金融信息安全解决方案 金融信息安全解决方案是什么
对于金融、电信类企业,如何更好地保护好庞大的用户数据信息安全?
数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架可以划分为三个层次:
创新互联专注为客户提供全方位的互联网综合服务,包含不限于网站设计制作、成都做网站、西湖网络推广、小程序制作、西湖网络营销、西湖企业策划、西湖品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们最大的嘉奖;创新互联为所有大学生创业者提供西湖建站搭建服务,24小时服务热线:13518219792,官方网址:www.cdcxhl.com
⑴ 网络系统层次;
⑵ 宿主操作系统层次;
⑶ 数据库管理系统层次。
这三个层次构筑成数据库系统的安全体系,与数据安全的关系是逐步紧密的,防范的重要性也逐层加强,从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。
2. 网络系统层次安全技术
从广义上讲,数据库的安全首先倚赖于网络系统。随着Internet的发展普及,越来越多的公司将其核心业务向互联网转移,各种基于网络的数据库应用系统如雨后春笋般涌现出来,面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户(如异地用户、分布式用户)也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。网络入侵试图破坏信息系统的完整性、机密性或可信任的任何网络活动的集合,具有以下特点:
a)没有地域和时间的限制,跨越国界的攻击就如同在现场一样方便;
b)通过网络的攻击往往混杂在大量正常的网络活动之中,隐蔽性强;
c)入侵手段更加隐蔽和复杂。
计算机网络系统开放式环境面临的威胁主要有以下几种类型:a)欺骗(Masquerade);b)重发(Replay);c)报文修改(Modification of message);d)拒绝服务(Deny of service);e)陷阱门(Trapdoor);f)特洛伊木马(Trojan horse);g)攻击如透纳攻击(Tunneling Attack)、应用软件攻击等。这些安全威胁是无时、无处不在的,因此必须采取有效的措施来保障系统的安全。
从技术角度讲,网络系统层次的安全防范技术有很多种,大致可以分为防火墙、入侵检测、协作式入侵检测技术等。
⑴防火墙。防火墙是应用最广的一种防范技术。作为系统的第一道防线,其主要作用是监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限。防火墙技术主要有三种:数据包过滤器(packet filter)、代理(proxy)和状态分析(stateful inspection)。现代防火墙产品通常混合使用这几种技术。
⑵入侵检测。入侵检测(IDS-- Instrusion Detection System)是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年,Derothy Denning首次提出了一种检测入侵的思想,经过不断发展和完善,作为监控和识别攻击的标准解决方案,IDS系统已经成为安全防御系统的重要组成部分。
入侵检测采用的分析技术可分为三大类:签名、统计和数据完整性分析法。
①签名分析法。主要用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名,编写到IDS系统的代码里。签名分析实际上是一种模板匹配操作。
②统计分析法。以统计学为理论基础,以系统正常使用情况下观察到的动作模式为依据来判别某个动作是否偏离了正常轨道。
③数据完整性分析法。以密码学为理论基础,可以查证文件或者对象是否被别人修改过。
IDS的种类包括基于网络和基于主机的入侵监测系统、基于特征的和基于非正常的入侵监测系统、实时和非实时的入侵监测系统等。
⑶协作式入侵监测技术
独立的入侵监测系统不能够对广泛发生的各种入侵活动都做出有效的监测和反应,为了弥补独立运作的不足,人们提出了协作式入侵监测系统的想法。在协作式入侵监测系统中,IDS基于一种统一的规范,入侵监测组件之间自动地交换信息,并且通过信息的交换得到了对入侵的有效监测,可以应用于不同的网络环境。
3. 宿主操作系统层次安全技术
操作系统是大型数据库系统的运行平台,为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT 和Unix,安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。
操作系统安全策略用于配置本地计算机的安全设置,包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项[7]。具体可以体现在用户账户、口令、访问权限、审计等方面。
用户账户:用户访问系统的"身份证",只有合法用户才有账户。
口令:用户的口令为用户访问系统提供一道验证。
访问权限:规定用户的权限。
审计:对用户的行为进行跟踪和记录,便于系统管理员分析系统的访问情况以及事后的追查使用。
安全管理策略是指网络管理员对系统实施安全管理所采取的方法及策略。针对不同的操作系统、网络环境需要采取的安全管理策略一般也不尽相同,其核心是保证服务器的安全和分配好各类用户的权限。
数据安全主要体现在以下几个方面:数据加密技术、数据备份、数据存储的安全性、数据传输的安全性等。可以采用的技术很多,主要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等技术。
4. 数据库管理系统层次安全技术
数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统,其安全性功能很弱,这就导致数据库系统的安全性存在一定的威胁。
由于数据库系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉,分析和堵塞这种漏洞被认为是B2级的安全技术措施。
数据库管理系统层次安全技术主要是用来解决这一问题,即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全,这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理,使得即使数据不幸泄露或者丢失,也难以被人破译和阅读。
我们可以考虑在三个不同层次实现对数据库数据的加密,这三个层次分别是OS层、DBMS内核层和DBMS外层。
⑴在OS层加密。在OS层无法辨认数据库文件中的数据关系,从而无法产生合理的密钥,对密钥合理的管理和使用也很难。所以,对大型数据库来说,在OS层对数据库文件进行加密很难实现。
⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/脱密工作。这种加密方式的优点是加密功能强,并且加密功能几乎不会影响DBMS的功能,可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行,加重了服务器的负载,而且DBMS和加密器之间的接口需要DBMS开发商的支持。
定义加密要求工具
DBMS
数据库应用系统
加密器
(软件或硬件)
⑶在DBMS外层实现加密。比较实际的做法是将数据库加密系统做成DBMS的一个外层工具,根据加密要求自动完成对数据库数据的加/脱密处理:
定义加密要求工具加密器
(软件或硬件)
DBMS
数据库应用系统
采用这种加密方式进行加密,加/脱密运算可在客户端进行,它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密,缺点是加密功能会受到一些限制,与数据库管理系统之间的耦合性稍差。
下面我们进一步解释在DBMS外层实现加密功能的原理:
数据库加密系统分成两个功能独立的主要部件:一个是加密字典管理程序,另一个是数据库加/脱密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中,通过调用数据加/脱密引擎实现对数据库表的加密、脱密及数据转换等功能。数据库信息的加/脱密处理是在后台完成的,对数据库服务器是透明的。
加密字典管理程序
加密系统
应用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上方式实现的数据库加密系统具有很多优点:首先,系统对数据库的最终用户是完全透明的,管理员可以根据需要进行明文和密文的转换工作;其次,加密系统完全独立于数据库应用系统,无须改动数据库应用系统就能实现数据加密功能;第三,加解密处理在客户端进行,不会影响数据库服务器的效率。
数据库加/脱密引擎是数据库加密系统的核心部件,它位于应用程序与数据库服务器之间,负责在后台完成数据库信息的加/脱密处理,对应用开发人员和操作人员来说是透明的。数据加/脱密引擎没有操作界面,在需要时由操作系统自动加载并驻留在内存中,通过内部接口与加密字典管理程序和用户应用程序通讯。数据库加/脱密引擎由三大模块组成:加/脱密处理模块、用户接口模块和数据库接口模块,如图4所示。其中,"数据库接口模块"的主要工作是接受用户的操作请求,并传递给"加/脱密处理模块",此外还要代替"加/脱密处理模块"去访问数据库服务器,并完成外部接口参数与加/脱密引擎内部数据结构之间的转换。"加/脱密处理模块"完成数据库加/脱密引擎的初始化、内部专用命令的处理、加密字典信息的检索、加密字典缓冲区的管理、SQL命令的加密变换、查询结果的脱密处理以及加脱密算法实现等功能,另外还包括一些公用的辅助函数。
数据加/脱密处理的主要流程如下:
1) 对SQL命令进行语法分析,如果语法正确,转下一步;如不正确,则转6),直接将SQL命令交数据库服务器处理。
2) 是否为数据库加/脱密引擎的内部控制命令?如果是,则处理内部控制命令,然后转7);如果不是则转下一步。
3) 检查数据库加/脱密引擎是否处于关闭状态或SQL命令是否只需要编译?如果是则转6),否则转下一步。
4) 检索加密字典,根据加密定义对SQL命令进行加脱密语义分析。
5) SQL命令是否需要加密处理?如果是,则将SQL命令进行加密变换,替换原SQL命令,然后转下一步;否则直接转下一步。
6) 将SQL命令转送数据库服务器处理。
7) SQL命令执行完毕,清除SQL命令缓冲区。
以上以一个例子说明了在DBMS外层实现加密功能的原理。
金融信息安全主要内容和技术
个人言论 姑且观之
就IT技术而言,包含但不限于如下方面:
身份与访问管理:身份认证、数字证书、堡垒机/运维安全;
内容安全:舆情监控、邮件安全、反钓鱼、不良信息检测与过滤;
数据安全:文档安全、数据库安全、数据防泄漏、VPN ;
应用安全:代码安全、网页防篡改、漏洞扫描、WEB应用扫描与监控、WEB应用防火墙;
终端安全:终端检测响应、终端防护/防病毒;
基础设施安全:UTM、防火墙NGFW、IDS/IPS、主机防护、网络准入、抗DDOS、网闸、容灾备份、上网行为管理;
业务安全:反欺诈、工控安全;
移动安全:移动app安全、移动终端安全、移动业务安全;
安全管理:SOCNGSOC、等保工具
CFCA是什么?
CFCA是中国金融认证中心。
中国金融认证中心((China Financial Certification Authority,英文简称CFCA)。 CFCA是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一,也是《中华人民共和国电子签名法》颁布后,国内首批获得电子认证服务许可的CA之一。
拓展资料:
一、 中国国际金融中心介绍:
中国金融认证中心是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构,是国家重要的金融信息安全基础设施之一。
CFCA作为国家级权威、公正的第三方安全认证机构,为网上金融、电子商务、电子政务提供安全认证服务;确保了网上信息传递双方身份的真实性、信息的保密性和完整性、以及网上交易的不可否认性。
现在各家银行为开展网上业务也都成立了各自CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核,实现了权威的、公正的、可信赖的第三方的作用。
这样,交易的双方在参加交易之前,就已经过了网络银行在互联网上的身份验证和确认。保证了买卖双方的真实身份,为安全的交易奠定了信任的基础。
二、CFCA的发展:
1. “国家金融安全认证系统”:
2004年底,CFCA建成了“国家金融安全认证系统”,开始向网上银行、电子商务、电子政务提供服务。
该系统的建设及应用受到国家相关部门的高度重视,被列入国家863计划。系统先后通过了国家密码管理局的安全性审查、技术鉴定和国家科技部的863项目验收。
“国家金融安全认证系统”具有良好的兼容性和扩展能力,能够充分满足金融信息化、电子商务、电子政务蓬勃发展的需要。该系统的建成,也为跨银行、跨行业一证通用打下了基础。
2.高知名度:
CFCA在行业内拥有权威地位和较高的品牌知名度,同时,具有良好的品牌信誉度,拥有丰富的信息安全领域经验和雄厚实力。
为金融行业、电子商务、电子政务领域服务,提供信息安全解决方案、信息安全产品研发、信息安全评估、安全技术支持、联合测试等全方位的信息安全服务。
国内绝大部分银行(100多家)已经采用了CFCA提供的第三方安全认证。
目前,CFCA的产品应用于银行等金融机构、税务等政府机关、大企业集团,广泛得到客户好评。
CFCA作为国内一流水平的电子认证服务机构和信息安全综合解决方案提供商,将竭诚服务广大客户,用专业化水平推动信息安全事业,促进网络应用繁荣发展。
4.团队人才:
CFCA汇集高、精、尖人才,拥有优秀的管理团队和工作扎实、饱含激情与活力的员工队伍。
CFCA人秉承安全为本、诚信为尊、客户第一、服务至上的原则为国家金融信息安全基础设施建设、电子商务诚信体系建设进行着不懈奋斗。
网站题目:金融信息安全解决方案 金融信息安全解决方案是什么
文章转载:http://ybzwz.com/article/doegchc.html