数据安全论文汇总十篇
数据安全论文篇(1)
1.引言
目前数据网络在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。国家电力数据网一级网从1992年2月一期工程开始规划建设,到1997年7月二期工程开通运行,迄今已有近十年的发展历史。目前国家电力数据网同时承载着实时准实时控制业务及管理信息业务,虽然网络利用率较高,但安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用,级别较低的业务严重影响级别较高的业务,并且存在较多的安全隐患。随着信息与网络技术的发展,计算机违法犯罪在不断增加,信息安全问题已经引起了政府部门和企业的高度重视。因此根据调度自动化系统中各种应用的不同特点,优化电力调度数据网,建立调度系统的安全防护体系具有十分重要的意义。
2.电力系统中各类网络应用的特点
电力系统中网络应用的分类方法有许多种,根据业务类型、实时等级、安全等级等因素,电力系统的网络应用主要可分为生产数据传输和管理信息传输两大类,另外其他的应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求,如图1所示。
图1基于数据网络的应用系统对安全性的要求
生产控制类中的基于TCP/IP的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有数据业务,其网络布局集中于行政办公中心,一般要求为宽带网络。
话音视频类业务是指建立在IP平台上的电话及会议电视,对实时性要求高,安全可靠性无特殊要求,目前其质量还有待提高。对外服务类业务则是指根据市场的需要而建立的数据网络。
3.调度自动化系统的安全防护
3.1制定调度自动化系统安全防护策略的重要性
近年来调度自动化系统的内涵有了较快的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、功角遥测、电力市场技术支持系统和调度生产管理系统等。数据网络是支持调度自动化系统的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级,其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密及隔离处理。
建立调度自动化系统的安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。系统是否安全,很大程度上依赖于最初设计时制定的安全策略,因为今后的安全措施,都围绕这一策略来选择和使用,如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。因此考虑调度自动化系统的安全,应首先根据系统对安全性、可靠性、实时性、保密性等方面的不同特殊要求,按照国家有关部门的规定,从应用系统的各个层面出发,制定完善的安全防护策略。
3.2信息系统的安全分层理论
一个信息系统的安全主要包含五个层面,即物理安全、网络安全、系统安全、应用安全、人员管理。调度自动化系统的安全防护体系应包含上述五个层面的所有内容。
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
应用安全是指主机系统上应用软件层面的安全。如Web服务器、Proxy服务器、数据库等的安全问题。
人员管理是指如何防止内部人员对网络和系统的攻击及误用等。
3.3国家对网络及信息安全问题的有关政策和法规
国家有关部门对安全问题的有关政策和法规,对制定电力调度控制系统的安全策略起到指导性的作用。
公安部是国家企事业单位及公共安全的主管部门,已经颁布了安全防护方面的一系列文件,正在制定安全保密和保护的等级,规定各部门应根据具体情况决定自己的安全等级,实行国家强制标准。公安部规定,从安全保密角度看,政府办公网应与外部因特网物理隔离,并认为自动控制系统应与外部网络绝对物理隔离,可根据业务的需要建立专用数据网络。
国家保密局是国家党政机关安全保密方面的主管部门,也颁布了一系列安全保密方面的文件。1998年10月国家保密局颁布的“涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法”规定,涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,系统集成方案和信息保密方案不可混淆,应从整体考虑。1999年7月国家保密局发出的“关于加强政府上网信息保密管理的通知”、1999年12月10号文“计算机信息系统国际联网保密管理规定”和1998年1号文“计算机信息系统保密管理暂行规定”均确定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
1996年11月原电力部、国家保密局752号文“电力工业中国家秘密及具体范围的规定”明确了电力工业中涉及的国家秘密和重要企业秘密,均必须参照国家有关保密方面的规定。
电力生产事关国计民生,电力系统的安全和保密都很重要,电力自动化系统要求可靠、安全、实时,而电力信息系统要求完整、保密。两种业务应该隔离,特别是电力调度控制业务是电力系统的命脉,一定要与其他业务有效安全隔离。
3.4调度自动化系统数据网络的安全防护策略
3.4.1数据网络的技术体制
规划数据网络技术体制和电力系统安全防护体系,应根据电力生产业务对数据网络安全性、可靠性、实时性方面的特殊要求,并遵照国家对单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术体制。
从应用和连接方式来看,企业内部网络有两类:一类是与公网完全隔离、在链路层上建立的企业内部网络一般称为专用网络;另一类是连接于公网、并利用公网作为通道的企业内部网。第一类网络除了面临来自物理层面的安全问题外,主要面临内部的计算机犯罪问题,如违规或越权使用某些业务、查看修改机密文件或数据库等,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全问题外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。
由于电力调度数据网的服务对象、网络规模相对固定,并且主要满足自动化系统对安全性、可靠性、实时性的特殊需求,为调度自动化系统提供端到端的服务,符合建设专网的所有特征,所以电力调度数据网宜在通道层面上建立专网,以实现该网与其他网的有效安全隔离。
目前国家电力数据网同时承载着调度控制业务和管理信息业务,应当在将来通道资源允许的条件下,将现有电力调度数据网上的信息业务逐步分离出去,改造成为实时控制业务专用的数据网络。
电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+IP模式容易实现对不同IP应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调度部门能对网络进行有效监控,并便于通信部门对外出租带宽。因此用光纤+SDH+IP模式建立调度数据专网是一个适当的选择,可以很好满足电力系统的下列要求:
(1)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
(2)传输的连续性,通信负荷基本恒定,需要恒定带宽。
(3)远方控制的可靠性(遥控、遥调、AGC等),要求有效隔离。
(4)因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。
(5)网络拓扑结构必须覆盖远离城市的电厂、变电站。
(6)充分利用SPDnet的现有设备,节约大量资金,便于平滑过渡。
3.4.2调度专用数据网络的安全防护措施
调度专用数据网除了传送EMS数据外,还传送电能量计量计费、水调自动化、电力市场信息和调度生产信息(工作票和操作票、发电计划和交易计划、负荷预报、调度报表、运行考核等)。应根据各类应用的不同特点,采用不同的安全防护措施,如EMS等实时控制业务具有较高的优先级,应该优先保证,生产信息的优先级次之,而电力市场信息须进行加密处理等。
采用调度专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100%的安全,对调度数据专用网络还必须做到技术措施和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。在管理制度方面,要做到:
(一)对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
(二)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
(三)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
(四)聘请网络安全顾问,跟踪网络安全技术。
在技术措施方面,要做到:
(一)在网络传输层,为了保证数据网络的安全,又能向外传输必要的数据,必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统(OA/MIS)之间有效安全隔离,它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关(单向门)、网段选择器等进行有效隔离。另外在调度数据专用网络的广域网和局域网上,根据不同的业务系统,还可采取以下技术手段:
(1)网络安全访问控制技术。通过对特定网段和服务建立访问控制体系,可以将绝大多数攻击阻止在到达攻击目标之前。可实施的安全措施有:防火墙、VPN设备、VLAN划分、访问控制列表、用户授权管理、TCP同步攻击拦截、路由欺骗防范、实时入侵检测技术等。
(2)加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有:对称型加密、不对称型加密、不可逆加密等。
(3)身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证,防止非授权使用网络资源。
(4)备份和恢复技术。对于网络关键资源如路由器、交换机等做到双机备份,以便出现故障时能及时恢复。
(二)在系统和应用层面,包括计算机防病毒技术、采用安全的操作系统(达B2级)、应用系统的关键软硬件及关键数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术,而安全的操作系统是一个新的发展趋势。
4.结论
电力调度数据网络是调度自动化系统的支撑平台,网络安全是系统安全的保障,专用数据网络是整体安全防护体系的基础,专网体现在网络互联、网络边界、网络用户的可管性和可控性。目前,国际上正在制定相应的自动化系统网络安全标准,国内也开始进行相关课题的研究,对于调度自动化系统及数据网络的安全防护措施,首先应在网络技术体制方面,采用光纤+SDH+IP的数据专网模式,在全系统实现电力调度专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离,同时在调度专用数据网及各相关应用系统上采取必要的安全防护技术手段,建立严密的安全管理措施,以确保电力调度系统和电力系统的安全。
参考文献:
1.余建斌.黑客的攻击手段及用户对策.北京:人民邮电出版社,1998年
2.OthmarKyas著.王霞,铁满霞,陈希南译.网络安全技术-风险分析、策略与防火墙.北京:中国水利水电出版社,1998年
3.赵遵廉等主编,电力市场运营系统,北京:中国电力出版社,2001年1月
数据安全论文篇(2)
随着网络技术在社会各个行业尤其是电子商务领域的广泛应用,其安全性和可管理性具有十分重要的意义。数据库是网络信息系统的重要组成部分,涉及来自网络环境下的多方面安全威胁,譬如面对数据库中信息的窃取、篡改、破坏、计算机病毒等的渗透和攻击行为。
1网络数据库安全性策略分析
1.1系统安全性策略
1.1.1管理数据库用户
按照数据库系统的大小和管理数据库用户所需的工作量,数据库安全性管理者可能只是拥有create,alter、或delete权限的数据库的一个特殊用户,或者是拥有这此权限的一组用户。应注意的是,只有那些值得信任的用户才应该具有管理数据库用户的权限。
1.1.2用户身份确认
数据库用户可以通过操作系统、网络服务以及数据库系统进行身份确认,通过主机操作系统进行用户身份认证。
1.1.3操作系统安全性
数据库管理员必须有create和delete文件的操作系统权限;一般数据库用户不应该有create或delete与数据库相关文件的操作系统权限;如果操作系统能为数据库用户分配角色,那么必须具有修改操作系统账户安全性区域的权限。
1.2用户安全性策略
一般用户通过密码和权限管理实现系统的安全性保障;必须针对终端用户制定安全性策略。例如,对于一个有很多用户的人规模数据库,管理员可以决定用户组分类,您可以使用“角色”对终端用户进行权限管理。
1.3管理员安全性策略
保护作为服务器和用户的连接;保护管理者与数据库的连接;使用角色对管理者权限进行管理。
1.4应用程序开发者的安全性策略
明确应用程序开发者和他们的权限;指定应用程序开发者的环境;授权free和controlled应用程序开发。
2网络数据库安全技术分析
本文以比较常用的Access、数据库为例进行分析,其他数据库可以作为参考。
2.1Access数据库地址、路径过于简单
Access数据库被下载,主要是存放数据库的路径和数据库名称,容易被获知,例如:用户建立的xuesheng.mdb(学生信息库)放在虚拟目录/student下,如果没有事先对xuesheng.mdb进行安全加密处理,那么在浏览器的地址栏键入“http//用户网站主IP地址/student/xuesheng.mdb”,xuesheng.mdb整个文件就会被轻易下载,文件中所有的重要数据信息就会被别人轻易窃取。操作流程如图1所示。即使对Access.mdb的文件夹作了变动,文件路径也会暴露无疑。
获知源代码获得路径窃取文件名下载文件
图1网络环境下数据库下载流程
2.2使用下载ASP文件所导致的数据安全问题
各单位的网络服务器一般都存有大量的应用系统账号及密码,如电子邮件、聊天室、BBS、留言簿、新闻系统等。由于网络管理员没有足够的时间与精力开发这些应用程序,所以多是采用直接从网上下载的方法来满足急用。这此程序的源代码是公开的,所使用的数据库名,存放路径没有任何秘密,如果安全措施不力,会给AccessDB的安全带来非常大的危险。如从网上下载了一个ASP应用程序,且Access.mdb的连接文件是conn.inc,在ASP程序中,Access.mdb连接的代码是:2.3服务器操作系统的安全隐患
现在使用WindowsNT/2000Sever作为服务器操作系统的用户非常主流,由于Win2000Sever目录权限的默认设置安全性较差,很多网管只知适让Web服务器运行起来,很少对NTFS进行权限设置。有的服务器甚至未禁止对文件目录的访问控制。因此,必然会带来很大的安全漏洞。
数据安全论文篇(3)
任何管理工作都需要争取更多人的支持与拥护,而想要达到这一目的就必然需要加强相应的宣传教育工作。对于网络安全管理工作来说,它不仅仅是某一个部门或者管理人员的本职工作,想要切实加强档案数据库的安全管理就必须形成一个良性的管理环境,而凡是涉及到档案数据库使用的部门和个人都应该参与其中,应该加强所有人在档案数据库安全管理问题上的意识和能力。所以必须加强安全管理的宣传教育工作力度,宣传教育应该避免浮于表面,应该从各个部门的具体工作实际出发,将安全管理与日常具体工作有机结合。宣传教育形式应该多元化,授课式、辩论式、培训式等,同时重视同级单位之间的交流互访,为各部门工作人员提供更多学习的平台。在宣传教育的周期上应该采用定期学习新技术以及强化阶段性管理成果分析研究的方式,从而在思想上形成安全管理人人有责的正确认识。
1.2加强安全管理的制度建设
管理工作想要切实加强,离不开科学规范的制度及有效执行。因此必须针对网络环境下的档案数据库安全管理容易发生问题的所在进行进一步的制度调整和水平升级。首先,要加强数据库直接管理人员的责任制落实,对于某些极为重要的管理职务和管理项目应该推行终身问责制,从而切实保障责任的有效落实。此外还应该加强网络设备的维护保养制度及人员岗位制度建设,在坚持专人专岗避免职务交叉的同时,推行轮岗制,轮岗制能够有效避免长期占据同一职务而滋生的利己主义思想,同时也能够帮助相关岗位工作人员了解整个管理流程,从而提升岗位与岗位之间的协作性,确保整个管理工作开展更加科学有序并富有成效。其次,以安全管理工作为核心加强绩效考核机制建设。最后,要加强监督机制建设,在监督机制建设方面,要推行内外结合的监督约束建设原则,所谓内,就是内部审计,内部审计工作人员不仅包括熟识档案数据库安全管理的专门人士,同时也要包括社会专门审计机构的专业人才,这样一方面能够确保审计工作的精确性与实用性,避免走形式以及提升审计工作小组对单位的忠诚度,另一方面能够利用专门审计人员多年来从事同类型审计工作的丰富经验来提升审计工作的总体质量,帮助单位将审计工作推向更为科学、合理以及规范的发展方向。外部监督约束机制建设方面,就是加强与社会媒体的沟通协作,同时加大社会公众在舆论监督权履行方面的主动性与积极性,为安全管理工作打造一个积极的外部环境,约束其管理行为,促进管理工作质量提升。
1.3加强文化建设工作力度
现代社会,管理工作想要取得实质性的质量提升,除了要有科学严密的制度保障以外,更重要的是要让被管理人员从被动的应付管理转变为主动的参与管理,因此文化建设工作在现代管理工作中的重要性也日益体现,只有将制度融合于文化当中才能够让内部人员及被管理对象树立起遵守管理制度的自觉自愿意识,才能够激发他们参与管理的积极性与主动性。在网络安全管理工作方面,整个档案单位共同参与相互协作是重要内容,因此更需要让文化来推动制度的建立与执行,在制度确立、人员素质有效加强的同时还需要将制度转化为内在文化,促进工作人员的工作积极性与自律性。安全文化建设最重要的一环就是加强安全学习的组织工作,并通过与个人利益直接挂钩的形式激发工作人员的参与热情。
1.4加强数据库安全管理软件开发应用
首先,要加快专门化管理软件的开发及使用。当前市面上有许多信息化管理软件,但是档案数据库的管理工作不同于一般化的管理,它更多的在访问权限、访问时限、访问者身份以及信息机密性需进行严格控制等方面有更多且更高的要求,因此应该进行专门化的软件开发,软件开发虽然比成品软件购置需要花费更多成本,也需要进行操作技能的专门培训,但是也能够更好的实现上述管理目的,从而有效杜绝安全管理中的种种问题,因此应该用全局眼光看待这一问题,切不可顾忌眼前成本而放弃长远发展。
数据安全论文篇(4)
1.2垃圾邮件和间谍软件当收到垃圾邮件或安装了间谍软件时,常常会使计算机的网络安全陷入不利境地,并成为破坏计算机正常使用的主要因素之一。在计算机网络的应用环境下,由于电子邮件的地址是完全开放的,同时计算机系统具有可广播性,因而有些人或团体就会利用这一特性,进行宗教、商业,或政治等活动,主要方式就是强迫目标邮箱接收特定安排的邮件,使目标邮箱中出现垃圾邮件。与计算机病毒有所区别,间谍软件的主要控制手段为盗取口令,并侵入计算机系统实行违法操作,包括盗取用户信息,实施贪污、盗窃、诈骗等违法犯罪行为,不仅对计算机安全性能造成破坏,同时也会严重威胁用户的个人隐私。
1.3计算机用户操作失误由于计算机用户操作不当而发生的损失,也是影响计算机正常使用并破坏网络安全的重要因素之一。目前计算机用户的整体规模不断扩大,但其中有许多用户并未对计算机的安全防护进行应有的重视,对计算机的合理使用认识不到位,因而在安全防范方面力度不够,这就给恶意攻击者提供了入侵系统的机会,并进而出现严重的安全问题。用户安全意识差的主要表现包括:账号密码过于简单,破解容易,甚至随意泄露;使用软件时进行了错误操作;系统备份不完全。这些行为都会引起网络安全问题的发生。
2计算机网络安全防范的措施
2.1定期进行数据备份为防止因突破情况,如自然灾害,断电等造成的数据丢失,应在平时养成定期数据备份的习惯,将硬盘上的重要文件,数据复制到其他存储设备中,如移动硬盘等。如果做好了备份工作,即使当计算机系统遭受攻击而发生数据毁坏,也无需担心数据的彻底消失,而只需将已经备份的文件和数据再重新恢复到计算机中即可。因此,数据的定期备份是维护计算机网络安全的有效途径之一。如果计算机因意外情况而无法正常启动,也需在重新安装系统前进行数据备份,以便在计算机能够正常使用后完成数据恢复,这在非法入侵系统造成的数据毁坏时也能起到重要的作用。
2.2采用物理隔离网闸物理隔离网闸是一种通过外部设备来实现计算机安全防护的技术手段,利用固态开关读写作为媒介,来实现不同主机系统间的对接,可实现多种控制功能。由于在这一技术手段下的不同主机系统之间,并不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,以及基于协议的信息包,只存在无协议“摆渡”,同时只能对存储媒介发出“读”与“写”这两种指令。因此,物理隔离网闸可以从源头上保障计算机网络的安全,从物理上隔离,阻断了带有攻击性质的所有连接,切断黑客入侵的途径,使其无法攻击,无法破坏,真正维护了网络安全。
2.3防火墙技术防火墙是一种常用的计算机安全软件,在计算机和互联网之间构筑一道“安检”关卡。安装了防火墙,所有经过这台计算机的网络通信都必须接受防火墙的安全扫描,从而使具有攻击性的通信无法与计算机取得连接,阻断非授权访问在计算机上的执行。同时,防火墙还会将不必要的端口关闭,并针对指定端口实施通信禁止,从而对木马进行封锁堵截。最后,它可以对特殊站点的访问实施拦截,拒绝来路不明的所有通信,最大程度地维护计算机网络的安全。
2.4加密技术为进一步地维护网络信息安全,保证用户信息不被侵犯,还可使用加密技术来对计算机的系统安全钥匙进行升级,对加密技术进行充分合理的利用能有效提高信息的安全程度。首先是数据加密,基本原理在于通过使用特定算法对目标文件加以处理,使其由原来的明文转为无法识别的代码,通常称为密文,如果需要查看加密前的内容,就必须输入正确的密钥,这样就可防止重要信息内容被不法分子窃取和掌握。相对地,加密技术的逆过程为解密,即将代码转为可读的文件。其次是智能卡技术,该技术与加密技术有较强的关联性。所谓智能卡,其实质为密钥的一种媒介,与信用卡相类似,只能由经过授权的使用者所持有,授权用户可对其设置一定的口令,同时保证设置的口令与网络服务器密码相同,当同时使用口令与身份特征,能够起到极为理想的保密效果。
2.5进行入侵检测和网络监控计算机网络安全技术还包括入侵检测即网络监控。其中,入侵检测是一项综合程度高的安全维护手段,包括统计技术,网络通信技术,推理技术等,起到的作用十分显著,可对当前网络环境进行监督,以便及时发现系统被攻击的征兆。根据分析手段的不同,可将其分为签名法与统计法两种。对于针对系统已知漏洞的攻击,可用签名法来实施监控;对于系统的正常运行阶段,需要对其中的可疑动作是否出现了异常现象进行确认时,可用统计法进行监控,能够从动作模式为出发点进行判断。
2.6及时下载漏洞补丁程序对计算机网络安全的维护应当是一个长期的,动态的过程,因此及时下载漏洞补丁就显得十分必要。在使用计算机来连接网络的过程当中,为避免因存在系统漏洞而被恶意攻击者利用,必须及时下载最新的漏洞补丁,消除计算机应用环境中的种种隐患。可通过特定的漏洞扫描手段对漏洞进行扫描,例如COPS,tripwire,tiger等,都是非常实用的漏洞扫描软件,360安全卫士,瑞星卡卡等软件也有良好的效果,可使用这些软件进行扫描并下载漏洞补丁。
2.7加强用户账号的安全保护为保障计算机网络账号的安全,应加强对账号的保护措施。在计算机应用的网络环境下,许多应用领域都需要账号和密码进行登录,涉及范围较广,包括系统登录,电子账号登录,网上银行登录等等,因此加强对账号的安全防范就有着极其重要的意义。首先,对系统登录来说,密码设置应尽量复杂;其次,对于不同应用方面的账号来说,应避免使用相同或类似的密码,以免造成重大损失;再次,在设置方式上应采用组合的形式,综合使用数字、字母,以及特殊符号;最后,应保证密码长度合适,同时应定期修改密码。
数据安全论文篇(5)
1无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
2保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。:
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线
网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
2.802.11iIEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术AES(AdvancedEncryptionStandard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
数据安全论文篇(6)
1.1数据处理
三取二安全计算机逻辑运算模块的运行周期为600ms,该模块按照周期进行数据接收、数据处理、数据输出。在第n个周期,MPU上的控制逻辑运算模块从双口RAM接收到数据后,放到逻辑接收缓冲区;从逻辑接收缓冲区取出n-1个周期的数据并进行逻辑处理;将n-2个周期的逻辑处理结果,从逻辑发送缓冲区中取出,放到双口RAM中。MPU上的控制逻辑运算模块对安全数据进行逻辑处理的时间不超过300ms,如果超过,就会影响MPU接收或者发送数据。同样,MPU上的控制逻辑运算模块接收、发送数据超过300ms,也会影响逻辑处理功能。在接收发送处理阶段,300ms中的280ms被分为20个发送接收子周期,每一个子周期的时间为14ms。在HCU中,也是按照同样的运行节拍从双口RAM中写入或读出数据。MPU与HCU之间交互的数据,按照预先定义的双口RAM交换数据帧进行。数据帧定义略———编者注。
1.2数据接收
HCU通过网络接口接收到数据后,对数据进行预处理,按照交换数据帧进行数据组包。根据当前周期号设置“cycle”,同时确定该数据包需要被放到D、E、F三个区块中写入区块角色标志“role”,将“flag”设置为1(即为输入),并交换数据帧的其他字段,按照源网络数据包中的信息进行设置。HCU根据当前周期号确定在接收环形缓冲区中的写入区块后,将组包之后的交换数据帧放到写入区块中。MPU根据当前周期号确定在接收环形缓冲区中的读出区块后,从读出区块中获取交换数据帧,然后对数据帧进行解包,并通过“cycle”、“role”、“flag”、“safety”、“crc”等信息来验证数据帧的唯一性和正确性,正常的数据帧被放到逻辑接收缓冲区,异常的数据帧被丢弃。同时MPU根据当前周期号,确定在接收环形缓冲区中的测试区块,利用内存检测算法对测试区块进行双口RAM内存区块检测。
1.3数据发送
在当前周期的600ms内,MPU进行逻辑运算处理在300ms内完成后,MPU从逻辑发送缓冲区中读取上个周期的逻辑处理结果数据,并对结果数据进行预处理,按照交换数据帧进行数据组包。根据当前周期号设置“cycle”,同时确定该数据包需要被放到A、B、C三个区块中写入区块角色标志“role”,将“flag”设置为1(即为输入),并交换数据帧的其他字段,按照源网络数据包中的信息进行设置。MPU根据当前周期号,确定在发送环形缓冲区中的写入区块后,将组包之后的交换数据帧放到写入区块中。HCU根据当前周期号,确定在接收环形缓冲区中的读出区块后,从读出区块中获取交换数据帧,然后对数据帧进行解包,并通过“cycle”、“role”、“flag”、“safety”、“crc”等信息来验证数据帧的唯一性和正确性,验证数据帧的正确性。异常的数据帧被丢弃,正常的数据帧按照网络数据帧进行组包,并通过网络发送给轨旁设备或者车载控制器。同时HCU根据当前周期号,确定在发送环形缓冲区中的测试区块,利用内存检测算法对测试区块进行双口RAM内存区块检测。
1.4区块角色轮换
双口RAM的发送与接收环形缓冲区的3个区块,在任意一个周期都只能处于读出、写入、测试3种中的某一种角色,而且这3个角色进行周期轮换,区块角色轮换表略———编者注。MPU与HCU通过双口RAM区块角色进行数据交互的步骤略———编者注。MPU与HCU通过相同的外部时钟中断来驱动数据处理软件模块的运行,MPU与HCU在对双口RAM进行访问时可以做到同步、流水线作业。在同一个处理周期内,发送环形缓冲区或者接收环形缓冲区中任何一个区块都有明确固定的角色,MPU板和HCU板不会同时访问操作相同区块,只有一个板卡对特定区块进行访问,从而解决了双口RAM的访问冲突问题,不需要另外采取硬件仲裁、软件仲裁或者信号量交互等手段。
1.5双口RAM检测
应用在三取二安全计算机中双口RAM可能存在一些功能性缺陷。无论门级电子元件的制造缺陷,还是板卡电路级的设计错误,都可能导致双口RAM的存储功能性故障,从而降低其功能完整性和可靠性。双口RAM存储单元具有多种类型的故障略———编者注。实际项目应用中,开发人员需要关注双口RAM存储功能的完整性和可靠性,可以通过存储器检测算法来对其进行检测和诊断,能够及时地发现和定位双口RAM的存储功能故障,并及时采取相应的措施,避免因双口RAM存储单元的数据错误导致的严重后果。本文采用硬件BIST架构(HBIST),在硬件电路中设计专门的硬件逻辑部件来对内存进行测试,其图形测试向量有专门的硬件电路模块生成,自动对内存的各种功能故障进行测试,硬件架构内建测试的内存故障测试覆盖率高,而且测试速度快,设计选取的图形测试向量主要用于覆盖高层次的内存故障,如NPSF、CF、DRF。HBIST利用March-TB内存测试算法对系统的内存进行测试,使用硬件HBIST电路来生成图形测试向量,并由硬件HBIST电路来进行测试,HBIST测试电路模型略———编者注。在硬件BIST处于非工作状态时,会拉低BIST的时钟信号,BIST电路进入休眠状态。当系统在夜间进入非繁忙状态,会产生BIST_MODE信号,来激活BIST电路的BIST模式控制器,并拉高时钟信号,BIST模式控制器发出控制信号,会接管对整个RAM的访问控制,并对RAM开始进行测试。BIST模式控制器控制测试向量产生器、地址与数据生成逻辑工作,产生相应的测试向量对RAM进行测试。同时,并将测试结果在BIST结果比较器中进行比较,如果发现异常,退出BIST_MODE模式,通知MPU测试异常,MPU产生相应的告警和错误处理。HBIST在进行内存检测时一共具有4种状态:idle、test、error、wait。idle表示处于等待测试数据进行测试的空闲状态;test表示获得测试向量对相应内存单元进行测试;error表示检测到内存单元出错;wait表示处于休眠状态,等待CPU模块激活HBIST。HBIST状态机的状态转移图略———编者注。HBIST状态机的VHDL程序略———编者注。在测试的过程中,通过植入内存故障,并用逻辑分析仪获取出错信号,硬件BIST模块检测内存出错图如图3所示。圆圈里面的测试结果与期望结果不一致,内存检测出错。
1.6数据交互软硬件设计
双口RAM是双端口SRAM芯片,本设计采用CY7C028V-15AXI,读写速度最高为15ns,数据容量为64K×16位。双口RAM连接HCU板的一端为MPC8247的LO-CALBUS总线,连接MPU板的一端为CPCI总线桥接芯片的LOCALBUS总线,HCU可以直接通过LOCALBUS总线访问双口RAM,而MPU板通过PCI总线访问,其中还有控制信号,如片选、读写、中断、BUSY信号等。双口RAM交互电路图略———编者注。在MPU和HCU中,通过设计的软件模块,来完成双口RAM的访问操作。双口RAM的MPU上软件交互关键代码略———编者注。
数据安全论文篇(7)
2饮水安全工程数据的特点
与一般的科学数据相比,饮水安全工程数据具备以下两个特点:
(1)地理分布性。作为基本数据,国家农村饮水安全工程数据库包括了国内各省(直辖市)、市(州)、县(市、区)、乡镇内供水水厂的集中式工程数据,包括工程建设信息、实时监测信息,遍布全国,因此饮水安全工程数据具备地理空间的分布特性。
(2)数据要素多。饮水安全工程数据包括了地图数据,供水工程专题数据,省、市州、县区、乡镇专题基础信息,水质、管压安全监测信息,政务信息等。而且每类数据又包括多种要素的数据,如供水工程专题数据包括专题地理信息和专题建设信息,监测数据包括余氯、浊度、水压、流量等测量数据。整体来说,饮水安全工程数据是描述饮水安全工程的数据,数据量大,且与日俱增,专业性强,具有时间维上的有效性,且数据区域性强,不同市县统计的数据不交叉,数据存储形式多样,以小文件居多。
3饮水安全工程核心元数据
3.1元数据定义
首先,介绍几个关于元数据的定义。元数据:关于数据的数据。元数据元素:元数据的基本单元,元数据元素在元数据实体中是唯一的。元数据实体:一组说明数据相同特性的元数据元素,元数据实体可以包含一个或一个以上的元数据实体。元数据子集:元数据的子集合,由相关的元数据实体和元素组成。数据集:可以标识的数据集合。通常在物理上可以是更大数据集较小的部分。从理论上讲,数据集可以小到更大数据集内的单个要素或要素属性,一张硬拷贝地图或图表均可以被认为是一个数据集。饮水安全工程核心元数据指的是标识饮水安全工程信息所需要的最小元数据元素和元数据实体,为元数据元素集的子集。其次,本文采用UML类图方法描述饮水安全工程信息元数据。在元数据结构上采用《水利信息核心元数据》的结构作为本标准的基本结构,在内容上对元数据的特征,包括子集/实体名、元素名、英文名、英文缩写、定义、约束/条件、出现次数、类型和值域进行详细描述。
3.2饮水安全工程核心元数据结构
饮水安全工程元数据分为元数据元素、元数据实体和元数据子集三层。饮水安全工程核心元数据由一个元数据实体和四个元数据子集构成。其中,标识信息、数据质量为必选子集,内容信息、参照系信息为可选子集。每个子集由若干个实体(UML类)和元素(UML类属性)构成。
3.3饮水安全核心元数据内容
3.3.1饮水安全核心元数据信息
饮水安全工程元数据信息实体描述饮水安全工程信息的全部元数据信息,用必选实体MD_元数据表示,由以下元数据实体和元数据元素构成:元数据实体:MD_标识、DQ_数据质量、RS_参照系、MD_分发、MD_内容描述;元数据元素:元数据创建日期、联系单位、元数据名称、字符集、元数据使用的语言、元数据标准名称、元数据标准版本。
3.3.2标识信息
标识信息包含唯一标识数据的信息,用MD_标识实体表示,是必选实体。MD_标识是下列实体的聚集:MD_关键词、MD_数据集限制、EX_时间范围信息、MD_联系单位或联系人、MD_维护信息。MD_标识实体本身包含如下元素:名称、行政区编码、字符集、摘要、日期、状况、数据表示方式。
3.3.3数据质量信息
数据质量信息包含对数据资源质量的总体评价,用DQ_数据质量实体表示。应包括与数据生产有关的数据志信息的一般说明。DQ_数据质量实体包括两个条件必选的实体,DQ_数据质量说明和DQ_数据志。DQ_数据质量说明是数据集的总体质量信息。DQ_数据志是从数据源到数据集当前状态的演变过程说明。包括数据源信息实体和处理过程信息实体。
3.3.4内容信息
内容信息包含提供数据内容特征的描述信息,用MD_内容描述实体表示。
3.3.5空间参照系信息
参照系信息包含对数据集使用的空间参照系的说明,是条件必选子集,用RS_参照系实体表示。是关于地理空间数据集的坐标参考框架的描述信息,它反映了现实世界的空间框架模型化的过程和相关的描述参数。RS_参照系由三个条件必选的实体构成:SI_基于地理标识的空间参照系、SC_基于坐标的空间参照系、SC_垂向坐标参照系。
4元数据分级索引算法
本文根据饮水安全工程数据的区域性特点,选取分布式NameNode模型,改进目录子树分区算法和哈希算法,利用BloomFilter原理设计符合饮水安全工程信息的元数据分级索引算法。
4.1概念与公式
行政区划请求量:表示该行政区划所需的农村饮水安全工程元数据的请求量,用Request表示。由于请求量的具体数值难以确定,工程元数据的请求量与工程的数量有直接关系,而饮水工程的数量与行政区划的人口密度存在一定的换算关系。每个工程所涉及的文件包括招标文件、合同、工程规划、预算、管网图、厂区布置图、每年的运营报表等多种文件。因此,第m个行政区划的请求量Requestm为:Requestm=Densitym×f×Naverage(1)其中,Densitym代表第m个行政区划的人口密度,f表示饮水安全工程数量与人口密度的转换因子,Naverage代表每个工程文件的平均值。
4.2BloomFilter基本思想元数据分级索引算法
包括三部分:一部分是元数据请求被分配到哪个普通NameNode节点上,第二部分是分配到NameNode节点的哪个目录,最后根据NameNode节点中的目录信息查找元数据文件在DataNode中的具置。本文采用BloomFilter与Key-Value的存储位置对应表,来确定元数据文件在DataNode中的存储位置。BloomFilter的基本思想是使用一个比特的数组保存信息,初始状态时,整个数组的元素全部为0,采用k个独立的Hash函数,将每个元数据文件对应到{1,…,m}的位置,当有饮水安全元数据文件存储请求时,k个独立的Hash函数将以元数据标识信息中的元数据文件名为变量,得到k个哈希值,然后将比特数组中的相应位置更改为1,即:hashi(x)=1(1≤i≤k)(2)其中,x是元数据文件名。数组中的某一位置被置为1后,只有第一次有效,以后再置为1将不起作用。所示,假设k=3,x1先通过哈希函数,将数组中的三个位置置为1,在x2通过哈希函数得到的数组位置,将是0的位置置为1,已经是1的位置则不重复置1。判断某元素y是否属于这个集合,需对y应用k次哈希函数,如果所有的位置都是1(1≤i≤k),那么就认为y是集合中的元素,否则就认为y不是集合中的元素。如图3所示,y1可能是集合中的元素,y2则不属于这个集合。BloomFilter能高效地判断某个元素是否属于一个集合,但这种高效是有代价的,是存在一定的错误率,因为它有可能会把不属于这个集合的元素判定为属于此集合。为简化计算,假设kn<m并且各哈希函数完全随机。当某个目录中的所有元数据文件全部存储,即所有元素都被哈希函数映射到比特数组中去,这个数组中某一位置是0代表kn次哈希操作都没有被置为1,因此概率为:p=(1-1m)kn≈e-kn/m(3)其中第二次近似计算是因为:limxm(1+1n)n=e(4)令ρ代表比特数组中0的比例,则ρ的数学期望E(ρ)=p,则ρ≈p,因此:pfalse=(1-ρ)k≈(1-p)k(5)
4.3元数据分级索引算法
元数据分级索引算法包括三个步骤:一是选NameNode节点,二是选目录,三是分配存储位置。
4.3.1选取NameNode节点分布式
NameNode模型有一个主NameNode节点,一个主SecondaryNameNode和n个普通NameNode节点。其中,主SecondaryNameNode是主NameNode的快照,防止单点失效。算法的基本思想如下:(1)计算行政区划请求数。在本文中所涉及的饮水安全工程指的是湖北省的农村饮水安全工程,因此在普通NameNode节点上分布的是以市级为单位的元数据信息。在这一步中,根据公式(1)给每个市级行政区划的请求赋值,用Requestm表示。(2)分配NameNode节点。若n为奇数,则将其中一个NameNode节点作为备用节点,n=n-1;若n为偶数,则n不变。分配NameNode节点,得出市级行政区划与NameNode节点映射表。(3)第二次分组。将偶数个NameNode两两分成组,互为SecondaryNameNode节点,分组的原则为请求量较大的NameNode节点与请求量较小的NameNode节点一组。
4.3.2选择目录
分配完NameNode节点后,须设定每个Nam-eNode节点的目录,根据市级行政区划与Name-Node节点映射表设定一级目录。然后根据一级目录的编码,设定二级目录,二级目录为对应市及所管辖县级行政区划的目录。在饮水安全工程项目中,所涉及的数据类型分为图片类型、视频类型、文本类型等,所以将三级目录按文件类型进行划分,即每个二级目录下对应的三级目录为pic、video、txt等。
4.3.3分配存储位置
当用户要查找某个饮水安全元数据时,系统首先根据待查找元数据的行政区划编码,从市级行政区划与NameNode节点映射表中找到其对应的NameNode节点;然后,主NameNode节点将用户请求转发给此NameNode节点,收到转发的用户请求的NameNode节点同样将行政区编码进行处理,转化为市级编码,找到其一级目录;然后在一级目录下,根据编码找到二级目录,再根据用户请求的元数据类型,定位到三级目录,在三级目录下根据哈希表,找到对应存储位置并提交给主Name-Node节点,由主NameNode节点返回给用户。饮水安全元数据检索结果分为两种情况,第一种是查找成功,第二种是查找失败。一次饮水安全元数据成功检索过程的检索时间包括主NameNo-de节点并发处理延迟、主NameNode节点找到对应的NameNode节点的时间、转发用户请求与普通NameNode节点的通信时间、普通节点执行查找目录的时间、查找Hash表读取元数据的时间和返回查找结果给主NameNode的时间。一次失败的检索包含两种情况,一是定位到目录后,通过BloomFilter过滤后,判定要查找饮水安全工程元数据哈希表不属于该目录;二是通过BloomFilter过滤后,判定其属于该目录,但是通过查询Key-Value表,发现匹配错误,即上文提到的BloomFilter自身的错误率。第一种情况,根据BloomFilter的原理,可知经过k次独立的哈希函数后,如果得到的位置不是全为1,则返回查找失败,要查找的元数据请求不在此目录中,时间复杂度为O(1)。第二种情况是BloomFilter自身的缺陷,但是由于有对应的Key-Value表,即使经过k次哈希操作得到的位置在比特数组中全为1,通过查找对应的键值,如果发现元数据名称不能与之匹配,则返回检索不成功,时间复杂度也为O(1),在用户可以接受的范围内。
5实验结果
本文通过实验仿真验证饮水安全工程元数据模型的元数据分级索引算法在元数据检索上的性2226ComputerEngineering&Science计算机工程与科学2014,36(11)能,并与目录子树分区算法和哈希算法在检索成功时间和检索失败时间进行对比。第一组实验,测试三种算法检索成功的平均检索时间,其中用户数为10,请求数为1000,在定位NameNode节点的时间上来说,目录子树分区算法能够根据用户请求中的类型定位节点,哈希算法是通过特定的Hash函数,算出用户请求元数据所在的节点。而本文设计的元数据分级索引算法,将市级行政区划和NameNode节点编号存储在一张静态的表中,查找时间与Name-Node节点个数有关,时间复杂度为O(n)。在本文的应用中,至多会有14个NameNode节点,三种算法的定位时间基本相同,在查找NameNode节点的步骤上所用时间可以近似算作相等。定位目录的时间复杂度,三种算法也相同,可认为是O(1)。在最后一步定位元数据文件存储位置上,由于BloomFilter查找成功的时间复杂度是O(1),而目录子树分区算法和哈希算法没有考虑定位物理位置,查找目录下的元数据名称,时间复杂度为O(n),目录下的元数据文件越多,查找速度越慢。第二组实验,测试三种算法检索失败的平均检索时间,其中用户数为10,请求数为1000,仿若是检索不在目录下的文件,BloomFilter将文件名进行Hash运算,可以判定被请求的文件名不在目录中,时间复杂度为O(1)。而另外两种算法,则会遍历目录中的所有文件,直至遍历完,找不到所请求的文件,时间复杂度为O(n)。对比三种算法在饮水安全工程元数据检索上的应用情况,由于元数据分级算法使用了BloomFilter,检索效率比其它两种算法效率高,尤其是检索失败的检索请求。
数据安全论文篇(8)
2基于空间数据挖掘的煤矿安全监测系统的建设
2.1系统模型的设计
空间数据挖掘系统包含了三种结构体系,第一种是数据源,是指利用大空间数据库中所提供给我们的索引来查询出具体的功能,在具体的操作中可以直接使用到数据库中的数据。第二种是数据的挖掘,首要前提是要把原始的数据转换为数据挖掘算法的专用格式,并删除其他不相干的数据,然后利用这种算法来具体分析提取出来的空间数据,最后在挖掘中不断调整数据的参数值。最后一种是用户界面,在这个技术层面中,用户可以根据可视化的工具来获取知识。
2.2空间挖掘关联规则的分析
空间挖掘技术有一项十分重要的元素,就是空间对象的结构以及空间之间的关联规则,想要深入地分析出这些规则,空间挖掘模型还要设计出一组空间关系。通过设计的空间关系而研究出的空间关联规则是空间挖掘技术中的重要内容。空间的关联规则包含了不同的空间属性,如相邻、共生、包含、覆盖等关系,同时还表现出了距离上的信息,比如交叉、远离等。在众多的应用程序中,我们很难在原始的数据中找到一些关联规则,但却可以在高层次的概念上找到,这也可以提供一些十分重要的知识。因此,在实际的空间数据挖掘系统的建立中,应该时刻注意到要在不同的概念层次中挖掘出空间的关联规则,以及在不同概念的空间里互相转换的功能。
2.3空间数据挖掘算法的选择
就目前的实际情况来看,空间数据的挖掘算法主要有三种形式,第一种是分类和预测模型,第二种是集群和单点检测模型,最后一种是空间关联规则。这三种算法都和煤矿的安全管理中所需要的空间模式息息相关。在这三种算法中,空间关联规则是最为重要的内容,它主要是指空间数据的价值和每个数据项目之间关系的准确描述。这些知识的描述可以显示特定的参数和空间位置之间的关系,显而易见的是,空间关联规则所体现出的空间定位的特性,对于煤矿的安全生产和管理来说,有着多么深远的意义。在实际情况中,煤矿安全的空间关联规则算法需要用到双向挖掘,双向挖掘具体分为了两个步骤,第一点是根据统计的结果来得出非空间项目,第二点就是利用空间关联的算法来生成规则。
数据安全论文篇(9)
2大数据时代下网络安全的基本内涵
大数据时代下网络完全问题逐渐受到重视,但是在对网络安全确保的同时,就要正确全面的认识网络的安全。就其实质性而言,大数据时代下网络安全就要做好物理安全的综合分析,和信息内容安全的全面分析。保证网络安全的物理安全,就要在当前的网络工程中,对网络的设计和网络的规划进行充分的考虑,并做好对各种电源故障以及电脑硬件配置的全面考虑。综合分析信息内容安全时,主要是保证信息的保护,并避免信息泄露和破坏的产生,并禁止非法用户在没有一定的授权,进而对目标系统中的数据进行窃取和破译,进而为用户带来一定的隐患。而信息破坏的过程中,就要做好系统故障的维护,对非法行为进行抑制。对于信息传播安全和管理安全分析时,就要在当前的网络环境中,做好数据信息的有效传输,并避免网络的攻击以及病毒的入侵,并做好对整个网络系统的维护工作。而管理安全性分析时,就要对软件的可操作性进行综合性的分析,做好实时监控和相关的应对措施准备,并做好对数据的综合保护。总而言之,大数据时代下网络安全更要做好网络硬件的维护和常规管理,同时也要做好信息传播安全以及管理安全的综合性分析,进而对大数据时代下网络安全加以保障。
3关于大数据时代下网络安全问题控制的几点思考
大数据时代下网络安全问题控制过程中,就要综合分析网络系统本身上的漏洞,并做好系统漏洞和威胁的全面分析评估,并结合当前的新技术手段,进而做好网络的安全的极大保障。
3.1做好对访问的控制
对于大数据时代下网络安全问题控制,就要对安全的防御技术加以采取,并做好黑客攻击以及病毒传播等的控制,将对访问的控制有效加强,对网络资源的合法访问和使用加以确保,并合理的认证以及控制用户对网络资源权限的访问,避免非法目的用户的不法访问。将身份认证和相关口令加以添加,做好对规范用户的基础控制,有效维护系统,并对网络资源进行高效性的保护。
3.2做好对数据的加密控制
做好对数据加密控制,就要采取加密算法以及密钥的方法,对明文数据进行转化,将其转化成为一种密文,并保证加密后的信息,在实际的传播过程中,有着一定的保护作用,一旦信息窃取,对于信息的内容无法查看。同时在对数据存储安全性以及稳定性进行确保时,就要依据于数据的相关特点和基本类型,对机密信息的安全性加以确保,实现网络信息数据的安全传输。
3.3做好对网络的隔离控制
将网络的隔离控制加强,主要是当前防火墙技术常见的一种网络隔离技术,通过对防火墙部署在数据存储系统上加以采用,尽可能的将网络分为外部和内部,并对数据通道进行授权处理,对网络访问权进行一定的隔离和限制,并对网络的安全进行合理的控制。
3.4做好对入侵的检测控制
一般而言,入侵检测,主要是借助于主机系统和互联网,综合性的分析预设的关键信息,并对非法入侵进行检测,在入侵检测控制中,就要借助于监测网络将内外攻击以及相关的操作进行及时的监测,并采取主动性和实时性的特点,对信息的安全结构进行保证,进而做好入侵的检测控制,对网络信息安全进行最大上的保障。
3.5及时的防治病毒
当前大数据环境中,保证网络安全,就要做好病毒的有效防治,在计算机上对杀毒软件安装,并定期的对文件进行扫描和杀毒,对于不能识别的网络病毒,就要对漏洞补丁进行及时的更新和修补。同时也要对良好的网络安全意识习惯培养,不点击不明的链接以及相关的网站,对正规正版的软件下载,并综合提升病毒防治的成效,做好计算机的日常安全维护基础工作。
3.6做好安全审计工作
做好网络安全审计工作,就要综合提升网络信息安全性能和网络信息的稳定性,在实际的工作过程中,借助于网络对原始数据包进行合理的监控和分析,并借助于审计的手段,还原原始信息,准确的记录访问网络的关键性信息,对网络方位、上网时间控制以及邮件的访问等行为进行极好的记录,尽可能的保证业务正常有序的进行[5]。
3.7提高安全防范意识
提高安全防范意识,同样也是大数据时代下网络安全控制的有效方法之一,将网络安全增强,并提升网络安全性能,对相关的管理制度进行建立,将软件的操作和管理加强,对用户的安全保护意识进行加强,并对完全稳定的网路环境进行创造。
数据安全论文篇(10)
在会计电算化环境下,会计信息数据都是以磁性材料为介质以文件形式保存,这给会计数据的安全留下了隐患。财会从业人员安全防范意识的缺失,在出现软硬件故障、非法的操作和病毒,使会计电算化系统瘫痪时,难以恢复完整数据。多中小型企业在会计实务中操作权限设置不规范和口令密码不严,导致会计数据丢失、非法篡改或外泄。而且会计档案管理在存储过程中,没有脱机进行保存,未对相关的档案管理人员划定职责,造成档案损毁,乃至企业会计信息外泄。
1.2注重核算而忽视管理功能
只有将财务会计和管理会计有机结合起来的电算化才是真正意义上全面电算化。中小企业只有在实现财务会计电算化的同时,推进管理会计电算化,将财务会计与管理会计有机结合后的电算化才能实质性地促进管理会计在企业中的推广应用,从而真正实现会计的核算职能、管理职能和控制职能。管理会计电算化是以财务会计电算化为基础的,但目前,我国中小企业的电算化只是实现了基础而对于向中级阶段会计电算化的发展却停滞不前。
1.3对会计电算化重要性的认识不足
电算化相关人员还未能充分认识到建立完整的会计信息系统对企业的重要性,以致无法利用会计电算化系统的优势来提高企业运作效率,造成现有会计提供的信息不能及时、有效地为企业决策及管理服务。没有随着手工业务环境向电算化环境转变而相应地调整内控模式和制度导致企业会计电算化的发展迟缓甚至停滞。
二、基于以上对现阶段我国中小企业会计电算化实施过程中存在问题的列示
不难发现针对出现的问题主要可以从企业、财会软件开发商以及政府三个方面分别提出有效性的解决对策。
2.1强化数据安全建设
正因为对会计电算化的不重视才加剧了企业财务数据的风险,所以首先应该在整个企业文化之中增强“领导———财会人员———其他工种”各级人员的电算化安全意识。防范计算机病毒,健全并严格执行防范病毒管理制度。其次,完善企业的内控制度,保证财务数据的稳定:不相容岗位相互分离;会计工作人员相互制约;建立适当保密制度,通过设置用户权限、密码、定期更新加密钥等措施以增强数据的安全性。再次,加强对财务数据的备份以防不测。给电算化计算机安装UPS,解决电源干扰问题。保证出现电源问题时,可以为系统提供10—25分钟,进行数据的紧急存储等。经济业务活动通过账务处理系统处理之后,应该及时备份,防止储存介质磁化、侵蚀,进行定期或者不定期的检查和复制,防止数据丢失。采取双重备份,异地保管,对于能够打印的数据应该进行打印,同时以纸质和电子形式进行双重保管。可以与开发商签订合同,使用其提供的“云+端”服务,给企业的财务数据安全再加上一重保护。而且电算化的硬件维护也是电算化数据安全的一项重要内容,硬件的维护一般应由专业人员进行,但小型企业一般无力配备专职硬件维护员,因此硬件设备只能在日常使用时注意使用要求,不乱拆乱动硬件设备。
2.2积极转型
加强对于中小企业的认识,明白企业的真正需求,在财会软件层面上推进中小企业的会计电算化从“核算”向“管理”过渡。将会计电算化系统与物资供应、产成品销售、库存管理、劳资管理等管理业务子系统对接,建立计算机财务系统指标分析系统,为决策层提供决策和评价依据。完善财会软件功能模块,向财务管理方面过渡,将会计电算化纳入管理信息系统,开发财会软件具有管理型功能的模块。
