[网络信息安全浅析]如何保护网络信息安全

[网络信息安全浅析]如何保护网络信息安全,第1张

摘 要:近年来,互联网信息篡改、泄露等恶性事件日益增多,对个人隐私甚至国家安全造成了极大的威胁。本文针对这些问题进行了分析研究,并提出了一些相应的对策。 关键词:信息安全;信息安全保障;信息安全技术;网络;策略

随着全球信息化进程的推进,信息安全已经成为阻碍信息化进程的一个重要因素。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,如今普及使用的 *** 作系统又存在漏洞与缺陷,导致网络易受黑客、恶意软件和其他不轨行为的攻击。无论是在局域网还是在广域网中,都存在着诸多物理和人为因素导致的系统脆弱性和潜在威胁。因此增加了保护网络信息安全的难度。

一、威胁网络信息安全因素分析

1 威胁网络信息安全的技术因素

(1) *** 作系统存在安全漏洞。任何 *** 作系统都不是无法摧毁的“堡垒”, *** 作系统设计者留下的微小“破绽”,都给网络安全留下了许多隐患,造成网络攻击者利用这些“后门”作为攻击网络的通道。市场上流行的 *** 作系统虽然经过大量的测试与改进,仍存在漏洞与缺陷,入侵者可以利用各种工具扫描网络及系统中存在的安全漏洞,并通过一些攻击程序对网络进行恶意攻击,这样的危害可以造成网络的瘫痪,系统的拒绝服务,信息的被窃取、篡改等。

(2)网络的开放性和广域性设计使得信息的保密难度较大,这其中还包括网络自身的布线以及通信质量而引起的安全问题。

网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击,网络中的敏感信息有可能泄露或被修改,从内部网向公共网传送的信息可能被他人窃听或篡改等等。典型的网络安全威胁主要有窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。

互联网的全开放性也使得网络可能面临来自物理传输线路,或者对网络通信协议以及对软件和硬件实施的攻击;互联网的国际性,使网络攻击者可以在世界上任何一个角落利用互联网上的任何一个机器对网络发起攻击,这也使得网络信息保护更加困难。另外,互联网协议中的TCP/IP(传输控制协议/网际协议)、FTP(文件传输协议)、E-mail(电子邮件)、RPC(远程程序通信规则)、NFS(网络文件系统)等都存在着许多安全漏洞。

(3)安全配置不当造成了安全管理上的漏洞。例如,防火墙将无法防止因策略配置不当或错误配置引起的安全威胁。因为防火墙是一个被动的安全策略执行设备,它必须根据事先配备好的安全指令来发挥作用。

(4)无线系统中的电磁泄露。无线通信系统中的数据以电磁波的形式在空中进行传播,存在电磁波泄露,且易被截获。

(5)计算机病毒的存在。计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行,并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。大量涌现的病毒在网上传播极快,给全球范围的网络安全带来了巨大灾难。

2 威胁网络信息安全的人为因素

(1)管理人员素质低、管理措施不完善、用户安全意识淡薄等。

(2)人为的无意失误。如 *** 作员安全配置不当造成的安全漏洞,用户口令选择不慎,都会对网络安全带来威胁。

(3)人为的恶意攻击。一是主动攻击,以各方式有选择地破坏信息的有效性和完整性,主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法;二是被动攻击,被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击在网络正常运行的状态下进行截获、窃取、破译,以获得重要机密信息,主要包括嗅探、信息收集等攻击方法。

二、加强网络信息安全保护技术的策略

网络信息安全是通过技术和管理手段,确保消息在公用网络信息系统中传输、交换和存储流通的保密性、完整性、可用性、真实性和不可抵赖性。这其中主要包括以下几方面的安全管理策略:

1 计算机网络系统的安全策略

主要是配合行政手段,制定有关网络安全管理的 规章制度 ,在技术上实现网络系统的安全管理,确保网络系统安全、可靠地运行,主要涉及以下四个方面。

(1)网络物理安全策略。计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机等硬件实体和通信链路免受自然灾害、人为破坏和攻击;验证用户的身份和使用权限、防止用户越权 *** 作;确保计算机网络系统有一个良好的工作环境;建立完备的安全管理制度,防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。

(2)网络访问控制策略。访问控制策略是计算机网络系统安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常规访问。它也是维护网络系统安全、保护网络资源的重要手段。所以网络访问控制策略是保证网络安全最重要的核心策略之一。

(3)网络信息加密策略。信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密策略通常采用以下三种方法:①网络链路加密方法:链路加密方法目的是保护网络系统节点之间的链路信息安全。②网络端点加密方法:端点加密方法目的是保护网络源端用户到目的用户的数据安全。③网络节点加密方法:节点加密方法目的是对源节点到目的节点之间的传输链路提供保护。对于信息加密策略,网络用户可以根据网络系统的具体情况来选择上述的几种加密方法实施。

(4)网络安全管理策略。确定网络安全管理等级和安全管理范围;制定有关网络 *** 作使用规程和人员出入机房管理制度;制定网络系统的管理维护制度和应急措施等等。

2 网络信息安全策略的设计与实现

要保障信息安全,首先必须解决网络安全,网络安全可以极大地保障信息安全。安全策略管理包括安全组件的全部领域。如防火墙,TDS(Tivoli Dfrectory Server)、访问列表和路由器、认证技术等。

根据网络的结构特点及面临的安全隐患,可以通过防火墙、入侵检测(IDS)、网络防毒、网络隔离、网络监控、认证中心(CA)与数字证书、身份认证等防范措施来架构起一个立体的网络安全解决方案。

①防火墙可以把网络分开进行隔离管理。防火墙是内部网与Internet(或一般外网)间实现安全策略要求的访问控制保护,是一种具有防范免疫功能的系统或系统组保护技术,其核心的控制思想是包过滤技术。

②入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了 信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测系统采用先进的基于网络数据流实时智能分析技术,判断来自网络内部和外部的入侵企图,进行报警、响应和防范:并可对网络的运行情况进行监控、记录和重放,使用户对网络运行状况一目了然;同时提供网络嗅探器和扫描器便于分析网络的问题,定位网络的故障;入侵检测系统还可对自身的数据库进行自动维护,不需要用户的干预。入侵检测系统不对网络的正常运行造成任何干扰,是完整的网络审计、监测、分析系统。

③网络防毒可以实现从服务器到工作站,再到客户端的全方位病毒防护及集中管理。网络防毒的管理模式有以下几种:分散式管理模式,适用于服务器较少的小型局域网;直接集中控制管理模式,适合于服务器较多的中型局域网;既可分散又可集中控管的管理模式,既适合于小型网络的分散式管理模式(不需要TVCS),又适合于大型跨网段、跨平台网络的集中管理。

④网络隔离是实现机密性的重要途径,防止高密级信息向低密级网络、涉密和敏感信息向公开网络扩散。物理隔离与逻辑隔离是常见的网络隔离方法。网络隔离是目前最好的网络安全技术,它消除了基于网络和基于协议的安全威胁,常用的是基于***的网络隔离。

⑤认证中心(CA)与数字证书是信息在互联网上流传的又一安全保障。认证中心又叫CA中心,它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节,因此又称作PKI/CA。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。

⑥数字证书及身份认证。数字证书,又叫“数字身份z”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。身份认证是指计算机及网络系统确认 *** 作者身份的过程,解决了用户的物理身份和数字身份相对应的问题,给他们提供了权限管理的依据。目前常见的身份认证方式主要有三种,第一种是使用用户名加口令的方式;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等);第三种也是现在电子政务和电子商务领域最流行的身份认证方式――基于USBKey的身份认证。

以上技术均可概括为两类,即主动防御保护技术和被动防御保护技术。主动防御保护技术的实现方式一般采用数据加密、身份鉴别、存取控制、权限设置和虚拟专用网络等技术来实现。被动防御保护技术的实现方式主要有防火墙技术、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护及安全管理等。

三、结语

随着计算机技术和通信技术的发展,信息交换将日益成为企业与企业之间、政府与政府之间或政府与企业之间日常事务往来的重要手段。因此,认清网络信息安全的重要性,采取必要的安全策略,对于保障网络信息的安全性将十分重要。同时,计算机安全技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免地存在一些漏洞,因此,进行网络信息安全防范要不断追踪新技术的应用情况,及时升级、完善自身的防御措施。

是的,防统方和数据库审计系统是互为补充的,这是因为防统方系统与数据库审计系统分别承担了不同的审计任务。

防统方系统内置了针对医药信息的规则库,以此审计违规统方的访问行为,所针对的是防医疗腐败、医疗回扣问题。防统方系统涵盖的范围虽相对较小,但内置了很多对应的规则,更具有针对性,也更为专业

数据库审计系统审计范围更广。除了用药信息之外,医院还存储着大量医疗影像信息、患者就医信息、实验室信息、电子病历等重要数据,数据库审计保护的对象是医院的核心数据,目的为防止信息泄露

因此两者需在医院信息系统中配合使用才能达到全面防护医院信息安全的效果。

Oracle数据库本身的安全性建设

从总体上而言,Oracle数据库是业界安全性方面最完备的数据库产品。在数据库安全性的国际标准中,Oracle通过了14项标准的测试,是所有数据库产品中通过安全性标准最多、最全面的产品。Oracle在C2级的 *** 作系统上(如商用UNIX,VMS *** 作系统),不仅满足NCSC C2级安全标准,而且已经正式通过了NCSC C2标准的测试。在B1级的 *** 作系统上不仅满足NCSC B1级安全标准,而且已经通过了NCSC B1级标准的测试。

Oracle提供的主要安全性措施如下:

身份认证功能(Authentication):识别访问个体的身份

数据访问的机密性(Confidentialty):保证敏感数据访问的机密性。

数据完整性(Integrity):保证数据不被篡改。

授权能力(Authorization):保证被授权用户对数据的查询和修改能力。

访问控制(Access Control):确定对指定数据的访问能力。

审计能力(Auditing):提供监测用户行为的能力。

私有性(Privacy):提供对敏感数据访问的私密性。

高可用性(Availability):保证数据和系统提供不间断服务的能力。

代理管理能力(Delegated Administration):提供对用户帐号的集中管理功能。

下面将就应用系统本身对于Oracle提供的安全性措施作更深入的探讨。

$PageTitle= Oracle的安全性领域}

三、 Oracle的安全性领域

Profile控制

Oracle利用profile机制来管理会话资源占用,同时也管理用户密码的安全策略。

通过profile我们可以实现:

某个特定用户最多只能占用系统百分之几的CPU时间?

某个特定用户连接到数据库之后能存活多长时间?

某个特定用户连接到数据库之后多长时间处于非活跃状态就将被系统中断连接?

用户登录密码输入错误多少次之后就将自动锁定用户?

用户密码的长度和包含的字符必须符合什么样的规则?

用户密码在多少天后将自动失效并要求设定新密码?

用户权限控制 (Privilage)

Oracle通过角色(Role),权限(Privilage)等的一系列授予(Grant)和回收(Revoke) *** 作可以有效的进行用户的权限控制。

通过权限控制我们可以实现:

某个特定用户只能读取而不能修改另一个用户的表数据。

某个特定用户只能运行Oracle数据库系统的几个存储过程或者函数。

某个特定用户自己能够拥有修改某些数据的权力,但是却无法给其它不拥有这个权限的用户授予修改该数据的权力。

某个特定用户可以读取数据但是无法创建新的表空间。

虚拟专用数据库(VPD)

虚拟专用数据库 (VPD) 也称为细粒度访问控制,它提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎。

VPD 的工作方法是,通过透明地更改对数据的请求,基于一系列定义的标准向用户提供表的局部视图。在运行时,所有查询都附加了谓词,以便筛选出准许用户看到的行。

也就是通过VPD的设置,我们可以做到行级安全性控制,特定的用户即使对一张表有读取权限,那么也只能看到符合自身权限的记录。

注意,在Oracle10g版本中,VPD得到增强,已经可以实现字段级的安全性控制了。

实例及搭建步骤参看:利用VPD细粒度访问策略实现行级安全性 Step By Step

Orace Label Security

基于对由客户提交的行级安全性的严格要求,Oracle Label Security(Oracle 数据库企业版的选件之一)利用多级安全性概念解决了世界上政府和商业用户在实际中遇到的数据安全和隐私问题。

OLS 通过利用数据敏感度标签(例如“敏感”和“公司机密”)与用户标签授权,提供了完善的行级安全性控制。

OLS 使用政策概念来存储标签定义和授权。该政策可直接在数据库中进行管理,或在 Oracle 身份管理中进行集中管理。

Oracle Database Valut

通常数据库管理员如果具有了DBA权限,那么就很难防止这样的管理员查看应用程序数据。而Oracle Database Valut则解决了必须保护涉及合作伙伴、员工和顾客的敏感业务信息或隐私数据的客户最为担心的问题。

Oracle Database Vault 可防止高权限的应用程序 DBA 访问其他的应用程序、执行其权限之外的任务。Oracle Database Vault 可在不影响应用程序功能的前提下快速而高效地保护现有程序。

Oracle Database Vault 可通过下列方法解决一些最为常见的安全问题和内部威胁:

1 限制 DBA 和其他授权用户访问应用程序数据。

2 防止DBA *** 纵数据库和访问其他应用程序。Oracle Database Vault 提供了强大的职责划分控制功能,可防止擅自更改数据库。比如说如果一个用户具有 CREATE USER 权限,但不具备正确的用户管理权限,则 Oracle Database Vault 将阻止该 DBA 创建新用户。

3 更好的控制何人、何时、何地可以访问应用程序。如日期时间、数据库客户端在网络上的位置之类的因素。

Oracle Database Valut是新的Oracle Database 10g企业版的选件。目前已经有Linux X86以及Solaris SPARC 64bit的版本可以下载使用了。

用户访问审计

审计是Oracle安全性的另一个重要领域,我们还必须小心地计划审计方案。有几种方式可在Oracle中进行审计:

1. SQL审计命令(标准审计)

通过AUDIT语句我们可以对成功或者不成功的特定对象的读取,更新 *** 作进行审计。

标准审计只会记录较少的跟踪信息,比如发出该语句的用户、时间、终端标识号等等。

该审计对于系统性能的影响更多地取决于对象的繁忙程度。

2. 用对象触发器进行审计(也就是DML审计)

此类审计通常由客户自行开发放置于特定数据库对象上的触发器,由于是自行开发,所以相对于标准审计则能够更自由地记录更多感兴趣的跟踪信息。比如更新 *** 作将某个字段从什么原始值更新到了什么新值。

该审计对于系统性能的影响更多地取决于对象的繁忙程度和触发器的编写水平。

3. 用系统级触发器进行审计(记录用户登录和退出)

当用户登录数据库或者离开数据库时,都可以通过自定义的触发器来记录用户名称, *** 作时间,终端标识号等信息。

由于触发器触发几率小,所以该审计对于系统性能影响并不大。

4. 用LogMiner进行审计(也就是DML和DDL)

Oracle数据库将所有的更新 *** 作都记录在重作日志中,而Oracle提供了LogMiner工具用于挖掘重作日志中的所有 *** 作,相比起上述的各种审计方法来说,该种审计可能是信息最为完善,对于应用系统性能影响最小的方法。

此处稍微延展开来说一下,LogMiner是双刃剑,既然可以用来审计,也就能够被恶意使用作为数据窃取的工具。所以在数据本身的加密方面,Oracle同样提供了多种解决方案,比如DBMS_OBFUSCATION_TOOLKIT,DBMS_CRYPTO和最新的透明数据加密,甚至在数据备份方面 Oracle也推出了Secure Backup来应对磁带数据的加密,但是要注意到数据加密不应用作访问控制的替代项,存储加密的数据并不会在存储介质本身提供额外的保护层,只是有助于在发生介质遭窃时保护诸如xyk号之类的敏感数据。本文不再作更多的介绍。

5. 细精度审计(FGA)

细粒度审计 (FGA),是在 Oracle 9i 中引入的,能够记录 SCN 号和行级的更改以重建旧的数据,但是它们只能用于 select 语句,而不能用于 DML,如 update、insert 和 delete 语句。因此,对于 Oracle 数据库 10g 之前的版本,使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。

而Oracle10g种FGA功能的增强使其不但能够支持select *** 作,同时也支持DML *** 作。在 Oracle 10g 中,审计已经从一个单纯的“ *** 作记录者”成长为一个“事实记录机制”,它能以一个非常详细的级别来捕获用户的行为,这可以消除您对手动的、基于触发器的审计的需要。它还结合了标准审计和 FGA 的跟踪,这使其更易于跟踪数据库访问,而不用考虑它是如何生成的。

通过细粒度审计我们可以记录:

在早上九点到下午六点之间或在星期六和星期日对某个表进行了访问。

使用了公司网络外部的某个 IP 地址。

选定或更新了特定列。

使用了该列的特定值。

安华金和数据库审计系统能给用户带来的好处有如下几点:

1、协助用户完成安全合规建设,安华金和数据库审计系统通过全面行为审计、数据 *** 作监控、风险事件告警、行为分析建模、审计记录留存、专项合规报表等功能特性,协助用户完成安全合规建设

2、协助用户实时感知风险、了解安全状况,安华金和数据库审计系统通过对登录异常、 *** 作异常、数据异动异常、漏洞攻击、SQL注入等监测,以及事中异常行为告警,第一时间协助用户实时感知风险、了解安全状况,及时止损,使损失降到最低。

3、为数据泄漏追溯、分析、定责提供支撑,安华金和数据库审计系统通过会话回放、行为轨迹图等检索查询能力能够有效进行事件追溯;通过登录行为分析、访问行为分析、数据使用等行为分析,有效对所有数据库 *** 作访问行文进行统计分析;对访问源身份、应用身份的识别,形成完整证据链条有效进行责任认定,从而为数据泄漏追溯、分析、定责提供支撑。

4、帮助企业及时发现生产过程数据异动,减少损失,安华金和数据库审计系统通过配置敏感数据访问规则来定义数据使用规范;通过实时监控告警,使用户第一时间发现异常使用行为;通过事件多角度关联分析,分析异常产生过程,来定位数据使用问题,使用户及时处置高危 *** 作风险,减少损失。

5、帮助用户辅助进行性能分析评估,优化业务系统

6、安华金和数据库审计系统具有失败SQL分析能力,能够真实呈现数据库对失败SQL应答信息,便于分析语句正确性及合理性;具有SQL耗时统计能力,能够记录SQL执行时长及结果集返回时长,辅助定位性能问题,找出需要优化的语句;具有TOP SQL分析能够能力,提供最多执行次数语句统计及执行耗时最长SQL统计,便于快速定位问题,从而帮助用户辅助进行性能分析评估,优化业务系统。

其实我觉得防统方与数据库审计是互补的,防统方即是防止统方行为发生,根据医疗行业及其应用系统的特点,以 *** 作行为的正常规律和规则为依据,对相关计算机系统进行的 *** 作行为产生的动态或静态痕迹进行监测分析,发现和防范内部人员借助信息技术实施的违规和犯罪。对信息系统运行有影响的各种角色的行为过程进行实时监测,及时发现异常和可疑事件,避免内部人员的威胁而发生严重的后果。

数据库审计能够实时记录网络上的数据库活动,对数据库 *** 作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。

安华金和这两种产品都有,你直接问厂商吧,针对医疗行业的数据安全案例做了很多。

以上就是关于[网络信息安全浅析]如何保护网络信息安全全部的内容,包括:[网络信息安全浅析]如何保护网络信息安全、防统方和数据库审计是互为补充吗具体有什么区别、对三大数据库提点建议等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/sjk/9753874.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-01
下一篇 2023-05-01

发表评论

登录后才能评论

评论列表(0条)

保存