数据安全论文4篇
【路引】由阿拉题库网美丽的网友为您整理分享的“数据安全论文4篇”文档资料,以供您学习参考之用,希望这篇范文对您有所帮助,喜欢就复制下载支持吧!
数据安全【第一篇】
在今天的威胁世界中,最引人注目的便是数据安全问题。从商业数据到个人隐私,一桩一桩另人震惊的数据泄露事件让我们明白,一旦企业在数据资产保护问题上缺乏前瞻性的部署,那么事故发生后的亡羊补牢只能是付出较之高昂成千上万倍的代价。随着防护意识的提升,企业将数据泄露防护列入企业信息安全的刚性需求。但是如何寻找适合企业业务发展的数据泄露防护解决方案却并不是一件容易的事情,况且在云计算、BYOD和社交网络等新IT应用的逼近下,企业现有的安全防线正面临着前所未有的冲击。如何能够保障企业迅速地适应和利用新的IT技术来发展和提升企业的竞争力,同时保护企业远离各种新兴的攻击和严峻的数据泄露风险,就是企业给数据泄露防护解决方案供应商提出的命题。
作为全球数据安全领域的领导厂商,Websense一直致力于提供可同时保护企业信息安全和促进其业务运行的安全解决方案。Websense数据安全防护解决方案正是因为不仅能帮助企业遵守众多法规要求,回避违规风险,还能允许基于业务用途的数据访问,和保护数据不被滥用,而备受业界赞誉。通过感知、分类并管控数据,保护基于各种渠道(包括应用程序、Web、电子邮件、移动设备、云等)的数据共享,Websense能够提供给企业一个完全“看得见”的数据安全,从而帮助企业灵活地针对各种应用层面实施相对应的数据安全策略。
Websense数据安全防护解决方案包括了四个集成模块。四个模块在统一的策略框架下进行管理,提供了对网络和终端数据泄漏的可视性和控制能力以及横跨所有企业存储系统的全面数据发现功能。其中Websense数据发现(Data Discover)可发现并分类分布于整个企业的数据;Websense数据监控(Data Monitor)能够监控“那些人”正在以“那种方式”使用哪些数据;Websense数据保护(Data Protect)可映射整个业务流程,执行基于策略的自动化控制,能够拦截、隔离、审计、记录及通知用户违规情况;Websense数据端点(Data Endpoint)则采用集成化管理和报告,将数据安全防护扩展到端点上。
总体而言,Websense数据安全解决方案是当前唯一可提供内容、上下文和目的地感知的数据泄露防护(DLP)解决方案,它允许管理员对“那些人可从哪里以哪种方式发送哪些信息”进行管理和控制。而Websense数据安全解决方案的高级策略框架则能够智能映射数据策略到企业的整个的业务流程中,并实现对网络和端点的全方位保护。也就是说,使用Websense数据安全防护解决方案后企业便获得了对于数据安全的最大化可视性和控制能力。
Websense中国区技术经理陈纲表示:“了解哪些是关键数据,并确保其的安全,对于当今企业是至关重要的。从各类数据泄露相关的报道中我们可以看到,今天的IT 基础架构系统十分复杂,而社交网络和BYOD现象的风靡正使得企业对网络的管理更加困难,同时,当前各种针对性攻击和高级持续威胁也变得愈加老练。种种因素构成的现代威胁局势让全球企业都有山雨欲来风满楼的危机感,在不乏能人高手的黑客群体中,总有强者会最终撬开企业的安全大门,所以我们当企业安全防护一旦被攻破时,我必须至少确保关键信息不被拿走。”
数据安全【第二篇】
在国家信息安全受到严重威胁的大背景下,9月10日“数据安全标准工作组第一次研讨会”在北京召开,来自国内众多知名企业和高校的三十多位信息安全领域专业人士从全国各地赶往这里。
工业和信息化部电子工业标准化研究院(以下简称标准院)信息安全研究中心副主任范科峰介绍说:“本次关于数据安全标准的研讨会是在全国信息安全标准化技术委员会的指导下开展的。之所以把国内相关领域的厂商和专家聚到一起,就是希望能够兼顾理论和市场的要求,为下一步开展数据安全标准的制定工作打好基础。”
中国软件评测中心常务副主任刘法旺也表示,信息网络化既为全球信息资源共享创造了条件,也让国家间的信息入侵几乎失去了设防的“边境”。随着移动互联网的快速发展,如何打造大数据时代安全的信息环境,已经成为各国重点关注和深入探讨的问题。”
事实上,大部分的关键网络基础设施通常都为企业所有,在预防和发现网络安全威胁、及时采取措施应对网络安全事件等方面,企业拥有政府所不能及的天然优势。因此,政企间高度战略合作的模式对维护网络安全意义重大,长期以来美国都是采用的这种模式。
赛迪智库信息安全研究所张莉指出:“在维护网络安全问题上,美国政府非常重视与私营企业的合作。相比之下,我国这方面起步较晚、积累较少,而且在推动过程中遇到了很多问题和阻力。”
美国在维护网络安全方面的成绩是有目共睹的,因此标准院在前期调研阶段也借鉴政企合作的做法,在研讨会上邀请了众多数据安全领域的企业代表前来参加。
国产企业的美好时代
会上,数据安全领域的众多参会企业代表轮番登场演讲,他们一边介绍自己在数据安全方面所做的工作,一边讲述自己在市场中遇到的各种尴尬,并对数据安全的标准制定工作提出了自己的意见和建议。
作为国内数据安全领域起步较早的企业,北京亿赛通科技发展有限责任公司(以下称亿赛通)经过十多年的市场积累,如今已在数据加密服务行业占据了重要地位。
亿赛通的首席咨询顾问王维宏告诉《中国经济和信息化》:“像亿赛通这样的国产数据加密企业,成长过程是非常艰难的。对于国产数据安全企业而言,目前是不可多得的好机遇,尤其在斯诺登曝光‘棱镜门’事件之后,全球的信息安全问题被引到了风口浪尖上,越来越多的国内客户开始清晰地认识到自身的安全需求。在这样的产业环境下,企业的发展终于变得顺畅起来。”
回顾数据安全产业环境十多年间的变化,浪潮、曙光、华为等不少参会企业代表都颇为感概。
诚如王维宏所言,十年前国内的大多数企业对于自身的数据安全并不重视,这个领域的企业要面临的首要生存考验就是如何有效地刺激客户的数据安全需求。缺乏用户需求,使整个市场环境不容乐观,这样的形势直到2009年后才开始慢慢发生变化。
如今,随着国家对于信息安全重视程度的提高,“自主可控”逐渐成为信息安全的衡量标杆,基于这一要求宏观政策的天秤开始向国产数据安全企业倾斜。在信息安全领域,美好时代正悄然来临,越来越多自主创新的国产企业得到了国家部委的大力支持。
与亿赛通相似,北京明朝万达科技有限公司(以下称明朝万达)也是以数据加密服务为主要业务的一家国内企业。
明朝万达的执行董事兼研发副总裁喻波告诉记者:“中国近年来高速发展的经济为信息安全和数据安全建设提供了充分的经济基础,再加上宏观政策和国家部委的支持,这些条件对于国产企业未来的发展和我国数据安全产业生态的完善都是非常有利的。”
信息安全≠数据安全
对于大多数人来说,日常生活中信息和数据的概念通常是混淆的。因此,信息安全和数据安全也自然而然地被混在一起。标准院的叶润国博士在研讨会上指出:“数据安全虽然与信息安全联系非常紧密,但事实上,两者的概念并不相同。”
数据安全是专指对电子格式信息进行的安全保护。如果在未授权的情况下,对数据进行的篡改、毁坏和泄露,则被认为是对数据安全造成了威胁。
信息的高度共享既带来了便利,也制造了麻烦,在云计算、大数据技术已经相当普及的今天,这对矛盾越发明显。与西方发达国家相比,我国在云计算、物联网、大数据、移动互联网等新兴信息技术方面,信息安全保障还相对落后。
赛迪智库信息安全研究所冯伟认为:“积极完善安全标准体系是我国应对数据安全的重要手段。”在日益严峻的信息安全挑战面前,数据安全标准的制定工作已是迫在眉睫。
一方面,数据作为电子格式化的信息已经成为政府、企业、机构和个人的重要资产,是黑客和监听机构最希望获取的信息,所以从这个角度来看,数据安全可以说是信息安全的最后一道防线。另一方面,虽然在传统的数据应用环境中,我们已经有了一些应对数据安全问题的成熟机制,但是大数据时代来临致使传统数据应用环境发生了翻天覆地的变化,原先的标准和解决方案已经不能满足需求。
通过与叶润国的交谈,记者了解到,虽然数据安全标准是基于信息安全背景制定好的,但是数据安全标准一旦制定,其适用范围将突破IT行业的限制,推广到各个行业中来。
叶润国说:“目前市场上已经有一些厂商在做数据安全的业务了,但并非所有厂商都能提供满足数据安全合规性要求的产品。数据安全标准一旦制定并推广开来,无论是国产企业还是国外企业,都必须按照这个标准来规范产品,并在保障用户隐私方面增加相应投入,这些工作的开展很可能会对行业内现有的企业产生较大的影响。但是,从长远发展的角度来看,制定并实施数据安全标准不仅有利于良性产业生态圈的建立,而且对于国家的信息安全战略的实施也起到极为重要的作用。”
信息安全日益被重视,国产数据安全企业无疑遇到了一个发展良机。但是数据安全企业仍有诸多障碍需要克服,数据安全标准的缺失便是其中之一。
由于缺乏统一的数据安全标准,企业所有的数据分类分级工作通常只能单纯凭借长期积累的实践经验。对于同行业甚至是跨行业的企业而言,并没有太多可以大量复制使用的模式和经验。
其实,对于数据安全领域的企业而言,无论针对个人用户,还是服务于企业客户,要在激烈的市场竞争中站稳脚跟就必须掌握平衡的艺术――“安全性”和“用户体验”必须兼顾。然而,没有统一的数据安全标准,企业在取舍之间的“度”只能依靠直觉来猜测,试错的“机会”在无形中增加许多。
一副黑框眼镜,配上有点发福的双下巴,他就是奇虎360科技有限公司(以下简称360)副总裁首席隐私官谭晓生。演讲时,他向其他参会人员分享了自己在数据安全领域多年摸爬滚打积累下来的“江湖经验”。
谭晓生认为:“数据加密的确是保护数据安全的一种方法,但是文件加密是有成本的。这个成本不光是金钱上的成本,还包括技术门槛提高所带来的用户体验成本。在互联网环境中,这种传统的数据加密模式可能存在很多的问题。”
他拿360密盘作为例子,坦言道:“密盘可以说是我们之前开发的一款很失败的产品。当我们放量到50万用户的时候,我们基本每天都可以接到50多个用户的投诉。”万分之一的投诉率引起了360的高度重视。因为根据以往的经验,平均每一个投诉用户背后往往对应着100个遇到同样问题的人。万分之一的投诉率,实际上意味着每100个用户里就会有一个人遇到了类似的问题。
谭晓生继续介绍:“我们把所有投诉用户的问题归结起来分析发现,问题出在技术门槛提高后用户体验跟不上。几乎所有的投诉用户都是因为自己弄丢了密钥,然后再向我们这里索要的。要知道,这款产品在设计之初为了安全性的考虑已经做了技术处理,所有的用户‘一人一密’,技术人员是根本就拿不到用户的密钥。”
数据安全【第三篇】
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(iso)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于b0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
审计人员可以查询、检查审计日志以形成审计报告。检查的内容包括:审计事件类型;事件安全级;引用事件的用户;报警;指定时间内的事件以及恶意用户表等,上述内容可结合使用。
数据安全【第四篇】
关键词:Web数据库 威胁 攻击 安全防范
1、前言
基于B/S架构的Web数据库管理系统的安全性问题不仅与数据库的自身安全有着紧密联系,也与互联网的开放型网络有着密切的联系。互联网本身就是一个不可信网络,在互联网上充斥着各种安全威胁。而数据库安全也是一个复杂的应用问题,数据库管理员需要采用多种策略保证数据库的安全。Web数据库管理系统作为数据库管理系统的一种实际应用,安全问题是关系到整个管理系统的完整性和保密性以及可用性的关键因素。
2、常见的安全威胁和攻击
计算机网络发展到今天,已经发生了翻天覆地的变化。黑客攻击的方式从开始的单一式攻击已经发展到几乎覆盖所有的操作系统和信息系统,黑客在网络上活动的频率也在增加。他们既可以利用信息系统自身的漏洞来发动攻击,也可以利用强行的进攻方式发动攻击,导致服务瘫痪,文件损坏等。
从黑客的攻击方式上可以把网络安全威胁分为如下几种:窃取机密攻击、非法访问、恶意攻击、计算机病毒、不良信息资源和信息战等。常见的攻击方式分为缓冲区溢出攻击、硬件设备破坏、网页篡改等。通过向程序的缓冲区写入超过长度的内容造成溢出,从而破坏程序的堆栈,使程序转入其他的位置执行未知指令,达到攻击的目的。这种攻击大多可以使程序运行失败或者系统崩溃重启,严重的话可以通过执行非授权指令取得系统特权执行非法操作。
3、Web数据库安全技术分析
的安全防范
JavaScript是Netscape公司设计的一系列HTML语言扩展,它增强了HTML语言的动态交互能力,利用自身优势把一些处理操作转移在客户浏览器中,减轻了服务器的负担。它基于对象和事件驱动。通过嵌入或者调入到HTML实现对浏览器的控制,如打开和关闭窗口、操作表格元素、调整浏览器设置等等。它具有以下几个特点:
(1)基于对象:JavaScript是一种基于对象的语言,带有面向对象的特性。尽管与C++、Java、C#这样成熟的面向对象语言相比,JavaScript的功能要弱一些,但对于它的预期用途而言,JavaScript的功能已经足够大了。自身可以运用自带的对象操作浏览器,从而实现与HTML语言的动态交互,让网页更生动多变。
(2)简单性:JavaScript是解释性脚本语言,它的开发工具多种多样,采用小程序段实现编程。它的基本结构与C、C++、Java等主流语言类似,学习容易,而且不需要编译。程序运行时逐行解释,因此调试JavaScript不是很容易。它的数据类型定义是弱类型,并未使用严格的数据定义方式,由运行时决定数据类型。
(3)动态性:JavaScript是动态的,是因为它可以直接对用户做出的动作进行反应,而不需要经过服务程序。用户对页面或者窗口做出某些操作(鼠标点击按钮,拖动标题栏等)之后,就会触发一个“事件响应”,通过它调用预先定义的脚本函数,从而达到操作的目的。
(4)相对安全性:JavaScript是一种相对安全的语言,它不允许修改本地的硬盘,不允许对网络文档进行修改和删除,只能通过浏览器实现信息浏览或动态交互,从而有效地防止数据的丢失。
(5)跨平台性:JavaScript依赖于浏览器,目前主流的浏览器都会对它进行支持,尽管有些对象在各个浏览器上稍有不同。JavaScript只需要一个文本编辑器就可以进行开发,无需Web服务器,可以利用自己的电脑进行处理。
同时JavaScript又是一门有争议的语言。虽然它是很简洁的脚本语言,可是安全问题不容小觑。JavaScript能够获得用户本地磁盘和网络盘上的目录列表。这既代表了信息泄露和隐私侵犯,又代表了安全风险,可以通过取得机器的相关组织信息从而设计针对机器的入侵方法并进行攻击破坏。它又能监视用户在某个时间段内访问的网页,捕捉URL并将它们上传到Internet上的指定地点,虽然这个过程需要用户的交互,不过欺骗可以伪装成合法的方式进行。用户也可以被这种手段欺骗,从而把本地重要的数据文件上传到指定主机。如果系统主要是依赖口令文件进行访问的话,这将会面临很大的安全风险。
的安全防范
Cookies是Netscape公司开发的一种机制,用来改善HTTP的无状态性。它是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或者从客户端的硬盘读取数据的一种技术。Cookies是一段很小的信息,通常只有一个短短的章节标记那么大。它是在第一次浏览网站时Web服务器送到用户浏览器,然后保存在客户端的硬盘里。它可以记录用户在网站上输入的ID、密码及其访问历史、停留时间等信息。当你再次来到该网站时,网站通过读取Cookies,自动完成个人验证身份的输入操作,达到方便访问的效果。从本质上讲,它可以看作是你的身份证。
Cookies不能执行代码,也不会传送病毒,更不能窃取计算机里面的信息,它只能由提供它的服务器来读取。保存的信息片断以“名-值”对的形式储存,一个“名-值”对仅仅是一条命名的数据。Cookies中的内容涉及众多敏感信息,所以大多数Web服务器都会对Cookies的内容进行加密之后发送给用户,之后读取时Web服务器也有相应的解密程序。因此一般用户看来只是一些毫无意义的字母数字组合,只有服务器才知道它们真正的含义。
数据库安全及其防范
当今数据库管理系统大多都是关系型数据库管理系统,如SQLServer、Oracle、IBMDB2、Sybase等。虽然他们的命令和操作等具体细节上存在某些差异,可是大概的原理与实现其安全性的技术存在共同的特性。
数据库安全控制是指为保证数据库安全而采取的数据库安全防护措施。数据库的安全策略是涉及信息的高级指导,这些策略根据用户需要、安装环境、建立规则和法律等方面的限制来制定。
数据库系统的安全需求分为三个方面,数据库的完整性、保密性和可用性。数据库的完整性又分为物理完整性和逻辑完整性。物理完整性是指数据库不受到物理故障的影响,并在灾难性毁坏时可能进行重建和恢复原有的数据库。而逻辑完整性是保证数据库在语义与操作完整性,即要保证数据存取时和并发操作时满足完整性约束;保密性是指数据库中的数据不允许未经授权的用户存取数据,访问数据库的数据要进行身份认证,并只能访问所允许访问的数据,同时,还要对用户的访问进行跟踪和审计,还要防止认证后的用户通过访问低密级的数据推理得到高密级的数据;数据库的可用性是指既要保证授权用户可以正常对数据库中的数据进行各种授权操作,又要保证效率上不受太大的影响。这三个方面用通俗的语言来描述就是数据要正确,用户只能存取应该存取的数据。
数据库安全还经常受到其它威胁,比如推理通道和隐秘通道的威胁。推理通道就是从已知的信息推出新的信息,当用户能够在低安全级别下进行数据拼凑从而推导出在高安全级别保护下的数据时,推理功能便构成了对数据库的严重威胁。隐秘通道是指在实施强制访问控制的多级安全系统中,保密信息被一些高安全级别用户通过非常规手段泄露给无权访问的,较低安全级别的用户。推理通道和隐蔽通道是数据库中两种威胁非常大的信息泄露途径。
数据库的访问方式也会产生一些安全威胁。Web数据库的安全还与Web、HTTP协议安全、应用程序安全、代码安全等有关。Web数据库由于代码不规范或者程序设计得不严格而经常遭致SQL注入攻击等。
4、结语
由于Web数据库安全涉及的技术范围包括网络安全和数据库安全等技术,本文特针对几个Web数据库客户端与服务器端的常用技术进行探讨,指出存在的危险以及缺陷,并且给出了这些安全问题的一些解决方法,使得Web数据库搭载平台更安全,这些细微之处如果处理不当有时会使整个系统遭受攻击。