来源:蜘蛛抓取(WebSpider)
时间:2012-04-06 08:14
标签:
安全系统工程
怎样保证企业内网的安全
怎样保证企业内网的安全
【局域网安全】 学习啦编辑:广达
本文已影响 人
近年来,成为企业网络部署的核心内容,其中内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。下面是学习啦小编为大家整理的保证企业内网安全的防护措施,希望大家能够从中有所收获!
据不完全统计,国外在建设内网时,投资额的15%是用于加强内网的网络安全。在我国IT市场中,安全厂商保持着旺盛的增长势头。运营商在内网安全方面的投资比例不如国外多,但依然保持着持续的增长态势。
保证企业内网安全的九个措施:
措施一:采用安全交换机
由于内网的信息传输采用广播技术,数据包在广播域中很轻易受到监听和截获,因此需要使用安全交换机,利用网络分段及VLAN的方法从上或逻辑上隔离网络资源,以加强内网的安全性。
措施二:的安全
从终端用户的程序到服务器应用服务、以及网络安全的很多技术,都是运行在操作系统上的,因此,保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制等制度。
措施三:对重要资料进行备份
在内网系统中数据对用户的重要性越来越大,实际上引起数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。
为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。
对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。
措施四:使用代理网关
使用代理网关的好处在于,网络数据包的交换不会直接在内外网络之间进行。内部必须通过代理网关,进而才能访问到Internet,这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。
在代理服务器两端采用不同协议标准,也可以阻止外界非法访问的入侵。还有,代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。
措施五:设置
防火墙的选择应该适当,对于微小型的企业网络,可从NortonInternetSecurity、PCcillin、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。
而对于具有内部网络的企业来说,则可选择在上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言,都可以通过内置的防火墙防范部分的攻击,而硬件防火墙的应用,可以使安全性得到进一步加强。
[怎样保证企业内网的安全]相关的文章
看过本文的人还看了
2073人看了觉得好
【局域网安全】图文推荐
Copyright & 2006 -
All Rights Reserved
学习啦 版权所有3.安全保证要求
本文所属图书&>&
本书内容由浅入深,分为基础篇、理论篇、实践篇和趋势篇四大部分。基础篇重点介绍操作系统基本安全概念、通用安全需求、安全标准和必要的安全机制等。理论篇重点介绍操作系统安全建模理论、安全体系结构设计思想&&
CC安全保证要求包括衡量保证尺度的评估保证级(EAL)、组成保证级别的每个保证,以及PP和ST的评估准则。
(1)几个关键术语
确认(confirm):表示某些细节需要进行复查,且需要对其充分性做出独立的判断。此术语只适合评估者行为。
验证(verify):类似于&确认&,但更严格。当它用于评估者行为时,表明要求评估者独立地做出判断。
检查(check):类似于&确认&或&验证&,但比较不严格,它仅要求评估者通过粗略分析做出决定。
连贯(coherent):指一个具有可辨别意义的、逻辑上有序的实体。对文档来说,既指文档的文本又指文件的结构能为读者所理解。
完备(complete):指提供一个实体所有必要的部分。对文档来说,指文档包含所有的信息,其详细程度达到不再需要进一步解释的水平。
一致(consistent):指两个或更多实体之间没有明显的矛盾。
对抗(counter):表示一个安全对象抵抗一种特殊的威胁,但不表示威胁最终被完全根除。
严格证明(prove):指数学意义上的形式化分析,在各方面都是严格的。
论证(demonstrate):指一个可得出结论的分析,不如&严格证明&严格。
描述(describe):指提供实体的特定细节。
决定(determine):指一个可得出特定结论的独立分析。它不同于&确认&或&验证&,后者意味着分析已经完成。
确保(ensure):指行为和结果之间有很强的因果关系,一般前面加&帮助&一起使用,表示它仅仅基于行为而不是对结果的充分肯定。
彻底(exhaustive):表明实施分析或其他行为,它比&系统的&具有更强的表达力度。它不仅要根据一个明确的计划采取系统化的方法实施分析或其他行为,而且其后的计划应足以保证所有可能的方法都被采用了。
解释(explain):不同于&描述&或&论证&,它回答&为什么&而不试图证明所采取的行动是最佳的。
内在一致(internally consistent):指实体的任何方面之间都没有明显矛盾。
证明(justification):指用于得出结论的分析,比&论证&更严格。
相互支持(mutually supportive):指一组实体占有的资源不与其他实体相冲突,甚至可能辅助其他实体完成任务。它不判断所有有关实体是否直接支持组内的其他实体,而是一个更一般意义上的判断。
规定(specify):类似于&描述&,但更严格和准确。它与&定义&十分类似。
(2)保证要求的结构组成
安全保证要求中最抽象的集合称作类,每一个类包括多个保证族,每个族又包括多个保证,每个组件又包括多个保证元素。类和族提供了对保证要求分类的分类法,而组件用来指明PP和ST中的保证要求。
1)类结构:每个保证类包括类名、类介绍和一个或多个保证族。类名提供唯一的名字,说明保证类覆盖的主题。保证类的唯一简名由A开头的3个字符组成,是引用保证类的主要方法。类介绍描述类的组成,包含涉及该类意图的支持性文字。
2)族结构:每个保证族包括族名、目标、组件分级、应用注释和一个或多个保证组件。族名提供唯一的名字,说明与保证族覆盖的主题相关的信息。保证族的唯一简名是类简名加下划线以及与族名有关的3个字符组成,是引用保证类的主要方法。目标说明了保证族的意图,目标所要求的任何特定细节都应包含在保证组件之中。保证族包含了一个或多个组件,组件分级描述了可使用的组件和它们的差异。应用注释提供保证族的附加信息。这些附加信息是保证族用户(如PP或ST作者、TOE的设计者和评估者等)感兴趣的信息,它包括限制使用的警告和特别注意点的非形式化描述。
3)组件结构:每个组件包括组件标识、目标、应用注释、依赖关系和一个或多个保证元素。
组件标识提供标识、分类、注册和交叉引用组件所必需的描述性信息。每个保证组件的名字是其唯一的简洁标识,是引用保证组件的主要方法。组件名是族简名加一个点和数字符号。数字符号根据组件在族类的顺序从1开始编号。
目标说明特定保证组件的意图。
应用注释提供保证组件的附加信息。
当一个组件不自充分而依赖于其他组件时,就产生了依赖关系。每个组件都有一个依赖关系表,列出它与其他组件的依赖关系。当然,也有些组件被标明无依赖关系。依赖关系标识了所依赖的保证组件的最小集合,在依赖关系表中同层的组件可用来满足依赖关系。特殊情况下依赖关系可能不适用,此时,PP或ST作者需要说明不适用的理由,才可以选择不去满足这种依赖关系。
每个组件包含一组保证元素,一个保证元素就是一个最小的安全要求。每一个保证元素都属于下列三组中的一组:开发者行为元素,即开发者将实施的活动,其编号上附加字母&D&;证据的内容和形式元素,即要求的证据、证据显示和表达的信息,其编号上附加字母&C&;评估者行为元素,即评估者实施的活动,其编号上附加字母&E&。开发者行为元素的行为,根据证据的内容和形式元素中的证据材料证明是否合格。开发者行为元素及证据的内容和形式元素代表一个开发者的保证要求,即论证TOE的安全功能保证。通过满足这些要求,开发者能更加确信TOE满足PP或ST的功能和保证要求。评估者行为元素隐含对前面两组元素中规定要求的证实,它结合证据的内容和形式,指明在验证TOE的ST中将要进行的评估活动。它通过证明PP或ST的有效性,且TOE满足这些要求,确认该TOE满足其安全目标。
(3)评估保证级
评估保证级(EAL)提供一个递增的尺度,衡量所获的保证级别与达到此级别的代价和可行性。在结构上,评估保证级包括EAL名称、目标、应用注释和保证组件。其中,EAL名称提供关于EAL意图的描述性信息。目标表明了EAL的意图。应用注释提供了EAL用户(如PP或ST作者、以该EAL为目标的TOE设计者和评估者等)感兴趣的信息,它的表示是非形式化的,并且包含了限制使用的警告和应特别注意的地方。保证组件是为每个EAL选择的一组保证组件。
CC对TOE的保证等级定义了7个逐步增强的EAL,见表1-2。这些EAL由保证组件的一个适当组合组成。每个EAL只包含每个保证族的一个组件,以及它们的所有保证依赖关系。这种增强是通过将低等级EAL中某保证组件替换成同保证族中更高级别的保证组件,或添加另一保证族的保证组件来实现的。
1)评估保证级1(EAL1)&&功能测试。EAL1适用于对正确运行需要一定信任但安全威胁不严重的场合。它为用户提供了一个TOE评估,包括依据一个规范的独立性测试,以及对所提供的指导性文档的检查。即使没有TOE开发者的帮助,EAL1评估也能成功进行,而且所需费用最少。此级别的评估要提供证据表明:TOE的功能与其文档在形式上一致,且对已标识的威胁提供了有效的保护。
EAL1通过功能和接口规范,以及指导性文档,对安全功能进行分析,提供一种基础级别的保证和对安全行为的理解。这种分析由TOE安全功能的独立性测试支持。
2)评估保证级2(EAL2)&&结构测试。EAL2在设计和测试时需要与开发者合作,但不需要增加过多的投入,适用于低到中等级别的安全。
EAL2通过功能和接口规范、指导性文档和TOE高层设计,对安全功能进行分析。这种分析由以下测试支持:TOE安全功能独立性测试;开发者基于功能规范进行测试得到的证据;对开发者测试结构的选择性独立确认;功能强度分析;开发者搜索的脆弱性证据。EAL2也通过TOE的配置表和安全证据提供保证。通过开发者测试、脆弱性分析和基于更详细的TOE规范的独立性测试,实现在EAL1基础上安全保证的增强。
3)评估保证级3(EAL3)&&地测试和检查。EAL3可使一个尽职尽责的开发者在设计阶段就能从正确的安全工程中获得最大程度的保证,而不需要对现有的合理的开发实践做大规模的改变,适用于中等级别的安全系统。
EAL3通过功能和接口规范、指导性文档和TOE高层设计,对安全功能进行分析。这种分析由以下测试支持:TOE安全功能独立性测试;开发者基于功能规范进行测试得到的证据;对开发者测试结果的选择性独立确认;功能强度分析;开发者搜索的脆弱性证据。EAL3也通过开发环境控制措施、TOE的配置管理和安全证据提供保证。通过更完备的安全功能测试范围,以及要求提供TOE在开发过程中不被篡改的可信机制或程序,实现在EAL2基础上安全保证的增强。
4)评估保证级4(EAL4)&&系统设计、测试和复查。EAL4可使开发者从正确的安全工程中获得最大程度的保证,这种安全工程基于良好的商业开发实践,这种实践虽然很严格,但并不需要大量专业知识、技巧和其他资源。在通常情况下,对一个已存在的系统进行改造时,EAL4是所能达到的最高安全级别。
EAL4通过功能规范和完备的接口规范、指导性文档、TOE的高层设计和低层设计,对安全功能进行分析,提供安全保证和对安全行为的理解。EAL4也可以通过TOE安全策略的非形式化模型获得保证。这种分析由以下测试支持:TOE安全功能的独立性测试;开发者基于功能规范和高层设计进行测试得到的证据;对开发者测试结果的选择性独立确认;功能强度分析;开发者搜索脆弱性的证据;对抵抗低等攻击潜能的穿透性攻击者的能力进行论证的独立性脆弱分析。EAL4也通过开发环境控制措施、TOE配置管理和安全证据提供保证。通过要求更多的设计描述、实现的子集,以及提供TOE在开发或交付过程中不会被篡改的可信性改进机制或程序,实现在EAL3基础上安全保证的增强。
5)评估保证级5(EAL5)&&半形式化设计和测试。EAL5需要应用适度的专业工程技术来支持。
EAL5通过功能规范和完备的接口规范、指导性文档、TOE的高层和低层设计以及所有的实现,对安全功能进行分析,提供保证和对安全行为的理解。EAL5也可以通过TOE安全策略的形式化模型、功能规范和高层设计的半形式化表示额外地获得保证。这种分析由以下测试支持:TOE安全功能的独立性测试;开发者基于功能规范、高层设计和低层设计进行测试得到的证据;对开发者测试结果的选择性独立确认;功能强度分析;开发者搜索脆弱性的证据;对抵抗中等攻击潜能的穿透性攻击者的能力进行论证的独立性脆弱分析。这种分析也包括对开发者的隐蔽通道分析的确认。EAL5也通过开发环境控制措施、全面的TOE配置管理和交付程序的安全证据提供保证。通过要求半形式化的设计描述、整个实现、更结构化的体系、隐蔽信道分析,以及提供TOE在开发过程中不会被篡改的可信性改进机制或程序,实现在EAL4基础上安全保证的增强。
6)评估保证级6(EAL6)&&半形式化验证的设计和测试。EAL6可使开发者通过把安全工程技术应用于严格的开发环境,而获得高度的安全保证。它适用于高风险环境下的安全TOE的开发,这里受保护的资源值得花费很大的额外开销。
EAL6通过功能规范和完备的接口规范、指导性文档、TOE的高层和低层设计以及实现的结构化表示,对安全功能进行分析,提供保证和对安全行为的理解。EAL6也可以通过TOE安全策略的形式化模型和功能规范、高层和低层设计的半形式化表示,以及它们之间对应性的半形式化论证、模块化和分层的TOE设计,额外地获得保证。这种分析由以下测试支持:TOE安全功能的独立性测试;开发者基于功能规范、高层设计和低层设计进行测试得到的证据;对开发者测试结果的选择性独立确认;功能强度分析;开发者搜索脆弱性的证据;对抵抗高等攻击潜能的穿透性攻击者的能力进行论证的独立性脆弱分析,这种分析也包括对开发者的系统化隐蔽通道分析的确认。EAL6也通过应用结构化的开发流程、开发环境控制措施,包括全面的TOE配置管理和交付程序的安全证据提供保证。通过要求更全面的分析、实现的结构化表示、更体系化的结构、更全面的脆弱性分析、系统化隐蔽信道识别,以及改进的配置管理和开发环境控制等,实现在EAL5基础上安全保证的增强。
7)评估保证级7(EAL7)&&形式化验证的设计和测试。EAL7适用于安全TOE的开发,该TOE应用在风险非常高的场合或高价值资产值得保护的地方。目前,EAL7的实际应用只是局限于一些安全功能能够经受住形式化分析的TOE。
EAL7通过功能规范和完备的接口规范、指导性文档、TOE的高层和低层设计以及实现的结构化表示,对安全功能进行分析,提供保证和对安全行为的理解。EAL7也可以通过TOE安全策略的形式化模型、功能规范和高层设计的形式化表示、低层设计的半形式化表示,以及它们之间对应性的形式化和半形式化论证、模块化和分层的且简单的TOE设计,额外地获得保证。这种分析由以下测试支持:TOE安全功能的独立性测试;开发者基于功能规范、高层设计和低层设计和实现进行测试得到的证据;对开发者测试结果的全部独立确认;功能强度分析;开发者搜索脆弱性的证据;对抵抗高等攻击潜能的穿透性攻击者的能力进行论证的独立性脆弱分析。这种分析也包括对开发者的系统化隐蔽通道分析的确认。EAL7也通过应用结构化的开发流程、开发环境控制措施,包括完全自动化的、全面的TOE配置管理和交付程序的安全证据提供保证。通过要求形式化表示、形式化分析,以及更全面的测试,实现在EAL6基础上安全保证的增强。
(4)PP与ST评估准则
PP与ST评估准则在CC中是要首先满足的,因为PP或ST评估是在TOE评估前进行的。PP类、ST类与TOE类不同,因为PP类和ST类的所有要求都要考虑单个PP或ST的评估,而TOE类的要求涉及较广,并不针对一个特定的TOE。
1)PP准则:PP评估论证PP的完备性、一致性、技术上的合理性,因此适合作为一个或多个可评估TOE的要求陈述。
与ST评估准则的关系:通常的PP和具有TOE特性的ST之间有很多结构和内容上的相似之处,所以在PP评估准则中,保护的要求与ST评估准则包含的要求之间有许多相似之处,且两者的表示方式也相似。
评估者任务:评估者实施一个包含在CC要求之内的PP评估时,应使用如下PP评估类APE的要求:TOE描述族(APE_DES)、安全环境族(APE_ENV)、PP引言族(APE_INT)、安全目标族(APE_OBJ)、IT安全要求族(APE_REQ)。评估者实施一个包含CC要求之外的PP评估时,应使用如下PP评估类APE的要求:TOE描述族(APE_DES)、安全环境族(APE_ENV)、PP引言族(APE_INT)、安全目标族(APE_OBJ)、IT安全要求族(APE_REQ)、明确陈述的IT安全要求族(APE_SRE)。
2)ST准则:ST评估是为了论证ST是完备的、一致的、在技术上是合理的,因此适合作为相应的TOE评估的基础。
与CC其他评估准则的关系:评估TOE包括ST评估和相应的TOE评估。ST评估包括对PP声明的评估。如果ST没有声明与PP的一致性,ST的PP声明将包括:TOE没有声明与任何PP的一致性。
评估者任务:评估者实施一个包含CC要求之内的ST评估时,应使用如下ST评估类ASE的要求:TOE描述族(ASE_DES)、安全环境族(ASE_ENV)、SF引言族(ASE_INT)、安全目标族(ASE_OBJ)、PP声明族(ASE_PPC)、IT安全要求族(ASE_REQ)、TOE概要规范族(ASE_TSS)。评估者实施一个包含CC要求之外的ST评估时,应使用如下ST评估类ASE的要求:TOE描述族(ASE_DES)、安全环境族(ASE_ENV)、SF引言族(ASE_INT)、安全目标族(ASE_OBJ)、PP声明族(ASE_PPC)、IT安全要求族(ASE_REQ)、明确陈述的IT安全要求(ASE_SRE)、TOE概要规范族(ASE_TSS)。
(5)保证维护
保证维护应用在一个TOE已经被评估和认证之后,旨在当TOE或其环境发生变化时能够继续满足它的既定安全目标。这些变化包括发现新的威胁或脆弱性、用户需求的变化、纠正已认证的TOE中的错误等。
实现保证维护的一个方法是再次评估TOE,即对新版本的TOE进行评估,包括对已认证版本TOE的安全相关变化以及那些仍有效的评估结果进行再次评估。然而,在很多情况下,再次评估每个TOE新版本是不现实的。因此,保证维护类的主要目的是定义一整套要求提供一个信任度,使TOE中建立的保证得到维护,并不需要再次进行评估。保证维护类并没有完全去除再次评估的要求,在必要时支持对TOE的再次评估。为了让保证在TOE中得到维护,保证维护类要求开发者提供证据说明TOE仍然满足它的安全目标。
您对本文章有什么意见或着疑问吗?请到您的关注和建议是我们前行的参考和动力&&
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
您的浏览器不支持嵌入式框架,或者当前配置为不显示嵌入式框架。
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'11个步骤教会你如何确保服务器的安全
本文将会介绍在技术系统(Intrusion Detection )中,如何通过使用相关工具软件,进行系统即时消息推送的设置。本文将介绍一种叫做Monit的新工具,以及两个常用软件Pushover和Slack。
近日,来自Gartner公司(一家从事信息技术研究和分析的IT公司)的最新研究成果向我们展示了APM(应用程序管理系统)的全貌;同时,近些年来,人们已经逐渐意识到了维护APM系统安全的重要性。这不禁就会让我们联想到企业应用管理服务商AppDynamics公司提供的高效APM产品。
今年,信息安全公司Inversoft曾发表了一系列的安全文章,统称为《2016用户数据安全指南》。本文就是该指南中关于介绍服务器安全连载系列中的第10篇。
虽然大部分的网络服务器都不支持用户频繁地进行登录和注销,但当有用户登录到网络服务器中时,作为管理员,你必须在第一时间就要获得通知,知晓该用户的情况。有很多方法可以做到这一点。接下来,我们将会介绍一种叫做Monit的消息推送工具,来帮助服务器管理员实现这一目的。你可通过Monit来浏览一些系统日志文件,从中获得一些包含特定文档的消息;同时,Monit会根据这些消息的安全性,向系统发出警报。安装Monit的第一步是:在系统的root命令窗口下,执行下列代码:
$ apt-get install monit
在安装完成后,你可以创建一个系统配置文件,来监控SSH的登录状态。同时需要将之前创建的配置文件复制粘贴到路径为/etc/monit/conf.d/ssh-logins的文件夹下:
check file ssh_logins with path /var/log/auth.log
&&&&& # Whitelist IPs here if you want
&&&&& # ignore match &/etc/monit/whitelist_ips.regex&
&&&&& if match &Accepted keyboard-interactive/pam& then
该配置文件要求Monit必须要时刻监控着文件/var/log/auth.同时,一旦Monit检测到含有&Accepted keyboard-interactive/pam&字样的命令行,那么它就会立刻报警。在你完成了上述的两个步骤之后,SSH系统就会向文件中增加一条与上述配置相匹配的日志记录。如果你没有开启双重身份验证功能,或是仅仅使用密钥验证方式,那么你的配置信息就需要进行修改,必须与字符串&Accepted publickey&相一致。
你也可以撤销白名单上的某些特定IP地址的匹配设置,同时创建一个/etc/monit/whitelist_ips.regex文件。该文件将会包含为白名单上的每一个IP地址单独设置的命令行语句。
编译/etc/monit/monitrc文件是整个配置过程的最后一步。向配置文件中加入带有能向管理员发送报警邮件的代码。这一配置过程会根据你所使用的SMTP电子邮件服务器、SMTP服务器要求的验证方式以及你的电子邮件地址等的不同,而出现一些变化。在下面的示例中,我所使用的是自己的电邮地址,以及Sendgrid公司提供的邮件服务器。
set mailserver smtp.sendgrid.net port 587 username && password && using tlsv12
not on { instance, action }
其中的第二行代码是给Monit下达一个指令,即:只要系统发出警报,都必须在第一时间以邮件的方式通知我,同时要忽略我自行设置的警报。如果你选择使用Monit来执行系统监控、系统重启等任务时,上述的设置将会大大减少你所收到的垃圾邮件的数量。
你肯定想要在第一时间就接到来自Monit的消息通知。在系统默认的情况下,Monit每2分钟进行一次检查。如果觉得这一周期过长的话,你可以修改其默认设置,将检查周期改为5秒。配置代码就是/etc/monit/monitrc 文件的第一行代码,如下所示:
set daemon 5
最后,重启Monit,它就会执行你所修改的配置了。相关代码是:
$ service monit restart
此外,我还想说的是,你还可以让Monit给你的移动终端设备或Slack,发送即时消息通知。如果想要接收推送通知,你需要使用Pushover服务器。同时,你需要对/etc/monit/conf.d/ssh-logins文件中的最后一行代码进行修改,将原先的代码改为:
if match &Accepted keyboard-interactive/pam& then exec &/etc/monit/monit-slack-pushover.rb&
之后,将这个Ruby脚本拷贝到/etc/monit/monit-slack-pushover.rb文件中:
#!/usr/bin/ruby
require 'net/https'
require 'json'
slack_webhook_url=&&
slack_enabled=true
pushover_application=&&
pushover_user=&&
pushover_enabled=true
def log(message)
&&& open('/var/log/monit.log', 'a') { |f|
&&&&&&& f.puts message
&&& if slack_enabled
&&&&&&& begin
&&&&&&& uri = URI.parse(slack_webhook_url)
&&&&&&& Net::HTTP.start(uri.host, uri.port, {use_ssl: true}) { |http|
&&&&&&&&&&& request = Net::HTTP::Post.new(uri.request_uri, {'Content-Type' =& 'application/json'})
&&&&&&&&&&& request.body = {
&&&&&&&&&&&&&&& :text =& &[#{ENV['MONIT_HOST']}] #{ENV['MONIT_SERVICE']} - #{ENV['MONIT_DESCRIPTION']}&
&&&&&&&&&&& }.to_json
&&&&&&&&&&& response = http.request(request)
&&&&&&&&&&& log(&Response from Slack [#{response.code}] [#{response.body}]&)[1]&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱,我们会在最短的时间内进行处理。
上一篇:【】【】如何保证和加强数据库的安全性—编程杂谈
当前位置: &
如何保证和加强数据库的安全性
来源:赛迪网 日 09:28 点击:
随着Web数据库的应用越来越广泛,Web数据库的安全问题日益突出,如何才能保证和加强数据库的安全性已成为目前必须要解决的问题。
数据库系统安全控制模式
Web数据库是数据库技术与Web技术的结合,其中存在诸多安全隐患,如通过网络传输的用户名和密码很容易被人窃取。用户读取的数据可能被截取、篡改等。如何保障Web数据库的安全运行呢?
建立安全模型
通常,安全措施是计算机系统中用户使用数据库应用程序一直到访问后台数据库要经过的安全认证过程。
当用户访问数据库时首先通过数据库应用程序进入到数据库系统,这时数据库应用程序将用户提交的用户名与口令(口令密文)交给数据库管理系统进行认证,在确定其身份合法后,才能进入下一步的操作。当要对数据库中的对象(表、视图、触发器、存储过程等)进行操作时,也必须通过数据库访问的身份认证,只有通过了数据库的身份认证才能对数据库对象进行实际的操作。
通过身份认证的用户,只是拥有了进入应用系统和数据库的“凭证”,但用户在应用系统和数据库中可以进行什么样的操作,就要依靠“访问控制”和“存取控制”的权限分配和约束。其中“访问控制”与应用系统相关,决定当前用户可以对应用系统中哪些模块、模块中的哪些工作流程进行管理;“存取控制”与数据库相关联,决定当前用户可以对数据库中的哪些对象进行操作,以及可以进行何种操作。虽然“访问控制”和“存取控制”可以将用户的应用系统访问范围最小化,数据对象操作权限最低化,但是就数据库本身而言,利用这种视图、触发器、存储过程等方法来保护数据和对一些敏感数据的“加密存储”也是数据库管理系统提供的安全策略。
审计追踪和数据备份
目前还没有任何一种可行的方法来彻底解决合法用户在通过身份认证后滥用特权的问题,但审计追踪仍是保证数据库安全不可缺的一道重要防线。
审计是一种监视措施,跟踪记录有关数据的访问活动。审计追踪把用户对数据库的所有操作自动记录下来,存放在审计日志中(Audit Log)。记录的内容一般包括:操作类型(如修改、查询、删除),操作终端标识与操作者标识,操作日期和时间,操作所涉及到相关数据(如基本表、视图、记录、属性等),数据库的前象和后象等。利用这些信息,可以进一步找出非法存取数据的库人、时间和内容等。
数据库管理系统往往都将其作为可选特征,允许相应的操作语句可灵活的打开或关闭审计功能。
数据库备份恢复策略
计算机同其他设备一样,都可能发生故障。计算机故障的原因多种多样,包括磁盘故障、电源故障、软件故障、灾害故障以及人为破坏等。一旦发生这种情况,就可能造成数据库的丢失。因此数据库系统必须采取必要的措施,以保证发生故障时,可以恢复数据库。数据库系统管理系统的备份和恢复机制就是保证在数据库系统出故障时,能够将数据库系统还原到正常状态。
数据备份(建立冗余数据)是指定期或不定期地对数据库进行复制。可以将数据复制到本地机制上,也可以复制到其他机器上。恢复方法通常是可以利用利用备份技术、事务日志技术、镜像技术完成。
视图机制和数据加密
为不同的用户定义不同的视图,可以限制各个用户的访问范围。通过视图机制把要保护的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据库提供一定程度的安全保护。但是视图机制的安全性保护不太精细,往往不能达到应用系统的要求,其主要功能在于提供了数据库的逻辑独立性。在实际应用中,通常将视图机制与授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图机制上进一步定义存取权限。
数据加密(Data Encryption)是防止数据库中数据存储和传输中失密的有效手段。加密的基本思想是根据一定的算法将原始数据(明文plaintext)加密成为不可直接识别的格式(密文,ciphertext),数据以密文的方式存储和传播。
Web数据库的安全威胁涉及许多方面,是一个全局性的问题,而且黑客的攻击手段和方法不断翻新,因此要根据企业的实际需求综合考虑各种技术,构建一个有机的结合体。
同时也要清醒地认识到一个很好的安全解决方案不仅是纯粹的技术问题,而且还需要法律、管理、社会因素的配合。
首页 上一页 [1]
上一篇: 下一篇:
【】【】【】
相关文章
我要点评
免责声明:本站刊载此文不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。对本文有任何异议,请联络:
转载要求:作者及来源信息必需保留。转载之图片、文件,链接请不要盗链到本站,且不准打上各自站点的水印。
Copyright & design.net, All
Rights Reserve 【找网页设计师,当然上网页设计师联盟】
