前言
隨著Internet的迅速發(fā)展,信息安全問題面臨新的挑戰(zhàn)。電力系統(tǒng)信息安全問題已威脅到電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)運(yùn)行,影響著“數(shù)字電力系統(tǒng)”的實(shí)現(xiàn)進(jìn)程。研究電力系統(tǒng)信息安全問題、開發(fā)相應(yīng)的應(yīng)用系統(tǒng)、制定電力系統(tǒng)信息遭受外部攻擊時的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略是當(dāng)前信息化工作的重要內(nèi)容。電力系統(tǒng)信息安全已經(jīng)成為電力企業(yè)生產(chǎn)、經(jīng)營和治理的重要組成部分。
近年來,隨著我國電力系統(tǒng)走向市場步伐的加快,國家電力工業(yè)體制開始向市場轉(zhuǎn)變,各級供電企業(yè)紛紛建立信息系統(tǒng)和基于Internet的治理應(yīng)用,以提高勞動生產(chǎn)率,提高治理水平,加強(qiáng)信息反饋,提高決策的科學(xué)性和準(zhǔn)確性,提高企業(yè)的綜合競爭力。但是,電力企業(yè)網(wǎng)絡(luò)的發(fā)展,也面臨日益突出的信息系統(tǒng)安全問題。在電力企業(yè)的綜合信息治理系統(tǒng)中,必須從網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序和業(yè)務(wù)需求等各方面來保證系統(tǒng)的安全。
華工安鼎:系統(tǒng)安全專家
華工安鼎應(yīng)用信息系統(tǒng)本部致力于為電力企業(yè)提供最好的安全解決方案,讓各電力企業(yè)創(chuàng)造更好的社會效益和經(jīng)濟(jì)效益。多年來,華工安鼎專注于電力行業(yè),提供從網(wǎng)絡(luò)平臺到應(yīng)用系統(tǒng)的行業(yè)全面解決方案,先后在數(shù)十家電力企業(yè)中成功完成對電力行業(yè)系統(tǒng)安全解決方案的設(shè)計(jì)和實(shí)施工作,積累了廣泛的行業(yè)經(jīng)驗(yàn),深入、全面和準(zhǔn)確地把握了電力行業(yè)的需求。同時,華工安鼎擁有一大批既熟悉電力行業(yè)業(yè)務(wù)和發(fā)展現(xiàn)狀、精通系統(tǒng)安全設(shè)計(jì)、實(shí)施的技術(shù)人員,締結(jié)了一大批系統(tǒng)安全方面的合作伙伴,建立了良好的市場形象和卓越的技術(shù)實(shí)力。
多層保護(hù):實(shí)現(xiàn)電力系統(tǒng)無憂運(yùn)行
華工安鼎應(yīng)用信息系統(tǒng)本部集成了最先進(jìn)的系統(tǒng)安全技術(shù)和產(chǎn)品,提出了一整套先進(jìn)、完整、實(shí)用,完全滿足電力行業(yè)需求的系統(tǒng)安全解決方案,主要包括網(wǎng)絡(luò)安全方案,數(shù)據(jù)安全方案,容錯技術(shù)方案和病毒防范方案等。
網(wǎng)絡(luò)層安全方案
華工安鼎應(yīng)用信息系統(tǒng)本部在網(wǎng)絡(luò)層采用了防火墻技術(shù)。由于電力企業(yè)對于數(shù)據(jù)的實(shí)時性要求較高,數(shù)據(jù)的傳輸量也較大,因此對于電力網(wǎng)絡(luò)的性能有很高的要求。另外,電力企業(yè)涉及到電網(wǎng)供電,其安全性也必須得到切實(shí)保證,目前大多數(shù)的電力企業(yè)均已不同程度地使用了網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品來進(jìn)行保護(hù)。華工安鼎應(yīng)用信息系統(tǒng)本部為電力系統(tǒng)提供的網(wǎng)絡(luò)安全層解決方案具備易用性和易治理性和良好的擴(kuò)展性等特點(diǎn),不但適應(yīng)網(wǎng)絡(luò)層安全技術(shù)未來發(fā)展的需求,而且還能保證電力企業(yè)現(xiàn)有的投資不被浪費(fèi)。
應(yīng)用層安全方案
在網(wǎng)絡(luò)的應(yīng)用層上,華工安鼎應(yīng)用信息系統(tǒng)本部對電力行業(yè)系統(tǒng)安全解決方案采用了嚴(yán)格的身份認(rèn)證,不同粒度的訪問控制,數(shù)據(jù)完整性、保密性和非否認(rèn)性檢測以及安全審計(jì)記錄等技術(shù)。其中身份認(rèn)證可以支持基于對稱密鑰的Kerberos V5和基于公鑰的X.509證書等在內(nèi)的各種身份認(rèn)證技術(shù)。而不同粒度的訪問控制則可以根據(jù)不同網(wǎng)絡(luò)應(yīng)用提供文件、頁面或端口級的訪問控制。而在數(shù)據(jù)完整性、保密性和非否認(rèn)性檢測中,采用了高強(qiáng)度加密算法,數(shù)字簽名、時間戳和會話密鑰等技術(shù)。該網(wǎng)絡(luò)安全解決方案的另一個突出優(yōu)點(diǎn)是除了能進(jìn)行入侵檢測和漏洞掃描外,還能無縫地集成到第三方應(yīng)用系統(tǒng)的安全機(jī)制中,做到統(tǒng)一治理。
數(shù)據(jù)安全及容錯方案
對于企業(yè)來說,最珍貴的不是計(jì)算機(jī)、硬盤、CPU和顯示器等硬件設(shè)備,而是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。因此對于一個信息治理系統(tǒng)來說,數(shù)據(jù)備份和容錯方案是必不可少的。華工安鼎應(yīng)用信息系統(tǒng)本部對電力行業(yè)系統(tǒng)安全解決方案的數(shù)據(jù)備份采用軟、硬結(jié)合的全面解決方案,包括磁帶機(jī)、備份治理軟件和存儲區(qū)域網(wǎng)絡(luò)在內(nèi)的各種技術(shù),具有可靠性高、速度快、性能價格比高等特點(diǎn)。先進(jìn)的系統(tǒng)體系結(jié)構(gòu),使其可以支持包括SAN在內(nèi)的各種網(wǎng)絡(luò)備份技術(shù);支持各種主流計(jì)算機(jī)操作系統(tǒng)、各種操作系統(tǒng)文件、各種主流數(shù)據(jù)庫系統(tǒng);支持非結(jié)構(gòu)化數(shù)據(jù)(如Lotus Notes)的數(shù)據(jù)備份、系統(tǒng)在線數(shù)據(jù)備份和完全、增量和差分等各種備份策略,備份過程中,支持各種數(shù)據(jù)校驗(yàn)技術(shù)。另外,華工安鼎應(yīng)用信息系統(tǒng)本部的電力行業(yè)系統(tǒng)安全解決方案的數(shù)據(jù)備份還提供了先進(jìn)的備份治理功能,實(shí)現(xiàn)備份、恢復(fù)智能化和操作故障的自動提示。其具有的可擴(kuò)展性,可根據(jù)電力企業(yè)業(yè)務(wù)的擴(kuò)大,平滑擴(kuò)展,保護(hù)已有投資。關(guān)于容錯,該解決方案中的容錯方案可實(shí)行實(shí)時監(jiān)控,能自動后援切換,支持雙機(jī)熱備份和雙機(jī)互備援等各種規(guī)劃方式,具有伸縮能力強(qiáng),對現(xiàn)有系統(tǒng)影響小,治理簡單方便等特點(diǎn)。
病毒防范方案針對在Internet上,病毒肆虐,企業(yè)信息系統(tǒng)天天都有面臨猜測的可能,華工安鼎應(yīng)用信息系統(tǒng)本部對電力行業(yè)系統(tǒng)安全解決方案提供了病毒防范方案,其技術(shù)特點(diǎn)是:企業(yè)級網(wǎng)絡(luò)防毒;病毒庫網(wǎng)絡(luò)自動更新;治理簡單有效。
第一部分基本解決方案
第一道安全屏障網(wǎng)絡(luò)防火墻系統(tǒng)防火墻通過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能來隱藏內(nèi)部網(wǎng)絡(luò)的ip地址;通過其動態(tài)訪問過濾功能動態(tài)檢查流經(jīng)的IP數(shù)據(jù)包,根據(jù)設(shè)定的規(guī)則決定數(shù)據(jù)包是否可以通過,并將不合法的數(shù)據(jù)包過濾掉;通過其URL地址限定功能限制對某些站點(diǎn)的訪問,防止內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)進(jìn)行不安全的訪問。
第二道安全屏障網(wǎng)絡(luò)防毒系統(tǒng)網(wǎng)絡(luò)防毒系統(tǒng)可以采用C/S模式,在網(wǎng)絡(luò)防毒服務(wù)器中安裝殺毒軟件服務(wù)器端程序,并通過Internet利用LiveUpdate功能,從免疫中心實(shí)時獲取最新的病毒碼信息。服務(wù)器和網(wǎng)絡(luò)工作站都安裝客戶端軟件,利用從服務(wù)器端獲取的病毒碼信息對本地工作站進(jìn)行病毒掃描,并對發(fā)現(xiàn)的病毒采取相應(yīng)措施進(jìn)行清除。客戶端根據(jù)需要可用三種方式進(jìn)行病毒掃描:實(shí)時掃描、預(yù)置掃描和人工掃描。由于病毒掃描可能帶來服務(wù)器性能上的降低,因此可采用預(yù)置掃描方式,將掃描時間設(shè)定在服務(wù)器訪問率最低的夜間。網(wǎng)絡(luò)工作站可根據(jù)各自需要,選擇合適的方式進(jìn)行病毒掃描。
第三道安全屏障入侵檢測系統(tǒng)安全漏洞掃描入侵檢測系統(tǒng)是專門針對黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品。國際上先進(jìn)的分布式入侵檢測構(gòu)架,可最大限度地、全天候地實(shí)施監(jiān)控,提供企業(yè)級的安全檢測手段。在事后分析的時候,可以清楚地界定責(zé)任人和責(zé)任事件,為網(wǎng)絡(luò)治理人員提供強(qiáng)有力的保障。
入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性、高識別率、規(guī)則更新迅速等特點(diǎn)。系統(tǒng)具有強(qiáng)大的功能、方便友好的治理機(jī)制,可廣泛應(yīng)用于電力行業(yè)各單位。
漏洞檢測和安全風(fēng)險(xiǎn)評估技術(shù),因其可預(yù)知主體受攻擊的可能性和具體的指證將要發(fā)生的行為和產(chǎn)生的后果,而受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應(yīng)用可幫助識別檢測對象的系統(tǒng)資源,分析這一資源被攻擊的可能指數(shù),了解支撐系統(tǒng)本身的脆弱性,評估所有存在的安全風(fēng)險(xiǎn)。
漏洞掃描系統(tǒng)就是這一技術(shù)的實(shí)現(xiàn),她包括了網(wǎng)絡(luò)模擬攻擊,漏洞檢測,報(bào)告服務(wù)進(jìn)程,提取對象信息,以及評測風(fēng)險(xiǎn),提供安全建議和改進(jìn)措施等功能,幫助用戶控制可能發(fā)生的安全事件,最大可能的消除安全隱患。
第二部分增強(qiáng)解決方案
以上看到,該網(wǎng)絡(luò)綜合采用了各種網(wǎng)絡(luò)安全技術(shù),包括防火墻、入侵檢測、安全漏洞掃描、網(wǎng)絡(luò)防病毒等。在電力系統(tǒng)的一些網(wǎng)絡(luò)中還采用VPN等技術(shù)。這些安全技術(shù)在一定程度上保護(hù)了網(wǎng)絡(luò)、主機(jī)和系統(tǒng)服務(wù)免受來自外部的攻擊和破壞,對病毒的危害也能夠起到一定的防范效果。但是,這些安全措施在防范來自內(nèi)部的攻擊,保護(hù)應(yīng)用系統(tǒng)和信息安全方面卻無能為力。“后續(xù)的工作將是在逐步完善安全體系的基礎(chǔ)上,把建設(shè)重點(diǎn)由以網(wǎng)絡(luò)安全為主應(yīng)用安全為輔轉(zhuǎn)入以應(yīng)用安全為主網(wǎng)絡(luò)安全為輔的階段。”一、信息安全隱患分析我們可以從信息在網(wǎng)絡(luò)系統(tǒng)中的存儲、處理、傳輸和用戶對這些信息的訪問活動等方面來分析這些信息潛在的安全威脅。
數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲:電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的信息一般存儲在由數(shù)據(jù)庫治理系統(tǒng)維護(hù)的數(shù)據(jù)庫中或操作系統(tǒng)文件中。這些以明文形式存儲的信息存在泄漏的可能,因?yàn)槟玫酱鎯橘|(zhì)的人可以讀出這些信息;黑客可以繞過操作系統(tǒng)、數(shù)據(jù)庫治理系統(tǒng)的控制獲取這些信息;系統(tǒng)后門使軟硬件系統(tǒng)制造商很輕易得到這些信息…
信息的明文傳輸:現(xiàn)代應(yīng)用系統(tǒng)一般采用C/S(客戶/服務(wù)器)或B/S(瀏覽器/服務(wù)器)結(jié)構(gòu),都在網(wǎng)絡(luò)上運(yùn)行,所處理的信息也必須在網(wǎng)絡(luò)主機(jī)間頻繁傳輸。在電力行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,信息傳輸基本上是明文方式。偶有采用SSL(安全套接字層)等加密傳輸?shù)模捎谕鈬踩到y(tǒng)出口的限制,所能夠用到的SSL是低安全級別的。這些明文或只受到低安全保護(hù)的信息在網(wǎng)絡(luò)上傳輸,不具有信息安全所要求的保密、完整和發(fā)送方的不可抵賴性要求。
弱身份認(rèn)證:電力行業(yè)應(yīng)用系統(tǒng)基本上基于商用軟硬件系統(tǒng)設(shè)計(jì)和開發(fā),用戶身份認(rèn)證基本上采用基于口令的鑒別模式,而這種模式很輕易被攻破。有的應(yīng)用系統(tǒng)還使用自己的用戶鑒別方法,將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中,這種脆弱的安全控制措施在操作人員計(jì)算機(jī)應(yīng)用水平不斷提高,信息敏感性不斷增強(qiáng)的今天不能再用了。
二、安鼎信息安全增強(qiáng)解決方案
信息安全解決方案應(yīng)該全面考慮信息存儲、傳輸、處理和訪問等各環(huán)節(jié)的安全要求,使信息安全方案沒有攻擊者可以利用的安全薄弱環(huán)節(jié)。
按照信息安全全面性要求原則,信息安全方案必須包括如下組成部分:
安全的身份認(rèn)證:安全的身份認(rèn)證是安全的第一步,不安全的身份認(rèn)證可能造成用戶假冒,使其它安全措施失去作用。
通信安全:采用數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進(jìn)行保護(hù),實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。
文件安全:通過文件加密、信息摘要和訪問控制等安全措施,來實(shí)現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸螅?shí)現(xiàn)對文件訪問的控制。
數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲加密、完整性檢驗(yàn)和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機(jī)密和完整性,并實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。
安全審計(jì):通過記錄審計(jì)信息來為信息安全問題的分析和處理提供線索。
安鼎公司針對信息安全的要求,結(jié)合自身技術(shù)特點(diǎn)開發(fā)出了有關(guān)身份認(rèn)證、通信安全、文件安全、數(shù)據(jù)庫安全等的信息安全產(chǎn)品,并在這些產(chǎn)品中集成了審計(jì)功能。
1、安鼎KDC
安鼎KDC(Key Distribution Center)是Kerberos第5版的實(shí)現(xiàn)和增強(qiáng),可以為企業(yè)提供集中的用戶治理、服務(wù)治理和通信安全服務(wù)。其功能包括:
用戶治理票據(jù)授權(quán)服務(wù)應(yīng)用服務(wù)治理服務(wù)器票據(jù)治理用戶鑒別安全審計(jì)安鼎KDC不但可以和安鼎其他安全產(chǎn)品集成使用,也可以和支持Kerberos的其他產(chǎn)品集成,如Oracle 8i等。
安鼎KDC提供了調(diào)用接口(API),用戶可以在應(yīng)用中調(diào)用KDC的安全功能。
安鼎KDC使“一次登錄”成為可能,即用戶在使用所有可以訪問的數(shù)據(jù)和系統(tǒng)時只需要登錄一次。
2、安鼎安全通信代理
安鼎除在自己的信息安全產(chǎn)品中包含了通信安全功能外,還為不具備通信安全的系統(tǒng)提供了一個可配置的通信安全解決方案,即安鼎安全通信代理。
安鼎安全通信代理包括客戶端和服務(wù)器兩部分。
安全代理結(jié)構(gòu)通信安全代理客戶端運(yùn)行在應(yīng)用系統(tǒng)客戶機(jī)上。當(dāng)客戶機(jī)要向服務(wù)器發(fā)送信息時,信息不直接發(fā)送到服務(wù)器,而是發(fā)送到通信安全代理客戶端。客戶端將信息加密后發(fā)送到通信安全代理服務(wù)器。通信安全代理服務(wù)器將請求脫密后發(fā)給真正的服務(wù)器并獲取返回的內(nèi)容,將返回內(nèi)容加密并返回給通信安全代理客戶機(jī)。通信安全代理客戶機(jī)將通信安全代理服務(wù)器返回的內(nèi)容脫密并返回給請求者。
通信安全代理客戶端與服務(wù)端之間的通信過程采用一次會話一個密鑰的動態(tài)密鑰加密方式,并通過會話標(biāo)識、請求序號、完整性校驗(yàn)碼等來實(shí)現(xiàn)防重放、防篡改。
3、安鼎文件保密柜
安鼎文件保密柜可分為企業(yè)文件保密柜和個人文件保密柜兩種。
安鼎企業(yè)文件保密柜安鼎企業(yè)文件保密柜包括文件柜服務(wù)器和文件柜客戶機(jī),功能包括:
文件加密存儲:文件以加密的形式存儲在文件柜中,防止文件內(nèi)容的泄漏。
文件傳輸加密:文件從服務(wù)器傳輸?shù)娇蛻魴C(jī)過程中采用加密保護(hù)措施。
訪問控制:企業(yè)文件柜答應(yīng)多用戶共享文件,企業(yè)文件柜提供訪問控制功能,防止文件的非授權(quán)訪問。
安全審計(jì):記錄用戶對文件的訪問,提供安全審計(jì)記錄查詢功能。
文件查詢:可以根據(jù)查詢條件來查找相關(guān)的文件,包括全文查找。
文件組織與治理:以層次形式顯示和組織文件,支持文件在層次結(jié)構(gòu)中的拖動。
安鼎個人文件保密柜
安鼎個人文件保密柜功能包括:
加密存儲:文件以加密的形式存儲在文件柜中,防止文件內(nèi)容的泄漏。
文件查詢:可以根據(jù)查詢條件來查找相關(guān)的文件,包括全文查找。
文件組織與治理:以層次形式顯示和組織文件,支持文件在層次結(jié)構(gòu)中的拖動。
作為企業(yè)文件保密柜客戶機(jī)使用。
安鼎文件保密柜的特點(diǎn)安全:采用182位密鑰長度加密,且不同文件采用不同密鑰。
全文查找:自主研制的加密算法支持快速全文查找功能。
多平臺支持:支持Unix / linux / Microsoft OS。
操作方便:支持右鍵和拖放操作。
支持二次開發(fā):通過編程接口支持二次開發(fā)。
4、安鼎數(shù)據(jù)庫加密系統(tǒng)
安鼎數(shù)據(jù)庫加密系統(tǒng)包括數(shù)據(jù)庫加密服務(wù)器、安鼎ODBC驅(qū)動器、安鼎JDBC驅(qū)動器和一個工具集。
數(shù)據(jù)庫安全體系結(jié)構(gòu)
安鼎數(shù)據(jù)庫加密系統(tǒng)能夠適應(yīng)C/S和B/S兩種應(yīng)用形式。
數(shù)據(jù)庫安全C/S模式系統(tǒng)結(jié)構(gòu)
在C/S模式應(yīng)用系統(tǒng)中,客戶端應(yīng)用(包括開發(fā)工具)與安鼎ODBC驅(qū)動器交互來訪問數(shù)據(jù)庫加密系統(tǒng)服務(wù)器。
數(shù)據(jù)庫安全B/S模式系統(tǒng)結(jié)構(gòu)
在B/S模式系統(tǒng)中,瀏覽器與Web服務(wù)器采用Http進(jìn)行交互。為解決瀏覽器與Web服務(wù)器間的通信安全問題,采用代理技術(shù)來實(shí)現(xiàn)瀏覽器與Web服務(wù)器間的通信安全。在瀏覽器中使用代理功能,將請求發(fā)往本機(jī)的安全代理客戶端,安全代理客戶端將請求加密后發(fā)往安全代理服務(wù)器。安全代理服務(wù)器依次脫密請求、將請求交給Web服務(wù)器、獲取Web服務(wù)器返回內(nèi)容、加密返回內(nèi)容、發(fā)送加密后的內(nèi)容到安全代理客戶端。安全代理客戶端脫密返回的內(nèi)容并交給瀏覽器。瀏覽器則將內(nèi)容顯示出來。
數(shù)據(jù)庫加密服務(wù)器
數(shù)據(jù)庫加密服務(wù)器主要由服務(wù)治理、SQL執(zhí)行引擎、數(shù)據(jù)字典治理、DBMS訪問接口、數(shù)據(jù)備份與恢復(fù)、其他系統(tǒng)服務(wù)等模塊組成。從客戶端來的請求首先交給服務(wù)治理模塊,服務(wù)治理模塊將請求分派到實(shí)際的服務(wù)模塊執(zhí)行。
有關(guān)密文數(shù)據(jù)訪問的請求交給SQL執(zhí)行引擎。SQL執(zhí)行引擎對到來的SQL進(jìn)行詞法和語法分析。通過了詞法、語法檢查SQL請求在SQL執(zhí)行引擎中形成執(zhí)行計(jì)劃并被執(zhí)行。在SQL執(zhí)行過程中會調(diào)用數(shù)據(jù)加密功能對寫入數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行加密,對從數(shù)據(jù)中取出的數(shù)據(jù)進(jìn)行脫密。
安鼎ODBC驅(qū)動器
安鼎ODBC驅(qū)動器符合Microsoft ODBC標(biāo)準(zhǔn),并在內(nèi)部實(shí)現(xiàn)了與服務(wù)器間的安全通信。因此,任何可以通過ODBC工作的應(yīng)用系統(tǒng)和開發(fā)工具都可以通過這個驅(qū)動器訪問數(shù)據(jù)庫加密系統(tǒng),即數(shù)據(jù)庫數(shù)據(jù)的通信和存儲安全對應(yīng)用系統(tǒng)是透明的。
安鼎JDBC驅(qū)動器
安鼎JDBC驅(qū)動器符合JDBC標(biāo)準(zhǔn),并在內(nèi)部實(shí)現(xiàn)了與服務(wù)器間的安全通信。因此,任何可以通過JDBC工作的應(yīng)用系統(tǒng)和開發(fā)工具都可以通過這個驅(qū)動器訪問數(shù)據(jù)庫加密系統(tǒng),即數(shù)據(jù)庫數(shù)據(jù)的通信和存儲安全對應(yīng)用系統(tǒng)是透明的。
工具集
企業(yè)治理器:以一種集成的方式實(shí)現(xiàn)系統(tǒng)的所有治理工作。治理器功能包括節(jié)點(diǎn)治理、服務(wù)器配置、停止服務(wù)器、活動用戶治理、數(shù)據(jù)庫中對象及其加密屬性治理、密文數(shù)據(jù)的明文備份與恢復(fù)。
交互命令處理器:執(zhí)行命令來完成系統(tǒng)治理和數(shù)據(jù)操縱功能。這些命令包括連接命令、服務(wù)器配置與治理命令、表的安全屬性治理命令、備份與恢復(fù)命令、SQL等。命令處理器可以直接執(zhí)行命令腳本文件,以批量化和自動化一些治理工作和數(shù)據(jù)操縱工作。
安鼎數(shù)據(jù)庫加密系統(tǒng)的特點(diǎn)高安全性:128位密鑰長度,數(shù)據(jù)項(xiàng)級數(shù)據(jù)加密,即不同數(shù)據(jù)項(xiàng)采用不同密鑰加密。用戶還可選擇安鼎硬件加密卡來執(zhí)行加/脫密等安全操作,保證密鑰不出現(xiàn)在硬件加密卡以外的任何地方,使系統(tǒng)更加安全。
高效率:自主研制的密文查詢算法保證密文訪問的效率。
安全功能透明性:系統(tǒng)通過標(biāo)準(zhǔn)的ODBC和JDBC接口給應(yīng)用提供了透明的數(shù)據(jù)庫存儲加密和通信加密功能。
多平臺支持:支持的操作系統(tǒng)平臺包括各種Unix、Linux、Microsoft OS;支持的數(shù)據(jù)庫治理系統(tǒng)有Oracle、DB2、Sybase、Microsoft SQL Server。
成功案例
某省電力公司是國家電力公司直屬子公司,電力信息網(wǎng)已基本覆蓋了所有省電力生產(chǎn)、施工、建設(shè)、設(shè)計(jì)、經(jīng)營等幾十家單位,信息網(wǎng)的深度已觸及到用電營業(yè)所和變電所。在信息網(wǎng)上承載了財(cái)務(wù)、物資、用電、生產(chǎn)、勞人、安全監(jiān)察、計(jì)劃統(tǒng)計(jì)、電網(wǎng)實(shí)時信息等子系統(tǒng)和領(lǐng)導(dǎo)綜合信息查詢、辦公自動化、www、mail系統(tǒng)等應(yīng)用。
省公司本部局域網(wǎng),它不但承擔(dān)了與各基層單位的互聯(lián),而且還承擔(dān)了與國家電力公司,省政府經(jīng)濟(jì)信息中心(Internet)的互聯(lián)。所有應(yīng)用系統(tǒng)的安全可靠運(yùn)行都建立在安鼎安全產(chǎn)品安全可靠系統(tǒng)基礎(chǔ)之上。網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個方面:
單位內(nèi)部網(wǎng)絡(luò)的安全性;與外部的聯(lián)結(jié)的安全性;內(nèi)部各單位網(wǎng)絡(luò)之間的安全性。
結(jié)束語
網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的治理問題,網(wǎng)絡(luò)上的任何一個漏洞,都會導(dǎo)致全網(wǎng)的安全問題,我們應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括:行政法律手段、各種治理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計(jì)算機(jī)網(wǎng)絡(luò),包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。這樣才能真正做到整個系統(tǒng)的安全。
安鼎公司在分析電力行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中信息安全需求的基礎(chǔ)上,結(jié)合自身技術(shù)特點(diǎn),針對信息存儲、傳輸和處理過程中的安全隱患開發(fā)了相應(yīng)安全產(chǎn)品,并形成了信息安全整體解決方案。該方案對電力行業(yè)信息的存儲、處理、傳輸、訪問等各環(huán)節(jié)實(shí)施安全保護(hù)和控制,構(gòu)筑了一個全面、開放而不可繞過的信息安全保密平臺。
新聞熱點(diǎn)
疑難解答
圖片精選
