㈠ 大數據時代的安防數據存儲安全
大數據時代的安防數據存儲安全
近幾年隨著平安城市、智能交通、智能樓宇等行業的快速發展,大集成、大聯網推動安防行業進入了大數據時代。安防行業大數據的存在已經被越來越多的人熟知,特別是安防行業海量的非結構化視頻數據,以及飛速增長的特徵數據(卡口過車數據、人像抓拍數據、異常行為數據等),帶動了大數據的數據安全一系列問題,吸引著行業的關注。
大數據引發監控數據安全性問題突出
大數據的本質是系統通過處理採集到的所有數據,去提取其特徵和共性的信息。通過大數據的處理使得所有的數據都有價值。通過大數據的處理,把傳統認為沒有價值的信息也能夠產生非常有價值的信息,這就叫做數據挖掘。同樣的數據擺在我們面前不同的挖掘方法,不同的挖掘目標可以為各種各樣的業務的應用產生有價值的信息。對於安防行業,監控技術如今正面臨日新月異的變革,模擬視頻監控正在向IP網路監控轉變,巨大轉變的同時對安全性也提出了更高的要求。我們探討數據安全,包括產品本身的物理安全和產生數據的安全。所以,大數據時代引發監控數據安全性問題有以下幾點:
1、基礎設備的風險:包括監控中心的存儲設備、伺服器和前端節點設備的安全性、網路設備的安全性、傳輸線纜的安全性等。設備的安全可靠是整個大數據安防系統安全運行的基礎。
2、信息存取的風險:包括用戶非法訪問、數據丟失、數據被篡改等。系統信息的安全,主要運用各種加密技術、存儲技術、及備份方案來達到系統信息的安全。
3、信息在網路上傳輸的風險:包括視頻信息、錄像數據信息、用戶信息等在傳輸過程中保密性、完整性的保障以及傳輸鏈路上的節點設備的安全。另外還包括前端採集設備、社會監控資源接入公安監控專網的安全。
4、系統運行的風險:包括接入設備的識別和認證、設備運行故障、軟體病毒、惡意代碼、以及設備控制的優先順序調度等。系統運行時的風險控制主要依靠視頻監控軟體平台來保障,該軟體平台可以完成設備管理、故障監控、訪問控制、用戶管理、鑒權機制等一系列的功能來保障整個系統的安全運行。
基於以上4點,從存儲設備的角度我們主要談及前面兩點。
大數據也催生監控存儲方式變革
在一個時代下,必然會發生諸多變革。
視頻監控的存儲技術和介質從VCR模擬存儲、DVR數字存儲,逐漸向NVR、NAS、SAN等網路存儲發展。而在存儲方式上,主要有集中式存儲和分布式存儲兩種。大數據意味著海量的數據,也意味著更復雜、更敏感的數據,這些數據會吸引更多的潛在攻擊者。為此,我們關注點是,大數據下的信息安全問題將衍生新的機遇,提升安防的價值。
隨著安防形勢的復雜多變和大數據時代的來臨,對視頻錄像文件分析的需求越來越多。視頻監控系統中也越來越多的使用了高級的數據存儲設備和系統,例如專業的磁碟陣列系統等等。同理,安防行業使用這些專業存儲設備時,需要充分了解這些軟硬體的特性,而不要僅僅把它們當作超級外接大硬碟來使用。在系統設計和實施過程中可以充分利用這些設備中自帶的一些數據保護軟體來保護自己的數據。常用和流行的數據安全保護技術主要有以下七種:
磁碟陣列:磁碟陣列是指把多個類型、容量、介面甚至品牌一致的專用磁碟或普通硬碟連成一個陣列,使其以更快的速度、准確、安全的方式讀寫磁碟數據,從而加快數據讀取速度、提高數據保存的安全性。
SAN:SAN允許伺服器在共享存儲裝置的同時仍能高速傳送數據。這一方案具有帶寬高、可用性高、容錯能力強的優點,而且它可以輕松升級,容易管理,有助於改善整個系統的總體成本狀況。我們推薦FCSAN方案,它能為大數據時代的視頻監控,相較於IPSAN方案,大幅減少存儲設備台數,從而大幅降低成本,在數據安全方面由於自身設備超高的穩定性和性能來得以保障。
數據備份:備份管理包括數據備份的計劃,自動操作,備份日誌的保存。
雙機容錯:雙機容錯的目的在於保證系統數據和服務的在線性,即當某一系統發生故障時,仍然能夠正常的向網路系統提供數據和服務,使得系統不至於停頓,雙機容錯的目的在於保證數據不丟失和系統不停機。
NAS解決方案通常配置為作為文件服務的設備,由工作站或伺服器通過網路協議和應用程序來進行文件訪問,大多數NAS鏈接在工作站客戶機和NAS文件共享設備之間進行。這些鏈接依賴於企業的網路基礎設施來正常運行;NAS提供視頻監控系統後期視頻文件批量處理分析的基本可能。
數據遷移:由在線存儲設備和離線存儲設備共同構成一個協調工作的存儲系統,該系統在在線存儲和離線存儲設備間動態的管理數據,使得訪問頻率高的數據存放於性能較高的在線存儲設備中,而訪問頻率低的數據存放於較為廉價的離線存儲設備中;視頻錄像的歸檔可以充分利用高級存儲設備的數據遷移手段;分層存儲有效降低存儲系統的整體成本。
異地容災:以異地實時備份為基礎的、高效的、可靠的遠程數據存儲,在各單位的IT系統中,必然有核心部分,通常稱之為生產中心。往往給生產中心配備一個備份中心,改備份中心是遠程的,並且在生產中心的內部已經實施了各種各樣的數據保護。不管怎麼保護,當火災、地震這種災難發生時,一旦生產中心癱瘓了,備份中心會接管生產,繼續提供服務;視頻監控的多中心配置越來越多,各個中心的系統和數據容災應該借鑒IT的容災技術考慮。
結束語
大數據是繼雲計算、物聯網之後信息產業當前科技創新、產業政策及國家安全領域的又一次知識新增長點。在大數據的背景下信息安全面臨著很多的挑戰,特別是現階段視頻監控已有的信息安全手段已經不能滿足大數據時代的信息安全的實際要求,因此研究大數據時代視頻監控所面臨的信息安全問題具有重要意義。
以上是小編為大家分享的關於大數據時代的安防數據存儲安全的相關內容,更多信息可以關注環球青藤分享更多干貨
㈡ 名詞解釋:存儲技術
卡片式存儲設備
卡片式存儲設備算來算去只有幾種,而且都是利用半導體技術來儲存資料。存儲卡的原理和RAM一樣,區別只在於是否使用「Volatile"或「Non-volatile"(後者在沒有電源時,存儲設備內的資料也能永久保存)技術。
卡片式存儲器的應用領域有:
1.數字相機 要算使用存儲卡最多的IT產品,數字相機絕對是頭一個。由於數字相機需要有一定的容量來儲存相片,而且質量越高的相片要求越大的容量,所以數字相機足以保障存儲卡有一定的市場。
2.MP3隨身聽網際網路使MP3音樂垂手可得,也使MP3隨身聽有可能取代MD或CD隨身聽。而MP3隨身聽想要保存MP3歌曲文件,辦法就是使用存儲卡。通常,一部MP3隨身聽內置的是32MB的存儲卡(只能存放約10首歌曲),消費者往往會多買一張64MB的存儲卡來保存歌曲。這樣就會增大存儲卡的銷售。
8mm磁帶
8mm磁帶:是一種由Exabyte公司開發、適合於大中型網路和多用戶系統的大容量磁帶。8mm磁帶驅動器也採用螺旋掃描技術,而且磁帶較寬,因而存儲容量極高,一盒磁帶的最高容量可達150GB
存儲卡
這里說的存儲卡是用來儲存數據資料並且可以在電腦上使用的數據存儲卡!
1.CF卡CF卡是最早推出的存儲卡,也是大家都比較青睞的存儲卡。CF卡得以普及的原因很多,其中比較重要的一點就是物美價廉。比起其他數碼存儲卡,CF卡單位容量的存儲成本差不多是最低的,速度也比較快,而且大容量的CF卡比較容易買到。
我們可以接觸的到CF卡分為CFType I/CF Type II兩種類型。由於CF存儲卡的插槽可以向下兼容,因此TypeII插槽既可以使CF TypeII卡又可以使用CFType I卡;而Type I插槽則只能使用CFType I卡,而不能使用CFType II卡,朋友們在選購和使用的時候一定要注意。
2.SD卡 SD卡體積小巧,廣泛應用在數碼相機上,是由日本的松下公司、東芝公司和SanDisk公司共同開發的一種全新的存儲卡產品,最大的特點就是通過加密功能,保證數據資料的安全保密。SD卡在外形上同MultiMedia Card卡保持一致,並且兼容MMC卡介面規范。不過注意的是,在某些產品例如手機上,SD卡和MMS卡是不能兼容的。SD 卡在售價方面要高於同容量的MultiMedia Card卡。
3.MS卡在5年前,索尼公司生產了它自己的快閃記憶體記憶卡,就是記憶棒—MemoryStick。其應用於索尼公司出的數碼產品,掌上電腦、MP3、數碼相機、數碼攝像機等等數碼設備。由Memory Stick所衍生出來的Memory Stick PRO和Memory Stick DUO也是索尼記憶棒向高容量和小體積發展的產物。
4.SM卡SM卡最早是由東芝公司推出的,它僅僅是將存儲晶元封裝起來,自身不包含控制電路,所有的讀寫操作安全依賴於使用它的設備。盡管由於結構簡單可以做得很薄,在便攜性方面優於CF卡,但兼容性差是其致命之傷,一張SM卡一旦在MP3播放器上使用過,數碼相機就可能不能再讀寫。其市場表現已呈龍鍾之態,不會再有更多新的設備支持它。
5.MMC卡MMC卡是由Sandisk和西門子於1997年聯手推出的,它普及還沾了點SD卡的光。後來推出的SD卡標准中保留了設備對MMC卡的兼容,就是說雖然使用MMC卡的設備無法使用SD卡,而使用SD卡的設備卻可以毫無障礙地使用MMC卡,在某些時候使得MMC順利成為SD卡的代替品。MMC卡的大小和SD基本一樣,比SD卡要薄一點,不過在讀取速度上還是SD強。因此價格也是MMC比較便宜。
6.xD圖像卡xD圖像卡是繼上面幾種存儲卡而後生的存儲卡產品,是由富士膠卷和奧林巴斯光學工業為SM卡的後續產品成功開發的產品。它的特點是集體積更小、容量更大於一身,xD圖像卡設計只有一張郵票那麼大,未來圖像存儲能力高達令人驚嘆的8GB。
數字線性磁帶
DLT(Digital Linear Tape,數字線性磁帶)源於1/2英寸磁帶機,它出現很早,主要用於數據的實時採集。DLT每盒容量高達40GB以上,成本較低,主要定位於中、高級的伺服器市場與磁帶庫系統。
先進的智能型磁帶
AIT(先進的智能型磁帶)是SONY公司在快速訪問高密度磁帶錄制技術方面的最新創新,現已成為磁帶機工業標准。AIT使用一種磁帶盒上含有記憶體晶片的磁帶,通過在微型晶片上記錄磁帶上文件的位置,大大減少了存取時間。
數字音頻磁帶
ST(Digital Audio Tape:數字音頻磁帶)磁帶:該磁帶寬為0.15英寸(4mm),又叫4毫米磁帶。ST磁帶盒較小,體積僅為73mm×54mm×10.5mm,比一般錄音機磁帶盒還小。但由於該磁帶存儲系統採用了螺旋掃描技術,使得該磁帶具有很高的存儲容量。
差分備份
差分備份(Differential Backup) 就是每次備份的數據是相對於上一次全備份之後新增加的和修改過的數據。差分備份無需每天都做系統完全備份,因此備份所需時間短,並節省磁帶空間,它的災難恢復也很方便,系統管理員只需兩盤磁帶,即系統全備份的磁帶與發生災難前一天的備份磁帶,就可以將系統完全恢復。
映像備份
映像備份(Image copies)不壓縮、不打包、直接COPY獨立文件(數據文件、歸檔日誌、控制文件),類似操作系統級的文件備份。而且只能COPY到磁碟,不能到磁帶。
差異備份
復制自上一次普通備份或增量備份以來被創建或更改的文件的備份。它不將文件標記為已經備份(換句話說,沒有清除存檔屬性)。如果您要執行普通備份和差異備份的組合,則還原文件和文件夾將需要上次已執行過普通備份和差異備份。
SAN
SAN(Storage Area Network―存儲區域網路)一類專門用於提供企業商務數據或運營商數據的存儲和備份管理的網路。因為是基於網路化的存儲,SAN比傳統的存儲和備份技術擁有更大的容量和更強的性能。通過專門的存儲管理軟體,可以直接在SAN里的大型主機、伺服器或其它服務端電腦上添加硬碟和磁帶設備。現在大多數的SAN是基於光纖信道交換機和集線器的。通常SAN被配置成網路的後端部分,存在於數據中心或者伺服器場之後
Failover(故障恢復
Failover(故障恢復):功能相當的系統組件替代故障組件的一種自動替代系統。經常使用於連接到相同存儲設備和主機計算機的智能控制器。如果其中之一的控制器故障,故障恢復開始啟用,其他正常的控制器將負擔其I/O工作。
備份記錄
備份記錄(plicated record)文件記錄的復製品。保存在文件庫中,與原文件分開存放,是為了防止關鍵性文件或數據丟失而備制的。也稱復制記錄。
備份集
備份集(Backup sets)顧名思義就是一次備份的集合,它包含本次備份的所有備份片。一個備份集根據備份的類型不同,可能構成一個完全備份或增量備份。
Backup(備份)
Backup(備份):存儲在非易失性存儲介質上的數據集合,這些數據用來進行原始數據丟失或者不可訪問條件下的數據恢復。為了保證恢復時備份的可用性,備份必須一致性狀態下通過拷貝原始數據來實現。
容錯
容錯:系統在其某一組件故障時仍繼續正常工作的功能。容錯功能一般通過冗餘組件設計來實現。
iSCSI
iSCSI:連接到一個TCP/IP網路的直接定址的存儲庫,通過塊I/O SCSI指令對其進行訪問。ISCSI是一種基於開放的工業標准,通過它可以用TCP/IP對SCSI(小型計算機系統介面--一種數據傳輸的公共協議)指令進行封裝,這樣就可以使這些指令能夠通過基於IP(乙太網或千兆位乙太網)「網路」進行傳輸。這一標準的目的是允許使用現有的乙太網網路傳輸SCSI指令和數據,而這一過程完全不依賴於地點。對這一產品的另外一種描述是,它是連接到TCP/IP網路的存儲,但可以使用與DAS和SAN存儲一樣的I/O指令對其進行訪問。
㈢ 數據安全保護的方法有什麼
大數據安全防護要「以數據為中心」、「以技術為支撐」、「以管理為手段」,聚焦數據體系和生態環境,明確數據來源、組織形態、路徑管理、應用場景等,圍繞大數據採集、傳輸、存儲、應用、共享、銷毀等全過程,構建由組織管理、制度規程、技術手段組成的安全防護體系,實現大數據安全防護的閉環管理。
1.大數據採集安全
元通過數據安全管理、數據類型和安全等級打標,將相應功能內嵌入後台的數據管理系統,或與其無縫對接,從而保證網路安全責任制、安全等級保護、數據分級分類管理等各類數據安全制度有效的落地實施。
2.大數據存儲及傳輸安全
通過密碼技術保障數據的機密性和完整性。在數據傳輸環節,建立不同安全域間的加密傳輸鏈路,也可直接對數據進行加密,以密文形式傳輸,保障傳輸過程安全。數據存儲過程中,可採取數據加密、磁碟加密、HDFS加密等技術保障存儲安全。
3.大數據應用安全
除了防火牆、入侵監測、防病毒、防DDos、漏洞掃描等安全防護措施外,還應對賬號統一管理,加強數據安全域管理,使原始數據不離開數據安全域,可有效防範內部人員盜取數據的風險。另外還應對手機號碼、身份證號、家庭住址、年齡等敏感數據脫敏工作。
4.大數據共享及銷毀
在數據共享時,除了應遵循相關管理制度,還應與安全域結合起來,在滿足業務需求的同時,有效管理數據共享行為。在數據銷毀過程中,可通過軟體或物理方式操作,保證磁碟中存儲的數據永久刪除、不可恢復。
(1)物理安全措施:物理安全主要包括環境安全、設備安全、媒體安全等方面。處理秘密信息的系統中心機房應採用有效的技術防範措施,重要的系統還應配備警衛人員進行區域保護。
(2)運行安全安全措施:運行安全主要包括備份與恢復、病毒的檢測與消除、電磁兼容等。涉密系統的主要設備、軟體、數據、電源等應有備份,並具有在較短時間內恢復系統運行的能力。應採用國家有關主管部門批準的查毒殺毒軟體適時查毒殺毒,包括伺服器和客戶端的查毒殺毒。
(3)信息安全安全措施:確保信息的保密性、完整性、可用性和抗抵賴性是信息安全保密的中心任務。
(4)安全保密管理安全措施:涉密計算機信息系統的安全保密管理包括各級管理組織機構、管理制度和管理技術三個方面。
國際標准化委員會的定義是"為數據處理系統和採取的技術的和管理的安全保護,保護計算機硬體、軟體、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。"中國公安部計算機管理監察司的定義是"計算機安全是指計算機資產安全,即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。"
㈣ 資料庫加密的方式有哪幾種
資料庫加密的方式有多種,不同場景下仍在使用的資料庫加密技術主要有:前置代理加密、應用系統加密、文件系統加密、後置代理加密、表空間加密和磁碟加密等,這些你找安策工程師幫你,都是可以做到的網路裡面也有詳細介紹。
㈤ 網路安全的五種屬性,並解釋其含義
1、可用性,指得到授權的實體在需要時可以使用所需要的網路資源和服務。用戶對信息和通信需求是隨機的多方面的,有的還對實時性有較高的要求。網路必須能夠保證所有用戶的通信需要,不能拒絕用戶要求。攻擊者常會採用一些手段來佔用或破壞系統的資源,以阻止合法用戶使用網路資源,這就是對網路可用性的攻擊。對於針對網路可用性的攻擊,一方面要採取物理加固技術,保障物理設備安全、可靠地工作;另一方面通過訪問控制機制,阻止非法訪問進入網路。
2、機密性,指網路中信息不被非授權實體(包括用戶和進程等)獲取與使用。包括國家機密、企業和社會團體的商業和工作秘密,個人秘密(如銀行賬號)和隱私(如郵件、瀏覽習慣)等。網路的廣泛使用,使對網路機密性的要求提高了。網路機密性主要是密碼技術,網路不同層次上有不同的機制來保障機密性。物理層主要是採取屏蔽技術、干擾及跳頻技術防止電磁輻射造成信息外泄:在網路層、傳輸層及應用層主要採用加密、路由控制、訪問控制、審計等方法
3、完整性,指網路信息的真實可信性,即網路少的信息不會被偶然或者蓄意地進行刪除、修改、偽造、插入等破壞,保證授權用戶得到的信息是真實的。只有具有修改許可權的實體才能修改信息,如果信息被未經授權的實體修改了或在傳輸過程中出現廠錯誤,信息的使用者應能夠通過一定的方式判斷出信息是否真實可靠。
4、可靠性,是指系統在規定的條件下和規定的時間內,完成規定功能的概率。可靠性是網路安全最基本的要求之一。目前對於網路可靠性的研究主要偏重於硬體可靠性的研究,主要採用硬體冗餘、提高研究質量和精確度等方法。實際上軟體的可靠性、人員的可靠性和環境的可靠性在保證系統可靠性方面也是非常重要的。
5、不可抵賴性,也稱為不可否認性;是指通信的雙方在通信過程中,對於自己所發送或接收的消息不可抵賴:即發送者不能抵賴他發送過消息的事實和消息內容,而接收者也不能抵賴其接收到消息的事實和內容
㈥ 常用的資料庫安全技術有哪些
資料庫的安全性是指保護資料庫以防止不合法的使用所造成的數據泄露、更改或破壞。
安全性問題不是資料庫系統所獨有的,所有計算機系統都有這個問題。只是在資料庫系統中大量數據集中存放,而且為許多最終用戶直接共享,從而使安全性問題更為突出。 系統安全保護措施是否有效是資料庫系統的主要指標之一。 資料庫的安全性和計算機系統的安全性,包括操作系統、網路系統的安全性是緊密聯系、相互支持的。
實現資料庫安全性控制的常用方法和技術有:
(1)用戶標識和鑒別:該方法由系統提供一定的方式讓用戶標識自己咱勺名字或身份。每次用戶要求進入系統時,由系統進行核對,通過鑒定後才提供系統的使用權。
(2)存取控制:通過用戶許可權定義和合法權檢查確保只有合法許可權的用戶訪問資料庫,所有未被授權的人員無法存取數據。例如C2級中的自主存取控制(I)AC),Bl級中的強制存取控制(M.AC)。
(3)視圖機制:為不同的用戶定義視圖,通過視圖機制把要保密的數據對無權存取的用戶隱藏起來,從而自動地對數據提供一定程度的安全保護。
(4)審計:建立審計日誌,把用戶對資料庫的所有操作自動記錄下來放人審計日誌中,DBA可以利用審計跟蹤的信息,重現導致資料庫現有狀況的一系列事件,找出非法存取數據的人、時間和內容等。
(5)數據加密:對存儲和傳輸的數據進行加密處理,從而使得不知道解密演算法的人無法獲知數據的內容。
㈦ 現在資料庫加密的方式有哪幾種
資料庫加密的方式從最早到現在有4種技術,首先是前置代理加密技術,該技術的思路是在資料庫之前增加一道安全代理服務,所有訪問資料庫的行為都必須經過該安全代理服務,在此服務中實現如數據加解密、存取控制等安全策略,安全代理服務通過資料庫的訪問介面實現數據存儲。安全代理服務存在於客戶端應用與資料庫存儲引擎之間,負責完成數據的加解密工作,加密數據存儲在安全代理服務中。
然後是應用加密技術,該技術是應用系統通過加密API對敏感數據進行加密,將加密數據存儲到資料庫的底層文件中;在進行數據檢索時,將密文數據取回到客戶端,再進行解密,應用系統自行管理密鑰體系。
其次是文件系統加解密技術,該技術不與資料庫自身原理融合,只是對數據存儲的載體從操作系統或文件系統層面進行加解密。這種技術通過在操作系統中植入具有一定入侵性的「鉤子」進程,在數據存儲文件被打開的時候進行解密動作,在數據落地的時候執行加密動作,具備基礎加解密能力的同時,能夠根據操作系統用戶或者訪問文件的進程ID進行基本的訪問許可權控制。
最後後置代理技術,該技術是使用「視圖」+「觸發器」+「擴展索引」+「外部調用」的方式實現數據加密,同時保證應用完全透明。核心思想是充分利用資料庫自身提供的應用定製擴展能力,分別使用其觸發器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術來滿足數據存儲加密,加密後數據檢索,對應用無縫透明等核心需求。安華金和的加密技術在國內是唯一支持TDE的資料庫加密產品廠商。
㈧ 在數據保護方面,信創雲是如何保障的
華雲數據作為信創雲計算專家,自主研發的「信創雲基座」對用戶數據的保護是全方位的。儲存方面:存儲多副本、延展集群;備份:集群互備、集群數據備份到對象存儲,能滿足本地備份、異地備份等備份場景;在用戶業務連續性方面,提供容錯虛擬機支持秒級恢復保障;計劃內進行數據和業務的切記,保障數據零損失;在數據的傳輸流轉過程中,實現了遷移加密、傳輸加密。同時信創雲基座已實現無縫對接第三方專業備份廠商,支持文件備份、應用備份,有效保護用戶數據和業務。
㈨ 常用網路安全技術有哪些
互聯網流行的現在,在方便大眾的同時,也有很多損害大眾的東西出現,比如木馬病毒、黑客、惡意軟體等等,那麼,計算機是如何進行防範的呢?其實是運用了網路安全技術。我在這里給大家介紹常見的網路安全技術,希望能讓大家有所了解。
常用網路安全技術1、數據加密技術
數據加密技術是最基本的網路安全技術,被譽為信息安全的核心,最初主要用於保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種 方法 將被保護信息置換成密文,然後再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決於所採用的密碼演算法和密鑰長度。
計算機網路應用特別是電子商務應用的飛速發展,對數據完整性以及身份鑒定技術提出了新的要求,數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。數據傳輸的完整性通常通過數字簽名的方式來實現,即數據的發送方在發送數據的同時利用單向的Hash函數或者 其它 信息文摘演算法計算出所傳輸數據的消息文摘,並將該消息文摘作為數字簽名隨數據一同發送。接收方在收到數據的同時也收到該數據的數字簽名,接收方使用相同的演算法計算出接收到的數據的數字簽名,並將該數字簽名和接收到的數字簽名進行比較,若二者相同,則說明數據在傳輸過程中未被修改,數據完整性得到了保證。常用的消息文摘演算法包括SHA、MD4和MD5等。
根據密鑰類型不同可以將現代密碼技術分為兩類:對稱加密演算法(私鑰密碼體系)和非對稱加密演算法(公鑰密碼體系)。在對稱加密演算法中,數據加密和解密採用的都是同一個密鑰,因而其安全性依賴於所持有密鑰的安全性。對稱加密演算法的主要優點是加密和解密速度快,加密強度高,且演算法公開,但其最大的缺點是實現密鑰的秘密分發困難,在大量用戶的情況下密鑰管理復雜,而且無法完成身份認證等功能,不便於應用在網路開放的環境中。目前最著名的對稱加密演算法有數據加密標准DES和歐洲數據加密標准IDEA等。
在公鑰密碼體系中,數據加密和解密採用不同的密鑰,而且用加密密鑰加密的數據只有採用相應的解密密鑰才能解密,更重要的是從加密密碼來求解解密密鑰在十分困難。在實際應用中,用戶通常將密鑰對中的加密密鑰公開(稱為公鑰),而秘密持有解密密鑰(稱為私鑰)。利用公鑰體系可以方便地實現對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密,信息接收者在收到這些信息之後利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發送,這樣就方便地實現了對信息發送方身份的鑒別和認證。在實際應用中通常將公鑰密碼體系和數字簽名演算法結合使用,在保證數據傳輸完整性的同時完成對用戶的身份認證。
目前的公鑰密碼演算法都是基於一些復雜的數學難題,例如目前廣泛使用的RSA演算法就是基於大整數因子分解這一著名的數學難題。目前常用的非對稱加密演算法包括整數因子分解(以RSA為代表)、橢園曲線離散對數和離散對數(以DSA為代表)。公鑰密碼體系的優點是能適應網路的開放性要求,密鑰管理簡單,並且可方便地實現數字簽名和身份認證等功能,是目前電子商務等技術的核心基礎。其缺點是演算法復雜,加密數據的速度和效率較低。因此在實際應用中,通常將對稱加密演算法和非對稱加密演算法結合使用,利用DES或者IDEA等對稱加密演算法來進行大容量數據的加密,而採用RSA等非對稱加密演算法來傳遞對稱加密演算法所使用的密鑰,通過這種方法可以有效地提高加密的效率並能簡化對密鑰的管理。
2、防火牆技術
盡管近年來各種網路安全技術在不斷涌現,但到目前為止防火牆仍是網路 系統安全 保護中最常用的技術。據公安部計算機信息安全產品質量監督檢驗中心對2000年所檢測的網路安全產品的統計,在數量方面,防火牆產品占第一位,其次為網路安全掃描和入侵檢測產品。
防火牆系統是一種網路安全部件,它可以是硬體,也可以是軟體,也可能是硬體和軟體的結合,這種安全部件處於被保護網路和其它網路的邊界,接收進出被保護網路的數據流,並根據防火牆所配置的訪問控制策略進行過濾或作出 其它操 作,防火牆系統不僅能夠保護網路資源不受外部的侵入,而且還能夠攔截從被保護網路向外傳送有價值的信息。防火牆系統可以用於內部網路與Internet之間的隔離,也可用於內部網路不同網段的隔離,後者通常稱為Intranet防火牆。
目前的防火牆系統根據其實現的方式大致可分為兩種,即包過濾防火牆和應用層網關。包過濾防火牆的主要功能是接收被保護網路和外部網路之間的數據包,根據防火牆的訪問控制策略對數據包進行過濾,只准許授權的數據包通行。防火牆管理員在配置防火牆時根據安全控制策略建立包過濾的准則,也可以在建立防火牆之後,根據安全策略的變化對這些准則進行相應的修改、增加或者刪除。每條包過濾的准則包括兩個部分:執行動作和選擇准則,執行動作包括拒絕和准許,分別表示拒絕或者允許數據包通行;選擇准則包括數據包的源地址和目的地址、源埠和目的埠、協議和傳輸方向等。建立包過濾准則之後,防火牆在接收到一個數據包之後,就根據所建立的准則,決定丟棄或者繼續傳送該數據包。這樣就通過包過濾實現了防火牆的安全訪問控制策略。
應用層網關位於TCP/IP協議的應用層,實現對用戶身份的驗證,接收被保護網路和外部之間的數據流並對之進行檢查。在防火牆技術中,應用層網關通常由代理伺服器來實現。通過代理伺服器訪問Internet網路服務的內部網路用戶時,在訪問Internet之前首先應登錄到代理伺服器,代理伺服器對該用戶進行身份驗證檢查,決定其是否允許訪問Internet,如果驗證通過,用戶就可以登錄到Internet上的遠程伺服器。同樣,從Internet到內部網路的數據流也由代理伺服器代為接收,在檢查之後再發送到相應的用戶。由於代理伺服器工作於Internet應用層,因此對不同的Internet服務應有相應的代理伺服器,常見的代理伺服器有Web、Ftp、Telnet代理等。除代理伺服器外,Socks伺服器也是一種應用層網關,通過定製客戶端軟體的方法來提供代理服務。
防火牆通過上述方法,實現內部網路的訪問控制及其它安全策略,從而降低內部網路的安全風險,保護內部網路的安全。但防火牆自身的特點,使其無法避免某些安全風險,例如網路內部的攻擊,內部網路與Internet的直接連接等。由於防火牆處於被保護網路和外部的交界,網路內部的攻擊並不通過防火牆,因而防火牆對這種攻擊無能為力;而網路內部和外部的直接連接,如內部用戶直接撥號連接到外部網路,也能越過防火牆而使防火牆失效。
3、網路安全掃描技術
網路安全掃描技術是為使系統管理員能夠及時了解系統中存在的安全漏洞,並採取相應防範 措施 ,從而降低系統的安全風險而發展起來的一種安全技術。利用安全掃描技術,可以對區域網絡、Web站點、主機 操作系統 、系統服務以及防火牆系統的安全漏洞進行掃描,系統管理員可以了解在運行的網路系統中存在的不安全的網路服務,在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序,防火牆系統是否存在安全漏洞和配置錯誤。
(1) 網路遠程安全掃描
在早期的共享網路安全掃描軟體中,有很多都是針對網路的遠程安全掃描,這些掃描軟體能夠對遠程主機的安全漏洞進行檢測並作一些初步的分析。但事實上,由於這些軟體能夠對安全漏洞進行遠程的掃描,因而也是網路攻擊者進行攻擊的有效工具,網路攻擊者利用這些掃描軟體對目標主機進行掃描,檢測目標主機上可以利用的安全性弱點,並以此為基礎實施網路攻擊。這也從另一角度說明了網路安全掃描技術的重要性,網路管理員應該利用安全掃描軟體這把"雙刃劍",及時發現網路漏洞並在網路攻擊者掃描和利用之前予以修補,從而提高網路的安全性。
(2) 防火牆系統掃描
防火牆系統是保證內部網路安全的一個很重要的安全部件,但由於防火牆系統配置復雜,很容易產生錯誤的配置,從而可能給內部網路留下安全漏洞。此外,防火牆系統都是運行於特定的操作系統之上,操作系統潛在的安全漏洞也可能給內部網路的安全造成威脅。為解決上述問題,防火牆安全掃描軟體提供了對防火牆系統配置及其運行操作系統的安全檢測,通常通過源埠、源路由、SOCKS和TCP系列號來猜測攻擊等潛在的防火牆安全漏洞,進行模擬測試來檢查其配置的正確性,並通過模擬強力攻擊、拒絕服務攻擊等來測試操作系統的安全性。
(3) Web網站掃描
Web站點上運行的CGI程序的安全性是網路安全的重要威脅之一,此外Web伺服器上運行的其它一些應用程序、Web伺服器配置的錯誤、伺服器上運行的一些相關服務以及操作系統存在的漏洞都可能是Web站點存在的安全風險。Web站點安全掃描軟體就是通過檢測操作系統、Web伺服器的相關服務、CGI等應用程序以及Web伺服器的配置, 報告 Web站點中的安全漏洞並給出修補措施。Web站點管理員可以根據這些報告對站點的安全漏洞進行修補從而提高Web站點的安全性。
(4) 系統安全掃描
系統安全掃描技術通過對目標主機的操作系統的配置進行檢測,報告其安全漏洞並給出一些建議或修補措施。與遠程網路安全軟體從外部對目標主機的各個埠進行安全掃描不同,系統安全掃描軟體從主機系統內部對操作系統各個方面進行檢測,因而很多系統掃描軟體都需要其運行者具有超級用戶的許可權。系統安全掃描軟體通常能夠檢查潛在的操作系統漏洞、不正確的文件屬性和許可權設置、脆弱的用戶口令、網路服務配置錯誤、操作系統底層非授權的更改以及攻擊者攻破系統的跡象等。
㈩ 當前主流的加密技術有哪些
信息安全的重要性我們就不需再繼續強調了,無論企業還是個人,都對加密軟體的穩定性和安全性提出了更高的要求。可迎面而來更讓很多人困惑的是當加密軟體遍布市場令人應接不暇時,我們該如何去選擇。下面讓我們先來看一下目前主流的加密技術都有哪些。
1、 透明加密
透明加密技術是近年來針對企業文件保密需求應運而生的一種文件加密技術。所謂透明,是指對使用者來說是未知的。當使用者在打開或編輯指定文件時,系統將自動對未加密的文件進行加密,對已加密的文件自動解密。文件在硬碟上是密文,在內存中是明文。一旦離開使用環境,由於應用程序無法得到自動解密的服務而無法打開,從而起來保護文件內容的效果。
2、 驅動透明加密
驅動加密技術基於windows的文件系統(過濾)驅動(IFS)技術,工作在windows的內核層。我們在安裝計算機硬體時,經常要安裝其驅動,如列印機、U盤驅動。文件系統驅動就是把文件作為一種設備來處理的一種虛擬驅動。當應用程序對某種後綴文件進行操作時,文件驅動會監控到程序的操作,改變其操作方式,從而達到透明加密的效果。
3、 磁碟加密技術
磁碟加密技術相對於文檔加密技術,是在磁碟扇區級採用的加密技術,一般來說,該技術與上層應用無關,只針對特點的磁碟區域進行數據加密或者解密。
選擇加密軟體首先要考慮哪種加密技術更適合自己。其考核的標準是在進行各種大量文件操作後,文件是否會出現異常而無法打開,企業可以使用各種常規和非常規的方法來仔細測試;此外透明加密產品是否支持在網路文件系統下各種應用程序的正常工作也可以作為一個考核的要點。目前受關注度比較高的是透明加密技術,主要針對文檔信息安全,這也是因為辦公自動化的普及,企業內部的信息往來及重要機密都是以文檔的方式來存儲,因此透明加密方式更適合這種以文件安全防護為主的用戶,加密方式也更安全可靠。
我們知道office文檔可以通過設置密碼來進行加密,因此有些認為這樣便能很好地保護信息安全,但是他們沒有意識到現在黑客技術也在不斷的成熟,而且密碼加密有有機可乘的漏洞,並不能讓企業機密高枕無憂。因此安全度更高的透明加密更符合人們的需要,脫離使用環境時文件得不到解密服務而以密文的形式呈現,即使盜竊者拿到文件資料也是沒有辦法破解的,也就沒有任何利用價值。
加密技術是信息安全的核心技術,已經滲透到大部分安全產品之中。鵬宇成的免費加密軟體核心文件保護工具採用的是透明加密技術,通過伺服器端驗證來對文件進行正常的加密解密過程,並且集成外發文件控制系統保證對外發文件隨時可控,歡迎廣大用戶免費下載使用。