数据安全策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(1)自主 访 问控 ¥i JDAC (Discretionary Access Contro1), 是 经常 被 用 到 的 访 问 控 制 方 式 。 自主 访 问 控 制 基 于 用 户 的身 份 和 访 问控 制 规 则 。用 户 提 出 访 问请 求 时 ,系 统 检查 访 问控 制 规 则 中是 否存 在 对 此 访 问 的 授 权进 行 访 问控 制 。这些 访 问控 制 规 则 由 系统 的主 体 负 责 设 置 ,即 是 一个 特 权 用 户 为 其他 用 户分 配 访 问数 据 库 系统 的 权 力 。 自主 访 问控 制 难 以控 制 赋 予 出 去的 权 限 ,使 系统难 以防 备木 马 的攻 击 。
(4)未 经 授 权 非 法通 过 互联 网或 者 局 域 网访 问 数据 信 息 , 窃取 其 中 的数 据或 者 非法 修 改数 据 ,使 其 数据 失 去真 实性 。
(5)通 过 网 络对 数 据 的 访 问遭 到 侦 听 或者 进 行Βιβλιοθήκη Baidu各种 非 法 存 取 。
(6)对 网络 数 据 进行 拒 绝式 服 务 攻击 ,造 成数 据 的 损坏 丢 失 。
(2)数据 泄 露 常常 发 生 在 内部 ,大量 的 运维 人 员 直接 接 触 敏 感 数 据 ,传 统 以 防 外 为 主 的 网络 安 全 解 决 方 案失 去 了 用 武 之 地 。
数 据 库 在 这 些 泄露 事件 成 为 了主 角 ,这 与 我们 在 传 统 的 安 全 建 设 中忽 略 了 数 据 库 安全 问题 有 关 ,在 传 统 的信 息 安 全 防 护 体 系中数据库处于被保护的核心位置 ,不易被外部黑客攻击 , 同 时数 据 库 自身 已经 具 备 强 大安 全 措 施 ,表 面 上看 足 够 安 全 , 但 这 种传 统 安全 防御 的 思路 ,存在 致命 的缺 陷 。
(1)软 件 和 硬 件 环 境 出 现 意 外 , 如磁 盘 损 坏 ,系统 崩 溃 等 。
(2)通过 互 联 网植 入 计 算 机病 毒造 成 系统 崩溃 ,进 而 破 坏 数据 。
(3)通过互联网或者局域网对数据的不正确访问 ,引起数 据 的 错 误 或 者 为 了 某 种 目的 故 意破 坏 数 据 造 成 的数 据 损 坏 和 丢 失 。
(2)强 制 访 问 控制 MAC (Mandatory Access Contro1), 由 数 据 库 系统 对 所 有 用 户 进 行 访 问授 权 ,授 权 状 态 一 般 不 能 改 变 ,只有系统特定的权限管理员才能根据系统需求修改 系统的 授权状态 ,以保证数据库系统 的安全性能 ,但这种控制方式不 够 灵 活 ,在 某些 时候 会 增加 权 限管 理 员的 工作 量 。
技 术 创 新 l 53
数 据 安 全 策略
◇江 苏油 田供 应 处 袁艳 勤
本 文介绍 了数据 在互联 网中面临 的各 项威胁 ,总结 了数 据 的相关 安全策 略 ,以及为 了数据安全 需采取 的措施 ,并将
可控 性 纳 入 数 据 安 全 中 。
r…
r…
,
…
r…
r…
,…
…
,…
,…
结 合 以 上 两 种 用 户 的 分 类 ,建 议 采 用 基 于 角 色 的访 问控 制 技 术 。把 角色 定 义 为 一 组 用 户和 一组 权 限 的 集 合 ,每个 用 户 可 以被授予 多个角色 。根据用户提 交的需求云服务商随时改变用 户所属 的角色 ,角色被激活后该 用户就具备了这个 角色所包含 的所 有 权 限 。采 用 角 色 访 问 控制 技 术 可 以 简 化 对权 限的 管 理 难 度 ,并 且 在 激 活 用 户 当 前所 属 角色 的 过 程 中可 以避 免 用 户拥 有 过 量的 权 限 ,防 止 用 户 有 意或 无 意 的 越 权 操 作 对其 他 用 户或 这 个 数 据库 造成 安 全威 胁 。
…
1 引 言 信 息 在 当 今 人 类 的 经 济 、军 事 、生 活 等 方 面 越 来 越 重 要 , 信 息 的 安 全 也 渐 渐 被 人 们所 重视 ,因此 互 联 网数 据 的安 全 问题 是 目前信 息 安 全 的 重 点 之 一 。 目前数 据 被 盗 、丢 失 等 使 得 数 据 安 全 性研 究 极 为 重 要 ,本 文 详细 概 述 数 据 在 互 联 网面 临 的安 全 威胁 ,我 们 从 数 据 安 全 的基 础概 念着 手 ,让 大 家知 道 提 高 数 据 的安 全 策 略是 什 么 ,做好 哪 些 防范 才 能使 数据 安 全 。 2 数据 在 互 联 网下 的安 全威 胁 2.1互 联 网 下 数 据 面 临 的 安 全 威 胁
3 数 据 安全 策 略及 措施 3 1数 据 访 问 控 制 访 问控 制 措 施 是 对 数据 进 行 保 护 的 关 键 方 式 ,它 是 维 护 系 统 安全 、保 护 数 据 的 重 要 手 段 。 具体 来 说 数 据 系统 安全 访 问 控 制 技 术 主 要分 为 三 类 : 自主 访 问控 制 DAC (Discretionary Access Contro1) 、强 制 访 问 控  ̄il ]MAC (Mandatory Access Contro1)和 基 于 角 色的 访 问控制 RBAC (Role—Based Access Contro1)。 在 数 据 库 领 域 对 于 数据 的访 问控 制 主 要 需 要考 虑 以下 两 类 用 户。
2.2信 息泄 露 呈现 两 个趋 势 (1)黑 客 通 过 B/S应 用 , 以w eb服 务 器 为 跳 板 , 窃 取 数
据 ;传统 解决 方 案 对应 用 访 问和 数 据 库 访 问协 议 没 有 任 何 控 制 能 力 ,比如 :SQL注 入 就是 一个 典 型 的数 据 库黑 客攻 击 手段 。
(4)未 经 授 权 非 法通 过 互联 网或 者 局 域 网访 问 数据 信 息 , 窃取 其 中 的数 据或 者 非法 修 改数 据 ,使 其 数据 失 去真 实性 。
(5)通 过 网 络对 数 据 的 访 问遭 到 侦 听 或者 进 行Βιβλιοθήκη Baidu各种 非 法 存 取 。
(6)对 网络 数 据 进行 拒 绝式 服 务 攻击 ,造 成数 据 的 损坏 丢 失 。
(2)数据 泄 露 常常 发 生 在 内部 ,大量 的 运维 人 员 直接 接 触 敏 感 数 据 ,传 统 以 防 外 为 主 的 网络 安 全 解 决 方 案失 去 了 用 武 之 地 。
数 据 库 在 这 些 泄露 事件 成 为 了主 角 ,这 与 我们 在 传 统 的 安 全 建 设 中忽 略 了 数 据 库 安全 问题 有 关 ,在 传 统 的信 息 安 全 防 护 体 系中数据库处于被保护的核心位置 ,不易被外部黑客攻击 , 同 时数 据 库 自身 已经 具 备 强 大安 全 措 施 ,表 面 上看 足 够 安 全 , 但 这 种传 统 安全 防御 的 思路 ,存在 致命 的缺 陷 。
(1)软 件 和 硬 件 环 境 出 现 意 外 , 如磁 盘 损 坏 ,系统 崩 溃 等 。
(2)通过 互 联 网植 入 计 算 机病 毒造 成 系统 崩溃 ,进 而 破 坏 数据 。
(3)通过互联网或者局域网对数据的不正确访问 ,引起数 据 的 错 误 或 者 为 了 某 种 目的 故 意破 坏 数 据 造 成 的数 据 损 坏 和 丢 失 。
(2)强 制 访 问 控制 MAC (Mandatory Access Contro1), 由 数 据 库 系统 对 所 有 用 户 进 行 访 问授 权 ,授 权 状 态 一 般 不 能 改 变 ,只有系统特定的权限管理员才能根据系统需求修改 系统的 授权状态 ,以保证数据库系统 的安全性能 ,但这种控制方式不 够 灵 活 ,在 某些 时候 会 增加 权 限管 理 员的 工作 量 。
技 术 创 新 l 53
数 据 安 全 策略
◇江 苏油 田供 应 处 袁艳 勤
本 文介绍 了数据 在互联 网中面临 的各 项威胁 ,总结 了数 据 的相关 安全策 略 ,以及为 了数据安全 需采取 的措施 ,并将
可控 性 纳 入 数 据 安 全 中 。
r…
r…
,
…
r…
r…
,…
…
,…
,…
结 合 以 上 两 种 用 户 的 分 类 ,建 议 采 用 基 于 角 色 的访 问控 制 技 术 。把 角色 定 义 为 一 组 用 户和 一组 权 限 的 集 合 ,每个 用 户 可 以被授予 多个角色 。根据用户提 交的需求云服务商随时改变用 户所属 的角色 ,角色被激活后该 用户就具备了这个 角色所包含 的所 有 权 限 。采 用 角 色 访 问 控制 技 术 可 以 简 化 对权 限的 管 理 难 度 ,并 且 在 激 活 用 户 当 前所 属 角色 的 过 程 中可 以避 免 用 户拥 有 过 量的 权 限 ,防 止 用 户 有 意或 无 意 的 越 权 操 作 对其 他 用 户或 这 个 数 据库 造成 安 全威 胁 。
…
1 引 言 信 息 在 当 今 人 类 的 经 济 、军 事 、生 活 等 方 面 越 来 越 重 要 , 信 息 的 安 全 也 渐 渐 被 人 们所 重视 ,因此 互 联 网数 据 的安 全 问题 是 目前信 息 安 全 的 重 点 之 一 。 目前数 据 被 盗 、丢 失 等 使 得 数 据 安 全 性研 究 极 为 重 要 ,本 文 详细 概 述 数 据 在 互 联 网面 临 的安 全 威胁 ,我 们 从 数 据 安 全 的基 础概 念着 手 ,让 大 家知 道 提 高 数 据 的安 全 策 略是 什 么 ,做好 哪 些 防范 才 能使 数据 安 全 。 2 数据 在 互 联 网下 的安 全威 胁 2.1互 联 网 下 数 据 面 临 的 安 全 威 胁
3 数 据 安全 策 略及 措施 3 1数 据 访 问 控 制 访 问控 制 措 施 是 对 数据 进 行 保 护 的 关 键 方 式 ,它 是 维 护 系 统 安全 、保 护 数 据 的 重 要 手 段 。 具体 来 说 数 据 系统 安全 访 问 控 制 技 术 主 要分 为 三 类 : 自主 访 问控 制 DAC (Discretionary Access Contro1) 、强 制 访 问 控  ̄il ]MAC (Mandatory Access Contro1)和 基 于 角 色的 访 问控制 RBAC (Role—Based Access Contro1)。 在 数 据 库 领 域 对 于 数据 的访 问控 制 主 要 需 要考 虑 以下 两 类 用 户。
2.2信 息泄 露 呈现 两 个趋 势 (1)黑 客 通 过 B/S应 用 , 以w eb服 务 器 为 跳 板 , 窃 取 数
据 ;传统 解决 方 案 对应 用 访 问和 数 据 库 访 问协 议 没 有 任 何 控 制 能 力 ,比如 :SQL注 入 就是 一个 典 型 的数 据 库黑 客攻 击 手段 。