㈠ 海南省大数据管理局管理暂行办法
第一章总 则第一条为规范海南省大数据管理局(以下简称省大数据管理局)设立和运作,创新大数据管理体制机制,推进我省大数据统一建设,统一管理,高效服务,根据相关法律法规精神和我省实际制定本办法。第二条省大数据管理局是省政府依法设立,承担大数据建设、管理和服务等职责,不以营利为目的,不列入行政机构序列,不从事法定职责外事务,具有独立法人地位的法定机构。第三条省大数据管理局在省政府领导下,坚持创新、市场化、与国际接轨的基本原则,统筹规划,整体推进,加快推进海南大数据发展。第二章职 责第四条省大数据管理局主要承担以下职责:
(一)负责使用省本级财政性资金、中央财政补助资金的信息化工程项目的管理,市县信息化建设项目的审核;负责组织实施大数据、信息化、智慧城市政策措施。
(二)负责推进社会经济、民生保障各领域大数据开发应用,引导、推动大数据分析研究和应用工作。
(三)负责统筹全省政务信息网络系统、政务数据中心、电子政务基础设施以及全省基础性、公共性政务信息化项目的建设和管理。
(四)负责统筹政府数据采集汇聚、登记管理、共享开放;推动社会数据汇聚融合、互联互通;组织实施大数据安全体系建设和安全保障工作;
(五)负责政府数据资产的登记、管理和运营,推动大数据产业发展。
(六)负责承担大数据、信息化领域对外交流合作,组织大数据、信息化领域相关企业参与国际国内重大交流合作活动;组织和指导相关企业开展区域化合作、国际化经营;指导大数据、信息化、智慧城市领域行业协会、学会、联盟机构工作。
(七)负责大数据、信息化人才队伍建设工作;拟订并组织实施大数据、信息化人才发展规划;组织协调全省大数据、信息化人才教育有关工作。第五条省大数据管理局配合省工业和信息化厅承担全省信息化相关规划、监督职责,以及省政府交办的其他工作。第三章运作机制第六条省大数据管理局由省政府直接管理。省政府大数据推进工作领导小组统筹全省大数据发展和管理的重大决策。第七条省大数据管理局实行法人治理结构,建立理事会决策、局长执行的治理架构。由省政府发起成立省大数据管理局理事会,代表省政府履行管理责任,决定发展战略、项目投资、薪资总额和年度工作目标等重大事项。第八条在职责范围内,省工业和信息化厅、省互联网信息办公室对省大数据管理局进行业务指导和监督。第九条按照“管运分离”的原则,省大数据管理局依法组建省大数据运营公司,承担全省电子政务基础设施、公共平台和共性平台的建设运维工作,省大数据管理局履行出资人职责。第十条省大数据管理局实行员额管理制度。根据工作需要,可以设置省大数据管理局大数据架构师等高端特聘职位。内设机构由省大数据管理局自主管理,人员能进能出。第十一条省大数据管理局的登记机关是海南省委机构编制委员会办公室。省大数据管理局应建立章程并按章程运行,根据党员人数,依规按程序相应成立党的基层组织。第十二条下列重大事项应当经省大数据管理局理事会研究讨论提出意见,按规定程序报批后实施:
(一)全省大数据发展战略、规划、省级政务信息化项目年度计划和相关投资事项;
(二)年度工作计划和财务预(决)算报告;
(三)省大数据管理局薪酬方案、年金方案、管理层人员薪酬标准和激励事项,以及相关管理制度。
(四)应当报请省政府决定的重大事项。第四章人事管理第十三条省大数据管理局除局长外,实行企业薪酬制度和企业年金制度,其薪酬水平参考市场因素自主确定。建立完善个人薪酬与绩效考核相挂钩的激励制度,薪酬能高能低。第十四条省大数据管理局应当按照科学合理、精简高效、公开平等、竞争择优的原则聘用人员。第五章财务管理第十五条省大数据管理局经费来源主要由开办资金、承接服务收入和其他合理合法的市场化收入组成。省大数据管理局相关支出从上述经费中保障。省大数据管理局的盈余经费应当全部用于全省大数据管理业务发展。第十六条省大数据管理局作为一级财政预算单位管理,财政经费预算实行国库集中支付,并接受有关机构监督。
㈡ 大数据安全的三要素是什么
大数据安全的三要素是安全存储、传输和认证。
大数据安全的三要素包括安全存储、安全传输和安全认证的使用者。只有安全存储、安全传输、以及认证的使用三者有机结合,才能最大程度上保证大数据安全的使用。
简介:
大数据时代来临,各行业数据规模呈TB级增长,拥有高价值数据源的企业在大数据产业链中占有至关重要的核心地位。
在实现大数据集中后,如何确保网络数据的完整性、可用性和保密性,不受到信息泄漏和非法篡改的安全威胁影响,已成为政府机构、事业单位信息化健康发展所要考虑的核心问题。
大数据安全的防护技术有:数据资产梳理(敏感数据、数据库等进行梳理)、数据库加密(核心数据存储加密)、数据库安全运维(防运维人员恶意和高危操作)、数据脱敏(敏感数据匿名化)、数据库漏扫(数据安全脆弱性检测)等。
㈢ 大数据就意味着更大的安全风险吗
大数据就意味着更大的安全风险吗
现如今,围绕着大数据分析所涉及到的相关隐私问题存在着许多的担忧:企业和各国的政府机构是否有权获得如此广泛的个人和群体信息?同时,对于他们收集和处理这些数据信息是否有相关的法律或政策对其进行指导和约束?这其中一个相当关键但却并不经常被人们讨论和关注的问题是安全性。
企业和政府机构所收集、存储、分析和分发大量数据信息是否正面临着安全风险方面的挑战?如果是的话,他们应该怎么做来减轻这些挑战呢?
大数据不仅仅只是大量的数据
从某种意义上说,当一家企业开始收集和存储大量的数据信息时,其就已然成为了一个相当显眼的黑客攻击目标。但更广泛地说,对那些收集了大量有价值的非结构化数据信息的企业而言,其数据信息可能并不存在任何根本性的新威胁。
罗伯特?麦加维引用Brainloop公司全球营销副总裁David Topping的话说:“ 对于黑客攻击而言,那些PB级存储的大数据信息是安全的,因为这些数据的量对于黑客而言根本就太大了。也许除了那些资金雄厚的赞助商之外,一般的黑客都缺乏相关的分析工具来从如此庞大的数据量中提取有意义的信息。换句话说,企业也和这些黑客一样,面临同样严峻而显着的问题:如何从他们所收集的庞大数据中提取有价值的东西出来。因此,对于个别大型数据存储库而言,考虑增加任何超出其它类型数据库的安全性措施并无太大的实施意义,尤其是考虑到这些黑客相对于各大机构的能力往往是有限的。”
环境和细粒度的安全
但仅仅只是因为这些数据是非结构化的或更难进行筛选分析,并不意味着大数据必然是更安全。如果所有的大数据存储库都是有用的,就不能将所有每一条信息都进行同等的维护。正如InfoWorld的安得烈C.奥利弗指出的那样:“您企业所收集的数据越多,保持这些数据细粒度的任务和挑战也就越艰巨。企业如何才能在不牺牲大数据性能的前提下牢牢把握所有这些数据的所有权,并遵守相关的监管规定呢?这促使企业首先需要选择一款大数据解决方案。”
细粒度的数据安全分区对数据访问进行了分类。例如,企业的某部分员工可能只能够访问非财务方面的数据,而较高级的员工则有权访问更多的信息。此外,某些信息可能由另一个部门所拥有,或者对其的使用会被加以限制。我们面临的挑战是如何良好的对一个有组织且安全的系统进行维护,尽管面临着一定的环境困境。因此当企业在面临着在安全和盈利能力之间进行权衡的问题时,他们可以很容易地进行响应:“是的,我们有标准的网络安全,所以我们的数据是安全的。”
大数据不能被匿名化
您企业所受收集的数据越详细,就越是可能涉及到更多的个体私人信息,因此,对于个人隐私和安全问题的关注度也应提高。有CSO指出:“计算机科学家表示他们可以使用不涉及个人可识别信息的数据来重建相关人员的身份数据。例如,如果一家品牌企业或政府机构获得了覆盖某地区一年的客户GPS记录列表,那么,他们可以用该列表来了解一人或多人的身份信息。”在这种情况下,找到一个人的身份信息是非常简单的。例如,在某个时间段根据GPS进行定位,然后从互联网上搜索与该位置有关用户的姓名。一般情况下,这个过程可能会更复杂一点,但从概念上讲,其是一个很容易解决的简单问题。
尽管企业纷纷试图使大数据匿名化,这些企业最好的方法也只是使这些数据“假名化”——让一些信息是假名的,当然仍还是可与一个真实的身份相联系。这一有限制性的匿名化是大数据危险的一部分:黑客和其他恶意方可能无法完成数据的精细分析,但考虑到这些有限信息种类的丰富性,他们可以收集各种可利用的结论,进行欺诈,偷盗或者更糟的行为。
虽然原始数据需要保护,即使其是非结构化大数据存储库的一部分,但大数据所面临的更大的威胁是企业支付了巨大的成本才从大数据分析中获得的有价值的信息。麦加维再次引用 David Topping的话说:“许多企业浪费了太多的预算以保障大数据存储。而他们真正的风险则在相关数据信息的输出方面。由于企业往往很少监视或保护这些数据,围绕着企业分析得出的洞察输出是如何产生的... 大多数安全专家都认为,企业的雇员往往表现得很无辜,但有的的确是大数据被破坏最常见的罪魁祸首。”
企业需要保护大数据,尽管其涉及到某些原始信息,但我们需要将更多的重点放到通过对原始数据分析所获得的洞察见解方面。特别是,这些见解必须至少被视为比原始数据更为重要。
处理大数据的安全问题
接下来的问题便是如何解决这些企业担忧的安全问题。一种方法是为黑客提供一个有吸引力的假目标,以便使得企业能够学习更安全的研究方法来应对攻击,实施保护措施。这一战略或不甚理想,因为其只能当系统已经有一些漏洞时才能发挥作用。但这些弱点是可能被识别和解决的。
引用Forrester公司研究题为《未来的数据安全和隐私报告:关于大数据的控制》IBM指出,“安全专业人士在网络边缘最好进行控制。然而,如果攻击者穿透你的周边,他们将有充分的和不受限制的机会访问你的数据。” 当然,解决方案就在于为数据提供一个安全层,让简单地访问网络还不足以获得如此大的权限。
加密,特别是当处理大数据分析洞察见解时,是保护一种有效的信息保护方式,但其肯定不是一个新概念。
结论
大数据所涉及的隐私问题的确正在受到广泛关注,特别是在爆出美国国家安全局对主要IT企业进行监控的背景之下。一个与之不同但又密切相关的问题是安全性:特别是,企业应如何保护原始的非结构化数据和从大数据分析中得到的洞察见解。不幸的是,数据完全匿名化是不可能的,因为数据信息需要与个人和用于各种用途相联系(有时与其他私人或公共来源相组合)。虽然黑客可能无法窃取数据执行复杂的分析,但他们往往通过粗略地查看一下就足以收集有价值的信息(如在GPS数据的情况下)。随着企业收集的数据逐渐存储进大型数据仓库,如联邦数据服务中心,大数据安全方面亟待需要更多的审查。
㈣ 数据库系统的主要安全措施有哪些
方法一、数据库数据加密
数据加密可以有效防止数据库信息失密性的有效手段。通常加密的方法有替换、置换、混合加密等。虽然通过密钥的保护是数据库加密技术的重要手段,但如果采用同种的密钥来管理所有数据的话,对于一些不法用户可以采用暴力破解的方法进行攻击。
但通过不同版本的密钥对不同的数据信息进行加密处理的话,可以大大提高数据库数据的安全强度。这种方式主要的表现形式是在解密时必须对应匹配的密钥版本,加密时就尽量的挑选最新技术的版本。
方法二、强制存取控制
为了保证数据库系统的安全性,通常采取的是强制存取检测方式,它是保证数据库系统安全的重要的一环。强制存取控制是通过对每一个数据进行严格的分配不同的密级,例如政府,信息部门。在强制存取控制中,DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体,它不仅包括DBMS 被管理的实际用户,也包括代表用户的各进程。
客体是系统中的被动实体,是受主体操纵的,包括文件、基表、索引、视图等等。对于主体和客体,DBMS 为它们每个实例(值)指派一个敏感度标记。主客体各自被赋予相应的安全级,主体的安全级反映主体的可信度,而客体的安全级反映客体所含信息的敏感程度。对于病毒和恶意软件的攻击可以通过强制存取控制策略进行防范。但强制存取控制并不能从根本上避免攻击的问题,但可以有从较高安全性级别程序向较低安全性级别程序进行信息传递。
方法三、审计日志
审计是将用户操作数据库的所有记录存储在审计日志(Audit Log)中,它对将来出现问题时可以方便调查和分析有重要的作用。对于系统出现问题,可以很快得找出非法存取数据的时间、内容以及相关的人。从软件工程的角度上看,目前通过存取控制、数据加密的方式对数据进行保护是不够的。因此,作为重要的补充手段,审计方式是安全的数据库系统不可缺少的一部分,也是数据库系统的最后一道重要的安全防线。
㈤ 海口市智慧城市促进条例
第一章总 则第一条为了促进智慧城市建设,提升城市治理体系和治理能力现代化水平,实现城市可持续发展,推动海南自由贸易港建设,根据《中华人民共和国海南自由贸易港法》《海南省大数据开发应用条例》等法律、法规,结合本市实际,制定本条例。第二条本市行政区域内智慧城市建设及相关管理活动适用本条例。
本条例所称智慧城市,是指运用信息通信技术,有效整合各类城市管理系统,实现各系统间信息资源共享和业务协同,推动城市管理和服务智慧化,提升城市运行管理和公共服务水平,提高居民幸福感和满意度,实现可持续发展的创新型城市。第三条智慧城市建设应当遵循以人为本、统筹规划、创新驱动、协同共享、安全可控的原则。第四条市、区人民政府应当加强对智慧城市建设工作的统一领导,建立健全组织协调机制,研究部署智慧城市建设中的重大事项,统筹解决重大问题。
市人民政府应当建立健全智慧城市建设专家咨询机制,编制智慧城市发展规划、项目建设实施计划等应当咨询专家意见。第五条市信息化行政主管部门负责智慧城市建设及相关管理工作,会同有关部门组织编制智慧城市发展规划,报市人民政府批准后实施。
市大数据发展部门负责组织实施智慧城市发展规划,制定并组织实施智慧城市管理制度,编制智慧城市项目建设实施计划,推进智慧城市项目建设和管理。
市网信部门负责统筹协调与智慧城市建设相关的网络安全和数据安全工作。
市统计行政主管部门负责会同有关部门依法实施数字经济统计和运行监测。
区人民政府,市、区有关单位应当按照各自职责做好智慧城市建设及相关管理工作,根据智慧城市发展规划,制定并组织实施本行政区域、本单位智慧化应用专项行动计划。第二章信息基础设施与公共信息资源共享第六条市、区人民政府应当推进信息基础设施建设,重点推进新一代移动通信、物联网、工业互联网等通信网络基础设施,云计算、人工智能、区块链等新技术基础设施,以及数据中心、智能计算中心、边缘计算节点等算力基础设施建设。第七条市、区人民政府应当推动城市数字化转型,实行新型基础设施与数字孪生城市同步规划建设,发展数字孪生应用服务;推动市政、交通、能源、环保、水利、物流等基础设施的数字化改造,构建一体化基础设施感知体系和智能管控体系。第八条市信息化行政主管部门应当推进杆路、管道、机房、国际海缆等信息基础设施共建共享。
公共机构、公共场所、公共设施在符合安全、环保、景观要求且不影响正常使用的情况下,应当开放用于管道、线路、基站等信息基础设施建设共享。第九条市人民政府应当运用大数据、云计算、人工智能等新信息技术建设海口城市大脑,整合汇集政府、企业和社会数据,并在城市治理领域进行融合计算,实现城市运行的实时精细感知、公共资源配置、宏观决策指挥、事件预测预警等功能。第十条市信息化行政主管部门负责电子政务信息系统的统一部署、项目论证、业务指导和标准落实。
市大数据发展部门负责电子政务网的运行、管理和维护。
市、区人民政府及有关单位应当将新建业务信息系统部署在电子政务云上,将原有系统向电子政务云迁移;面向政府工作人员的应用应当集成在统一的办公平台上,面向企业和群众办事的业务系统公共服务入口应当集成在统一的公共服务平台上。市、区有关单位原则上不再单独新建公共服务入口。第十一条各级政务部门、从事公共服务的企业应当按照“谁主管、谁提供、谁负责”和“同步归集、实时更新”原则,对在依法履职或者生产经营活动中产生的公共信息资源进行管理。第十二条各级政务部门应当按照国家和本省有关规定和标准编制政务信息资源目录。市大数据发展部门依法统筹确认政务信息资源共享目录和开放目录。第十三条各级政务部门应当按照采集数据类型、登记信息以及标准规范,将政务信息资源数据向市公共数据资源平台汇集共享,并依托省、市两级政务信息共享交换平台实现政务信息资源的共享与交换。
对无法确权调用的政务信息资源数据,可以由市大数据发展部门确认后在市级政务信息共享交换平台或者数据开放平台注册接口服务,提供数据查询。
㈥ 海南省大数据开发应用条例
第一章总 则第一条为了推动大数据的开发应用,发挥大数据提升经济发展、社会治理和改善民生的作用,促进大数据产业的发展,培育壮大数字经济,服务中国(海南)自由贸易试验区和中国特色自由贸易港建设,根据有关法律法规,结合本省实际,制定本条例。第二条本省行政区域内大数据开发应用及相关活动适用本条例。
本条例所称大数据,是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,以及对数据集合开发利用形成的新技术和新业态。第三条大数据开发应用应当坚持全省统筹、依法管理、市场主导、创新引领、共享开放、保障安全的原则。第四条省、市、县、自治县人民政府领导本行政区域内大数据开发应用工作,协调解决大数据开发应用重大问题。
省人民政府信息化主管部门负责规划、指导、监督全省大数据开发应用工作,市、县、自治县人民政府信息化主管部门负责本行政区域内的大数据管理工作。
县级以上人民政府其他部门应当按照各自职责做好大数据开发应用相关工作。第五条省人民政府设立省大数据管理机构,作为实行企业化管理但不以营利为目的、履行相应行政管理和公共服务职责的法定机构。
省大数据管理机构负责组织实施大数据开发应用总体规划,统筹政务信息化项目管理和政务信息资源共享开放,管理运营政务数据资产,推进政务和社会大数据开发应用,具体实施大数据开发应用监督工作。第六条省人民政府信息化主管部门应当会同省大数据管理机构和有关部门,按照适度超前、合理布局、绿色集约、资源共享的原则,编制本省大数据开发应用总体规划,报省人民政府批准后公布实施。
市、县、自治县人民政府和省人民政府有关部门应当依据本省大数据开发应用总体规划,编制本区域、本部门、本行业大数据开发应用专项规划,报省人民政府信息化主管部门和省大数据管理机构备案。第七条省人民政府标准化主管部门应当会同省人民政府信息化主管部门和省大数据管理机构制定数据采集、开发、交换、共享、开放、安全等标准,实现数据准确、完整、规范,促进大数据的开发应用。
省大数据管理机构应当制定政务信息资源全过程管理规范。第八条任何单位或者个人采集、开发和利用数据应当遵守法律法规规定,遵循合法、正当、必要的原则,不得损害国家利益、社会公共利益和他人合法权益。第九条县级以上人民政府及有关部门应当加强大数据开发应用、安全等方面知识的宣传普及、教育培训,增强全社会大数据安全意识,提高大数据开发应用和安全风险防范能力。第二章大数据开发与共享第十条省人民政府应当建立跨部门、跨区域、跨行业的大数据信息资源协同推进机制,统筹规划全省信息基础设施,推进信息资源的归集整合、共享开放和融合应用。
市、县、自治县人民政府应当推进本行政区域内信息基础设施建设,提升大数据开发应用支撑能力,提高信息基础设施网络化智能化水平。第十一条省大数据管理机构应当建设、管理全省统一的政务数据中心、信息共享交换平台、政务大数据公共服务平台和政务数据开放平台等政务信息资源共享开放基础设施以及全省基础性、公共性政务信息化项目。
已建、新建的政务信息系统,应当与全省统一的政务信息资源共享开放基础设施互联互通和信息共享。第十二条鼓励和支持基础电信运营商建设国际海底光缆及省内登陆点等信息基础设施,构建安全便利的国际互联网数据专用通道,提高本省的国际通信互联互通水平。第十三条省大数据管理机构应当统筹推动政务数据采集汇聚、登记管理、共享开放,推动社会数据汇聚融合、互联互通、开发利用。第十四条政务信息资源实行目录管理。
政务部门应当按照国家和本省有关规定和标准,编制、注册登记、更新、维护政务信息资源目录,并负责采集政务数据。
省大数据管理机构和市、县、自治县人民政府信息化主管部门应当按照国家有关规定,统筹确认政务信息资源共享目录和开放目录。
本条例所称政务部门,是指政府部门及法律法规授权具有行政职能的事业单位和社会组织。第十五条政务信息资源共享分为无条件共享、有条件共享、不予共享三种类型,实行负面清单管理,负面清单以外的政务信息资源应当共享。
凡列入不予共享类的政务信息资源,应当有法律、行政法规或者国务院政策依据。
省大数据管理机构应当会同保密等有关部门开展政务信息资源负面清单审核工作。
㈦ 数据库系统的安全措施有哪些
数据库数据加密
数据加密可以有效防止数据库信息失密性的有效手段。通常加密的方法有替换、置换、混合加密等。虽然通过密钥的保护是数据库加密技术的重要手段,但如果采用同种的密钥来管理所有数据的话,对于一些不法用户可以采用暴力破解的方法进行攻击。
但通过不同版本的密钥对不同的数据信息进行加密处理的话,可以大大提高数据库数据的安全强度。这种方式主要的表现形式是在解密时必须对应匹配的密钥版本,加密时就尽量的挑选最新技术的版本。强制存取控制
为了保证数据库系统的安全性,通常采取的是强制存取检测方式,它是保证数据库系统安全的重要的一环。强制存取控制是通过对每一个数据进行严格的分配不同的密级,例如政府,信息部门。在强制存取控制中,DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体,它不仅包括DBMS 被管理的实际用户,也包括代表用户的各进程。
客体是系统中的被动实体,是受主体操纵的,包括文件、基表、索引、视图等等。对于主体和客体,DBMS 为它们每个实例(值)指派一个敏感度标记。主客体各自被赋予相应的安全级,主体的安全级反映主体的可信度,而客体的安全级反映客体所含信息的敏感程度。对于病毒和恶意软件的攻击可以通过强制存取控制策略进行防范。但强制存取控制并不能从根本上避免攻击的问题,但可以有从较高安全性级别程序向较低安全性级别程序进行信息传递。审计日志
审计是将用户操作数据库的所有记录存储在审计日志(Audit Log)中,它对将来出现问题时可以方便调查和分析有重要的作用。对于系统出现问题,可以很快得找出非法存取数据的时间、内容以及相关的人。从软件工程的角度上看,目前通过存取控制、数据加密的方式对数据进行保护是不够的。因此,作为重要的补充手段,审计方式是安全的数据库系统不可缺少的一部分,也是数据库系统的最后一道重要的安全防线。
㈧ 简答大数据安全的特征
大数据安全面临着许多挑战,需要通过研究关键技术、制定安全管理策略来应对这些挑战。当前,大数据的应用和发展面临着许多安全问题,具体来说有以下几个方面。(1)大数据成为网络攻击的显着目标在网络空间中,大数据是更容易被“发现”的大目标,承载着越来越多的关注度。一方面,大数据不仅意味着海量的数据,也意味着更复杂、更敏感的数据,这些数据会吸引更多的潜在攻击者,成为更具吸引力的目标;另一方面,数据的大量聚集,使黑客一次成功的攻击能够获得更多的数据,无形中降低了黑客的进攻成本,增加了“收益率”。(2)大数据加大隐私泄露风险从基础技术角度看,Hadoop对数据的聚合增加了数据泄露的风险。作为一个分布式系统架构,Hadoop可以用来应对PB甚至ZB级的海量数据存储;作为一个云化的平台,Hadoop自身存在云计算面临的安全风险,企业需要实施安全访问机制和数据保护机制。同样,大数据依托的基础技术——NoSQL(非关系型数据库)与当前广泛应用的SQL(关系型数据库)技术不同,没有经过长期改进和完善,在维护数据安全方面也未设置严格的访问控制和隐私管理机制。NoSQL技术还因大数据中数据来源和承载方式的多样性,使企业很难定位和保护其中的机密信息,这是NoSQL内在安全机制的不完善,即缺乏机密性和完整性。另外,NoSQL对来自不同系统、不同应用程序及不同活动的数据进行关联,也加大了隐私泄露的风险。此外,NoSQL还允许不断对数据记录添加属性,这也对数据库管理员的安全性预见能力提出了更高的要求。从核心价值角度看,大数据的技术关键在于数据分析和利用,但数据分析技术的发展,势必对用户隐私产生极大威胁。
㈨ 数据库的安全策略有哪些
计算机安全是当前信息社会非常关注的问题,而数据库系统更是担负着存储和管理数据信息的任务,因而如何保证和加强其安全性,更是迫切需要解决的热门课题。下面将讨论数据库的安全策略,并简单介绍各种策略的实现方案。
一、数据库的安全策略
数据库安全策略是涉及信息安全的高级指导方针,这些策略根据用户需要、安装环境、建立规则和法律等方面的限制来制定。
数据库系统的基本安全性策略主要是一些基本性安全的问题,如访问控制、伪装数据的排除、用户的认证、可靠性,这些问题是整个安全性问题的基本问题。数据库的安全策略主要包含以下几个方面:
1.保证数据库存在安全
数据库是建立在主机硬件、操作系统和网络上的系统,因此要保证数据库安全,首先应该确保数据库存在安全。预防因主机掉电或其他原因引起死机、操作系统内存泄漏和网络遭受攻击等不安全因素是保证数据库安全不受威胁的基础。
2.保证数据库使用安全
数据库使用安全是指数据库的完整性、保密性和可用性。其中,完整性既适用于数据库的个别元素也适用于整个数据库,所以在数据库管理系统的设计中完整性是主要的关心对象。保密性由于攻击的存在而变成数据库的一大问题,用户可以间接访问敏感数据库。最后,因为共享访问的需要是开发数据库的基础,所以可用性是重要的,但是可用性与保密性是相互冲突的。
二、数据库的安全实现
1.数据库存在安全的实现
正确理解系统的硬件配置、操作系统和网络配置及功能对于数据库存在安全十分重要。比如对于硬件配置情况,就必须熟悉系统的可用硬盘数量,每个硬盘的可用空间数量,可用的CPU数量,每个CPU的Cache有多大,可用的内存数量,以及是否有冗余电源等问题;对于操作系统,则应该周期性的检查内存是否有泄漏,根文件系统是否需要清理,重要的日志是否已经察看;对于网络就应该随时确保网络没有过载,网络畅通、网络安全是否得到保证等等。因为这一部分不是本文的重点,所以不再一一细述,总之,这三方面的安全运行是和维护数据库存在安全不可分割的。
2.数据库完整性的实现
数据库的完整性包括库的完整性和元素的完整性。
数据库的完整性是DBMS(数据库管理系统)、操作系统和系统管理者的责任。数据库管理系统必须确保只有经批准的个人才能进行更新,还意味着数据须有访问控制,另外数据库系统还必须防范非人为的外力灾难。从操作系统和计算系统管理者的观点来看,数据库和DBMS分别是文件和程序。因此整个数据库的一种形式的保护是对系统中所有文件做周期性备份。数据库的周期性备份可以控制由灾祸造成的损失。数据库元素的完整性是指它们的正确性和准确性。由于用户在搜集数据、计算结果、输入数值时可能会出现错误,所以DBMS必须帮助用户在输入时能发现错误,并在插入错误数据后能纠正它们。DBMS用三种方式维护数据库中每个元素的完整性:通过字段检查在一个位置上的适当的值,防止输入数据时可能出现的简单错误;通过访问控制来维护数据库的完整性和一致性;通过维护数据库的更改日志,记录数据库每次改变的情况,包括原来的值和修改后的值,数据库管理员可以根据日志撤消任何错误的修改。
3.数据库保密性的实现
数据库的保密性可以通过用户身份鉴定和访问控制来实现。
DBMS要求严格的用户身份鉴定。一个DBMS可能要求用户传递指定的通行字和时间日期检查,这一认证是在操作系统完成的认证之外另加的。DBMS在操作系统之外作为一个应用程序被运行,这意味着它没有到操作系统的可信赖路径,因此必须怀疑它所收的任何数据,包括用户认证。因此DBMS最好有自己的认证机制。
访问控制是指根据用户访问特权逻辑地控制访问范围和操作权限。如一般用户只能访问一般数据、市场部可以得到销售数据、以及人事部可以得到工资数据等。DBMS必须实施访问控制政策,批准对所有指定的数据的访问或者禁止访问。DBMS批准一个用户或者程序可能有权读、改变、删除或附加一个值,可能增加或删除整个字段或记录,或者重新组织完全的数据库。
4.数据库可用性的实现
数据库的可用性包括数据库的可获性、访问的可接受性和用户认证的时间性三个因素。下面解释这三个因素。
(1)数据的可获性
首先,要访问的元素可能是不可访问的。例如,一个用户在更新几个字段,其他用户对这些字段的访问便必须被暂时阻止。这样可以保证用户不会收到不准确的信息。当进行更新时,用户可能不得不阻止对几个字段或几个记录的访问通道,以便保证数据与其他部分的一致性。不过有一点要注意,如果正在更新的用户在更新进行期间退出,其他用户有可能会被永远阻止访问该记录。这种后遗症也是一个安全性问题,会出现拒绝服务。
(2)访问的可接受性
记录的一个或多个值可能是敏感的而不能被用户访问。DBMS不应该将敏感数据泄露给未经批准的个人。但是判断什么是敏感的并不是那么简单,因为可能是间接请求该字段。一个用户也许请求某些包含敏感数据的记录,这可能只是由非敏感的特殊字段推出需要的值。即使没有明确地给出敏感的值,数据库管理程序也可能拒绝访问这样的背景信息,因为它会揭示用户无权知道的信息。
(3)用户认证的时间性
为了加强安全性,数据库管理员可能允许用户只在某些时间访问数据库,比如在工作时间。