大數(shù)據(jù)平臺系統(tǒng)項目安全保障說課材料_第1頁
大數(shù)據(jù)平臺系統(tǒng)項目安全保障說課材料_第2頁
大數(shù)據(jù)平臺系統(tǒng)項目安全保障說課材料_第3頁
大數(shù)據(jù)平臺系統(tǒng)項目安全保障說課材料_第4頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、此文檔僅供收集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系網(wǎng)站刪除大數(shù)據(jù)平臺系統(tǒng)項目安全保障安全是系統(tǒng)正常運(yùn)行的保證。 根據(jù)本項目的業(yè)務(wù)特點和需要,以及現(xiàn)有的網(wǎng)絡(luò)安全狀況,建立一個合理、實用、先進(jìn)、可靠、綜合、統(tǒng)一的安全保障體系,確保信息安全和業(yè)務(wù)系統(tǒng)的正常運(yùn)行。一、規(guī)章制度建設(shè)1.1機(jī)房管理制度為保證系統(tǒng)每天 24 小時,全年 365 天不間斷運(yùn)行,加強(qiáng)防火、防盜、防病毒等安全意識, 應(yīng)該制定嚴(yán)格的機(jī)房管理制度, 以下列出常見的機(jī)房管理方面的十條規(guī)定:(1)路由器、交換機(jī)和服務(wù)器以及通信設(shè)備是網(wǎng)絡(luò)的關(guān)鍵設(shè)備,須放置計算機(jī)機(jī)房內(nèi),不得自行配置或更換,更不能挪作它用。(2)要求上機(jī)工作人員嚴(yán)格執(zhí)行機(jī)房的有關(guān)規(guī)定,嚴(yán)格

2、遵守操作規(guī)程,嚴(yán)禁違章作業(yè)。(3)要求上機(jī)工作人員,都必須嚴(yán)格遵守機(jī)房的安全、防火制度,嚴(yán)禁煙火。不準(zhǔn)在機(jī)房內(nèi)吸煙。嚴(yán)禁將照相機(jī)、攝像機(jī)和易燃、易爆物品帶入機(jī)房。機(jī)房工作人員要掌握防火技能, 定期檢查消防設(shè)施是否正常。 出現(xiàn)異常情況應(yīng)立即報警,切斷電源,用滅火設(shè)備撲救。(4)要求外來人員必須經(jīng)有關(guān)部門批準(zhǔn),才能進(jìn)入放置服務(wù)器的機(jī)房,一般人員無故不得在機(jī)房長時間逗留。(5)要求機(jī)房值班人堅守工作崗位,不得擅離職守;下班時,值班人員要對所有計算機(jī)的電源進(jìn)行細(xì)致的檢查, 該關(guān)的要切斷電源,并檢查門窗是否關(guān)好。只供學(xué)習(xí)與交流此文檔僅供收集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系網(wǎng)站刪除(6)雙休日、節(jié)假日,要有專人檢查

3、網(wǎng)絡(luò)運(yùn)行情況, 如發(fā)現(xiàn)問題及時解決,并做好記錄處理,解決不了的及時報告。(7)機(jī)房內(nèi)所有設(shè)備、儀器、儀表等物品和軟件、資料要妥善保管,向外移(帶)設(shè)備及物品,需有主管領(lǐng)導(dǎo)的批示或經(jīng)機(jī)房工作負(fù)責(zé)人批準(zhǔn)。制定數(shù)據(jù)管理制度。 對數(shù)據(jù)實施嚴(yán)格的安全與保密管理, 防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失及破壞。當(dāng)班人員應(yīng)在數(shù)據(jù)庫的系統(tǒng)認(rèn)證、 系統(tǒng)授權(quán)、系統(tǒng)完整性、補(bǔ)丁和修正程序方面實時修改。(8)網(wǎng)管人員應(yīng)做好網(wǎng)絡(luò)安全工作,服務(wù)器的各種帳號嚴(yán)格保密。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流, 從中檢測出攻擊的行為并給予響應(yīng)和處理。統(tǒng)一管理計算機(jī)及其相關(guān)設(shè)備,完整保存計算機(jī)及其相關(guān)設(shè)備的驅(qū)動程序、保修卡及重要隨機(jī)文件,做好操作

4、系統(tǒng)的補(bǔ)丁修正工作。(9)保持機(jī)房衛(wèi)生,值班人員應(yīng)及時組織清掃。(10)保護(hù)機(jī)房肅靜,嚴(yán)禁在機(jī)房內(nèi)游藝或進(jìn)行非業(yè)務(wù)活動。1.2計算機(jī)病毒防范制度(1)網(wǎng)絡(luò)管理人員應(yīng)有較強(qiáng)的病毒防范意識,定期進(jìn)行病毒檢測(特別是郵件服務(wù)器),發(fā)現(xiàn)病毒立即處理并通知管理部門或?qū)B毴藛T;(2)采用國家許可的正版防病毒軟件并及時更新軟件版本;(3)未經(jīng)系統(tǒng)或網(wǎng)絡(luò)管理人員許可,一般操作人員不得在服務(wù)器上安裝新軟件,若確為需要安裝,安裝前應(yīng)進(jìn)行病毒例行檢測;(4)經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù), 必須經(jīng)過檢測確認(rèn)無病毒后方可使用。二、系統(tǒng)安全保障機(jī)制系統(tǒng)安全保障機(jī)制涉及到計算機(jī)硬件的物理安全、 網(wǎng)絡(luò)安全和信息安全, 信息的保

5、密涉及到信息的訪問控制、 密級控制及加密處理等。 作為一個企業(yè)級計算環(huán)境,從技術(shù)上說,所有的安全性問題可以形象地歸結(jié)為“四把鎖” :只供學(xué)習(xí)與交流此文檔僅供收集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系網(wǎng)站刪除第一把鎖是計算機(jī)硬件系統(tǒng)和環(huán)境的可靠性;第二把鎖是通信網(wǎng)絡(luò)的安全屏障;第三把鎖是數(shù)據(jù)庫系統(tǒng)的保密性和安全性;第四把鎖是軟件的安全性,包括系統(tǒng)軟件和應(yīng)用軟件的安全可靠性。系統(tǒng)安全建設(shè)是信息系統(tǒng)建設(shè)的重要考慮因素, 所以要遵照 “預(yù)防為主, 主動防范”的原則,從各個層面考慮,建立起完備可靠的安全防范與保密體系。計算機(jī)硬件系統(tǒng)主要涉及到各類設(shè)備的穩(wěn)定可靠性, 網(wǎng)絡(luò)級的安全主要是對各類用戶訪問的控制方法, 不使非法

6、用戶入侵系統(tǒng)資源, 信息安全包括存貯媒體的安全存放和應(yīng)急恢復(fù),以及信息的分級管理。通過對信息內(nèi)容進(jìn)行分級管理, 對不同級別的信息采取相應(yīng)有效的加密措施,確保非法用戶在截取了數(shù)據(jù)的情況下,也無法讀取和識別出真正的信息。2.1通訊網(wǎng)絡(luò)的安全屏障通訊網(wǎng)絡(luò)的安全屏障一般指:用戶鑒別:收發(fā)雙方均要確認(rèn)已識別對方的真實身份;存取控制:設(shè)置網(wǎng)絡(luò)用戶的存取權(quán)限;數(shù)據(jù)安全:防止數(shù)據(jù)被非法簽收、替換、刪除;信息保密:防止數(shù)據(jù)被截取后造成信息泄漏;防否認(rèn):收發(fā)雙方都要承認(rèn)收到或發(fā)過的數(shù)據(jù);審計:收集登錄用戶的網(wǎng)上活動,以便事后追蹤審計;容錯:采用多路由選擇、斷點重發(fā)、節(jié)點雙工等。在計算機(jī)網(wǎng)絡(luò)中,最主要的安全機(jī)制就是

7、數(shù)據(jù)安全、信息保密和存取控制。( 1) 局域網(wǎng)的安全只供學(xué)習(xí)與交流此文檔僅供收集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系網(wǎng)站刪除作為內(nèi)部網(wǎng),其用戶群是相對穩(wěn)定和已知的, 對每類用戶根據(jù)其在系統(tǒng)中的操作級別,可以授予不同的訪問權(quán)限。 網(wǎng)絡(luò)用戶的操作級別可以劃分為: 系統(tǒng)管理員、數(shù)據(jù)庫管理員、超級用戶、一般用戶等,一般用戶中又根據(jù)其工作性質(zhì)劃分為不同的用戶組。對網(wǎng)絡(luò)中的文件、 設(shè)備等系統(tǒng)資源, 可以按照不同的操作級別規(guī)定其相應(yīng)的訪問權(quán)限,例如規(guī)定某共享文件夾對系統(tǒng)管理員是完全控制的, 對超級用戶具有只讀權(quán)限,而對于一般用戶沒有任何權(quán)限, 那么一般用戶根本無法進(jìn)入該共享文件夾。對網(wǎng)絡(luò)上的共享設(shè)備,例如打印機(jī)和繪圖儀,

8、也可作相似的規(guī)定,例如只有數(shù)據(jù)庫管理員能夠使用打印機(jī)或繪圖儀輸出報表或圖紙, 其他用戶則沒有此項權(quán)限??紤]到 80%以上的信息泄漏是由于內(nèi)部因素引起的, 在為用戶提供的解決方案中集成了網(wǎng)絡(luò)數(shù)據(jù)傳輸加密措施, 對所有經(jīng)由網(wǎng)絡(luò)傳送的業(yè)務(wù)數(shù)據(jù)和 GIS 空間數(shù)據(jù),無論在局域網(wǎng)還是在廣域網(wǎng),都先進(jìn)行三重 DES加密后再發(fā)送。( 2) 防火墻技術(shù)Intranet 和 Internet 的常用安全措施就是防火墻( Firewall )。防火墻由濾波器和網(wǎng)關(guān)( gateway)組成。濾波器的作用是阻止某些類型的通訊傳輸,而網(wǎng)關(guān)的作用是提供中繼服務(wù), 以補(bǔ)償濾波器的效應(yīng)。 典型防火墻的配置是用兩個網(wǎng)關(guān),外部濾

9、波器保護(hù)網(wǎng)關(guān)免受來自外部的攻擊。 內(nèi)部濾波器對一系列中間網(wǎng)關(guān)進(jìn)行防衛(wèi),這些濾波器都是為了防止外界的攻擊。濾波可分為三類:分組濾波、應(yīng)用級濾波和線路濾波。一般情況下,濾波器設(shè)置在本組織與外界之間, 對于一些大的組織需要設(shè)置內(nèi)部濾波器,將一些安全域和一般用戶域隔離, 也可對不同級別的安全域設(shè)置多個防火墻。2.2數(shù)據(jù)庫系統(tǒng)的保密性和安全性在網(wǎng)絡(luò)化的信息系統(tǒng)中, 數(shù)據(jù)可以分布在不同機(jī)器上, 也可以集中到文件服務(wù)器或數(shù)據(jù)服務(wù)器中。 在本系統(tǒng)中,主要采用大型關(guān)系數(shù)據(jù)庫管理系統(tǒng) (RDBMS,只供學(xué)習(xí)與交流此文檔僅供收集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系網(wǎng)站刪除如 Oracle )管理空間和屬性數(shù)據(jù)。關(guān)系數(shù)據(jù)庫管理系統(tǒng)

10、( RDBMS)的特點是使得數(shù)據(jù)具有獨立性,并且提供對完整性支持的并發(fā)控制、訪問權(quán)限控制、數(shù)據(jù)的安全恢復(fù)等。( 1) 并發(fā)控制數(shù)據(jù)的集中導(dǎo)致并行事務(wù)處理的出現(xiàn), 相同的數(shù)據(jù)有可能被兩個或兩個以上的事務(wù)同時存取。 為防止并發(fā)存取對數(shù)據(jù)完整性的危害, 應(yīng)采取措施保證無誤無沖突地工作。 基于隔離控制原理, 這些措施使得每個用戶在進(jìn)行事務(wù)處理時, 都覺得整個數(shù)據(jù)庫為其獨占。具體地說:當(dāng)某個數(shù)據(jù)項被某項事務(wù)修改時, 它只能被其他事務(wù)讀取, 而不能修改,以免發(fā)生沖突。對于 GIS 空間數(shù)據(jù)庫,采用鎖的機(jī)制可保護(hù)數(shù)據(jù)完整性。 鎖的粒度取決于數(shù)據(jù)庫的實現(xiàn)方法。 基于圖幅的組織方式時, 整個圖幅可為一個鎖單元,

11、 無縫組織時,單個要素作為鎖單元。 采用文件系統(tǒng)組織 GIS 數(shù)據(jù)時,整個文件只能有一項事務(wù)進(jìn)行修改,其他事務(wù)可讀取。最理想的鎖粒度應(yīng)該是數(shù)據(jù)庫中的單個要素,但這要求空間數(shù)據(jù)庫有非常強(qiáng)的功能才行。由于 GIS 空間數(shù)據(jù)的修改需要較長的操作時間,因此ArcGIS 提供基于版本的長事務(wù)處理機(jī)制。 當(dāng)對同一個區(qū)域內(nèi)的 GIS 空間數(shù)據(jù)進(jìn)行修改時, 可產(chǎn)生不同的版本,在版本合并時, 通過版本檢測手段找出發(fā)生沖突的地方, 由人工來進(jìn)行仲裁,這就避免了空間數(shù)據(jù)不一致情況的產(chǎn)生。當(dāng)圖形數(shù)據(jù)和屬性數(shù)據(jù)分開存儲時, 并發(fā)存取還要保證兩邊的一致性, 所以要同時鎖住圖形數(shù)據(jù)和屬性數(shù)據(jù)。( 2) 數(shù)據(jù)存取控制和權(quán)限設(shè)

12、置A. 存取控制存取控制實為授權(quán)機(jī)制, 它規(guī)定某個范圍內(nèi)的數(shù)據(jù), 在何種條件下, 準(zhǔn)許何種操作。只供學(xué)習(xí)與交流此文檔僅供收集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系網(wǎng)站刪除數(shù)據(jù)庫用戶分為系統(tǒng)管理員、 數(shù)據(jù)庫管理員、 數(shù)據(jù)圖形維護(hù)人員、 數(shù)據(jù)庫屬性維護(hù)人員、數(shù)據(jù)分發(fā)服務(wù)人員、系統(tǒng)開發(fā)人員、特別授權(quán)用戶和一般用戶等。對每種數(shù)據(jù)都要定義用戶權(quán)限表, 只有指定的用戶才能進(jìn)行相應(yīng)的操作。 用戶權(quán)限是由數(shù)據(jù)庫管理員來設(shè)定的。 即:每一個用戶的職責(zé)與數(shù)據(jù)庫管理制度相一致。用戶分級采用三級訪問權(quán)限:操作系統(tǒng)級、數(shù)據(jù)庫級、數(shù)據(jù)級。用戶權(quán)限采用動態(tài)設(shè)置,經(jīng)審批后由數(shù)據(jù)庫管理員設(shè)定; 由數(shù)據(jù)庫管理員承擔(dān)起用戶權(quán)限設(shè)置的嚴(yán)格職責(zé)。 一

13、個數(shù)據(jù)庫用戶可以擁有多于一個的訪問權(quán)限。 使用數(shù)據(jù)庫時按規(guī)定使用不同的賬號。對于數(shù)據(jù)庫的操作可分為:擁有、只讀、只寫、讀寫、刪除等。B. 空間數(shù)據(jù)權(quán)限控制空間數(shù)據(jù)在存取控制上又有其專門特點。數(shù)據(jù)控制可以是基于空間范圍的,也可以是要素類的。 有些區(qū)域?qū)δ承┯脩羰情_放的,對其他用戶關(guān)閉; 而有些要素只對某些用戶是開放的, 因此其存取控制可用一個三元組的來表示,即(范圍、要素、權(quán)限)。空間要素(或稱地物類) 是空間數(shù)據(jù)庫管理的最小單位, 系統(tǒng)對圖形數(shù)據(jù)的安全可以通過權(quán)限的設(shè)置,對數(shù)據(jù)進(jìn)行保護(hù)??臻g數(shù)據(jù)庫的圖形數(shù)據(jù)權(quán)限設(shè)置:數(shù)據(jù)庫中的圖形權(quán)限設(shè)置按照數(shù)據(jù)庫中的圖層劃分;數(shù)據(jù)庫管理員和數(shù)據(jù)庫維護(hù)員對所有

14、的圖層享有相應(yīng)的控制權(quán);數(shù)據(jù)庫的使用人員一般對圖形數(shù)據(jù)只有簡單操作,如顯示、查詢??臻g數(shù)據(jù)庫的屬性數(shù)據(jù)權(quán)限設(shè)置:數(shù)據(jù)庫中的屬性權(quán)限設(shè)置按照數(shù)據(jù)庫中的屬性表進(jìn)行劃分;數(shù)據(jù)庫管理員和數(shù)據(jù)庫維護(hù)員對所有的屬性表享有相應(yīng)的控制權(quán);只供學(xué)習(xí)與交流此文檔僅供收集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系網(wǎng)站刪除數(shù)據(jù)庫的使用人員一般對屬性表只有簡單操作,如顯示、查詢。由于范圍表現(xiàn)出地理空間特性,可表達(dá)為權(quán)限控制圖層。 地理信息應(yīng)用平臺( DGP)可通過增加權(quán)限控制圖層,實現(xiàn)對其他空間圖層要素的權(quán)限控制的。( 3) 信息保密對需要保護(hù)的數(shù)據(jù)首先進(jìn)行加密, 這個工作可以在數(shù)據(jù)管理軟件的內(nèi)部完成,即對客戶端需要讀取的數(shù)據(jù)在服務(wù)端先加

15、密再發(fā)往客戶端, 也可在數(shù)據(jù)管理軟件和通信軟件之間加入一個加密軟件來完成, 即對數(shù)據(jù)管理軟件與通信信道之間流通的信息進(jìn)行加密。 客戶端則對授權(quán)用戶采用相應(yīng)的解密措施, 在客戶端軟件中實施解密或在通信軟件和客戶端軟件之間加入解密軟件。對網(wǎng)上傳送的所有數(shù)據(jù)都提供三重 DES加密再傳送的機(jī)制, 以保證數(shù)據(jù)傳輸?shù)陌踩?。?4) 口令保護(hù)對授權(quán)用戶分配各自的口令, 在系統(tǒng)登錄模塊中加入了一個用戶口令識別模塊,該模塊通過對用戶口令的識別來確定用戶對數(shù)據(jù)的訪問權(quán)限, 用戶一旦進(jìn)入系統(tǒng),系統(tǒng)先進(jìn)行口令識別,對不同權(quán)限的用戶,確定對數(shù)據(jù)存取的權(quán)限??诹罘ǖ膬?yōu)點在于軟件比較簡單, 缺點是口令本身保密性不強(qiáng)。 為

16、了克服口令本身的保密性問題,對口令本身經(jīng)過 DES加密后再傳送。( 5) 數(shù)據(jù)庫安全策略在數(shù)據(jù)庫管理方面, 應(yīng)制定完整的安全策略。 例如在操作系統(tǒng)級, 要規(guī)定詳細(xì)的文件訪問權(quán)限, 并要求管理人員對其一一檢查, 以確保正確的數(shù)據(jù)文件訪問限制。在數(shù)據(jù)庫,對每個表空間、用戶角色等,都要規(guī)定適當(dāng)?shù)脑L問權(quán)限。對數(shù)據(jù)庫系統(tǒng)的主要安全隱患及其對策如下表所示。系統(tǒng)層次安全風(fēng)險安全對策( 1)建立完善的數(shù)據(jù)庫管理規(guī)則和監(jiān)測、審計機(jī)制后臺數(shù)據(jù)庫信息泄露( 2)采用 DES加密算法把數(shù)據(jù)加密后存儲只供學(xué)習(xí)與交流此文檔僅供收集于網(wǎng)絡(luò),如有侵權(quán)請聯(lián)系網(wǎng)站刪除計算機(jī)病毒建立計算機(jī)病毒監(jiān)測、預(yù)防機(jī)制數(shù)據(jù)篡改、 刪除( 1)

17、通過元數(shù)據(jù)確定數(shù)據(jù)庫模式和替換( 2)對敏感數(shù)據(jù)采用三重DES加密后的二進(jìn)制格式存儲2.3軟件安全無論是系統(tǒng)軟件還是應(yīng)用軟件, 都要求可靠和強(qiáng)壯, 從信息安全和保密角度考慮,軟件安全主要有存取控制、信息流向控制、用戶隔離及病毒預(yù)防等。計算機(jī)系統(tǒng)最根本的安全措施為存取控制, 即對程序執(zhí)行期間使用資源合法性的檢查。存取控制能制止因技術(shù)事故和蓄謀作案構(gòu)成對信息的威脅, 以保護(hù)信息機(jī)密性、完整性和可用性。 在操作系統(tǒng)控制下的存取控制機(jī)構(gòu), 可以授予和撤消用戶對各種系統(tǒng)資源的占有權(quán)。軟件安全體系是對系統(tǒng)各層次的安全風(fēng)險充分分析的基礎(chǔ)上, 結(jié)合成熟、先進(jìn)的安全技術(shù)所構(gòu)建的。 由于客戶端應(yīng)用軟件、 中間件存在信息資源、服務(wù)對象、數(shù)據(jù)操作方式等方面的差異, 其面臨的安全性問題也有所不同, 因而采用不同的安全對策。系統(tǒng)層次安全風(fēng)險安全對策( 1)建立統(tǒng)一的用戶授權(quán)機(jī)制,不同

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論