么解决客户的问题,在提供技术、产品和服务的同时,分享赛门铁克对于IT大趋势、IT市场的理解,分享技术、服务和运营经验,帮助客户和合作伙伴一起成长,建立起一种全新的客户生态。
在大数据时代,数据生产、存储、管理和安全形势瞬息万变,相关生态越来越复杂,客户需求也会越来越多样,单纯的买卖关系无法满足今天客户的需求,需要一种新生态让客户、合作伙伴和技术提供者更好地协同和分享,解决客户问题、满足客户需求的同时,实现生态链中各方的生存和发展。
现在整天呆在办公室工作的商务人员可谓绝无仅有,出外公干人员的必备随身法宝是笔记本电脑、手机、移动存储设备如U盘及光盘等,甚至蓝莓或PDA等,因此企业IT系统管理部门的工作目标逐渐转移到如何保证移动数据的安全性上。
保护移动数据安全,需要“三驾马车”齐头并进: 对数据加密、对移动设备进行监管以及防止来自应用层的威胁。
磁盘加密:
全盘还是文件加密?
笔记本电脑的加密有两种选择: 对整个磁盘加密(FDE)或者基于文件的加密。后一选择看来很具吸引力,因为Windows XP带有基于文件的加密功能,这意味着存储在特定文件夹或目录下的文件都会自动加密,但是这里存在一个很大的安全漏洞――它是依靠用户自己把文件放入加密的文件夹或目录中的。
显而易见,这种依靠用户来判断信息的敏感程度,然后再自动自觉放入适当的文件夹的方法是有漏洞的――只要有部分用户的工作做得不到位,整个系统的加密努力便会白废。此外,Outlook和网络浏览器等一类流行软件会把附件分散到磁盘的各个角落,通常是很不起眼的地方,因此就算是最严谨细心的用户也难免会有百密一疏的时候。
有鉴于此,对整个磁盘进行加密是较可取的方法,整个加密程序会自动化进行,同时涵盖整个磁盘,所以移动用户可以放心。
监管移动媒介:防止数据泄露
单是对整合磁盘加密还不能解决移动设备的安全问题,用户还需要管理及控制各种具有数据存取功能的周边设备,如CD、DVD、U盘、各种便携式存储媒介如MP3播放器和数码相机等。
要有效防止上述USB设备泄露数据的第一步是把它们归入信任或授权的可接受使用政策(AUP)内,同时教育用户遵从AUP的重要性,认识违反它所带来的风险。
当然,仅仅靠政策是不够的,还需要通过端口控制方案来支持并强制执行,端口控制解决方案可以自动拒绝不合乎安全政策的USB设备,或者阻止传输某些文件或某些类型的文件。
例如,安全政策可以允许授权用户使用已经加密了的USB设备,但iPod或手机则不可以,一旦数据在一个授权的设备上被加密,如果有必要,它便必需能被公司有关人员通过中央管理系统来访问。
预防来自应用层的威胁
全面保护移动数据的最后一个手段,是让设备能抵御来自应用层的软件攻击或恶意代码。
有效的端点安全首先是要每台设备在被允许连接到中央网络之前,运行一个实时升级的防火墙和防病毒保护。端点安全客户还应该确保在笔记本电脑上运行适当的软件补丁程序,还要包括一个虚拟专用网络(VPN)功能,保证公司信息能安全地传输到公司基本设施,这些举措必须是由中央管理。
端点安全计划包括以下几个关键部分:
客户机锁定: 防止移动用户或攻击者把端点安全保护变成无效,同时容许强制执行网络访问政策。
围堵威胁: 笔记本电脑端口只对获授权的网络流量开放,阻止网络入侵的举动。
本文将从基础环境、网络边界、应用级别、数据级别四方面进行的安全产品部署、安全策略说明。
箴言一:基础环境要评估
提到设备部署,必须要对供电环境也就是基础环境进行考量,以使内部保障设备每天能够正常开启或者24小时运转。除了设备的物理环境保障外,还要充分建立起主机房内完善的防盗、防火、温控、通风以及监控、报警设施,加强机房安全管理和人员进出入制度管理,做到设置不同的访问权限、密码定期更换、身份识别等要素,这些是最基本的安全措施。
箴言二:网络边界保安全
网络设备本身也有可能受攻击,要防止这类安全隐患,一方面要选用成熟的网络产品;另一方面,要对网络设备进行合理地配置,控制网络用户可达的区域和端口。从网络系统安全方面,这里主要分析边界安全设备的部署。常见的设备包括防火墙和入侵检测。
1.防火墙
防火墙主要用于过滤不安全的访问,提高网络的安全性。对于外部访问和内部访问,有着不同的安全级别要求,均需通过防火墙的合理配置,提供内部用户访问和外部用户访问的两个通道,通过IP地址过滤、TCP/IP端口过滤等措施,使内部用户可作为信任区域直接通过防火墙访问系统内部服务器,而外部用户则只能在有限的权限和范围内对开放的服务器应用进行访问。而IP地址过滤、TCP/IP端口过滤也是将攻击防御在外的有效措施之一。
2.网络入侵检测(ids)
在网络中部署入侵检测系统,通过对流经网络的数据进行监控和分析,能够及时发现攻击行为,通过记录、报警和阻断等方式保护系统的安全。
此外,通过防火墙和IDS联动,可以进行两种安全策略的优势互补,增强系统的安全防护。
箴言三:应用系统重防御
应用安全是指,在应用层上保证资源整合项目中各个应用系统的信息安全。应用层的信息安全是面向用户和应用程序的,它采用授权管理、应用审计以及数据库安全作为基本手段,可根据具体应用系统的实际需求,提供灵活而可靠的分期部署信息安全保障。
从应用系统角度来说,计算机系统的威胁来源主要来自于外部和内部。其中内部入侵尤为值得关注,其一般都是本系统的合法用户,但并未得到相关权限授权。内部入侵者又可以被进一步分为:
假冒者 他们偷取其他用户的标识,获得那些用户的权限。
秘密用户 他们成功躲开审计机制,执行一些非法操作。
违法行为者 他们是滥用权利的授权用户。
针对上述的安全威胁来源,我们可以选用网页防篡改系统、Web安全防御、安全审计设备、认证服务等产品或应用进行防御。当然,系统内部服务器部署杀毒软件,也是一个补救措施。
从另一方面来说,应用系统包括多项业务,有不同的工作对象和业务操作,需要一种集中管理的手段,实时采集分布的日志,对整个业务流程进行监控。同时,也需要统计和分析工具进行直观地数据汇总。
箴言四:数据保护不忽视
数据层的安全除了需要考虑数据库的安全之外,还需考虑其他非结构化数据的安全。
数据库安全机制涉及本系统的各个安全区域。除尽量避免由于客观因素,如掉电、火灾所造成的物理性破坏外,设计一个好的数据库结构也是一个关键。好的数据库结构包括对一个字段的修改不至于影响其他字段以保持逻辑完整性、定期数据库备份以及设置一个合理的数据库权限管理等要素。
其中,需要提醒的是,我们需要在数据库系统设计时就做好安全规划,而不要“亡羊补牢”。比如,在设计时,应用系统就要采取三层应用结构,通过采取应用中间件的策略,保证最终用户不能直接访问数据库。此外,我们还可以执行对远程数据库连接进行加密、选择性部署数据库扫描器以及数据库主机网络入侵检测系统等操作。
从更深层次的安全角度来讲,还可以再增加下列安全措施:
数据加密存放;
用户身份鉴别 确保每个用户被正确识别,避免非法用户入侵;
访问控制 指对用户可访问的数据进行分级管理,授权访问。