网络数据库安全性问题的分析与模型
hadoop安全性分析
一、Hadoop架构Hadoop实现了一个分布式文件系统(Hadoop Distributed File System),简称HDFS。
HDFS有高容错性的特点,并且设计用来部署在低廉的(low-cost)硬件上;而且它提供高吞吐量(high throughput)来访问应用程序的数据,适合那些有着超大数据集(large data set)的应用程序。
Hadoop的框架最核心的设计就是:HDFS 和MapReduce。
HDFS为海量的数据提供了存储,则MapReduce为海量的数据提供了计算。
Hadoop 由许多元素构成。
其最底部是Hadoop Distributed File System (HDFS),它存储Hadoop 集群中所有存储节点上的文件。
HDFS(对于本文)的上一层是MapReduce 引擎,该引擎由JobTrackers 和TaskTrackers 组成。
Hadoop 分布式计算平台最核心的分布式文件系统HDFS、MapReduce处理过程,以及数据仓库工具Hive和分布式数据库Hbase,基本涵盖了Hadoop分布式平台的所有技术核心。
HDFS对外部客户机而言,HDFS就像一个传统的分级文件系统。
可以创建、删除、移动或重命名文件,等等。
但是HDFS 的架构是基于一组特定的节点构建的(参见图1),这是由它自身的特点决定的。
这些节点包括NameNode(仅一个),它在HDFS 内部提供元数据服务;DataNode,它为HDFS 提供存储块。
由于仅存在一个NameNode,因此这是HDFS 的一个缺点(单点失败)。
存储在HDFS 中的文件被分成块,然后将这些块复制到多个计算机中(DataNode)。
这与传统的RAID 架构大不相同。
块的大小(通常为64MB)和复制的块数量在创建文件时由客户机决定。
NameNode 可以控制所有文件操作。
HDFS 内部的所有通信都基于标准的TCP/IP 协议。
网络安全实战详解
第一章网络安全基础1.1网络安全的现状与挑战1.1.1我国网络安全的现状(1)计算机系统遭受病毒感染和破坏的情况相当严重。
(2)黑客活动已形成严重威胁(3)安全意识淡薄是网络安全的瓶颈。
1.1.2网络安全面临的挑战1、网络部安全的原因(1)教育问题(2)技术方面(3)互联网不安全(4)系统软件自身不安全(5)网络管理问题2、威胁的来源威胁网络安全的主要来源包括内部人员(信息系统的管理者、使用者和决策者、开发者、维护者等)、特殊身份的人员(审计人员、稽查人员、记者等)、外部黑客、竞争对手、网络恐怖组织、军事组织或国家组织等。
任何威胁都可能是主机受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传输的信息可能被他人窃听或篡改。
3、安全威胁与网络攻击的类型多样化(1)窃听(2)重传(3)伪造(4)篡改(5)非授权访问(6)拒绝服务攻击(7)行为否认(8)旁路控制(9)电磁/射频截获(10)人员疏忽1.2网络安全的定义从本质上讲,网络安全就是网络上信息的安全。
网络安全是指包含网络信息系统中的软件、硬件级信息资源,使之免受偶然或者恶意的破坏篡改和泄露,保证网络系统的正常运行、网络服务不中断。
网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。
从广义上讲,网络安全包括网络硬件资源和信息资源的安全性。
硬件资源包括通信线路、通信设备(交换机、路由器等)、主机等,要实现信息快速安全的交换,一个可靠的物理网络是必不可少的。
信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。
1.3典型网络安全案例分析1.4网络安全技术1.4.1数据加密技术密码技术是保障网络安全的最基本、最核心的技术措施。
加密技术是将资料加密,以防止信息泄露的技术。
就体质而言,目前的加密体制可分为:但密钥加密体制和公钥加密体制。
1.单密钥加密体制对称加密算法、私钥加密体制。
信息安全安全模型
就是防护(P )。防护是预先阻止攻击 可以发生的条件,让攻击者无法顺利地 入侵。 防护可以减少大多数的入侵事件。
26
检测
PDRR模型的第二个环节就是检测(D)。上面
提到防护系统除掉入侵事件发生的条件,可以 阻止大多数的入侵事件的发生,但是它不能阻 止所有的入侵。特别是那些利用新的系统缺陷
、新的攻击手段的入侵。因此安全策略的第二
38
防毒软件
防毒软件是人们最熟悉的安全工具,可
以检测、清除各种文件型病毒、宏病毒 和邮件病毒等。在应对黑客入侵方面, 它可以查杀特洛依木马和蠕虫等病毒, 但对于网络攻击行为(如扫描、针对漏 洞的攻击)却无能为力。
39
安全审计系统
安全审计系统通过独立的、对网络行为和主
机操作提供全面与忠实的记录,方便用户分 析与审计事故原因,很像飞机上的黑匣子。 由于数据量和分析量比较大,目前市场上比 较成熟的产品: 主动式审计(IDS部署) 被动式审计(日志监控)
安全=风险分析+执行策略+系统实施+漏洞检测+实时响应
20
Policy(安全策略)
由于安全策略是安全管理的核心,所以
要想实施动态网络安全循环过程,必须 首先制定安全策略,所有的防护、检测 、响应都是依据安全策略实施的,安全 策略为安全管理提供管理方向和支持手 段。 对于一个策略体系的建立包括:安全策 略的制订、安全策略的评估、安全策略 的执行等。
第二部分 安全模型
信息系统的安全目标是控制和管理主体 (Subjects,包括用户和进程)对客体 (Objects, 包括数据和程序)的访问。
安全模型:
准确地描述安全的重要方面及 其与系统行为的关系。提高对成功 实现安全需求的理解层次。
计算机网络安全技术概论
络
重要的作用。认证就是识别和证实。识别是辨别
安
一个对象的身份,证实是证明该对象的身份就是
全
其声明的身份。OSI环境可提供对等实体认证的
技
安全服务和信源认证的安全服务。
对等实体鉴别:这种服务当由(N)层提供时,将使(N+1)实体
术
确信与之打交道的对等实体正是它所需要的(N+1)实体。这种
服务在连接建立或在数据传送阶段的某些时刻提供使用,用以证
10尽管操作系统的缺陷可以通过版本的不断升级来克服但系统的某一个安全漏洞就会使系统的所有安全控制毫无价值
计
算
机
第一篇 安全技术基础
网
络
安
全 技
第1章 计算机网络安全技术概论
术
本章学习目标
计
算
机 计算机网络安全系统的脆弱性
网 P2DR安全模型和PDRR网络安全模型
络
Internet网络体系层次结构、网络安
络
个整体,包含了多
个特性。可以从安
安
全特性的安全问题、
全
系统单元的安全问 题以及开放系统互
技
连(ISO/OSI)参 考模型结构层次的
术
安全问题等三个主 要特性去理解一个
安全单元。所以安
全单元集合可以用
一个三维的安全空
间去描述它,如图
所示。
OSI 参考模型的结构层次
应用层
表示层
会话层
传输层
网络层
链路层 物理层
安 检测(Detection)、响应(Response)、
全 恢复(Recovery)4个英文单词的头一个
技
字符
术
成功
物联网安全威胁模型与风险分析
物联网安全威胁模型与风险分析随着物联网技术的快速发展,物联网已经渗透到我们生活的方方面面。
然而,在物联网的背后隐藏着大量的安全威胁,这些威胁可能对个人隐私、商业机密以及国家安全带来巨大的风险。
为了更好地理解和应对物联网的安全问题,本文将探讨物联网安全威胁模型与风险分析。
一、物联网安全威胁模型1. 身份认证与访问控制威胁在物联网中,存在身份认证与访问控制的威胁。
未经认证的设备或者未被授权的用户可能会访问敏感数据或者控制他人的设备,从而导致信息泄露、设备被控制甚至是物理伤害等问题。
2. 信息安全威胁物联网中的数据传输涉及大量的个人隐私和机密信息。
攻击者可以通过窃听、篡改或截获数据包来窃取敏感信息,从而导致个人隐私泄漏、财产损失等问题。
3. 设备安全威胁物联网设备通常会集成各种传感器和执行器,这些设备可能存在固有的安全漏洞。
攻击者可以利用这些漏洞对设备进行攻击,造成设备故障、服务中断或者设备被劫持等问题。
4. 网络安全威胁物联网依赖于互联网进行数据传输和服务交互。
网络安全威胁包括网络拥塞、分布式拒绝服务攻击、恶意软件等,这些威胁可能导致网络不可用、服务中断甚至瘫痪。
二、物联网安全风险分析1. 安全威胁概率评估评估物联网中的安全威胁发生的概率,可以通过分析历史数据、安全事件报告和漏洞数据库等信息来获取。
同时,还可以考虑攻击者的能力和资源,以及系统的安全机制等因素,综合评估安全威胁概率的高低。
2. 安全威胁影响评估评估物联网中的安全威胁对系统和用户的影响程度。
例如,数据泄露可能导致个人隐私泄漏、知识产权损失或者声誉受损等。
通过权衡损失的严重性和发生的可能性,可以确定安全威胁对系统整体和个体用户的影响程度。
3. 风险评估和处理将安全威胁的概率和影响进行综合,评估整个物联网系统的安全风险。
根据风险评估的结果,可以采取相应的风险处理措施,包括风险避免、风险转移、风险减轻和风险接受等。
三、物联网安全防护策略1. 强化身份认证与访问控制通过使用强密码、双重认证和生物识别技术等手段,加强对设备和用户的身份认证和访问控制,降低未经授权的访问风险。
简述BLP模型
简述BLP模型BLP模型简介BLP模型从“访问控制”的角度研究如何既保证主体能有效地访问客体,又得系统的安全性不致遭到破坏的性质和规则,是一种在计算机系统内实施多极安全策略和自主安全策略的访问控制模型,通过制定主体对客体的访问规则和操作权限来保证系统的安全性。
从本质上来说.BLP模型是一个状态机模型,它形式化定义系统、系统状态以及系统状态间的转换规则;定义安全的概念,并制定了一组安全特性。
以此对系统状态和状态转换规则进行限制和约束.使得对于一个系统,如果它的初始状态是安全的,并且所经过的一系列的规则都保持安全特性,那么可以证明该系统是安全的。
BLP模型定义了系统、系统状态、状态间的转换规则,安全概念、制定了一组安全特性,对系统状态、状态转换规则进行约束,如果它的初始状态是安全的,经过一系列规则都是保持安全的,那么可以证明该系统是安全的。
BLP模型的基本安全策略是“下读上写”,即主体对客体向下读、向上写。
主体可以读安全级别比他低或相等的客体,可以写安全级别比他高或相等的客体。
“下读上写”的安全策略保证了数据库中的所有数据只能按照安全级别从低到高的流向流动,从而保证了敏感数据不泄露。
BLP模型存在的主要问题(1)理论体系的争议:文献Mclean J A comment on the basic security theorem of Bell and LaPadula认为BLP模型对于实际系统的设计与实现指导意义不大.由于没有提供安全条件的语义说明,模型中的基本安全定理(BST)并不能对给定的任意属性集提供类似证明。
文献Mclean J A comment on the basic security theorem of Bell and LaPadula与Landwehr CE.Heitmeyer CL.McLean J A security model for military message systems还认为,仅仅通过定义安全状态来定义安全系统是不够的,需要考虑状态的转换。
几种信息安全评估模型
1基于安全相似域的风险评估模型本文从评估实体安全属性的相似性出发,提出安全相似域的概念,并在此基础上建立起一种网络风险评估模型SSD-REM风险评估模型主要分为评估操作模型和风险分析模型。
评估操作模型着重为评估过程建立模型,以指导评估的操作规程,安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性.风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。
面向入侵的风险分析模型受技术和规模方面的影响较大,不易规范,但操作性强.面向对象的分析模型规范性强,有利于持续评估的执行,但文档管理工作较多,不便于中小企业的执行。
针对上述问题,本文从主机安全特征的相似性及网络主体安全的相关性视角出发,提出基于安全相似域的网络风险评估模型SSD-REM(security-similar-domain based riskevaluation model).该模型将粗粒度与细粒度评估相结合,既注重宏观上的把握,又不失对网络实体安全状况的个别考察,有助于安全管理员发现保护的重点,提高安全保护策略的针对性和有效性。
SSD-REM模型SSD—REM模型将静态评估与动态评估相结合,考虑到影响系统安全的三个主要因素,较全面地考察了系统的安全.定义1评估对象。
从风险评估的视角出发,评估对象是信息系统中信息载体的集合。
根据抽象层次的不同,评估对象可分为评估实体、安全相似域和评估网络。
定义2独立风险值。
独立风险值是在不考虑评估对象之间相互影响的情形下,对某对象进行评定所得出的风险,记为RS。
定义3综合风险值。
综合风险值是在考虑同其发生关联的对象对其安全影响的情况下,对某对象进行评定所得出的风险,记为RI。
独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。
独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下,所得的网络风险评估实体是评估网络的基本组成元素,通常立的主机、服务器等.我们以下面的向量来描述{ID,Ai,RS,RI,P,μ}式中ID是评估实体标识;Ai为安全相似识;RS为该实体的独立风险值;RI为该实体合风险值;P为该实体的信息保护等级,即信产的重要性度量;属性μ为该实体对其所属的域的隶属度.这里将域i中的实体j记为eij。
网络安全日志数据分析与威胁检测
网络安全日志数据分析与威胁检测第一章:引言随着互联网的普及和网络技术的发展,网络安全问题日益严重。
为了保护网络资源的安全性,网络安全日志数据分析与威胁检测成为了一项至关重要的工作。
本文将从网络安全日志的概念入手,介绍网络安全日志数据分析的方法和技术,探讨威胁检测的原理和应用。
第二章:网络安全日志数据分析2.1 网络安全日志的概念网络安全日志是记录网络环境中各种安全事件的一种记录,包括入侵事件、异常访问、恶意软件传播等。
它能够提供重要的安全信息,帮助安全人员进行威胁检测和安全事件的溯源。
2.2 网络安全日志数据的收集网络安全日志数据的收集包括主机日志、网络设备日志、应用日志等。
主机日志记录本地产生的安全事件,网络设备日志记录网络流量的相关信息,应用日志记录应用程序产生的安全事件。
2.3 网络安全日志数据的存储与管理网络安全日志数据的存储与管理需要考虑到数据的安全性和可用性。
常见的存储方式包括日志管理系统、数据库系统和流式处理系统。
2.4 网络安全日志数据分析方法网络安全日志数据分析方法包括基于规则的分析、基于机器学习的分析和基于行为分析的分析。
基于规则的分析通过事先设定规则进行匹配和警告,基于机器学习的分析通过学习历史数据来预测异常行为,基于行为分析的分析通过建立用户行为模型来检测威胁。
第三章:威胁检测的原理和应用3.1 威胁检测的原理威胁检测的原理是通过比对实时的网络数据和之前建立的模型或规则,识别并报告潜在的网络安全威胁。
常见的威胁检测方法包括基于特征的检测、基于异常行为的检测和基于机器学习的检测。
3.2 威胁检测的应用威胁检测在网络安全中扮演着重要的角色。
它能够帮助检测内部与外部的攻击行为、防范未知威胁、及时发现异常行为等。
威胁检测在各个领域都有应用,例如金融、医疗等。
第四章:网络安全日志数据分析与威胁检测的挑战与解决方案4.1 挑战一:大规模数据处理网络安全日志数据庞大且快速增长,对于数据的处理和分析提出了巨大的挑战。
物联网安全模型及关键技术
特别策划D I G I TAL COMMUN I C AT I O N /201018物联网安全模型及关键技术刘宴兵 胡文平重庆邮电大学 重庆4000650 引 言根据国际电信联盟的定义[1],物联网(internetof things ,I O T )主要解决物品到物品(thing t o thing,T2T )、人到物品(hu man t o thing,H2T )、人到人(hu man t o hu man,H2H )之间的互联。
核心共性技术、网络与信息安全以及关键应用是目前物联网研究的重点。
与其他传统网络相比,物联网感知节点大都部署在无人监控的场景中,具有能力脆弱、资源受限等特点,这使得物联网安全问题比较突出,并且当国家重要基础行业和社会关键服务领域(如电力、金融、交通、医疗等)重要社会功能的实现都依赖于物联网及“感知型”业务应用时,物联网安全问题必然上升到国家层面。
所有这些都导致很难直接将传统计算机网络的安全算法和协议应用于物联网。
考虑到当前物联网安全的研究尚未形成体系,主要研究集中在单个技术如感知前端技术(如RF I D 、传感技术)、个体隐私保护等方面,论文首先给出物联网安全层次结构;其次,对层次结构涉及的物联网关键技术安全问题进行分析和论述。
1 物联网安全层次结构与互联网相比,物联网主要实现人与物、物与物之间的通信,通信的对象扩大到了物品。
根据功能的不同,物联网网络体系结构大致分为3个层次,底层是用来信息采集的感知层,中间层是数据传输的网络层,顶层则是应用/中间件层[2]。
由于物联网安全的总体需求就是物理安全、信息采集安全、信息传输安全和信息处理安全的综合,安全的最终目标是确保信息的机密性、完整性、真实性和数据新鲜性,因此本文结合物联网DC M (device,connect,manage )模式给出相应的安全层次模型(如图1所示),并对每层涉及的关键技术安全问题进行阐述。
图1 物联网安全层次结构物理安全层:保证物联网信息采集节点不被欺骗、控制、破坏。
网络安全技术与实践第8章 (2)数据库安全
数据库一般有三种安全保护措施
① 用户的身份认证管理 ② 数据库的使用权限管理 ③ 数据库中对象的使用权限管理
身份认证管理与安全机制 权限管理(授权、角色) 视图访问 审计管理
二、数据库安全策略和机制
1. 安全策略
① 管理规章制度方面的安全性。例如,SQL Server系统在使用 中涉及企事业机构的各类操作人员,为了确保系统的安全,应 着手制定严格的规章制度,在使用业务信息系统时执行标准的 操作流程。
数据库安全的主要威胁
① 法律法规、社会伦理道德和宣传教育等问题。 ② 政策、制度及管理问题。 ③ 硬件和操作系统等软件问题。 ④ 数据库系统本身的缺陷和隐患带来的安全性问题。
安全性基本内涵
1. 保密性
① 用户标识与鉴别 ② 存取控制 ③ 数据库加密 ④ 审计 ⑤ 备份与恢复 ⑥ 推测控制与隐私保护
SQL Server 身份认证模式 1
Windows身份验证模式
使用Windows操作系统的安全机制,用户只 需 通 过 Windows 验 证 , 即 可 连 接 到 SQL Server而不再进行身份验证。
2
混合身份验证模式
Windows身份验证和SQL server验证都可用 。对于可信任连接用户,系统直接采用
同样,U6还可以将此权限授予U7:
例7:GRANT INSERT ON TABLE SC TO U7; 注意:U7不能再往下传递权限了。
(2)收回权限 —— 所有授予出去的权力在必要时又都可用REVOKE语句收回 基本语法:
REVOKE:授予的权限可以由DBA或其他授权者用REVOKE语句收回
—— 包括访问控制与身份认证、存取控制、审计、数据加密、视 图机制、特殊数据库的安全规则等。
网络数据库的安全技术研究
更新, 也将会随之产生新的安全问题, 因此, 数据库安全必须走立体式发展道路, 在进行系统设计时要将各方面因素都考虑进来,这个问题才能得到有效解决。 参考文献: [1]袁玫.网络数据库应用教程[M].人民邮电出版社,第 1 版 [2]李陶深.网络数据库[M].重庆大学出版社,2004,8 [3]谢希仁.计算机网[M]络.电子工业出版社,第 4 版
其内容、形式;对于管理员而言,值得研究的是在数据库系统的开发和维护过程 中,对整个系统的安全机制进行整体设计和各项系统设置。 (四)客户端应用程序层次 网络数据库的安全也要受到客户端应用程序的影响。 客户端应用程序相对来 说具有独立性和可移值性, 并且可以通过多种平台实现, 对用户的需求进行设计 和完善也比较容易, 还能够对用户的合法性进行验证, 也可以对数据进行直接的 设置。在 DBMS 自身的安全机制较弱的情况下,从应用程序上进行加强控制,能 在一定的程序上保证应用系统的安全。 四、DBMS 安全机制的防范措施 (一)用户身份认证与授权 DBMS 具有识别用户身份的功能,通过这种功能鉴别用户的合法性。用户在 访问数据库时必须提供用户账号,它由用户名和密码组成,且用户名是唯一的。 只有通过身份认证的用户才能进行后续操作。 授权是系统赋予用户的权限, 标明 能够访问哪些资源,以及对它们的操作类型。 (二)备份与故障恢复 备份与故障恢复是保障数据库安全的重要手段, 是确保数据库系统因各种不 测事件受到破坏时,能尽快投入再使用的重要保证。通常故障有两种:物理故障 和逻辑故障, 与此相对应的就有物理备份和逻辑备份。 而恢复可以通过数据库备 份文件、安全日志来完成。 (三)监视跟踪与审计 利用网络监视软件对日志记录和信息进行跟踪, 能检查潜在的黑客攻击、 单 账号多用户以及非工作时间的操作。 而审计可以把用户对数据库的所有操作自动 记录下来,这样数据库管理员就可以找出问题原因,追查相关责任人,防止问题 再度发生。 五、结束语 上文提出了网络数据库的安全要进行分层处理的观点, 并对各层安全问题进 行了相关阐述,然后从 DBMS 安全机制上进行防范,可以得知网络数据库的安全 问题是一个系统性、综合性的问题。随着计算机技术、数据库技术和网络技术的
《数据库应用与安全管理》课程标准
《数据库应用与安全管理》课程标准一、课程概述1.课程性质《数据库应用与安全管理》是信息安全与管理专业针对网络安全测评、网络安全规划实施、安全产品技术支持、网络安全运维和数据安全等关键岗位,经过对企业岗位典型工作任务的调研和分析后,归纳总结出来的为适应信息安全管理员、信息安全工程师、渗透测试工程师和网络安全运维工程师等岗位能力需求而设置的一门专业核心课程。
2.课程任务《数据库应用与安全管理》课程通过与信息安全管理相关的实际项目学习,增强学生对专业知识运用的认识,让他们熟练掌握SQLServer的安装,掌握数据库的创建与管理,表的创建与管理,数据查询,视图操作,存储过程和触发器,数据库的安全,数据库的管理等相关知识和技能,使学生能基本胜任信息安全管理员、信息安全工程师和网络安全运维工程师等岗位的工作。
3.课程要求通过本课程的学习,培养学生具有信息安全管理岗位所需的信息安全风险评估、信息系统保障、信息安全管理、信息安全工程实施等方面的能力,以及分析问题、解决问题的能力,并养成良好的职业道德,为后续课程学习打下坚实的基础。
二、教学目标1.知识目标(1)了解数据库的形成与发展;(2)掌握T-SQL和图形界面的操作方法;(3)了解表、库的概念和建立方法;(4)熟悉数据库表的查询方法;55)了解视图、触发器、存储过程等相关概念及建立方法;66)了解数据库备份、登录管理、用户管理、权限管理和架构管理。
7.能力目标(1)能进行SQLServer的安装与配置;(2)能应用T-SQL或图形界面进行数据库、表和记录的操作;(3)能应用T-SQL或图形界面进行数据查询操作;(4)能使用视图和索引优化数据查询;(5)能使用存储过程、触发器和游标操作;(6)能应用T-SQL或图形界面进行数据库安全性设置;(7)能应用T-SQL或图形界面进行数据库的备份与恢复操作;(8)能够实现登录管理、用户管理、权限管理和架构管理。
8.素质目标(1)培养学生谦虚、好学的能力;(2)培养学生勤于思考、做事认真的良好作风;(3)培养学生良好的质量意识、安全意识;(4)培养学生根据实际应用需求完成分析问题、解决问题的能力(5)培养学生理论联系实际的能力和严谨的工作作风;(6)细致、耐心与吃苦耐劳的意识(工作中要细致、耐心,要有较好的观察与判断能力并且要有吃苦耐劳的精神)。
校园网网络安全分析与解决方案
校园网网络安全分析与解决方案运算机网络所面临的安全威逼有3种:硬件安全、软件安全和数据安全。
硬件包括网络中的各种设备及其元配件、接插件及电缆;软件包括网络操作系统、各种驱动程序、通信软件及其他配件;数据包括系统的配置文件、日志文件、用户资料、各种重要的敏锐数据库及其网络上两台机器之间的通信内容等隐秘信息。
一、校园网网络安全的解决方法1.网络病毒的防范。
在网络中,病毒已从储备介质(软、硬、光盘)的感染进展为网络通信和电子邮件的感染。
因此,防止运算机病毒是运算机网络安全工作的重要环节。
2.网络安全隔离。
网络和网络之间互联,同时给有意、无意的黑客或破坏者带来了充分的施展空间。
因此,网络之间进行有效的安全隔离是必须的。
3.网络监控措施。
在不阻碍网络正常运行的情形下,增加内部网络监控机制能够做到最大限度的网络资源爱护。
4.借助软件解决网络安全漏洞。
关于非专业人员来说,无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞,因此需要借助第三方软件来解决此安全隐患,并提出相应的安全解决方案。
第三方软件要包含以下功能:过滤不当内容网页;IM即时通信使用治理;流媒体下载治理;阻挡P2P点对点档案分享;阻挡Spyware间谍软件封包;防范诈骗网站与恶意程序代码攻击;提供完整的在线的网络活动分析报告;完整记录学生上网行为;提供各种详细的网络应用与潜在网络威逼风险分析报告等。
5.数据备份和复原。
数据一旦被破坏或丢失,其缺失是灾难性的。
因此,做一套完整的数据备份和复原措施是校园网迫切需要的。
6.有害信息过滤。
关于大中型校园网络,必须采纳一套完整的网络治理和信息过滤相结合的系统,实现对整个校园内电脑访问互联网进行有害信息过滤处理。
7.网络安全服务。
为确保整个网络的安全有效运行,有必要对整个网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全治理和设备配备方案。
二、网络安全爱护1.网络访问操纵访问操纵是网络安全防范和爱护的要紧策略,它的要紧任务是保证网络资源不被非法使用和访问。
基于大数据分析的网络安全态势感知与预警系统设计
基于大数据分析的网络安全态势感知与预警系统设计在信息化时代的今天,网络安全问题日趋严峻。
为了防范和应对各类网络攻击,构建一个高效可靠的网络安全态势感知与预警系统至关重要。
基于大数据分析的网络安全态势感知与预警系统能够通过对庞大的网络数据进行实时分析,发现网络威胁并及时预警,为网络安全工作者提供了有力的防御手段。
一、系统架构设计1. 数据采集与处理:网络安全态势感知与预警系统通过网络监控设备、日志收集设备以及告警设备等手段对网络中的数据进行采集。
采集到的数据包括网络流量、攻击日志、入侵检测日志、漏洞扫描结果等。
采集到的庞大数据需要进行实时处理和存储,以保证后续分析和预警的高效可靠。
2. 数据存储与管理:对于采集到的数据,可以使用分布式数据库系统进行存储与管理。
分布式数据库系统具有高可靠性、高可扩展性和高性能的特点,能够满足海量数据的存储需求。
同时,为了提高数据的处理速度和效率,还可以引入缓存技术,将热数据存储在内存中。
3. 数据分析与挖掘:基于大数据分析的网络安全态势感知与预警系统主要依靠数据分析和挖掘技术来提取有用信息。
通过构建适当的数据模型和算法模型,对网络数据进行深入分析,识别出潜在的安全威胁和异常行为。
常用的数据分析技术包括统计分析、机器学习、数据挖掘、图像处理等。
4. 预警与响应:系统通过对网络数据的分析和挖掘,发现异常情况后,可以采取相应的预警和响应措施。
预警方式可以包括短信、邮件、报警声等,及时通知网络安全工作者,以便他们能够及时采取措施防御和修复。
响应措施可以包括封堵IP地址、拦截网络流量、更新安全策略等。
二、系统功能设计1. 实时监控与分析:网络安全态势感知与预警系统可以通过实时监控网络数据流量和日志数据,对网络行为进行分析,发现异常情况和攻击行为。
监控和分析的频率可以根据实际情况进行调整,保证系统的实时性和准确性。
2. 威胁检测与识别:系统利用机器学习和数据挖掘技术,对网络数据进行建模和训练,从而实现对网络威胁的检测和识别。
网络安全风险识别与评估方法
网络安全风险识别与评估方法在当今数字化的时代,网络已经成为我们生活和工作中不可或缺的一部分。
然而,伴随着网络的广泛应用,网络安全风险也日益凸显。
从个人隐私泄露到企业数据被盗取,从关键基础设施遭受攻击到国家安全受到威胁,网络安全问题已经成为了我们必须面对和解决的重要挑战。
因此,准确识别和评估网络安全风险,对于保护个人、企业和国家的利益至关重要。
一、网络安全风险的来源网络安全风险的来源多种多样,大致可以分为以下几类:1、人为因素这是网络安全风险的最主要来源之一。
包括员工的疏忽大意,如设置简单易猜的密码、随意分享敏感信息;也包括恶意的内部人员,他们可能故意窃取公司机密或破坏系统。
此外,网络钓鱼、社会工程学攻击等手段也是通过利用人的心理弱点来获取非法利益。
2、技术漏洞软件和硬件的漏洞是黑客攻击的重要切入点。
操作系统、应用程序、网络设备等都可能存在未被发现或未及时修补的漏洞,给攻击者可乘之机。
3、网络连接无线网络、蓝牙连接、物联网设备等的广泛使用增加了网络的边界和接入点,也使得网络更容易受到攻击。
4、自然灾害和物理破坏如火灾、水灾、电力中断等自然灾害,以及对网络设备的物理破坏,都可能导致网络服务中断和数据丢失。
二、网络安全风险识别方法1、资产清单法首先,需要对组织内的所有网络资产进行清查,包括硬件设备(服务器、电脑、路由器等)、软件应用(操作系统、数据库、办公软件等)、数据资产(客户信息、财务数据、研发成果等)以及网络服务(网站、电子邮件、云服务等)。
通过建立详细的资产清单,可以明确需要保护的对象,进而分析可能面临的风险。
2、威胁建模法威胁建模是一种系统地识别和分析潜在威胁的方法。
它通过构建系统的架构图,分析每个组件可能面临的威胁,以及威胁可能的来源、途径和影响。
这种方法有助于提前发现潜在的安全漏洞,并采取相应的预防措施。
3、漏洞扫描法利用专业的漏洞扫描工具,对网络系统进行全面扫描,检测系统中存在的安全漏洞。
解决大数据分析技术使用中常见问题的方法与建议
解决大数据分析技术使用中常见问题的方法与建议大数据分析技术在当今信息技术快速发展的背景下,已经成为了企业决策和发展的关键驱动因素。
然而,大数据分析技术的复杂性和特殊性使得在使用过程中常常会遇到各种问题。
本文将介绍几个常见的问题,并提供相应的解决方法和建议。
一、数据收集问题在大数据分析中,数据收集是至关重要的一环。
但是,由于数据量庞大、来源众多,数据收集常常面临以下问题:1. 数据获取困难:数据获取是大数据分析的首要步骤。
但是,由于数据分散、格式多样等原因,获取数据常常变得困难。
解决这个问题的方法是建立一个强大的数据收集系统,包括数据融合、数据归一化等技术手段,以便将数据整合并进行预处理。
2. 数据质量低下:大数据分析的结果直接取决于数据的质量。
然而,由于数据来源的不确定性,数据质量往往难以保障。
为了解决这个问题,可以引入数据清洗技术,例如去除重复数据、处理缺失数据等手段,提高数据质量。
二、数据存储和处理问题大数据分析需要处理大规模的数据,而这些数据的存储和处理常常面临以下问题:1. 数据存储成本高:由于数据量大,传统的数据存储方式往往难以满足要求,比如数据库存储和备份的成本较高。
为了降低成本,可以考虑采用云存储等新技术,灵活地选择存储服务和资源。
2. 数据处理效率低:大规模数据的处理涉及到并行计算、分布式存储等复杂技术。
如果处理不当,很容易造成计算资源的浪费和处理效率的低下。
解决这个问题的方法是优化数据处理流程和算法,充分发挥并行计算的优势,提升处理效率。
三、数据分析和挖掘问题在大数据分析过程中,数据分析和挖掘是关键环节。
但是,由于数据复杂性和多样性,常常会出现以下问题:1. 分析模型选择困难:大数据分析涉及到各种各样的模型和算法,如聚类分析、分类算法等。
选择合适的模型对于准确的分析结果至关重要。
为了解决这个问题,可以利用已有的案例和模型评估工具,选择或构建最适合当前数据集的模型。
2. 挖掘结果解释困难:大数据分析结果常常包含大量的数据和信息,解释这些结果变得困难。
数据库安全性讲义PPT63页课件
2.为了进一步核实用户身份,常采用用户名与口令 (Password)相结合的方法,系统通过核对口令判 别用户身份的真。
3.通过用户名和口令来鉴定用户的方法简单易行, 但该方法在使用时,由于用户名和口令的产生和 使用比较简单,也容易被窃取,因此还可采用更 复杂的方法。
//添加 U1 为角色 r_test 的成员
grant select,update on course to u1 with grant option
EXEC sp_revokedbaccess 'u_test' --从数据库 pubs 中删除安全账户
EXEC sp_droplogin 'l_test' --删除登录 l_test
查找、插入、修改、删除
用户或DBA把授权决定告知系统 SQL的GRANT和REVOKE DBMS把授权的结果存入数据字典 当用户提出操作请求时,DBMS根据授
权定义进行检查,以决定是否执行操作 请求
5.3.2 授权及收权
GRANT语句的一般格式: GRANT <权限>[,<权限>]... [ON <对象类型> <对象名>] TO <用户>[,<用户>]... [WITH GRANT OPTION];
第五章 数据库安全性
问题的提出
数据库的一大特点是数据可以共享 但数据共享必然带来数据库的安全性问题 数据库系统中的数据共享不能是无条件的共享
例:军事秘密、 国家机密、 新产品实验数据、 市场需求分析、市场营销策略、销售计划、 客户档案、 医疗档案、 银行储蓄数据
电信网络资源管理系统架构和业务模型分析
电信网络资源管理系统架构和业务模型分析电信网络资源管理系统是指基于电信网络运营商的网络资源,通过一定的系统架构和业务模型进行有效管理和优化利用的系统。
本文将从架构设计和业务模型两个方面进行分析。
一、架构设计电信网络资源管理系统的架构设计需要考虑以下几个方面:系统整体架构、数据架构、网络架构和安全架构。
1. 系统整体架构电信网络资源管理系统的整体架构应该是分层分模块的,主要包括以下几个层次:用户界面层、业务逻辑层、数据层和网络层。
用户界面层主要负责与用户的交互和数据展示;业务逻辑层是系统的核心,负责各类业务逻辑的实现;数据层负责数据的存储和管理;网络层负责系统与外部网络的通信。
2. 数据架构电信网络资源管理系统的数据架构应该考虑以下几个方面:数据的结构、数据的存储和数据的访问。
数据的结构应该合理设计,要满足系统的需求,包括各类资源信息、业务信息等。
数据的存储可以选择关系型数据库或者分布式存储系统,根据系统的规模和性能要求进行选择。
数据的访问需要考虑系统的并发性和数据的安全性。
3. 网络架构电信网络资源管理系统的网络架构应该考虑以下几个方面:系统的通信协议、网络的可靠性和性能。
系统的通信协议可以选择HTTP、TCP/IP等,根据系统的需求进行选择。
网络的可靠性需要保证系统能够持续稳定地运行,可以采用主备份或者分布式部署的方式实现。
网络的性能需要保证系统的响应速度和并发处理能力,可以采用负载均衡和缓存等技术来实现。
4. 安全架构电信网络资源管理系统的安全架构应该考虑以下几个方面:系统的身份认证、数据的传输安全和系统的权限管理。
系统的身份认证可以使用用户名和密码、双因素认证等方式进行,确保用户的身份真实。
数据的传输安全可以使用SSL/TLS协议进行加密传输,防止数据被篡改和泄露。
系统的权限管理可以分为不同的角色,保证合法用户只能访问其具备权限的资源和功能。
二、业务模型电信网络资源管理系统的业务模型需要考虑以下几个方面:资源管理、业务办理和故障处理。
多维度网络数据分析
▪ 数据挖掘流程
1.数据准备阶段:包括数据清洗、数据集成和数据转换等步骤 。 2.数据挖掘阶段:介绍了选择合适的挖掘算法和参数设置等步 骤。 3.结果评估阶段:对挖掘结果进行评估和解释,以及如何将结 果应用于实际业务中。
▪ 网络行为分析应用
1.网络行为分析可以应用于网络安全、网络性能优化和用户行 为研究等领域。 2.网络行为分析可以帮助企业提高网络效率、优化用户体验和 提高安全性。 3.网络行为分析可以为学术研究提供丰富的数据和研究方向。
网络行为分析
▪ 网络行为分析挑战与未来发展
1.数据隐私和安全是网络行为分析的重要挑战。 2.随着5G、物联网等技术的发展,网络行为分析将面临更大的数据量和更复杂的分 析需求。 3.人工智能和大数据技术的进一步发展将推动网络行为分析的进步。
▪ 数据采集与处理性能优化
1.算法优化:优化数据采集和处理的算法,提高性能和效率。 2.并行计算:应用并行计算技术,分配计算资源,加速数据处理过程。 3.硬件加速:利用硬件加速技术,提高数据采集和处理的性能和效率。 以上内容仅供参考,具体内容可以根据您的需求进行调整优化。
多维度网络数据分析
网络安全与隐私保护
▪ 网络数据分析的发展趋势
1.大数据与人工智能的融合:随着大数据和人工智能技术的不 断发展,网络数据分析将更加精准、高效,能够为分析人员提 供更加深入的洞察和预测能力。 2.云计算的应用:云计算将为网络数据分析提供更加强大的计 算能力和存储空间,使得分析人员能够处理更加庞大、复杂的 网络数据。 3.网络安全挑战:随着网络攻击手段的不断升级,网络数据分 析在网络安全领域的应用将更加广泛,对分析人员的技能要求 也将越来越高。 以上内容仅供参考,具体内容应根据实际情况进行调整和补充 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
司, 2000.
[ 2 ] 秦拯. W indow s N T 站点的安全性研究 [J ]. 计算机科
学, 2001, 28 ( 3) : 53257.
[ 3 ] 刘美兰, 姚京松. In ternet 安全新概念—— 动态自适应
安 全模型 [ 电子文icro soft 身份验证被认为是更加安全的方法,
图 1 远程获取系统超级用户权限流程
首先, 入侵者通过某种扫描工具获悉网络数据 库服务器存在密码为空的 sa 用户, 然后, 利用 M i2 cro soft SQL Server 的客户端 (C lien t ) , 通过数据库 服务器的 1443 端口, 以 “sa ” 的身份登录, 使用扩展 常驻程序X p cm d shell . 该程序允许 SQL Server 服务器的用户运行任何系统指令. 入侵者通过执行 系统指令可以得到系统的控制管理权限, 直接威胁 服务器操作系统的安全, 甚至让整个服务器和局域 网完全处于瘫痪状态, 使其无法进行正常工作. 212 数据库安全隐患的产生原因 首先, 由于对数据库所采取的安全检查措施的 级别还远低于操作系统和网络的安全检查措施的级 别, 并且系统维护本身安全的复杂程度不够全面、 密 码的安全性较差、 误配置或者存在的未被察觉的系 统后门等操作系统方面的安全问题, 以及人们长期 以来形成的关于数据库方面的安全概念不太完善, [3] “自适应网络安全” 的理念——将安全问题看作持 续不断的 “工作进程” , 而不是一次性的检查—— 并 未被大多数数据库管理者所接受. 都使得数据库服 务器存在着很大的安全隐患. 其次, 数据库本身是个极为复杂的系统, 很难进 行正常的配置和安全维护. 例如 O racle, syba se , M icro soft SQL Server 等数据库系统都涉及很多方 面: 帐号及密码的设置、 校验系统、 数据库资料的各 种权限分配、 具体的操作语言 ( 通常为 SQL 的特殊 ) 衍生语 、 配置时的网络协议、 各种补丁和服务包、 数 据库系统和开发时所使用的开发工具等, 掌握起来 非常困难. 许多数据库管理人员都忙于管理复杂的 信息系统, 所以很可能没有检查出严重的安全隐患 和不当的配置, 甚至根本没有进行检测. 同时对数据 库以外相关知识 ( 网络、 硬件等) 的欠缺理解也是导 致数据库服务器安全隐患的一大因素.
首先, 对于信息管理系统策划和开发的人员来 说, 应该改变以往只注重信息管理系统功能的代码 实现的错误观点, 把系统的安全作为一个重要的方 面去考虑, 对将要开发的系统做出最彻底的评估, 从 开发时所采用的前台开发工具、 后台的数据库系统, 以及最后该管理信息系统运行所需的硬软件环境 等, 找出所有潜在的不安全因素, 尽量避免因为在系 统开发过程中对开发工具、 硬件环境的设置不当等 原因而导致整个信息管理系统的不稳定和数据库数 据的泄密. 其次, 对于系统的管理维护人员而言, 应该全面 地考虑数据库的安全问题, 主要包括物理实体安全、 网络安全、 操作系统安全和应用系统安全等方面[ 6 ]. ( 1 ) 物理安全 主要是防止因为服务器硬件方 面的原因而导致数据库系统的瘫痪. ( 2 ) 网络安全 主要是从网络这方面来保障数 据库系统的安全. 例如系统只允许授权的远端客户 使用, 保证网络中传输的数据不被拦截或监听等等 . ( 3 ) 操作系统安全 是指保证数据库系统所在 服务器的安全. 主要有用户帐号和口令的管理, 操作 系统本身的安全维护, 操作系统的日常稳定性维护 等等 .
112 系统安全性 [ 1 ]
网络数据库的安全与否还会直接影响到数据库 服务器主机, 甚至整个局域网的安全 . 由于所有现代 关系型数据库系统大都是 “可从端口寻址的” , 这意 味着任何人只要有合适的查询工具, 一定的数据库 的使用权限, 就都可通过特定的服务器端口与数据 库进行直接连接, 并能躲开操作系统的安全检测机 制; 同时, 大多数数据库系统还有众所周知的默认帐 号和密码, 并且这些默认帐号往往都拥有很高的权 限, 可支持对数据库资源的各级访问, 甚至可以对操 作系统进行指令操作, 从而取得这个操作系统的超 级用户权限, 并且还可以在操作系统中开启后门、 安 放监听程序, 得到整个局域网中各台机器间的相关 口令, 从而得到整个局域网的控制权, 控制整个局域 网, 造成极大危害 .
网络数据库安全性问题的分析与模型
Ana lysis and M odel of Network Da taba se Secur ity
王 慧, 方 明, 李仁根
( 西安石油学院 计算机科学系, 陕西 西安 710065)
摘要: 分析了网络数据库安全的重要性, 并说明了安全隐患产生的原因和目前所采取的一些安全措 施. 在全面地分析了网络数据库安全各种因素的基础上, 提出了一个网络数据库安全的管理和实现 模型. 关键词: 网络信息管理系统; 网络数据库; 数据库安全; 系统安全 中图分类号: T P 393108 文献标识码: A 随着计算机技术的发展和 In ternet 的日益普 及, 以计算机和 In ternet 为基础的各种信息管理系 统已成为当今社会各种事务运作的基础, 典型的基 于客户端 服务器 (C lien t Server ) 模式的网络信息 管理系统已经深入到社会生活的诸多领域. 但是, 由 于各种技术和非技术的因素影响, 网络信息系统的 安全一直是一个严重而又关键的问题, 作为其核心 的网络数据库的安全性则是涉及网络信息管理系统 各方面的全局性问题, 是保证整个信息管理系统安 全的关键, 其安全性更显得尤为重要. 本文就网络数 据库安全问题的重要性、 安全隐患的产生原因进行 了分析, 并对现今所采用的网络数据库安全措施进 行了论述, 最后在全面地分析了网络数据库安全各 种因素的基础上, 提出了一个网络数据库安全的管 理和实现模型. 规划等决策性数据; 必须对外界保密, 严禁非法访问 的机密信息 . 对于公司企业而言, 网络数据库可以说 是他们进行日常业务运作、 洽谈交易和企业资源规 划 ( ER P ) 的基础, 因此数据的安全就显得尤为重要 .
1 网络数据库安全问题的重要性
111 数据的安全性
网络数据库的安全与否首先会直接影响数据库 中保存的数据安全. 作为网络信息管理系统的核心, 数据库服务器上往往保存着许多使用者的重要数 据, 诸如以前的、 将来的敏感金融数据以及帐务数 据; 技术方面的所有权、 工程数据; 甚至有关未来的
2 网络数据库安全隐患的产生原因
211 数据库安全隐患的危害
以M icro soft SQL Server710 为例说明[ 2 ].
收稿日期: 2002205213 作者简介: 王慧 ( 19772) , 女, 陕西榆林人, 在读硕士生, 主要从事管理信息系统及计算机网络方面的研究. © 1994-2008 China Academic Journal Electronic Publishing House. All rights reserved.
4 一种网络数据库安全性的解决方案
虽然当今关于网络数据库安全有众多的策略, 但大都做得不够全面, 所采用的方法具有一定的片 面性, 很难有效保障数据库的数据安全性 . 因此, 应 该从整体上去认识网络数据库的安全问题, 从系统 设计、 开发到日常维护, 要把安全作为一个主要的方 面去考虑, 把各种安全机制有机地结合起来, 形成一 个整体的安全策略, 其模型如图 2 所示 .
— 66 —
西安石油学院学报 ( 自然科学版)
( 4) 应用系统安全 是指数据库系统本身的安 全问题 . 主要包括数据库系统帐号的管理、 数据的更 新、 运行的稳定性维护等等 . 另外, 作为系统的管理维护人员, 在做好系统维 护的同时, 还要在发生数据泄密事件后能最大程度 地挽回损失 .
图 2 网络数据库整体安全模型层次图
王 慧等: 网络数据库安全性问题的分析与模型
— 65 —
由于 M S SQL Server 的默认配置中存在着密 码为空的 sa 用户, sa 用户是系统默认的安全模块成 员—— 即它拥有系统管理员的超级权限, 可以任意 地执行系统指令, 从而得到操作系统的管理权限. 流 程如图 1.
有 两 种: M icro soft W indow s A u then t ica t ion (M i2 cro soft 身份验证 ) 和 M ixed M ode A u then t ica t ion ( 混合模式身份验证) [ 4 ]. 使用 M icro soft 身份验证, 数据库系统依赖操 作系统来保障安全 . 在这种模式下, 数据库系统和操 作系统的登录身份验证过程是结合使用的, 数据库 系统根据操作系统赋予用户的权限来决定他对数据 库系统的具体操作权限, 同时, 数据库系统的网络安 全属性也是通过由 M icro soft 提供的复杂加密过程 进行验证的 . 而混合模式身份验证, 是指可以通过操 作系统验证或数据库系统验证两种途径来访问网络 数据库, 数据库系统相对于服务器是独立的, 具体验 证机制是数据库系统通过将用户试图连接到数据库 时提供的名称和密码与存储在数据库中的登录帐户 信息进行比较来执行身份验证 .
3 目前网络数据库安全机制的分析
311 身份验证机制
访问网络数据库服务器的身份验证模式, 一般
© 1994-2008 China Academic Journal Electronic Publishing House. All rights reserved.
因为它提供附加的诸如安全验证和密码加密、 审核、 密码过期、 最小密码长度以及在一定数量的登录尝 试失败后自动锁定帐户等安全功能, 从而使得数据 库系统从身份验证这个角度来看更加安全 .
312 防火墙机制 [ 5 ]
在现今大多数数据库服务器的外围都装有防火 墙, 许多数据安全维护人员认为, 只要在服务器前面 安装一个防火墙, 并锁定了关键的网络服务和操作 系统的漏洞, 服务器上的所有应用程序就得到了安 全保障, 就完全解决了数据库服务器的网络安全问 题 . 这其实是一种较狭隘的安全思路 . 防火墙仅仅是 一种访问控制、 内外隔离的安全设备, 在底层包过 滤, 对付超大 ICM P 包、 碎片攻击, 端口控 IP 伪装、 制保护数据库服务器攻击等方面的确有大的作用, 但它在应用层的控制和检测能力是很有限的 . 现在 有好多种可以绕过防火墙对服务器进行攻击的手 段, 比如 M S SQL Server 远程控制等就可轻松穿透 防火墙实施攻击 .