網(wǎng)絡(luò)安全為主應(yīng)用安全為輔的時(shí)代要求

申請免費(fèi)試用、咨詢電話：400-8352-114

上，把建設(shè)重點(diǎn)由以網(wǎng)絡(luò)安全為主應(yīng)用安全為輔轉(zhuǎn)入以應(yīng)用安全為主網(wǎng)絡(luò)安全為輔的階段。”一、信息安全隱患分析我們可以從信息在網(wǎng)絡(luò)系統(tǒng)中的存儲(chǔ)、處理、傳輸和用戶對這些信息的訪問活動(dòng)等方面來分析這些信息潛在的安全威脅。 　　數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲(chǔ)：電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲(chǔ)在由數(shù)據(jù)庫管理系統(tǒng)維護(hù)的數(shù)據(jù)庫中或操作系統(tǒng)文件中。這些以明文形式存儲(chǔ)的信息存在泄漏的可能，因?yàn)槟玫酱鎯?chǔ)介質(zhì)的人可以讀出這些信息；黑客可以繞過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息；系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息… 　　信息的明文傳輸：現(xiàn)代應(yīng)用系統(tǒng)一般采用C/S（客戶/服務(wù)器）或B/S（瀏覽器/服務(wù)器）結(jié)構(gòu)，都在網(wǎng)絡(luò)上運(yùn)行，所處理的信息也必須在網(wǎng)絡(luò)主機(jī)間頻繁傳輸。在電力行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，信息傳輸基本上是明文方式。偶有采用SSL（安全套接字層）等加密傳輸?shù)?，但由于外國安全系統(tǒng)出口的限制，所能夠用到的SSL是低安全級別的。這些明文或只受到低安全保護(hù)的信息在網(wǎng)絡(luò)上傳輸，不具有信息安全所要求的保密、完整和發(fā)送方的不可抵賴性要求。 　　弱身份認(rèn)證：電力行業(yè)應(yīng)用系統(tǒng)基本上基于商用軟硬件系統(tǒng)設(shè)計(jì)和開發(fā)，用戶身份認(rèn)證基本上采用基于口令的鑒別模式，而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中，這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高，信息敏感性不斷增強(qiáng)的今天不能再用了。 　　二、安鼎信息安全增強(qiáng)解決方案信息安全解決方案應(yīng)該全面考慮信息存儲(chǔ)、傳輸、處理和訪問等各環(huán)節(jié)的安全要求，使信息安全方案沒有攻擊者可以利用的安全薄弱環(huán)節(jié)。 　　按照信息安全全面性要求原則，信息安全方案必須包括如下組成部分： 　　安全的身份認(rèn)證：安全的身份認(rèn)證是安全的第一步，不安全的身份認(rèn)證可能造成用戶假冒，使其它安全措施失去作用。 　　通信安全：采用數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進(jìn)行保護(hù)，實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。 　　文件安全：通過文件加密、信息摘要和訪問控制等安全措施，來實(shí)現(xiàn)文件存儲(chǔ)和傳輸?shù)谋Ｃ芎屯暾砸?，并?shí)現(xiàn)對文件訪問的控制。 　　數(shù)據(jù)庫安全：通過數(shù)據(jù)存儲(chǔ)加密、完整性檢驗(yàn)和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機(jī)密和完整性，并實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。 　　安全審計(jì)：通過記錄審計(jì)信息來為信息安全問題的分析和處理提供線索。 　　安鼎公司針對信息安全的要求，結(jié)合自身技術(shù)特點(diǎn)開發(fā)出了有關(guān)身份認(rèn)證、通信安全、文件安全、數(shù)據(jù)庫安全等的信息安全產(chǎn)品，并在這些產(chǎn)品中集成了審計(jì)功能。 　　1、安鼎KDC安鼎KDC（Key Distribution Center）是Kerberos第5版的實(shí)現(xiàn)和增強(qiáng)，可以為企業(yè)提供集中的用戶管理、服務(wù)管理和通信安全服務(wù)。其功能包括： 　　用戶管理票據(jù)授權(quán)服務(wù)應(yīng)用服務(wù)管理服務(wù)器票據(jù)管理用戶鑒別安全審計(jì)安鼎KDC不但可以和安鼎其他安全產(chǎn)品集成使用，也可以和支持Kerberos的其他產(chǎn)品集成，如Oracle 8i等。 　　安鼎KDC提供了調(diào)用接口（API），用戶可以在應(yīng)用中調(diào)用KDC的安全功能。 　　安鼎KDC使“一次登錄”成為可能，即用戶在使用所有可以訪問的數(shù)據(jù)和系統(tǒng)時(shí)只需要登錄一次。 　　2、安鼎安全通信代理安鼎除在自己的信息安全產(chǎn)品中包含了通信安全功能外，還為不具備通信安全的系統(tǒng)提供了一個(gè)可配置的通信安全解決方案，即安鼎安全通信代理。 　　安鼎安全通信代理包括客戶端和服務(wù)器兩部分。 　　安全代理結(jié)構(gòu)通信安全代理客戶端運(yùn)行在應(yīng)用系統(tǒng)客戶機(jī)上。當(dāng)客戶機(jī)要向服務(wù)器發(fā)送信息時(shí)，信息不直接發(fā)送到服務(wù)器，而是發(fā)送到通信安全代理客戶端?？蛻舳藢⑿畔⒓用芎蟀l(fā)送到通信安全代理服務(wù)器。通信安全代理服務(wù)器將請求脫密后發(fā)給真正的服務(wù)器并獲取返回的內(nèi)容，將返回內(nèi)容加密并返回給通信安全代理客戶機(jī)。通信安全代理客戶機(jī)將通信安全代理服務(wù)器返回的內(nèi)容脫密并返回給請求者。 　　通信安全代理客戶端與服務(wù)端之間的通信過程采用一次會(huì)話一個(gè)密鑰的動(dòng)態(tài)密鑰加密方式，并通過會(huì)話標(biāo)識(shí)、請求序號(hào)、完整性校驗(yàn)碼等來實(shí)現(xiàn)防重放、防篡改。 　　3、安鼎文件保密柜安鼎文件保密柜可分為企業(yè)文件保密柜和個(gè)人文件保密柜兩種。 　　安鼎企業(yè)文件保密柜安鼎企業(yè)文件保密柜包括文件柜服務(wù)器和文件柜客戶機(jī)，功能包括： 　　文件加密存儲(chǔ)：文件以加密的形式存儲(chǔ)在文件柜中，防止文件內(nèi)容的泄漏。 　　文件傳輸加密：文件從服務(wù)器傳輸?shù)娇蛻魴C(jī)過程中采用加密保護(hù)措施。 　　訪問控制：企業(yè)文件柜允許多用戶共享文件，企業(yè)文件柜提供訪問控制功能，防止文件的非授權(quán)訪問。 　　安全審計(jì)：記錄用戶對文件的訪問，提供安全審計(jì)記錄查詢功能。 　　文件查詢：可以根據(jù)查詢條件來查找相關(guān)的文件，包括全文查找。 　　文件組織與管理：以層次形式顯示和組織文件，支持文件在層次結(jié)構(gòu)中的拖動(dòng)。 　　安鼎個(gè)人文件保密柜安鼎個(gè)人文件保密柜功能包括： 　　加密存儲(chǔ)：文件以加密的形式存儲(chǔ)在文件柜中，防止文件內(nèi)容的泄漏。 　　文件查詢：可以根據(jù)查詢條件來查找相關(guān)的文件，包括全文查找。 　　文件組織與管理：以層次形式顯示和組織文件，支持文件在層次結(jié)構(gòu)中的拖動(dòng)。 　　作為企業(yè)文件保密柜客戶機(jī)使用。 　　安鼎文件保密柜的特點(diǎn)安全：采用182位密鑰長度加密，且不同文件采用不同密鑰。 　　全文查找：自主研制的加密算法支持快速全文查找功能。 　　多平臺(tái)支持：支持Unix / Linux / Microsoft OS。 　　操作方便：支持右鍵和拖放操作。 　　支持二次開發(fā)：通過編程接口支持二次開發(fā)。 　　4、安鼎數(shù)據(jù)庫加密系統(tǒng)安鼎數(shù)據(jù)庫加密系統(tǒng)包括數(shù)據(jù)庫加密服務(wù)器、安鼎ODBC驅(qū)動(dòng)器、安鼎JDBC驅(qū)動(dòng)器和一個(gè)工具集。 　　數(shù)據(jù)庫安全體系結(jié)構(gòu)安鼎數(shù)據(jù)庫加密系統(tǒng)能夠適應(yīng)C/S和B/S兩種應(yīng)用形式。 　　數(shù)據(jù)庫安全C/S模式系統(tǒng)結(jié)構(gòu)在C/S模式應(yīng)用系統(tǒng)中，客戶端應(yīng)用（包括開發(fā)工具）與安鼎ODBC驅(qū)動(dòng)器交互來訪問數(shù)據(jù)庫加密系統(tǒng)服務(wù)器。 　　數(shù)據(jù)庫安全B/S模式系統(tǒng)結(jié)構(gòu)在B/S模式系統(tǒng)中，瀏覽器與Web服務(wù)器采用Http進(jìn)行交互。為解決瀏覽器與Web服務(wù)器間的通信安全問題，采用代理技術(shù)來實(shí)現(xiàn)瀏覽器與Web服務(wù)器間的通信安全。在瀏覽器中使用代理功能，將請求發(fā)往本機(jī)的安全代理客戶端，安全代理客戶端將請求加密后發(fā)往安全代理服務(wù)器。安全代理服務(wù)器依次脫密請求、將請求交給Web服務(wù)器、獲取Web服務(wù)器返回內(nèi)容、加密返回內(nèi)容、發(fā)送加密后的內(nèi)容到安全代理客戶端。安全代理客戶端脫密返回的內(nèi)容并交給瀏覽器。瀏覽器則將內(nèi)容顯示出來。 　　數(shù)據(jù)庫加密服務(wù)器數(shù)據(jù)庫加密服務(wù)器主要由服務(wù)管理、SQL執(zhí)行引擎、數(shù)據(jù)字典管理、DBMS訪問接口、數(shù)據(jù)備份與恢復(fù)、其他系統(tǒng)服務(wù)等模塊組成。從客戶端來的請求首先交給服務(wù)管理模塊，服務(wù)管理模塊將請求分派到實(shí)際的服務(wù)模塊執(zhí)行。 　　有關(guān)密文數(shù)據(jù)訪問的請求交給SQL執(zhí)行引擎。SQL執(zhí)行引擎對到來的SQL進(jìn)行詞法和語法分析。通過了詞法、語法檢查SQL請求在SQL執(zhí)行引擎中形成執(zhí)行計(jì)劃并被執(zhí)行。在SQL執(zhí)行過程中會(huì)調(diào)用數(shù)據(jù)加密功能對寫入數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行加密，對從數(shù)據(jù)中取出的數(shù)據(jù)進(jìn)行脫密。 　　安鼎ODBC驅(qū)動(dòng)器安鼎ODBC驅(qū)動(dòng)器符合Micr