企业数据库的安全保护

关键词： 实时性 数据库系统 引言

企业数据库的安全保护（精选十篇）

企业数据库的安全保护 篇1

随着计算机技术的发展, 数据库系统已进入到各个行业领域成为信息化综合管理中不可或缺的体系。同时企业的各种应用系统之间形成了数据传输、共享, 达到了数据有效交换的一致性和实时性;而依托于网络的信息系统规模也越来越大, 复杂程度愈来愈高, 所存储的关键数据也在逐渐增多, 因此保障数据安全已成为企业的核心问题。

1. 数据库安全管理

1.1 数据库授权和验证

系统的安全性是个核心的问题, 因为每时每刻都会有新的攻击出现。Windows 2003 Server是一个“默认安全”的OS系统, 这个服务器锁定在默认状态下, 你必须分别激活每一个你要访问到的服务。因此, 对攻击者来说要登陆系统绝非易事。同样的策略也应用在SQLServer2005上:整个数据库服务器被锁定在默认状态下, 每项服务和特性都要在明确的被激活才能获得。

SQL服务器2005的一个新功能就是, 当使用Windows验证模式时, 它可以在验证过程中管理密码和退出策略, 还可以管理帐户的权限, 比如增强式密码和数据有效期。

1.2 密码策略和加密

当安装在Windows Server 2003系统上的时候, SQL Server 2005可以采用操作系统的密码策略登录。它转换为更加安全的密码, 减少了发生在数据库服务器上的暴力攻击的机会。SQLServer2005不但支持密码复杂度规则, 还支持密码过期策略。

1.3 加密

SQLServer2005增添了数据加密功能, 从而避免了在服务器外部作COM调用或者是在数据送服务器之前在客户端应用中进行加密的过程, 因此增加了数据保护的强度。SQLServer2005通过使用层次结构加密, 为应用程序中敏感数据的加密提供了灵活性, 因此不再需要考虑加密存储库的开销。其每一层都由非对称密钥、对称密钥以及使用证书的组合来保护下层结构。

2. 企业数据安全备份系统

2.1 现有备份系统存在的缺陷

在LAN环境中备份大量数据会占用网络资源, 产生带宽的瓶颈, 导致备份速度缓慢, 拖累网络效率。手动备份模式, 过分依赖系统管理员的操作, 这样很受人为因素的干扰, 影响工作效率。光盘存储, 需要标记各种信息, 容易出错且效率低下。

2.2 新备份系统应用及技术特点

本单位由SQLServer2005数据库承载监控数据和各种资源数据。由于存储各种日常工作信息和重要数据, 因此建立合适, 安全的的数据备份系统是当务之急。根据各系统数据设备的特点, 单位数据库备份系统将采用先进的基于IP-SAN技术, 实现对重点数据安全保密的目标。利用IP-SAN的互连协议, 可将主数据中心, SAN中的信息通过现有的TCP/IP网络, 远程复制到异地备份中心。当中心存储的数据量过大时, 还可以利用快照技术将其复制到磁盘阵列设备中。具体方案如下:

(1) 硬件端:

一台HP刀片服务器作为主备份服务器:负责整个备份系统的管理和监控, 包括备份策略的制订、备份数据保存周期的定义等。

HP机架服务器作为介质服务器:介质服务器可以直接写入磁盘阵列, 提供客户端的本地备份目的地。在此方案中, 可将本单位的两个分院各设立两台介质服务器, 其中总院的介质服务器同时又充当了主备份服务器的角色。

备份客户端:采用数据集中存储的备份策略, 在总院和分院两地分别建立本地集中备份, 各有两台服务器充当介质服务器。两地的备份任务和策略调度统一由总院主备份服务器担当, 通过主备份服务器对整个数据库和应用系统的备份工作进行集中的管理、监控。整个方案中, 分院的服务器充当介质服务器, 总院的服务器既充当介质服务器, 又充当主备份服务器的集中管理功能, 其他网络上需要的备份机器充当客户端。

存储设备:使用两台磁盘阵列用分别连接到总院和分院的一台介质服务器上, 充当存储设备。

(2) 软件端:

出于满足系统的集中管理与安全需要, 减少系统及数据库维护人员的压力, 并且要求备份系统具有良好的扩展性, 能够满足长远存储规划, 同时要求两地具备互为异地备份功能, 最大限度地保证备份数据的可靠性和安全性。决定在以上设备系统建立方案前提下搭配赛门铁克公司出品的VERITAS Netbackup软件来完成异地备份工作。

2.3 本单位数据库备份系统的特点:

(1) 系统的扩展性

由于采用基于IP的存储方式, 只要联入局域网的计算机都可以使用存储系统里的存储空间, 使得整个存储系统具有高扩展性。

(2) 系统的性价比

采用i SCSI标准, 只要客户端有网卡, 连接网线登入局域网就可以使用存储系统中的存储空间, 实现了运行低成本的IP-SAN。

(3) 系统的可靠性

主院和分院分别配备两台高性能服务器, 采用了双机备份工作, 从而保证整个系统的高可靠性和稳定性, 实现了关键信息传递不中断。一旦发生重大系统错误时, 也能快速恢复到相关数据。

(4) 系统的方便性

通过备份管理软件, 可以实现图形化对设备进行操作, 方便易懂, 易于管理, 并可快速地归档检索与恢复。此外还能够进行无人值守的在线备份, 提高效率降低人为失误。

2.4 维护系统网络安全

建立了基于SAN的网络备份系统, 解决了数据的存储安全问题, 但要如何解决网络漏洞, 病毒和人为的破坏攻击?以下几点作为参考。

(1) 对网络传输的数据包进行加密

使用IPSec Tunnel通讯加密手段。它会将信息包的数据部分和文件头一并进行加密, 在不要求修改已配备好的设备和应用的前提下, 让网络黑客无法看到实际的通讯源地址和目的地址。同时在接收端设置一台支持IPsec协议的解密设备, 对封装的信息包进行解密后即可正常读取。

(2) 合理利用访问控制表

系统管理员可通过设置访问控制表, 限制IP-SAN系统中数据文件对不同访问者的开放权限。这样可以更条理性, 明确性的管理数据, 防止非法途径获取重要信息。

(3) 保护好管理界面

为了阻止非法入侵, 用户应该将管理界面隔离在安全的局域网内, 设置复杂的登录密码来保护管理员帐户, 并且需要确认网络存储设备设定的默认后门帐户并非使用常见的匿名登录密码。

3. 结束语

数据信息安全对企业发展来说至关重要, SQLServer2005提供的强有力的安全体系, 能够将安全性管理全面渗入企业中, 保障了数据正常运行, 同时数据库安全备份系统的建立也构成了信息安全的最后一道屏障, 为企业发展注入坚强的后盾力量。以上论述仅供大家讨论和学习。

参考文献

[1]飞狼, 李春萌, 杨涵.SQL Server2005数据库管理与应用指南[M].北京人民邮电出版社.2007.

企业数据库的安全保护 篇2

管理工作组信息文件

对于数据库而言，由于其中保存大量的数据，因此如何提高其安全性是一个相当重要的问题。Access 2000有一个默认名为System.mdw的工作组信息文件，该文件存放了Access数据库的全部安全信息，包括用户账号和组账号。

需要注意的是，原System.mdw工作组信息文件是不安全的。因为在安装Access的同时，安装程序自动将默认的工作组定义在其创建的工作组信息文件中。在用户还没有使用“工具组管理器”指定其他的工作组信息文件之前，再次启动Access时，都使用默认的工作组信息文件。在工作组信息文件中，用户可以存储所设置的安全账号。

因此，在设置安全账号之前，用户应该选择好存储这些账号的Access工作组信息文件，并且必须确定所选择的工作组信息文件是使用惟一的工作组标识符(WID)创建的。默认状态下原System.mdw工作组信息文件之所以不安全，是因为它的工作组标识符(WID)是空白的，任何人都可以获得该工作组信息文件定义的管理员账号，具有访问数据库的各种权限，这对数据库来讲是很不安全的。所以用户可以使用位于Access所在目录中的“工作组管理员”程序(Workgadm.exe)，来对工作组信息文件进行管理。

组和用户管理

数据库管理员有权增加、删除组和用户。最好把开发同一个项目的成员设计成为一个组。Access将用户归类到各种组中，所以数据库安全管理可以得到极大的简化，也就是为组而不是为单个用户指定权限，然后通过将用户添加到组中或从组中删除的方式来更改单个用户的权限。对于处于同组的用户授予新权限，只要执行一个操作，即可对该组账号授予新的权限。为了数据库的安全，对不再使用数据库的用户和组，应做到及时删除。

设置管理员口令

在使用新的工作组信息文件后，可以设置管理员口令，以防止他人进入你的数据库系统。设置管理员口令按下列步骤进行。

1、单击“工具/安全/用户与组账号”，调出用户与组账号“窗口”

2、单击“更改登录密码”标签，调出更改密码的对话框。对话框中要求输入旧密码。第一次输入时，由于管理员尚无密码，故在该框中保留空白，不必输入。在一新密码和验证框内两次输入新密码，单击[确定]按钮。

重新启动Access会出现“登录”框，要求输入名称及密码，在你分别输入后，单击[确定]按钮即可。需要注意的是，密码区分大小写字母，应牢记密码，否则将无法进入数据库，

如要更改用户的密码，则在登录对话框内输入用户名，如果该用户名尚无密码，故在第一次进入数据库时，无需提供密码；如果已设有密码，需提供原密码。打开数据库，按照上述的步骤设置用户的新密码，下次启动数据库时，使用更改后的用户名称登录时，需提供更改后的新密码才能打开数据库。

数据库的权限

在Access 2000中，用户所具有的数据库访问权限有两种类型：显式权限和隐式权限。显式权限是指直接授予某一用户账号的权限，这是该用户账号专用的，与其他用户无关。隐式权限是指授予组账号的权限，即用户加入到组中的同时被赋予的组的权限。如果一个用户同时具有上述两种权限，当该用户对设置了安全性的数据库进行访问时，那么，他所具有的权限就是两种权限的交集。

在Access数据库中，对组和用户访问数据库权限的设置工作，只能通过管理员完成。设置的权限包括：“打开/运行”，读取设计、修改设计、管理、读取数据，更新数据、插入数据和删除数据。

设置和修改用户权限

以管理员身份登录，启动数据库。单击“工具/安全/用户与组的权限”，引出“用户与组的权限”窗口，该窗口中间有“用户”和“组”两个单选按钮，分别用来更改用户或组的权限。组的权限包含了用户的权限，如果组的权限允许更新数据，则用户有权更新数据，不管用户的权限中是否选中该项许可权。在对象类型中选择设置权限的对象，包括表、查询、窗体、报表、宏和模块。在对象名称框内列出了对象的全部内容。例如，如果对象的类型是表，则列出全部表的名称，可以选择一个、多个或全部表。设置权限只要单击窗口下部的复选按钮(检查框)即可，选择完毕后，单击[确定]按钮。通过修改组的权限，一个组的全部用户便具有相同的权限。例如要撤消用户组的修改设计权限，那么属于用户组的用户进入数据库后，就无权修改设计。

加密数据库

安全保护措施越多，数据库就越安全。Access会根据用户的设置对数据库进行加密处理。如果用户新数据库存放于原来的位置，并和原来的数据库同名的话，那么Access会自动用加密后的数据库将原来的数据库替换掉。如果由于磁盘空间不足等原因而造成无法存储加密后的数据库，Access将保留原有的数据库。

加密数据库按以下步骤

进行：

1、使用相应的工作组信息文件启动Access，关闭所有打开的数据库并保证网上所有用户不再使用该数据库。

2、单击“工具/安全/加密/解密数据库”，此时出现“加密解密”对话框。

3、在对话框中，用户可以指定需加密的数据库，此数据库同时必须是一个设置安全机制的数据库。然后单击[确定]按钮。出现“数据库加密后另存为”对话框。

4、在该对话框中，用户需要指定加密后的数据库名称，以及有效数据库的位置，然后单击[确定]按钮。

最后需要说明的是，Access 2000是对数据库进行操作的应用程序，因此需要有较好的配置。安装Access 2000的用户，需要的硬件配置如下：

1、Pentium 200以上。

2、2GB以上硬盘。

3、不少于32MB内存。

4、光驱一个。

数据库的安全性保护 篇3

关键词 数据库 安全性 安全保护 网络安全

中图分类号：TP309.2 文献标识码：A

数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。安全性问题不是数据库系统所独有的，所有的计算机系统都有这个问题。只是在数据库系统中大量数据集中存放，而且为许多最终用户直接共享，从而使安全性问题更为突出。系统安全保护措施是否有效是数据库系统的主要技术指标之一。数据库的安全性和计算机系统的安全性，包括计算机硬件、操作系统、网络系统等的安全性，是紧密联系、相互支持的。

在一般的计算机系统中，安全措施是一级一级层层设置的。在下图所示的安全模型中，用户要求进入计算机系统时，系统首先根据输入的用户标识进行用户身份鉴定，只有合法的用户才准进入计算机系统。对已进入系统的用户，DBMS还要进行存取控制，只允许用户执行合法操作。

数据库安全性所关心的主要是DBMS的存取控制机制。数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库权限，同时令所有未被授权的人员无法接近数据。这主要通过数据库系统的存取控制机制实现。存取控制机制主要包括：一、定义用户权限，并将用户权限登记到数据字典中；二、合法权限检查。

我们还可以为不同的用户定义不同的视图，把数据对象限制在一定的范围内，即通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。视图机制间接地实现支持存取谓词的用户权限定义。

为了使DBMS达到一定的安全级别，还需要在其他方面提供相应的支持，“审计”功能就是DBMS达到C2以上安全级别比不可少的一项指标。审计常常是很费时间和空间的，所以DBMS往往都将其作为可选特征，允许DBA根据应用对安全性的要求，灵活地打开或关闭审计功能。审计功能一般主要用于安全性要求较高的部门。

既然造成数据库不安全的一个主要原因是因为原始数据以可读（明文）形式存放在数据库中。一旦某一用户非法获取用户名和口令，或者绕过操作系统缄DBMs）的控制入侵到系统中，可以访问和修改数据库中的信息。

另外，数据存储介质（如磁盘、光盘、磁带等）丢失也会导致数据库中的数据泄漏。如果我们对数据库中的数据（明文）进行加密处理，那么上述问题就可以得到解决。即使某一用户非法入侵到系统中或者盗取了数据存储介质，没有相应的解密密钥，他仍然不能得到所需数据。所以，数据库的加密处理对于保证数据的安全性具有十分重要的意义。

根据数据库数据的特点，一个数据库表是由x条记录组成的，而每一条记录又由Y个字段（属性）组成，一共有x€譟个数据。第i个记录中的字段（属性）j的明文可以表示这样：Dij，其中0≤i≤x，0≤j≤Y；第i个记录中第i个字段的密文可以这样表示：xij：E（K，D 其中0≤i≤x，0≤j≤Y；E为某种对称密码算法，K为该算法所使用密钥。其中对同一个数据库表而言，加密算法是相同的。如果使用的加密密钥K也相同，又会很容易受到密文分析与密文替代的攻击。如果使用不同的加密密钥对全部的字段值进行加密，则密钥K的个数：记录个数（x），很显然会生成数量过于庞大的密钥。那么密钥的安全管理也就成了一个很棘手的问题。如果能够找出一种管理加密密钥的方案，就能够解决加密密钥过于庞大的问题。如果对数据库表中的数据采用二级密钥管理机制，即一个主密钥，一个工作密钥。主密钥的作用是用来生成工作密钥。工作密钥对数据库数据的加密。主密钥用来保护工作密钥的安全，工作密钥用来保护敏感的数据信息，那么整个数据库表的安全就依赖于主密钥的安全。一般情况下，主密钥经过加密后存放在系统的安全区域内，需要时由系统自动获取并解密。另外也可以把主密钥注入加密卡中保存。在这种情况下，只是主密钥的更换比较麻烦，主密钥一旦更换，工作密钥就需要全部随之发生变化。所以，从安全的角度考虑，密钥在经行更改前，需要对数据库系统全库备份。

事实上，在数据库生存期内，只要我们的系统管理不出现漏洞，密钥系统只是需数年更换一次，或者不必更换。总体来说，为保证数据的安全，对数据库表进行加密是一种很有效的方法。

虽然通过数据加密对数据进行加密操作，以密文形式把数据存储起来，使得攻击者即使入侵到系统中，或者获得了存储介质也无法直接得到明文，从而在存储上保证了数据的安全性。但是，数据加密后，也会产生一些问题：数据操作时其性能会变低、索引字段的加密问题、加密后数据库的完整性问题、关于加密存储空间增大问题。

显而易见，数据库的安全性对当今社会有很大影响，计算机安全性问题也得到越来越多的人的重视。因此，只有建立了完善的可信或安全标准，才能规范和指导安全计算机系统部件的生产，比较准确地测定产品的安全性能指标，满足社会的需要。

参考文献

[1] 戴维森（澳），著，朱理，译.数据库的法律保护.北京大学出版社，2007，1.

[2] 王珊，萨师煊.数据库系统概论.高等教育出版社，2006，5.

论企业数据安全保护方案 篇4

数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。数据安全保护从来都是个热门话题,企业想尽方法,通过软件或硬件防火墙、安全网关、路由设置等多方面着手,正是希望能够保护自己企业数据库安全。同时,黑客的技术也在不断提高,从单纯的病毒木马发展到如今复合式的进攻,正邪两方的斗争一直持续着。

1 数据泄露、遗失途径分析

数据泄露的原因主要有三种:窃密、泄密和失密。结合各种实际情况,企业内部数据泄露或遗失存在以下几种途径:

(1)计算机感染病毒;

(2)竞争对手或黑客攻击窃取;

(3)移动电脑在外被盗或被非法登录;

(4)邮件被截获;

(5)内部电脑或硬盘被盗;

(6)非公司员工登录内部电脑窃取数据;

(7)员工未经授权通过电脑窃取公司数据;

(8)员工未经授权将自身掌握的数据带出公司;

(9)管理员的误操作;

(10)对外数据信息发布失控;

(11)数据的存储介质发生故障;

(12)自然灾害。

2 数据安全保护方案

要杜绝网络泄密,最有效的办法就是让有保密内容的电脑和互联网物理隔绝,当前在军队和军工等绝密单位基本上采用的是这种手段。除此之外,“上网不涉密,涉密不上网”、“涉密电脑不得使用移动存储介质”等管理手段也在使用。然而,即便是通过物理隔离手段来保密,在军队和军工也会发生各种泄密事件。而且,由于物理隔离会极大影响工作效率,只有军工军队这种比较特殊的环境,才可能采用。而对于企事业单位,完全采用物理隔离是不可能的。因此,必须采用多种相应的技术手段,结合管理手段来做到安全与效率之间的均衡。

2.1 严格的权限控制

访问权限控制策略也称安全策略,是用来控制和管理主体对客体访问的一系列规则,它反映信息系统对安全的需求。安全策略的制定和实施是围绕主体、客体和安全控制规则集三者之间的关系展开的,在安全策略的制定和实施中,要遵循下列原则:

最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大程度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权使用主体的危险。

最小泄露原则:最小泄露原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。

多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密、秘密、机密、限制和无级别五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比他高的主体才能够访问。

权限控制最常用的安全设备是防火墙,防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。在企业的网络建设规划时就要考虑“分区建设”、“重点保护”的原则,将网络分为几个区域,如“服务器区”、“DMZ区”、“客户端区”,各个区域之间通过防火墙控制访问权限。将重要数据资源严格保护起来,访问控制粒度尽量细。

除防火墙外,服务器的账号权限控制、信息系统的账号权限分配,也很重要,按照“最小权限原则”,赋予每个角色不同的账号、不同的权限。

2.2 建立完善的防病毒、防入侵体系

计算机病毒,是各种对网络安全造成威胁的主要载体。每当一种新的计算机技术广泛应用的时候,总会有相应的病毒随之出现。计算机感染病毒、木马后可能会窃取用户的重要数据,带来损失。随着防病毒技术的发展,立体式的防病毒方案是目前反病毒技术的发展趋势,在网关处部署防病毒产品,将防病毒的阵线向前推进,更有利于抵御外网病毒的入侵,大大地降低了内部用户在访问Internet时感染病毒的风险。结合桌面端的防病毒软件,可构建成一个立体式的防病毒体系。推荐防病毒网关设备与桌面端的防病毒软件使用不同厂商的产品,这样可以起到一个不同厂商之间的病毒库互补,得到更好的病毒防御作用。

黑客的非法入侵、攻击往往是居于不良的目的,或者搞破坏或者窃取数据。防止黑客的攻击,可采用入侵预防系统,入侵预防系统(Intrusion Prevention System,IPS)是网络安全设施,是对防病毒软件和防火墙的一种补充。入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。建议在企业互联网出口处及重要区域的出口处部署IPS,以抵御入侵和攻击。

2.3 数据加密管理

对数据进行加密,是解决泄密的最好方法,数据加密要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,在未知网络或者未授权用户使用的情况下,数据显示为密文。加密技术,能在源头上保护数据,就算数据被非法窃取或外传,窃取者也只能得到密文。

企业部署数据加密解决方案应该遵循或参考以下步骤:

(1)确定加密目标和选择加密技术与产品。

(2)编写数据加密项目的规划和解决方案。

(3)准备、安装和配置加密软件或硬件。

(4)数据加密解决方案的测试和最终使用。

市面上有许多数据加密及文档权限控制系统,可以利用这些系统进行数据加密,实现以下功能:

(1)控制企业已经确定的核心文档资料的管理,防止核心数据经由各种渠道外泄或者外泄后无权查看(文档类型有UG、CAD、PDF、office等常用文件类型)。

(2)防泄密系统使用仅限于公司掌握核心文档资料人员使用,不需要所有人员均安装部署。

(3)核心文档对公司内其它人员和外界交流要求经过授权或者部门经理以上人员审批并且有系统日志记录,交流要求简单化。

2.4 行为全面审计

审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。

审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动:系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。

审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。

流行的审计系统包括:上网行为审计、桌面行为审计、数据库审计等等,通过这些审计方式,记录下用户对数据的各种操作行为,方便管理对数据进行权限分配管理以及在发生数据泄露问题时,进行审计追踪。例如,在一些文档安全管理系统中,客户端的“文件访问审核日志”模块能够跟踪用户的多种日常活动,特别是能够跟踪记录用户与工作相关的各种活动情况,如什么时间编辑什么文档等。

2.5 数据备份管理

数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。

重要的数据,不论是对企业用户还是对个人用户,都是至关重要的,一旦不慎丢失,例如:存储介质损坏、人为数据破坏、自然灾害等。会造成不可估量的损失,轻则辛苦积累起来的心血付之东流,严重的会影响企业的正常运作,给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行,企业用户应当采取先进、有效的措施,对数据进行备份、防范于未然。以防从保护数据安全的角度,可以考虑采用NAS(网络附加存储)或者磁盘阵列,在正常数据存储备份的状况下,两者均能达到较高的数据安全度,NAS是一台完全独立的设备,而磁盘阵列则是一台依赖服务器的设备。即一旦服务器损坏,NAS中的数据依然可以通过其它计算机进行读取,而磁盘阵列中的数据则只可以在服务器修复以后才能读取。

目前数据备份主要方式有:LAN备份、LAN Free备份和SAN Server-Free备份三种。LAN备份针对所有存储类型都可以使用,LAN Free备份和Server-Free备份只能针对SAN架构的存储。目前主流的备份软件,均支持上述三种备份方案。三种方案中,LAN备份数据量最小,对服务器资源占用最多,成本最低;LAN free备份数据量大一些,对服务器资源占用小一些,成本高一些;Server-Free备份方案能够在短时间备份大量数据,对服务器资源占用最少,但成本最高。企业可根据实际情况选择。

2.6 建立完善管理制度

要做好企业数据安全保护工作,除实施以上技术手段外,应结合企业所处行业及企业自身的特点,制定一套完善的数据安全管理制度。流程化、规范化数据安全的相关工作。比如:在员工入职时需签订保密协议,确保员工保护好公司数据安全义务,如果发生丢失、外泄,应以窃取公司机密而做出处理,让员工明白他们应承担怎样的后果。应建立起公司数据安全策略体制,对员工进行安全培训,让员工明白在某些情况下,将会无意泄露公司数据,例如,在企业的计算机上下载个人用软件,这种做法可能导致恶意软件在工作场所传播,导致数据丢失。

3 总结

通过以上措施,可以有效的封堵数据泄露、遗失的途径,让非法者在得到数据以后,无法获取想要的信息,当发生突发事件,数据遗失后,能快速恢复应用,并通过审计证据迅速定位事故源头。从事前、事中、事后三个层面保障数据安全。

参考文献

[1]石文昌,梁朝晖.信息系统安全概论.电子工业出版社.2009.

[2]向宏,傅鹏,詹榜华.信息安全测评与风险评估.电子工业出版社.2009.

大数据时代信息安全的刑法保护 篇5

关键词：大数据；信息安全；刑法保护

一、引言

移动互联网以及云计算等新的技术发展使得手机以平板电脑等成为数据来源和重要的承载方式，大数据时代的到来对信息的安全保护也提出了挑战，在这一过程中对刑法在信息安全保护上的作用发挥就比较重要。通过此次对信息安全的刑法保护理论研究，就有着实质性的意义，这对信息安全的完善建设有着重要促进作用。

二、大数据的主要特征及信息安全刑法保护现状

1.大数据的主要特征分析

大数据主要是通过先进的科学技术对信息进行存储以及方便查询的技术，其自身有着鲜明的特征体现，首先在数据的类型上较多，其包含着诸多的数据，而在数据信息的体量上也比较庞大，对信息数据处理的速度较为迅速，能够更快的来满足人们实际需求。不仅如此，在价值密度方面较低，对于价值密度的高低是和数据总量大小成反比的。对当前的企业发展来说，数据正逐渐的取代人才成为企业发展的核心竞争力，能够帮助企业以及指导企业在业务流程方面有效的运营及优化。

2.大数据时代信息安全刑法保护的现状分析

处在大数据发展时代，信息安全的刑法保护过程中还有着诸多的问题有待解决，我国在个人隐私保护以及在线数据保护等方面的法律保护还相对比较缺乏，所以这就需要能够从立法以及规章制度层面进行加强对信息安全的保护，在信息安全刑法保护的具体问题上来看主要体现在数据处理过程保护的罪名体系存在着缺憾。当前我国在单行的网络犯罪的刑法还没有得到有效构建和实施，对计算机犯罪的相关规定也未独立成章，所以在计算机犯罪体系和计算机信息系统保护、数据和应用程序保护为重心，都会发生相应的流变。

另外在信息的保护的罪名体系方面的问题，我国在单独的信息法层面还没有建立，对信息保护的民事以及行政规定都是零散的出现在互联网信息服务管理办法等相关的行政法规以及法律当中。其中在以个人信息为对象的信息安全管理方面本罪中公民个人信息没有得到明确化的解释，所以在概念的具体内涵以及外延方面都没有明确化的呈现。这样在信息范围和内容就会受到局限，还有一些边缘个人信息本应当是归入到法律体系当中的，但在实际上却没有进行明确化。大数据对个人信息的挑戰就是有诸多数据单独看是公开及半公开性质，但在信息的汇总下就会转变成直接指向特定个人隐私的信息。

三、大数据时代信息安全刑法保护策略探究

第一，大数据时代的信息安全刑法保护的策略实施要能够从多方面进行，首先就是要这一发展阶段的信息安全保护的意识要能提高。大数据作为重要的资源，如果在合法以及尊重数据所有权利的前提下能够将大数据自身的魅力得以充分的体现，大数据是公民信息的一个重要部分，对人们带来方便的同时也有可能造成信息的非法利用。所以这就需要在个人信息的保护意识上进行加强，对与之相关的信息保护要能进一步的强化避免成为黑客攻击的对象。

第二，在大数据时代对信息的刑法体系的完善也比较重要，对大数据保护尤其其自身的必要性，主要就是由于传统犯罪对象的泛数据化，我国当前现有的刑法体系对数据及信息安全问题的规制都比较狭窄。在新的发展时代，数据信息的海量化以及巨大运算能力对各领域都带来了丰硕的信息价值，网络的发展已经使得愈来愈多用户和云端得到了紧密联系，在数据存储到运算平台共享等都能在大数据环境下实施。从物权到信息权方面要能够加强对财产犯罪相关的上下游犯罪的打击，可通过关键词的解释对信息安全刑法保护范围进行扩大。

第三，进行增设相应的法律条文来保障信息安全也是可行的方法，刑法解释是建立在法律的漏洞填补基础上的，在罪名的增设上，可增设妨害管理秩序罪以及扰乱公共秩序罪，在刑法中对信息安全的数据滥用罪进行详细陈述，违反国家规定及行业规范以及对信息网络数据拦截和收集、储存等后果比较严重的处一年以下有期徒刑或者拘役，并处或单处罚金；对于后果比较严重的处一年以上三年以下有期徒刑，并处或单处罚金，同时构成非法获取公民信息、侵犯商业秘密、窃取国家秘密等犯罪的，依照数罪并罚的规定处罚。

第四，对以信息为中心的非法产业链要能够严厉的打击，当前的商品经济时代逐利是人们行为的根本目标，所以在信息犯罪方面也是这样，通过大数据以及信息来获得非法利益是大数据滥用的最大动机。在这一过程中要能通过刑法进行规范大数据的合法应用，对下游非法数据交易的行为要能够进行规范化，重点是要能够对相关的立法进行完善。在我国的计算机信息系统安全的司法解释当中对非法获取计算机信息系统数据及非法控制计算机信息系统犯罪下游销售行为有了解释，这样在刑法方面就要能针对性的制定相关的条文，对隐瞒以及掩饰犯罪所得要进行处理，这样在整个信息安全的非法产业链制裁体系方面就能够得到有效完善。

四、结语

探索企业数据安全技术及保护措施 篇6

计算机能处理的数据来源包括数字、文本、语音、音乐、静止图像、视频图像、图形、动画等多种形式, 这些数据经过数字化转化为0和1的二进制数据流而存储在计算机中。数据安全问题是计算机安全的一个核心问题, 从技术的角度上看, 数据安全的技术特征主要有以下几个方面: (1) 数据的完整性 (Integrity) , 指数据在存储或传输过程中保持不被偶然或蓄意地修改、删除、伪造、乱序、重置等的破坏和不丢失的特性; (2) 数据的保密性 (Confidentiality) , 是指数据防止数据泄漏给非授权个人或实体, 只供授权用户使用的特性; (3) 数据的可用性 (Availability) , 指数据在需要时应可以被已授权的用户合法使用的特性。数据的物理安全是指在物理介质上对存储和传输的数据的安全保护, 是数据安全的最基本的保障。这一类的不安全因素主要有自然灾害、物理损坏、电磁辐射、操作失误等。提供这一类的安全保护主要通过采取各种安全措施、制定安全规章制度、状态检测、报警确认、数据备份、应急恢复等来完成。

常见的数据故障有:设备硬件偶然失常。任何一种设备都不是十全十美的, 或多或少都存在着这样或那样的缺陷。电子计算机是一种相当复杂的电子设备, 存在的问题就更复杂。有时它会出现一些比较简单的故障, 而有些故障则是灾难性的。计算机硬件机能失常往往会使计算机工作中断、功能失效, 甚至破坏机内数据或其他外部设备, 后果有时是十分严重的。当然软件系统的“BUG”造成的后果同样是严重的, 它可能会发出错误的指令, 使一些控制过程出现混乱甚至瘫痪。

二、企业数据安全保护措施

(一) 安装相应的杀毒软件。

为防止网络的损坏, 如黑客攻击、病毒破坏、资源被盗用或文件被篡改等波及到内部网络的危害, 可以在该内部网络和Internet之间插入一个中介系统, 竖起一道安全屏障。防火墙是一种综合性技术, 用于加强网络间的访问控制, 防止外部用户非法使用内部资源, 保护企业内部网络的设备不被破坏, 防止企业内部网络的敏感数据被窃取。防火墙在物理上表现为一个或一组带特殊功能的网络设各, 它在内部网和外部网之间的界面上构造一个保护层, 强制所有的访问和连接都必须经过这一层, 在此进行检查和连接, 只有被授权的通信才能通过这一层。但防火墙并不仅仅指用来提供一个网络安全保障的主机、路由器或多机系统。

(二) 使用数据加密技术。

密码系统一般由算法以及所有可能的明文、密文和密钥组成的。基于密钥的算法通常有两类:对称算法和公开密钥算法。对称算法是指算法的加密密钥能够从解密密钥中推算出来, 反过来也成立。在大多数对称算法中, 加解密密钥是相同的。这类算法也叫秘密密钥算法或单密钥算法, 它要求发送者和接收者在安全通信之前, 商定一个密钥。对称算法的安全性依赖于密钥, 泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密, 密钥就必须保密。

摘要：计算机安全所涉及的方面非常广泛, 包括计算机道德教育、计算机安全条例及相关法规的研究和制定、对来自自然和环境的安全防护、对计算机硬件资源的安全管理、对人员合法身份的验证和确认、对计算机内所存放的数据 (包括数据库、数据文件) 的安全保护、各种安全产品的设计制造和使用。

关键词：数据安全,加密,管理

参考文献

[1]秦亮.浅析企业数据的安全检测技术[J].电脑知识与技术, 2011 (03) .

[2]雷利香.计算机数据库的入侵检测技术探析[J].科技传播, 2011 (14) .

探索企业数据安全技术及保护措施 篇7

由于企业数据对企业的发展具有非常重大的影响, 因此, 企业需要做好数据安全的工作, 确保企业的信息机密。下面针对于企业的数据安全技术进行具体的分析。

1 数据安全技术概述

所谓数据安全技术, 就是对数据进行处理的技术, 相关数据如, 图形、文本、数字、语言等多种数据形式, 利用数据安全技术将其转化为二进制的数据流储存到相应的计算机中。数据安全对于任何一个企业来说都非常重要, 较多的商家机密、企业信息是不允许丢失和泄漏的, 这也是企业比较重视数据安全技术的主要原因。数据安全技术的特征主要体现在数据保密性、数据完整性、数据可用性等三方面。

数据保密性, 大多数对授权的数据进行保密, 避免泄漏到给非授权用户手里, 并且该数据仅供授权用户使用的特征。

数据的完整性, 是保证数据在传输和储存的过程数据的完整性, 避免数据的丢失、删除、修改、乱序等完整性受到破坏的现象。

数据可用性, 是指在授权用户在使用数据时, 可以随时的使用, 而对于未授权用户却有着一定的限制作用。另外, 数据安全技术不仅要考虑到虚拟的安全因素, 同时也要考虑到物理的安全因素, 如自然灾害、操作失误、储存数据和传输数据的物理介质损坏等。对于这种情况要充分利用数据安全技术来维护、保障数据的安全性。

2 企业数据安全技术的主要内容

在对企业数据进行保存和传输的过程中, 经常会因为不同的因素而引起企业数据出现故障。如, 储存数据的计算机系统故障、计算机工作失常、数据储存软件功能失效、受到黑客攻击等, 都会影响到数据的安全, 因此要利用有效的安全技术来维护数据的安全性。企业数据安全技术主要是集SQL数据库安全技术、ASPNET程序设计、TCP/IP安全协议、数据安全应用技术、WEB编程技术以及计算机系统安全技术等多项技术和设计为一体的数据保护技术。

SQL数据库安全技术, 是针对计算机网络中数据库应用的一种安全技术, 可以通过双层安全机制来验证登录用户的身份, 另外, SQL数据库安全技术可以对数据的信息进行追踪, 不管是数据的修改、篡改等都会进行责任追查, 可以弄清到底哪里出现问题。

ASPNET程序设计, 主要是针对数据的更改、创建、移动等方式, 通过身份验证类似于云技术对远程数据进行操作, 当然, 也可以防止非授权用户的远程操作。

TCP/IP安全协议, 主要是针对Internet保护的一种协议, 需要相应的域名、服务器认证等, 才能正常使用, 一旦发现有非正常IP地址的介入, 没通过身份验证后将会被隔绝。

数据安全应用技术, 主要是针对计算机中储存数据的一种加密技术, 必须拥有授权的用户才能通过身份验证对数据进行相应的操作, 即使数据被非授权人所得, 也没有可用性。

WEB编程技术, 是访问网络的一种技术, 通过拨号来实现网络的访问功能, 但是相应的也会提供授权者的身份验证, 否则无法正常访问网络。

计算机系统安全技术, 主要针对计算机系统的一种防御技术, 很多种情况计算机都会遭到病毒、黑客的干扰而使得系统崩溃、异常等现象的发生, 而该技术可以充分保护计算机系统安全运行的工作, 为数据的安全性施加一层保护网。

3 企业数据安全的防护措施

3.1 安装杀毒软件

影响到企业数据安全的大部分都是来自于网络和软件的问题, 如, 黑客攻击、网络被破坏、病毒的破坏等, 为了避免数据遭到破坏, 必须做好软件方面的防护工作。杀毒软件是一种网络安全防护的主要技术, 通过杀毒软件中的技术可以防护网络, 避免遭到破坏, 另外, 可以通过杀毒软件的查杀病毒技术, 将计算机中存在的病毒彻底查杀干净, 而且, 通过杀毒软件中的病毒库技术, 可以将存在风险的文件全部隔离到病毒库, 以便于使用人员对文件进行调制。杀毒软件实质就是在Internet和网络之间的一层过滤网, 可以建立起独立的一层安全屏障, 更好的实现企业数据安全的保护工作。另外, 杀毒软件具有的防火墙技术, 可以实现综合的防御功能, 能对外界网络起到很好的防护功能, 也同样对内部资源起到很好的保护作用, 避免企业内部一些敏感数据出现被盗的现象。另外, 防火墙技术还能对外部网络构成防御的功能。总的来说防火墙具有实现内部网络路由器网络访问、主机等多个计算机系统的防护作用, 和实现对外部网络访问的保护功能, 更好的提高企业数据的安全保护作用。

3.2 对企业数据实施加密技术

数据加密技术与单纯的密码有所不同, 是基于算法、密文、明文、密钥等多种形式组合的加密技术, 在企业数据加密技术中经常用到基于密钥的算法, 该算法主要分为对称算法和公开密钥算法两种类型。对称算法, 是指能从解密密钥中算出对数据的加密密钥, 是常用而且可靠的一种算法, 算法方式正反互通。在企业数据传输的过程中经常会用到, 是避免数据传输过程中发生丢失、泄漏的有力保障, 在应用对称算法的过程中, 大多数都会将密钥的加密和解密的密码统一, 既方便管理, 又方面数据的传输。数据加密技术在应用到数据传输中, 必须由发送者和接受者共同拟定一个密钥, 然后才能进行相互的传输, 当然, 在传输的过程中, 一旦密钥被其他人知道的话, 那么, 知道的任何人都能实现对数据的加密和解密, 因此, 数据加密技术中应用的密钥必须妥善保管, 不能泄漏给任何无关的人, 以免数据发生丢失、删除、篡改等问题。

参考文献

[1]雷利香.计算机数据库的入侵检测技术探析[J].科技传播.2011 (14) .

[2]秦亮.浅析计算机数据库的入侵检测技术[J].电脑知识与技术.2011 (03) .

[3]蔡建.网络安全技术与安全管理机制[J].贵州工业大学学报 (自然科学版) .2012 (01) .

[4]钱林红, 邓家荣.信息系统数据安全防范策略[J].电脑知识与技术.2011 (12) .

企业数据库的安全保护 篇8

1 企业计算机审计电子数据的主要内容

企业计算机审计电子数据的主要内容包括审计人员个人计算机存储的由被审计单位提供的本单位生产运营管理报告、业务数据、财务报表等与审计项目相关的电子数据, 以及参加审计项目实施过程中涉及的审计工作方案、审计实施方案、审计工作记录、审计工作底稿、审计报告等审计工作数据。

2 企业计算机审计电子数据安全保护方面存在的突出问题

企业在计算机审计电子数据安全保护方面采取了一些措施, 一方面在管理上要求审计人员提高信息安全保密意识, 另一方面在技术上为审计人员个人计算机安装防病毒软件等, 虽然取得了一定成效, 但在企业计算机审计电子数据安全保护方面尚未形成有效的体系, 仍然存在以下几个方面的突出问题。

2.1 管理方面

一是数据整理与挖掘利用困难。审计数据是审计人员多年工作经验、审计知识的积累与沉淀, 利用现有手段难以从数据挖掘利用的角度进一步梳理数据, 无法实现数据的多维分类, 无法充分进行数据价值挖掘利用。二是数据权限管理困难。数据访问与使用权限控制缺乏平台支持, 难以实现更深入的权限控制, 增加了管理与操作的难度和工作量。三是桌面标准化管理困难。审计工作依赖于终端设备, 使用的软件不统一, 给信息交流与利用带来困难, 同时管理上也存在很大难度。

2.2 技术方面

一是安全性不足。现有技术手段的安全水平与审计电子数据的重要性尚有差距, 不能满足审计业务对信息安全与保密的需要。其一, 数据以明文传输, 数据在传输过程中一旦被截获, 信息容易泄露;其二, 服务器上数据以明文存储, 一旦服务器被入侵, 入侵者可以很轻易地获取所有未加密文件;其三, 终端上数据以明文方式存放, 特别是正在开展的审计项目数据以明文方式存在审计人员的终端设备中, 如果设备丢失或系统感染病毒, 就会造成重大损失。二是权限配置与备份困难。企业邮件账号域认证初步实现访问控制, 但其控制粒度尚不能满足使用需要, 且配置比较繁琐。数据手工备份、同步与恢复不能满足需要。

2.3 使用方面

一是审计人员难以找到需要的信息。各单位审计人员只能查看本单位的部分共享审计资料, 缺乏按关键字、审计对象、审计类型等多种方式的全面数据搜索, 审计人员难以找到最适合的可参考与可借鉴的资料信息。二是尚不能完全实现审计工作与外网分离。通过上网本为审计人员提供从外网搜索资料等功能, 满足了审计人员对外网大部分的需求;但审计人员出差期间, 订购火车票时, 需用笔记本电脑付费, 而且审计人员习惯于使用终端设备, 日常办公和其他方面依然和审计工作共用终端设备, 未完全实现审计工作与外网的分离。

2.4 保障方面

一是终端数据清理工作量大。现阶段审计人员的终端设备数据清理工作, 耗时长, 工作量大, 信息处负责数据清理工作的同志工作负荷重, 急需通过其他手段, 提高工作效率和清理效果。二是IT运维工作压力大。信息处负责企业IT设备的维护工作, 各电脑终端存在操作系统不统一、审计软件与办公软件不统一、审计人员出差远程维护难等问题, 造成IT运维难度大, 信息处承担了很大的工作压力。终端设备容易因电脑病毒、系统漏洞、恶意网站等各种原因, 造成审计数据的泄露。亟需通过新的IT手段, 提高审计IT桌面安全性, 降低IT维护难度, 提高IT维护效率和效果。

3 目标与思路

企业计算机审计电子数据安全保护是一项系统化工作, 只有明确计算机审计电子数据安全保护的主要目标, 理清计算机审计电子数据安全保护的整体思路, 并不断探索研究, 才能持续提高计算机审计电子数据安全保护能力。

3.1 主要目标

企业计算机审计电子数据安全保护的主要目标是实行计算机审计电子数据集中统一管理、按需授权访问, 降低个人携带审计电子数据意外风险;计算机审计电子数据集中管理的服务器环境, 要遵照企业统一安全策略, 采用相应的物理安全、网络安全、主机安全、应用安全、备份与恢复安全等技术措施, 以及安全管理职责、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理措施, 整体确保计算机审计电子数据安全受控。

3.2 整体思路

企业计算机审计电子数据安全保护的整体思路是依托企业信息技术统一安全保护策略, 通过建立计算机审计电子数据集中管理平台, 实现审计工作办公内网与外部公网分离、审计工作环境与个人计算机终端分离, 逐步实现审计人员个人计算机审计电子数据按需携带向零携带转变, 最终实现计算机审计电子数据实时在线与安全受控。

4 实施步骤

企业计算机审计电子数据安全保护工作是一项长期而艰巨的任务, 不可能一蹴而就。在管理上, 需要企业高度重视计算机审计电子数据安全保护工作, 一方面要给予这项工作统一领导和各种资源的支持, 另一方面审计人员要不断提高信息安全保护意识;在技术上, 要与时俱进, 采用先进的信息技术手段, 有步骤、有计划地逐步开展。

4.1 审计数据集中管理, 个人历史数据清零

利用企业现有软件硬件资源, 创建审计数据集中统一管理存储空间, 采用企业邮件域认证方式, 按照单位审计人员授权访问;审计人员自行整理个人计算机审计电子数据, 按照个人权限上传至统一管理存储区域;利用专用存储介质数据清除工具对审计人员个人计算机硬盘逐一进行清理;实现审计人员个人计算机审计电子数据集中管理, 个人计算机历史审计数据清零。

4.2 审计网络环境分离, 审计数据按需携带

针对审计工作以企业办公内网环境为主, 需要借助企业外网查找资料的特点, 为审计人员公网应用配发个人上网本;实行审计人员个人计算机在办公内网专用, 个人上网本在公网环境专用;在审计项目开展前, 为审计人员个人计算机装载系统软件, 并按照审计项目需要装载相关审计数据;在审计项目结束后, 利用专用存储介质数据检查工具对审计人员个人计算机和上网本使用情况进行检查, 确保按照要求使用;实现审计工作内网应用和外网应用分离, 审计数据按需携带。

4.3 审计工作环境分离, 审计数据实时在线

借鉴先进技术应用实践经验, 建立企业审计电子数据管理平台, 采用统一的信息技术安全保护策略, 通过企业邮件域认证登录个人移动办公桌面;采用云技术为审计人员呈现个人办公系统软件环境, 所有审计工作将在审计电子数据管理平台完成, 审计人员个人计算机将不再存储任何审计相关数据;利用专用存储介质数据检查工具对审计人员个人计算机和上网本定期进行数据存储检查, 确保介质审计数据零存储;实现审计工作环境与个人计算机终端分离, 审计数据实时在线。

5 主要成效

结合企业计算机审计工作实际, 通过虚拟化等技术手段, 建设审计电子数据管理平台, 采取计算机审计电子数据集中管理、审计办公桌面集中管理、审计应用软件统一管理和信息安全策略集中管理等具体措施, 最终实现审计工作环境分离、审计数据实时在线, 从而实时有效地进行计算机审计电子数据安全保护。

5.1 实现电子数据集中管理

集中管理审计电子数据, 提供数据多种分类和检索方式, 审计人员根据分配的权限、关键字、文档类型、提交时间等快速定位所需文档, 为深入发掘审计电子数据价值提供支撑, 为审计管理和审计项目工作提供丰富有效的数据资源。审计电子数据管理平台, 采用经国家相关安全部门认证的数据加密技术和手段, 通过数据加密存储、加密传输、加密备份和数据访问控制机制, 全面保障数据的安全性, 实现数据的全生命周期管理。

5.2 实现办公桌面集中管理

采用云计算和虚拟化技术, 提供标准的、灵活的、可扩展的办公桌面环境, 通过集中配置和统一分配审计办公桌面, 提高审计办公资源申请、配制、获取、维护与收回清理的工作效率, 同时服务器、存储、网络等资源能得到更加充分的利用。审计人员可以快速获得所需办公桌面, 系统严格控制, 实现审计工作数据与个人本地终端完全分离, 且工作状态自动保存, 可从任何地点重新接入和恢复。

5.3 实现应用软件统一管理

集中管理OA系统、Office等办公软件, 审计管理系统、财务辅助审计系统等审计软件, 以及FMIS、ERP等其他专业软件, 统一配置到审计人员办公桌面。审计人员还可以根据需要, 申请所需的其他应用软件, 经审批通过后集中配置、统一分配到办公桌面, 满足审计人员工作需要, 提高审计人员的工作效率, 提升信息人员的运维水平。

5.4 实现安全策略集中部署

在虚拟桌面、办公应用、审计数据3个层级, 集中部署管理防病毒软件、办公应用软件和数据加密管理软件等, 通过一次性集中配置, 发布到所有审计办公桌面, 实现桌面安全、应用安全和数据安全, 建立全面的审计办公和电子数据三级安全防护体系, 提升审计办公和审计电子数据的安全保护能力。

6 总结

企业计算机审计电子数据安全保护工作是一项系统工程, 需要技术和管理并重, 在将计算机审计电子数据安全保护纳入企业保密管理工作范畴的同时, 要建立企业个人计算机审计电子数据集中管理制和个人计算机存储介质安全清理检查制, 定期开展计算机审计电子数据安全检查工作, 将检查结果定期予以公布, 并将计算机审计电子数据安全保护工作情况纳入绩效考核, 全面提高计算机审计电子数据安全保护能力, 为企业内部审计计算机审计工作提供有力保障。

摘要：本文针对企业计算机审计电子数据的主要内容, 分析了企业计算机审计电子数据安全保护存在的突出问题, 提出了做好企业计算机审计电子数据安全保护的目标与思路, 并对企业计算机审计电子数据安全保护的实施步骤和主要成效进行了详细阐述, 旨在为企业内部审计计算机审计工作提供有力保障。

关键词：计算机审计,电子数据,数据安全,保护,对策

参考文献

[1]审计署企业审计司.企业计算机审计论文集[C].北京:中国时代经济出版社, 2012.

[2]中国内部审计协会.内部审计计算机应用技术[M].北京:西苑出版社, 2009.

关于数据库安全保护的研究 篇9

1 数据库的安全问题

为了适应和满足数据共享的环境和要求, DBMS要保证整个系统的正常运转, 防止数据意外丢失和不一致数据的产生, 以及当数据库遭受破坏后能迅速地恢复正常, 这就是数据库的安全保护。数据库的安全保护问题涉及到许多方面, 其中包括:1) 法律、社会和伦理方面, 例如请求查询信息的人是否有合法的权力。2) 物理控制方面, 例如计算机机房或终端是否应该加锁或用其他方法加以保护。3) 政策方面, 确定存取原则, 允许哪些用户存取哪些数据。4) 运行方面, 使用口令时, 如何使口令保持秘密。5) 硬件控制方面, CPU是否提供任何安全性方面的功能, 诸如存储保护键或特权工作方式。6) 操作系统安全性方面, 在主存储器和数据文件用过以后, 操作系统是否把它们的内容清除掉。7) 数据库系统本身安全性方面。这里讨论的是数据库本身的安全性问题, 即主要考虑安全保护的策略, 尤其是控制访问的策略。

2 数据库的安全保护措施

数据库安全性从字面上理解含义很广, 诸如防火、防盗、防震、防掉电等, 这些措施对于数据库的安全固然重要, 但本文笔者所讨论的安全保护是指在数据库管理系统的控制之下保护数据, 以防止不合法的使用而造成的数据泄漏、更改和破坏。实际上, 安全性问题并不是数据库系统所独有的, 所有计算机系统中都存在这个问题。在计算机系统中, 安全措施是一级一级层层设置的, 安全控制模型如图1所示:

2.1 用户标识与鉴别

用户标识与鉴别即数据库系统不允许一个未经授权的用户对数据库进行操作。用户标识和鉴别是系统提供的最外层的安全保护措施。数据库用户在数据库管理系统注册时, 每个用户都有一个用户标识符。但一般说来, 用户标识符是用户公开的标识, 它不足以成为鉴别用户身份的凭证。为了鉴别用户身份, 一般采用以下几种方法:1) 利用只有用户知道的信息鉴别用户;2) 利用只有用户具有的物品鉴别用户;3) 利用用户的个人特征鉴别用户。

2.2 用户存取权限控制

用户存取权限指的是不同的用户对于不同的数据对象允许执行的操作权限。在数据库系统中, 每个用户只能访问他有权存取的数据并执行有权使用的操作。因此, 必须预先定义用户的存取权限。对于合法的用户, 系统根据其存取权限的定义对其各种操作请求进行控制, 确保合法操作。存取权限由两个要素组成, 数据对象和操作类型。定义一个用户的存取权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作。

2.3 数据加密

数据加密 (Data Encryption) 是保护数据在存储和传递过程中不被窃取或修改的有效手段。加密的基本思想是根据一定的算法将原始数据 (明文) 加密成不可直接识别的格式 (密文) , 数据以密文的形式存储和传输。数据加密后, 对不知道解密算法的人, 即使通过非法手段访问到数据, 也只是一些无法辨认的二进制代码。目前, 数据加密技术有两种ISO标准:数据加密标准与公开密钥数据加密标准。

2.4 数据库的恢复

虽然数据库系统中已采取一定的措施, 来防止数据库的安全性和完整性的破坏, 保证并发事务的正确执行, 数据库恢复的基本原理十分简单, 就是数据的冗余。数据库中任何一部分被破坏的或不正确的数据都可以利用存储在系统其他地方的冗余数据来修复。因此恢复系统应该提供两种类型的功能:一种是生成冗余数据, 即对可能发生的故障作某些准备;另一种是冗余重建, 即利用这些冗余数据恢复数据库。

3 结语

随着计算机特别是计算机网络的发展, 数据的共享日益加强, 数据的安全保密越来越重要。

DBMS是管理数据的核心, 因而其必须具有一套完整有效的安全机制, 只有这样才能确保数据信息的安全性。

摘要：随着计算机的普及, 数据库的使用也越来越广泛, 本文笔者根据多年的经验, 对数据库一些常见的安全问题以及相关的措施进行了探讨。

关键词：数据库,安全保护,数据加密

参考文献

[1]陈志泊, 李冬梅, 王春玲.数据库原理及应用教程[M].北京:人民邮电出版社, 2003.

[2]赵森, 苏庆, 肖蓉.中文SQLServer2005程序设计教程[M].北京:冶金工业出版社, 2006.

[3]高永强, 郭世泽.网络安全技术与大典[M].北京:人民邮电出版社, 2003.

电子政务数据库安全保护策略探讨 篇10

关键词：电子政务；数据库；安全

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 (2012) 14-0042-02

随着信息技术的高速发展以及我国经济水平的不断提高，我国电子政务系统建设也在不断深入发展。电子政务的应用可以突破地域限制，整合相关部门之间的数据资源，促进各部门的协作办公，提高政府办公效率。同时政务系统的使用为广大民众办事也提供了便利。但是，任何事物都有其两面性，电子政务在给政府部门和人们带来便利之时其安全问题也不容忽视，其中最为核心的部分当属存储政务信息的数据库系统，其安全性是电子政务安全的重中之重。

一、电子政务系统数据库介绍

电子政务是借助信息系统来完成政务工作，利用计算机技术与通讯技术，采用网络化信息服务手段，将行政管理和行政业务集成，实现行政事业单位业务及其工作流程网络化，提高行政管理及对外服务的效率和水平。电子政务的核心部分—数据库通常是一种处在开放网络环境中的分布式数据库系统，大量的数据信息通过开放式的网络实现多用户的共享。数据库根据其业务服务范围和网络逻辑范围划分为内网数据库和外网数据库，目前所采用的两个典型的模式是C/S模式和B/S模式。C/S所采用的模式主要分为三层结构：客户机、应用服务器、数据库服务器，主要表现形式是由客户机将数据传输到应用服务器，然后再次传输到数据库服务器当中。这种模式作为部门内部业务服务系统居多。主要部署业务审批应用系统和业务数据库服务器，数据库和核心交换设备之间部署防火墙、网闸等网络安全设备，内部工作人员通过网络安全设备访问内网数据库，和外网数据库之间实现数据实时更新交换。B/S模式也是分为三层结构：浏览器、Web服务器、数据库服务器。这种模式一般用于对外服务。数据库服务器主要运行门户网站以及为社会大众提供信息查询服务。

二、数据库安全问题可能导致的风险

电子政务数据库作为政务系统的核心部分，其安全问题是政务系统能否正常运行的关键所在，目前各级政府部门往往由于资金、技术、管理等方面的因素存在重硬件轻软件、重应用轻安全的现象，在政务系统建设和管理方面存在安全隐患，从而导致各种安全风险。主要表现在以下几个方面：

1.缺乏有效的隔离技术手段，没有对核心业务数据库系统的访问进行很好的控制，各个数据库之间没有进行有效隔离和访问控制，外网和内网之间彼此可以互相访问，外网的入侵风险很容易扩散到内网核心数据库。

2.数据库未设置访问权限或访问权限设置不当导致数据库不正确访问和非法访问。未授权访问可能导致重要业务数据被窃取或篡改。政务外网系统要对企业和公众提供在线服务，其内部数据库保存着企业和公众的一些数据。这些数据可能涉及到企业的机密和公众的隐私，一旦泄露将会导致无法挽回的损失，轻则造成不良的社会影响，重则造成企业和个人的利益受损，甚至会引起严重的法律纠纷。

3.没有有效的防火墙系统和防病毒系统，黑客攻击和病毒的威胁导致政府网站信息被篡改。随着计算机网络技术的快速发展，计算机病毒和黑客攻击技术也在不断的发展变化之中，甚至超前于安全防护技术。政务网站与互联网直接连接，网站数据很容易成为黑客攻击和感染病毒的对象。政府网站作为各级政府部门发布重要新闻、重大方针政策以及法规等的重要渠道，一旦其网站被篡改或破坏将造成政府形象受损，公信力缺失，甚至造成政治事件。

三、数据库安全防范机制

（一）内外网有效隔离

电子政务系统一方面要通过INTERNET对企业和个人提供服务，企业和个人需要通过INTERNET访问相关信息，另一方面，存储在政务机构的计算机、服务器、磁盘阵列中的这些数据涉及到一定的机密和隐私，这些数据不应被internet上的其它用户直接访问，也不应在Internet上直接传输。因此必须在政务系统内部网络和外部网络之间采取有效的隔离措施。最简单也是最有效的内部网络与外网隔离手段就是物理隔离。采用硬件将内部网与外部网彻底地物理隔离开，没有任何线路连接。这样可以保证外网用户无法直接连接内部网访问内部数据库，具有极高的安全性。其次还可以通过域的划分和防火墙技术对内网数据库进行逻辑隔离。

（二）用户身份认证

用户身份认证是系统对数据库访问提供的第一道安全防护门，用户每一次访问数据库系统都要求提供身份认证，只有输入正确命令的用户才能准许访问，对于身份信息不正确的用户将发出警告。从而有效防止非授权用户进入数据库对数据信息进行篡改、盗取等行为。目前使用最广泛的身份验证手段是设置用户名与密码。对于机密程度比较高的数据库系统还有更高级别的身份认证方法，如通过智能卡、生物特征识别等认证技术。用户身份的识别只能通过数据库授权与验证才能知道是否为合法的用户。

（三）访问控制技术

访问控制是对授权用户存取访问权限的确定、授予和实施，其目的是在保证系统安全的前提下，最大限度地共享资源。实施访问控制就是按照安全要求，预先给不同的用户指定相应的安全属性，用以标明主体访问权限即可读、可写、查询、添加、修改、删除等操作的组合，还有安全的访问过程等。可以通过对角色的限定、用户的管理以及权限的分层对数据库系统进行安全访问控制，通常数据库系统角色可以分为服务器角色、数据库角色，权限可以分为操作系统级别、数据库系统级别、数据库级别，不同的角色、不同的级别将授予不同的访问权限，从而保证具备特殊数据访问权限的用户能够登录到数据库服务器，访问数据以及对数据库对象实施权限范围内的操作，并且拒绝所有非授权用户的非法操作。

（四）数据加密处理

对于政务数据库而言，其安全防护不仅要满足数据库的日常应用，同时由于政务数据库可能涉及到企业、个人隐私甚至是国家政府机密，因此在采取安全防护的同时为了数据的保密性还必须使用数据加密技术，增加数据储存的安全性。所谓加密，通常而言是将可明确辨别的数据信息转换为不能识别的加密数据信息，非指定用户不能识别相关数据，指定用户可将加密信息通过相关程序进行解密而识别。根据电子政务数据库数据要实现网络共享的特点，可以采用公开密钥的加密办法，这种加密办法可以经受住来自操作系统和DBMS的攻击，但是它的缺点是只能加密数据库中的部分数据，但这也足够机密数据进行数据加密保护。电子政务系统数据库通常采用关系型数据库，根据关系型数据库的特点结合实际需要采取以表、记录或字段、数据元素为单位进行库内加密。如果以记录为单位进行加密，那么每读写一条记录只需进行一次加解密的操作，对于不需要访问到的记录，完全不需要进行任何操作，所以使用起来效率会高一些。但是由于每一个记录都必须有一个密钥与之匹配，因此产生和管理记录密钥比较复杂。也可以以字段为单位进行加密，以字段为单位的加密分析与以记录为单位的加密情况相似。数据元素作为数据库库内加密的最小单位，其加密方式最彻底的但也是效率最低的。每个被加密的元素会有一个相应的密钥，所以密钥的产生和管理比记录加密方式还要复杂。

（五）数据备份与恢复

不论安全防范和保障工作做得多好，都不能保证数据百分百不受损害，因此数据库备份是很有必要的，这也是数据库保护策略最后的一道保障措施。一旦数据库受到非法入侵、病毒破坏、或者发生自然灾害、盗窃等情况造成数据篡改或丢失，可以利用数据备份在短时间内迅速恢复好数据库，将造成的损失或影响降到最小。数据库数据备份可以分为数据完整备份、差异备份、事务日志备份、文件及文件组备份等多种方式，在实际备份作业中可以综合使用完整备份、差异备份、日志备份来提高数据库系统的安全性，将数据丢失的风险降到最低。如对于数据量大、数据更新频繁的数据库可以根据数据库系统实际运行情况进行周期性的数据库完整备份，如每周或每两周一次，同时间隔性地进行数据库的差异备份，在两次差异备份之间进行事务日志备份。为了保证数据备份的及时和备份数据的安全性，可以利用操作系统的自动触发机制或数据库系统自动备份的功能进行数据异地自动备份。

四、结束语

随着通信技术和计算机技术的发展，新的安全风险也与日俱增，数据库安全保障措施作为政务信息系统安全、高效运行的关键，需要在实践中不断去完善，才能真正保障数据信息的安全。

参考文献：

[1]黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,7:3-5.

[2]袁新来.数据库安全技术相关问题探讨[J].信息与电脑,2012,6:94-95.

[3]时以全.电子政务网络数据库安全保护研究[J].信息网络安全,2012,4:16-18.

[4]杨灿.电子政务数据中心安全分析[J].计算机安全,2012,8:82-85.