網(wǎng)絡(luò)安全為主應(yīng)用安全為輔的時代要求
申請免費試用、咨詢電話:400-8352-114
上,把建設(shè)重點由以網(wǎng)絡(luò)安全為主應(yīng)用安全為輔轉(zhuǎn)入以應(yīng)用安全為主網(wǎng)絡(luò)安全為輔的階段?!币弧⑿畔踩[患分析我們可以從信息在網(wǎng)絡(luò)系統(tǒng)中的存儲、處理、傳輸和用戶對這些信息的訪問活動等方面來分析這些信息潛在的安全威脅。
數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲:電力系統(tǒng)計算機網(wǎng)絡(luò)中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護的數(shù)據(jù)庫中或操作系統(tǒng)文件中。這些以明文形式存儲的信息存在泄漏的可能,因為拿到存儲介質(zhì)的人可以讀出這些信息;黑客可以繞過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息…
信息的明文傳輸:現(xiàn)代應(yīng)用系統(tǒng)一般采用C/S(客戶/服務(wù)器)或B/S(瀏覽器/服務(wù)器)結(jié)構(gòu),都在網(wǎng)絡(luò)上運行,所處理的信息也必須在網(wǎng)絡(luò)主機間頻繁傳輸。在電力行業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)中,信息傳輸基本上是明文方式。偶有采用SSL(安全套接字層)等加密傳輸?shù)?,但由于外國安全系統(tǒng)出口的限制,所能夠用到的SSL是低安全級別的。這些明文或只受到低安全保護的信息在網(wǎng)絡(luò)上傳輸,不具有信息安全所要求的保密、完整和發(fā)送方的不可抵賴性要求。
弱身份認(rèn)證:電力行業(yè)應(yīng)用系統(tǒng)基本上基于商用軟硬件系統(tǒng)設(shè)計和開發(fā),用戶身份認(rèn)證基本上采用基于口令的鑒別模式,而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用自己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中,這種脆弱的安全控制措施在操作人員計算機應(yīng)用水平不斷提高,信息敏感性不斷增強的今天不能再用了。
二、安鼎信息安全增強解決方案信息安全解決方案應(yīng)該全面考慮信息存儲、傳輸、處理和訪問等各環(huán)節(jié)的安全要求,使信息安全方案沒有攻擊者可以利用的安全薄弱環(huán)節(jié)。
按照信息安全全面性要求原則,信息安全方案必須包括如下組成部分:
安全的身份認(rèn)證:安全的身份認(rèn)證是安全的第一步,不安全的身份認(rèn)證可能造成用戶假冒,使其它安全措施失去作用。
通信安全:采用數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護,實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。
文件安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸?,并實現(xiàn)對文件訪問的控制。
數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性,并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。
安全審計:通過記錄審計信息來為信息安全問題的分析和處理提供線索。
安鼎公司針對信息安全的要求,結(jié)合自身技術(shù)特點開發(fā)出了有關(guān)身份認(rèn)證、通信安全、文件安全、數(shù)據(jù)庫安全等的信息安全產(chǎn)品,并在這些產(chǎn)品中集成了審計功能。
1、安鼎KDC安鼎KDC(Key Distribution Center)是Kerberos第5版的實現(xiàn)和增強,可以為企業(yè)提供集中的用戶管理、服務(wù)管理和通信安全服務(wù)。其功能包括:
用戶管理票據(jù)授權(quán)服務(wù)應(yīng)用服務(wù)管理服務(wù)器票據(jù)管理用戶鑒別安全審計安鼎KDC不但可以和安鼎其他安全產(chǎn)品集成使用,也可以和支持Kerberos的其他產(chǎn)品集成,如Oracle 8i等。
安鼎KDC提供了調(diào)用接口(API),用戶可以在應(yīng)用中調(diào)用KDC的安全功能。
安鼎KDC使“一次登錄”成為可能,即用戶在使用所有可以訪問的數(shù)據(jù)和系統(tǒng)時只需要登錄一次。
2、安鼎安全通信代理安鼎除在自己的信息安全產(chǎn)品中包含了通信安全功能外,還為不具備通信安全的系統(tǒng)提供了一個可配置的通信安全解決方案,即安鼎安全通信代理。
安鼎安全通信代理包括客戶端和服務(wù)器兩部分。
安全代理結(jié)構(gòu)通信安全代理客戶端運行在應(yīng)用系統(tǒng)客戶機上。當(dāng)客戶機要向服務(wù)器發(fā)送信息時,信息不直接發(fā)送到服務(wù)器,而是發(fā)送到通信安全代理客戶端??蛻舳藢⑿畔⒓用芎蟀l(fā)送到通信安全代理服務(wù)器。通信安全代理服務(wù)器將請求脫密后發(fā)給真正的服務(wù)器并獲取返回的內(nèi)容,將返回內(nèi)容加密并返回給通信安全代理客戶機。通信安全代理客戶機將通信安全代理服務(wù)器返回的內(nèi)容脫密并返回給請求者。
通信安全代理客戶端與服務(wù)端之間的通信過程采用一次會話一個密鑰的動態(tài)密鑰加密方式,并通過會話標(biāo)識、請求序號、完整性校驗碼等來實現(xiàn)防重放、防篡改。
3、安鼎文件保密柜安鼎文件保密柜可分為企業(yè)文件保密柜和個人文件保密柜兩種。
安鼎企業(yè)文件保密柜安鼎企業(yè)文件保密柜包括文件柜服務(wù)器和文件柜客戶機,功能包括:
文件加密存儲:文件以加密的形式存儲在文件柜中,防止文件內(nèi)容的泄漏。
文件傳輸加密:文件從服務(wù)器傳輸?shù)娇蛻魴C過程中采用加密保護措施。
訪問控制:企業(yè)文件柜允許多用戶共享文件,企業(yè)文件柜提供訪問控制功能,防止文件的非授權(quán)訪問。
安全審計:記錄用戶對文件的訪問,提供安全審計記錄查詢功能。
文件查詢:可以根據(jù)查詢條件來查找相關(guān)的文件,包括全文查找。
文件組織與管理:以層次形式顯示和組織文件,支持文件在層次結(jié)構(gòu)中的拖動。
安鼎個人文件保密柜安鼎個人文件保密柜功能包括:
加密存儲:文件以加密的形式存儲在文件柜中,防止文件內(nèi)容的泄漏。
文件查詢:可以根據(jù)查詢條件來查找相關(guān)的文件,包括全文查找。
文件組織與管理:以層次形式顯示和組織文件,支持文件在層次結(jié)構(gòu)中的拖動。
作為企業(yè)文件保密柜客戶機使用。
安鼎文件保密柜的特點安全:采用182位密鑰長度加密,且不同文件采用不同密鑰。
全文查找:自主研制的加密算法支持快速全文查找功能。
多平臺支持:支持Unix / Linux / Microsoft OS。
操作方便:支持右鍵和拖放操作。
支持
二次開發(fā):通過編程接口支持二次開發(fā)。
4、安鼎數(shù)據(jù)庫加密系統(tǒng)安鼎數(shù)據(jù)庫加密系統(tǒng)包括數(shù)據(jù)庫加密服務(wù)器、安鼎ODBC驅(qū)動器、安鼎JDBC驅(qū)動器和一個工具集。
數(shù)據(jù)庫安全體系結(jié)構(gòu)安鼎數(shù)據(jù)庫加密系統(tǒng)能夠適應(yīng)C/S和B/S兩種應(yīng)用形式。
數(shù)據(jù)庫安全C/S模式系統(tǒng)結(jié)構(gòu)在C/S模式應(yīng)用系統(tǒng)中,客戶端應(yīng)用(包括開發(fā)工具)與安鼎ODBC驅(qū)動器交互來訪問數(shù)據(jù)庫加密系統(tǒng)服務(wù)器。
數(shù)據(jù)庫安全B/S模式系統(tǒng)結(jié)構(gòu)在B/S模式系統(tǒng)中,瀏覽器與Web服務(wù)器采用Http進行交互。為解決瀏覽器與Web服務(wù)器間的通信安全問題,采用代理技術(shù)來實現(xiàn)瀏覽器與Web服務(wù)器間的通信安全。在瀏覽器中使用代理功能,將請求發(fā)往本機的安全代理客戶端,安全代理客戶端將請求加密后發(fā)往安全代理服務(wù)器。安全代理服務(wù)器依次脫密請求、將請求交給Web服務(wù)器、獲取Web服務(wù)器返回內(nèi)容、加密返回內(nèi)容、發(fā)送加密后的內(nèi)容到安全代理客戶端。安全代理客戶端脫密返回的內(nèi)容并交給瀏覽器。瀏覽器則將內(nèi)容顯示出來。
數(shù)據(jù)庫加密服務(wù)器數(shù)據(jù)庫加密服務(wù)器主要由服務(wù)管理、SQL執(zhí)行引擎、數(shù)據(jù)字典管理、DBMS訪問接口、數(shù)據(jù)備份與恢復(fù)、其他系統(tǒng)服務(wù)等模塊組成。從客戶端來的請求首先交給服務(wù)管理模塊,服務(wù)管理模塊將請求分派到實際的服務(wù)模塊執(zhí)行。
有關(guān)密文數(shù)據(jù)訪問的請求交給SQL執(zhí)行引擎。SQL執(zhí)行引擎對到來的SQL進行詞法和語法分析。通過了詞法、語法檢查SQL請求在SQL執(zhí)行引擎中形成執(zhí)行計劃并被執(zhí)行。在SQL執(zhí)行過程中會調(diào)用數(shù)據(jù)加密功能對寫入數(shù)據(jù)庫的數(shù)據(jù)進行加密,對從數(shù)據(jù)中取出的數(shù)據(jù)進行脫密。
安鼎ODBC驅(qū)動器安鼎ODBC驅(qū)動器符合Micr