目前,保险也是信息泄露高发行业,信息一旦被篡改或泄露,不仅损害到公民自身利益,保险公司品牌形象,甚至影响到公共秩序和国家利益。
一、保险数据安全所面临的挑战
1、金融数据量巨大,数据信息未严格分类分级;
2、敏感信息多,存储分散,敏感数据保护机制不完善;
3、业务人员安全意识不足,对业务系统的误 *** 作,恶意 *** 作,权限滥用等行为无法做到有效监管;
4、数据共享、数据使用过程中缺乏有效防护,隐私信息泄漏;
5、国家对行业的监管和合规要求。
二、昂楷科技金融行业数据安全治理解决方案
针对以上数据安全挑战,昂楷科技有金融行业的数据安全治理解决方案,本方案以管理(制度)加科技技术相结合,逐步实现组织的战略目标。
根据数据安全治理相关原则,以“精准可视,安全可控”为前提:
1、以数据安全综合治理平台为指挥调度中心。
2、通过与数据梳理及评估能力(原子能力含:数据治理资产梳理、数据分级分类),数据行为监控及审计能力(原子能力含:数据库审计、大数据审计、安全运维审计、大数据离线分析系统),数据安全防护能力(原子能力含:数据库防火墙、数据脱敏、数据水印)三大能力体系之间实现统一管控,数据采集、策略下发、联防联控、态势评估预测等,内部能力单元模块通过内部数据API接口进行能力协同,与外部系统通过对外API接口进行能力协同,并对数据安全整体态势感知,从事前→事中→事后多维度完成对数据全生命周期的安全防护。
三、价值体现
1、敏感数据安全防护:危险攻击发现与实时阻断,高效脱敏,防泄露,溯源,定位取证。
2、 *** 作全面实时监控:全面大数据审计,精准定位,内置AI模型与组合规则有效检测APT攻击、SQL注入攻击等。
3、特权账号防护:有效监督审计技术开发运维特权人员对数据库的各种 *** 作,高危 *** 作阻断。
4、全面审计,实时告警:邮件、短信、syslog等方式进行实时告警。
5、内部人员特殊 *** 作监控:针对内部人员修改‘特殊’账户或者设置隐藏按钮的问题,备案隐秘数据,直接定位到具体 *** 作人员及具内容。
6、满足合规要求
当前,我国的审计工作也已开始由传统审计向现代审计转轨,审计工作面临着许多新的形势和任务,需要在审计的理念、方式方法和技术手段等各个方面要有新的突破。为此,笔者认为基层审计机关和审计人员要适应新形势下审计工作面临的挑战,应当从学习能力、创新能力、协调能力和服务能力四个方面入手,全面加强审计能力建设。
一、提高学习能力,打牢履行监督职能的坚实基础
当前社会发展变化很快,知识更新非常迅速,审计机关作为专业性要求很高的业务单位,对审计干部的要求也非常高,要求审计干部不仅要有强烈责任感和事业心,而且必须要掌握经济、法律法规、管理、财务、工程等多方面知识。因此,认真学习是必不可少的。目前,基层审计队伍尚不能很好地适应经济与审计的发展需要。有的财务知识比较丰富,对审计相关法规,审计技巧却了解不多;有的实际 *** 作能力较强,而政策理论水平不高,综合分析能力、文字表达能力欠缺;有的传统财务审计比较精通,而计算机知识掌握不深;有的善于做具体工作,但组织协调能力缺乏。以人为本,强化素质是审计工作的基础。因此,作为基层审计机关,要将学习由任务与需要演化成每位审计干部的习惯和追求,大幅提升学习能力,全方位提升审计干部综合素质,要利用脱产学习、业务讲座、组织集训、实践锻炼等多种形式,抓好审计人员的教育和培养。作为基层审计干部,要从传统的“要我学”变成“我要学”,坚持在职自学新知识、新技能,把工作岗位当作学习的平台,学习中有工作问题研究,工作中有学习成果运用;要从专业知识到市场经济知识学习,从微观技术 *** 作到宏观经济分析,从现状分析到未来世界走势预测,从党和国家大政方针政策到地方区域特色,全部纳入学习范围。要通过学习,更新陈旧的思维方式,提高政治理论水平和明辨是非的能力,增强抵制腐败思想和不良风气侵蚀的能力;不断增强工作的预见性、针对性和有效性,努力达到业务精通、技能娴熟,成为善于发现、分析和处理重大及潜在问题,适应审计事业发展的复合型人才。
二、提高创新能力,不断改进审计方式方法
创新是审计事业发展的不竭动力,是深入贯彻落实科学发展观的内在要求和重要保证。新的历史时期,随着形势的不断发展变化,审计工作要保持旺盛的生命力,就必须紧跟时代潮流,更新审计理念,坚持在继承中创新,在创新中发展,不断改进和加强审计工作。
(一)创新审计工作思路,树立审计为经济社会科学发展服务的理念
刘家义审计长指出:“审计的本质就是国家经济社会运行的免疫系统”。审计“免疫系统”是指国家审计机关受人民的委托,依法、独立、专门、主动去预防、揭示和查处问题,促进国家经济社会健康、安全运行。审计工作要切实发挥经济社会运行的“免疫”作用,必须以科学发展观为灵魂和指南,牢固树立科学的审计理念。因此,基层审计机关要紧紧围绕党委政府工作中心,从促进经济社会又好又快发展的目标中确定审计工作的发展目标,从经济社会各项事业科学发展的要求中寻找审计工作的切入点和着力点,正确处理好监督与服务的关系,为更好地履行审计监督职责、推动审计事业发展奠定坚实基础。
(二)加强制度建设,改进审计方式方法,提高审计监督的效果
任何制度的建设都要经历从建立到不断完善的过程,任何制度的内容和形式都需要根据地方一个时期的中心任务的变化不断丰富和发展。这些年来,经济运行的新环境使得审计的范围越来越广。然而,由于审计仍处于逐步发展和完善的过程中,而且审计工作一直以事后监督为重点内容,无论是财务收支审计、预算执行审计,还是政府投资审计、经济责任审计(开展更多的是离任审计),审计监督大多是在被动地搞“秋后算账”。因此,在具体落实上,有些审计项目成效不明显,与经济发展的要求和人民群众的期望还有一定的距离。这就需要基层审计机关和审计人员不断研究新情况,加强审计制度建设,加大审计方式方法的创新力度,重视事前审计,抓好事中审计,强化事后审计,在拓宽审计思路上见成效。
(三)加强审计信息化建设,运用现代审计手段,提高审计工作效率
当前,财务软件的使用和普及,给传统的财务管理模式和业务处理方式带来了重大变革,因此,与此相关的审计工作要加强审计信息化建设,结合实际,全力推进。
一是大力加强计算机基础设施建设。要继续在计算机基础设施建设上加大资金投入,夯实审计信息化基础。通过引进、推广审计软件,加快计算机辅助审计步伐,为提高审计工作效率和质量提供技术保障;通过局域网建设,提升机关办公自动化水平;通过数据库建设,为提高管理水平提供技术支持。
二是大力培养计算机审计人才。要加大计算机审计的教育培训力度,不断深化并拓宽学习培训内容。同时,建立各类培训的跟踪反馈机制,查找存在的问题及原因,不断提高培训质量,尽快培养一批既懂审计业务又掌握计算机与网络技术,能熟练运用各种现代审计技术的审计专业人才。
三是大力拓展计算机审计领域。与审计实务相结合,促进提高审计工作的效率和质量,是审计信息化建设的根本价值所在。基层审计机关应用计算机技术与网络技术的眼光应重在审计的运用,要充分利用现有物质基础和各项研究成果,高度重视计算机在审计实务中的应用。要结合各自的工作对象和特点,大力推广运用比较成熟的审计软件,提升审计业务的信息化水平,提高运用现代审计手段的能力。
三、提高协调能力,圆满完成各项审计任务
审计工作如果没有党委、政府的正确领导和相关部门的大力支持,没有被审计单位的积极配合,没有机关内部各科室的沟通协调,做好工作的难度就会很大。因此,基层审计机关和审计人员必须具备很强的综合协调能力,对审计监督工作进行有效的领导与组织,实行科学的审计管理。
(一)科学安排审计计划
审计计划在审计工作中起着统领全局的作用。科学的审计计划,要根据党委政府的中心工作,从宏观上把握经济运行中的重大决策和有关事项的动态,抓住党委政府关心、群众关注的影响全局的关键环节和重大问题,明确工作目标,确定审计项目。科学的审计计划能使审计部门合理控制审计成本,有效规避审计风险,提高审计效率与质量。
(二)合理调配审计力量
审计计划确定之后,要在提高审计人员整体素质的基础上,将分散的各专业审计人员整合为综合、系统的有机整体,针对具体审计业务的复杂程序,有针对性地选择审计人员,集中优势兵力各个击破;要把预算执行审计与经济责任审计、绩效审计等相关业务结合起来,对审计结果进行转化利用,优化审计信息资源;要充分发挥社会审计力量的作用,对一些项目实施委托审计,对专业技术性强的审计项目,可外聘专家参与审计。
(三)加强与有关部门的沟通
审计的发展及审计的质量与监督的效果,不仅取决于审计部门和审计人员的本身,在很大程度上还受到审计对象及审计环境等外部因素的制约。基层审计机关要注重保持与同级纪检监察、组织人事等职能部门的良好协调关系,使审计机关自身能够及时了解新的相关大政方针和政策规定,使有关部门了解审计工作情况,支持审计部门依法履行职能。同时,在党风廉政建设、干部队伍建设等规章制度的制定方面,要及时将审计监督纳入其中,注重发挥监督合力。
(四)加强与被审计单位的交流
审计工作只有得到被审计单位的积极配合才能顺利完成,审计人员开展审计工作时不能将上级机关角色带入审计工作当中,而必须坚持客观公正的原则,遵守审计职业道德和审计工作制度。同时,基层审计机关要加大审计宣传力度,宣传审计工作的建设性作用,使被审计单位了解审计工作,消除误解,端正认识,进而理解、支持和配合审计工作。
(五)突出审计重点
突出重点是审计工作的方法策略,把握审计监督的主要方面,在重要岗位、重点内容、关键环节上下功夫,带动审计整体功能的发挥。一是财政财务收支审计。深化对本级政府财政预算执行和对下级政府的财政决算审计。从源头上制止财政资金使用的随意性,提高财政资金使用效益。二是经济责任审计。通过审计,对党政领导干部任期经济责任进行定性定量分析和准确评价,为组织、纪检部门提供可靠的参考依据。三是重点部门、重点单位和重点项目的审计。当前要特别关注重大基建投资、重大土地出让等项目,维护国有资产的安全和完整,提高国有资金的使用效益。四是事关民生资金的审计。“三农”资金、扶贫资金、社保资金事关社会稳定及经济的可持续发展,事关群众的切身利益。要重点关注民生资金的管理和安全,切实加强对民生资金的审计,确保党的惠民政策得到贯彻落实。
四、提高服务能力,促进各项财经法规和审计结论落到实处
审计是民主和法制的工具。审计工作的根本目的是通过审计,发现财经管理中规范性、制度性和体制性的问题,并通过解决这些问题,推动经济社会健康运行。因此,基层审计机关要注重在审上下功夫,在帮上动脑筋,在促上见成效,实现审计监督与审计服务的统一。
(一)坚持依法从审,确保审计质量
审计质量是审计工作的生命线,审计质量关系到审计职能的发挥,是检验审计能力的根本尺度,没有审计质量,审计监督就会流于形式,对被审计单位财政财务管理就起不到应有的监督作用,也就无从谈为被审计单位提供帮促服务的问题。基层审计机关和审计人员在审计项目实施过程中,要严格执行审计准则和各种规程,建立健全审计承诺制、审计责任制和审计考评等制度,把审计项目实施过程的各个环节都纳入质量控制与监督的视野,确保审计方案周密,审计程序规范,审计取证细致扎实。要强化组织纪律观念,对于审计中遇到的疑难问题,及时请示汇报,确保每个项目都经得起历史的检验。
(二)注重综合分析,提出有价值的审计建议
审计建议是审计机关为党委政府加强经济管理提供决策服务的主要载体,能否提出有价值的审计建议,已经成为提升审计工作层次和水平的重大课题。当前,审计工作还较多的停留在微观审计层面上,要从宏观角度去发挥审计的作用,从体制、机制、政策和法律法规上去研究问题。因此,广大审计人员要勤于思考,不断提高辩证思维能力,每查出一个问题,都要进行由个别到一般、由特殊到普遍、由现象到本质的审计分析研究,从微观上入手,从宏观上把握。对于反复出现的问题,要从规律上找原因;对于普遍出现的问题,要从制度上找漏洞。在系统、深入地分析之后,从更高的层次上提出解决问题的办法。
(三)加大审计决定执行力度,巩固审计监督成果
审计决定是审计成果的最终反映和体现,全面落实审计决定既是审计工作的出发点,又是审计工作的落脚点,同时还是树立审计权威的有效手段。一是要以高度的责任感,重视和抓好审计决定的落实工作。敢于坚持原则,不徇私情,真正做到审计环节一个不能丢,审计程序一个不能少,审计执法到位,切实把审计决定落实当作审计工作的重中之重来抓。二是要建立考核约束机制。把审计决定落实情况作为基层审计机关内部年终考核评比的重要依据,实行审计组长负责制,对审计决定落实不到位的,审计组长要陈述原由。同时,还要把审计决定落实情况纳入各单位部门目标管理进行考核,切实加强对审计决定落实情况的跟踪检查和审计移交案件情况的督促落实。三是争取领导的支持。积极争取人大、政府的支持,对一些审计处理难、审计决定落实难的问题和情况及时向党委、人大及政府汇报,及时采取措施加以解决。对拒不执行或不完全执行审计决定的,要予以通报,纪检、监察机关对其单位负有直接责任者给予行政处罚。对重大违法违规问题,除给予必要的经济处罚外,还要追究有关责任人员的责任,经济案件线索应及时移送司法机关和纪检、监察等部门进行查处。
总之,加强审计能力建设是时代的要求,是审计事业发展的要求。基层审计机关和审计人员要紧紧围绕党委政府工作中心,不断加深对审计工作客观规律的认识,积极应对审计工作面临的挑战,全面提高自身素质和工作能力,以创新为动力,发展为主题,服务为宗旨,推动审计工作不断发展。
在学习和工作中,大家都不可避免地要接触到论文吧,论文是进行各个学术领域研究和描述学术研究成果的一种说理文章。如何写一篇有思想、有文采的论文呢?下面是我整理的分析电子商务中的数据安全论文,欢迎大家分享。
分析电子商务中的数据安全论文 篇1一、引言
电子商务信息系统中存放着大量机密敏感的数据,这些数据是电子商务企业运营时重要的信息。
这些数据如果存在安全问题, 就会给企业经营带来很大风险。
本文将对电子商务系统的数据安全进行讨论,从而为提升其安全技术与管理水平给出一些合理的建议与策略。
二、电子商务数据库与其安全问题
1、电子商务数据安全概述
电子商务数据安全的具体含义为:保证电子商务数据库信息的保密性、完整性、一致性、可用性和抗否认性。
保密性指保护数据库中的数据不被泄露和未授权的获取:完整性指保护数据库中的数据不被破坏和删除;一致性指的是确保数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求;可用性指的是确保数据库中的数据不因人为或自然的原因对授权用户不再可用;抗否认性是保证用户事后无法否认对数据库进行的一系列访问、修改、查询等 *** 作,便于事后分析调查。
2、电子商务数据库面临的安全威胁
(1)黑客攻击。
网络中总是存在各种安全漏洞,因此黑客的攻击行为是威胁电子商务数据安全的一大隐患。
黑客攻击网络的目的通常是扰乱系统正常运行或者窃取重要的商业机密。
黑客惯常使用的攻击手段为:窃—即黑客通过截获通讯信道上的重要数据并破译来达到窃取用户机密的目的;重发攻击—黑客为达到影响系统正常运行的目的,而将窃得到的数据经过篡改之后重新发回服务器或者数据库用户;迂回攻击—黑客掌握电子商务数据库系统的安全漏洞之后,绕过数据库系统而直接访问机密数据;假冒攻击—黑客先是采取发送大量无意义的报文而堵塞服务器和客户终端的通讯端口以后,再通过假冒该客户或者该服务器的方法来非法 *** 作数据库系统;越权攻击—黑客属于一个合法用户,但是其通过某种手段使自己去访问没有得到授权的数据。
(2)系统漏洞。
针对于电子商务数据库系统的网络入侵者能够根据系统本身的安全漏洞得到系统的数据 *** 作权限。
漏洞产生的原因往往是数据库管理系统没有及时打补丁或者在安全方面的设置中总是选择默认设置。
此外,如果由于数据库的安全检查措施级别太低,或者审核机制应用不当、软件存在的风险以及管理风险等,都会使系统形成安全漏洞,从而给破坏者以入侵的机会。
三、电子商务数据安全解决方案
1、加密方案
电子商务系统中的一些商业机密数据是不允许普通用户进行随意访问的。
加密方案的目的是控制以上这些机密数据只能被得到相应授权的`特定人群所访问和存取。
数据库管理系统的加密以字段为最小单位进行,加密和解密通常是通过对称密码机制的密钥来实现。
数据加密时,数据库管理系统把明文数据经过密钥转换为密文数据,数据库中数据的存储状态都是密文数据,而在得到权限的用户查询时,再将密文数据取出并解密,从而恢复明文数据。
使数据库的安全性得到进一步提升。
2、访问控制方案
在数据库管理系统中,不同的用户拥有不同的权限。
因此必须保证某个用户只能访问或者存取与自己权限相应的数据范围。
用户所拥有的权限包括两方面的内容:一是用户可以访问数据库中什么样的数据对象,二是用户可以对这些数据对象进行什么样的 *** 作。
当用户对数据库进行访问时,系统会根据用户的级别与权限来判定此种 *** 作是允许的或者禁止的,从而达到保护敏感数据不被泄露或者篡改的目的。
访问控制方案有三种,分别叫做自主存取控制(Discretionary Access Control, DAC) 、强制存取控制(Mandatory Access Control, MAC) 和基于角色的存取控制(Role— based Access Control, RBAC)。
3、认证方案
身份认证技术是数据库管理系统为防止各种假冒攻击安全策略。
在用户对敏感关键的数据进行存取时,必须在客户与数据库管理系统之间进行身份认证。
口令的识别是数据库管理系统进行身份认证的一种方式,每个具体用户都被系统事先分配一个固定的用户名与密码,电子商务系统的许多数据具有开放性特征,因此必须对每个访问系统的用户的身份进行认证,这样就可以阻止不拥有系统授权的用户非法破坏敏感机密的数据。
4、审计方案
审计方案是数据库管理系统对相关用户的所有 *** 作过程进行监视的一种安全方案,该安全方案的具体做法是在审计日志记录中存放各用户对数据库施加的动作,包括用户的修改、查询和删除等 *** 作。
这种有效机制可以在最大程度上保证数据库管理系统的信息安全。
有两种审计方式:分别叫做用户审计和系统审计。
用户启用审计功能将在数据字典中记录每个用户 *** 作数据库的全部细节,包括用户名称, *** 作类型等等;而系统审计则由DBA来进行。
5、备份方案
可以把电子商务数据库的故障或障碍分为以下三类: 系统故障、事务故障以及介质故障。
当发生某种类型的故障时,为了把企业的损失减少到最低,必须在最短的时间内恢复数据,因此,根据企业的实际情况和数据类型与特点,制定出一套合理而经济的备份和恢复策略是必要的。
所谓数据库备份与恢复方案,目的是在数据库系统故障并且短时间内难以恢复时,用存储在备份介质中的数据将数据库还原到备份时的状态。
数据备份根据数据库管理系统类型的不同, 有多种备份实施计划。
比如对SQL Server而言,有数据库备份、事务日志备份、增量备份和文件及文件组备份。
电子商务信息系统的数据库管理系统中必须建立详细的备份与恢复策略。
四、结束语
对电子商务企业来说 ,数据安全的重要性是无庸讳言的。在对机密敏感数据的管理时,必须根据应用环境的具体安全需要来实施各种安全策略。
分析电子商务中的数据安全论文 篇2[摘要]
酒店电子商务不仅可以为顾客带来方便,也可以为酒店带来经济效益和先进管理。本文对酒店电子商务的应用现状、优势、解决方案、发展过程中存在的问题进行了研究,对其可能出现的发展趋势进行了讨论。
[关键词]
酒店;电子商务;优势;应用发展
电子商务是20世纪信息化、网络化的产物。近几年来,随着知识经济的发展和信息高速公路的建设,电子商务在互联网上开展起来。电子商务以其难以想象的发展速度成为酒店最有效、最经济、最便捷的营销手段。有些酒店每天通过类似Ctrip,E-long等网络订房中心的预定有时甚至超过了前台的散客。酒店网络销售系统是具有革命性的酒店营销创新。它的优势主要在于有效展示酒店形象和服务,建立与客户良好的互动关系,具有高效管理销售过程,且显著降低销售成本、提高经济效益和管理水平。
一、酒店业电子商务的需求
电子商务平台在酒店业中的应用,要根据市场空间大小来确定市场可行性。根据《中国旅游统计年鉴》(2005年)显示:2004年全国星级饭店(按经济类型、规模和星级分)共计10888家,其中五星级242家,四星级971家,三星级3914家,二星级5096家。2004年,全年营业收入总额为1238.67亿元,上缴营业税7107亿元。另外,根据数据显示,中国旅游市场目前的规模约为6000亿元人民币。并且预计未来几年内保持持续增长。这个市场规模之大,足以吸引酒店通过建立完善的电子商务体系来促进酒店的业务发展。
随着国际旅游酒店业电子商务市场发展势头的迅猛,酒店网上销售额几乎占据在线旅游行业的三分之一,但由于网上支付安全性和信任性问题,目前真正网上支付的客人仍然很少,要实现真正意义上的网络销售还有待时日。尽管如此,现今国内销售酒店客房的专业网站为数已不少,许多酒店还进入了国内各种旅游商务网站和国外相关网站。
二、酒店电子商务优势
酒店电子商务的开展首先给酒店业经营增加了新的服务产品,满足了市场的新变化。因为游客,特别是商务客人,他们需要在旅途期间仍然得到互联网服务,于是电子商务的开展使得酒店增加了对客服务的内容,为客人带来了方便。
酒店通过互联网来采购设备,可以方便地实现规模采购和享受熟客优惠。对于数额较大的采购项目,一般就可以采用优先决策方式,做好管理控制。电子商务的开展提供了售前、售中和售后的全过程服务,包括从酒店需求设计的配置计划制订、价格查询、预定、支付、配送等所有环节,可以为酒店节约大量的人力,财力和物力成本。
三、酒店电子商务建设解决方案
1总体方案设计审核
酒店电子商务建设是一个系统工程,为了当前项目所需而不顾日后发展的方案,不仅造成重复投资而导致浪费,若方案不符合业务需求还会降低项目本身的实际功效。因而,酒店电子商务建设应该量身定做,提出总体设计方案,并由行业管理部门组成专家组,对总体方案进行论证和审核,以确保方案的先进行、可行性。
2建立行业认证
有的IT公司并不了解酒店业的特性,并在客房宽带合同中明确规定了网络环境产权不属于酒店。因此,酒店无权在该网络环境加设任何其他应用项目。鉴于上面提及的问题,有必要针对那些专业从事酒店业电子商务建设方案实施的企业进行认证,以确保从事酒店电子商务建设的IT公司都具有专业性,避免酒店电子商务建设走弯路。
3建立服务标准
对于酒店而言,电子商务是一个工具、一种手段、一种服务,服务水平的高低直接影响到酒店经济效益和竞争力。虽然目前我国高级技术人才辈出,却大多投身于高薪技术领域,而在服务行业出现断层现象。这也就成为酒店开展电子商务中的一大瓶颈。
四、酒店电子商务发展与展望
未来的酒店电子商务应向增强与客户的双向交流、改善信息服务、通过个性化服务增加附加值的方向发展,目前我国酒店电子商务“以交易为中心”色彩较浓,预计未来酒店电子商务将在服务上更加完善,更加人性化。
1电子商务的规范化与标准化
酒店电子商务是一个新兴领域,我国在酒店电子商务规范与标准的整体制定和推行方面尚非常薄弱,这应是下一阶段发展的重点。
首先是规范化,建立健全酒店电子商务规范体系,为酒店电子商务的实施和监管、企业和消费者的市场行为、信息内容和流程、技术产品和服务等提供指导与约束,预先对那些可能对酒店电子商务活动产生不利影响的潜在因素加以防范。
其次是标准化。在国外,通常是由专门的组织(如OTA)制订出一套统一的数据格式和接口标准,酒店电子商务网站、管理信息系统在开发时都遵守这套标准,这样在一开始就能够保证与酒店的信息系统做无缝链接的可能性。我国酒店电子商务的数据应该尽快实现标准化,与国际接轨。
2移动电子商务将成为主流
移动电子商务结合智能网络技术,是真正实现以人为中心的电子商务应用。如移动支付—顾客无论在何时何地,通过移动电话等终端就能完成对企业或对个人的安全的资金地付。新技术的应用将使酒店电子商务功能更加完善,应用更加普及。
五、结束语
进入21世纪,电子商务充满活力、飞速向前发展,电子商务使整个市场、各个行业发生着惊人的变化,酒店业也不例外。以无线因特网为载体的第三代电子商务模式正在蓬勃发展中。我们迫切希望电子商务为酒店业的发展发挥桥梁纽带作用,希望酒店电子商务得到健康有序的发展。
参考文献:
[1]董志文张军:对酒店计算机信息管理系统的分析与展望.海岸工程,2002,(2)
[2]巫宁:旅游电子商务理论与实务[M].北京:中国旅游出版社,2003
[3]王振侯功显:我国酒店电子商务体系构建研究[J].湖北经济学报,2007,(12)
[4]李琪:电子商务通鉴[M]北京:中国商业出版社,2000
不是。
数据库审计系统是智能扫描数据漏洞,防止数据外泄,并可及时发现内部 *** 作中的违规 *** 作,及时告警,有效防护数据安全。
北京网御星云信息技术有限公司由联想网御科技北京有限公司更名而来,其前身为联想集团信息安全事业部,网御星云立足信息安全领域,业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理、专业安全解决方案和专业安全服务等多个方向。
Oracle数据库本身的安全性建设
从总体上而言,Oracle数据库是业界安全性方面最完备的数据库产品。在数据库安全性的国际标准中,Oracle通过了14项标准的测试,是所有数据库产品中通过安全性标准最多、最全面的产品。Oracle在C2级的 *** 作系统上(如商用UNIX,VMS *** 作系统),不仅满足NCSC C2级安全标准,而且已经正式通过了NCSC C2标准的测试。在B1级的 *** 作系统上不仅满足NCSC B1级安全标准,而且已经通过了NCSC B1级标准的测试。
Oracle提供的主要安全性措施如下:
身份认证功能(Authentication):识别访问个体的身份
数据访问的机密性(Confidentialty):保证敏感数据访问的机密性。
数据完整性(Integrity):保证数据不被篡改。
授权能力(Authorization):保证被授权用户对数据的查询和修改能力。
访问控制(Access Control):确定对指定数据的访问能力。
审计能力(Auditing):提供监测用户行为的能力。
私有性(Privacy):提供对敏感数据访问的私密性。
高可用性(Availability):保证数据和系统提供不间断服务的能力。
代理管理能力(Delegated Administration):提供对用户帐号的集中管理功能。
下面将就应用系统本身对于Oracle提供的安全性措施作更深入的探讨。
$PageTitle= Oracle的安全性领域}
三、 Oracle的安全性领域
Profile控制
Oracle利用profile机制来管理会话资源占用,同时也管理用户密码的安全策略。
通过profile我们可以实现:
某个特定用户最多只能占用系统百分之几的CPU时间?
某个特定用户连接到数据库之后能存活多长时间?
某个特定用户连接到数据库之后多长时间处于非活跃状态就将被系统中断连接?
用户登录密码输入错误多少次之后就将自动锁定用户?
用户密码的长度和包含的字符必须符合什么样的规则?
用户密码在多少天后将自动失效并要求设定新密码?
用户权限控制 (Privilage)
Oracle通过角色(Role),权限(Privilage)等的一系列授予(Grant)和回收(Revoke) *** 作可以有效的进行用户的权限控制。
通过权限控制我们可以实现:
某个特定用户只能读取而不能修改另一个用户的表数据。
某个特定用户只能运行Oracle数据库系统的几个存储过程或者函数。
某个特定用户自己能够拥有修改某些数据的权力,但是却无法给其它不拥有这个权限的用户授予修改该数据的权力。
某个特定用户可以读取数据但是无法创建新的表空间。
虚拟专用数据库(VPD)
虚拟专用数据库 (VPD) 也称为细粒度访问控制,它提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎。
VPD 的工作方法是,通过透明地更改对数据的请求,基于一系列定义的标准向用户提供表的局部视图。在运行时,所有查询都附加了谓词,以便筛选出准许用户看到的行。
也就是通过VPD的设置,我们可以做到行级安全性控制,特定的用户即使对一张表有读取权限,那么也只能看到符合自身权限的记录。
注意,在Oracle10g版本中,VPD得到增强,已经可以实现字段级的安全性控制了。
实例及搭建步骤参看:利用VPD细粒度访问策略实现行级安全性 Step By Step
Orace Label Security
基于对由客户提交的行级安全性的严格要求,Oracle Label Security(Oracle 数据库企业版的选件之一)利用多级安全性概念解决了世界上政府和商业用户在实际中遇到的数据安全和隐私问题。
OLS 通过利用数据敏感度标签(例如“敏感”和“公司机密”)与用户标签授权,提供了完善的行级安全性控制。
OLS 使用政策概念来存储标签定义和授权。该政策可直接在数据库中进行管理,或在 Oracle 身份管理中进行集中管理。
Oracle Database Valut
通常数据库管理员如果具有了DBA权限,那么就很难防止这样的管理员查看应用程序数据。而Oracle Database Valut则解决了必须保护涉及合作伙伴、员工和顾客的敏感业务信息或隐私数据的客户最为担心的问题。
Oracle Database Vault 可防止高权限的应用程序 DBA 访问其他的应用程序、执行其权限之外的任务。Oracle Database Vault 可在不影响应用程序功能的前提下快速而高效地保护现有程序。
Oracle Database Vault 可通过下列方法解决一些最为常见的安全问题和内部威胁:
1 限制 DBA 和其他授权用户访问应用程序数据。
2 防止DBA *** 纵数据库和访问其他应用程序。Oracle Database Vault 提供了强大的职责划分控制功能,可防止擅自更改数据库。比如说如果一个用户具有 CREATE USER 权限,但不具备正确的用户管理权限,则 Oracle Database Vault 将阻止该 DBA 创建新用户。
3 更好的控制何人、何时、何地可以访问应用程序。如日期时间、数据库客户端在网络上的位置之类的因素。
Oracle Database Valut是新的Oracle Database 10g企业版的选件。目前已经有Linux X86以及Solaris SPARC 64bit的版本可以下载使用了。
用户访问审计
审计是Oracle安全性的另一个重要领域,我们还必须小心地计划审计方案。有几种方式可在Oracle中进行审计:
1. SQL审计命令(标准审计)
通过AUDIT语句我们可以对成功或者不成功的特定对象的读取,更新 *** 作进行审计。
标准审计只会记录较少的跟踪信息,比如发出该语句的用户、时间、终端标识号等等。
该审计对于系统性能的影响更多地取决于对象的繁忙程度。
2. 用对象触发器进行审计(也就是DML审计)
此类审计通常由客户自行开发放置于特定数据库对象上的触发器,由于是自行开发,所以相对于标准审计则能够更自由地记录更多感兴趣的跟踪信息。比如更新 *** 作将某个字段从什么原始值更新到了什么新值。
该审计对于系统性能的影响更多地取决于对象的繁忙程度和触发器的编写水平。
3. 用系统级触发器进行审计(记录用户登录和退出)
当用户登录数据库或者离开数据库时,都可以通过自定义的触发器来记录用户名称, *** 作时间,终端标识号等信息。
由于触发器触发几率小,所以该审计对于系统性能影响并不大。
4. 用LogMiner进行审计(也就是DML和DDL)
Oracle数据库将所有的更新 *** 作都记录在重作日志中,而Oracle提供了LogMiner工具用于挖掘重作日志中的所有 *** 作,相比起上述的各种审计方法来说,该种审计可能是信息最为完善,对于应用系统性能影响最小的方法。
此处稍微延展开来说一下,LogMiner是双刃剑,既然可以用来审计,也就能够被恶意使用作为数据窃取的工具。所以在数据本身的加密方面,Oracle同样提供了多种解决方案,比如DBMS_OBFUSCATION_TOOLKIT,DBMS_CRYPTO和最新的透明数据加密,甚至在数据备份方面 Oracle也推出了Secure Backup来应对磁带数据的加密,但是要注意到数据加密不应用作访问控制的替代项,存储加密的数据并不会在存储介质本身提供额外的保护层,只是有助于在发生介质遭窃时保护诸如xyk号之类的敏感数据。本文不再作更多的介绍。
5. 细精度审计(FGA)
细粒度审计 (FGA),是在 Oracle 9i 中引入的,能够记录 SCN 号和行级的更改以重建旧的数据,但是它们只能用于 select 语句,而不能用于 DML,如 update、insert 和 delete 语句。因此,对于 Oracle 数据库 10g 之前的版本,使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。
而Oracle10g种FGA功能的增强使其不但能够支持select *** 作,同时也支持DML *** 作。在 Oracle 10g 中,审计已经从一个单纯的“ *** 作记录者”成长为一个“事实记录机制”,它能以一个非常详细的级别来捕获用户的行为,这可以消除您对手动的、基于触发器的审计的需要。它还结合了标准审计和 FGA 的跟踪,这使其更易于跟踪数据库访问,而不用考虑它是如何生成的。
通过细粒度审计我们可以记录:
在早上九点到下午六点之间或在星期六和星期日对某个表进行了访问。
使用了公司网络外部的某个 IP 地址。
选定或更新了特定列。
使用了该列的特定值。
触发器是数据库提供给程序员和数据分析员来保证数据完整性的一种机制,它是一种与数据表事件相关的特殊的存储过程。触发器的执行不是由程序调用,也不需要手工开启,而是由数据表上的事件来触发,当用户对一个数据表进行增、删、改 *** 作时就会激活它执行。
触发器可以查询其他表,而且可以包含复杂的SQL语句。它们主要用于强制服从复杂的业务规则或要求。触发器也可用于强制引用完整性,以便在多个表中添加、更新或删除行时,保留在这些表之间所定义的关系。
触发器功能强大,可以轻松可靠地实现许多复杂的功能,但也不能过于依赖触发器,滥用触发器会造成关系数据库及应用程序维护困难,性能、效率低下等问题的产生,在实际问题中,要根据实际需要选择合适的解决方案。触发器是一种特殊的存储过程,在插入、删除、修改特定表中的数据时触发执行,拥有比数据库本身更强大的数据控制能力,其作用有以下四大方面。
1数据安全数据安全主要是指对信息系统中的业务数据提供一种数据变更的审核机制,当其通过安全策略的审核后,允许用户变更相关数据,否则直接拒绝数据变更的请求。
安全原理:基于数据库的值使用户具有 *** 作数据库的某种权利。
((1)可以基于时间限制用户的 *** 作。例如,不允许下班后和节假日修改数据库数据。
(2)可以基于数据库中的数据限制用户的 *** 作。例如,不允许股票价格的升幅一次超过10%。
2数据审计数据审计主要是指对数据服务器上的记录进行变更时的一种用户权限的即时审查与用户行为的全方位记录,以便事后对数据变更过程的追溯,保证数据变更的合法性。
审计原理:跟踪用户对数据库的 *** 作。
((1)审计用户 *** 作数据库的语句。
(2)把用户对数据库的更新写入审计表。
3数据约束数据约束是指对用户的 *** 作行为将导致业务数据与实际情况相悖的行为进行检查约束,而不让其发生,从而保证数据的完整性与一致性。
约束原理:对用户 *** 作与实际逻辑的约束检查。
((1)实现数据完整性检查和约束。例如,回退任何企图买进超过自己资金的货物。
(2)提供可变的缺省值。
4数据连环更新数据连环更新是指当对数据进行更新 *** 作时,将所有与此数据相关联的数据作联合的更新 *** 作,以保证数据的完整性与一致性。
连环更新原理:对关联数据作联合更新 *** 作。
((1)修改或删除时级联修改或删除其他表中与之匹配的行。
(2)修改或删除时把其他表中与之匹配的行设成NULL值。
(3)修改或删除时把其他表中与之匹配的行级联设成缺省值。
以上就是关于保险数据安全怎么来治理全部的内容,包括:保险数据安全怎么来治理、如何不断创新审计方方式,方法、分析电子商务中的数据安全论文等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)