安全技术论文汇总十篇
时间:2023-03-27 16:31:44
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇安全技术论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
篇(1)
1.1数据隔离
云计算系统对于客户数据的存放可采用两种方式实现,即提供统一共享的存储设备或者单独的存储设备。目前各个部门都有单独的存储,但后续规划是建成统一的数据存储系统。这就需要存储自身的安全措施,比如存储映射等功能可以确保数据的隔离性,它基于共享存储的方式,能够节约存储空间并且统一管理。
1.2数据保护
对于存储在云计算平台中的数据,可采取快照、备份和容灾等重要保护手段确保客户重要数据的安全。对于数据备份,可通过现有的企业级备份软件或者存储备份功能实现,可按照用户设定的备份策略对其文件和数据库进行自动备份及恢复,包括在线和离线备份,如图3所示。一般数据库备份推荐一周一次全备,根据实际情况配置差分增量备份,差分增量适合数据量变化多的数据库,恢复时需要的恢复次数较多。
2网络安全
在进行勘探云平台建设的过程中,网络虚拟化技术是其中的一个必要环节和组成部分。利用网络虚拟化技术可以比较好地提供网络链路安全和网络隔离的解决方案,不仅可以提供高带宽和低延时,还能提供负载均衡和高强度的冗余性,为云平台业务应用提供可靠的网络环境保障。
2.1网络链路安全
网络链路是一个端到端的通路,一边是服务器端,一边是交换机端。在服务器端应用端口虚拟化连接技术,可以将实际的物理网络端口,按照需求通过虚拟化连接管理配置到各个不同的VLAN端口中,在与交换机的链接上,可通过端口汇聚技术及协议实现高带宽、负载均衡以及多链路冗余,在端对端配置的过程中,必须遵照相互可通行的网络协议。应用网络虚拟化技术后不但可以满足勘探云平台的网络速度的要求,同时也提供了可靠的网络链路保障。如图4所示。
2.2网络隔离
针对网络、存储和服务器安全问题,采用网络隔离技术,网络隔离提供数据传输的安全性。从网络的角度,业务隔离必须要从接入层能够将各业务的服务器分开。(1)VLAN。VLAN主要用在研究院内部,用于隔离不同的应用和客户程序,确保一个客户无法获取其他用户的网络数据,但是网络的管理员可以看到所有的网络数据。因此,这种方法只有隔离性,没有保证私密性。为了既能满足研究院外网络访问勘探云平台的要求,又要最大限度地保障勘探数据的安全性,勘探云平台设计运行在内网(192.168.X.X网段用于高速内部数据交换)和外网(10.72.x.x网段用于外部平台访问)两个不同网段。数据库服务器、集中存储系统,关键性管理服务器仅配置内部网段。(2)VPN。VPN又称虚拟专用网络,是将多台分布的计算机用一个私有的经过加密的网络连接起来,形成一个私有的网络。当用户通过数据网络访问云服务时,对链路加密是保证用户数据不被非法窃取的必要手段。VPN是通用的链路加密方式,在云计算环境中,SSL是被广泛使用的VPN技术,是一种常见的传输安全技术,主要用在浏览器和服务器之间的通信上,比较适合点对点的安全保障。
3灾备管理
遇到UPS无法供电、机房失火、地震等极端情况造成的数据丢失和业务停止,云计算平台应该可以切换到其他备用站点以继续提供服务。对于一个云计算服务的用户,可以选择不同地点的中心机房提供服务,这样即使服务停止用户也可以保留自己的数据,并继续运行自己的业务。
篇(2)
2煤层瓦斯压力测定
在井筒工作面掘进至距煤层法距10m位置时,施工3个测压孔测定煤层瓦斯压力。采用主动测压法进行测定[5],封孔采用水泥砂浆,经水泥砂浆凝固后,安装压力表并注入补偿气体氮气,稳定后测得煤层瓦斯压力,测压孔1、测压孔2、测压孔3瓦斯压力分别为1.40,0.68,1.21MPa。
3突出危险性综合指标的计算
工作面突出危险性综合指标D、K的计算公式为:式中,H为煤层埋藏深度,取192m;P为煤层瓦斯压力,取测定的瓦斯压力最大值1.40MPa;ΔP为瓦斯放散初速度;f为煤层坚固性系数。将数据代入公式计算得:D=2.34,K=49。根据矿区历史资料及实验室研究得出的突出危险性指标临界值见表1,根据实测值与临界值的对比,可知煤层具有煤与瓦斯突出危险,必须采取合理的防突技术措施进行消突。
4消突技术措施
在工作面掘进至距离煤层顶板法距7m时停止掘进,采取防突措施,施工100个穿层措施孔,通过布置瓦斯抽、排钻孔相结合,达到综合消除突出危险的效果。钻孔孔径为94mm,水泥砂浆封孔,封孔深度3m,封孔管选用66.7mm的PVC管。
5效果检验孔检验
在距离煤层顶板法距为7m位置,实施5个效果检验孔,利用钻屑瓦斯解吸指标法对抽采效果进行了检验[6]。实测的Δh2平均值随时间变化情况如图3所示。其中,钻屑瓦斯解吸指标法预测的井筒揭煤工作面突出危险性临界值见表2。结合图3和表2可知,经过20d的瓦斯抽排,Δh2指标明显降至临界范围内,消除了煤与瓦斯突出危险,从而达到了井筒揭煤瓦斯防治的目的。
6远距离爆破揭煤
在区域及局部防突措施效果检验允许后,在距离煤层法线1.5m处开始采用渐进法施工,利用打眼放炮法掘进施工,打眼深度2.2m,炮眼布置如图4所示。爆破后及时采用锚网索支护,采用挖装机配合箕斗进行出渣。出渣完成后,架29U型钢棚,喷射混凝土进行永久支护,完成后进行下一循环施工。采用渐进法爆破掘进至越过煤层底板法距2m处,主斜井井筒安全顺利通过煤层。
篇(3)
2爆破工作时的安全措施
工作面起底、松动爆破(过断或冲刷砂岩体时)、开帮、巷道挑顶,开掘绞车窝、水泵窝、放炮打大块、处理压架等放炮施工都要注意以下措施:(1)炸药和电雷以及相关的爆破材料一定要专业人员按规定严格管理运输;(2)爆破前的准备工作要做完全,打眼前必须执行好敲帮问顶制度,先处理掉活矸,确认安全或在有临时支护掩护下方可进行打眼。架前或架顶打眼时还必须停开刮板运输机和采煤机,并闭锁;(3)装配引药时必须在顶板完好、支架完整、避开电气设备和导电体的爆破工作地点附近进行,严禁坐在爆炸材料箱上装配起爆药卷,严禁用电雷管代替竹、木棍扎眼装配引药。数量以当时当地需要的数量为限;(4)每次爆破后,必须待放炮地点的炮烟被吹散,爆破工、瓦斯检查工和班组长必须首先巡视爆破地点,检查通风、瓦斯、煤尘、顶板、支架、拒爆、残爆等情况。如有危险情况,必须立即处理。待处理并确认安全后方可进行工作;(5)爆破时若出现拒爆,必须过15min后方可沿线路查找原因进行处理。若因连线不良,可重新连线爆破;若不是连线不良引起的拒爆,必须严格按照《煤矿安全规程》中有关处理拒爆、残爆的规定执行。
3做好一通三防的安全监控
监控信号电缆和电源电缆应敷设在巷内的电缆钩上,且在电力电缆上方0.1m以上处。电缆连接使用专用接线盒。必须每天检查安全监控设备及电缆是否正常,当发现有故障时,必须及时处理。同时坚持好用光学甲烷检测仪的检测。安全监控设备必须具有故障闭锁功能,如因特殊原因需要其停止运行时,必须报告调度室,并制定安全措施后方可进行。必须加强安全监控设备管理,确保其发挥应有功能。甲烷传感器参数设定如表1。
4巷内运输安全措施
巷内严格执行“行车不行人制度”。每次拉放车辆似前,必须由出进车负责人清退车辆运行区段内的人员,确保车辆运行区段无人后,方可按规定开车。开车当中由绞车司机负责监督人员不准进入拉放车辆区段,以防发生事故。每部绞车必须用4根L×Φ=1200×18mm的地锚固定牢固。车要稳正,钢丝绳要盘顺,钢丝绳、绳皮、绳卡、挡绳板等齐全完好,各种保护齐全、灵敏可靠,绞车及材料最突出部分与轨道距离保证0.5m以上。每部绞车前后50m范围内及2°以上坡度处必须设置常闭式挡车装置。摘挂钩工要详细检查钩头30m范围内的钢丝绳、钩头、三环链、插销等情况,摘挂钩工不得在弯道内侧操作,必须在车辆停稳后方可操作。摘挂钩时,必须把三环链、插销上齐全、牢固。严禁调度绞车反向拉车和起吊重物。每次拉放物料重量不得超过表2规定。
篇(4)
计算机病毒,是指应用制定好的程序输入计算机中,对计算机的程序进行破坏,从而影响计算机的正常使用。与黑客相比较,计算机病毒的特性,更让人们烦恼。其本身不但具有破坏性,更具有传染性,就像普通的生物病毒一样,计算机病毒一旦被复制或者产生变种,其传染速度是难以想象的,一旦有一台计算机感染和其接触的各种移动设备也都将成为病毒网络安全威胁若干因素和安全技术研究文/张欣21世纪,是信息化的时代,是计算机网络应用加速发展的时代,在计算机网络走进千家万户的同时,随之而来的是网络安全问题。为了保证广大的网民可以有个安全良好的网络环境,专业人士应针对不同网络的安全问题给出相应的解决方案。使得大家都有安全可靠的网络环境。摘要的携带者,将病毒继续传播。除了传染性之外,计算机病毒的潜伏性也和生物病毒相似,其发作的时间是可以提前预定好的,就像生物病毒的潜伏期一样,在发病之前是不易被人们察觉的,具有极好的隐蔽性,但一旦病发,就是极其可怕的,将影响网络的正常应用。
1.2计算机软件漏洞
在长久的软件应用过程中,发现了许多漏洞,使得软件在使用过程中的安全性降低。这些缺陷是在软件开发编程时经过无数次的修改测试,仍然无法解决的问题。软件带着这些无法解决的遗留问题流入市场,被大家广泛应用,在享受这些软件带给大家生活乐趣的同时,有一些黑客会怀着恶意破坏的心里,利用这些漏洞,对网络进行破坏。有的也可能因为软件本身的漏洞太大,而直接自身成为计算机的一种安全威胁。
1.3计算机的配置不当
在普遍利用网络工作和生活的今天,有很多人,因为对于网络的认识只是表面的皮层认知,致使在使用过程中,给计算机配置不当的网络安全设置,例如有的防火墙就是不能很好的起到防护的作用是形同虚设的,这样就会在无意识中加大计算机的危险性,可能会引起不必要的安全性问题。
1.4使用者的安全意识薄弱
网络安全问题除了上述一些客观因素和主管专业性不强之外,还有一个很重要的因素是使用者没有相应的网络安全意识,不懂得网络和实际的生活一样,同样是需要大家提高警惕,在网络上与他人分享私人的信息,还有应用软件时输入一些信息口令,在大家无意识的做这些事情的同时,可能一些非法人事已经盗取了我们的信息,致使我们不必要的财产损失。
2网络的安全技术
既然网络上有诸多的安全问题,相对应的就会有解决的办法,下面就一一谈谈上述问题的安全技术解决方案。
2.1入侵技术检测
入侵检测是指,通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。就像一个监控器一样对不安全因素有实时监控的作用,可以快速及时的预防不安全因素对网络产生的破坏。
2.2杀毒软件应用
既然计算机病毒的出现,就有杀毒软件的应运而生。杀毒软件在大多数网络用户的计算机上都属于常用软件,人们使用起来都是比较方便快捷操作简单的,但正因如此,其杀毒的功能有限,只能针对于一些小型用户的普通病毒进行查杀,并不能很好的解决网络安全的问题,尤其是在电子商务飞速发展的今天,杀毒软件并不能很好的对网络起到保护性的作用。这就要求软件开发者不断的技术革新,研发出更适合现代网络的杀毒软件。
2.3防火墙安全技术
防火墙技术,最初是针对网络不安全因素采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。对于个人来说使用软件防火墙,就可以很有效的解决平时遇到的网络安全相关问题。防火墙可以对黑客起到很好的防护作用,但也并不是完全的抵御,要想实现真正的良好的环境,还应有其他的防护措施来保护网络的安全。
2.4数据加密安全技术
数据加密技术是指通过特定的网络密钥才能解开计算机,从而获得计算机的数据。通俗意义上说,就是给我们比较重要的数据加个私人密码,让外人在非指定的机器,没有密码的前提下无法获得我们的信息,从而对我们的数据起到一个保护的作用。而高级的密码也可以抵御黑客和病毒的入侵,使得我们的计算机网络处于一个相对安全的环境下,保证我们的良好网络环境。
篇(5)
依据不完全统计,出现安全问题的绝大多数原因都是人为造成的,所以人为因素是制约机械设备安全生产运行的主导因素。要想处理好工程的安全问题,就要加大对机械设备操作人员的监管,所有工作人员都有要进行培训,持证上岗(特种设备需持有建设行政主管部门颁发的特殊工种作业证),进入施工现场后还必须通过三级教育、民工业余学习等形式进行培训。建筑机械的特殊性就是绝大多数的中小型建筑机械比较容易操作,它会使有些操作人员麻痹大意,觉得自己完全可以轻松驾驭,埋下了生产安全隐患。然而,大多数的中小型机械结构比较简易,操作比较容易,但是它依然是笨重性机械设备,具有较强的惯性,如果发生问题控制起来比较困难。例如砂浆搅拌机,它的结构非常简单,操作比较容易,运动的速度也比较缓慢,假如是由一位没有经过任何培训的工作人员来进行操作,他根本就不会注意到机械设备的危险性。在进行搅拌的时候,假如使用物料来搅拌桶里面的砂浆,这样就会非常的危险;假如拌叶被石块等卡住了,操作人员应该如何去处理,这所有的紧急问题不是任何人都可以处理的,特别是对于农民工来说更加的困难。2012年苏州某工地就发生过此类事故,一名正在操作搅拌机的工人在未停机断电的情况下,将头伸进正在运行的搅拌桶,身体碰到操纵杆,导致料斗突然间提升,当场夹住头部死亡。还有就是物料提升机,这看上去是一项简单的上下运动,然而在工作的过程中会存在较多的安全问题,例如高空下坠、物料被卡或者散落、运动的过程中工作人员探头向外瞭望等等。操作人员如果没有进行安全培训压跟就不会对这些安全问题进行注意,一旦发生紧急问题也不知道该如何来进行解决。2006年苏州某工地同样发生类似事故,工人在违规乘坐物料提升机时高处坠落当场死亡。因此,一定要对机械设备的操作作人员进行岗前培训,机械设备操作人员不仅要了解操作的要领,还要懂得机械设备的日常知识和安全知识。对于管理者来说,一定要做好教育、培训、监督和宣传工作:首先,保证所有的工作人员都要有上岗证,还要做好机械设备的维修与保养记载工作;其次,做好多种形式的培训教育工作,做好文字记载工作并纳入到安全管理资料中里,特别是在班前的安全技术交底一定要落实到每个实际操作的工人身上,不能走过场,图形式;第三,对于正规的建筑工程企业来说,一定要健全规章制度和机械设备安全操作规程,做好宣传教育工作,做到人人了解;对于一线管理者来说还要做好规章制度的落实工作,让所有的工作人员都要按照规章制度去操作并做好监督检查工作;最后,做好监督检查工作,无论是建设单位、施工总包单位、监理单位甚至分包单位对于所有的检查结果都要做好详细的记载工作并作为安全教育资料存档。
1.2杜绝机械设备的不安全状况
对于机械设备来说,要想使其不安全状态得到很好的控制,就一定要确保机械设备始终保持在优良的工作状态。
(1)机械设备运到施工现场时一定要做好检查工作,对于设备的安全性、合格性、完整性和合法性都要进行认真的检查,也就是对机械设备的生产厂家、出品合格证、产品的完整性能以及安全保护设备等进行认真的检查,对于没有达到标准或者超过一定使用年限,甚至国家和地方明令淘汰禁止的机械设备一律不准运送到施工现场。
(2)对于大型起重机械设备的安装和拆卸,一定要要由具有相应资质的单位承接,安装和拆卸的时候要编制专项施工方案并按规定流程完成审批和备案。超过一定危险规模的,还必须按照规范要求组织专家论证。
(3)工作人员要对施工现场的机械设备做好维修保养工作并做好记载工作,对塔吊、施工人货梯、物料提升机等安全保护设备进行重点检查,现场工作人员为了简单操作,例如有时候层间安全门一直都处于开放的状态,所有的问题工程安全管理人员和机械管理员都要进行认真的检查,确保安全装置都可以发挥其真正的作用。此外,定期对机械设备进行检查,不能有任何的大意,机械设备的内部损耗和钢结构劳损不容易被直观发现,此时可以正常工作,过段时间不一定可以正常工作。
1.3消除危险的工作环境
建筑机械设备的工作环境十分的复杂,大多数都是露天作业,风吹日晒,施工现场建筑材料杂乱堆放,环境非常糟糕,因此建筑机械设备拥有一个优良的环境非常的必要。例如卷扬机、砂浆机搭建防雨棚,四周干净整洁,操作台宽敞安全。塔吊回转半径之内所有机械设备须搭设双层防护棚。钢筋加工机械周边的成品、半成品、零料等分类摆放。木工机械作业棚内木屑垃圾及时清理,并配备齐全灭火器材。桩基、土石方施工机械作业平面地基承载力须满足要求,作业路径须清理满足施工要求。各机械设备专用电箱按规范要求配备,留出合理操作空间等等。只有这样才能更好地避免高空坠物、物体打击、机械伤害等事故的发生。因此在日常工作中一定要定期勤清理,多整理,长保持的活动。这同时也是文明施工,绿色施工的要求。
1.4做好质量验收工作
建筑机械设备安装完成后,要根据检验规范或检查标准对机械设备的安全装置和性能进行验收或检测,保证机械设备的有效性和安全性。相关技术指标达到规定要求后,要认真将资料填好,检测人员或机械管理人员要签字确认。大型起重机械设备(塔吊、施工人货梯、物料提升机等),还需使用单位向地区建设主管部门申报,由建设主管部门签发使用登记证书后方可投入使用。此外,在拆除建筑机械设备前也要做好验收工作。
篇(6)
在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行。常用的保护措施有防火墙技术、网络入侵检测技术、网络防毒技术。交易信息的安全是指保护交易双方的不被破坏、不泄密,和交易双方身份的确认。可以用数据加密、数字签名、数字证书、ssl、set安全协议等技术来保护。
在这里我想重点谈谈防火墙技术和数据加密技术。
一、防火墙技术。
防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。从逻辑上讲,防火墙是起分隔、限制、分析的作用。实际上,防火墙是加强Intranet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:(1)过滤进、出网络的数据;(2)管理进、出网络的访问行为;(3)封堵某些禁止行为;(4)记录通过防火墙的信息内容和活动;(5)对网络攻击进行检测和告警。
新一代的防火墙产品一般运用了以下技术:
(1)透明的访问方式。
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。而现在的防火墙利用了透明的系统技术,从而降低了系统登录固有的安全风险和出错概率。
(2)灵活的系统。
系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。采用两种机制:一种用于从内部网络到外部网络的连接;另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决,后者采用非保密的用户定制或保密的系统技术来解决。
(3)多级过滤技术。
为保证系统的安全性和防护水平,防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透胆连接,并对服务的通行实行严格控制。
(4)网络地址转换技术。
防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
(5)Internet网关技术。
由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
(6)安全服务器网络(SSN)。
为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
(7)用户鉴别与加密。
为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。
(8)用户定制服务。
为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的,便可以利用这些支持,方便设置。
(9)审计和告警。
新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、域名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。
目前的防火墙主要有两种类型。其一是包过滤型防火墙。它一般由路由器实现,故也被称为包过滤路由器。它在网络层对进入和出去内部网络的所有信息进行分析,一般检查数据包的IP源地址、IP目标地址、TCP端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的刿则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击纪录。
其二是应用级防火墙。大多数的应用级防火墙产品使用的是应用机制,内置了应用程序,可用服务器作内部网和Internet之间的的转换。若外部网的用户要访问内部网,它只能到达服务器,若符合条件,服务器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过服务器的转接,这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录,但它不允许内部用户直接访问外部,会使速度变慢。且需要对每一个特定的Internet服务安装相应的服务器软件,用户无法使用未被服务器支持的服务。
防火墙技术从其功能上来分,还可以分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙等等。通常几种防火墙技术被一起使用,以弥补各自的缺陷和增加系统的安全性能。
防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素,如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看,包过滤技术和访问模式等都有一定的局限性,因此人们正在寻找更有效的防火墙,如加密路由器、“身份证”、安全内核等。但实践证明,防火墙仍然是网络安全中最成熟的一种技术。
二、数据加密技术
在电子商务中,信息加密技术是其它安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式(即加密),在线路上传送或在数据库中存储,其他用户再将密文还原成明文(即解密),从而保障信息数据的安全性。
数据加密的方法很多,常用的有两大类。一种是对称加密。一种是非对称密钥加密。对称加密也叫秘密密钥加密。发送方用密钥加密明文,传送给接收方,接收方用同一密钥解密。其特点是加密和解密使用的是同一个密钥。典型的代表是美国国家安全局的DES。它是IBM于1971年开始研制,1977年美国标准局正式颁布其为加密标准,这种方法使用简单,加密解密速度快,适合于大量信息的加密。但存在几个问题:第一,不能保证也无法知道密钥在传输中的安全。若密钥泄漏,黑客可用它解密信息,也可假冒一方做坏事。第二,假设每对交易方用不同的密钥,N对交易方需要N*(N-1)/2个密钥,难于管理。第三,不能鉴别数据的完整性。
非对称密钥加密也叫公开密钥加密。公钥加密法是在对数据加解密时,使用不同的密钥,在通信双方各具有两把密钥,一把公钥和一把密钥。公钥对外界公开,私钥自己保管,用公钥加密的信息,只能用对应的私钥解密,同样地,用私钥解密的数据只能用对应的公钥解密。具体加密传输过程如下:
(1)发送方甲用接收方乙的公钥加密自己的私钥。
(2)发送方家用自己的私钥加密文件,然后将加密后的私钥和文件传输给接收方。
(3)接收方乙用自己的私钥解密,得到甲的私钥。
(4)接收方乙用甲的公钥解密,得到明文。
篇(7)
2保证通用电器安全及设备检修安全
学校中较多的通用设备主要有插座及一些携带式设备。插座包括单相两孔、三孔、三相四孔。其中三孔及三孔的插座都有专用的接地或接零线的插孔,这些插孔必须与学校实验室的地线、零线进行连接,同时明装插座的安装高度应不低于地面一点三到一点五米,暗装插座应离地零点二到零点五米。携带式的设备在进行使用时经常需要移动,因此比较容易出现碰壳的事故,并且这些设备容易由于拉、磨等因素而导致电源线的绝缘发生损坏。因此,对于这类设备必须做好绝缘安全措施,如对其进行接零接地、双重绝缘等。对学校的用电器进行检修时容易出现触电事故,因此,检修时应做好防护措施,可以采用部分或全部停电的情况下进行检修。在进行停电时,应注意避免出现误合闸的情况,并且应密切注意多回路的线路,防止其突然来电。同时还对已经停电的设备及线路进行验电,之后使用专门的放电设备来消除检修设备上的残存的静电。
篇(8)
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。
参考文献
篇(9)
2加强采矿安全技术管理的实施
面对当今采矿工程中频发的各种安全事故,做好安全技术管理是保障采矿安全及采矿工作顺利开展的重要的内容,对于采矿企业经济效益的提升具有重要作用,在具体的实施中,应注意以下几点:
首先,树立采矿安全责任意识。各方面人员应当高度重视安全管理责任意识的培养,上至领导,下到基层工作人员都要认清自己的工作职责,在自己的职责范围内办事,并在安全责任意识的指引下完成工作。因此,树立树立采矿安全职责意识,健全采矿安全责任制度,对于保障采矿工作的顺利进行具有重要意义。采矿安全技术管理以责任到人为原则,以完善的采矿安全职责为基础,高度重视采矿安全,提高采矿安全技术管理水平,提升采矿企业经营效益。
其次,做好安全检查相关工作。采矿企业安全检查的主要目的就是及时对采矿工作中的各种安全因素进行检查,尽量消除或较少安全事故的发生,从而有效保证采矿安全。安全检查通常都会采取有领导、有组织的检查方式,并如实记录检查情况,并将检查结果及采矿安全中的各种问题公布于众,同时还要做到“四不推”,班组不推给工区,工区不推给矿部,矿部不推给主管部门,主管部门不推给当地政府,扎实做好采矿安全技术检查与管理工作。关于安全检查工作的具体内容,主要包含以下几五点:一是要认真检查安全技术管理的各项规章制度及法规的执行情况;二是要检查对上级的安全生产政策、方针及决定的执行情况;三是要检查采矿环境的安全情况,如井下巷道的支护状况,空顶情况等;四是检查采矿工具、设备及相关防护装置与安全设施等是否符合安全技术管理的相关标准,检查安全技术措施是否按照原计划有效的落实;五是检查预防自然灾害的各项措施的执行情况,只有在采矿安全检查过程中做好以上五点工作,才能保障采矿安全技术管理工作的切实有效。
第三,积极开展安全技术管理的培训工作。从目前多起采矿安全事故的分析研究中我们发现,最根本的原因就是领导及员工都未接受过采矿安全技术上的相关培训,不具备专业性的采矿安全理论与实践基础,从而会导致违章、违法等操作出现,因此,如何在采矿企安全技术管理过程中,做好技术和安全方面的教育培训是实现采矿安全的重要途径。培训的主要内容应紧紧围绕采矿企业安全、技术部门安全意识的提升来开展,经过专业的培训之后,采矿技术人员及安全部门负责人应当树立起较强的安全操作意识,并以榜样的形象激励基层员工遵守各项安全生产政策,从而通过“以点带面”的方式增强全体采矿人员的安全意识。
最后,严格按照规范流程操作。具体是指各工种安全技术操作规程和采掘作业规程。前者主要包括严格按照工具的使用方法及操作程序进行使用,同时要注意相关的注意事项,尽量避免由于工具操作的不正确导致安全事故的发生。此外还要考虑岗位与工种的差别,在操作流程及规定上也要进行相应的区分,并要求操作人员严格遵守执行;后者主要包括采掘作业范围内的地质概况、安全技术措施及生产工艺等都有严格按照规范流程操作,从而有效的指导采矿安全生产,对于保障采矿工作的顺利进行具有重要意义。若在采掘作业过程中有异常情况出现,需要按照安全措施,结合实际情况,对异常进行及时分析与处理,确保采掘工作的顺利进行。
篇(10)
Abstract:Databaseistheimportantcomponentofcomputerinformationsystem,astheinformationtogethercollective,thedatabasedocumentisbearingthemissionofstoringandmanagingtheinformation''''sdata,soitssecuritywillbethemostimportantofall.ThispaperhavediscussedmainlysafeproblemwhichfacingtotheDatabase,andhavesubmittedsomecertainsuggestions.
Keywords:Databasesecuritymanagement
一、数据库安全概述
1.数据库安全概述
数据库安全是指保护数据库以防止非法用户的越权使用、窃取、更改或破坏数据。数据库安全涉及到很多层面,必须在以下几个层面做好安全措施:
(1)物理层:重要的计算机系统必须在物理上受到保护,以防止入侵者强行进入或暗中潜入。
(2)人员层:数据库系统的建立、应用和维护等工作,一定要由政治思想上过硬的合法用户来管理。
(3)操作系统层:要进入数据库系统,首先要经过操作系统,如果操作系统的安全性差,数据库将面临着重大的威胁。
(4)网络层:由于几乎所有网络上的数据库系统都允许通过终端或网络进行远程访问,所以网络的安全和操作系统的安全一样重要,网络安全了,无疑对数据的安全提供了保障。
(5)数据库系统层:数据库系统应该有完善的访问控制机制,以防止非法用户的非法操作。为了保证数据库的安全,必须在以上所有层次上进行安全性控制。
2.数据库安全的目标
(1)提供数据共享,集中统一管理数据;
(2)简化应用程序对数据的访问,应用程序得以在更为逻辑的层次上访问数据:
(3)解决数据有效性问题,保证数据的逻辑一致性:
(4)保证数据独立性问题,降低程序对数据及数据结构的依赖:
(5)保证数据的安全性,在共享环境下保证数据所有者的利益。
以上仅是数据库的几个最重要的动机,发展变化的应用对数据库提出了更多的要求。为达到上述的目的,数据的集中存放和管理永远是必要的。其中的主要问题,除功能和性能方面的技术问题,最重要的问题就是数据的安全问题.如何既提供充分的服务同时又保证关键信息不被泄漏而损害信息属主的利益,是DBMS的主要任务之一。
二、数据库系统安全的主要风险
数据库系统在实际应用中存在来自各方面的安全风险,由安全风险最终引起安全问题,下面从四个方面讲述数据库系统的安全风险。
1.来自操作系统的风险
来自操作系统的风险主要集中在病毒、后门、数据库系统和操作系统的关联性方面。首先在病毒方面,操作系统中可能存在的特洛伊木马程序对数据库系统构成极大的威胁,数据库管理员尤其需要注意木马程序带给系统入驻程序所带来的威胁。一个特洛伊木马程序修改了入驻程序的密码,并且当更新密码时,入侵者能得到新的密码。其次在操作系统的后门方面,许多数据库系统的特征参数尽管方便了数据库管理员,但也为数据库服务器主机操作系统留下了后门,这使得黑客可以通过后门访问数据库。最后数据库系统和操作系统之间带有很强的关联性。操作系统具有文件管理功能,能够利用存取控制矩阵,实现对各类文件包括数据库文件的授权进行读写和执行等,而且操作系统的监控程序能进行用户登录和口令鉴别的控制,因此数据库系统的安全性最终要靠操作系统和硬件设备所提供的环境,如果操作系统允许用户直接存取数据库文件,则在数据库系统中采取最可靠的安全措施也没有用。
2.来自管理的风险
用户安全意识薄弱,对信息网络安全重视不够,安全管理措施不落实,导致安全事件的发生,这些都是当前安全管理工作存在的主要问题。从已发生安全事件的原因中,占前两位的分别是“未修补软件安全漏洞”和“登录密码过于简单或未修改”,也表明了用户缺乏相关的安全防范意识和基本的安全防范常识。比如数据库系统可用的但并未正确使用的安全选项、危险的默认设置、给用户更多的不适当的权限,对系统配置的未经授权的改动等等。
3.来自用户的风险
用户的风险主要表现在用户帐号、作用和对特定数据库目标的操作许可。例如对表单和存储步骤的访问。因此必须对数据库系统做范围更广的彻底安全分析,找出所有可能领域内的潜在漏洞,包括与销售商提供的软件相关的风险软件的BUG、缺少操作系统补丁、脆弱的服务和选择不安全的默认配置等。另外对于密码长度不够、对重要数据的非法访问以及窃取数据库内容等恶意行动也潜在的存在,以上这些都表现为来自用户的风险。
4.来自数据库系统内部的风险
虽然绝大多数常用的关系数据库系统已经存在了十多年之久,并且具有强大的特性,产品非常成熟。但许多应该具有的特征,在操作系统和现在普遍使用的数据库系统中,并没有提供,特别是那些重要的安全特征,绝大多数关系数据库系统并不够成熟。
三、数据库安全技术研究
1.数据库加密
对于一些重要的机密的数据,例如一些金融数据、商业秘密、游戏网站玩家的虚拟财产,都必须存储在数据库中,需要防止对它们未授权的访问,哪怕是整个系统都被破坏了,加密还可以保护数据的安全。对数据库安全性的威胁有时候是来自于网络内部,一些内部用户可能非法获取用户名和密码,或利用其他方法越权使用数据库,甚至可以直接打开数据库文件来窃取或篡改信息。因此,有必要对数据库中存储的重要数据进行加密处理,以实现数据存储的安全保护。
数据加密就是将称为明文的敏感信息,通过算法和密钥,转换为一种难于直接辨认的密文。解密是加密的逆向过程,即将密文转换成可识别的明文。数据库密码系统要求把明文数据加密成密文,数据库存储密文,查询时将密文取出解密后得到明文。数据库加密系统能够有效地保证数据的安全,即使黑客窃取了关键数据,他仍然难以得到所需的信息。另外,数据库加密以后,不需要了解数据内容的系统管理员不能见到明文,大大提高了关键数据的安全性。
2.存取管理技术
存取管理技术主要包括用户认证技术和访问控制技术两方面。用户认证技术包括用户身份验证和用户身份识别技术。访问控制包括数据的浏览控制和修改控制。浏览控制是为了保护数据的保密性,而修改控制是为了保护数据的正确性和提高数据的可信性。在一个数据资源共享的环境中,访问控制就显得非常重要。
2.1用户认证技术
用户认证技术是系统提供的最外层安全保护措施。通过用户身份验证,可以阻止未授权用户的访问,而通过用户身份识别,可以防止用户的越权访问。
(1)用户身份验证
该方法由系统提供一定的方式让用户标识自己的身份。每次用户请求进入系统时,系统必须对用户身份的合法性进行鉴别认证。用户要登录系统时,必须向系统提供用户标识和鉴别信息,以供安全系统识别认证。目前,身份验证采用的最常用、最方便的方法是设置口令法。但近年来,一些更加有效的身份验证技术迅速发展起来,如智能卡技术、物理特征(指纹、虹膜等)认证技术等具有高强度的身份验证技术日益成熟,并取得了不少应用成果,为将来达到更高的安全强度要求打下了坚实的理论基础。
(2)用户身份识别
用户身份识别以数据库授权为基础,只有经过数据库授权和验证的用户才是合法的用户。数据库授权技术包括授权用户表、用户授权表、系统的读出/写入规则和自动查询修改技术。
2.2访问控制
访问控制是从计算机系统的处理功能方面
对数据提供保护,是数据库系统内部对已经进入系统的用户的访问控制,是安全数据保护的前沿屏障。它是数据库安全系统中的核心技术,也是最有效的安全手段,限制了访问者和执行程序可以进行的操作,这样通过访问控制就可防止安全漏洞隐患。DBMS中对数据库的访问控制是建立在操作系统和网络的安全机制基础之上的。只有被识别被授权的用户才有对数据库中的数据进行输入、删除、修改和查询等权限。通常采用下面两种方法进行访问控制:
(1)按功能模块对用户授权
每个功能模块对不同用户设置不同权限,如无权进入本模块、仅可查询、可更新可查询、全部功能可使用等,而且功能模块名、用户名与权限编码可保存在同一数据库。
(2)将数据库系统权限赋予用户
通常为了提高数据库的信息安全访问,用户在进行正常的访问前服务器往往都需要认证用户的身份、确认用户是否被授权。为了加强身份认证和访问控制,适应对大规模用户和海量数据资源的管理,通常DBMS主要使用的是基于角色的访问控制RBAC(Rolebasedaccesscontrol)。
3.备份与恢复
数据备份与恢复是实现数据库系统安全运行的重要技术。数据库系统总免不了发生系统故障,一旦系统发生故障,重要数据总免不了遭到损坏。为防止重要数据的丢失或损坏,数据库管理员应及早做好数据库备份,这样当系统发生故障时,管理员就能利用已有的数据备份,把数据库恢复到原来的状态,以便保持数据的完整性和一致性。一般来说,数据库备份常用的备份方法有:静态备份(关闭数据库时将其备份)、动态备份(数据库运行时将其备份)和逻辑备份(利用软件技术实现原始数据库内容的镜像)等;而数据库恢复则可以通过磁盘镜像、数据库备份文件和数据库在线日志三种方式来完成。
4.建立安全的审计机制
审计就是对指定用户在数据库中的操作进行监控和记录的一种数据库功能。这里主要以Oracle数据库为例,Oracle数据库没有为审计数据提供独立的导出、备份和恢复机制,用户每导出和删除1条审计记录都需要自己来书写程序,并且审计记录所需要的存储空间也是Oracle数据库所提供。如果审计数据是保存在操作系统中的文件中,那么审计记录的保护完全依赖于操作系统的安全性和对文件的加密措施。显然,现有的数据库管理系统的审计保护功能存在不足,应从以下2方面改进:建立单独的审计系统和审计员,审计数据需要存放在单独的审计文件中,而不像Oracle那样存在数据库中,只有审计员才能访问这些审计数据。可以把用户大致分为审计员、数据库用户、系统安全员3类,这三者相互牵制,各司其职。分别在3个地方进行审计控制。为了保证数据库系统的安全审计功能,还需要考虑到系统能够对安全侵害事件做出自动响应,提供审计自动报警功能。当系统检测到有危害到系统安全的事件发生并达到预定的阈值时,要给出报警信息,同时还会自动断开用户的连接,终止服务器端的相应线程,并阻止该用户再次登录系统。
参考文献:
刘启原,刘怡.数据库与信息系统的安全[M].科学出版社,2000.
