数据安全论文模板(10篇)

导言：作为写作爱好者，不可错过为您精心挑选的10篇数据安全论文，它们将为您的写作提供全新的视角，我们衷心期待您的阅读，并希望这些内容能为您提供灵感和参考。

篇1

二、电子数据安全的性质

电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范，而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时，狭义安全固然重要，但需更多地考虑广义的安全。在广义安全中，安全问题涉及到更多的方面，安全问题的性质更为复杂。

(一)电子数据安全的多元性

在计算机网络系统环境中，风险点和威胁点不是单一的，而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容；逻辑安全涉及到访问控制和电子数据完整性等方面；安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞，也可能是其中两个或是全部出现互相联系的安全事故。

(二)电子数据安全的动态性

由于信息技术在不断地更新，电子数据安全问题就具有动态性。因为在今天无关紧要的地方，在明天就可能成为安全系统的隐患；相反，在今天出现问题的地方，在将来就可能已经解决。例如，线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低，而客户机端由于B0这样的黑客程序存在，同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。

(三)电子数据安全的复杂性

安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外，因为黑客常常利用防火墙的隔离性，持续几个月在防火墙外试探系统漏洞而未被发觉，并最终攻入系统。另外，攻击者通常会从不同的方面和角度，例如对物理设施或协议、服务等逻辑方式对系统进行试探，可能绕过系统设置的某些安全措施，寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识，从最底层的计算机物理技术到程序设计内核，可以说无其不包，无所不在，因为攻击行为可能并不是单个人的，而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理，在防范这些问题时，也只有掌握了各种入侵技术和手段，才能有效的将各种侵犯拒之门外，这样就决定了电子数据安全的复杂性。

(四)电子数据安全的安全悖论

目前，在电子数据安全的实施中，通常主要采用的是安全产品。例如防火墙、加密狗、密钥等，一个很自然的问题会被提出：安全产品本身的安全性是如何保证的?这个问题可以递归地问下去，这便是安全的悖论。安全产品放置点往往是系统结构的关键点，如果安全产品自身的安全性差，将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证，但一般至少需要两层保证，即产品开发的安全保证和产品认证的安全保证。

(五)电子数据安全的适度性

由以上可以看出，电子数据不存在l00％的安全。首先由于安全的多元性和动态性，难以找到一个方法对安全问题实现百分之百的覆盖；其次由于安全的复杂性，不可能在所有方面应付来自各个方面的威胁；再次，即使找到这样的方法，一般从资源和成本考虑也不可能接受。目前，业界普遍遵循的概念是所谓的“适度安全准则”，即根据具体情况提出适度的安全目标并加以实现。

三、电子数据安全审计

电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录，以备用户违反安全规则的事件发生后，有效地追查责任。电子数据安全审计过程的实现可分成三步：第一步，收集审计事件，产生审记记录；第二步，根据记录进行安全违反分析；第三步，采取处理措施。

电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间，与计算机信息系统内敏感的数据、资源、文本等安全有关的事件，可随时记录在日志文件中，便于发现、调查、分析及事后追查责任，还可以为加强管理措施提供依据。

（一）审计技术

电子数据安全审计技术可分三种：了解系统，验证处理和处理结果的验证。

1．了解系统技术

审计人员通过查阅各种文件如程序表、控制流程等来审计。

2．验证处理技术

这是保证事务能正确执行，控制能在该系统中起作用。该技术一般分为实际测试和性能测试，实现方法主要有：

（1）事务选择

审计人员根据制订的审计标准，可以选择事务的样板来仔细分析。样板可以是随机的，选择软件可以扫描一批输入事务，也可以由操作系统的事务管理部件引用。

（2）测试数据

这种技术是程序测试的扩展，审计人员通过系统动作准备处理的事务。通过某些独立的方法，可以预见正确的结果，并与实际结果相比较。用此方法，审计人员必须通过程序检验被处理的测试数据。另外，还有综合测试、事务标志、跟踪和映射等方法。

（3）并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后，来比较它们的结果。仿真代价较高，借助特定的高级语音可使仿真类似于实际的应用。

（4）验证处理结果技术

这种技术，审计人员把重点放在数据上，而不是对数据的处理上。这里主要考虑两个问题：

一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块（此模块根据指定的标准收集数据，监视意外事件）；扩展记录技术为事务（包括面向应用的工具）建立全部的审计跟踪；借用于日志恢复的备份库（如当审计跟踪时，用两个可比较的备份去检验账目是否相同）；通过审计库的记录抽取设施（它允许结合属性值随机选择文件记录并放在工作文件中，以备以后分析），利用数据库管理系统的查询设施抽取用户数据。

二是从数据中寻找什么？一旦抽取数据后，审计人员可以检查控制信息（含检验控制总数、故障总数和其他控制信息）；检查语义完整性约束；检查与无关源点的数据。

（二）审计范围

在系统中，审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。

操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为：审计对象（如用户、文件操作、操作命令等）的选择；审计文件的定义与自动转换；文件系统完整性的定时检测；审计信息的格式和输出媒体；逐出系统、报警阀值的设置与选择；审计日态记录及其数据的安全保护等。

应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制，是否在发挥正确作用；判断程序和数据是否完整；依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。

（三）审计跟踪

通常审计跟踪与日志恢复可结合起来使用，但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作；但根据需要，日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来，就可以在违反安全规则的事件发生时，或在威胁安全的重要操作进行时，及时向安检员发出告警信息，以便迅速采取相应对策，避免损失扩大。审计记录应包括以下信息：事件发生的时间和地点；引发事件的用户；事件的类型；事件成功与否。

审计跟踪的特点是：对被审计的系统是透明的；支持所有的应用；允许构造事件实际顺序；可以有选择地、动态地开始或停止记录；记录的事件一般应包括以下内容：被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等；可以对单个事件的记录进行指定。

按照访问控制类型，审计跟踪描述一个特定的执行请求，然而，数据库不限制审计跟踪的请求。独立的审计跟踪更保密，因为审计人员可以限制时间，但代价比较昂贵。

（四）审计的流程

电子数据安全审计工作的流程是：收集来自内核和核外的事件，根据相应的审计条件，判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时，则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生，满足逐出系统阀值，则将引起该事件的用户逐出系统并记录其内容。

篇2

在会计电算化环境下，会计信息数据都是以磁性材料为介质以文件形式保存，这给会计数据的安全留下了隐患。财会从业人员安全防范意识的缺失，在出现软硬件故障、非法的操作和病毒，使会计电算化系统瘫痪时，难以恢复完整数据。多中小型企业在会计实务中操作权限设置不规范和口令密码不严，导致会计数据丢失、非法篡改或外泄。而且会计档案管理在存储过程中，没有脱机进行保存，未对相关的档案管理人员划定职责，造成档案损毁，乃至企业会计信息外泄。

1．2注重核算而忽视管理功能

只有将财务会计和管理会计有机结合起来的电算化才是真正意义上全面电算化。中小企业只有在实现财务会计电算化的同时，推进管理会计电算化，将财务会计与管理会计有机结合后的电算化才能实质性地促进管理会计在企业中的推广应用，从而真正实现会计的核算职能、管理职能和控制职能。管理会计电算化是以财务会计电算化为基础的，但目前，我国中小企业的电算化只是实现了基础而对于向中级阶段会计电算化的发展却停滞不前。

1．3对会计电算化重要性的认识不足

电算化相关人员还未能充分认识到建立完整的会计信息系统对企业的重要性，以致无法利用会计电算化系统的优势来提高企业运作效率，造成现有会计提供的信息不能及时、有效地为企业决策及管理服务。没有随着手工业务环境向电算化环境转变而相应地调整内控模式和制度导致企业会计电算化的发展迟缓甚至停滞。

二、基于以上对现阶段我国中小企业会计电算化实施过程中存在问题的列示

不难发现针对出现的问题主要可以从企业、财会软件开发商以及政府三个方面分别提出有效性的解决对策。

2．1强化数据安全建设

正因为对会计电算化的不重视才加剧了企业财务数据的风险，所以首先应该在整个企业文化之中增强“领导———财会人员———其他工种”各级人员的电算化安全意识。防范计算机病毒，健全并严格执行防范病毒管理制度。其次，完善企业的内控制度，保证财务数据的稳定:不相容岗位相互分离;会计工作人员相互制约;建立适当保密制度，通过设置用户权限、密码、定期更新加密钥等措施以增强数据的安全性。再次，加强对财务数据的备份以防不测。给电算化计算机安装UPS，解决电源干扰问题。保证出现电源问题时，可以为系统提供10—25分钟，进行数据的紧急存储等。经济业务活动通过账务处理系统处理之后，应该及时备份，防止储存介质磁化、侵蚀，进行定期或者不定期的检查和复制，防止数据丢失。采取双重备份，异地保管，对于能够打印的数据应该进行打印，同时以纸质和电子形式进行双重保管。可以与开发商签订合同，使用其提供的“云+端”服务，给企业的财务数据安全再加上一重保护。而且电算化的硬件维护也是电算化数据安全的一项重要内容，硬件的维护一般应由专业人员进行，但小型企业一般无力配备专职硬件维护员，因此硬件设备只能在日常使用时注意使用要求，不乱拆乱动硬件设备。

2．2积极转型

加强对于中小企业的认识，明白企业的真正需求，在财会软件层面上推进中小企业的会计电算化从“核算”向“管理”过渡。将会计电算化系统与物资供应、产成品销售、库存管理、劳资管理等管理业务子系统对接，建立计算机财务系统指标分析系统，为决策层提供决策和评价依据。完善财会软件功能模块，向财务管理方面过渡，将会计电算化纳入管理信息系统，开发财会软件具有管理型功能的模块。

篇3

2.专业管理的范围数据管理是利用计算机软、硬件技术对数据进行有效的收集、存储、处理和应用的过程。将专业管理的范围分成四大部分：网络数据管理、服务器数据管理、终端设备数据管理和人员管理，涉及公司客户服务中心、安全运检部、财务资产部等各专业部门和单位。针对每一部分的特点制定相应的管理方案，保证数据的独立性、可靠性、安全性与完整性，减少了数据冗余，提高数据共享程度及数据管理效率，使信息数据安全管理覆盖整个信息网络。

二、信息数据安全管理实施过程

1.信息数据管理为了保障信息数据的安全，信息中心根据网络实际运行情况对防火墙及交换机进行安全配置，添加防火墙访问策略及交换机访问控制列表，对外部用户访问进行限制，只允许访问指定服务器，防止来自外部的黑客攻击；对局域网划分网段，配置访问权限，保证局域网内部传输安全。利用终端安全控制软件对局域网内所有联网终端进行统一管理，监控终端机器运行状况，禁止用户私自对终端硬件及系统设置进行修改，锁定终端机器光驱，软驱，移动存储介质等数据交换设备，终端USB端口只识别公司专用U盘及打印机，并对终端数据的流入流出进行安全审计，保存记录，保障公司信息数据的流出、流入安全。

2.服务器运行管理信息机房值班人员每天定时对机房进行巡视，查看服务器机房温湿度及空调、UPS电源运行状态，确保服务器运行环境稳定。检测服务器软、硬件运行状态，并填写机房巡视记录，保证信息服务器稳定运行。执行“切换冗余服务器”运行管理，重要信息系统服务器运行实现双机热备，其它信息系统进行双机互备，如果一台服务器运行出现故障，需要较长时间修复，则立即启动备用服务器，恢复信息系统运行，保证服务器稳定高效运行。

3.数据存储备份管理根据公司实际将重要信息数据划分为公司级重要数据和个人重要数据，并对规定的计算机专责人（兼职）进行权限的设置，公司级重要数据备份后存入指定备份文件夹，个人重要数据由个人整理后转存至备份服务器中个人备份空间。计算机专责人（兼职）按规定的备份周期，利用自动备份软件对所管理信息系统进行本机数据备份。农电营销系统数据每月十八日进行上一月数据的完整备份，电费收取计算时，每日进行备份；其它信息系统每周一进行上一周数据的备份。信息系统管理员将本机数据进行可用性检查，确认数据无误，将数据刻录成DVD数据盘并备份至本地备份服务器进行存放，确保数据存放安全。重要数据存储备份采取“数据异地多点存储”，与潍坊市领近县公司建立互备关系，并在服务器中实施了相关安全策略和设置对应访问权限，签订了数据互备安全协议，保证数据在异地的安全，确保在本地发生重大灾难时，能够有效的恢复系统数据。

4.移动存储设备管理信息中心利用移动存储认证管理软件，将唯一代码写入移动存储设备内进行认证，认证后只能在公司许可机器中识别读取。人员调离工作岗位需要交回移动存储介质，信息中心在收回认证移动存储设备后，确认数据不再需要，将移动存储设备信息进行集中销毁，保证数据不会流出。

5.数据恢复管理信息数据管理员将数据拷贝至服务器相应文件夹内，进行信息数据的恢复操作。进行数据恢复操作以后，登陆信息系统查看数据恢复情况，进行数据恢复测试，测试恢复的数据是否完整可靠，确保信息系统恢复正常运行。

三、效益分析

1.经济效益当前电力企业的财务、人事、生产等信息都已实现了电子化，所有的业务数据都存放于服务器中，随时读取，随时更新，大大减少了数据查询和存储的时间，不仅节省了人力、物力，而且大大提高了生产率。但随着信息化的迅速发展和信息技术运用的深入、普及，信息数据安全管理变得日益重要，其存储的安全性越来越令人担忧。重要信息数据一旦丢失，将为企业带来不可估量的损失。加强信息数据安全管理，可为企业信息化建设和各项工作的持续开展保驾护航。

2.管理效益信息数据的安全管理保证了管理信息系统的稳定运行，使我公司各级管理人员能够在日常工作中方便、快捷的查询业务数据，切实做到了日常工作的网络化、实用化、效率化，管理者借助于现代计算机技术的优势，可快速查阅准确、完整的各类数据的统计分析，提高了工作效率，显著增强了企业办公与服务水准，促进了企业现代化建设管理的进程。

篇4

网络数据库是网络环境下办公自动化（OA）系统的核心部分。设计一个网络数据库所采用的技术实现方法，其先进性和科学性不仅对软件的开发效率和软件质量有着很大的影响，而且对整个软件的使用和维护有着重大的影响。同时，系统的安全性对于系统的实现同样非常关键。系统不安全的因素包括非授权用户访问计算机网络，授权用户越权访问有关数据库，以及敏感信息在基于TCP/IP网络上的传输。结合开发实践，本文主要介绍网络数据库的实现技术和基于SQLSERVER的安全策略。

1系统实现技术

（一）数据库访问技术

一般的数据库开发工具如Delphi5都提供了一些数据库对象组件，它们封装了BDE的功能。这样，开发数据库应用程序就不必知道BDE的功能。其次，还提供了数据感知组件可以与数据访问组件彼此通信，这样，建立数据库应用程序的界面就变得简单。SQLLinks为连接Oracle、Sybase、Informix、MicrosoftSQLServer、DB2和InterBase提供了专门的驱动程序，还可以通过ODBC连接其他数据库[1]。

（二）SQL编程技术

SQL是一组符合工业标准的数据库操作命令集，它可以在Delphi这样的编程环境中使用。SQL不是一门语言，无法得到一个专门的SQL软件，它只是服务器数据库的一部分。

作为一种查询语言，是网络环境下客户/服务器数据库应用程序开发的标准[2]。Delphi提供了支持SQL的有关组件。SQL具有一些查看数据的优势，而且只能使用SQL命令来获得。通过SQL，也可以灵活地查询所需要的数据，这种灵活性是面向记录的数据库操作所不具备的。

SQL为控制服务器的数据提供了下列功能：

数据定义：使用SQL可以定义数据库表的结构，包括表中字段的数据类型以及不同表的字段之间的参照关系。

数据检索：客户程序可以通过SQL向服务器请求它所需要的数据。SQL还允许客户定义要检索什么数据、如何检索，例如排序、选择字段等。

数据完整性：SQL可以实现数据完整性约束，这些完整性约束可以定义为数据库表的一部分，也可以使这些规则以存储过程或其他数据库对象的形式从表中独立出来。

数据处理：SQL允许客户程序更新、添加或删除服务器上的数据。这些操作可以由客户提交的SQL语句来完成，也可以由服务器上的存储过程来完成。

安全性：通过对不同的数据库对象定义访问权限、视图以及受限制的访问，SQL可以保护数据的安全。

并发访问：SQL支持对数据的并发访问，多个用户可以同时使用系统而不互相干扰。

简而言之，SQL是开发和操作客户/服务器数据的重要工具。

（三）多层分布式应用技术。

MIDAS(MultitudeDistributedApplicationServicesSuite)即多层分布式应用程序服务器，它提供了一整套中间层应用服务，扩展了操作系统标准，这些服务用于解决各种具体的分布式计算问题，从用于网络定位的目录服务到数据库集成和业务规则处理。

篇5

1前言

数据库存放着大量的应用系统信息，其安全性、数据的完整性是整个信息统统得以稳定运行的关键。应用系统用户通过用户名和密码访问数据库，数据库通过接收请求返回信息给使用者。一旦数据库存在安全漏洞，且发生了安全事故，影响将无法预计。因此应高度重视数据库的安全与维护工作，只有数据库稳定运行，整个信息系统才能变得稳定、可靠。

2安全现状

目前几乎所有的数据库都需要依托网络进行访问，因此又被称为网络数据库，而网络中存在大量各种类型的安全隐患，如网络漏洞，通信中断，*客攻击等，同时数据库本身运行过程中也会出现如数据丢失，数据损坏等种种问题，因此数据库在运行过程中时刻面临着各类风险。根据上面的描述，可以将数据库安全现状划分为以下两类：

（1）外部风险，即网络中的各类安全隐患。*客的攻击，网络的中断往往会导致数据库信息被篡改，或者数据不完整，从而无法保证数据的可靠性和真实性；

（2）内部风险，即数据库故障或操作系统故障。此类风险会导致数据库系统不可用，同时数据的完整性会遭到破坏，在没用数据备份的情况下，经常会出现数据不可用的情况。目前数据库的使用已经非常普遍，各个行业对数据库的依赖程度也日益增加，对于诸如金融、保险等行业，对数据库的安全已相当重视，但是在其他行业中，对数据库安全防范的重视程度仍然不够，常常导致了一些不可挽回的损失。针对数据库安全的现状，需要我们在信息系统管理中，采取相应措施，建立相对安全的运行环境，保障数据库的稳定运行，从而使信息系统更好地发挥其应有的作用。

3安全技术

目前主要的数据库安全技术主要有以下几类：

1）防火墙防火墙的是防止外部网络攻击非常有效的手段，大多数*客对数据库的攻击轻易地被防火墙所阻隔，从而实现了重要数据与非法访问之间的隔离。防火墙技术被广泛应用于网络边界安全，它采用的是访问控制的安全技术，用于保护内网信息安全。防火墙部署在数据库与外网之间，可以扫描经过它的网络通信，从而实现对某些攻击的过滤，防止恶意操作在数据库上被执行，另外防火墙还可以关闭不必要的端口，减少不必要的访问，防止了木马程序的执行。防火墙还可以禁止来自其他站点的访问，从而杜绝了不安全的通信。目前的防火墙类型主要分为硬件防火墙和软件防火墙。信息系统应根据数据库系统的特点，选择合适的防火墙类型。

2）数据库审计数据库审计是指记录和监控用户对数据库系统的操作，包括访问、增加、删除、修改等动作，并将这些操作记录在数据库升级系统的日志或自身数据库中，通过访问数据库审计记录，可以找到数据库发生状态变化的原因，并可定位到具体用户、具体操作，从而实现责任追查。另外，数据库管理者通过检视审计日志，可以发现数据库中存在的漏洞，及时补漏。因此，部署一套有效的数据库安全审计系统，加强对数据库操作过程的监管力度，挺高数据库的安全性，降低可能发生的风险，是非常有必要的。

3）数据备份从计算机诞生起，人们就意识到了备份的重要性，计算机有着人脑所不能及的处理能力，但有时候它有非常脆弱，任一部件的损坏，就容易导致计算机的宕机，而伴随着可修复的硬件故障的，确实无法修复的数据丢失，这时就需要用备份数据来恢复系统。数据备份，就是把数据复制到其他存储设备上的过程。在信息系统的不断更新的过程中，也产生了多种备份类型，有磁带、光盘、磁盘等等。作为数据库管理者，同时还需要制定切实有效的备份策略，定期对数据进行备份。

在备份系统的设计中，以下三个因素应当被重点考虑：

1）日常使用中，应尽可能保证数据库的可用性；

2）如果数据库失效，尽可能缩短数据恢复时间；

3）如果数据库失效，尽可能减少数据的丢失。如果能很好地做到以上三点，将大大提高数据的可用性和完整性。

4）用户认证用户认证是访问数据库大门的钥匙，要想与数据库进行通行获取数据，首先要得到数据库用户认证系统的认可，这是一种简单有效的数据库安全管理技术，任一位数据库使用者必须使用特定的用户名和密码，并通过数据库认可的验证方式的验证，才能使用数据库。而用户对数据库的操作权限，访问范围需要在认证系统的控制下安全进行。用户认证系统不仅定义了用户的读写权限，同时也定义了用户可访问的数据范围，通过全面的安全管理，使得多用户模式下的数据库使用变的更加安全、可靠。

5）数据库加密数据库如不仅过加密，*客可直接读取被窃取的文件，同时管理人员也可以访问库中的任意数据，而无法受限于用户权限的控制，从而形成极大的安全隐患。因此，数据库的数据在传输和存储过程中需要进行加密处理，加密后的数据即使被且须窃取，*客也无法获得有用的信息。由于数据库大都是结构化设计，因此它的加密方式必定与传统的文件加密不一样。数据库的传输过程中需要不断的加密，解密，而这两个操作组成了加密系统。从加密的层次上看，可分别在操作系统层、数据库内层和外层上实现。另外，加密算法的选择主要包括：对称加密、非对称加密和混合加密。通过对数据库的加密，极大地提升了数据的安全性、可靠性，奠定了数据库系统的安全基础。

4结束语

数据库在信息系统中处于核心地位，随着信息化技术的不断发展，针对数据库的攻击手段也在不断地进行着更新，层出不穷的数据库安全事件告诉我们，针对数据库安全的研究仍然任重而道远，这不仅需要管理者采用各种新技术来保护数据库的安全运行，也需要管理者在日常管理和维护中，制定完善的数据库使用规范，提高自身的安全意识，才能最大程度保证数据库系统持续、稳定地运行。

篇6

2计算机网络安全中数据加密技术的有效应用

当前，数据加密技术是一项确保计算机网络安全的应用最广泛的技术，且随着社会及科技的发展而不断发展。数据加密技术的广泛应用为计算机网络安全提供良好的环境，同时较好的保护了人们运用互联网的安全。密钥及其算法是数据加密技术的两个主要元素。密钥是一种对计算机数据进行有效编码、解码的算法。在计算机网络安全的保密过程中，可通过科学、适当的管理机制以及密钥技术来提高信息数据传输的可靠性及安全性。算法就是把普通信息和密钥进行有机结合，从而产生其他人难以理解的一种密文步骤。要提高数据加密技术的实用性及安全性，就要对这两个因素给予高度重视。

2.1链路数据加密技术在计算机网络安全中的应用

一般情况下，多区段计算机计算机采用的就是链路数据加密技术，其能够对信息、数据的相关传输路线进行有效划分，并以传输路径以及传输区域的不同对数据信息进行针对性的加密。数据在各个路段传输的过程中会受到不同方式的加密，所以数据接收者在接收数据时，接收到的信息数据都是密文形式的，在这种情况下，即便数据传输过程被病毒所获取，数据具有的模糊性也能对数据信息起到的一定程度的保护作用。此外，链路数据加密技术还能够对传送中的信息数据实行相应的数据信息填充，使得数据在不同区段传输的时候会存在较大的差异，从而扰乱窃取者数据判断的能力，最终达到保证数据安全的目的。

2.2端端数据加密技术在计算机网络安全中的应用

相比链路数据加密技术，端端数据加密技术实现的过程相对来说较为容易。端端数据加密技术主要是借助密文形式完成信息数据的传输，所以数据信息传输途中不需要进行信息数据的加密、解密，这就较好的保障了信息安全，并且该种技术无需大量的维护投入及运行投入，由于端端数据加密技术的数据包传输的路线是独立的，因而即使某个数据包出现错误，也不会干扰到其它数据包，这一定程度上保证了数据传输的有效性及完整性。此外，在应用端端数据加密技术传输数据的过程中，会撤销原有信息数据接收者位置的解密权，除了信息数据的原有接收者，其他接收者都不能解密这些数据信息，这极大的减少了第三方接收数据信息的几率，大大提高了数据的安全性。

2.3数字签名信息认证技术在计算机网络安全中的有效应用

随着计算机相关技术的快速发展，数字签名信息认证技术在提高计算机网络安全中的重要作用日渐突出。数字签名信息认证技术是保障网络安全的主要技术之一，主要是通过对用户的身份信息给予有效的确认与鉴别，从而较好的保证用户信息的安全。目前，数字签名信息认证的方式主要有数字认证以及口令认证两种。数字认证是在加密信息的基础上完成数据信息密钥计算方法的有效核实，进一步增强了数据信息的有效性、安全性。相较于数字认证而言，口令认证的认证操作更为快捷、简便，使用费用也相对较低，因而使用范围更广。

2.4节点数据加密技术在计算机网络安全中的有效应用

节点数据加密技术和链路数据加密技术具有许多相似之处，都是采取加密数据传送线路的方法来进行信息安全的保护。不同之处则是节点数据加密技术在传输数据信息前就对信息进行加密，在信息传输过程中，数据信息不以明文形式呈现，且加密后的各项数据信息在进入传送区段之后很难被其他人识别出来，以此来达到保护信息安全的目的。但是实际上，节点数据加密技术也存在一定弊端，由于其要求信息发送者和接收方都必须应用明文形式来进行信息加密，因而在此过程中，相关信息一旦遭到外界干扰，就会降低信息安全。

2.5密码密钥数据技术在计算机网络安全中的有效应用

保护数据信息的安全是应用数据加密技术的最终目的，数据加密是保护数据信息安全的主动性防治措施。密钥一般有私用密钥及公用密钥两种类型。私用密钥即信息传送双方已经事先达成了密钥共识，并应用相同密钥实现信息加密、解密，以此来提高信息的安全性。而公用密钥的安全性则比较高，其在发送文件发送前就已经对文件进行加密，能有效避免信息的泄露，同时公用密钥还能够与私用密钥互补，对私用密钥存在的缺陷进行弥补。

篇7

（一）网络设备安全分析

在网络设备安全中主要涉及到四个方面。首先是网络账号安全。电力调度数据网安全技术设置一定的账号方便账号管理工作，对用户进行身份验证，保证电网信息的安全不泄露。其次是配置安全，主要是基于电力数据网内的关键数据信息进行定期备份处理，每一次关键信息的备份处理都在设备上留有痕迹，保证档案信息有效。再次是审计安全，我国明确要求整个电力调度数据网具备审计功能，做好审计安全可以保证系统设备运行状况、网络流量计用户日常信息更新，为日后查询提供方便。最后是维护安全，要求定期安排技术人员进行设备巡视，对于设备中存在的配置漏洞与书写错误进行检查修复，防止系统漏洞造成的系统崩溃及安全问题。

（二）网络结构安全分析

在计算机网络结构技术分析中我们为了保证电力调度数据网的结构安全可以从以下四个方面入手做好技术升级与完善。首先使用冗余技术设计完成网络拓扑结构，为电力调度提供主要的网络设备及通信线路硬件冗余。其次依据业务的重要性制定带宽分配优先级别，从而保证网络高峰时期的重要业务的宽带运行。再次积极做好业务系统的单独划分安全区域，保证每个安全区域拥有唯一的网络出口。最后定期进行维护管理，绘制网络拓扑图、填写登记信息，并对这些信息进行定期的更新处理。在网络安全结构的设计分析上采用安全为区分与网络专用的原则，对本区的调度数据网进行合理的前期规划，将系统进行实时控制区、非控制生产区及生产管理区的严格区分。坚持“横向隔离，纵向认证”的原则，在网络中部署好必要的安全防护设备。优先做好VLAN及VPN的有效隔离。最后不断优化网络服务体系。网络服务是数据运输及运行的保证，积极做好网络服务可以避免数据信息的破损入侵，在必要情况下关闭电力设备中存在的不安全或者不必要的非法控制入侵行为，切实提高电力调度数据网的安全性能。

二、系统安全管理技术分析

电力调度数据网本身具有网络系统的复杂性，只有积极做好网络系统的安全管理才能实现电力的合理调度。系统管理工作涉及项目繁多，涉及主要的设备采购及软件开发、工程建设、系统备案等多个方面。在进行系统安全管理时要积极做好核心设备的采购、自行或外包软件开发过程中的安全管理、设置必要的访问限制、安全日志及安全口令、漏洞扫描，为系统及软件的升级与维护保驾护航。

三、应用接入安全技术分析

在电力调度的数据网安全技术中，应用接入安全是不可忽视的重要组成部分。目前由于电力二次系统设备厂家繁多，目前国家没有明确统一的指导性标准可供遵循，导致生产厂家的应用接入标准不一，无形之中为安全管理工作带来诸多不便。因此在优化电力调度数据网安全系统时，可以依据调度数据网本身的运行需求，从二次系统业务的规范接入、通信信息的完整性及剩余信息的保护等方面着手，制定出切实可行的安全防护机制，从根本上保障电力调度数据网络的安全稳定。

篇8

1引言

经过20多年的发展，无线局域网（WirelessLocalAreaNetwork，WLAN），已经成为一种比较成熟的技术，应用也越来越广泛，是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性，它能大幅提高用户访问信息的及时性和有效性，还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的，它具有更大的开放性，数据传播范围很难控制，因此无线局域网将面临着更严峻的安全问题。

无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现，安全问题已经成为WLAN走入信息化的核心舞台，成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。

2无线局域网的安全威胁

随着公司无线局域网的大范围推广普及使用，WLAN网络信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击，而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。

由于无线局域网采用公共的电磁波作为载体，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种：

＞所有有线网络存在的安全威胁和隐患都存在；

＞无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试，一定程度上暴露了网络的存在；

＞无线局域网使用的是ISM公用频段，使用无需申请，相邻设备之间潜在着电磁破坏（干扰）问题；

＞外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；

＞无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入；

＞无线网络易被拒绝服务攻击（DOS）和干扰；

＞内部员工可以设置无线网卡为P2P模式与外部员工连接。

3无线局域网的安全保障

自从无线局域网诞生之日起，安全患与其灵活便捷的优势就一直共存，安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性，IEEE802.11系列标准从多个层次定义了安全性控制手段。

3.1SSID访问控制

服务集标识符(ServiceSetIdentifier，SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID，也称业务组标识符，是一个WLAN的标识码，相当于有线局域网的工作组（WORKGROUP）。无线工作站只有出示正确的SSID才能接入WLAN，因此可以认为SSID是一个简单的口令，通过对AP点和网卡设置复杂的SSID（服务集标识符），并根据需求确定是否需要漫游来确定是否需要MAC地址绑定，同时禁止AP向外广播SSID。严格来说SSID不属于安全机制，只不过，可以用它作为一种实现访问控制的手段。

3.2MAC地址过滤

MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证，而不是用户认证。MAC地址过滤这种很常用的接入控制技术，在运营商铺设的有线网络中也经常使用，即只允许合法的MAC地址终端接入网络。用无线局域网中，AP只允许合法的MAC地址终端接入BSS，从而避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新，但是目前都是通过手工操作完成，因此扩展能力差，只适合小型网络规模，同时这种方法的效率也会随着终端数目的增加而降低。

3.3802.11的认证服务

802.11站点（AP或工作站）在与另一个站点通信之前都必须进行认证服务，两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务：开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密协议（WiresEquivalentPrivacy，WEP）。

WEP利用一个64位的启动源密钥和RC4加密算法保护调制数据传输。WEP为对称加密，属于序列密码。为了解决密钥重用的问题，WEP算法中引入了初始向量（InitialilizationVector，IV），IV为一随机数，每次加密时随机产生，IV与原密钥结合作为加密的密钥。由于IV并不属于密钥的一部分，所以无须保密，多以明文形式传输。

WEP协议自公布以来，它的安全机制就遭到了广泛的抨击，主要问题如下：

(1)WEP加密存在固有的缺陷，它的密钥固定且比较短（只有64-24＝40bits）。

(2)IV的使用解决了密钥重用的问题，但是IV的长度太短，强度并不高，同时IV多以明文形式传输，带来严重的安全隐患。

(3)密钥管理是密码体制中最关键的问题之一，但是802.11中并没有具体规定密钥的生成、分发、更新、备份、恢复以及更改的机制。

(4)WEP的密钥在传递过程中容易被截获。

所有上述因素都增加了以WEP作为安全手段的WLAN的安全风险。目前在因特网上已经出现了许多可供下载的WEP破解工具软件，例如WEPCrack和AirSnort。

4WLAN安全的增强性技术

随着WLAN应用的进一步发展，802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用，业界积极研究，开发了很多增强WLAN安全性的方法。

4.1802.1x扩展认证协议

IEEE802.1x使用标准安全协议（如RADIUS）提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构，其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为会话生成唯一密钥。然后，客户机与AP激活WEP，利用密钥进行通信。

为了进一步提高安全性，IEEE802.1x扩展认证协议采用了WEP2算法，即将启动源密钥由64位提升为128位。

移动节点可被要求周期性地重新认证以保持一定的安全级。

4.2WPA保护机制

Wi-FiProtectedAccess（WPA，Wi-Fi保护访问）是Wi-Fi联盟提出的一种新的安全方式，以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制，方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。

(1)认证

WPA要求用户必须提供某种形式的证据来证明它是合法用户，才能拥有对某些网络资源的访问权，并且这是是强制性的。WPA的认证分为两种：第一种采用802.1xEAP（ExtensibleAuthenticationProtocol）的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式，要求在每个无线局域网节点（AP、STA等）预先输入一个密钥，只要密钥吻合就可以获得无线局域网的访问权。

(2)加密

WPA采用TKIP（TemporalKeyIntegrityProtocol，临时密钥完整性协议）为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。

(3)消息完整性校验

除了保留802.11的CRC校验外，WPA为每个数据分组又增加了一个8个字节的消息完整性校验值，以防止攻击者截获、篡改及重发数据报文。

4.3VPN的应用

目前许多企业以及运营商已经采用虚拟专用网（VPN）技术。虚拟专用网（VPN）技术是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，其本身并不属于802.11标准定义，但是用户可以借助VPN来抵抗无线网络的不安全因素，同时还可以提供基于RADIUS的用户认证以及计费。可以通过购置带VPN功能防火墙，在无线基站和AP之间建立VPN隧道，这样整个无线网的安全性得到极大的提高，能够有效地保护数据的完整性、可信性和不可抵赖性。

VPN技术作为一种比较可靠的网络安全解决方案，在有线网络中，尤其是企业有线网络应用中得到了一定程度的采用，然而无线网络的应用特点在很大程度上阻碍了VPN技术的应用，如吞吐量性能瓶颈、网络的扩展性问题、成本问题等。

4.4WAPI鉴别与保密

无线局域网鉴别与保密基础结构（WLANAuthenticationandPrivacyInfrastructure，WAPI）是我国无线局域网国家标准制定的，由无线局域网鉴别基础结构（WLANAuthenticationInfrastructure，WAI）和无线局域网保密基础结构（WLANPrivacyInfrastructure，WPI）组成。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

在WAPI中，身份鉴别的基本功能是实现对接入设备用户证书和其身份的鉴别，若鉴别成功则允许接入网络，否则解除其关联，鉴别流程包含下列几个步骤：

1)鉴别激活：当STA登录至AP时，由AP向STA发送认证激活以启动认证过程；

2)接入鉴别请求：工作站STA向AP发出接入认证请求，将STA证书与STA的当前系统时间（接入认证请求时间）发往AP；

3)证书鉴别请求：AP收到STA接入认证请求后，向AS（认证服务器）发出证书认证请求，将STA证书、接入认证请求时间、AP证书及用AP的私钥对上述字段的签名，构成认证请求报文发送给AS。

4)证书鉴别响应：AS收到AP的证书认证请求后，验证AP的签名以及AP和STA证书的合法性。验证完毕后，AS将STA证书认证结果信息(包括STA证书、认证结果及AS对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间及AS对它们的签名)构成证书认证响应报文发回给AP。

5)接入鉴别响应：AP对AS返回的证书认证响应进行签名验证，得到STA证书的认证结果。AP将STA证书认证结果信息、AP证书认证结果信息以及AP对它们的签名组成接入认证响应报文回送至STA。STA验证AS的签名后，得到AP证书的认证结果。STA根据该认证结果决定是否接入该AP。

至此，工作站STA与AP之间完成了双向的证书鉴别过程。为了更大程度上保证WLAN的安全需求，还可以进行私钥的验证，以确认AP和工作站STA是否是证书的合法持有者，私钥验证由请求和响应组成。

当工作站STA与接入点AP成功进行证书鉴别后，便可进行会话密钥的协商。会话密钥协商包括密钥协商请求和密钥协商响应。密钥协商请求可以由AP或STA中的任意一方发起，另一方进行响应。为了进一步提高通信的保密性能，在通信一段时间或交换一定数量的报文后，工作站STA与AP之间应该重新进行会话密钥的协商来确定新的会话密钥。

5结束语

要保证WLAN的安全，需要从加密技术和密钥管理技术两方面来提供保障。使用加密技术可以保证WLAN传输信息的机密性，并能实现对无线网络的访问控制，密钥管理技术为加密技术服务，保证密钥生成、分发以及使用过程中不会被非法窃取，另外灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。尽管我们国家WLAN标准的出台以及强制执行引起了很大的影响，但这是我国信息安全战略的具体落实，它表明我们国家已经迈出了坚实的一步。

参考文献

篇9

1.2垃圾邮件和间谍软件当收到垃圾邮件或安装了间谍软件时，常常会使计算机的网络安全陷入不利境地，并成为破坏计算机正常使用的主要因素之一。在计算机网络的应用环境下，由于电子邮件的地址是完全开放的，同时计算机系统具有可广播性，因而有些人或团体就会利用这一特性，进行宗教、商业，或政治等活动，主要方式就是强迫目标邮箱接收特定安排的邮件，使目标邮箱中出现垃圾邮件。与计算机病毒有所区别，间谍软件的主要控制手段为盗取口令，并侵入计算机系统实行违法操作，包括盗取用户信息，实施贪污、盗窃、诈骗等违法犯罪行为，不仅对计算机安全性能造成破坏，同时也会严重威胁用户的个人隐私。

1.3计算机用户操作失误由于计算机用户操作不当而发生的损失，也是影响计算机正常使用并破坏网络安全的重要因素之一。目前计算机用户的整体规模不断扩大，但其中有许多用户并未对计算机的安全防护进行应有的重视，对计算机的合理使用认识不到位，因而在安全防范方面力度不够，这就给恶意攻击者提供了入侵系统的机会，并进而出现严重的安全问题。用户安全意识差的主要表现包括：账号密码过于简单，破解容易，甚至随意泄露；使用软件时进行了错误操作；系统备份不完全。这些行为都会引起网络安全问题的发生。

2计算机网络安全防范的措施

2.1定期进行数据备份为防止因突破情况，如自然灾害，断电等造成的数据丢失，应在平时养成定期数据备份的习惯，将硬盘上的重要文件，数据复制到其他存储设备中，如移动硬盘等。如果做好了备份工作，即使当计算机系统遭受攻击而发生数据毁坏，也无需担心数据的彻底消失，而只需将已经备份的文件和数据再重新恢复到计算机中即可。因此，数据的定期备份是维护计算机网络安全的有效途径之一。如果计算机因意外情况而无法正常启动，也需在重新安装系统前进行数据备份，以便在计算机能够正常使用后完成数据恢复，这在非法入侵系统造成的数据毁坏时也能起到重要的作用。

2.2采用物理隔离网闸物理隔离网闸是一种通过外部设备来实现计算机安全防护的技术手段，利用固态开关读写作为媒介，来实现不同主机系统间的对接，可实现多种控制功能。由于在这一技术手段下的不同主机系统之间，并不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，以及基于协议的信息包，只存在无协议“摆渡”，同时只能对存储媒介发出“读”与“写”这两种指令。因此，物理隔离网闸可以从源头上保障计算机网络的安全，从物理上隔离，阻断了带有攻击性质的所有连接，切断黑客入侵的途径，使其无法攻击，无法破坏，真正维护了网络安全。

2.3防火墙技术防火墙是一种常用的计算机安全软件，在计算机和互联网之间构筑一道“安检”关卡。安装了防火墙，所有经过这台计算机的网络通信都必须接受防火墙的安全扫描，从而使具有攻击性的通信无法与计算机取得连接，阻断非授权访问在计算机上的执行。同时，防火墙还会将不必要的端口关闭，并针对指定端口实施通信禁止，从而对木马进行封锁堵截。最后，它可以对特殊站点的访问实施拦截，拒绝来路不明的所有通信，最大程度地维护计算机网络的安全。

2.4加密技术为进一步地维护网络信息安全，保证用户信息不被侵犯，还可使用加密技术来对计算机的系统安全钥匙进行升级，对加密技术进行充分合理的利用能有效提高信息的安全程度。首先是数据加密，基本原理在于通过使用特定算法对目标文件加以处理，使其由原来的明文转为无法识别的代码，通常称为密文，如果需要查看加密前的内容，就必须输入正确的密钥，这样就可防止重要信息内容被不法分子窃取和掌握。相对地，加密技术的逆过程为解密，即将代码转为可读的文件。其次是智能卡技术，该技术与加密技术有较强的关联性。所谓智能卡，其实质为密钥的一种媒介，与信用卡相类似，只能由经过授权的使用者所持有，授权用户可对其设置一定的口令，同时保证设置的口令与网络服务器密码相同，当同时使用口令与身份特征，能够起到极为理想的保密效果。

2.5进行入侵检测和网络监控计算机网络安全技术还包括入侵检测即网络监控。其中，入侵检测是一项综合程度高的安全维护手段，包括统计技术，网络通信技术，推理技术等，起到的作用十分显著，可对当前网络环境进行监督，以便及时发现系统被攻击的征兆。根据分析手段的不同，可将其分为签名法与统计法两种。对于针对系统已知漏洞的攻击，可用签名法来实施监控；对于系统的正常运行阶段，需要对其中的可疑动作是否出现了异常现象进行确认时，可用统计法进行监控，能够从动作模式为出发点进行判断。

2.6及时下载漏洞补丁程序对计算机网络安全的维护应当是一个长期的，动态的过程，因此及时下载漏洞补丁就显得十分必要。在使用计算机来连接网络的过程当中，为避免因存在系统漏洞而被恶意攻击者利用，必须及时下载最新的漏洞补丁，消除计算机应用环境中的种种隐患。可通过特定的漏洞扫描手段对漏洞进行扫描，例如COPS，tripwire，tiger等，都是非常实用的漏洞扫描软件，360安全卫士，瑞星卡卡等软件也有良好的效果，可使用这些软件进行扫描并下载漏洞补丁。

2.7加强用户账号的安全保护为保障计算机网络账号的安全，应加强对账号的保护措施。在计算机应用的网络环境下，许多应用领域都需要账号和密码进行登录，涉及范围较广，包括系统登录，电子账号登录，网上银行登录等等，因此加强对账号的安全防范就有着极其重要的意义。首先，对系统登录来说，密码设置应尽量复杂；其次，对于不同应用方面的账号来说，应避免使用相同或类似的密码，以免造成重大损失；再次，在设置方式上应采用组合的形式，综合使用数字、字母，以及特殊符号；最后，应保证密码长度合适，同时应定期修改密码。

篇10

我国近二十年来信息化建设飞速发展，各个行业对信息系统的依赖程度都在提高，信息化、数字化已经成为现代社会一个非常明显的进步标志。目前，信息技术在高校建设应用范围也越来越广，数据中心作为高校办学核心技术所在更是早就向数字化和信息化发展，由此导致信息系统的安全问题越来越突出，所以数据中心的信息安全建设日趋重要，以此提高数据中心对信息风险的防范能力。

1高校数据中心信息安全建设的重要性及隐患

高校数据中心是保障校内多个应用系统安全运行，保证学生身份认证和管理、日常办公、人事管理、财务管理、图书资料管理、教务选课等工作的前提条件，另外数据中心内存有学校各种重要的资料和关键的数据。保证这些资料数据的安全，保障各应用系统的安全运行是数据中心的一项重要职责，所以进行数据中心信息安全建设是确保高校数据安全的必然选择，其根本出发点和归宿是为了保证数据中心信息不丢失或者被盗［1］。然而，随着互联网技术日新月异的发展，数据中心存在安全隐患。这些安全隐患除了来自管理制度的不健全外，有来自于现有网络各种攻击技术手段，未被授权的访问可能会导致数据整体性和私密性遭到破坏，还有一些数据中心内部的操作，如新业务系统上线，系统升级等带来的网络宕机。各种安全产品、安全技术的简单堆砌并不能保证数据中心的安全，所以只有在安全策略的指导下，建立有机的、智能化的安全防范体系，才能有效地保障校园数据中心的关键业务和关键数据的安全［2］。

2高校数据中心信息安全建设的主要内容

2．1高校数据中心信息安全建设的主要技术手段

高校数据中心信息安全建设的主要技术手段有：防火墙、防病毒系统、入侵防御、漏洞扫描、CA认证、数据备份与容灾、个人桌面控制系统、监控与审计系统、不间断电源系统等。这些手段联合起来才可以确保组建成一个较为坚固的安全运行环境。

2．1．1防火墙

防火墙是信息安全体系中最重要的设备之一，对高校数据中心来说，它可以为内部办公的局域网以及外部网络提供安全屏障。它对流经的网络通信进行监测扫描，只有选择指定的网络应用协议才可以通过。另外，防火墙还强化了网络安全策略的配置和管理，对经过它的各种访问进行记录并做出日志，利用它提供的网络使用数据统计情况，当有可疑的访问发生时，能自动进行报警。我们还可以通过防火墙对内部网络进行划分，实现对内部网中的重点网段的隔离（如服务器的DMZ区），从而防止局部重点网络安全出现问题对全局网络造成伤害。

2．1．2防病毒系统、入侵防御、漏洞扫描

计算机病毒传播途径多，同时具有非授权性、隐蔽性、传染性、潜伏性、破坏性、可触发性等多重特点，杀伤力极大，不但能攻击系统数据区、文件和内存，而且还能干扰系统、堵塞网络等，单凭防火墙是无法保证数据中心的信息安全的，因此，部署防病毒系统、入侵检测（防御）、漏洞扫描是很有必要的。我们在网络中部署网络杀毒软件，定期对内网中所有服务器和客户端进行杀毒，并实时更新病毒库。还需要在网络入口处部署入侵防御系统，阻止各种尝试性闯入、伪装攻击、系统渗透、泄露、拒绝服务和恶意使用等各种手段的入侵。部署漏洞扫描系统就是每天定期扫描网络和操作系统中可能存在的漏洞，并立即告警，及时打补丁，把各种攻击消灭在萌芽状态。

2．1．3CA认证系统（身份认证、数据传输加密、电子签名、电子公章、时间戳等）

为数据中心信息的安全考虑，尤其是机密数据的电子政务系统必须采用CA认证。CA认证可以解决网络环境中可信的身份认证，并且可以解决信息机密性、信息完整性、身份认证实体性、行为不可否认性、授权有效性等问题。只有本人凭电子钥匙经过CA认证后才能登录系统访问机密数据，数据也只有经过CA加密才能在网络中传输，数据的接收方也必须经过CA认证，所有操作必须经过电子签名并加盖时间戳。这样，通过CA认证，数据中心中的数据的安全系数就得到了极大的提高。

2．1．4数据备份与容灾

为了提高服务器的安全性和持续稳定运行，在大多数模式下可以建立服务器集群，就是集群中所有的计算机拥有一个共同的名称，这样集群内任何一个系统上运行的服务可被所有的网络客户所使用。另外要建立容灾备份系统，这是对数据做好保护至关重要的，也是保证提供正常服务的最后一道防线。一旦有影响数据安全的情况发生，可以在最短的时间内恢复受损的数据。备份的方法也很多，有手动备份、自动备份、LAN备份、双机热备等。对于海量的空间数据，在资金许可的情况下，还可以考虑利用广域网进行数据远程异地备份，建立容灾中心，来确保数据的安全。

2．2高校数据中心信息安全的制度建设

想要建设成供任何一个系统，除了要配置较为完善的技术设备、软件支持外，还要建立一个与之适用的完善、合理的规章制度。高校数据中心信息安全的制度建设过程中，必须成立校内的信息安全小组，他们的主要任务就是从整体上规范安全建设，制定数据标准，贯彻执行和完善信息安全的规章制度，并且对日常工作进行认真检查、监督和指导。在实际工作中要认真研究各种相关制度，不断的对当前制度进行更新和完善，进一步确保信息数据的安全。

2．3高校数据中心信息安全建设的其他方面

数据中心的信息安全建设除了要建设各种软件防护系统、制定完善的制度外，安全管理也是其中一个非常重要的部分。安全管理贯穿整个安全防范体系，是安全防范体系的核心。代表了安全防范体系中人的因素。为了保障数据中心信息的安全，必须要进行安全操作培训工作，而这一工作的重要前提就是做好数据中心的安全管理工作。再好的技术如果没有能够落实到位，其高水平无法真正发挥作用。所以，建设高效的数据中心信息安全系统，必须要将安全管理落实到位。安全管理不仅包括行政意义上的安全管理，更主要的是对安全技术和安全策略的管理，使用者的安全意识是信息系统是否安全的决定因素，因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分。具体实施的时候，首先对所有相关工作人员进行安全知识培训，要求所有相关人员对数据中心的安全有一个最充分全面的认识，从而在实际工作中更加主动、积极的去关注系统安全、信息安全，尽早消除各种隐患因素［3］。

3对目前高校数据中心信息安全建设的建议

3．1建立信息安全框架及安全组织机构

高校应建立信息安全框架，即制定系统安全保障方案，实施安全宣传教育、安全监管和安全服务。在大多数高校，网络信息管理中心是信息安全的主管部门和技术支持部门，身兼管理和技术两项职能，但学校往往赋予网络中心的只有技术支持的职能，没有真正意义上的管理职能，出现安全事故只解决技术问题，遗留的很多问题得不到明确的解决。因此，高校还应该建立专门负责信息安全管理的组织机构，该组织机构由学校主要领导负责，并由技术部门和管理部门的人员构成，其中包括网络中心的负责人，并由网络中心负责各部门间的协调和联络，制定安全政策和策略以及一系列体现安全政策的规章制度并监督执行，真正的发挥这类机构的作用。另外应该重视网络中心的人员配置情况，引进高层次的技术人才和管理人才，分别负责网络建设、管理和维护、信息资源建设、信息安全治理等工作，做到分工明确、责任到人，这样才能切实地提高数据中心的信息安全。

3．2加强信息安全的思想认识培养，树立信息安全意识

网络信息管理中心要充分发挥其管理职能，与学校保卫处、学工部、校团委等相关部门协调配合，积极在全校范围内开展有关信息安全的宣传活动，邀请信息安全方面的专家对师生、员工进行安全培训，定期举行关于信息安全的学术报告，将一些信息安全的实际案例放到中心、校园网站等等，加强对师生、员工的安全教育，将安全意识扩展为一种氛围，努力提高和强化校内的信息安全观念意识，确立信息安全管理的基本思想与策略，加快信息安全人才的培养。这就从强制性的安全策略转换为自主接受的安全策略文化，当然这也是实现信息安全目标的基本前提。

3．3确保信息安全得到成熟有效的技术保证，定期进行信息安全审核和评估

环境的不断变化决定了信息安全工作的性质是长期的、无尽头的，因此要求使用的安全产品在技术上必须是成熟的、有效的。对于高校数据中心信息安全，从技术角度来说，主要涉及到网络通信系统的保密与安全、操作系统与数据库平台的安全、应用软件系统的安全等三个方面。所以必须对网络系统进行科学的安全分析，结合具体应用，将上述三个方面密切结合，在网络信息系统中建立了一整套安全机制，实现从外到内的安全防护。另外，必须定期的对学校的信息安全过程进行严格的审核，并对学校的信息安全进行新的风险分析和风险评估，制定适合现状的信息安全策略。

4结语

校园数据中心是校园信息系统的核心枢纽，数据中心的信息安全保障体系应是一个包含安全政策法规、标准规范、组织管理、技术保障、基础设施、人才培养的多层次、全方位的系统。，充分利用现代社会先进的安全保护技术和高水平的安全管理技术对数据中心进行全面改造和升级，真正提高高校数据中心信息安全系数，同时，积极促进行业整体信息化应用水平的全面提高，为信息化发展保驾护航。

作者:邵美科 单位:东北财经大学

主要参考文献: