论文部分内容阅读
摘要: 现有的计算机信息系统多采用数据库存储和管理大量的关键数据,因此数据库的安全问题也是系统安全的关键环节之一。攻击者最终的目标还是系统中关键的数据信息,如何有效保证数据的完整性、保密性,防止数据不被破坏、不被窃取,这也是系统安全研究的重点内容。对数据库中数据的安全威胁与备份恢复技术进行研究。
关键词: 安全威胁;备份;恢复
中图分类号:NT文献标识码:A文章编号:1671-7597(2011)0320118-01
由于“黑客”活动日益猖獗、病毒泛滥、Windows系统漏洞百出以及技术手段不完备使得人们将更多的精力放在网络的安全防范。了解针对数据库的攻击技术,并采取相应的数据库安全防范措施,是系统安全技术人员需要关注的重点。
1 数据的安全威胁
随着社会对计算机和网络的依赖性越来越大,如何保证计算机中数据的完整性、保密性和可用性、成为每一个计算机使用者关心的重点。数据的完整性和可用性就是保证计算机系统中的数据和信息处于一种完整和未受损的状态。
攻击者的目的是对信息进行窃取或者破坏,计算机操作员也存在误删、误改的误操作行为,这些都对数据的安全性构成了巨大的威胁。而除了人为造成的问题之外,硬件故障和网络故障也是计算机运行过程中常见的故障,它们也将破坏数据的安全属性,严重时将造成数据的丢失。而往往在毫无防备的情况下突然袭来的灾难,使系统数据的安全属性遭受更严重的挑战,所有系统连同数据顷刻间将全部毁坏。为此,针对数据的安全威胁进行应对,将有效防止和提高数据的完整性、保密性和可用性。
2 数据的加密存储
数据安全性的重要一点是保障数据的保密性,通常采用的技术是在数据的存储过程中采用加密算法实现数据在介质中加密存放。数据保密性的目的在于当数据介质遭受盗窃或者非法复制后,仍然可以保证关键数据不被泄露。
在Windows操作系统中,NTFS文件系统通过EFS(Encrypt File System)数据加密技术实现数据的加密存储。当启用EFS时,Windows创建一个随机生成的文件加密密钥(FEK),在数据写入到磁盘时,透明地使用这个FEK加密数据。然后Windows用公钥加密FEK,把加密的FEK和加密的数据放在一起。公钥是第一次使用EFS时,Windows自动少成的公私钥对中的公钥。FEK是对称密钥,它加密的数据只能在用户有相关私钥才能解密出FEK,再解密出加密的数据。
此外,PGP(Pretty Good Privacy)除了对电子邮件进行加密以防止非授权者阅读外,也可实现对存储介质中的数据进行加密。PGP采用公钥密码算法对数据进行加密,它可创建个PGPdisk虚拟加密磁盘,所有数据写入此磁盘空间后,数据都处于加密状态,只有输入正确的Passphrase,才能访问加密的数据信息。此块磁盘空间的数据即使被窃取,也始终处下加密状态,保证了数据的安全。
3 数据备份和恢复技术
为保证数据的完整性和可用性,常常采用备份、归档、分级存储、镜像、RAID以及远程容灾等技术实现对数据的安全保障。在这几种技术的基础上,发展起来多种数据备份和恢复技术。
3.1 高可用性系统。高可用性系统的主要功能是保证在计算机系统的软硬件出现单点故障时,通过集群软件实现业务的正常切换,保证业务不间断、不停顿。高可用性系统是一组通过高速网络连接的计算机集合,通过高可用集群软件相互协作,作为一个整体对外提供服务。
高可用性系统通过多个服务器的相互备份实现了服务器单点故障时业务的正常进行,例如,服务机的双网卡或者多网卡,以及RAID冗余磁盘阵列等。由于集群系统在计算上的内在关联性,决定了节点之间的数据交换量较大,特别是当集群内节点数增加到几十乃至几百时,内部网络传输数据的速率是整个系统计算速度的瓶颈,较高的传输带宽和尽量低的传输延时是高可用系统所追求的主要目标。
3.2 网络备份。传统的单机备份,备份设备连接到服务器,所以服务器负担重,备份操作安全性差。当服务器采用双机或集群时,备份设备只能通过其中的一台服务器进行备份。当网络中业务主机较多,并且需要实施备份操作的系统平台和数据库版本不同时,通过网络备份服务器对局域网中的不同业务主机数据进行备份就是一个最佳的选择。
网络备份是通过在网络备份服务器上安装备份服务器端软件,在需要进行数据备份的业务主机上安装网络备份客户端软件,客户端软件将备份的数据通过网络传到备份服务器进行备份。网络备份使每台服务器负担减轻,备份操作安全性高。通过网络备份软件也可以很好地对备份介质进行管理,实现全自动备份和恢复,可实现定时备份,并支持完全备份、增量备份、差量备份等多种备份策略。网络备份为局域网中的数据备份提供了高效的备份管理手段。
3.3 SAN备份。存储区域网SAN是一种采用光纤接口将磁盘阵列和前端服务器连接起来的高速专用于网。SAN减少了对局域网网络资源的占用,改善了数据传输性能;改善了数据访问途径和访问速度,服务器可以通过光纤网络高速、远距离地访问共享存储设备。管理人员也可以集中管理存储系统,强化备份和恢复策略,提高整个系统的效率。
3.4 归档和分级存储管理。归档和分级存储管理是与网络备份不同的另一种数据备份技术。它可用来解决网络上数据不断增长,造成数据量过大、计算机存储空间无法满足数据库存储需求的情况。
归档是指将数据复制或者打包存放,以便能长时间地进行保存。归档的主要作用是长期保存数据,将有价值的数据安全地保存较长的时间。文件归档可以通过文档服务器对重要文档进行统一备份管理。普通信息数据般通过数据压缩工具进行压缩,然后定期复制后存储下来。另一种常用的归档方法是使用备份系统,将关键数据备份到可移动介质中进行存放。
3.5 数据容灾系统。数据备份系统和高可用性系统可以避免由于软硬件故障、人为操作失误和病毒造成的数据完整性、可用性的破坏。但是,当计算机系统遭受如地震、火灾和恐怖袭击时,上述技术仍然无法解决。这时,就要靠数据容灾系统保护数据的完整可用性。
数据容灾系统除了在本地包含高可用性系统和数据备份系统之外,还包括数据远程复制系统和远税高可用性系统。数据远程复制系统主要保证本地数据中心和远程备份数据中心的数据一致性,数据远程复制一般通过软件数据复制和硬件数据复制技术实现,具体复制方式主要包括同步方式和异步方式。远程高可用性系统主要保证本地发生灾难后,业务及时切换到远程备份系统,它基于本地高可用性系统,实现远程故障的诊断、分类,并及时采取相应的故障接管措施。
参考文献:
[1]唐文龙,基于分布式技术的数据备份与恢复[J].保山师专学报,2007(02).
[2]谢元贞,数据备份技术[J].自动化技术与应用,2001(03).
关键词: 安全威胁;备份;恢复
中图分类号:NT文献标识码:A文章编号:1671-7597(2011)0320118-01
由于“黑客”活动日益猖獗、病毒泛滥、Windows系统漏洞百出以及技术手段不完备使得人们将更多的精力放在网络的安全防范。了解针对数据库的攻击技术,并采取相应的数据库安全防范措施,是系统安全技术人员需要关注的重点。
1 数据的安全威胁
随着社会对计算机和网络的依赖性越来越大,如何保证计算机中数据的完整性、保密性和可用性、成为每一个计算机使用者关心的重点。数据的完整性和可用性就是保证计算机系统中的数据和信息处于一种完整和未受损的状态。
攻击者的目的是对信息进行窃取或者破坏,计算机操作员也存在误删、误改的误操作行为,这些都对数据的安全性构成了巨大的威胁。而除了人为造成的问题之外,硬件故障和网络故障也是计算机运行过程中常见的故障,它们也将破坏数据的安全属性,严重时将造成数据的丢失。而往往在毫无防备的情况下突然袭来的灾难,使系统数据的安全属性遭受更严重的挑战,所有系统连同数据顷刻间将全部毁坏。为此,针对数据的安全威胁进行应对,将有效防止和提高数据的完整性、保密性和可用性。
2 数据的加密存储
数据安全性的重要一点是保障数据的保密性,通常采用的技术是在数据的存储过程中采用加密算法实现数据在介质中加密存放。数据保密性的目的在于当数据介质遭受盗窃或者非法复制后,仍然可以保证关键数据不被泄露。
在Windows操作系统中,NTFS文件系统通过EFS(Encrypt File System)数据加密技术实现数据的加密存储。当启用EFS时,Windows创建一个随机生成的文件加密密钥(FEK),在数据写入到磁盘时,透明地使用这个FEK加密数据。然后Windows用公钥加密FEK,把加密的FEK和加密的数据放在一起。公钥是第一次使用EFS时,Windows自动少成的公私钥对中的公钥。FEK是对称密钥,它加密的数据只能在用户有相关私钥才能解密出FEK,再解密出加密的数据。
此外,PGP(Pretty Good Privacy)除了对电子邮件进行加密以防止非授权者阅读外,也可实现对存储介质中的数据进行加密。PGP采用公钥密码算法对数据进行加密,它可创建个PGPdisk虚拟加密磁盘,所有数据写入此磁盘空间后,数据都处于加密状态,只有输入正确的Passphrase,才能访问加密的数据信息。此块磁盘空间的数据即使被窃取,也始终处下加密状态,保证了数据的安全。
3 数据备份和恢复技术
为保证数据的完整性和可用性,常常采用备份、归档、分级存储、镜像、RAID以及远程容灾等技术实现对数据的安全保障。在这几种技术的基础上,发展起来多种数据备份和恢复技术。
3.1 高可用性系统。高可用性系统的主要功能是保证在计算机系统的软硬件出现单点故障时,通过集群软件实现业务的正常切换,保证业务不间断、不停顿。高可用性系统是一组通过高速网络连接的计算机集合,通过高可用集群软件相互协作,作为一个整体对外提供服务。
高可用性系统通过多个服务器的相互备份实现了服务器单点故障时业务的正常进行,例如,服务机的双网卡或者多网卡,以及RAID冗余磁盘阵列等。由于集群系统在计算上的内在关联性,决定了节点之间的数据交换量较大,特别是当集群内节点数增加到几十乃至几百时,内部网络传输数据的速率是整个系统计算速度的瓶颈,较高的传输带宽和尽量低的传输延时是高可用系统所追求的主要目标。
3.2 网络备份。传统的单机备份,备份设备连接到服务器,所以服务器负担重,备份操作安全性差。当服务器采用双机或集群时,备份设备只能通过其中的一台服务器进行备份。当网络中业务主机较多,并且需要实施备份操作的系统平台和数据库版本不同时,通过网络备份服务器对局域网中的不同业务主机数据进行备份就是一个最佳的选择。
网络备份是通过在网络备份服务器上安装备份服务器端软件,在需要进行数据备份的业务主机上安装网络备份客户端软件,客户端软件将备份的数据通过网络传到备份服务器进行备份。网络备份使每台服务器负担减轻,备份操作安全性高。通过网络备份软件也可以很好地对备份介质进行管理,实现全自动备份和恢复,可实现定时备份,并支持完全备份、增量备份、差量备份等多种备份策略。网络备份为局域网中的数据备份提供了高效的备份管理手段。
3.3 SAN备份。存储区域网SAN是一种采用光纤接口将磁盘阵列和前端服务器连接起来的高速专用于网。SAN减少了对局域网网络资源的占用,改善了数据传输性能;改善了数据访问途径和访问速度,服务器可以通过光纤网络高速、远距离地访问共享存储设备。管理人员也可以集中管理存储系统,强化备份和恢复策略,提高整个系统的效率。
3.4 归档和分级存储管理。归档和分级存储管理是与网络备份不同的另一种数据备份技术。它可用来解决网络上数据不断增长,造成数据量过大、计算机存储空间无法满足数据库存储需求的情况。
归档是指将数据复制或者打包存放,以便能长时间地进行保存。归档的主要作用是长期保存数据,将有价值的数据安全地保存较长的时间。文件归档可以通过文档服务器对重要文档进行统一备份管理。普通信息数据般通过数据压缩工具进行压缩,然后定期复制后存储下来。另一种常用的归档方法是使用备份系统,将关键数据备份到可移动介质中进行存放。
3.5 数据容灾系统。数据备份系统和高可用性系统可以避免由于软硬件故障、人为操作失误和病毒造成的数据完整性、可用性的破坏。但是,当计算机系统遭受如地震、火灾和恐怖袭击时,上述技术仍然无法解决。这时,就要靠数据容灾系统保护数据的完整可用性。
数据容灾系统除了在本地包含高可用性系统和数据备份系统之外,还包括数据远程复制系统和远税高可用性系统。数据远程复制系统主要保证本地数据中心和远程备份数据中心的数据一致性,数据远程复制一般通过软件数据复制和硬件数据复制技术实现,具体复制方式主要包括同步方式和异步方式。远程高可用性系统主要保证本地发生灾难后,业务及时切换到远程备份系统,它基于本地高可用性系统,实现远程故障的诊断、分类,并及时采取相应的故障接管措施。
参考文献:
[1]唐文龙,基于分布式技术的数据备份与恢复[J].保山师专学报,2007(02).
[2]谢元贞,数据备份技术[J].自动化技术与应用,2001(03).