|
|
|
网络安全与数据安全
1. 应解决的问题
(1)、网上黑客或恶意入侵者通过Internet对单位内部数据的破坏;单位内部人员有意或无意对单位重要数据的损害、泄密等。
(2)、各种病毒对单位数据造成巨大的危害。
(3)、系统崩溃或意外灾害造成单位数据全部丢失。
2. 数据加密
 我们的系统经过改进,可以具有能够用于军方的高安全性。由于拥有源代码,我们可以在数据压缩、信息加密,数据处理等核心算法上采用自己的代码,甚至可以使用用户提供的算法。同时,在系统框架上,该系统的每一个客户端拷贝均需经过软件License、站点地址限制以及用户权限三级安全检查方可连入系统。所有的保密信息传输均使用安全的通道。同时,该系统具有多级用户权限以及系统日志功能。在使用公共网络时,我们可以提供黑客入侵检测功能,具有一定权限的用户也可以随时切断不受欢迎的站点之连接。
返回顶部
License认证:.
我们使用客户端License来保证客户端仅可在指定的计算机上运行。系统使用加密的通道传送DSN等安全信息。为了防止黑客入侵,系统DSN不定期改动。客户端程序通过向服务器提交自己的License来判别身份。服务器端的认证程序依此进行判断,对于合法的身份,系统将发给客户正确的DSN标识。先读T_License表,检查软件序列号是否重复。在数据库中生成新记录。然后生成两组密钥对(Key1a,
Key1b)和(Key2a,Key2b),其中Key1b可由某函数从Key1a求得: 。其中MAC为客户机的网卡MAC地址。Key2a与Key2b分别为RSA算法的一对私、公密钥。
将Key1a, Key2a写入注册表,将Key1b, Key2b写入数据库T_License表。利用DES算法,加密DSN,写入T_License表[
]。
我们的系统具有自主的低层源代码。这使得我们可以灵活的采用自己的加密技术与数据压缩技术,以及根据最终用户的需要增加特定的功能。而市面上常见的系统大多基于PowerBuilder等通用软件,灵活性较差。
3. 防火墙
网络的安全问题已成为全球对于Internet研究的热点问题之一。随着计算机网络在我国的迅速发展,特别是与国际计算机网络互连之后,网络系统的安全问题在我国也是越来越受到重视。提高Internet的网络安全性已成为我们国家走向信息化的首要任务之一。
Internet在给人类社会带来巨大利益的同时,也带来了许多消极的因素,比如在Internet上黑客泛滥,并存在着很多过激的思想、反动的言论以及黄色信息等,为了对非法的访问进行控制,同时有效地过滤网络上的不良信息,很有必要采用安全、高效专用防火墙系统。
返回顶部
在内部网没有连接到internet时,并不能认为就没有安全问题,这时,有必要建立一个局部安全区。
网络安全的隐患不仅仅来自外部网络,事实上在对企业或政府部门中数据的丢失或服务器的破坏多数是由内部人员造成的,因此即使用户的网络没有连接到Internet,也应该对内部的关键业务部门的网络进行保护。
对于区政府,其由多个部分构成,由于各自的职责不同,安全等级也不同,例如其中的机要保密局的信息安全的重要性就要比其它部门高,所以应该对其所属网络进行严格的划分,使用防火墙对部门网络进行分割和保护,NetEye可以在任意的网络链路进行分割,因此可以将同属于一个子网的计算机划分成若干独立的部分而不需要改变路由设置。
划分后的网络之间的通信将可以由管理员进行严格的限制,可以使某些内部的重要主机对其他部门完全隐蔽。这种分割方式可以非常有效地防范内部网上各种攻击手段,比如常被用来在内部网上偷听重要信息(如登陆口令)的Sniffer工具等。
典型的连接方式如下图所示:
同部门网络的划分类似,在有的部门中,某一个别主机系统往往具有特别重要的地位,比如执行关键任务的服务器、保存大量关键数据或资料的数据库系统等。这些个别主机上的数据的丢失或系统被破坏将对各单位造成无法挽回的损失。因此利用NetEye防火墙对关键主机进行隔离和保护,并对出入该服务器的数据进行监控是十分必要的。这种方式可以防止绝大多数的攻击手段。
返回顶部
4.网络防病毒
保护今天各种网络免遭不断增长的计算机病毒和恶意代码的威胁决非一项简单的工作。
现在的病毒有40,000多种,加之每个月新产生的300多种病毒,因此对于企事业单位来说,保护有价值的数据不受病毒的攻击已迫在眉睫。
过去,计算机病毒主要靠被感染的软盘传播,因此在每个工作站上安装反病毒软件就可容易地保护你的系统。但随着分布式计算的增长(伴随多种新技术,例如驻留文档宏、强大的群件环境和Internet)已经形成更多需要保护的入口点。
优秀的防病毒软件能从四个方面对病毒进行防护:
(1)、 PC桌面防病毒
可以在新病毒造成损害前将其检测出来并清除掉,也可以衍生检测发现现存危险病毒的新变异。而且能检测出高级加密病毒。它的综合检测和清除技术涉及所有的病毒源,包括软盘、Internet下载、e-mail附件、网络、共享文件、CD-ROM和在线服务。
由于病毒不断变化,而且每天又有来自新病毒的威胁,反病毒紧急响应小组作后盾。研究小组一旦发现新病毒,就向用户提供检测和清除文件并进行自动更新。
(2)、服务器防病毒
在服务器级检测并清除病毒,使得技术支持中心人员可以集中精力协助雇员们完成日常工作,而不必与病毒爆发作战,因而减少了公司的操作费用。服务器通过向其他用户储存和转发文件来保护信息流动性。用于清除网络服务器级的病毒感染的费用是相当惊人的。
(3)、群件平台防病毒
采用e-mail讨论及数据库和工作流技术的应用改善了通讯并提高了生产率,这就是TOTEMIC办公系统提供的“群件”方案。然而不幸的是这些环境也容易通过整个工作组或结构迅速地传播病毒。
一般传统的反病毒产品不能扫描专用数据库内部和群件环境使用的通讯方法。群件防病毒为您带来用于群件服务器的检测和清除技术,可在病毒被用户分发或传递前将其阻止,防止病毒传播。
(4)、网关防病毒
据统计,去年企业用户感染的所有病毒中,有超过20%的病毒与Internet下载有关。此外,还有26%的病毒是通过电子邮件附件进入企业网络的。Internet大大地加快了病毒在世界范围内的传播速度,并且使很多公司陷于瘫痪。
网关防病毒在Internet网关上对任何一个最可能的病毒进入点提供全面的病毒保护;可在信息经过和下载发生时实时扫描,并可根据配置自动地清除,隔离,或删除发现的病毒.。
返回顶部
5. 网络数据备份
随着信息化建设的深入,政府内部网上的信息将越来越丰富,政府各部门数据对领导决策及社会发展将起到越来越重要的作用,一旦由于意外而丢失数据,将造成巨大的损失。
导致数据失效的原因
A类:计算机软硬件故障
发生概率:对于某一企业,发生可能性最大,也最频繁,是经常发生的一类故障;
预防方法:本地双机热备,实现系统冗余,增强业务系统的高可用性。
B类:人为操作故障
发生概率:对管理较严、人员素质较高的企业,偶尔发生;对管理较松、人员培训不足的企业,会经常发生;
预防方法:提高系统自动化运行管理水平,做好本地数据冷备份,减少人的操作与干预,或制定严格的管理规范,避免误操作;
发生概率:对于某一企业,随着业务的快速增长,平均每年均会发生如软、硬件升级、系统资源扩充等事件,业务增长越快的企业,发生亦越频繁;
预防方法:本地双机,系统冗余。
发生概率:对于某一企业,发生概率较小;对于全国范围,有偶然发生的必然性;
预防方法:灾难恢复中心。
据统计,还有一些原因是很难预料的:数据的偶然丢失在任何时候都可能发生;每个机构每年平均有7次系统瘫痪;重新恢复20Mb的财务数据需要21天,将花费19,000美元。
几年前我们主要采用主机内置或外置的磁带机对数据进行冷备份,这种方式在数据量不大,操作系统种类单一,服务器数量有限的情况下,不失为一种既经济又简明的备份手段。但随着企业计算机规模的扩大,数据量几何级的增长以及分布式网络环境的兴起,企业将越来越多的业务分布在不同的机器、不同的操作平台上,这种单机的人工冷备份方式越来越不适应当今分布式网络环境,存在以下种种弊端:
(1)、数据管理工作难以形成制度化,数据丢失现象难以避免;
(2)、数据分散在不同的机器、不同的应用上,管理分散,安全性得不到保障;
(3)、难以实现数据库数据的高效在线备份;
(4)、运行着的系统使得维护人员寸步难离,业务人员工作效率下降;
(5)、存储媒体管理困难,如今,用来存储数据的介质越来越多,各种不同系统下存储产生的软盘、磁带、光盘将给管理带来很大的困难;
(6)、历史数据保留比较困难;
(7)、来自非计算机系统因素的隐患,如火灾、地震等灾难后的系统重建和业务数据运作。
返回顶部
备份策略
日常备份制度描述了每天的备份以什么方式、使用什么备份介质进行,是系统备份方案的具体实施细则。在制订完毕后,应严格按照制度进行日常备份,否则将无法达到备份方案的目标。数据备份有多种方式:全备份、增量备份、差分备份、按需备份等。
全备份所需时间最长,但恢复时间最短,操作方便,当系统中数据量不大时,采用全备份最可靠;但是随着数据量的不断增大,我们将无法每天做全备份,而只能在周末进行全备份,其它时间我们采用所用时间更少的增量备份或采用介于两者之间的差分备份。各种备份的数据量不同:全备?gt;差分备份>增量备份。在备份时要根据它们的特点灵活使用。
灾难恢复
灾难恢复措施在整个备份制度中占有相当重要的地位。因为它关系到系统在经历灾难后能否迅速恢复。灾难恢复操作通常可以分为两类。第一类是全盘恢复,第二类是个别文件恢复,还有一种值得一提的是重定向恢复。
为了防备数据丢失,我们需要做好详细的灾难恢复计划,同时还要定期进行灾难演练。每过一段时间,应进行一次灾难演习。可以利用淘汰的机器或多余的硬盘进行灾难模拟,以熟练灾难恢复的操作过程,并检验所生成的灾难恢复软盘和灾难恢复备份是否可靠。
6. 灾难数据恢复工具
各种类型的数据文件是我们保存在计算机上的巨大财富,而数据文件丢失一直是困扰IT从业人员的梦魇。病毒、误操作和存储介质故障等不可预知的潜在危险时刻都在威胁着我们的重要数据文件的安全,再周密和谨慎的数据备份工作都不可能为我们的数据文件提供实时、完整的保护。因此,灾难数据恢复工具是IT人员的必备工具之一,而全球领先的灾难数据恢复工具FinalData以其强大、快速的恢复功能和简便易用的操作界面成为IT专业人士的首选工具。
返回顶部
FinalData具有强大的数据恢复功能
当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读,以及磁盘格式化造成的全部文件信息丢失之后,FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息(包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等),用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后,专业版FinalData也可以将剩余部分文件恢复出来。
FinalData的操作简便易用。
安装向导可以帮助用户自动完成安装(除了提供产品序列号和安装目录外无需用户其他干预),甚至不经过安装也可以通过点击安装光盘上的执行程序直接运行FinalData来进行数据文件恢复。类似Windows资源管理器的用户界面和操作风格使Windows用户几乎不需要培训就可以完成简单的数据文件恢复工作。用户既可以(通过通配符匹配)快速查找指定的一个或者多个文件,也可以一次完成整个目录及子目录下的全部文件的恢复(保持目录结构不变)。
网络恢复功能
高版本的FinalData软件可以通过TCP/IP网络协议对网络上的其他计算机上丢失的文件进行恢复,从而为整个网络上的数据文件提供保护。在目标机器上拷贝和运行一个代理程序后用户可以从本地计算机的FinalData界面上打开一个网络驱动器,输入目标机IP地址和口令字(由客户机设置)后,余下的操作就象在本地机上进行数据恢复一样简便。代理程序可以在Windows和DOS等环境下运行,即使目标机器丢失了重要的系统文件导致Windows操作系统不能正常启动,用户也可以在DOS环境下通过FinalData的网络恢复功能完成数据文件的恢复。
返回顶部
|
|
