網絡安全為主應用安全為輔的時代要求

申請免費試用、咨詢電話：400-8352-114

上，把建設重點由以網絡安全為主應用安全為輔轉入以應用安全為主網絡安全為輔的階段?！币?、信息安全隱患分析我們可以從信息在網絡系統中的存儲、處理、傳輸和用戶對這些信息的訪問活動等方面來分析這些信息潛在的安全威脅。 　　數據庫數據和文件的明文存儲：電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。這些以明文形式存儲的信息存在泄漏的可能，因為拿到存儲介質的人可以讀出這些信息；黑客可以繞過操作系統、數據庫管理系統的控制獲取這些信息；系統后門使軟硬件系統制造商很容易得到這些信息… 　　信息的明文傳輸：現代應用系統一般采用C/S（客戶/服務器）或B/S（瀏覽器/服務器）結構，都在網絡上運行，所處理的信息也必須在網絡主機間頻繁傳輸。在電力行業(yè)的計算機網絡系統中，信息傳輸基本上是明文方式。偶有采用SSL（安全套接字層）等加密傳輸的，但由于外國安全系統出口的限制，所能夠用到的SSL是低安全級別的。這些明文或只受到低安全保護的信息在網絡上傳輸，不具有信息安全所要求的保密、完整和發(fā)送方的不可抵賴性要求。 　　弱身份認證：電力行業(yè)應用系統基本上基于商用軟硬件系統設計和開發(fā)，用戶身份認證基本上采用基于口令的鑒別模式，而這種模式很容易被攻破。有的應用系統還使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數據庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高，信息敏感性不斷增強的今天不能再用了。 　　二、安鼎信息安全增強解決方案信息安全解決方案應該全面考慮信息存儲、傳輸、處理和訪問等各環(huán)節(jié)的安全要求，使信息安全方案沒有攻擊者可以利用的安全薄弱環(huán)節(jié)。 　　按照信息安全全面性要求原則，信息安全方案必須包括如下組成部分： 　　安全的身份認證：安全的身份認證是安全的第一步，不安全的身份認證可能造成用戶假冒，使其它安全措施失去作用。 　　通信安全：采用數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護，實現數據在通信中的保密、完整和不可抵賴性安全要求。 　　文件安全：通過文件加密、信息摘要和訪問控制等安全措施，來實現文件存儲和傳輸的保密和完整性要求，并實現對文件訪問的控制。 　　數據庫安全：通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性，并實現數據庫數據的訪問安全。 　　安全審計：通過記錄審計信息來為信息安全問題的分析和處理提供線索。 　　安鼎公司針對信息安全的要求，結合自身技術特點開發(fā)出了有關身份認證、通信安全、文件安全、數據庫安全等的信息安全產品，并在這些產品中集成了審計功能。 　　1、安鼎KDC安鼎KDC（Key Distribution Center）是Kerberos第5版的實現和增強，可以為企業(yè)提供集中的用戶管理、服務管理和通信安全服務。其功能包括： 　　用戶管理票據授權服務應用服務管理服務器票據管理用戶鑒別安全審計安鼎KDC不但可以和安鼎其他安全產品集成使用，也可以和支持Kerberos的其他產品集成，如Oracle 8i等。 　　安鼎KDC提供了調用接口（API），用戶可以在應用中調用KDC的安全功能。 　　安鼎KDC使“一次登錄”成為可能，即用戶在使用所有可以訪問的數據和系統時只需要登錄一次。 　　2、安鼎安全通信代理安鼎除在自己的信息安全產品中包含了通信安全功能外，還為不具備通信安全的系統提供了一個可配置的通信安全解決方案，即安鼎安全通信代理。 　　安鼎安全通信代理包括客戶端和服務器兩部分。 　　安全代理結構通信安全代理客戶端運行在應用系統客戶機上。當客戶機要向服務器發(fā)送信息時，信息不直接發(fā)送到服務器，而是發(fā)送到通信安全代理客戶端。客戶端將信息加密后發(fā)送到通信安全代理服務器。通信安全代理服務器將請求脫密后發(fā)給真正的服務器并獲取返回的內容，將返回內容加密并返回給通信安全代理客戶機。通信安全代理客戶機將通信安全代理服務器返回的內容脫密并返回給請求者。 　　通信安全代理客戶端與服務端之間的通信過程采用一次會話一個密鑰的動態(tài)密鑰加密方式，并通過會話標識、請求序號、完整性校驗碼等來實現防重放、防篡改。 　　3、安鼎文件保密柜安鼎文件保密柜可分為企業(yè)文件保密柜和個人文件保密柜兩種。 　　安鼎企業(yè)文件保密柜安鼎企業(yè)文件保密柜包括文件柜服務器和文件柜客戶機，功能包括： 　　文件加密存儲：文件以加密的形式存儲在文件柜中，防止文件內容的泄漏。 　　文件傳輸加密：文件從服務器傳輸到客戶機過程中采用加密保護措施。 　　訪問控制：企業(yè)文件柜允許多用戶共享文件，企業(yè)文件柜提供訪問控制功能，防止文件的非授權訪問。 　　安全審計：記錄用戶對文件的訪問，提供安全審計記錄查詢功能。 　　文件查詢：可以根據查詢條件來查找相關的文件，包括全文查找。 　　文件組織與管理：以層次形式顯示和組織文件，支持文件在層次結構中的拖動。 　　安鼎個人文件保密柜安鼎個人文件保密柜功能包括： 　　加密存儲：文件以加密的形式存儲在文件柜中，防止文件內容的泄漏。 　　文件查詢：可以根據查詢條件來查找相關的文件，包括全文查找。 　　文件組織與管理：以層次形式顯示和組織文件，支持文件在層次結構中的拖動。 　　作為企業(yè)文件保密柜客戶機使用。 　　安鼎文件保密柜的特點安全：采用182位密鑰長度加密，且不同文件采用不同密鑰。 　　全文查找：自主研制的加密算法支持快速全文查找功能。 　　多平臺支持：支持Unix / Linux / Microsoft OS。 　　操作方便：支持右鍵和拖放操作。 　　支持二次開發(fā)：通過編程接口支持二次開發(fā)。 　　4、安鼎數據庫加密系統安鼎數據庫加密系統包括數據庫加密服務器、安鼎ODBC驅動器、安鼎JDBC驅動器和一個工具集。 　　數據庫安全體系結構安鼎數據庫加密系統能夠適應C/S和B/S兩種應用形式。 　　數據庫安全C/S模式系統結構在C/S模式應用系統中，客戶端應用（包括開發(fā)工具）與安鼎ODBC驅動器交互來訪問數據庫加密系統服務器。 　　數據庫安全B/S模式系統結構在B/S模式系統中，瀏覽器與Web服務器采用Http進行交互。為解決瀏覽器與Web服務器間的通信安全問題，采用代理技術來實現瀏覽器與Web服務器間的通信安全。在瀏覽器中使用代理功能，將請求發(fā)往本機的安全代理客戶端，安全代理客戶端將請求加密后發(fā)往安全代理服務器。安全代理服務器依次脫密請求、將請求交給Web服務器、獲取Web服務器返回內容、加密返回內容、發(fā)送加密后的內容到安全代理客戶端。安全代理客戶端脫密返回的內容并交給瀏覽器。瀏覽器則將內容顯示出來。 　　數據庫加密服務器數據庫加密服務器主要由服務管理、SQL執(zhí)行引擎、數據字典管理、DBMS訪問接口、數據備份與恢復、其他系統服務等模塊組成。從客戶端來的請求首先交給服務管理模塊，服務管理模塊將請求分派到實際的服務模塊執(zhí)行。 　　有關密文數據訪問的請求交給SQL執(zhí)行引擎。SQL執(zhí)行引擎對到來的SQL進行詞法和語法分析。通過了詞法、語法檢查SQL請求在SQL執(zhí)行引擎中形成執(zhí)行計劃并被執(zhí)行。在SQL執(zhí)行過程中會調用數據加密功能對寫入數據庫的數據進行加密，對從數據中取出的數據進行脫密。 　　安鼎ODBC驅動器安鼎ODBC驅動器符合Micr