c/s(客户机/服务器)有三个主要部件:数据库服务器、客户应用程序和网络。服务器负责有效地管理系统的资源,其任务集中于:
1数据库安全性的要求
2数据库访问并发性的控制
3数据库前端的客户应用程序的全局数据完整性规则
4数据库的备份与恢复
客户端应用程序的的主要任务是:
1提供用户与数据库交互的界面
2向数据库服务器提交用户请求并接收来自数据库服务器的信息
3利用客户应用程序对存在于客户端的数据执行应用逻辑要求
4网络通信软件的主要作用是,完成数据库服务器和客户应用程序之间的数据传输。
三层C/S结构是将应用功能分成表示层、功能层和数据层三部分。
解决方案是:对这三层进行明确分割,并在逻辑上使其独立。
在三层C/S中,表示层是应用的用户接口部分,它担负着用户与应用间的对话功能。它用于检查用户从键盘等输入的数据,显示应用输出的数据。为使用户能直观地进行 *** 作,一般要使用图形用户接口(GUI), *** 作简单、易学易用。在变更用户接口时,只需改写显示控制和数据检查程序,而不影响其他两层。检查的内容也只限于数据的形式和值的范围,不包括有关业务本身的处理逻辑。
功能层相当于应用的本体,它是将具体的业务处理逻辑地编入程序中。表示层和功能层之间的数据交往要尽可能简洁。
数据层就是DBMS,负责管理对数据库数据的读写。DBMS必须能迅速执行大量数据的更新和检索。现在的主流是关系数据库管理系统(RDBMS)。因此一般从功能层传送到数据层的要求大都使用SQL语言。
在三层或N层C/S结构中,中间件(Middleware)是最重要的部件。所谓中间件是一个用API定义的软件层,是具有强大通信能力和良好可扩展性的分布式软件管理框架。它的功能是在客户机和服务器或者服务器和服务器之间传送数据,实现客户机群和服务器群之间的通信。其工作流程是:在客户机里的应用程序需要驻留网络上某个服务器的数据或服务时,搜索此数据的C/S应用程序需访问中间件系统。该系统将查找数据源或服务,并在发送应用程序请求后重新打包响应,将其传送回应用程序。随着网络计算模式的发展,中间件日益成为软件领域的新的热点。中间件在整个分布式系统中起数据总线的作用,各种异构系统通过中间件有机地结合成一个整体。每个C/S环境,从最小的LAN环境到超级网络环境,都使用某种形式的中间件。无论客户机何时给服务器发送请求,也无论它何时应用存取数据库文件,都有某种形式的中间件传递C/S链路,用以消除通信协议、数据库查询语言、应用逻辑与 *** 作系统之间潜在的不兼容问题。
三层C/S结构的优势主要表现在以下几个方面:
1利用单一的访问点,可以在任何地方访问站点的数据库;
2对于各种信息源,不论是文本还是图形都采用相同的界面;
3所有的信息,不论其基于的平台,都可以用相同的界面访问;
4可跨平台 *** 作;
5减少整个系统的成本;
6维护升级十分方便;
7具有良好的开放性;
8系统的可扩充性良好;
9进行严密的安全管理;
0系统管理简单,可支持异种数据库,有很高的可用性。
摘 要: 针对目前主流数据库的安全防护功能配置方式不灵活、不能应变需求的问题,在HOOK技术的基础上融入组态思想,设计并实现了一种适用于不同数据库的自主安全防护系统(DSS)。在SQLITE上的相关实验表明,利用DSS完全可以实现独立于特定数据库的自主安全防护,大大提高了数据安全防护的灵活性。
关键词: 数据库安全; HOOK API; 访问控制; 数据库审计; SQLITE; 自主安全系统
近年来,有关数据库的安全事故不断出现,例如银行内部数据信息泄露造成的账户资金失密等。因此,高度重视数据库安全防护很有必要。但一直以来,国内数据库产业化发展缓慢,市场份额中较大一部分被国外大型数据库企业占有。这对于国内用户而言,信息的安全性、稳定性等方面都会受到威胁。有的系统涉及使用多个数据库,并且对每个数据库的安防功能要求各不相同。这样,在保障整个系统安全的目标下就需要对每个数据库进行专门配置管理,不但维护难度很大,而且工作也比较繁重。面对这些实际问题,目前的数据库系统自带的安全防护配置方式已不能胜任,如何提出一个灵活独立的安全防护系统迫在眉睫。
1 相关安全防护技术介绍
目前,数据库系统面临的主要威胁有:(1)对数据库的不正确访问引起数据库数据的错误。(2)为了某种目的,故意破坏数据库。(3)非法访问不该访问的信息,且又不留痕迹;未经授权非法修改数据。(4)使用各种技术攻击数据库等。多年来,人们在理论和实践上对数据库系统安全的研究做出了巨大的努力,也取得了很多成果。参考文献[1-2]介绍了保护数据库安全的常用技术,包括:存取管理技术、安全管理技术、以及数据库加密技术,并给出了一些实现途径。其中,访问控制和安全审计作为数据库安全的主要保障措施受到了人们广泛关注,参考文献[3]对访问控制技术中的基本策略进行了总结,给出了实现技术及各自的优缺点。参考文献[4]主要针对权限建模过程中的权限粒度问题做了分析,并提出一个基于角色的访问控制框架。进入21世纪以后,访问控制模型的研究重点开始逐渐由集中式封闭环境转向开放式网络环境,一方面结合不同的应用,对原有传统模型做改进,另一方面,也提出一些新的访问控制技术和模型,比较著名的有信任管理、数字版权管理和使用控制模型 [5]。审计通过对数据库内活动的记录和分析来发现异常并产生报警的方式来加强数据库的安全性[6]。目前,在我国使用的商品化关系数据库管理系统大都提供了C2级的审计保护功能,但实现方式和功能侧重有所不同。周洪昊等人[7]分析了Oracle、SQL Server、DB2、Sybase的审计功能,分别从审计系统的独立性、自我保护能力、全面性和查阅能力四个方面对审计功能做出改进[7]。参考文献[8]则针对审计信息冗余、审计配置方式死板以及数据统计分析能力不足等问题,在数据库系统已有的审计模块基础上,重新设计和实现了一种新型的数据库安全审计系统。
但所有的这些工作都是从 数据库 系统的角度出发,并没有从本质上解决安全防护对数据库系统的依赖性问题,用户还是很难对数据库提供自主的安全防护功能。如果能将安全防护从数据库管理系统中彻底独立出来,针对不同的应用需求允许用户自己实现安全防护功能模块并在逻辑上加入到数据库应用系统中,这样问题也就迎刃而解了。
通过以上分析,本文提出一种独立于具体数据库、可组态的安全防护模型,并给出具体的实现方法。该模型将安全防护从数据库完全独立出来,在多数据库应用中实现集中配置安防,满足用户对于自主防护功能的需求。并在开源的嵌入式数据库产品SQLITE中做了功能测试,实验结果表明,该模型切实可行,达到了预想的效果,既能实现对系统的保护,又大大提高了系统的灵活性。
2 自主安全防护系统的设计与实现
自主安全防护系统DSS(Discretionary Safety System)的主要功能是阻止用户对信息的非法访问,在可疑行为发生时自动启动预设的告警流程,尽可能防范数据库风险的发生,在非法 *** 作发生时,触发事先设置好的防御策略,实行阻断,实现主动防御,并按照设置对所发生的 *** 作进行详细记录,以便事后的分析和追查。
21 系统结构
在DSS中,安全管理员使用角色机制对用户的权限进行管理,通过制定安全策略来设置核心部件Sensor以及访问控制部件。核心部件Sensor侦听用户的数据库 *** 作请求,采用命令映射表将不同的命令映射为系统识别的命令,提取出安全检查所需要的信息,发送到访问控制模块进行安检。安检通过了则允许用户访问数据库,否则拒绝访问,同时根据审计规则生成记录存入审计日志。
DSS作为独立的功能模块主要通过向Sensor提供数据库的调用接口的方式保障对数据库信息安全合理地访问。系统有一个默认的访问控制流程,用户也可以自己设定安全策略,系统自动生成相应访问控制流程。本文约定被访问的对象为客体,请求 *** 作的用户为主体。
22 系统实现
系统实现主要分为系统数据字典设计、用户登录与用户管理、系统相关策略制定、侦听器(Sensor)的实现、访问控制以及日志审计六部分。原数据库API信息(dll)、用户的自主防护策略作为输入,Sensor核心一方面将用户的防护策略融合在原数据库的API接口中,另一方面记录用户对数据库的 *** 作并生成日志,提供给用户做审计。用户在使用过程中不需要修改原有系统,即可实现自主防护。
Sensor由API处理模块、访问控制模块(Access Control)、Sensor核心模块(Core)、注射模块四部分组成。Core是Sensor的核心部件,主要负责拦截接口,解析并分离接口中的重要信息,使程序转入自定义的安检程序中执行安全检查。Access Control组件实现不同级别的访问控制,根据用户提供的安检信息,组态出对应的安防模块,并在合适的时候调用其进行访问控制。API(dll)主要将数据库系统提供的接口信息,转化为dll以便Sensor侦听时使用。Inject/Eject为Sensor提供远程注射的功能。
Core通过拦截对API的调用来实现定制功能。程序在调用API函数之前,首先要把API所在的动态链接库载入到程序中;然后将API函数的参数、返回地址(也就是函数执行完后,下一条语句的地址)、系统当前的环境(主要是一些寄存器的值)压入系统调用栈;接着,进入到API函数的入口处开始执行API函数,执行过程中从系统调用栈中取出参数,执行函数的功能,返回值存放在EAX寄存器中,最终从堆栈中取出函数的返回值并返回(参数压栈的顺序还要受到调用约定的控制,本文不详细介绍)。
举例说明函数调用时堆栈的情况。假设调用约定采用_stdcall,堆栈由高向低递减,API为Int func(int a, int b, int c)。
拦截主要通过HOOK API技术实现,可以拦截的 *** 作包括DOS下的中断、Windows中的API调用、中断服务、IFS和NDIS过滤等。目前微软提供了一个实现HOOK的函数库Detours。其实现原理是:将目标函数的前几个字节改为jmp指令跳转到自己的函数地址,以此接管对目标函数的调用,并插入自己的处理代码。
HOOK API技术的实质是改变程序流程。在CPU的指令集中,能够改变程序流程的指令包括JMP、CALL、INT、RET、RETF、IRET等。理论上只要改变API入口和出口的任何机器码,都可以实现HOOK。但实际实现上要复杂得多,主要需要考虑如何处理好以下问题:(1)CPU指令长度。在32 bit系统中,一条JMP/CALL指令的长度是5 B,因此只需要替换API中入口处的前5 B的内容,否则会产生不可预料的后果。(2)参数。为了访问原API的参数,需要通过EBP或ESP来引用参数,因此需要明确HOOK代码中此时的EBP/ESP的值。(3)时机问题。有些HOOK必须在API的开头,如CreateFileA( )。有些必须在API的尾部,如RECV()。(4)程序上下文内容的保存。在程序执行中会涉及修改系统栈的内容,因此注意保存栈中原有内容,以便还原。(5)在HOOK代码里尽量杜绝全局变量的使用,以降低程序之间的耦合性。通过以上的分析,整理出如图4所示的实现的流程。
DSS与传统数据库的安全防护功能相比,具有以下特点:
(1)独立于具体的数据库。这种独立性体现在:①DSS只需要数据库提供其接口信息即可工作。②支持不同标准的SQL语句,通过数据库命令映射表可将非标准的SQL语句映射为系统设置的SQL命令。③系统自身数据的物理存储是独立于数据库的。
(2)灵活性和针对性的统一。用户可以根据自己的需要配置针对特定应用的相关规则。
(3)完善的自我安全保护措施。DSS只有数据库安全管理员和安全审计员才能访问。安全管理员和安全审计员是一类特殊的用户,他们只负责安全方面的 *** 作,而不能访问数据库中的数据。这与Oracle等的数据库不同,在这些数据库中,DBA可以进行所有的 *** 作。DSS系统本身具有故障恢复能力,能使系统出现问题时恢复到一个安全的状态。
(4)完备的信息查阅和报警功能。在DSS中,本文提供了便利的设计查阅工具,方便用户对系统进行监控。另外,用户也可以自己定义报警条件和报警处理措施,一旦满足报警条件,系统就会自动地做出响应。
3 实验及结果分析
DSS的开发主要采用VS 2005实现,开发完成后在一台主频为28 GHz、内存2 GB、装有Windows 2000 *** 作系统的普通 PC机上对其进行了功能和性能的测试,使用的数据库是开源的嵌入式数据库SQLite 36。为了搭建测试环境,需要在SQLite中添加初始化系统自身的数据字典,并开发应用程序。测试内容包括:登录、用户管理、Sensor、访问控制、日志审计以及增加DSS前后数据库系统安全性变化等功能性测试和增加DSS系统后对数据库性能的影响两方面。其中,性能测试主要从时间和资源的增加情况来说明,针对不同数据库对象分别在五个级别(20 000、40 000、60 000、80 000、100 000)的数据上进行了插入和查询 *** 作测试。为了做好性能对比,在SQLite中也添加了相同的访问控制功能,记为Inline Processing。
从功能测试结果可以看出,DSS可以为数据库系统提供自主防护。从性能测试的结果中看出,查询 *** 作和插入 *** 作耗时相差比较大,这主要是SQLite工作方式引起的,在执行用户的插入 *** 作时,数据库需将内存中的数据写入磁盘数据库文件中,占用了一部分时间。而查询时,SQLite会将数据库文件部分内容缓存起来,加快了查询的速度。另外,增加DSS会对性能有略微的影响,但是它能实现对数据库系统自主保护。
本文针对传统数据库安全防护功能配置不灵活的问题,提出了一种基于HOOK技术的数据库通用安全防护系统。该系统的最大优点在于,它不受数据库自身的约束,完全独立于数据库系统,为用户提供一种按需定制的功能,不仅增加了安防配置的灵活性而且提高了通用性,可以用于不同的数据库系统中。
1、系统软件
*** 作系统软件技术,包括实时 *** 作系统技术;小型专用 *** 作系统技术;数据库管理系统技术;基于EFI的通用或专用BIOS系统技术等。
2、支撑软件
测试支撑环境与平台技术;软件管理工具套件技术;数据挖掘与数据呈现、分析工具技术;虚拟现实(包括游戏类)的软件开发环境与工具技术;面向特定应用领域的软件生成环境与工具套件技术;模块封装、企业服务总线(ESB)、服务绑定等的工具软件技术;面向行业应用及基于相关封装技术的软件构件库技术等。
3、中间件软件
中间件软件包括:行业应用的关键业务控制;基于浏览器/服务器(B/S)和面向Web服务及SOA架构的应用服务器;面向业务流程再造;支持异种智能终端间数据传输的控制等。
4、嵌入式软件
嵌入式图形用户界面技术;嵌入式数据库管理技术;嵌入式网络技术;嵌入式Java平台技术;嵌入式软件开发环境构建技术;嵌入式支撑软件层中的其他关键软件模块研发及生成技术;面向特定应用领域的嵌入式软件支撑平台(包括:智能手机软件平台、信息家电软件平台、汽车电子软件平台等)技术;嵌入式系统整体解决方案的技术研发等。
5、计算机辅助工程管理软件
用于工程规划、工程管理/产品设计、开发、生产制造等过程中使用的软件工作平台或软件工具。包括:基于模型数字化定义(MBD)技术的计算机辅助产品设计、制造及工艺软件技术;面向行业的产品数据分析和管理软件技术;基于计算机协同工作的辅助设计软件技术;快速成型的产品设计和制造软件技术;具有行业特色的专用计算机辅助工程管理/产品开发工具技术;产品全生命周期管理(PLM)系统软件技术;计算机辅助工程(CAE)相关软件技术等。
6、中文及多语种处理软件
中文及多语种处理软件是指针对中国语言文字(包括汉语和少数民族语言文字)和外国语言文字开发的识别、编辑、翻译、印刷等方面的应用软件。包括:基于智能技术的中、外文字识别软件技术;字处理类(包括少数民族语言)文字处理软件技术;基于先进语言学理论的中文翻译软件技术;语音识别软件和语音合成软件技术;集成中文手写识别、语音识别/合成、机器翻译等多项智能中文处理技术的应用软件技术;具有多语种交叉的软件应用开发环境和平台构建技术等。
7、图形和图像软件
支持多通道输入/输出的用户界面软件技术;基于内容的图形图像检索及管理软件技术;基于海量图像数据的服务软件技术;具有交互功能与可量测计算能力的3D软件技术;具有真实感的3D模型与3D景观生成软件技术;遥感图像处理与分析软件技术等。
8、金融信息化软件
金融信息化软件是指面向银行、证券、保险行业等金融领域服务业务创新的软件。包括:支持网上财、税、库、行、海关等联网业务运作的软件技术;基于金融领域管理主题的数据仓库或数据集市及其应用等技术;金融行业领域的财务评估、评级软件技术;金融领域新型服务模式的软件技术等。
9、地理信息系统
网络环境下多系统运行的GIS软件平台构建技术;基于3D/4D(即带有时间标识)技术的GIS开发平台构建技术;组件式和可移动应用的GIS软件包技术等。
10、电子商务软件
基于Web服务(Web Services)及面向服务体系架构(SOA)的电子商务应用集成环境及其生成工具软件或套件的技术;面向电子交易或事务处理服务的各类支持平台、软件工具或套件的技术;支持电子商务协同应用的软件环境、平台、或工具套件的技术;面向桌面和移动终端设备应用的信息搜索与服务软件或工具的技术;面向行业的电子商务评估软件或工具的技术;支持新的交易模式的工具软件和应用软件技术等。
11、电子政务软件
用于构建电子政务系统或平台的软件构件及工具套件技术;跨系统的电子政务协同应用软件环境、平台、工具等技术;应急事件联动系统的应用软件技术,面向电子政务应用的现场及移动监管稽核软件和工具技术;面向电子政务应用的跨业务系统工作流软件技术;异构系统下政务信息交换及共享软件技术;面向电子政务应用的决策支持软件和工具技术等。
12、企业管理软件
数据分析与决策支持的商业智能(BI)软件技术;基于RFID和GPS应用的现代物流管理软件技术;企业集群协同的供应链管理(SCM)软件技术;面向客户个性化服务的客户关系管理(CRM)软件技术等。
13、文档处理软件
用于办公,如Word、Excel、Foxit Reader等软件。 1、集成电路设计技术
自主品牌ICCAD工具版本优化和技术提升,包括设计环境管理器、原理图编辑、版图编辑、自动版图生成、版图验证以及参数提取与反标等工具;器件模型、参数提取以及仿真工具等专用技术。
2、集成电路产品设计技术
音视频电路、电源电路等量大面广的集成电路产品设计开发;专用集成电路芯片开发;具有自主知识产权的高端通用芯片CPU、DSP等的开发与产业化;符合国家标准、具有自主知识产权、重点整机配套的集成电路产品,3G移动终端电路、数字电视电路、无线局域网电路等。
3、集成电路封装技术
小外型有引线扁平封装(SOP)、四边有引线塑料扁平封装(PQFP)、有引线塑封芯片载体(PLCC)等高密度塑封的大生产技术研究,成品率达到99%以上;新型的封装形式,包括采用薄型载带封装、塑料针栅阵列(PGA)、球栅阵列(PBGA)、多芯片组装(MCM)、芯片倒装焊(FlipChip)、WLP(Wafer Level Package),CSMP(Chip Size Module Package),3D(3 Dimension)等封装工艺技术。
4、集成电路测试技术
集成电路品种的测试软件,包括圆片(Wafer)测试及成品测试。芯片设计分析验证测试软件;提高集成电路测试系统使用效率的软/硬件工具、设计测试自动连接工具等。
5、集成电路芯片制造技术
CMOS工艺技术、CMOS加工技术、BiCMOS技术、以及各种与CMOS兼容工艺的SoC产品的工业化技术;双极型工艺技术,CMOS加工技术与BiCMOS加工技术;宽带隙半导体基集成电路工艺技术;电力电子集成器件工艺技术。
6、集成光电子器件技术
半导体大功率高速激光器;大功率泵浦激光器;高速PIN-FET模块;阵列探测器;10Gbit/s-40Gbit/s光发射及接收模块;用于高传输速率多模光纤技术的光发射与接收器件;非线性光电器件;平面波导器件(PLC)(包括CWDM复用/解复用、OADM分插复用、光开关、可调光衰减器等)。 1、计算机及终端技术
手持和移动计算机(HPC、PPC、PDA);具有特定功能的行业应用终端,包括金融、公安、税务、教育、交通、民政等行业的应用中,集信息采集(包括条形码、RFID、视频等)、认证支付和无线连接等功能的便携式智能终端等;基于电信网络或/和计算机网络的智能终端等。
2、各类计算机外围设备技术
具有自主知识产权的计算机外围设备,包括打印机、复印机等;计算机外围设备的关键部件,包括打印机硒鼓、墨盒、色带等;计算机使用的安全存储设备,存储、移动存储设备等;基于USB技术、蓝牙技术、闪联技术标准的各类外部设备及器材;基于标识管理和强认证技术;基于视频、射频等识别技术。
3、网络技术
基于标准协议的(如SNMP和ITSM等)的应用于企业网和行业专网的信息服务管理和网络管理软件,包括监控软件、IP业务管理软件等; ISP、ICP的增值业务软件和应用平台等;用于企业和家庭的中、低端无线网络设备,包括无线接入点、无线网关、无线网桥、无线路由器、无线网卡等;以及符合蓝牙、UWB标准的近距离(几米到十几米)无线收发技术等;向IPv4向IPv6过渡的中、低端网络设备和终端。
4、空间信息获取及综合应用集成系统
空间数据获取系统,包括低空遥感系统、基于导航定位的精密测量与检测系统、与PDA及移动通信部件一体化的数据获取设备等;导航定位综合应用集成系统,包括基于“北斗一号”卫星导航定位应用的主动/被动的导航、定位设备及公众服务系统;基于位置服务(LBS)技术的应用系统平台;时空数据库的构建及其应用技术等。
5、面向行业及企业信息化的应用系统
融合多种通信手段的企业信息通信集成技术;智能化的知识管理;工作流、多媒体;基于SOA架构建立的企业信息化集成应用。
6、传感器网络节点、软件和系统
面向特定行业的传感器网络节点、软件或应用系统;传感器网络节点的硬件平台和模块、嵌入式软件平台及协议软件等;传感器网络节点的网络接口产品模块、软件等。
采用OEM或CKD方式的集成生产项目除外。 1、光传输技术
可用于城域网和接入网的新型光传输设备技术,包括:中/低端新型多业务光传输设备和系统;新型光接入设备和系统;新型低成本小型化波分复用传输设备和系统;光传输设备中新型关键模块光传输系统仿真计算等专用软件。
2、小型接入设备技术
适合国内的网络状况和用户特殊应用需求的小型接入设备技术,包括:各类综合接入设备,各种互联网接入设备(IAD);利用无线接入、电力线接入、CATV
接入等的行业专用接入设备(包括远程监控等);其它新型中小型综合接入设备。
3、无线接入技术
调制方式多样、能适应复杂使用环境的移动通信接入技术的无线接入设备及其关键部件,包括:宽带无线接入设备,如包括基站、终端、网关等;基于IEEE80211等协议的基站与无线局域网终端设备;基于IEEE80216等协议的宽带无线城域网终端设备、系统和技术;各类高效率天线终端设备和特种天线技术和设备等;固定无线接入设备;各种无线城域网设备和系统,包括增强型WLAN基站和终端等。
4、移动通信系统的配套技术
适用于移动通信网络等的系列配套技术,包括:3G系统的直放站(含天线)配套设备;用于各种基站间互联的各种传输设备;移动通信网络规划优化软件与工具;基站与天线的RF信号光纤拉远传输设备;移动通信的网络测试、监视和分析仪表等;数字集群系统的配套技术;其它基于移动通信网络的行业应用的配套技术。
5、软交换和VoIP系统
基于分组交换原理的下一代网络系统和设备技术,包括:中小型IP电话系统及设备;面向特定行业和企业应用、集成VoIP功能的呼叫中心系统及设备; VoIP系统的监测和监控技术等。
6、业务运营支撑管理系统
网络和资源管理系统;结算和计费系统;业务管理和性能分析系统;经营分析与决策支持系统;客户服务管理系统;服务质量管理系统;各类通信设备的测试系统;适用于上述系统的组件产品,包括各类中间件等。
7、电信网络增值业务应用系统
固定网、25G/3G移动、互联网等网络的增值业务应用软件技术,包括:各类增值业务的综合开发平台;流媒体、手机可视电话、手机QQ、IPTV等的应用系统;基于电信网、互联网等的增值业务和应用系统;基于P2P技术的各类应用系统,包括即时通信系统等;基于现有网络技术的增值业务平台;支持网络融合和业务融合的增值业务应用平台及系统。 1、演播室设备技术
与数字电视系统相适应的各类数字化电子设备技术,包括:演播室数字视频服务器、数字视频切换控制台、数字音视频非线性编辑服务器;节目的电子交换、节目制播系统软件、面向数字媒体版权保护的加解密和密钥管理、数字版权保护等系统;适合我国地面电视标准的地面数字电视传输设备;地面—有线合一的数字电视传输设备;符合我国标准的具有自主知识产权的数字电视发射与转发设备;卫星数字电视调制器、有线数字电视调制器、地面数字电视调制器;广播电视监控系统及设备;用于IP网络、移动接收服务网络的数据网关,数据协议转发服务器;有线数字电视和卫星数字电视运营商的运营支撑系统;以电子节目指南、综合信息发布、数据广播、以及交互电视等构成的业务应用系统。
2、交互信息处理系统
能够实现交互式控制的服务端系统技术。
3、信息保护系统
能够实现各种信息媒体整体版权保护的系统技术。
4、数字地面电视技术
可提高收发机性能的技术,与单频组网、覆盖补点、专用测试等应用相关的技术,包括:数字电视单频网适配器;广播信号覆盖补点器;GB20600-2006广播信号发生器;GB20600-2006广播信号分析仪等。
5、地面无线数字广播电视技术
符合国家《地面数字电视广播传输标准》的设备技术,包括:数字广播电视发射机;数字广播电视复用器;数字广播电视信道编码调制器;无线地面数字广播技术。
6、专业音视频信息处理系统
公共交通、公共场所等各类专业级网络化的音视频处理系统技术。
7、光发射、接收技术
具备自主知识产权的光发射和光接收设备的技术,包括:激光器模块;光电转换模块;调幅返送光发射机;室外型宽带光接收机等。
8、电台、电视台自动化技术
适合电台、电视台开展音频及视像节目编、采、播业务的技术,包括:具备发射机单机模拟量、开关量的选择与采集,控制信号接口选择功能的设备;能对发射机工作状态实现控制、监测、记录、分析、诊断、显示、报警等功能的设备;能对全系统实现数据处理的计算机设备;能对发射机房多机系统实现自动化控制管理的设备等。
9、网络运营综合管理系统
基于卫星、有线、无线电视传输的、能实现分级网络运营管理、能实现全网传输设备的维护、设置及业务管理一体化的软件系统的技术,包括:广播影视传输覆盖网的管理系统;有线电视分配网网络管理系统等。
10、IPTV技术
电信、计算机和广电三大网络的业务应用融合的技术,包括:IPTV路由器和交换器; IPTV终端设备; IPTV监管系统和设备; IPTV前端设备等。
11、高端个人媒体信息服务平台
移动办公软件技术,包括:个人信息综合处理平台;便携式个人信息综合处理终端等。
采用OEM或CKD方式的集成生产项目除外。 1、半导体发光技术
半导体发光二极管用外延片制造技术,生长高效高亮度低光衰高抗静电的外延片技术,包括:采用GaN基外延片/Si基外延片/蓝宝石衬底外延片技术;半导体发光二极管制作技术;大功率高效高亮度低光衰高抗静电的发光二极管技术;高效高亮度低光衰高抗静电的发光二极管技术;半导体照明用长寿命高效荧光粉、热匹配性能和密封性能好的封装树脂材料和热沉材料技术等。
2、片式和集成无源元件技术
片式复合网络、片式EMI/EMP复合元件和LTCC集成无源元件;片式高温、高频、大容量多层陶瓷电容器(MLCC);片式NTC、PTC热敏电阻和片式多层压敏电阻;片式高频、高稳定、高精度频率器件等。
3、片式半导体器件技术
小型、超小型有引线及无引线产品;采用低弧度键合、超薄封装的相关产品;功率型有引线及无引线产品等。
4、中高档机电组件技术
符合工业标准的超小型高密度高传输速度的连接器;新一代通信继电器,小体积、大电流、组合式继电器和固体光MOS继电器;高保真、高灵敏度、低功耗电声器件;刚挠结合板和HDI高密度积层板等。 1、安全测评类
网络与系统的安全性能进行测试与评估技术;对安全产品的功能、性能进行测试与评估,能满足行业或用户对安全产品自测评需求的技术等。
2、安全管理类
具备安全集中管理、控制与审计分析等功能的综合安全管理类技术;具备安全策略、安全控制措施的统一配置、分发和审核功能的安全管理类技术等。
3、安全应用类
具有电子政务相关应用安全软件及相关技术;具有电子商务相关应用安全软件及相关技术;具有公众信息服务相关应用安全软件及相关技术等。
4、安全基础类
*** 作系统安全的相关支撑技术;数据库安全管理的相关支撑技术;安全路由和交换设备的研发和生产技术;安全中间件技术;可信计算和标识认证相关支撑技术等。
5、网络安全类
网络攻击防护技术;网络异常监控技术;无线与移动安全接入技术;恶意代码防护技术;网络内容安全管理技术等。
6、专用安全类
密码及其应用技术;安全隔离与交换等边界防护技术;屏蔽、抑制及干扰类电磁泄漏发射防护和检测技术;存储设备和介质中信息的防护、销毁及存储介质的使用管理技术;高速安全芯片技术;安全事件取证和证据保全技术等。
市场前景不明朗、低水平重复,以及简单的技术引进类信息安全软件及其相关产品除外。
(八)智能交通技术
1、先进的交通管理和控制技术
具备可扩展性的适于中小城市信号设备和控制技术;可支持多种下端协议的上端控制系统的软件技术研发;交通应急指挥管理相关设备的技术研发和生产;网络环境下的外场交通数据综合接入设备的技术研发和生产;交通事件自动检测和事件管理的软件技术研发等。
2、交通基础信息采集、处理设备及相关软件技术
采用微波、主被动红外、激光、超声波技术(不含视频)设备,可用于采集交通量、速度、车型、占有率、车头时距等交通流参数;车辆、站场枢纽客流统计检测设备生产及分析技术; 用于公众服务的动态交通信息融合、处理软件技术研发;交通基础设施状态监测设备的软件研发和生产技术;内河船舶交通量自动检测设备技术研发等。
3、先进的公共交通管理设备和系统技术
大容量快速公交系统(BRT)运营调度管理系统(含车、路边设备)技术研发;公交(含大容量公交)自动售检票系统技术研发,要能够支持现金、xyk、预付费卡等多种支付方式;大中城市公共交通运营组织与调度管理相关设备和系统的技术研发等。
4、车载电子设备和系统技术
具有实时接收数据能力,并可进行本地路径动态规划功能的车载导航设备的研发及生产;符合国家标准的电子不停车收费系统技术研发;车载安全驾驶辅助产品生产技术等。 计算机翻译技术(简称“机译”)是涉及语言学、数学、计算机科学和人工智能等多种学科和技术的综合性课题,属高新技术领域,被列为21世纪世界十大科技难题之一。机译是国际学界、商界甚至军界共同角逐的必争之地。
机译消除了不同文字和语言间的隔阂,堪称高科技造福人类之举。但机译的质量长期以来一直是个问题,尤其是译文质量,离理想目标仍相差甚远。中国数学家、语言学家周海中教授认为,在人类尚未明了大脑是如何进行语言的模糊识别和逻辑判断的情况下,机译要想达到“信、达、雅”的程度是不可能的。这一观点恐怕道出了制约译文质量的瓶颈所在。
5000字计算机毕业论文篇3
浅议计算机数据库安全管理
摘 要:随着计算机和网络的普遍使用,人们或企业通过数据库存放的信息越来越多。计算机数据库的安全与否则涉及到个人隐私或企业等利益各方。 文章 通过对计算机数据库概念和特征的梳理,在明确数据库安全问题的基础上,设定计算机数据库安全管理目标并制定了数据库安全管理系统模式。
关键词:计算机;数据库;安全;模式
八九十年代至此,计算机的使用越来越普遍,个人和企业都倾向于用网络来处理个人的事情,并将很多资料和信息存放在网络上以便使用。而计算机数据库就是对这一活动进行技术支撑。
人们一般将个人资料等存放在计算机数据库中以方便和安全之用。这些个人资料往往包含有个人隐私并且非常重要,只有具有相关权限的人才能够查看相关资料。同样,现代企业几乎都是通过计算机数据库来存储和管理各种业务数据。通过特定的数据库访问模式,可以为企业提供全区域全侯段数据的查询和应用方便,提高 企业管理 效率。企业数据库对企业很是重要。但是如果数据库受到人为或病毒的攻击,个人隐私或企业重要信息就面临被窃取或流失的危险,进而对个人或企业的利益造成损失。
本文通过对计算机数据库概念和特征的梳理,设定数据库管理之目标、分析数据库管理问题进而提出计算机数据库安全管理模式。
一、计算机数据库概念及其安全管理特征
(一)计算机数据库概念
计算机数据库(Database)是为达到一定的目的而将数据组织起来并存储在计算机内数据(记录、文件等)的集合。模型是数据库系统的核心和基础。按照计算机存储和 *** 作数据的方式,从数据库发展形态和模型特点角度,将数据库划分为:网状数据库、层次数据库和关系数据库三类。计算机数据库的应用领域和范围十分广泛。按照数据库应用领域和范围,将数据库划分为:统计数据库系统、海河流域数据库系统、地质数据库系统、生态环境数据库系统、地方志数据库系统等。
总体而言,随着计算机的普及和数据库技术的不断发展,计算机数据库应用范围不断的扩大,受到越来越大的重视,并其安全性得到不断的优化和加强。
(二)数据库安全管理特征
数据库安全管理往往包含数据安全、数据完整、并发控制和故障恢复等四个方面:
1数据安全
数据的安全是保障数据使用的前提。数据安全涉及数据本身的安全以及数据防护安全两个方面。通常需要注意防止数据在录入、处理、统计或打印中造成的数据损坏或丢失;以及因人为、程序、病毒或黑客等造成的数据损坏或丢失。为了保障数据的安全,通常需要将数据进行分类,也即将需保护信息和其他信息分开;设置用户访问权限,控制不同的用户对不同数据的访问;对数据进行审计和加密。
2数据完整性
数据的完整是保证接收信息的全面性,包括数据的精确性和可靠性。数据完整性通常包括实体完整性、域完整性、参照完整性和用户定义完整性等四个方面。数据完整与否通常涉及到数据录入等方面。数据由于输入等种种原因,会发生输入无效或错误信息等问题。为了保证数据完整性,通常采用包括外键、约束、规则和触发器等 方法 。系统很好地处理了这四者的关系,并针对不同的具体情况用不同的方法进行,相互交叉使用,相补缺点。
3并发控制
数据库中的数据信息资源可以说是一个“信息池”,对数据的取用不仅要满足一个用户的使用,还要允许多用户同时对数据的取用。为了保证用户取用数据一致性就涉及到并发控制。并发控制指的是当多个用户同时更新运行时,用于保护数据库完整性的各种技术。并发机制不正确可能导致脏读、幻读和不可重复读等此类问题。并发控制的目的是保证一个用户的工作不会对另一个用户的工作产生不合理的影响。在某些情况下,这些措施保证了当用户和其他用户一起 *** 作时,所得的结果和她单独 *** 作时的结果是一样的。在另一些情况下,这表示用户的工作按预定的方式受其他用户的影响。
4故障恢复
目前,保护数据库系统免受破坏的措施有很多,它能够保证数据库的安全性和完整性不被破坏以及并发事务能够正确执行,但是计算机的硬件故障、 *** 作人员的事务这些是不能够进行避免的。而数据库中数据的正确性都会受到它的影响,甚至有时会使得数据库受到破坏,导致数据库中的部分或者全部数据的丢失。故障恢复的功能就是能够实现数据库从错误状态向某一已知的正确状态方向进行恢复。
二、数据库安全管理目标
数据的安全和完整使用是计算机数据库管理的目标,包括以下几个方面:
数据共享和统一管理。对具有使用权限的用户实现全区域或全侯段数据信息共享能够提高信息的使用效率,满足企业或个人动态办公的需求。同时数据共享必须保障共享数据的一致性和对数据的统一管理。
数据访问简化。应用程序对数据的访问进行简化,使得在更为逻辑的层次上实现应用程序对数据进行访问。数据访问简化一方面提高了对数据库中数据的使用效率,另一方面提升了个人或企业使用数据的方便性,提高工作效率。
数据有效。数据有效性一方面指数据库中的数据需是可以使用的,不能存在过多的冗杂数据;另一方面数据的逻辑一致性得到保证。
数据独立性保障。数据独立性包括数据的物理独立性和逻辑独立性。把数据的定义从程序中分离出去,加上数据的存取又由DBMS负责,从而简化了应用程序的编制,大大减少了应用程序的维护和修改,保障数据的独立性,减少程序对数据和数据结构的依赖。
数据安全性保障。是保障在数据库共享情况下维护数据所有者利益。数据的集中存放和管理能够保证数据库安全性。数据库安全的具体目标就是提供充分的服务,并且保证关键信息不被泄露。
三、数据库安全管理存在问题
从数据库系统安全性角度来讲,数据库的安全问题包括 *** 作方面问题、系统管理问题和数据库自身问题等三个方面。
*** 作方面。 *** 作方面往往涉及到病毒、后门、数据库系统以及 *** 作系统 等方面的关联性。病毒方面,部分病毒可以依附于 *** 作系统从而对数据库造成危害; *** 作系统后门在方便特征参数设置等的同时,也给黑客等留了后门使其可以访问数据库系统等。
管理方面。对数据库安全管理意识薄弱,重视程度不够,对数据库等的管理往往提留在设置访问权限等方面。数据库安全管控措施较少或不到位,未能定期检测和发现数据库存在的漏洞以及面临的安全威胁。
数据库自身问题。虽然关系数据库系统应用时间较长,特性较强大,产品也较成熟,但是实际中并没有在 *** 作系统和现在普遍使用的数据库系统体现出其应该具有的某些特征,尤其是那些较为重要的安全特性,由此可见,大多数的关系数据库系统的成熟度还是不够。
四、计算机数据库安全管理措施
(一)用户标识与鉴别
用户识别和鉴别是数据库系统的最外层安全保护措施。数据库系统可使用多种识别方法,提高系统的安全级别。其中用户名输入识别、口令识别、身份随即识别等作为常用的安全防范方法。
(二)安全模式
通过安全模式来判断安全重要方面与系统行为关系,并满足关键数据安全的需求。安全模式通常包括多级安全模式和多边安全模型。多级安全模式首先在军用安全保密系统中使用,包括秘密级、机密级和绝密级三个等级。根据不同的需求设置每一级人员的访问权限。多边安全模式则能防范横向信息泄露。
(三)访问控制
按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制保证具有访问权限的用户的正常访问,是通过主体访问设置保护网络资源。访问控制的功能主要有以下:防止非法的主体进入受保护的网络资源;允许合法用户访问受保护的网络资源;防止合法的用户对受保护的网络资源进行非授权的访问。访问控制实现的策略:入网访问控制、网络权限限制、目录级安全控制、属性安全控制、网络服务器安全控制等。
(四)安全审计
由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。
五、结束语
数据安全问题是存在于计算机系统和数据库系统中的常见和最为重要的问题。数据库的安全围绕着防范和减轻风险的角度展开。数据库管理最主要的目的就是通过有效的计划和措施,在保障数据共享的基础上,保障数据的安全,确保安全风险不为用户带来风险等。文章在指出数据库系统中存在安全问题的基础上,从用户识别、设置安全模式、进行访问控制等角度提出了数据库安全管理措施。
参考文献:
[1]许婷,杨新荣数据库安全技术理论研究[J]科技情报开发与经济,2007,4
[2]朱良根,雷振甲,张玉清数据库安全技术研究[J]计算机应用研究,2004,9
[3]隽军利,李天燕,王小龙浅析计算机数据库系统在信息管理中的应用[J]科技创新导报,2008,12
[4]刘启原,刘怡数据库与信息系统的安全[M]北京:科学出版社,2000
5000字计算机毕业论文篇4
浅谈计算机安全技术与防护
摘要:互连网具有开放性和匿名性的特点,这给计算机黑客、病毒利用网络实施各种犯罪活动创造了机会,同时对网络安全构成了威胁。在我们使用网络的过程中,总会感染各种各样的网页病毒,在收发电子邮件、使用QQ进行即时聊天过程中,也会导致密码被盗等情况。同时,由于安全问题,有些网站的数据被破坏,这给我们的工作带来了极大损失。
关键词:计算机;网络;安全技术;防护技术
互联网以其高效率和快捷方便改变着人们的生产与生活,在社会的各个领域得到了广泛的应用,各行各业用其来处理各种事物,比如电子邮件的发送、网上购物、信息的处理、网上炒股和网上办公。所有这些都与互连网的开放性及匿名性有关。也正因为这些特征使互联网存在着一定的安全隐患。但是网络不安全导致人们对网络望而生畏,以上问题也使人们在应用网络与计算机的过程中遭受巨大损失,我在计算机安全技术与防护方面做如下分析。
一、计算机网络信息存在安全隐患
(一)计算机本身存在的问题
计算机的弱项是面对威胁与攻击时容易被破坏甚至导致瘫痪。因为它自身的防御能力较差,被新病毒攻击时束手无策,在建立网络协议时,有些安全问题没有被安排在内,虽然又新加了许多安全服务与安全机制,但是黑客的攻击还是让计算机本身防不胜防,让一些安全措施显得无力,所以在互联网中的安全问题表现的更加严重。
(二)软件中存在的漏洞
所有的 *** 作系统或网络软件都存在着各种各样的问题,主要是有了黑客的攻击或病毒的入侵以后才进行漏洞的修补,所以在 *** 作系统及网络软件中还存在缺陷和漏洞,这给我们的计算机带来了很大的危险,计算机被接入网络受到的攻击也会更多。
(三)计算机安全配置不正确
进行安全配置时,因为配置不正确导致了安全漏洞的存在。比如,没有对防火墙进行配置,那么本身的作用不能得到很好的发挥,在这种特定的网络应用程序中,启动过程中,很多安全缺口也会随之打开,可以与这一软件捆绑在一起的应用软件随之启用。只有在用户禁止此程序的运行,或者对它进行了合理的配置时,才可以排除各种安全隐患。
(四)使用对象的安全意识差
当用户口令设置较简单,有时还把自己的账号借给他人用或者与他人共用,这些给网络安全造成了一定的威胁。
二、计算机病毒的威胁
随着应用的广泛,病毒的种类也在不断增多,破坏性不断增强,病毒的产生与蔓延使信息系统不再可靠,不再安全,计算机受到的威胁是巨大的,同时也给各个单位造成了很多损失,计算机病毒的入侵手段可以归结为以下几类:
(一)数据的欺骗
非法入侵到计算机,对数据进行修改,甚至借机对假数据进行输入。
(二)特洛伊木马
在计算机内通过不正确的手段装入秘密指令或者程序,通过计算机进行犯罪活动。它通过合法的身份隐藏于其他的程序中,某时刻会发作,这时会产生威胁,当本机在完成任务时,它会实施非授权功能。比如复制一段超过系统授权的程序等。
(三)截收信息
黑客或者病毒在进行攻击时,有可能会利用搭线或者是电磁辐射的范围内进行截收,对重要信息进行截获或者借助于信息流以及自身的流向、通信频度及长度等参数加以分析,对有用的信息进行判断及保留。
(四)对程序的攻击
这种病毒的攻击性较强,活动较频繁,它深深地隐藏于计算机的存储器中,借助于木马对用户进行技术性的欺骗,对用户进行激活。甚至借助于逻辑炸d来发作,对系统进行攻击并产生较大的危害性活动。
(五) 其它 网络攻击方式
黑客或者病毒破坏网络系统,使其不可用,导致合法用户对网络资源不能进行访问,拒绝各种服务,有的还会严重破坏计算机系统与网络系统,使系统信息不再完整,有些还有可能假装主机对合法用户进行非法入侵,使系统资源遭受破坏等。
三、常用的网络安全技术
(一) *** 作系统内核的安全性防护技术
*** 作系统安全内核技术主要是通过传统网络安全技术进行分析,借助于 *** 作系统这一层次对网络的安全性进行分析与假设,对系统内核中可能存在安全性问题在内核中除掉,进一步对系统的安全性问题进行强调,在技术上不断加强。 *** 作系统平台的安全措施主要有:利用安全系数较高的 *** 作系统;对 *** 作系统进行安全配置;借助于安全扫描系统对 *** 作系统的漏洞进行检查等。美国国防部技术标准将 *** 作系统的安全等级划分成D1、C1、C2、B1、B2、B3、A几个等级,它的安全等级主要是从低到高。当前大多数 *** 作系统的安全等级都达到了C2级,它的特征包括:一是利用用户注册名和口令使系统加以识别;二是系统通过用户的注册名对用户访问资源的权限进行裁定;三是通过系统对所有系统中发生的所有事件进行审核与记录;四对其他具有系统管理权限的用户进行创建。
(二)网络防病毒技术
计算机病毒借助于网络环境对系统进行破坏,它的破坏力非常强,它产生的威胁与破坏力是不可估计的,比如CIH病毒及爱虫病毒就充分说明了,如果不对病毒进行提前预防,它所造成损失更大,给社会带来一系列的问题,所以,我们要加强病毒的预防。网络防病毒技术的具体实现方法主要包括对网络服务器中的文件的频繁破坏,频繁扫描与频繁监测,主要通过工作站对防病毒的芯片、网络目录以及各种文件加强了访问权限的设置等。预防病毒主要借助于网络这一整体,提高管理人员的技术与防范意识,经常对全网的客户机进行扫描,对病毒情况进行监测;通过在线报警技术,使网络上的每一台机器发生故障、被病毒入侵时,网管人员能够检测到并及时解决这些问题,使网络被攻击的损失达到最小化。
(三)对 网络技术 的加密
对网络进行加密技术的提高是保障网络安全的行之有效的一项重要措施,做了加密的网络可以防止非法窃听,还可以防止恶意软件的入侵等,对网络信息进行加密主要是对网内的数据进行保护,对网内的文件、口令及控制信息实施保护,对网上传输的数据加以保护。这种对网络实施的加密主要是通过链路加密、端点加密及节点加密几种方式来实现。链路加密的目的是为了对网络节点之间的链路信息安全进行保护;对各个端点进行加密的目的是完成对源端用户到目的端用户的数据所做的加密保护;对节点进行加密主要是对源节点到目的节点之间的传输链路进行加密保护。各用户针对网络情况对上述三种加密方式结合自身情况进行选择。
根据收发双方的密钥的异同进行分类,对这些加密算法可以分为常规密码算法与公匙密码算法。通过对其应用这一过程,人们主要是把常规密码与公钥密码有机结合。比如:使用DES或者IDEA完成对信息的加密,而使用RSA对会话密钥进行传递。假如根据多次加密所处理的比特进行分类,我们可以把加密算法分为序列密码的算法与分组密码的算法,而序列密码的算法在每次计算时只加密一个比特。
(四)加强防火墙技术
网络防火墙主要是对被保护的网络和外界所设置的屏障,它借助于计算机硬件及软件的组合形成了相对安全的网关,对内部网络进行保护,使其不受非法用户的入侵,通过对它的鉴别、限制与更改,使其跨越防火墙的数据流,对通信网络的安全提供保障,为计算机通信网络的发展提供保障。
(五)加强身份验证技术
身份验证技术主要是用户通过系统显示自己身份z明的一个过程。通过身份认证对用户的身份进行证明。通过这两个过程对通信双方真实身份进行判定与验证,借助于这两项工作完成身份的验证。计算机的安全机制主要是对发出请求的用户做出身份验证,对它的合法性进行确认,如果判定为合法用户,对该用户进行审核,判断其是否对所请求的服务或主机可以进行访问。
总之,网络安全是一项综合性、长期性的任务,它主要涉及到技术、管理以及使用的许多问题,主要包括信息系统自身的安全问题,还包括物理方面的和逻辑方面的相应措施。所以,一定要通过多种防范措施,通过各种比较保密的政策及明晰的安全策略,对信息的机密性、完整性和可用性逐步加强,给网络安全提供保障。
参考文献:
[1]陈月波网络信息安全[M]武汉:武汉理工大学出版社,2005
[2]钟乐海,王朝斌,李艳梅网络安全技术[M]北京:电子工业出版社,2003
[3]张千里网络安全基础与应用[M]北京:人民邮电出版社,2007
[4]吴金龙,蔡灿辉,王晋隆网络安全[M]北京:高等教育出版社,2004
1 计算机专业毕业论文评语
2 有关大学计算机专业毕业论文范文
3 计算机系毕业论文范文参考
4 大学计算机毕业论文范文
5 关于计算机专业毕业论文范文
6 计算机专业毕业论文参考
在过去的十几年里,国内外公司发生了不少数据泄露、勒索攻击、信息丢失、服务中断等安全事件,随着科技的发展,信息安全形势依然十分严峻,安全威胁来势汹汹。各单位风险管理中也越来越关注数据安全与业务连续性相关的风险,运用智能化产品技术手段识别业务潜在的危机和相关影响,并且制定体系化、自动化的风险解决方案,坚守数据安全和业务持续运营的防线。
安华金和2012年上市了数据库防火墙产品,旨在提供数据库漏洞攻击防护能力和虚拟补丁,捕获和阻断漏洞攻击行为,避免利用应用系统漏洞的注入攻击和以Web应用服务器为媒介的数据库自身漏洞攻击和入侵。
异构数据库的安全性包括:机密性、完整性和可用性,数据库在三个层次上的异构,客户机 /服务器通过开放的网络环境,跨不同硬件和软件平台通信,数据库安全问题在异构环境下变得更加复杂。而且异构环境的系统具有可扩展性,能管理分布或联邦数据库环境,每个结点服务器还能自治实行集中式安全管理和访问控制,对自己创建的用户、规则、客体进行安全管理。如由DBA或安全管理员执行本部门、本地区、或整体的安全策略,授权特定的管理员管理各组应用程序、用户、规则和数据库。因此访问控制和安全管理尤为重要。异构环境的数据库安全策略有:
全局范围的身份验证;
全局的访问控制,以支持各类局部访问控制(自主和强制访问控制);
全局完整性控制;
网络安全管理,包括网络信息加密、网络入侵防护和检测等;
审计技术;
数据库及应用系统安全,如自动的应用系统集成、对象管理等。开发者能定义各个对象的安全性。根据定义的数据库安全性,DBA能迅速准确地通过应用系统给所有数据库对象授权和回收权限。
复杂的口令管理技术
----c复杂的口令管理技术。包括数据库中多个事务的口令同步;异构数据库间的口令同步,如Oracle 和Unix口令;用户初始的口令更新;强制口令更新;口令可用性、口令的时间限制、口令的历史管理、口令等级设置等。
----口令安全漏洞检查和系统终止。包括检查系统终止前登录失败的次数,系统终止前登录成功与登录失败间的时间间隔,跟踪企图登录的站点地址。
----口令加密、审计技术。包括发现口令漏洞,记录口令历史, 记录对表、行、列的访问,记录应用系统的访问等。
安全代理模型
----异构数据库是一个为用户提供服务的网络互联的服务器集合。因此应提供全局访问控制(GAC),并对原有安全策略重新进行异构描述。提供联邦访问表,为用户访问、更新存在于不同数据库的数据信息(包括安全信息)提供服务。此表为联邦中每个用户指定对某个实体对象允许的 *** 作,它由存放在某个数据库中的安全信息创建。由于实体对象的集合可能被存放在许多数据库中,应提供特定规则和过程将安全信息转换集成为全局信息。
----使用多种代理,全局访问控制(GAC)的安全结构分为三层:协调层、任务层和数据库层,每层有特定的代理强制执行部分联邦安全策略。协调层的任务由系统管理员的代理完成,负责管理整个环境,分派权限给称作任务代理的其他代理,任务代理通过分派访问单个数据库的权限给数据库代理,来控制对整个联邦数据库的访问。比如,由系统管理员分派的完整性保证的任务由完整性管理员完成,数据库功能(如获得用户信息)由用户和数据代理完成。
----顶层(Top Level)代理称为委托代理。由它决定联邦中执行任务的类型。这一层的代理关心联邦中所有发生或正在发生的活动。为了获知“谁正在做什么”,不同代理的信息都存放在一特定的目录里。根据这些信息,顶层代理,向适当的代理委派任务。
----中间层(Middle Level)代理称为安全代理。特定的任务(如保持全局完整性)由安全代理完成,它在联邦中可见的范围比顶层代理要窄,完成的任务更具体。安全代理只能看到和它完成同一任务的其他代理。
----底层(Bottom Level)代理称为数据代理。由更高层代理指定完成访问、更新信息任务的代理组成。这些代理是共享数据库和顶层、中间层代理的接口。如用户代理记录某个用户的所有信息,如他/她的标识、对不同对象的不同访问权限等。
DM3的安全技术
----DM3的安全体系结构
----可信数据库管理系统的体系结构分为两类,第一类是 TCB子集DBMS结构,用DBMS以外的可信计算基(TCB)实现对数据库对象的强制访问控制,此时多级关系被分解成单级或系统级片断,多级安全DBMS将这些片断存在物理上分离的单级对象(如文件、段或物理上分离的硬件设备)中,再对这些分离的单级或系统级对象的访问实行强制访问控制。第二类是可信主体DBMS,由DBMS本身实现强制访问控制的一些或全部责任。
----DM3采用可信主体DBMS体系结构,由数据库管理系统实现强制访问控制的功能,它要求 *** 作系统能提供控制,防止绕过DBMS直接对数据库的访问,将概念上的多级数据库存于一个或多个 *** 作系统对象(如文件)中。由多级安全DBMS 给每个数据库对象进行标记,这些数据库对象对 *** 作系统是不可见的, *** 作系统不能直接对数据库对象进行访问,多级安全DBMS有跨 *** 作系统安全级范围 *** 作的特权。
----三权分立的安全机制
----DM3在安全管理体制方面与其他数据库管理系统不同。绝大多数数据库管理系统采用的是由数据库管理员DBA负责系统的全部管理工作(包括安全管理)。显然,这种管理机制使得DBA的权力过于集中,存在安全隐患。DM3在安全管理方面采用了三权分立的安全管理体制,把系统管理员分为数据库管理员DBA,数据库安全管理员SSO,数据库审计员Auditor三类。DBA负责自主存取控制及系统维护与管理方面的工作,SSO负责强制存取控制,Auditor负责系统的审计。这种管理体制真正做到三权分立,各行其责,相互制约,可靠地保证了数据库的安全性。
----自主访问与强制访问控制
----自主访问控制就是对主体(用户)访问客体(数据库对象) 的 *** 作权限实施控制,目的就是要保证用户只能存取他有权存取的数据,当用户拥有数据库对象上的某些 *** 作权限及相应的转授权时,可以自由地把这些 *** 作权限部分或全部转授给其他用户,从而使得其他用户也获得在这些数据库对象上的使用权限。DM3系统根据用户的权限执行自主访问控制。规定用户权限要考虑三个因素:用户、数据对象和 *** 作。所有的用户权限都要记录在系统表(数据字典)中,对用户存取权限的定义称为授权,当用户提出 *** 作请求时,DM3根据授权情况进行检查,以决定是执行 *** 作还是拒绝执行,从而保证用户能够存取他有权存取的数据。
----所谓强制访问控制是通过给主体(用户)和客体(数据对象) 指定安全级,并根据安全级匹配规则来确定某主体是否被准许访问某客体。DM3系统根据用户的 *** 作请求、安全级和客体的安全级执行强制访问控制,保证用户只能访问与其安全级相匹配的数据。强制访问控制必须事先定义主体和客体的安全级,所有主体和客体的安全级都要记录在系统中。当用户提出 *** 作请求时,DM3首先检查用户对所 *** 作的数据对象是否具有相应的 *** 作权限,然后检查该用户的 *** 作请求及安全级与所 *** 作的数据对象的安全级是否匹配,当两个条件都满足时,DM3才执行用户的 *** 作请求,否则拒绝执行。
----隐通道分析技术
----尽管自主和强制访问控制限制了系统中的信息只能由低安全级主体向高安全级主体流动,低安全级主体仍然可以通过其他方式向高安全级主体发送信息,隐通道就是其中的一种。
----隐通道是系统的一个用户以违反系统安全策略的方式传送信息给另一用户的机制。它往往通过系统原本不用于数据传送的系统资源来传送信息,并且这种通信方式往往不被系统的访问控制机制所检测和控制。隐通道包括存储隐通道与定时隐通道。隐通道的发送者和接收者之间事先约定好某种编码方式,并使用系统正常 *** 作。如果隐通道的发送者直接或间接地修改资源属性,另一主体(接收者)直接或间接地读取这个属性的变化时,这个隐通道就是存储隐通道。如果一个隐通道是一个主体,通过调整系统资源(如CPU)的使用时间影响了另一个主体实际的响应时间,从而发送信息给另一主体时,这个隐通道是定时隐通道。尽管高安全级的用户有可能利用隐通道传送信息给低安全级的用户,但隐通道的主要潜在威胁是它有可能被特洛伊木马所利用。
----根据美国《可信计算机系统评估标准》(即TCSEC)的要求,对B2安全级及以上的系统必须进行隐通道分析,并估算隐通道的带宽,根据带宽决定对隐通道的处理(容忍存在、消除或审计)。根据这一要求,我们对DM3进行了隐通道分析,并设计出辅助识别工具,目前DM3中的存储隐通道包括客体属性通道、客体存在通道和共享资源通道(如资源耗尽通道)等。对一些定时隐通道,如利用并发控制上锁机制(在 Oracle等其他数据库管理系统中也存在)的隐通道,采取了消除措施。
您好,数据库的安全管理问题归结为对数据库安全策略、数据库安全技术、数据库安全管理流程以及数据库安全审计等方面的管理问题。数据库安全策略方面,要明确数据库安全的目标,制定安全策略,确定安全管理的责任,确定安全管理的范围,确定安全管理的机制,确定安全管理的方法,确定安全管理的标准,确定安全管理的措施,确定安全管理的技术支持,确定安全管理的审计机制,确定安全管理的记录机制,确定安全管理的绩效考核机制,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工,确定安全管理的计划,确定安全管理的经费,确定安全管理的组织机构,确定安全管理的职责分工
以上就是关于C/S的工作原理_cs的工作原理全部的内容,包括:C/S的工作原理_cs的工作原理、数据库自主安全防护如何实现 数据库自主安全防护技术介绍【详解】、高新技术领域的电子信息等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)