『壹』 關於許可權控制中的數據訪問許可權問題
個人覺得提的問題范圍有些大,如果只針對案例要解決這個問題很簡單,只需要設置部門,個人的使用許可權即可,許可權都是疊加的,比如A員工只能查看A部門的工資,只需將A部門許可權給a員工即可,部門隸屬許可權都具備了這都不是問題了.
如果是企業級系統涉及多模塊及業務數據的許可權控制的話,就需要設計獨立的數據許可權模塊才能做到架構層面解決了,可對表級設置許可權策略.
『貳』 怎麼判斷電腦被境外控制
電腦數據交換是靠商品發送接收數據的,你下載一個電腦埠數據掃描查看器,當你電腦沒開任何聯網程序和網頁時包括殺毒軟體,如果還有埠是打開的有數據包傳送,你就要對這個埠進行進一步查看,他連接的IP地址,然後對他的IP地址做分析,是國內服務廠商的,還是其它非法跳板Ip,還是國外Ip。一般只有專業人員才能區分。這樣就能分析是否電腦被控制。
『叄』 跨境數據面臨安全威脅
跨境數據面臨安全威脅
經濟全球化對信息跨境流動提出了迫切要求,互聯網信息技術的發展使得數據跨境轉移變得輕而易舉。但由於各國數據保護方面的法制建設參差不齊,國際網路攻擊愈演愈烈,數據跨境轉移的安全性問題也面臨前所未有的挑戰。我國在跨境數據安全方面的法律法規還不健全,在如何加強跨境數據安全管理、保障用戶個人信息安全方面,歐盟等其他國家的立法經驗對我國具有重要借鑒意義。
技術發展帶來數據安全隱患
當前,論壇、博客、視頻分享網站等飛速發展,微博等社交網站異軍突起,智能手機、搜索引擎等技術不斷發展,跨境數據安全問題日益引起各界關注。日前,蘋果公司被曝在沒有告知用戶並獲得許可的情況下,私自通過iPad和iPhone手機收集用戶的行蹤信息,用於建立用戶位置信息資料庫,並將境內用戶信息傳遞到境外資料庫。事件引發了人們對個人信息保護問題的擔憂,也將跨境數據安全問題推到了風口浪尖上。
另外,物聯網、雲計算等技術蓬勃發展,數據流動突破了國界限制,數據跨境傳播更加暢通無阻,但邊界模糊也使得其背後的安全性問題備受關注。數據所有者無法確認其詳細位置,那麼數據的保護問題也就無從談起。
跨境網路攻擊愈演愈烈
當數據藉助互聯網在全球自由傳輸時,也面臨著各種跨境網路攻擊的威脅:上網購物遭遇釣魚網站,用戶賬號密碼被竊取,錢財不翼而飛;收發郵件撞上蠕蟲病毒,資料頃刻化為烏有;瀏覽網頁被植入木馬程序,個人信息泄露……跨境網路攻擊事件使得全球用戶深受其害,網路攻擊已成為國際公害。索尼公司旗下的「游戲站」和雲音樂服務Qriocity網路就因遭到黑客入侵,導致全球約7800萬用戶的姓名、地址、電子郵箱、登錄名及密碼等個人信息遭竊。據國家互聯網應急中心(CNCERT)發布的《2011年中國互聯網網路安全態勢報告》稱,2011年,我國遭境外網路攻擊持續增多,境外有近4.7萬個IP地址作為木馬或僵屍網路控制伺服器,控制我國境內近890萬台主機,比2010年控制主機數增長近1倍。報告還稱,由於社交網站、論壇等安全性差,用戶信息極易被盜,未來信息失竊及其導致的問題可能更為嚴重。急劇增長的跨境網路攻擊事件使得跨境數據轉移面臨著嚴峻的安全挑戰,如何用法制手段規范跨境數據傳輸並確保其安全,值得立法者及監管者深入研究。
標准不一阻礙信息自由流動
雖然多個國家立法加強對跨境數據傳播的管理,但各國數據保護標准不相協調,使得跨境數據傳輸面臨數據保護法律相悖及跨境執行難等問題。根據美國的愛國者法案要求,在其他國家存儲、處理的任何資料需接受美國政府的檢查。也就是說,一旦美國執法者認定信息與國家安全有關,在取得法院許可的條件下,未經同意就能檢查用戶的數據。美國的這一規定引起了不少爭議,歐洲數據保護法專員就此多次要求美國對此行為作出解釋。業界公司及各國領導人也紛紛呼籲制定全球性新規,以便管理跨境數據。微軟高級副總裁兼首席法律顧問BradSmith就曾表示:「世界各國制定了各種各樣的法律,使信息提供商感到無所適從。」他呼籲各國共同制定一套新的交易規則,以管理電子數據的跨境傳輸。另外,歐盟委員會電信專員雷丁也表示,希望美國加強互聯網數據保護,實現標准一致的隱私保護制度。
『肆』 資料庫訪問控制功能是通過什麼命令實現的
<util:property-path id="property-path" path="helloWorld.hello"/>
/bin/arch = unknown
/usr/bin/arch -k = unknown
/usr/convex/getsysinfo = unknown
/usr/bin/hostinfo = Mach kernel version:
Darwin Kernel Version 11.4.0d1: Fri May 18 16:05:31 EDT 2012; root:xnu-1699.26.8/BUILD/obj//RELEASE_I386
Kernel configured for up to 4 processors.
4 processors are physically available.
4 processors are logically available.
Processor type: i486 (Intel 80486)
Processors active: 0 1 2 3
『伍』 資料庫的訪問許可權主要有幾種控制方法
增,刪,改,查記錄以及表都可以設置許可權
『陸』 國家如何管控超出邊界的網路信息
邊界防護技術
從網路的誕生,就產生了網路的互聯,Cisco公司就是靠此而興起的。從沒有什麼安全功能的早期路由器,到防火牆的出現,網路邊界一直在重復著攻擊者與防護者的博弈,這么多年來,「道高一尺,魔高一丈」,好象防護技術總跟在攻擊技術的後邊,不停地打補丁。其實邊界的防護技術也在博弈中逐漸成熟:
1、防火牆技術
網路隔離最初的形式是網段的隔離,因為不同的網段之間的通訊是通過路由器連通的,要限制某些網段之間不互通,或有條件地互通,就出現了訪問控制技術,也就出現了防火牆,防火牆是不同網路互聯時最初的安全網關。
防火牆的安全設計原理來自於包過濾與應用代理技術,兩邊是連接不同網路的介面,中間是訪問控制列表ACL,數據流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查,檢查的是你是哪個國家的人,但你是間諜還是遊客就無法區分了,因為ACL控制的是網路的三層與四層,對於應用層是無法識別的。後來的防火牆增加了NAT/PAT技術,可以隱藏內網設備的IP地址,給內部網路蒙上面紗,成為外部「看不到」的灰盒子,給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯系,從而「穿透」了NAT的「防護」,很多P2P應用也採用這種方式「攻破」了防火牆。
防火牆的作用就是建起了網路的「城門」,把住了進入網路的必經通道,所以在網路的邊界安全設計中,防火牆成為不可缺的一部分。
防火牆的缺點是:不能對應用層識別,面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網路互聯,防火牆的安全性就遠遠不夠了。
2、多重安全網關技術
既然一道防火牆不能解決各個層面的安全防護,就多上幾道安全網關,如用於應用層入侵的IPS、用於對付病毒的AV、用於對付DDOS攻擊的…此時UTM設備就誕生了,設計在一起是UTM,分開就是各種不同類型的安全網關。
多重安全網關就是在城門上多設幾個關卡,有了職能的分工,有驗證件的、有檢查行李的、有查毒品的、有查間諜的……
多重安全網關的安全性顯然比防火牆要好些,起碼對各種常見的入侵與病毒都可以抵禦。但是大多的多重安全網關都是通過特徵識別來確認入侵的,這種方式速度快,不會帶來明顯的網路延遲,但也有它本身的固有缺陷,首先,應用特徵的更新一般較快,目前最長也以周計算,所以網關要及時地「特徵庫升級」;其次,很多黑客的攻擊利用「正常」的通訊,分散迂迴進入,沒有明顯的特徵,安全網關對於這類攻擊能力很有限;最後,安全網關再多,也只是若干個檢查站,一旦「混入」,進入到大門內部,網關就沒有作用了。這也安全專家們對多重安全網關「信任不足」的原因吧。
3、網閘技術
網閘的安全思路來自於「不同時連接」。不同時連接兩個網路,通過一個中間緩沖區來「擺渡」業務數據,業務實現了互通,「不連接」原則上入侵的可能性就小多了。
網閘只是單純地擺渡數據,近似於人工的「U盤擺渡」方式。網閘的安全性來自於它擺渡的是「純數據」還是「灰數據」,通過的內容清晰可見,「水至清則無魚」,入侵與病毒沒有了藏身之地,網路就相對安全了。也就是說,城門只讓一種人通過,比如送菜的,間諜可混入的概率就大大降低了。但是,網閘作為網路的互聯邊界,必然要支持各種業務的連通,也就是某些通訊協議的通過,所以網閘上大多開通了協議的代理服務,就象城牆上開了一些特殊的通道,網閘的安全性就打了折扣,在對這些通道的安全檢查方面,網閘比多重安全網關的檢查功效不見得高明。
網閘的思想是先堵上,根據「城內」的需要再開一些小門,防火牆是先打開大門,對不希望的人再逐個禁止,兩個思路剛好相反。在入侵的識別技術上差不多,所以採用多重網關增加對應用層的識別與防護對兩者都是很好的補充。
後來網閘設計中出現了存儲通道技術、單向通道技術等等,但都不能保證數據的「單純性」,檢查技術由於沒有新的突破,所以網閘的安全性受到了專家們的質疑。
但是網閘給我們帶來了兩點啟示:
1、建立業務互通的緩沖區,既然連接有不安全的可能,單獨開辟一塊地區,縮小不安全的范圍也是好辦法。
2、協議代理,其實防火牆也有應用代理是思想,不讓來人進入到成內,你要什麼服務我安排自己的人給你提供服務,網路訪問的最終目的是業務的申請,我替你完成了,不也達到目的了嗎?黑客在網路的大門外邊,不進來,威脅就小多啦。
4、數據交換網技術
火牆到網閘,都是採用的關卡方式,「檢查」的技術各有不同,但對黑客的最新攻擊技術都不太好用,也沒有監控的手段,對付「人」的攻擊行為來說,只有人才是最好的對手。
數據交換網技術是基於緩沖區隔離的思想,把城門處修建了一個「數據交易市場」,形成兩個緩沖區的隔離,同時引進銀行系統對數據完整性保護的Clark-Wilson模型,在防止內部網路數據泄密的同時,保證數據的完整性,即沒有授權的人不能修改數據,防止授權用戶錯誤的修改,以及內外數據的一致性。
數據交換網技術給出了邊界防護的一種新思路,用網路的方式實現數據交換,也是一種用「土地換安全」的策略。在兩個網路間建立一個緩沖地,讓「貿易往來」處於可控的范圍之內。
數據交換網技術比其他邊界安全技術有顯著的優勢:
1、綜合了使用多重安全網關與網閘,採用多層次的安全「關卡」。
2、有了緩沖空間,可以增加安全監控與審計,用專家來對付黑客的入侵,邊界處於可控制的范圍內,任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。
3、業務的代理保證數據的完整性,業務代理也讓外來的訪問者止步於網路的交換區,所有的需求由服務人員提供,就象是來訪的人只能在固定的接待區洽談業務,不能進入到內部的辦公區。
數據交換網技術針對的是大數據互通的網路互聯,一般來說適合於下面的場合:
1、頻繁業務互通的要求:
要互通的業務數據量大,或有一定的實時性要求,人工方式肯定不夠用,網關方式的保護性又顯不足,比如銀行的銀聯系統、海關的報關系統、社保的管理系統、公安的出入境管理系統、大型企業的內部網路(運行ERP)與Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其數據中心的重要性是不言而喻,但又與廣大百姓與企業息息相關,業務要求提供互聯網的訪問,在安全性與業務適應性的要求下,業務互聯需要用完整的安全技術來保障,選擇數據交換網方式是適合的。
2、高密級網路的對外互聯:
高密級網路一般涉及國家機密,信息不能泄密是第一要素,也就是絕對不允許非授權人員的入侵。然而出於對公眾信息的需求,或對大眾網路與信息的監管,必須與非安全網路互聯,若是監管之類的業務,業務流量也很大,並且實時性要求也高,在網路互聯上選擇數據交換網技術是適合的。
四、總結「魔高道高,道高魔高」。網路邊界是兩者長期博弈的「戰場」,然而安全技術在「不斷打補丁」的同時,也逐漸在向「主動防禦、立體防護」的思想上邁進,邊界防護的技術也在逐漸成熟,數據交換網技術就已經不再只是一個防護網關,而是一種邊界安全網路,綜合性的安全防護思路。也許安全的話題是永恆的,但未來的網路邊界一定是越來越安全的,網路的優勢就在於連通。
『柒』 境外無法使用iPhone數據漫遊業務怎麼辦
iPhone手機登陸漫遊網路後,若無法使用數據漫遊業務,可進行以下操作嘗試解決:從手機面板上依次進入「設置」——「網路」選項後,將「數據漫遊」開關打開;如需使用3G高速數據漫遊業務,在完成了上述操作後,還需在「網路」選項中打開「啟用3G」的開關。 如果通過以上操作仍然無法解決,建議你可以致電中國聯通國際漫遊客服熱線:+8618618610010。
『捌』 訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1)自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者,可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表(ACL)。
③每次訪問時都以基於訪問控制列表檢查用戶標志,實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的許可權後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。
2)強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問許可權,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,MAC不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、秘密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標簽,以標識安全等級。
通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。
3)基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的靈活性。
RBAC模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(Group,許可權分配的單位與載體)指定一個角色。
RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法,一般在操作系統的控制下,按照事先確定的規則決定是否允許主體訪問客體,貫穿於系統全過程。
訪問控制矩陣(Access Contro1 Matrix)是最初實現訪問控制機制的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問,實現認證與訪問控制的分離。在實際應用中,對於較大系統,由於訪問控制矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下2種方法。
1)訪問控制列表
訪問控制列表(Access Control List,ACL)是應用在路由器介面的指令列表,用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表,表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的ACL置為空,可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的ACL,耗費較多資源,但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。
2)能力關系表
能力關系表(Capabilities List)是以用戶為中心建立訪問許可權表。與ACL相反,表中規定了該用戶可訪問的文件名及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢,主要優點是,可集中存儲用戶身份信息,用戶只需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路用戶的效率,減少網路操作的成本,增強網路安全性。根據登入的應用類型不同,可將SSO分為3種類型。
1)對桌面資源的統一訪問管理
對桌面資源的訪問管理,包括兩個方面:
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展,「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具,可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略,Windows並不主動提供與其他系統的直接連接。現在,已經有第三方產品提供上述功能,利用Active Directory存儲其他應用的用戶信息,間接實現對這些應用的SSO服務。
2)Web單點登入
由於Web技術體系架構便捷,對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用,提供完整的Web SSO解決方案。
3)傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上,實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面,可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。
在不同的應用系統之間,同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排(EAI)平台建設一同進行。
『玖』 常用的資料庫訪問行為實時監控技術有哪些
資料庫防火牆系統,串聯部署在資料庫伺服器之前,解決資料庫應用側和運維側兩方面的問題,是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。DBFirewall基於主動防禦機制,實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。
資料庫安全技術之一,資料庫安全技術主要包括:資料庫漏掃、資料庫加密、資料庫防火牆、數據脫敏、資料庫安全審計系統。
資料庫安全風險包括:刷庫、拖庫、撞庫。
資料庫安全攻擊手段包括:SQL注入攻擊。