亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于分類的應(yīng)用數(shù)據(jù)安全管控平臺(tái)研究與實(shí)現(xiàn)

        2017-12-21 22:44:47楊永群黃勤龍劉越毅
        網(wǎng)絡(luò)空間安全 2017年11期
        關(guān)鍵詞:安全管控數(shù)據(jù)安全

        楊永群++黃勤龍++劉越毅

        摘 要:論文針對(duì)大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全問(wèn)題,研究透明加解密技術(shù)、數(shù)據(jù)庫(kù)中間件技術(shù),設(shè)計(jì)實(shí)現(xiàn)了基于分類的應(yīng)用數(shù)據(jù)安全管控平臺(tái)。同時(shí),針對(duì)結(jié)構(gòu)化數(shù)據(jù),基于主客體分級(jí)訪問(wèn)控制規(guī)則設(shè)計(jì)數(shù)據(jù)庫(kù)中間件模塊,該中間件實(shí)現(xiàn)了對(duì)敏感表、字段的訪問(wèn)控制、安全審計(jì)等功能,使用戶必須通過(guò)中間件模塊認(rèn)證后才能訪問(wèn)數(shù)據(jù)庫(kù);針對(duì)非結(jié)構(gòu)化數(shù)據(jù),采用服務(wù)器端透明加解密方案實(shí)現(xiàn)對(duì)數(shù)據(jù)的集中存儲(chǔ)和管控,在保障用戶原有操作習(xí)慣的同時(shí),解決了數(shù)據(jù)所有權(quán)和管理權(quán)分離帶來(lái)的安全隱患。

        關(guān)鍵詞:安全管控;數(shù)據(jù)庫(kù)中間件;透明加解密;數(shù)據(jù)安全

        1 引言

        目前,越來(lái)越多的企業(yè)將非結(jié)構(gòu)化數(shù)據(jù)傳輸?shù)降谌狡脚_(tái)以獲得存儲(chǔ)服務(wù)[1]。半可信的存儲(chǔ)平臺(tái)中集中了大量企業(yè)級(jí)用戶的隱私數(shù)據(jù),這些數(shù)據(jù)可能包括企業(yè)的知識(shí)產(chǎn)權(quán)、關(guān)鍵業(yè)務(wù)信息,甚至對(duì)于某些企業(yè)來(lái)說(shuō),這些數(shù)據(jù)還涉及到國(guó)家機(jī)密。因此,這些數(shù)據(jù)必須對(duì)外界保密,如果數(shù)據(jù)泄露給了競(jìng)爭(zhēng)企業(yè)或者敵對(duì)勢(shì)力,將對(duì)企業(yè)的生存發(fā)展以及國(guó)家安全帶來(lái)災(zāi)難性的影響。但是,面對(duì)目前復(fù)雜的第三方存儲(chǔ)環(huán)境,這些數(shù)據(jù)面臨著比傳統(tǒng)計(jì)算系統(tǒng)更為復(fù)雜的安全威脅[2]:(1)在存儲(chǔ)的模式中,數(shù)據(jù)所有權(quán)和管理權(quán)分離,作為數(shù)據(jù)所有者的企業(yè)不再擁有數(shù)據(jù)的管理權(quán),服務(wù)提供商可以完全控制企業(yè)用戶的數(shù)據(jù);(2)外部攻擊者通過(guò)系統(tǒng)漏洞在未授權(quán)的情況下訪問(wèn)數(shù)據(jù);(3)惡意數(shù)據(jù)庫(kù)管理員隨意訪問(wèn)存儲(chǔ)的數(shù)據(jù),竊取用戶隱私;(4)通過(guò)直接對(duì)磁盤(pán)進(jìn)行物理攻擊,獲得其中存儲(chǔ)的用戶數(shù)據(jù)。

        另外,存儲(chǔ)在數(shù)據(jù)庫(kù)中的結(jié)構(gòu)化數(shù)據(jù)同樣也常常被當(dāng)做攻擊目標(biāo),鑒于數(shù)據(jù)庫(kù)面臨的各式各樣的安全威脅,其自身的安全性將成為保障數(shù)據(jù)安全的關(guān)鍵,因此數(shù)據(jù)庫(kù)的安全性變得越來(lái)越重要。數(shù)據(jù)庫(kù)安全包括數(shù)據(jù)安全性、數(shù)據(jù)完整性、故障恢復(fù)等方面,其包含兩層含義[3]:第一層是指數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行安全,數(shù)據(jù)庫(kù)系統(tǒng)在工作時(shí)可能受到網(wǎng)絡(luò)不法分子的攻擊,造成系統(tǒng)無(wú)法正常啟動(dòng)或超負(fù)荷運(yùn)行大量索引、查詢等操作而引起硬件燒壞等物理性破壞;第二層是指數(shù)據(jù)庫(kù)系統(tǒng)信息安全,數(shù)據(jù)庫(kù)系統(tǒng)面臨來(lái)自內(nèi)部人員和外部非法用戶的威脅,這些惡意用戶可能利用各種漏洞入侵?jǐn)?shù)據(jù)庫(kù)以獲得其中的有價(jià)值數(shù)據(jù)。因此,應(yīng)該盡可能對(duì)數(shù)據(jù)庫(kù)系統(tǒng)建立保護(hù)措施和安全方案以保障其中存儲(chǔ)的數(shù)據(jù)安全。安全防護(hù)軟件提供的安全保護(hù)級(jí)別已不能滿足大部分企業(yè)的需求,數(shù)據(jù)庫(kù)中間件憑借其靈活性和可擴(kuò)展的優(yōu)勢(shì)已經(jīng)成為一種被廣泛認(rèn)可的數(shù)據(jù)庫(kù)系統(tǒng)防護(hù)方案。

        2 相關(guān)工作

        目前,國(guó)內(nèi)外很多企業(yè)諸如亞馬遜、Google、百度等都推出了各自的數(shù)據(jù)存儲(chǔ)平臺(tái),很多國(guó)內(nèi)外學(xué)者也致力于數(shù)據(jù)安全存儲(chǔ)的研究。傳統(tǒng)的方式是客戶端軟件映射用戶在數(shù)據(jù)庫(kù)服務(wù)器端存儲(chǔ)的文件結(jié)構(gòu)[4],用戶在客戶端對(duì)文件的操作會(huì)同步到數(shù)據(jù)庫(kù)服務(wù)器。然而這種方式中數(shù)據(jù)一直以明文形式存在,數(shù)據(jù)安全性無(wú)法保證。因此,數(shù)據(jù)本地加密方案被提出,即用戶先在客戶端完成數(shù)據(jù)加密再同步到遠(yuǎn)程數(shù)據(jù)庫(kù)服務(wù)器,例如Secure Dropbox和CryptSync方案。雖然客戶端工具與服務(wù)端結(jié)合可有效解決存儲(chǔ)服務(wù)提供商不完全可信和數(shù)據(jù)明文存儲(chǔ)在服務(wù)端帶來(lái)的安全問(wèn)題,但由于該方案需要用戶參與數(shù)據(jù)加解密的過(guò)程,所以給用戶新增了操作負(fù)擔(dān)。郝斐等人基于亞馬遜S3云存儲(chǔ)服務(wù)[5],設(shè)計(jì)并實(shí)現(xiàn)了一款云存儲(chǔ)安全增強(qiáng)系統(tǒng),客戶端能夠自動(dòng)加密上傳數(shù)據(jù),因此不會(huì)增加用戶操作負(fù)擔(dān)。

        為了保護(hù)數(shù)據(jù)庫(kù)中存儲(chǔ)的結(jié)構(gòu)化數(shù)據(jù),數(shù)據(jù)加密和訪問(wèn)控制是熱門(mén)的解決辦法。Arasu提出了Cipherbase系統(tǒng)[6],該系統(tǒng)在數(shù)據(jù)庫(kù)服務(wù)器集成了一個(gè)安全數(shù)據(jù)庫(kù)處理單元,該單元是加密數(shù)據(jù)的核心模塊,負(fù)責(zé)管理密鑰以及為數(shù)據(jù)庫(kù)服務(wù)器解密、處理和重加密SQL語(yǔ)句。然而,這種方案需要對(duì)數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行改造,通用性較差。另外,它們都沒(méi)有考慮用戶訪問(wèn)權(quán)限控制的問(wèn)題。Ferretti提出了一種新的加密方案實(shí)現(xiàn)標(biāo)準(zhǔn)關(guān)系數(shù)據(jù)庫(kù)的訪問(wèn)控制機(jī)制[7],在該方案中訪問(wèn)策略由三元組組成,包括用戶實(shí)體、數(shù)據(jù)實(shí)體、用戶與數(shù)據(jù)對(duì)應(yīng)的訪問(wèn)矩陣,每個(gè)用戶訪問(wèn)數(shù)據(jù)的權(quán)限由訪問(wèn)策略決定,每個(gè)用戶具有獨(dú)特的憑證,該憑證使他僅能夠獲得權(quán)限范圍內(nèi)的相關(guān)加解密密鑰,以便對(duì)SQL語(yǔ)句進(jìn)行加密處理和解密獲得的查詢結(jié)果。但是在該模型中,需要維持一個(gè)龐大的訪問(wèn)控制矩陣,當(dāng)增加一個(gè)用戶需要為每個(gè)數(shù)據(jù)添加一個(gè)是否能夠訪問(wèn)的標(biāo)識(shí),不符合海量數(shù)據(jù)的環(huán)境,并且該方案中加解密操作在客戶端執(zhí)行,不適用于資源受限的客戶端。

        3 關(guān)鍵技術(shù)

        3.1 透明加解密技術(shù)

        透明加解密技術(shù)即為一種相對(duì)用戶終端為透明的、不改變用戶習(xí)慣的一種文檔加密技術(shù)。透明加密技術(shù)可分為加密文件系統(tǒng)、過(guò)濾驅(qū)動(dòng)層透明加解密和API Hook透明加解密[8]。加API Hook透明加解密技術(shù)的實(shí)現(xiàn)利用了Windows系統(tǒng)提供的一種叫鉤子的消息處理機(jī)制,允許應(yīng)用程序安裝一個(gè)子程序到其它程序中,以監(jiān)視指定窗口某種類型的消息,當(dāng)消息到達(dá)后,先執(zhí)行完成子程序后再進(jìn)行原程序的執(zhí)行。API Hook透明加解密技術(shù)具有開(kāi)發(fā)難度低、兼容性高的優(yōu)點(diǎn),并且有較成熟的實(shí)現(xiàn)方案。因此,本方案中采用API Hook透明加解密方法保護(hù)非結(jié)構(gòu)化數(shù)據(jù)的安全。

        3.2 中間件技術(shù)

        目前,實(shí)現(xiàn)數(shù)據(jù)庫(kù)訪問(wèn)控制的方法按照實(shí)現(xiàn)的執(zhí)行層級(jí)劃分有幾種:操作系統(tǒng)層、內(nèi)核層和外層[9]。在數(shù)據(jù)庫(kù)管理系統(tǒng)(Database Management System,DBMS)操作系統(tǒng)層實(shí)現(xiàn)訪問(wèn)控制需要對(duì)存儲(chǔ)在操作系統(tǒng)中的數(shù)據(jù)庫(kù)文件進(jìn)行權(quán)限設(shè)置,然而由于在操作系統(tǒng)層無(wú)法識(shí)別數(shù)據(jù)之間的邏輯關(guān)系,因此加密需要針對(duì)整個(gè)數(shù)據(jù)庫(kù),開(kāi)銷太大。在DBMS內(nèi)核層完成訪問(wèn)控制需要修改DBMS的內(nèi)核,要求數(shù)據(jù)庫(kù)廠商根據(jù)自身產(chǎn)品的需要對(duì)內(nèi)核進(jìn)行改造,使之具備訪問(wèn)控制功能,通用性差。DBMS外層加密是在數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用程序中間加入一個(gè)訪問(wèn)控制中間件,客戶端對(duì)數(shù)據(jù)庫(kù)的每一次操作都由中間件轉(zhuǎn)化后再交給數(shù)據(jù)庫(kù)處理,然后再將數(shù)據(jù)庫(kù)返回的結(jié)果交給客戶端。DBMS外層訪問(wèn)控制方案保護(hù)了敏感數(shù)據(jù),不需要對(duì)DBMS 服務(wù)器做任何修改,通用性強(qiáng)[10]。因此,考慮數(shù)據(jù)庫(kù)中間件的優(yōu)勢(shì),在方案中采用數(shù)據(jù)庫(kù)中間件的方法實(shí)現(xiàn)訪問(wèn)控制,保護(hù)結(jié)構(gòu)化數(shù)據(jù)的安全。

        4 系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

        4.1 系統(tǒng)設(shè)計(jì)目標(biāo)

        數(shù)據(jù)分類管控平臺(tái)設(shè)計(jì)目標(biāo)是保障企業(yè)結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的安全。系統(tǒng)設(shè)計(jì)目標(biāo)包括四個(gè)方面。

        (1)數(shù)據(jù)的機(jī)密性。透明加解密技術(shù)使得數(shù)據(jù)以密文的形式保存在服務(wù)器端,防止因數(shù)據(jù)竊取造成重要信息泄露。

        (2)數(shù)據(jù)的可用性。合法用戶能夠根據(jù)需要查詢、訪問(wèn)、修改、刪除存儲(chǔ)在平臺(tái)的數(shù)據(jù)。

        (3)面向存儲(chǔ)平臺(tái)、數(shù)據(jù)庫(kù)系統(tǒng)和終端用戶的透明性。系統(tǒng)的部署不要求存儲(chǔ)平臺(tái)、數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行架構(gòu)更改,也不需要終端用戶改變操作習(xí)慣,這樣在企業(yè)級(jí)數(shù)據(jù)庫(kù)應(yīng)用中,能夠降低企業(yè)的開(kāi)發(fā)成本,并且保證用戶操作體驗(yàn)不變。

        (4)存儲(chǔ)平臺(tái)的可擴(kuò)展性。能夠面向第三方存儲(chǔ)平臺(tái),向其提供可選的底層存儲(chǔ)資源。

        4.2 總體架構(gòu)設(shè)計(jì)

        數(shù)據(jù)分類安全管控平臺(tái)的總體架構(gòu)設(shè)計(jì)如圖1所示,針對(duì)結(jié)構(gòu)化數(shù)據(jù)采用字段級(jí)的訪問(wèn)控制,針對(duì)非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行集中存儲(chǔ)和透明加密,實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一安全管控。

        4.2.1 訪問(wèn)控制規(guī)則設(shè)計(jì)

        數(shù)據(jù)分類管控平臺(tái)涉及兩種實(shí)體,其中用戶為主體,數(shù)據(jù)庫(kù)中被訪問(wèn)的資源(如表、記錄、視圖等)為客體。這兩類實(shí)體中的每一個(gè)成員按照訪問(wèn)控制的需要被系統(tǒng)分為多個(gè)密級(jí),密級(jí)程度逐級(jí)增加。系統(tǒng)的訪問(wèn)控制原則:(1)如果主體向客體發(fā)出讀請(qǐng)求,當(dāng)且僅當(dāng)客體的密級(jí)低于主體密級(jí)時(shí),該請(qǐng)求才被允許;(2)如果主體向客體發(fā)出寫(xiě)請(qǐng)求,當(dāng)且僅當(dāng)客體的密級(jí)等于主體密級(jí)時(shí),該請(qǐng)求才被允許。

        按照系統(tǒng)訪問(wèn)控制原則,具體的訪問(wèn)控制流程如圖2所示。系統(tǒng)在成功認(rèn)證用戶身份后,首先需要查詢?cè)撚脩舻陌踩芗?jí),然后針對(duì)非結(jié)構(gòu)化數(shù)據(jù),系統(tǒng)根據(jù)用戶的訪問(wèn)請(qǐng)求查找客體的安全密級(jí),并根據(jù)強(qiáng)制訪問(wèn)控制原則允許或者禁止用戶的訪問(wèn)行為。

        針對(duì)結(jié)構(gòu)化數(shù)據(jù),系統(tǒng)需要先調(diào)用語(yǔ)句分析模塊對(duì)用戶提交的SQL語(yǔ)句內(nèi)容進(jìn)行分析,獲取到其中的關(guān)鍵字后查詢客體的安全密級(jí),并調(diào)用訪問(wèn)控制模塊對(duì)用戶的訪問(wèn)行為進(jìn)行權(quán)限驗(yàn)證,最后語(yǔ)句分析模塊將重新整合封裝SQL語(yǔ)句提交到數(shù)據(jù)庫(kù),應(yīng)用數(shù)據(jù)庫(kù)根據(jù)SQL語(yǔ)句執(zhí)行數(shù)據(jù)庫(kù)查詢并返回結(jié)果。另外,在密級(jí)要求很高的系統(tǒng)中,可擴(kuò)展加解密子模塊,即調(diào)用加密算法對(duì)相應(yīng)的字段進(jìn)行加解密。

        4.2.2 數(shù)據(jù)庫(kù)中間件模塊

        (1)語(yǔ)句分析模塊。該模塊基于構(gòu)建的語(yǔ)法樹(shù)對(duì)用戶的SQL請(qǐng)求進(jìn)行詞法分析,詞法分析的目的是識(shí)別SQL語(yǔ)句中的有意義的邏輯單元,如關(guān)鍵字(Select、Insert等)、數(shù)字、函數(shù)名等,然后獲得客體對(duì)象,包括表、字段、視圖等,最后將分析結(jié)果交由訪問(wèn)控制模塊進(jìn)行處理。另外,該模塊還負(fù)責(zé)對(duì)SQL語(yǔ)句進(jìn)行重新封裝。

        (2)訪問(wèn)控制模塊。該模塊依據(jù)分析模塊傳遞的數(shù)據(jù)包內(nèi)容查詢客體的安全屬性,并結(jié)合主體安全屬性進(jìn)行訪問(wèn)控制規(guī)則檢測(cè),如果允許訪問(wèn),就將數(shù)據(jù)訪問(wèn)語(yǔ)句遞交給語(yǔ)句分析模塊對(duì)SQL語(yǔ)句進(jìn)行重新封裝,提交給數(shù)據(jù)庫(kù)進(jìn)行語(yǔ)句執(zhí)行;如果不允許訪問(wèn),就調(diào)用審計(jì)模塊進(jìn)行安全審計(jì)。

        (3)加解密模塊。在密級(jí)要求很高的系統(tǒng)中,數(shù)據(jù)庫(kù)中的部分字段希望以密文形式存儲(chǔ),防止內(nèi)部人員的竊取。所以設(shè)計(jì)了加解密模塊,其作為一個(gè)可拓展模塊,可實(shí)現(xiàn)字段級(jí)加密,即針對(duì)數(shù)據(jù)庫(kù)表中部分關(guān)鍵性字段可進(jìn)行選擇性加密保護(hù)。

        (4)安全審計(jì)。在安全審計(jì)中包括日志收集、存儲(chǔ)、審計(jì)告警。該模塊收集用戶在訪問(wèn)數(shù)據(jù)庫(kù)時(shí)產(chǎn)生的日志,覆蓋數(shù)據(jù)全生命周期的各個(gè)階段。該模塊還可以對(duì)各類日志進(jìn)行歸一化處理,統(tǒng)一日志字段,每一條日志中必須包含訪問(wèn)主體、主體密級(jí)、訪問(wèn)數(shù)據(jù)對(duì)象的表名和字段名、數(shù)據(jù)密級(jí)。發(fā)生告警事件后,數(shù)據(jù)管控平臺(tái)能快速檢索到與該數(shù)據(jù)相關(guān)的所有日志信息,以縱向時(shí)間軸的形式形成證據(jù)鏈呈現(xiàn)給管理員,管理員能夠快速找到告警事件發(fā)生時(shí)及發(fā)生之前,對(duì)該數(shù)據(jù)操作過(guò)的所有人,進(jìn)而追究原因。

        4.2.3 透明加解密模塊

        (1)對(duì)接模塊。實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)訪問(wèn)接口,該接口對(duì)接第三方數(shù)據(jù)存儲(chǔ)平臺(tái),能夠?qū)τ脩羝帘尾煌鎯?chǔ)平臺(tái)間文件訪問(wèn)模式的差異,并支持存儲(chǔ)平臺(tái)的擴(kuò)展。

        (2)加解密模塊。該模塊采用Windows系統(tǒng)提供的一種名為鉤子(Hook)的消息處理機(jī)制,實(shí)時(shí)監(jiān)控到達(dá)存儲(chǔ)平臺(tái)中的請(qǐng)求,當(dāng)請(qǐng)求到達(dá)指定窗口,鉤子消息處理機(jī)制捕獲該請(qǐng)求并取得其控制權(quán),此時(shí)鉤子程序使用加密算法對(duì)用戶上傳的數(shù)據(jù)進(jìn)行加密,加密完成后繼續(xù)提交。綜合考慮文件加解密速度和數(shù)據(jù)安全級(jí)別問(wèn)題,加解密模塊采用對(duì)稱加密算法。然而,對(duì)稱加密算法的安全性依賴密鑰的保密性,所以密鑰的安全性至關(guān)重要。系統(tǒng)使用二級(jí)密鑰方案保護(hù)密鑰安全。其中二級(jí)密鑰為數(shù)據(jù)加密密鑰,由系統(tǒng)產(chǎn)生,負(fù)責(zé)加密明文數(shù)據(jù);一級(jí)密鑰為用戶密鑰,負(fù)責(zé)加密二級(jí)密鑰以保障數(shù)據(jù)加密密鑰的安全。該密鑰管理機(jī)制能夠防止惡意用戶直接獲取到數(shù)據(jù)加密密鑰,盡可能的保護(hù)數(shù)據(jù)安全。

        (3)用戶管理模塊。實(shí)現(xiàn)用戶注冊(cè)、登錄、用戶信息設(shè)置、記錄用戶操作日志等功能。

        4.2.4 其他關(guān)鍵模塊

        (1)身份認(rèn)證。客戶端通過(guò)用戶提供的賬號(hào)和密碼或者證書(shū)信息和數(shù)據(jù)庫(kù)中間件系統(tǒng)建立連接,身份認(rèn)證模塊接收到待驗(yàn)證信息后對(duì)用戶身份進(jìn)行核查,并將身份認(rèn)證結(jié)果反饋給客戶端,客戶端根據(jù)認(rèn)證結(jié)果同意或者拒絕用戶的訪問(wèn)請(qǐng)求。

        (2)密鑰及規(guī)則管理。該模塊實(shí)現(xiàn)了獨(dú)立的密鑰管理和訪問(wèn)規(guī)則管理機(jī)制,將密鑰存放于完全可信的密鑰服務(wù)器中,并且將對(duì)密鑰和訪問(wèn)規(guī)則等系統(tǒng)敏感信息的操作和DBMS系統(tǒng)獨(dú)立,以實(shí)現(xiàn)系統(tǒng)敏感信息與數(shù)據(jù)庫(kù)管理系統(tǒng)的分離,保護(hù)重要數(shù)據(jù)的安全。

        5 系統(tǒng)測(cè)試

        在數(shù)據(jù)庫(kù)中預(yù)置測(cè)試表格Notice(Title、Detail、 Author、Dept、Status、Time),該表格安全密級(jí)為L(zhǎng)evel2,模擬用戶Chen對(duì)該表執(zhí)行查詢記錄和寫(xiě)記錄的操作,該用戶的安全密級(jí)為L(zhǎng)evel3,結(jié)果如圖3所示,可以看見(jiàn)由于用戶的密級(jí)大于表格的密級(jí),該用戶能夠成功執(zhí)行查詢操作;同時(shí),由于用戶的密級(jí)不等于表格的密級(jí),所以在執(zhí)行插入數(shù)據(jù)操作時(shí)失敗。模擬用戶上傳100M非結(jié)構(gòu)化數(shù)據(jù)到存儲(chǔ)平臺(tái),透明加解密模塊的加密算法采用3DES算法。實(shí)驗(yàn)結(jié)果表明,系統(tǒng)成功加密上傳的數(shù)據(jù),數(shù)據(jù)以密文形式存放在存儲(chǔ)平臺(tái)中,結(jié)果如圖4所示。

        6 結(jié)束語(yǔ)

        本文針對(duì)目前企業(yè)中的數(shù)據(jù)安全防護(hù)問(wèn)題,設(shè)計(jì)并實(shí)現(xiàn)了一套應(yīng)用數(shù)據(jù)分類管控平臺(tái)。該平臺(tái)通過(guò)在數(shù)據(jù)庫(kù)和用戶間引入分級(jí)訪問(wèn)控制中間層以及在文件存儲(chǔ)平臺(tái)和用戶間引入透明加解密模塊,實(shí)現(xiàn)了對(duì)企業(yè)結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的保護(hù)。方案的優(yōu)點(diǎn)在于解決了數(shù)據(jù)庫(kù)權(quán)限濫用的隱患,保障了數(shù)據(jù)的存儲(chǔ)安全,并具有對(duì)用戶透明,部署便捷的優(yōu)勢(shì)。本文為企業(yè)數(shù)據(jù)安全保障提供了一種新的實(shí)現(xiàn)思路,在工程應(yīng)用中具有重要意義。

        基金項(xiàng)目:

        1.北京市科技計(jì)劃(D161100003316002);

        2.國(guó)家重點(diǎn)研發(fā)計(jì)劃(2016YFB0800605)。

        參考文獻(xiàn)

        [1] 馮朝勝,秦志光,袁丁.云數(shù)據(jù)安全存儲(chǔ)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào), 2015, 38(1):150-163.

        [2] 王會(huì)波. 存儲(chǔ)與云存儲(chǔ)安全[J].信息安全與通信保密, 2010(12):18-19.

        [3] 張敏.數(shù)據(jù)庫(kù)安全研究現(xiàn)狀與展望[J].中國(guó)科學(xué)院院刊, 2011, 26(3): 303-309.

        [4] 陳釗.基于云災(zāi)備的數(shù)據(jù)安全存儲(chǔ)關(guān)鍵技術(shù)研究[D].北京郵電大學(xué), 2012.

        [5] 郝斐,王雷,荊繼武.云存儲(chǔ)安全增強(qiáng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全, 2012, (3):38-41.

        [6] Arasu A, Eguro K, Joglekar M. Transaction processing on confidential data using cipherbase[J]. IEEE International Conference on Data Engineering, 2015: 435-446.

        [7] Ferretti L, Pierazzi F, Colajanni M. Security and confidentiality solutions for public cloud database services[C]. Proc. 7th Conf. Emerging Security Information, Systems and Technologies, Barcellona, Spain, August 2013.

        [8] 李丹,薛銳,陳馳.基于透明加解密的密文云存儲(chǔ)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)新媒體技術(shù), 2015(5): 26-32.

        [9] 安然,陳馳,徐震.數(shù)據(jù)庫(kù)加密中間件的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì), 2009, 30(14) : 3261-3265.

        [10] 楊飛.分布式數(shù)據(jù)庫(kù)中間件DBScale的設(shè)計(jì)與實(shí)現(xiàn)[D]. 哈爾濱工業(yè)大學(xué), 2015.

        猜你喜歡
        安全管控數(shù)據(jù)安全
        云計(jì)算中基于用戶隱私的數(shù)據(jù)安全保護(hù)方法
        電子制作(2019年14期)2019-08-20 05:43:42
        建立激勵(lì)相容機(jī)制保護(hù)數(shù)據(jù)安全
        基于互聯(lián)網(wǎng)+計(jì)劃的風(fēng)險(xiǎn)管控平臺(tái)開(kāi)發(fā)應(yīng)用
        大數(shù)據(jù)云計(jì)算環(huán)境下的數(shù)據(jù)安全
        電子制作(2017年20期)2017-04-26 06:57:48
        一種分布式大數(shù)據(jù)的數(shù)據(jù)安全管控策略研究
        基于堡壘機(jī)技術(shù)的運(yùn)維安全管控系統(tǒng)設(shè)計(jì)與應(yīng)用
        智能綜合管控系統(tǒng)的研究與設(shè)計(jì)
        軟件工程(2016年11期)2017-01-17 19:34:41
        配網(wǎng)施工中的安全管控策略研究
        電力配網(wǎng)施工作業(yè)的安全管控實(shí)踐
        云環(huán)境中數(shù)據(jù)安全去重研究進(jìn)展
        9191在线亚洲精品| 亚洲日韩中文字幕在线播放| 91精品啪在线观看国产色| 国产免费二区三区视频| 巨爆中文字幕巨爆区爆乳| 任我爽精品视频在线播放| 久久AV老司机精品网站导航| 天天摸天天做天天爽天天舒服| 一区二区三区日韩蜜桃| 一本加勒比hezyo无码专区 | 亚洲女人毛茸茸粉红大阴户传播 | 人人妻人人澡人人爽人人精品97| 国产一区二区精品在线观看| 中文字幕亚洲乱码熟女在线| 亚洲一区二区在线观看免费视频| 国产精品多p对白交换绿帽| 亚洲影院丰满少妇中文字幕无码| 日韩在线不卡一区在线观看 | 一区二区三区在线视频观看| 国产肉体xxxx裸体784大胆| 人妻无码一区二区视频| 色窝窝免费播放视频在线| 国产传媒在线视频| 日韩有码在线一区二区三区合集| 18禁黄网站禁片免费观看女女| 免费无码黄动漫在线观看| 乱人伦视频69| 亚洲免费一区二区av| а√天堂8资源中文在线| 日本三级欧美三级人妇视频| 级毛片无码av| 亚洲av人片在线观看| 亚洲精品成人网线在线播放va| 久久精品无码一区二区三区蜜费| 亚洲女同av一区二区在线观看| 久久亚洲道色综合久久| 天干天干啦夜天干天2017| 国产视频嗯啊啊啊| 三上悠亚亚洲精品一区| 人人妻人人澡人人爽欧美精品| 亚洲AV秘 无码一区二区三区1|