系统框架与其各层安全技术
2008-04-26 09:39
176 查看
随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域,但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要,关系到企业兴衰、成败。因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为业界人士探索研究的重要课题之一,本文就安全防入侵技术做简要的讨论。
数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架可以划分为三个层次:
(1)网络系统层次;
(2)宿主层次;
(3)数据库管理系统层次。
这三个层次构筑成数据库系统的安全体系,与数据安全的关系是逐步紧密的,防范的重要性也逐层加强,从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。
1.网络系统层次安全技术
从广义上讲,数据库的安全首先依赖于网络系统。随着Internet的发展和普及,越来越多的公司将其核心业务向互联网转移,各种基于网络的数据库应用系统如雨后春笋般涌现出来,面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户(如异地用户、分布式用户)也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。网络入侵试图破坏信息系统的完整性、机密性或可信任的任何网络活动的集合,具有以下特点:
a)没有地域和时间的限制,跨越国界的攻击就如同在现场一样方便;
b)通过网络的攻击往往混杂在大量正常的网络活动之中,隐蔽性强;
c)入侵手段更加隐蔽和复杂。
计算机网络系统开放式环境面临的威胁主要有以下几种类型:
a)欺骗(Masquerade);
b)重发(Replay);
c)报文修改(Modificationofmessage);
d)拒绝服务(Denyofservice);
e)陷阱门(Trapdoor);
f)特洛伊木马(Trojanhorse);
g)攻击,如透纳攻击(TunnelingAttack)、应用攻击等。这些安全威胁是无时、无处不在的,因此必须采取有效的措施来保障系统的安全。
从技术角度讲,网络系统层次的安全防范技术有很多种,大致可以分为、入侵检测、协作式入侵检测技术等。
(1)防火墙是应用最广的一种防范技术:
作为系统的第一道防线,其主要作用是监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限。防火墙技术主要有三种:数据包过滤器(packetfilter)、代理(proxy)和状态分析(statefulinspection)。现代防火墙产品通常混合使用这几种技术。
(2)入侵检测(IDS—InstrusionDetectionSystem)是近年来发展起来的一种防范技术:
综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年,DerothyDenning首次提出了一种检测入侵的思想,经过不断发展和完善,作为监控和识别攻击的标准解决方案,IDS系统已经成为安全防御系统的重要组成部分。
入侵检测采用的分析技术可分为三大类:签名、统计和数据完整性分析法。
①签名分析法:
主要用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名,编写到IDS系统的代码里。签名分析实际上是一种模板匹配操作。
上一页
数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架可以划分为三个层次:
(1)网络系统层次;
(2)宿主层次;
(3)数据库管理系统层次。
这三个层次构筑成数据库系统的安全体系,与数据安全的关系是逐步紧密的,防范的重要性也逐层加强,从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。
1.网络系统层次安全技术
从广义上讲,数据库的安全首先依赖于网络系统。随着Internet的发展和普及,越来越多的公司将其核心业务向互联网转移,各种基于网络的数据库应用系统如雨后春笋般涌现出来,面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户(如异地用户、分布式用户)也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。网络入侵试图破坏信息系统的完整性、机密性或可信任的任何网络活动的集合,具有以下特点:
a)没有地域和时间的限制,跨越国界的攻击就如同在现场一样方便;
b)通过网络的攻击往往混杂在大量正常的网络活动之中,隐蔽性强;
c)入侵手段更加隐蔽和复杂。
计算机网络系统开放式环境面临的威胁主要有以下几种类型:
a)欺骗(Masquerade);
b)重发(Replay);
c)报文修改(Modificationofmessage);
d)拒绝服务(Denyofservice);
e)陷阱门(Trapdoor);
f)特洛伊木马(Trojanhorse);
g)攻击,如透纳攻击(TunnelingAttack)、应用攻击等。这些安全威胁是无时、无处不在的,因此必须采取有效的措施来保障系统的安全。
从技术角度讲,网络系统层次的安全防范技术有很多种,大致可以分为、入侵检测、协作式入侵检测技术等。
(1)防火墙是应用最广的一种防范技术:
作为系统的第一道防线,其主要作用是监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限。防火墙技术主要有三种:数据包过滤器(packetfilter)、代理(proxy)和状态分析(statefulinspection)。现代防火墙产品通常混合使用这几种技术。
(2)入侵检测(IDS—InstrusionDetectionSystem)是近年来发展起来的一种防范技术:
综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年,DerothyDenning首次提出了一种检测入侵的思想,经过不断发展和完善,作为监控和识别攻击的标准解决方案,IDS系统已经成为安全防御系统的重要组成部分。
入侵检测采用的分析技术可分为三大类:签名、统计和数据完整性分析法。
①签名分析法:
主要用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名,编写到IDS系统的代码里。签名分析实际上是一种模板匹配操作。
上一页
相关文章推荐
- IBM大型主机(Mainframe)技术简介之八——系统安全(RACF等)
- 【视频课程】Android底层开发关键技术—Android系统移植与HAL框架开发
- zTree的调用设使用(跨两个系统,两类技术实现的项目案例SpringMVC+Spring+MyBatis和Struts2+Spring+ibatis框架组合)
- 紫燕主数据系统技术框架简图(后期补充详细设计说明)
- [国嵌攻略][178][网络安全传输系统框架搭建]
- Linux系统扫描技术及安全防范
- 平台顺利通过公安部一所《GBT 28181-2011 安全防范视频监控联网系统信息传输、交换、控制技术要求》检测
- 信息安全管理(4):信息安全系统的技术规范模型
- 基于Hadoop的云盘系统客户端技术难点之二 HDFS文件系统安全保障
- ASP.NET开源框架HIPPO系统技术内幕(一)
- 信息安全系统设计基础课外之: 网络攻防技术 20155202 张旭
- 对讲系统通信网络的安全技术分析
- 如何做好企业级邮件系统的安全防范技术?
- 软件系统开发中的组件框架技术研究、设计和应用
- 供应基于LayerFsd技术的文件安全管理系统
- 软件系统开发中的组件框架技术研究、设计和应用
- Struts2+Spring+Hibernate+Jbpm技术实现Oa(Office Automation)办公系统第一天框架搭建
- 山东软件公司技术人员系统框架构建能力
- 【学技术是慢餐】系统运维知识框架