网络数据存储的安全性与传输过程网络安全仅供参考Word格式文档下载.docx
《网络数据存储的安全性与传输过程网络安全仅供参考Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络数据存储的安全性与传输过程网络安全仅供参考Word格式文档下载.docx(5页珍藏版)》请在冰豆网上搜索。
在传统的数据信息存储架构上,信息存储装置多是个别依附在服务器里面的信息孤岛,若要存取某台服务器里面的信息,必须通过区域网络及该台服务器,这样既占据区域网络的带宽,又浪费服务器CPU的资源.如果要在不同应用程序之间共享数据,还必须从独立的信息存储设备中,将数据复制到另外的信息存储设备.这造成了数据使用上的时间差.从商业角度来看,时间差使得做决策的人,必须依照不正确和不即时的信息作决策.另外,管理分散在各地的数据储存系统,也是一个耗费人力的过程.特别是在不同信息存储产品彼此间的整合性不高,使用者界面亦不尽相同.此外,传统的数据信息存储架构是与所支持的应用程序密切结合的,当应用程序有所更动时,数据信息存储架构必须随之调整.因此建立一个具有可伸缩性的、连续可用的、跨平台的、能够提供多种信息处理系统的连接、信息保护、管理、分享的企业信息存储系统,并使之成为网络上的一种公用设施,成为了企业整体战略的重要组成部分.显然,传统的数据信息存储架构面对这样的要求已显得力不从心.随着数字地球、数字图书馆、生物信息工程、电子商务等数字工程的进展,数字信息与日俱增,且存储管理日益复杂;
网络存储技术应运而生,并朝着3I(Infinitecapacity,Infiniteband,Infiniteprocessingpower,即无限的存储容量、无限的存取带宽和无限的处理能力)方向发展.网络存储技术是现代存储技术与计算机网络技术相结合的产物,他以网络技术为基础,将服务器系统的数据处理与数据存储相分离(存储子系统独立于服务器),从而实现对数据的海量存储的新技术.在日益依赖因特网的事务处理和计算环境中,网络存储就是计算机.因此,研究和应用网络存储技术对巨量数字资源的存储、备份和管理具有十分重要的意义.存储领域的一个明显趋势是:
存储速度持续提高,存储容量不断增大,单位存储成本日益降低,存储体系结构也更加完善和复杂;
与此同时,企业却发现存储环境越来越难以管理,设备得不到充分的利用.不断提高的硬件性能并不能有效地解决数据安全性和可用性的问题.这表明存储管理所面临着巨大挑战和需求.
二、数据的重要性
1、数据备份的目的
数据备份是一种数据安全的策略,通过制作原始数据的拷贝,就可以在原始数据丢失或遭到破坏的情况下,利用备份的数据把原始数据恢复出来,保证系统能够正常工作.计算机系统中所有与用户相关的数据都需要备份,不仅要对数据库中的用户数据进行备份,还需备份数据库的系统数据及存储用户信息的一般文件.数据备份的目的就是数据恢复,可最大限度地降低系统风险,保护系统最重要的资源―数据.在系统发生灾难后,数据恢复能利用数据备份来恢复整个系统,不仅包含用户数据,而且包含系统参数和环境参数等.
2、数据丢失的原因
2.1自然灾难如水灾、火灾、雷击和地震等计算机所在地的自然灾难,造成的数据被破坏或系统完全瘫痪.
2.2人为原因系统治理员、一般的维护和使用人员的误操作及黑客的恶意破坏,导致数据部分或全部丢失.
2.3硬件故障计算机硬件设备出现故障,包括存储介质和传输介质的故障,导致数据丢失.
2.4软件故障操作系统本身的漏洞、数据库治理系统的代码错误及病毒感染造成的数据逻辑损坏,虽然数据仍可部分使用,但从整体上看数据是不完整、不一致或错误的,这种逻辑损坏不易被发现,当发现数据错误时,可能已无法挽回了.
3、数据备份之要素
只有充分考虑了备份方式、备份周期及时间、备份环境、异地存储方式、资源保证等方面内容后进行的备份才是应用系统真正的可靠保障,也才算为系统的灾难恢复做好了充分预备.随着医院的发展,各类数据的数据量以几何级数递增,医院越来越依靠于计算机技术来对相关数据进行处理、存储.虽然现在各种硬件设备的稳定性越来越高,但是因为系统、设备本身的问题或外界因素导致计费数据丢失的可能性仍然存在.而数据丢失会使医院业务瘫痪,造成无法挽回的损失.因此,如何保证数据的安全就成为一个必须要充分重视的问题.数据备份涉及的内容非常广泛,具体包括备份方式、备份周期及时间、备份环境、异地存储方式、资源保证等.
3.1备份方式的选择这里先介绍一下有关备份与恢复的定义.所谓备份就是指将各种主机、数据库中存储的重要数据备份到其他介质中.所谓恢复是指当这些运行业务的主机、数据库发生故障后,将相应的备份数据恢复至原主机、数据库等设备上,从而保障业务的继续开展.现在一般均采用备份软件对数据进行备份,几乎所有的备份软件现在均支持两种备份方式:
全备份与增量备份.所谓全备份就是将某时刻所有指定数据全部备份下来,而增量备份就是备份上次全备份之后到开始增量备份时刻所有指定数据中发生变化的数据.增量备份是在全备份基础上进行的备份,正因为增量备份基于全备份,所以增量备份的恢复也必须基于全备份.现将全备份、增量备份优缺点对比如下.
3.1.1全备份的优点可靠性较高:
如发生灾难后需恢复哪个全备份的数据,只要直接恢复即可,不需考虑其他数据的影响.恢复时间短:
只要将需要恢复的全备份数据直接恢复即可,不需要考虑其他数据的影响.
3.1.2全备份的缺点备份时间长:
因为要将指定数据全部备份,所以备份时间较长.占用资源多:
因备份本身将耗用主机系统的CPU、内存、IO等设备资源,所以备份时间越长,占用系统资源越多,同时对备份介质的占用量也较大.
3.1.3增量备份的优点备份时间短:
因只备份增量数据,相对备份时间较短.
三、数据存储安全
企业关键数据丢失会中断企业正常商务运行,造成巨大经济损失.因此需要建立数据安全策略或灾难恢复计划,保证关键数据的安全性,确保业务的连续性.
数据存储
目前,数据存储解决方案主要采用网络附加存储NAS(NetworkAttachedStorage)和存储区域网络SAN(StorageAreaNetwork)两类实现方式,它们都是在DAS的基础上发展起来的,是新型数据存储模式中的两个主要发展方向.存储区域网络(SAN)可以定义为是以数据存储为中心,采用可伸缩的网络拓扑结构,通过具有高传输速率的光通道的直接连接方式,提供SAN内部任意节点之间的多路可选择的数据交换,并且将数据存储管理集中在相对独立的存储区域网内.在多种光通道传输协议逐渐走向标准化并且跨平台群集文件系统投入使用后,SAN最终将实现在多种操作系统下,最大限度的数据共享和数据优化管理,以及系统的无缝扩充.网络附加存储设备(NAS)是一种专业的网络文件存储及文件备份设备,或称为网络直联存储设备、网络磁盘阵列.一个NAS里面包括核心处理器,文件服务管理工具,一个或者多个的硬盘驱动器用于数据的存储.NAS可以应用在任何的网络环境当中.主服务器和客户端可以非常方便地在NAS上存取任意格式的文件,主要包括NFS格式(Unix,Linux)和CIFS格式(Windows)等等.NAS系统可以根据服务器或者客户端计算机发出的指令完成对内在文件的管理.其特性还包括:
独立于操作平台,不同类的文件共享,交叉协议用户安全性/许可性,浏览器界面的操作/管理以及不会中断网络的增加和移除服务器.
数据存储层
数据存储在服务器或加密终端上,数据存储的安全性是系统安全性的重要组成部分.对数据的安全保护措施可以采用以下几种方式:
1、使用较安全的数据库系统:
目前的大多数数据库系统是基于C2安全等级的.使用时,应尽量使用C2级安全措施及功能.在重要的系统中,在B级操作系统的基础上采用B级数据库系统.
2、加密技术:
对于要求保密的数据,采用加密的方法进行存储.加密存储可以通过连接在服务器或终端机上的加密机完成.
3、数据库安全扫描:
采用安全扫描软件对数据库进行扫描和检测,为数据库管理系统找出存在的漏洞,以便及时升级系统、弥补漏洞.
4、存储介质的安全:
可以通过磁盘镜像,磁盘双工、RAID技术等数据维护技术,再配合磁盘备份、光盘备份等技术来做到不会因某个硬盘的损坏而导致系统崩溃、数据丢失等灾难发生
四、数据传输安全
传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯.对数据传输安全可以采取如下措施:
(1)加密与数字签名
任何良好的安全系统必须包括加密!
这已成为既定的事实.网络上的加密可以分为三层:
第一层为数据链路层加密,即将数据在线路传输前后分别对其进行加密和解密,这样可以减少在传输线路上被窃取的危险;
第二层是传输层的加密,使数据在网络传输期间保持加密状态;
第三层是应用层上的加密,让网络应用程序对数据进行加密和解密.当然可以对这三层进行综合加密,以增强信息的安全性和可靠性.
数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现.
(2)防火墙
防火墙(Firewall)是Internet上广泛应用的一种安全措施,它可以设置在不同网络或网络安全域之间的一系列部件的组合.它能通过监测、限制、更改跨越防火墙的数据流,尽可能地检测网络内外信息、结构和运行状况,以此来实现网络的安全保护.
(3)UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密.
(4)使用摘要算法的认证
Radius(远程拨号认证协议)、OSPF(开放路由协议)、SNMPSecurityProtocol等均使用共享的SecurityKey(密钥),加上摘要算法(MD5)进行认证,但摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的securitykey,所以敏感信息不能在网络上传输.市场上主要采用的摘要算法主要有MD5和SHA-1.
(5)基于PKI的认证
使用PKI(公开密钥体系)进行认证和加密.该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来.这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域.该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务.
(6)虚拟专用网络(VPN)技术
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性.
VPN技术的工作原理:
VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听.其处理过程大体是这样:
①要保护的主机发送明文信息到连接公共网络的VPN设备;
②VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过.
③对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名.
④VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数.
⑤VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输.
⑥当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密.
对于计算机网络传输的安全问题,我们必须要做到以下几点.第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现.第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器.一方面,可以实现对上网用户帐号的统一管理;
另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性.第三,在数据传输过程中采用加密技术,防止数据被非法窃取.一种方法是使用PGPforBusinessSecurity对数据加密.另一种方法是采用NetScreen防火墙所提供的VPN技术.VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性.
六、网络安全的防护措施
在当今网络化的世界中,网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如数据被人窃取、服务器不能提供服务等等.随着信息技术的高速发展,网络安全技术也越来越受到重视,由此推动了物理措施、防火墙、访问控制、数据加密、病毒的防护等各种网络安全的防护措施蓬勃发展.
物理措施:
比如,保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源等措施.
防火墙:
目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击.隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问对专用网络的非法访问.
访问控制:
对用户访问网络资源的权限进行严格的认证和控制.
数据加密:
对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息.
病毒的防护:
在企业培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵.
其他措施:
其他措施包括信息过滤、容错、数据镜像、数据备份和审计等.近几年来,都是围绕网络安全问题提出了许多解决办法,例如数据加密技术、防火墙技术安、安全审计技术、安全管理技术、系统漏洞检测技术等等.
目前市场普遍被采用的网络安全技术有:
主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术.但是,有了安全技术还是远远不够,许多网络安全事件的发生都与缺乏安全防范意识有关,所以,我们要有网络安全防范意识并建立起相应的安全机制(比如:
加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、信息流填充机制、路由控制机制、公正机制等)就可以使网络安全得到保障.
七、结束语
在网络信息化时代,网络安全已越来越受重视了.虽然现在用于网络安全防护的产品有很多,但是黑客他们仍然无孔不入,对社会造成了严重的危害.根本原因是网络自身的安全隐患无法根除,这就使得黑客进行入侵有机可乘.尽管如此,随着网络安全技术日趋完善,降低黑客入侵的可能性,使网络信息安全得到保障.如何把握网络技术给人们带来方便的同时,又能使信息安全得到保证,这将是我们培养新一代网络管理人员的目标.
参考文献:
[1]张民、徐跃进,网络安全实验教程,清华大学出版社,2007,6.
[2]蔡立军.计算机网络安全技术[M].北京:
中国水利水电出版社,2005.
[3]张嘉宁.网络防火墙技术浅析[J].通信工程.2004(3).
[4]殷伟,计算机安全与病毒防治[M].合肥:
安徽科学技术出版社,2004.8(3):
34-35.
[5]王浩VPN(虚拟专用网)技术浅析[期刊论文]-哈
升级会员 