序論:在您撰寫數據安全論文時�,參考他人的優秀作品可以開闊視野���,小編為您整理的7篇范文���,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度��。
第1篇
關鍵詞:無線網絡;數據安全�;思考
一、無線網絡安全問題的表現
1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查?���?蓪尤朦c進行配置�����,要求客戶端接入時輸入口令。如果沒有口令��,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡�����。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部���,他們可以使用網絡掃描器,如Netstumbler等工具�。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡��,這種活動稱為“wardriving”�;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”���。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下���,就設置或存在的接入點�。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段����,創建隱蔽的無線網絡��。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡���,并進而充當了入侵者進入企業網絡的開放門戶��。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”�����,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點���,然后竊取個別網絡的數據或攻擊計算機�。
1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網�����,即使他們沒有什么惡意企圖��,但仍會占用大量的網絡帶寬����,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件����,或下載盜版內容����,這會產生一些法律問題�����。
1.6對無線通信的劫持和監視正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況����,一是無線數據包分析�����,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶���,并劫持用戶會話和執行一些非授權的命令等����。第二種情況是廣播包監視,這種監視依賴于集線器��,所以很少見。
二��、保障無線網絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制��。參數在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡�����。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數����,仍可接入目標網絡,因此,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式�����。
2.2MAC地址過濾顧名思義��,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷����,只有符合設定標準的才能被轉發���,否則將會被丟棄�����。這種方式比較麻煩��,而且不能支持大量的移動客戶端�����。另外�����,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡����,一般SOHO�����,小型企業工作室可以采用該安全手段��。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經過WIFI認證的設備都支持該安全協定�。采用64位或128位加密密鑰的RC4加密算法�����,保證傳輸數據不會以明文方式被截獲��。該方法需要在每套移動設備和AP上配置密碼��,部署比較麻煩;使用靜態非交換式密鑰�����,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于SOHO�、中小型企業的安全加密�����。
2.4AP隔離類似于有線網絡的VLAN�,將所有的無線客戶端設備完全隔離�����,使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設�����,讓接入的無線客戶端保持隔離���,提供安全的Internet接入����。
2.5802.1x協議802.1x協議由IEEE定義��,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議,EAP可以采用MD5,一次性口令,智能卡���,公共密鑰等等更多的認證機制,從而提供更高級別的安全�����。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱����,下一代無線規格802.11i之前的過渡方案�����,也是該標準內的一小部分���。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol)�����,這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題��。很多客戶端和AP并不支持WPA協議�����,而且TKIP加密仍不能滿足高端企業和政府的加密需求����,該方法多用于企業無線網絡部署��。
2.7WPA2WPA2與WPA后向兼容���,支持更高級的AES加密���,能夠更好地解決無線網絡的安全問題��。由于部分AP和大多數移動客戶端不支持此協議�����,盡管微軟已經提供最新的WPA2補丁���,但是仍需要對客戶端逐一部署���。該方法適用于企業、政府及SOHO用戶�。
2.802.11iIEEE正在開發的新一代的無線規格�,致力于徹底解決無線網絡的安全問題��,草案中包含加密技術AES(AdvancedEncryptionStandard)與TKIP���,以及認證協議IEEE802.1x。盡管理論上講此協議可以徹底解決無線網絡安全問題,適用于所有企業網絡的無線部署���,但是目前為止尚未有支持此協議的產品問世�。
第2篇
電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統���,它既是計算機網絡安全概念的一部分�����,但又和計算機網絡安全緊密相連����,從一定意義上講�����,計算機網絡安全其實質即是電子數據安全�。國際標準化組織(ISO)對計算機網絡安全的定義為:“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露�、更改和破壞?���!睔W洲幾個國家共同提出的“信息技術安全評級準則”����,從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容�,保密性是指計算機系統能防止非法泄露電子數據���;完整性是指計算機系統能防止非法修改和刪除電子數據�����;可用性是指計算機系統能防止非法獨占電子數據資源�,當用戶需要使用計算機資源時能有資源可用�。
二�����、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范���,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務���。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時���,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中����,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中���,風險點和威脅點不是單一的�,而存在多元性��。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施�、設備的安全和硬件資產存放地點的安全等內容��;邏輯安全涉及到訪問控制和電子數據完整性等方面�;安全管理包括人員安全管理政策���、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新����,電子數據安全問題就具有動態性。因為在今天無關緊要的地方��,在明天就可能成為安全系統的隱患���;相反�,在今天出現問題的地方,在將來就可能已經解決。例如����,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低��,而客戶機端由于B0這樣的黑客程序存在�����,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案�。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效�����。例如不可能用一個防火墻將所有的安全問題擋在門外��,因為黑客常常利用防火墻的隔離性��,持續幾個月在防火墻外試探系統漏洞而未被發覺���,并最終攻入系統。另外�,攻擊者通常會從不同的方面和角度�,例如對物理設施或協議�����、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施���,尋找到系統漏洞而攻入系統���。它涉及到計算機和網絡的硬件�����、軟件知識,從最底層的計算機物理技術到程序設計內核���,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的�,而是掌握不同技術的不同人群在各個方向上展開的行動�。同樣道理���,在防范這些問題時��,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外�����,這樣就決定了電子數據安全的復雜性�。
(四)電子數據安全的安全悖論
目前�,在電子數據安全的實施中�����,通常主要采用的是安全產品�。例如防火墻、加密狗�����、密鑰等�����,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論�。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差��,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證�,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出���,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋��;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法��,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”����,即根據具體情況提出適度的安全目標并加以實現。
三�����、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任�。電子數據安全審計過程的實現可分成三步:第一步����,收集審計事件,產生審記記錄�����;第二步�����,根據記錄進行安全違反分析;第三步��,采取處理措施����。
電子數據安全審計工作是保障計算機信息安全的重要手段�。凡是用戶在計算機系統上的活動��、上機下機時間�����,與計算機信息系統內敏感的數據����、資源、文本等安全有關的事件�,可隨時記錄在日志文件中��,便于發現�����、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統���,驗證處理和處理結果的驗證��。
1.了解系統技術
審計人員通過查閱各種文件如程序表��、控制流程等來審計�����。
2.驗證處理技術
這是保證事務能正確執行�,控制能在該系統中起作用。該技術一般分為實際測試和性能測試���,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準����,可以選擇事務的樣板來仔細分析�。樣板可以是隨機的����,選擇軟件可以掃描一批輸入事務���,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展�����,審計人員通過系統動作準備處理的事務�。通過某些獨立的方法��,可以預見正確的結果�,并與實際結果相比較��。用此方法��,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試�、事務標志、跟蹤和映射等方法�。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能�。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高���,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術����,審計人員把重點放在數據上�����,而不是對數據的處理上��。這里主要考慮兩個問題:
一是如何選擇和選取數據����。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據���,監視意外事件)����;擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤�;借用于日志恢復的備份庫(如當審計跟蹤時�,用兩個可比較的備份去檢驗賬目是否相同)�;通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中���,以備以后分析)���,利用數據庫管理系統的查詢設施抽取用戶數據���。
二是從數據中尋找什么���?一旦抽取數據后�����,審計人員可以檢查控制信息(含檢驗控制總數����、故障總數和其他控制信息)��;檢查語義完整性約束;檢查與無關源點的數據�。
(二)審計范圍
在系統中�����,審計通常作為一個相對獨立的子系統來實現���。審計范圍包括操作系統和各種應用程序����。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作��。其基本功能為:審計對象(如用戶�、文件操作�����、操作命令等)的選擇����;審計文件的定義與自動轉換��;文件系統完整性的定時檢測����;審計信息的格式和輸出媒體�;逐出系統�����、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用�;判斷程序和數據是否完整�;依靠使用者身份�����、口令驗證終端保護等辦法控制應用程序的運行�。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的��。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息�����。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時�,或在威脅安全的重要操作進行時�,及時向安檢員發出告警信息,以便迅速采取相應對策�,避免損失擴大�。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶����;事件的類型;事件成功與否���。
審計跟蹤的特點是:對被審計的系統是透明的�����;支持所有的應用;允許構造事件實際順序�;可以有選擇地�、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作���、事務類型��、用戶名���、終端號等����;可以對單個事件的記錄進行指定�����。
按照訪問控制類型�,審計跟蹤描述一個特定的執行請求,然而�,數據庫不限制審計跟蹤的請求��。獨立的審計跟蹤更保密,因為審計人員可以限制時間��,但代價比較昂貴��。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件�����,判斷是否是審計事件��。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時����,則向審計人員發送報警信息并記錄其內容����。當事件在一定時間內連續發生,滿足逐出系統閥值�����,則將引起該事件的用戶逐出系統并記錄其內容�。
常用的報警類型有:用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。
第3篇
關鍵詞信息鏈��;信道;安全策略����;容災�����;訪問控制
1引言
隨著信息論���、控制論的不斷演化,通信���、計算機、系統工程和人工智能等多種技術發展與融合�����,人們在信息的獲取、傳輸、存儲、處理與施用等方面的能力空前提高,信息技術革命與人們的生活息息相關���。尤其是在信息極度膨脹的當今社會,人們對信息的依賴程度越來越緊密���,因此對信息系統中的數據的可靠和信息的安全要求也越來越高��,越來越迫切。本文著重對以計算機����、網絡傳輸等為載體的信息鏈作簡要闡述����,對如何保證其安全提供一些方法���。
2基本概念
質量、能量和信息是物質的三大基本屬性���,是普遍存在于客觀世界和人的意識活動中的��。所謂信息是指事物存在的方式或運動狀態以及這種方式或運動狀態的直接或間接表述�。信息具有時效性、寄載性�����、共享性�、可計量性和可控性等特征[1]�����。
其中信息的可計量性已由信息論奠基人��、美國數學家C.EShannon和控制論的鼻祖維納在上個世紀以概率論為工具從數學上證明了平均信息量��,即信息熵H(x)
H(x)=∑P(xi)h(xi)(i=1���,2�����,����,n)
由一組xi(i=1����,2,���,n)事件組成的集合為信源�����,每個事件出現的概率分別是P(x1)�����、P(x2)����、P(x3)����、P(xn)且
∑P(xi)=1(i=1��,2,�����,n)。
定義h(xi)=-P(xi)(i=1�����,2,,n)�����,h(xi)稱為這一事件xi的平均信息量。
信息的可控性體現了信息的可操作性�,同時也增加了信息的復雜性���。為了更有效地將信息系統應用到不同的任務和需求中去�����,應運而生了各種信息技術�,如信息的搜索技術�、信息的傳輸技術���、信息的存儲技術�����、信息的處理技術����、信息的施用技術等��。這些技術廣泛運用于信息的整個生命周期中,存在于信源�、信道�����、信宿等幾個重要環節。
信源是信息的發源地,信息的獲取和產生主要依賴于信源�����;而信道是信息傳遞的物理通道或媒介,是銜接信息與信宿的橋梁����;信宿是信息傳輸的終點或目的地��,是信息的接受者或利用者�����,是信息的歸宿��。信源產生消息����,而信宿接受消息��,信道用于傳遞消息,因此信息系統產生了信息鏈。信息鏈以其網絡化��、智能化�、并行化��、集成化�����、多媒體化為顯著特征�����,每個環節的信息鏈中各子系統的側重點不同。而信息在信息鏈中快速傳遞與廣泛共享大大加強了需求各方對信息的搜集��、傳遞����、處理和施用的能力[2]。
圖1信息系統的流程框圖
為了使信息系統內的資源少受或不受自然和人為等有害因素的威脅和危害,必須對信息系統中信息鏈的各個環節采取有效的安全策略加以保護����,使其能夠正常����、穩定�����、可靠、高效��、安全地運轉����。信息系統的流程圖可參見圖1。
3信息鏈中的數據安全策略
以網絡與計算機為載體的信息系統中信息的發生、收集可以采用自動數據采集與人工采集錄用相結合的方法,使具有某些特征的數據進入該系統中���,并通過網絡等傳輸媒質將數據送至數據中心�����,再分發到信息處理系統中�,通常是高性能的計算機平臺進行加工處理,然后將其運算結果發送到數據中心或需要施用數據的部門中去�。
上述系統中存在著信息鏈����,存在著若干個模塊或子系統�。每個模塊或子系統又由更小粒度的模塊或子系統構成��,同時它們之間存在著復雜的關系����,有若干個輸入/輸出�、信息傳輸��、信息存儲�、信息處理等模塊�����。因此���,需要建立多級安全模型��,把系統中所有的主體和客體分別設置需要的登記和范疇,并按照確定的規則設置訪問監督器。每當信息鏈中的一個主體要訪問一個客體時���,訪問監督器根據該主體的安全屬性和其要訪問客體的安全屬性��,按照規則進行檢查��,看其是否具有訪問權限�����。
建立安全的信息防護體系時����,必須考慮到危及信息安全的各種因素��,它包括信息系統自身存在的脆弱性和來自系統內��、外部的各種各樣的威脅�����。
以計算機系統和網絡為特征的信息系統存在著固有的弱點和脆弱性���,如果利用這些弱點�,信息系統中的具有重要價值的信息可以被不留痕跡地竊取�,非法訪問可以造成系統內信息受到侵害,其脆弱性主要表現在:
①電磁輻射泄漏�����;
②存儲媒質失控�����;
③數據可訪問性�;
④磁性介質的剩余磁效應���;
⑤通信和網絡的弱點等。
而對信息安全的主要威脅是非人為因素造成的和人為因素造成的兩種。因此我們必須考慮信息系統的健壯性�、完整性�、可靠性和保密性等。
信息鏈中的系統安全遵循“木桶原理”����,任何一個子系統或模塊出現問題�,則會殃及全系統的安全����。為了保證數據的有效、可靠�、完整、安全,必須對系統進行分層安全設計[3]。根據該思想我們可將系統的安全策略分為環境安全策略��、子系統內部安全策略和子系統間的安全策略等�。
3.1環境安全策略
系統面臨的安全威脅來自多方面���,有信息的泄漏��,如擊鍵窺探�、電磁泄漏窺探、內存空間窺探�、磁盤緩存窺探等等���,有信息的偽造與篡改�����,有資源的竊取��,有系統遭受蓄意破壞等���。為保證系統安全必須首要考慮環境安全,采取有效措施�,統籌兼顧,做到:
①物理實體的選址考慮����;
②應急措施與路徑冗余��;
③防電磁輻射泄漏;
④媒質的安全如介質的保存、保護與備份等��;
⑤防止線路截獲���,如線路的短路���、斷路��,并聯盜竊����,感應竊取以及通信干擾等。
3.2系統內部安全策略
信息系統內部常用的安全策略有:
①信息系統容災技術��;
②安全操作系統及訪問控制技術���;
③數據備份與加密技術等。
3.2.1容災基本概念
在考慮信息系統容災策略時��,比較合理的做法是:按照數據的重要性及其所處的地位進行級別的劃分����,按照劃分結果對數據采用不同的備份方法��。劃分時一般要考慮幾個因素:
BWO(BackupWindowObjective):備份窗口目標,主要是指創建備份數據時所耗費的時間;
RPO(RecoveryPointObjective):即數據恢復點目標�����,主要指的是系統所能容忍的數據丟失量,針對的是數據丟失���;
RTO(RecoveryTimeObjective):即恢復時間目標�,指的是能夠忍受的服務停止的最長時間��,也就是從災難發生到系統恢復服務所需要的最短時間����,針對的是服務丟失�。RPO和RTO之間沒有必然的聯系�。
圖2容災系統的七層架構
容災系統的每一個層次采用不同的容災方法��,具有不同的數據恢復能力�����,即RTO與RPO的差別���。
圖3容災系統處理能力與代價
而當恢復策略轉向更高層時,COST參數將呈指數增長。圖3說明了這種關系�。因此在選擇容災方案時應該根據實際情況在三個參數之間綜合考慮。目前大多數企業的容災系統處于SHARE中的第2層,僅有少數系統具有“零數據丟失”的能力�����。
3.2.2信息系統容災策略
除了環境安全策略外需要考慮的是信息系統的數據容災技術�。它包括本地容災策略���、異地容災策略�、系統管理和系統恢復策略等[3]����。
3.2.2.1本地容災系統
本地容災的主要手段是容錯�����,容錯的基本思想是在系統體系結構上精心設計���,利用外加資源的冗余技術來達到掩蔽故障的影響���,從而自動地恢復系統或達到安全停機的目的����。容錯是依靠外加資源的方法來換取可靠性的�,附加資源的方法很多��,主要的有附加硬件����,附加信息,附加時間和附加軟件[4]�����。
硬件冗余是指通過硬件的重復使用而提高可靠性的方式���,包括:硬件堆積冗余,待命存儲冗余�����,及混合冗余等�����。時間冗余是通過消耗時間資源來達到容錯目的的����,例如:程序卷回,指令復執等。信息冗余是靠增加信息的多余度來提高可靠性的����,附加的信息應具有如下功能:當代碼中某些信息位發生錯誤(包括附加位本身的錯誤)時能及時發現錯誤或恢復原來的信息����,一般來說,附加的信息位越多�����,其檢錯糾錯能力越強[5]�����。軟件冗余包括兩個方向:研究無錯軟件�,研究容錯軟件。
3.2.2.2異地容災系統
異地容災是指在相隔較遠的異地���,建立兩套或多套功能相同的IT系統,當主系統因意外停止工作時�,備用系統可以接替工作,保證系統的不間斷運行���。異地容災中涉及的一個重要概念是數據復制��,數據復制的主要目的是確保異地間各個系統關鍵數據和狀態參數的一致���。它可分為同步復制和異步復制。
同步復制的工作過程如下:當主系統主機向本地的存儲設備發送一個I/O請求時,這個請求同時被傳送到備份系統的存儲設備中����,等到兩個存儲設備都處理完成后���,才向主系統主機返回確認信號。這樣確保兩個存儲設備中數據的一致性�。但是����,當兩個系統距離較遠或者通訊效率不夠時����,向容災系統發送I/O請求���,會造成主系統明顯的延遲,甚至會使主機無法正常工作���。
異步復制是指主系統內主機與存儲設備間的I/O處理與數據復制過程無關���,即主機無須等待遠端存儲設備完成數據復制就開始下一次I/O操作�。這樣主系統與備份系統之間數據復制的通訊效率高�����,不會影響到主系統內部的處理能力���,但是這樣可能產生兩系統中數據不一致問題。
管理軟件主要用于廣域網范圍的遠程故障切換和故障診斷��。當故障發生時���,確?���?焖俚姆磻脱杆俚臉I務接管����。在管理軟件的控制下�,廣域網范圍的高可用能力與本地系統的高可用能力形成一個整體,實現多級的故障切換和恢復機制��,確保系統在各個范圍的可靠與安全�。
3.2.2.3容災系統運行過程
一個完整的容災系統工作過程如下:在正常情況下����,主系統和備份系統都處于運行狀態,但業務處理程序只在主系統中進行����;而數據的任何修改�����,都會同步地復制到備份系統���。當主系統的某些部件發生故障,冗余部件將接替工作�����,直到損壞部件修復����,在整個過程中��,系統不受影響正常運行。當自然災難發生,主系統癱瘓時,備份系統將啟動業務應用系統�,保證業務的正常運行��。主系統修復后,將備份系統的當前數據復制回主系統�,然后將應用系統切回到主系統�,備份系統重新回到備份狀態�����;或者主系統修復后,作為備份系統使用�,而備份系統作為主系統。這樣能夠很好應付各種軟硬件故障���、人為或自然災害對計算機處理系統的影響����,保護業務系統的不間斷運行。
3.2.3安全操作系統及訪問控制技術
操作系統的安全與健壯是信息系統安全可靠的基礎��,只有這樣它才能對整個計算機信息系統的硬件和軟件資源進行有效的控制與管理,并為所管理的資源提供相應的安全保護��。設計一個安全操作系統通常采用下列關鍵技術:
①隔離性設計;
②核心設計;
③結構設計���。
一個安全操作系統必須保證系統控制和管理數據的存取���、程序的運行、I/O設備的正常運轉時以最小的負載對系統效率的影響���,對系統中的數據庫也可以采用安全策略����,如安全管理策略、存儲控制策略、庫內加密����、整個數據庫加密�、硬件加密等方法,來實現數據庫的安全與保密。
為了有效地管理所屬資源,實施訪問控制是行之有效的措施之一�。訪問控制是對處理狀態下的信息進行保護����,是系統安全機制的核心之一����,它保護被訪問的客體�,并對訪問權限進行確定�����、授予和實施,在保證系統安全的前提下����,最大限度地共享資源。一般訪問控制機制應遵循下列原則:
①最小特權原則�����;
②對存取訪問的監督檢查原則�����;
③實體權限的實效性原則��;
④訪問控制的可靠性原則����;
⑤存取權分離原則�;
⑥最小共享存取原則�����;
⑦設計的安全性原則����;
⑧用戶的承受能力與經濟性原則等�。
訪問控制可以保護系統信息����,保證重要信息的機密性,維護系統信息的完整性��,減少病毒感染的機會,延緩病毒的傳染時間��。
3.2.4系統備份與數據加密策略
備份技術與故障恢復技術是信息系統安全的重要組成部分,是確保信息系統在遇到各種不測事件���、遭到破壞時能盡快投入再使用的保證���。備份技術包括全系統備份技術和部分系統備份技術,備份方式有全量備份、增量備份和差分備份等,另外對系統數據加密和加密數據備份,以確保數據的安全����。
3.3系統間的安全策略
由于自身的安全缺陷和網絡的開放性使得信息系統的安全面臨極大的挑戰�����,人們不斷研發新的技術改善其弱點,在系統間也同樣面臨類似問題�。在信息傳輸過程中�����,通訊雙方必須有身份驗證機制才能保證彼此的信任��,否則通訊就失去了真實性��。
為了保證系統間的安全機制����,實現信息傳遞過程中的機密性、完整性、抗否認性、可用性等���,其安全信息傳輸系統必須具備下列安全功能:
①身份及信息驗證��;
②網絡的訪問控制;
③通信信息的加密����;
④鑒別技術;
⑤安全審計技術等�。
系統間的安全策略可以采用加密技術��,如鏈路-鏈路加密和端-端加密等方式���;也可以采用防火墻技術���,如基于分組過濾的防火墻、基于服務的防火墻�、基于VPN的防火墻等���;還可以采用智能卡技術。另外系統間還必須十分注重抵御日益猖獗的計算機病毒���,注意管理預防與技術防范相結合。
4結束語
目前信息系統中的數據安全非常重要,除了制度上的保障外��,技術保障是基礎���。信息系統中的數據安全策略著重研究信息系統間��、信息系統內部以及數據鏈的諸多環節的容錯����、容災、訪問控制等問題。對于信息系統的設計必須考慮安全性原則����、整體性原則�、投資保護原則����、實用性原則等,既要保證系統內部的穩定性�����、安全性���,也要保證系統間的友善性和互聯、互通���、互操作性���,避免有價值信息的泄漏,避免己方受到外界的惡意攻擊�����。
參考文獻
[1]趙戰生��,馮登國�,戴英俠���,等.信息安全技術淺談[M].北京:科學出版社,1999
[2]顧錦旗,胡蘇太,朱平.實用網絡存儲技術[M].上海:上海交通大學出版社�,2002
[3]賈晶��,陳元,王麗娜.信息系統的安全與保密[M].北京:清華大學出版社,2002
第4篇
云計算是下一代的IT架構��。運用云計算�,可以把應用軟件和數據遷移到很大的數據中心�。云計算的這一特點帶來了很大的安全問題�����。要研究云計算數據的安全特征,就要首先了解云計算的數據安全模型�。
1.1云計算數據應用系統模型
云計算的平臺構架主要技術有并行編程的模式��,分布式文件系統,數據處理模型。其層次如圖1所示��。云計算的數據應用共分為三個層次:應用層、索引層和數據存儲層�����。同時要了解云計算數據應用系統的三個要素:用戶、應用服務器和數據中心。這三個要素各有著不同的功能����,用戶的功能是存儲數據�����,在數據計算的基礎上���,計算個體用戶和組織用戶的數據。應用服務器的功能是維護云計算的系統。數據中心的功能是存貯實際的數據信息。但是,在云計算數據應用系統模型中���,存在著很大的安全威脅�,主要是來自傳統數據的威脅���,容易受到影響的對象有客戶端、主從結構和病毒的傳播,通信的安全性��。其中�,病毒的傳播主要是通過互聯網的數據交易服務�,病毒侵入計算機網絡系統,它的破壞性遠遠大于單機系統�,用戶也很難進行防范?�,F在的互聯網中,病毒一般有隱蔽性,傳播速度也很快�。另外,病毒的制造技術也越來越高級,不僅可以破壞用戶的程序,還可以竊取信息����,造成系統的交叉感染。這種感傳染性的病毒危害性非常大����。對于通信故障,網絡中通常分為兩種類型的安全攻擊類型:主動攻擊和被動攻擊��。常見的攻擊手段有偷竊����、分析���、冒充���、篡改��。對于數據安全來說�,除了上述的數據安全,還有新數據的安全威脅�����,主要表現在幾個方面:保密失效威脅、分布式可用威脅、動態完整性威脅����。
1.2云計算數據安全模型
典型云計算數據技術如圖2所示。該數據安全模型主要分三個層次:第一層的功能是負責驗證用戶的身份����,保證云計算中數據的安全���;第二層的功能是負責對用戶的數據進行保密處理�����,保護用戶的隱私;第三層的功能是恢復用戶誤刪的數據,是系統保護用戶數據的最后一道防線。這三層結構是相互聯系���,層層深入����。首先要驗證用戶的身份����,保證用戶的數據信息不被篡改�。如果非法用戶進入的系統����,則進入系統后還要經過加密保護和防御系統�。最后是文件恢復的層次��,這一層次可以幫助用戶在數據受損的情況下修復數據���。
2多維免疫的云數據安全
2.1多維免疫算法
多維免疫算法的組成主要依靠生物原理����、免疫系統的多維模型�、多維免疫的基本原則組成�����。其中,生物原理是把生物學的理論應用在云計算中���。人工免疫系統發展到現在,在免疫能力的發揮方面有了很大的發展�。免疫能力的增長是一個漫長的過程,后天的免疫的生成更是一個艱難的過程。在一個系統生成初期�����,完全沒有后天的免疫能力,但是隨著身體的成長��,免疫細胞逐漸增多,免疫系統也開始形成�����。多維免疫系統的形成也是這樣的。
2.2多維免疫的數據安全原理
阻礙多維免疫的數據安全的因素主要有不可靠網絡�、節點故障��、超大規模的用戶訪問���、數據更新引起的數據不一致性等����。為了提高數據管理的安全性�����,云計算為用戶提供了一個一致的入口,只有向用戶提供透明的文件���,進行文件數據的定位數據選擇���。對于數據管理服務,應該注意��,這項服務是連接用戶和系統的�����。應用服務器和數據中心共同組成了云計算數據應用系統��。應用服務器主要目的是方便用戶訪問歷史和相關的文件信息��。
2.3多維免疫的云數據安全策略
主要包括文件分布的策略��,HDFS文件冗余度計算,多維免疫的文件分布,數據塊選擇機制等�����。對于云計算中的用戶文件��,需要考慮到數據塊的數量分布�、數據塊的顆粒度和數據庫的創建時間。多維免疫的文件分布中��,首先要掌握文件分布的原理�,多維免疫算法和云計算中文件的創建和文件塊的分配法是一致的����。
3結束語
第5篇
電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統,它既是計算機網絡安全概念的一部分,但又和計算機網絡安全緊密相連,從一定意義上講����,計算機網絡安全其實質即是電子數據安全�。國際標準化組織(ISO)對計算機網絡安全的定義為:“計算機系統有保護計算機系統的硬件、軟件�����、數據不被偶然或故意地泄露��、更改和破壞���?��!睔W洲幾個國家共同提出的“信息技術安全評級準則”����,從保密性���、完整性和可用性來衡量計算機安全��。對電子數據安全的衡量也可借鑒這三個方面的內容�,保密性是指計算機系統能防止非法泄露電子數據;完整性是指計算機系統能防止非法修改和刪除電子數據��;可用性是指計算機系統能防止非法獨占電子數據資源,當用戶需要使用計算機資源時能有資源可用�。
二、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全��。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務���。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全���。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜��。
(一)電子數據安全的多元性
在計算機網絡系統環境中�����,風險點和威脅點不是單一的����,而存在多元性��。這些威脅點包括物理安全�����、邏輯安全和安全管理三個主要方面��。物理安全涉及到關鍵設施�����、設備的安全和硬件資產存放地點的安全等內容�����;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容��。電子數據安全出現問題可能是其中一個方面出現了漏洞�,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性�。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患���;相反��,在今天出現問題的地方��,在將來就可能已經解決�����。例如��,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低����,而客戶機端由于B0這樣的黑客程序存在�,同樣出現了安全需要����。安全問題的動態性導致不可能存在一勞永逸的解決方案���。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效��。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性����,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統���。另外�����,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探��,可能繞過系統設置的某些安全措施����,尋找到系統漏洞而攻入系統���。它涉及到計算機和網絡的硬件���、軟件知識�����,從最底層的計算機物理技術到程序設計內核�,可以說無其不包��,無所不在����,因為攻擊行為可能并不是單個人的��,而是掌握不同技術的不同人群在各個方向上展開的行動�����。同樣道理�����,在防范這些問題時��,也只有掌握了各種入侵技術和手段�����,才能有效的將各種侵犯拒之門外���,這樣就決定了電子數據安全的復雜性�����。
(四)電子數據安全的安全悖論
目前��,在電子數據安全的實施中�����,通常主要采用的是安全產品����。例如防火墻、加密狗����、密鑰等��,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去���,這便是安全的悖論���。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差�����,將會后患無窮��。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證����。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全��。首先由于安全的多元性和動態性����,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次��,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現�����。
三�、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后���,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步�,收集審計事件,產生審記記錄�����;第二步��,根據記錄進行安全違反分析;第三步,采取處理措施����。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動�、上機下機時間,與計算機信息系統內敏感的數據�����、資源�、文本等安全有關的事件�,可隨時記錄在日志文件中�����,便于發現�����、調查���、分析及事后追查責任����,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證����。
1.了解系統技術
審計人員通過查閱各種文件如程序表�、控制流程等來審計���。
2.驗證處理技術
這是保證事務能正確執行���,控制能在該系統中起作用。該技術一般分為實際測試和性能測試�,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析��。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務�����,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展��,審計人員通過系統動作準備處理的事務��。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較����。用此方法����,審計人員必須通過程序檢驗被處理的測試數據�����。另外���,還有綜合測試�����、事務標志、跟蹤和映射等方法�����。
(3)并行仿真�。審計人員要通過一應用程序來仿真操作系統的主要功能�。當給出實際的和仿真的系統相同數據后,來比較它們的結果����。仿真代價較高�,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術�����,審計人員把重點放在數據上�����,而不是對數據的處理上�。這里主要考慮兩個問題:
一是如何選擇和選取數據�。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據���,監視意外事件)����;擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時���,用兩個可比較的備份去檢驗賬目是否相同)���;通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中�,以備以后分析)�����,利用數據庫管理系統的查詢設施抽取用戶數據����。
二是從數據中尋找什么?一旦抽取數據后����,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息)��;檢查語義完整性約束��;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現��。審計范圍包括操作系統和各種應用程序���。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作����。其基本功能為:審計對象(如用戶、文件操作���、操作命令等)的選擇����;審計文件的定義與自動轉換����;文件系統完整性的定時檢測��;審計信息的格式和輸出媒體;逐出系統��、報警閥值的設置與選擇����;審計日態記錄及其數據的安全保護等�。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用��;判斷程序和數據是否完整��;依靠使用者身份��、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用�,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要����,日記恢復處理可以很容易地為審計跟蹤提供審計信息�����。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時���,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息����,以便迅速采取相應對策,避免損失擴大�。審計記錄應包括以下信息:事件發生的時間和地點���;引發事件的用戶�����;事件的類型��;事件成功與否��。
審計跟蹤的特點是:對被審計的系統是透明的����;支持所有的應用���;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄��;記錄的事件一般應包括以下內容:被審訊的進程����、時間�����、日期���、數據庫的操作、事務類型、用戶名��、終端號等;可以對單個事件的記錄進行指定���。
按照訪問控制類型��,審計跟蹤描述一個特定的執行請求��,然而��,數據庫不限制審計跟蹤的請求����。獨立的審計跟蹤更保密�����,因為審計人員可以限制時間����,但代價比較昂貴�����。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件��,根據相應的審計條件��,判斷是否是審計事件�����。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時��,則向審計人員發送報警信息并記錄其內容�����。當事件在一定時間內連續發生�,滿足逐出系統閥值�,則將引起該事件的用戶逐出系統并記錄其內容。
常用的報警類型有:用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等�����。
第6篇
關鍵詞:無線網絡;數據安全;思考
1無線網絡安全問題的表現
1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎����,這種部署或創建往往沒有經過安全過程或安全檢查�����。可對接入點進行配置��,要求客戶端接入時輸入口令�。如果沒有口令���,入侵者就可以通過啟用一個無線客戶端與接入點通信����,從而連接到內部網絡����。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的�。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器����,如Netstumbler等工具�����?�?梢栽谝苿拥慕煌üぞ呱嫌霉P記本電腦或其它移動設備嗅探出無線網絡���,這種活動稱為“wardriving”�����;走在大街上或通過企業網站執行同樣的任務����,這稱為“warwalking”�����。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下��,就設置或存在的接入點����。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段����,創建隱蔽的無線網絡�。這種秘密網絡雖然基本上無害�����,但它卻可以構造出一個無保護措施的網絡����,并進而充當了入侵者進入企業網絡的開放門戶���。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”��,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點�。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點���,然后竊取個別網絡的數據或攻擊計算機。
1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網�,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬����,嚴重影響網絡性能���。而更多的不速之客會利用這種連接從公司范圍內發送郵件���,或下載盜版內容���,這會產生一些法律問題。
1.6對無線通信的劫持和監視正如在有線網絡中一樣��,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況�����,一是無線數據包分析�����,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分��,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶��,并劫持用戶會話和執行一些非授權的命令等�。第二種情況是廣播包監視���,這種監視依賴于集線器,所以很少見��。
2保障無線網絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱���,讓無線客戶端對不同無線網絡的識別���,類似我們的手機識別不同的移動運營商的機制��。參數在設備缺省設定中是被AP無線接入點廣播出去的����,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡�����。而我們如果把這個廣播禁止����,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的�。需要注意的是����,如果黑客利用其他手段獲取相應參數��,仍可接入目標網絡,因此�����,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式�����。
2.2MAC地址過濾顧名思義�,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷����,只有符合設定標準的才能被轉發����,否則將會被丟棄��。這種方式比較麻煩�,而且不能支持大量的移動客戶端����。另外����,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡���,一般SOHO,小型企業工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱�����,所有經過WIFI認證的設備都支持該安全協定�。采用64位或128位加密密鑰的RC4加密算法�,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼�,部署比較麻煩�;使用靜態非交換式密鑰�,安全性也受到了業界的質疑���,但是它仍然可以阻擋一般的數據截獲攻擊���,一般用于SOHO���、中小型企業的安全加密���。
2.4AP隔離類似于有線網絡的VLAN�,將所有的無線客戶端設備完全隔離����,使之只能訪問AP連接的固定網絡��。該方法用于對酒店和機場等公共熱點HotSpot的架設����,讓接入的無線客戶端保持隔離�����,提供安全的Internet接入。
2.5802.1x協議802.1x協議由IEEE定義����,用于以太網和無線局域網中的端口訪問與控制�。802.1x引入了PPP協議定義的擴展認證協議EAP��。作為擴展認證協議����,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制��,從而提供更高級別的安全���。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱�����,下一代無線規格802.11i之前的過渡方案���,也是該標準內的一小部分�。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol)�,這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題��。很多客戶端和AP并不支持WPA協議���,而且TKIP加密仍不能滿足高端企業和政府的加密需求����,該方法多用于企業無線網絡部署�����。:
2.7WPA2WPA2與WPA后向兼容�����,支持更高級的AES加密�,能夠更好地解決無線
網絡的安全問題����。由于部分AP和大多數移動客戶端不支持此協議��,盡管微軟已經提供最新的WPA2補丁���,但是仍需要對客戶端逐一部署���。該方法適用于企業、政府及SOHO用戶。
2.802.11iIEEE正在開發的新一代的無線規格�����,致力于徹底解決無線網絡的安全問題��,草案中包含加密技術AES(AdvancedEncryptionStandard)與TKIP�,以及認證協議IEEE802.1x。盡管理論上講此協議可以徹底解決無線網絡安全問題�����,適用于所有企業網絡的無線部署����,但是目前為止尚未有支持此協議的產品問世�����。
3結語
第7篇
1.1財會數據安全性差
在會計電算化環境下,會計信息數據都是以磁性材料為介質以文件形式保存���,這給會計數據的安全留下了隱患���。財會從業人員安全防范意識的缺失,在出現軟硬件故障����、非法的操作和病毒�,使會計電算化系統癱瘓時,難以恢復完整數據�。多中小型企業在會計實務中操作權限設置不規范和口令密碼不嚴,導致會計數據丟失�、非法篡改或外泄。而且會計檔案管理在存儲過程中,沒有脫機進行保存����,未對相關的檔案管理人員劃定職責���,造成檔案損毀�����,乃至企業會計信息外泄。
1.2注重核算而忽視管理功能
只有將財務會計和管理會計有機結合起來的電算化才是真正意義上全面電算化����。中小企業只有在實現財務會計電算化的同時,推進管理會計電算化���,將財務會計與管理會計有機結合后的電算化才能實質性地促進管理會計在企業中的推廣應用,從而真正實現會計的核算職能���、管理職能和控制職能�����。管理會計電算化是以財務會計電算化為基礎的�,但目前����,我國中小企業的電算化只是實現了基礎而對于向中級階段會計電算化的發展卻停滯不前。
1.3對會計電算化重要性的認識不足
電算化相關人員還未能充分認識到建立完整的會計信息系統對企業的重要性�����,以致無法利用會計電算化系統的優勢來提高企業運作效率�,造成現有會計提供的信息不能及時�����、有效地為企業決策及管理服務��。沒有隨著手工業務環境向電算化環境轉變而相應地調整內控模式和制度導致企業會計電算化的發展遲緩甚至停滯��。
二、基于以上對現階段我國中小企業會計電算化實施過程中存在問題的列示
不難發現針對出現的問題主要可以從企業���、財會軟件開發商以及政府三個方面分別提出有效性的解決對策�����。
2.1強化數據安全建設
正因為對會計電算化的不重視才加劇了企業財務數據的風險����,所以首先應該在整個企業文化之中增強“領導———財會人員———其他工種”各級人員的電算化安全意識����。防范計算機病毒��,健全并嚴格執行防范病毒管理制度�����。其次,完善企業的內控制度,保證財務數據的穩定:不相容崗位相互分離;會計工作人員相互制約;建立適當保密制度�����,通過設置用戶權限����、密碼����、定期更新加密鑰等措施以增強數據的安全性�����。再次,加強對財務數據的備份以防不測�。給電算化計算機安裝UPS�,解決電源干擾問題。保證出現電源問題時�,可以為系統提供10—25分鐘��,進行數據的緊急存儲等����。經濟業務活動通過賬務處理系統處理之后�,應該及時備份���,防止儲存介質磁化、侵蝕����,進行定期或者不定期的檢查和復制,防止數據丟失��。采取雙重備份,異地保管��,對于能夠打印的數據應該進行打印���,同時以紙質和電子形式進行雙重保管����?����?梢耘c開發商簽訂合同���,使用其提供的“云+端”服務,給企業的財務數據安全再加上一重保護���。而且電算化的硬件維護也是電算化數據安全的一項重要內容���,硬件的維護一般應由專業人員進行,但小型企業一般無力配備專職硬件維護員�����,因此硬件設備只能在日常使用時注意使用要求,不亂拆亂動硬件設備�。
2.2積極轉型
加強對于中小企業的認識��,明白企業的真正需求,在財會軟件層面上推進中小企業的會計電算化從“核算”向“管理”過渡����。將會計電算化系統與物資供應��、產成品銷售、庫存管理����、勞資管理等管理業務子系統對接��,建立計算機財務系統指標分析系統,為決策層提供決策和評價依據�。完善財會軟件功能模塊,向財務管理方面過渡�����,將會計電算化納入管理信息系統�����,開發財會軟件具有管理型功能的模塊����。
2.3加強交流兼容并包
