時間:2022-08-31 10:01:43
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇數據安全論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統,它既是計算機網絡安全概念的一部分,但又和計算機網絡安全緊密相連,從一定意義上講,計算機網絡安全其實質即是電子數據安全。國際標準化組織(ISO)對計算機網絡安全的定義為:“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露、更改和破壞?!睔W洲幾個國家共同提出的“信息技術安全評級準則”,從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容,保密性是指計算機系統能防止非法泄露電子數據;完整性是指計算機系統能防止非法修改和刪除電子數據;可用性是指計算機系統能防止非法獨占電子數據資源,當用戶需要使用計算機資源時能有資源可用。
二、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患;相反,在今天出現問題的地方,在將來就可能已經解決。例如,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施,尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數據安全的復雜性。
(四)電子數據安全的安全悖論
目前,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現。
三、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據記錄進行安全違反分析;第三步,采取處理措施。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間,與計算機信息系統內敏感的數據、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發現、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證。
1.了解系統技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行,控制能在該系統中起作用。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數據上,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據,監視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數據庫管理系統的查詢設施抽取用戶數據。
二是從數據中尋找什么?一旦抽取數據后,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息);檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用;判斷程序和數據是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執行請求,然而,數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生,滿足逐出系統閥值,則將引起該事件的用戶逐出系統并記錄其內容。
常用的報警類型有:用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。
【關鍵詞】 高校圖書館 數據存儲 安全
隨著信息技術在圖書館的應用,圖書館的工作方式、館藏結構、文獻的載體形態等都發生了巨大變化。在傳統圖書館向數字圖書館轉型的過程中,我們面臨著各種新的問題與挑戰,其中圖書館數據的安全性問題既是其中之一,也是較為重要的問題。圖書館數據損壞或者丟失,輕則對圖書館的服務造成負面影響,重則可使圖書館幾年甚至十幾年的工作付諸東流。由此可見,圖書館的數據安全是圖書館各項業務正常開展的保障[1]。
1 圖書館數據
根據圖書館數據的來源,圖書館數據可分為以下三大類:
1.1 圖書館自動化系統數據
這些數據包括圖書館館藏圖書、期刊、報紙等文獻的書目數據,讀者信息,文獻流通數據等,是圖書館自回溯建庫以來,經過多年積累而形成的數據,是圖書館的核心數據。這些數據一旦損壞或丟失,恢復難度大,會造成圖書館基本工作的癱瘓。因此,一定要做好這部分數據的安全防護工作。
1.2 圖書館自建特色數據
目前,大多數圖書館都要自建的特色數據庫等,是圖書館開展特色服務的物質基礎。我院圖書館自建的特色數據主要包括醫學教學視頻點播系統、醫學圖片庫、學習資源FTP下載、隨書光盤鏡像等。各圖書館在建設這些數據的時候都付出了艱辛的勞動,一旦出現問題,恢復起來也比較麻煩。
1.3 本地鏡像資源
主要包括安裝在圖書館服務器上的電子圖書、電子期刊、學位論文、會議論文及各種視頻資源。這部分數據由服務商提供,數據量比較大,變化不頻繁,可以不做備份,必要的時候可由服務商進行數據恢復[2]。
2 影響圖書館數據安全的因素
2.1 軟硬件因素
據統計,50%以上的數據丟失是由于硬件故障或軟件錯誤造成的[3]。圖書館的服務器、工作站、存儲設備、網絡設備、UPS電源等各種硬件設施以及運行在硬件上的各種軟件構成了一個復雜的系統。系統的正常運行受多種因素的影響,其中的任何一個環節發生故障都會對圖書館數據造成威脅。
2.2 網絡環境及病毒侵襲
網絡本身存在的安全漏洞給了黑客可乘之機,特別是廣泛使用的TCP/IP協議組所存在的安全性問題,往往是網絡安全的隱患。校園內個別計算機水平較高的學生,為了追求所謂的“成就感”,也會利用一些工具對內網進行攻擊。目前,網絡已經成為病毒的主要傳播途徑,計算機病毒的傳播速度、破壞性也越來越大。
2.3 管理及人為因素
在圖書館自動化的建設過程中,往往重建設、輕管理,重技術、輕制度,重設備、輕人員,對圖書館的數據安全造成了潛在的風險。例如,一些操作規程沒有建立、沒有設備運行記錄;管理圖書館核心機房的工作人員責任心不強;服務器密碼設置過于簡單、共用一個密碼、密碼多年使用而不更換等等。
2.4 環境因素和自然災害
失竊、雷擊、火災、水災、地震等事件發生的概率雖然較小,一旦發生往往是毀滅性的,因此也應引起重視,做好防范工作。
3 數據存儲安全策略
3.1 數據備份與容災
數據備份有不同的形式與方法,各圖書館可以根據數據的重要性及自身的實際情況進行選擇,確保備份數據保存完好。根據數據備份的形式,數據備份可分為全備份、增量備份、差分備份;根據數據備份的方法,數據備份可分為硬件級備份、軟件級備份和人工備份[4]。高校圖書館可根據數據的重要程度、自身的條件等使用相應的備份方式。如果條件允許,圖書館還可以用兩臺服務器進行雙機熱備份,如果主服務器出錯,可以切換到備份服務器,保證系統運行不受影響。
在進行數據備份的時候,應對備份有正確的認識。Raid技術、雙機熱備份是實時備份,任何運行錯誤、病毒木馬影響、誤操作等都會同步的在備份數據中發生影響,因此在采用以上備份的同時,再用手工備份或定時自動備份,以便將來能順利的進行數據恢復。備份好的數據一定要異地存放,以增加數據抗風險的能力。
3.2 網絡安全管理
目前的網絡安全環境不容樂觀,必須采取必要的應對措施。高校圖書館網的結構比較復雜,應用多樣,因此可用VLAN劃分虛擬子網,將不同的網絡應用隔離,防止病毒的相互感染。同時設置防火墻,將內外網分開,抵御外網的攻擊和病毒入侵,部署入侵檢測系統,防止內部的攻擊。對于多校區間的連網,可以采用端到端的VPN連接,應用IPSEC加密技術,實現數據的加密傳輸。
3.3 安全的機房環境
機房作為存放圖書館關鍵設備的場所,安全問題不容忽視。計算機設備故障約有一半是由電源問題引起的,因此機房必須配備UPS,防止斷電、電壓波動、頻率震蕩、脈沖干擾等對設備造成的危害。機房地面應鋪設防靜電地板,防止靜電對設備精密部件造成的傷害?;覊m也是設備的潛在殺手,機房應保持門窗的密閉性,定期打掃衛生、清洗空調過濾系統、減少灰塵來源。此外機房還應保持適當的溫度,溫度過高會加速設備的老化。
4 結語
做好圖書館數據安全存儲工作是一項系統工程,不但需要圖書館工作人員有較高的專業技術水平,還需要工作人員有較強的責任心和安全意識。數據管理人員要密切關注現代信息技術的發展趨勢,隨時掌握新的技術,跟上技術發展的步伐。圖書館要完善各項管理措施,為數據安全提供有效保障。
參考文獻:
[1]張志強.淺談高校圖書館數據安全與防護[J].湖北師范學院學報,2011,31(1):40-44.
[2]陳月從.數字圖書館的數據安全與數據備份[J].現代情報,2010,30(6):133-135.
論文摘要:走進新世紀,科學技術發展日新月異,人們迎來一個知識爆炸的信息時代,信息數據的傳輸速度更快更便捷,信息數據傳輸量也隨之增加,傳輸過程更易出現安全隱患。因此,信息數據安全與加密愈加重要,也越來越多的得到人們的重視。首先介紹信息數據安全與加密的必要外部條件,即計算機安全和通信安全,在此基礎上,系統闡述信息數據的安全與加密技術,主要包括:存儲加密技術和傳輸加密技術;密鑰管理加密技術和確認加密技術;消息摘要和完整性鑒別技術。
當前形勢下,人們進行信息數據的傳遞與交流主要面臨著兩個方面的信息安全影響:人為因素和非人為因素。其中人為因素是指:黑客、病毒、木馬、電子欺騙等;非人為因素是指:不可抗力的自然災害如火災、電磁波干擾、或者是計算機硬件故障、部件損壞等。在諸多因素的制約下,如果不對信息數據進行必要的加密處理,我們傳遞的信息數據就可能泄露,被不法分子獲得,損害我們自身以及他人的根本利益,甚至造成國家安全危害。因此,信息數據的安全和加密在當前形勢下對人們的生活來說是必不可少的,通過信息數據加密,信息數據有了安全保障,人們不必再顧忌信息數據的泄露,能夠放心地在網絡上完成便捷的信息數據傳遞與交流。
1信息數據安全與加密的必要外部條件
1.1計算機安全。每一個計算機網絡用戶都首先把自己的信息數據存儲在計算機之中,然后,才進行相互之間的信息數據傳遞與交流,有效地保障其信息數據的安全必須以保證計算機的安全為前提,計算機安全主要有兩個方面包括:計算機的硬件安全與計算機軟件安全。1)計算機硬件安全技術。保持計算機正常的運轉,定期檢查是否出現硬件故障,并及時維修處理,在易損器件出現安全問題之前提前更換,保證計算機通電線路安全,提供備用供電系統,實時保持線路暢通。2)計算機軟件安全技術。首先,必須有安全可靠的操作系統。作為計算機工作的平臺,操作系統必須具有訪問控制、安全內核等安全功能,能夠隨時為計算機新加入軟件進行檢測,如提供windows安全警報等等。其次,計算機殺毒軟件,每一臺計算機要正常的上網與其他用戶交流信息,都必須實時防護計算機病毒的危害,一款好的殺毒軟件可以有效地保護計算機不受病毒的侵害。
1.2通信安全。通信安全是信息數據的傳輸的基本條件,當傳輸信息數據的通信線路存在安全隱患時,信息數據就不可能安全的傳遞到指定地點。盡管隨著科學技術的逐步改進,計算機通信網絡得到了進一步完善和改進,但是,信息數據仍舊要求有一個安全的通信環境。主要通過以下技術實現。1)信息加密技術。這是保障信息安全的最基本、最重要、最核心的技術措施。我們一般通過各種各樣的加密算法來進行具體的信息數據加密,保護信息數據的安全通信。2)信息確認技術。為有效防止信息被非法偽造、篡改和假冒,我們限定信息的共享范圍,就是信息確認技術。通過該技術,發信者無法抵賴自己發出的消息;合法的接收者可以驗證他收到的消息是否真實;除合法發信者外,別人無法偽造消息。3)訪問控制技術。該技術只允許用戶對基本信息庫的訪問,禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時,系統管理員能夠利用這一技術實時觀察用戶在網絡中的活動,有效的防止黑客的入侵。
2信息數據的安全與加密技術
隨著計算機網絡化程度逐步提高,人們對信息數據傳遞與交流提出了更高的安全要求,信息數據的安全與加密技術應運而生。然而,傳統的安全理念認為網絡內部是完全可信任,只有網外不可信任,導致了在信息數據安全主要以防火墻、入侵檢測為主,忽視了信息數據加密在網絡內部的重要性。以下介紹信息數據的安全與加密技術。
2.1存儲加密技術和傳輸加密技術。存儲加密技術分為密文存儲和存取控制兩種,其主要目的是防止在信息數據存儲過程中信息數據泄露。密文存儲主要通過加密算法轉換、加密模塊、附加密碼加密等方法實現;存取控制則通過審查和限制用戶資格、權限,辨別用戶的合法性,預防合法用戶越權存取信息數據以及非法用戶存取信息數據。
傳輸加密技術分為線路加密和端-端加密兩種,其主要目的是對傳輸中的信息數據流進行加密。線路加密主要通過對各線路采用不同的加密密鑰進行線路加密,不考慮信源與信宿的信息安全保護。端-端加密是信息由發送者端自動加密,并進入TCP/IP信息數據包,然后作為不可閱讀和不可識別的信息數據穿過互聯網,這些信息一旦到達目的地,將被自動重組、解密,成為可讀信息數據。
2.2密鑰管理加密技術和確認加密技術。密鑰管理加密技術是為了信息數據使用的方便,信息數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配、保存、更換與銷毀等各環節上的保密措施。網絡信息確認加密技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認方案應該能使:合法的接收者能夠驗證他收到的消息是否真實;發信者無法抵賴自己發出的消息;除合法發信者外,別人無法偽造消息;發生爭執時可由第三人仲裁。按照其具體目的,信息確認系統可分為消息確認、身份確認和數字簽名。數字簽名是由于公開密鑰和私有密鑰之間存在的數學關系,使用其中一個密鑰加密的信息數據只能用另一個密鑰解開。發送者用自己的私有密鑰加密信息數據傳給接收者,接收者用發送者的公鑰解開信息數據后,就可確定消息來自誰。這就保證了發送者對所發信息不能抵賴。
2.3消息摘要和完整性鑒別技術。消息摘要是一個惟一對應一個消息或文本的值,由一個單向Hash加密函數對消息作用而產生。信息發送者使用自己的私有密鑰加密摘要,也叫做消息的數字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發送者,當消息在途中被改變時,接收者通過對比分析消息新產生的摘要與原摘要的不同,就能夠發現消息是否中途被改變。所以說,消息摘要保證了消息的完整性。
完整性鑒別技術一般包括口令、密鑰、身份(介入信息傳輸、存取、處理的人員的身份)、信息數據等項的鑒別。通常情況下,為達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對信息數據的安全保護。
隨著我國教育改革進入深水區,建設高效節約型校園不斷被提上日程,同時智慧地球概念也不斷催生著新的教育理念與考試模式??荚囀菍W生學業考核重要的一部分,在信息技術不斷革新,教育改革不斷推進的新形勢下,學生在線考試能夠實現試題數字化,考試無紙化,更加科學與規范,較好地體現了公平與公正的教育理念。本文重在分析學生在線考試系統在新形勢下的設計與實現。
【關鍵詞】數據庫 數據安全 新形勢 學生在線考試系統
1 概述
互聯網的迅猛發展和它的開放性給考試模式帶來了新的變化,使得考試不再局限于紙張,不再需要人工閱卷,學生在線考試開始逐漸走入了人們的視野,并給教育的發展注入了新的動力。學生在線考試系統的產生背景源于當今教育信息化的趨勢,在我國,教育信息化也是一項基本國策。當然,在線考試系統也對技術方面安全性提出了更高要求。
學生在線考試模式與傳統考試模式相比,具有不少無可比擬的優越性,它將傳統考試過程中的試卷組織、審定印制、傳送收集、登記發放、評判歸檔各個環節減少至一到兩個環節,實現了無紙化自動化考試,不但能節約大量的人工財力,還具備更高的公平性與公正性,科學而規范。學生在線考試系統實現方式多樣,而基于web的學生在線考試系統不僅能夠利用計算機巨大的計算能力,建設龐大的試題庫,而且由于是基于web開發的學生在線考試系統,因此能夠實現隨時隨地考試,降低考試成本。
2 新形勢下學生在線考試系統的建設與應用
2.1 新形勢下學生在線考試系統的設計原則
2.1.1 技術可行性
計算機與信息技術是構建學生在線考試系統的基石,尤其在新形勢下,在設計實現學生在線考試系統時,毫無疑問技術必須要可行,這樣設計實現的考試系統才能成功實現并滿足需求。
2.1.2 經濟可行性
學生在線考試系統雖然優點多,但是也要注意經濟條件,不能盲目追求先進,應當在充分評估經濟條件的情況下,設計出符合實際情況、節約成本的在線考試系統。
2.1.3 安全可靠
學生在線考試系統作為傳統考試的替代或者補充,應當體現公平性與公正性,因此學生在線考試系統應當安全,設計方案要成熟可靠,防止非法人員篡改數據,或者獲取機密信息。
2.2 構建學生在線考試系統
web應用在云計算時代越來越受青睞,并逐漸凸顯出先進性。對于學生在線考試系統來說,采用B/S結構有很多優點,比如擴展性和靈活性比較好。本小節講述如何構建基于wbe的學生在線考試系統。
2.2.1 多層架構的學生在線考試系統
基于web的學生在線考試系統可以分成數據層、功能層和表示層,其中數據層由數據庫應用系統支持,功能層由服務端支持,表示層即瀏覽器端網頁。學生在線考試系統隨著需求的變化經常需要進行系統變更或者擴展,這種多層結構可以滿足擴充系統的需要,我們可以用較少的資源建立起具備強伸縮性的系統。
2.2.2 功能模塊設計
學生在線考試系統從整體上來說有三個角色,包括學生、教師和管理員,因此我們在進行功能模塊劃分時經常要從這三個角色入手,根據他們扮演的角色,模擬其線下工作學習流程,將其運用到系統上來,從而構建體驗良好的功能模塊。
一般來說,學生在線考試系統主要包含學生專區、教師專區、以及管理員管理維護模塊等三個頂層模塊。在這三個頂層模塊下分許多底層具體模塊,進行設計時,根據教育機構的實際情況,劃分出底層功能模塊,比如教師專區的出題系統或者組卷系統。
從系統功能角度看,核心功能模塊應當是報名系統、出題組卷系統、實時考試模塊、閱卷評分模塊等,其他諸如個人資料管理系統、、消息通知系統應當作為系統。
另一方面,在設計實現時應當不要忘記特殊情況,如考生計算機突然故障,考生中途有事,因此系統應當還需要特殊情況處理功能,提供特殊渠道。
2.2.3 數據庫設計
學生在線考試系統離不開數據庫的支持,尤其是包括考試數據,相關人員數據在內地一系列數據都需要成熟可靠的數據庫支持。隨著數據的動態增長,良好的數據庫設計也是十分關鍵的,否則數據的遷移、管理、動態擴展將比較困難。
數據庫設計要充分考慮實際應用情況,通過UML建模,設計出良好的數據庫結構和表結構。系統主要包含的表有考生人員表、教師信息表、試卷信息表、試題信息表、課程開設表、管理員信息表、公告信息表等。本文根據現今技術考慮,推薦使用DB2作為學生在線考試系統的數據庫管理系統。
2.2.4 界面開發
學生在線考試系統界面應當是友好的,如果體驗很差會影響考生的心情,從而使得成績不能如實反映學習情況和學業水平,因此良好的網頁界面與優良的動態交互網頁也非常重要。界面開發的最終目的就是獲得良好用戶體驗,讓考生在一個愉悅的網絡環境進行考試,讓教師愉快地進行考試辦公。
2.2.5 嚴格的數據安全體系
考試信息的安全十分重要,學生在線考試系統應當保證數據的安全。其一,要保證備份策略的完善,以便數據丟失或者損壞后的恢復,其二,要建立嚴格的安全認證體系,防止非法人員盜取資料或者破壞數據。
3 結語
本文講述了B/S結構即網頁版的學生在線考試系統在新形勢下的發展和優點,并重點陳述了如何構建網頁版學生在線考試系統。我們相信,隨著技術的不斷革新,智慧地球的不斷臨近,學生在線考試系統將塑造與推動新的教育理念與考試模式。
參考文獻
[1]李經一.基于Web的在線考試系統設計與實現(碩士學位論文)[D].大連理工大學,2008:7 .
[2]謝歆.基于B/S模式的在線考試系統的研究與實現(碩士學位論文)[D].中山大學,2009:3.
[3]劉文.基于Internet的網絡考試系統(碩士學位論文)[D].華南理工大學,2005:1-2.
[4]樊海瑋.基于WEB的網絡化在線考試系統研究與實現(碩士學位論文)[D].長安大學,2006:9-11.
[5]鐘建科.基于B/S模式的在線考試系統的設計與實現(碩士學位論文)[D].華中科技大學,2006:5.
[6]劉明明,許勇.基于Web的在線考試系統分析與評價[J].管理觀察,2009(5):235.
[關鍵詞] 計算機審計;電子數據;數據安全;保護;對策
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 020
[中圖分類號] F239.1 [文獻標識碼] A [文章編號] 1673 - 0194(2013)15-0026-03
隨著企業信息化建設應用工作的不斷推進,企業內部審計計算機審計工作持續開展,并產生了大量的計算機審計電子數據,這些數據涉及企業生產經營管理活動的重要內容,也是企業重要的信息資源,因此,企業計算機審計電子數據安全保護工作十分重要。加強企業計算機審計電子數據安全保護能力、降低審計人員個人攜帶計算機審計電子數據的安全風險,不僅是企業信息安全保護的要求,而且是企業計算機審計自身的內在要求。與此同時,隨著信息化技術的不斷更新換代和計算機審計環境的越發復雜,要做好計算機審計電子數據安全保護工作,就要與時俱進、不斷探索研究。
1 企業計算機審計電子數據的主要內容
企業計算機審計電子數據的主要內容包括審計人員個人計算機存儲的由被審計單位提供的本單位生產運營管理報告、業務數據、財務報表等與審計項目相關的電子數據,以及參加審計項目實施過程中涉及的審計工作方案、審計實施方案、審計工作記錄、審計工作底稿、審計報告等審計工作數據。
2 企業計算機審計電子數據安全保護方面存在的突出問題
企業在計算機審計電子數據安全保護方面采取了一些措施,一方面在管理上要求審計人員提高信息安全保密意識,另一方面在技術上為審計人員個人計算機安裝防病毒軟件等,雖然取得了一定成效,但在企業計算機審計電子數據安全保護方面尚未形成有效的體系,仍然存在以下幾個方面的突出問題。
2.1 管理方面
一是數據整理與挖掘利用困難。審計數據是審計人員多年工作經驗、審計知識的積累與沉淀,利用現有手段難以從數據挖掘利用的角度進一步梳理數據,無法實現數據的多維分類,無法充分進行數據價值挖掘利用。二是數據權限管理困難。數據訪問與使用權限控制缺乏平臺支持,難以實現更深入的權限控制,增加了管理與操作的難度和工作量。三是桌面標準化管理困難。審計工作依賴于終端設備,使用的軟件不統一,給信息交流與利用帶來困難,同時管理上也存在很大難度。
2.2 技術方面
一是安全性不足?,F有技術手段的安全水平與審計電子數據的重要性尚有差距,不能滿足審計業務對信息安全與保密的需要。其一,數據以明文傳輸,數據在傳輸過程中一旦被截獲,信息容易泄露;其二,服務器上數據以明文存儲,一旦服務器被入侵,入侵者可以很輕易地獲取所有未加密文件;其三,終端上數據以明文方式存放,特別是正在開展的審計項目數據以明文方式存在審計人員的終端設備中,如果設備丟失或系統感染病毒,就會造成重大損失。二是權限配置與備份困難。企業郵件賬號域認證初步實現訪問控制,但其控制粒度尚不能滿足使用需要,且配置比較繁瑣。數據手工備份、同步與恢復不能滿足需要。
2.3 使用方面
一是審計人員難以找到需要的信息。各單位審計人員只能查看本單位的部分共享審計資料,缺乏按關鍵字、審計對象、審計類型等多種方式的全面數據搜索,審計人員難以找到最適合的可參考與可借鑒的資料信息。二是尚不能完全實現審計工作與外網分離。通過上網本為審計人員提供從外網搜索資料等功能,滿足了審計人員對外網大部分的需求;但審計人員出差期間,訂購火車票時,需用筆記本電腦付費,而且審計人員習慣于使用終端設備,日常辦公和其他方面依然和審計工作共用終端設備,未完全實現審計工作與外網的分離。
2.4 保障方面
一是終端數據清理工作量大?,F階段審計人員的終端設備數據清理工作,耗時長,工作量大,信息處負責數據清理工作的同志工作負荷重,急需通過其他手段,提高工作效率和清理效果。二是IT運維工作壓力大。信息處負責企業IT設備的維護工作,各電腦終端存在操作系統不統一、審計軟件與辦公軟件不統一、審計人員出差遠程維護難等問題,造成IT運維難度大,信息處承擔了很大的工作壓力。終端設備容易因電腦病毒、系統漏洞、惡意網站等各種原因,造成審計數據的泄露。亟需通過新的IT手段,提高審計IT桌面安全性,降低IT維護難度,提高IT維護效率和效果。
3 目標與思路
企業計算機審計電子數據安全保護是一項系統化工作,只有明確計算機審計電子數據安全保護的主要目標,理清計算機審計電子數據安全保護的整體思路,并不斷探索研究,才能持續提高計算機審計電子數據安全保護能力。
3.1 主要目標
企業計算機審計電子數據安全保護的主要目標是實行計算機審計電子數據集中統一管理、按需授權訪問,降低個人攜帶審計電子數據意外風險;計算機審計電子數據集中管理的服務器環境,要遵照企業統一安全策略,采用相應的物理安全、網絡安全、主機安全、應用安全、備份與恢復安全等技術措施,以及安全管理職責、安全管理制度、人員安全管理、系統建設管理、系統運維管理等管理措施,整體確保計算機審計電子數據安全受控。
3.2 整體思路
企業計算機審計電子數據安全保護的整體思路是依托企業信息技術統一安全保護策略,通過建立計算機審計電子數據集中管理平臺,實現審計工作辦公內網與外部公網分離、審計工作環境與個人計算機終端分離,逐步實現審計人員個人計算機審計電子數據按需攜帶向零攜帶轉變,最終實現計算機審計電子數據實時在線與安全受控。
4 實施步驟
企業計算機審計電子數據安全保護工作是一項長期而艱巨的任務,不可能一蹴而就。在管理上,需要企業高度重視計算機審計電子數據安全保護工作,一方面要給予這項工作統一領導和各種資源的支持,另一方面審計人員要不斷提高信息安全保護意識;在技術上,要與時俱進,采用先進的信息技術手段,有步驟、有計劃地逐步開展。
4.1 審計數據集中管理,個人歷史數據清零
利用企業現有軟件硬件資源,創建審計數據集中統一管理存儲空間,采用企業郵件域認證方式,按照單位審計人員授權訪問;審計人員自行整理個人計算機審計電子數據,按照個人權限上傳至統一管理存儲區域;利用專用存儲介質數據清除工具對審計人員個人計算機硬盤逐一進行清理;實現審計人員個人計算機審計電子數據集中管理,個人計算機歷史審計數據清零。
4.2 審計網絡環境分離,審計數據按需攜帶
針對審計工作以企業辦公內網環境為主,需要借助企業外網查找資料的特點,為審計人員公網應用配發個人上網本;實行審計人員個人計算機在辦公內網專用,個人上網本在公網環境專用;在審計項目開展前,為審計人員個人計算機裝載系統軟件,并按照審計項目需要裝載相關審計數據;在審計項目結束后,利用專用存儲介質數據檢查工具對審計人員個人計算機和上網本使用情況進行檢查,確保按照要求使用;實現審計工作內網應用和外網應用分離,審計數據按需攜帶。
4.3 審計工作環境分離,審計數據實時在線
借鑒先進技術應用實踐經驗,建立企業審計電子數據管理平臺,采用統一的信息技術安全保護策略,通過企業郵件域認證登錄個人移動辦公桌面;采用云技術為審計人員呈現個人辦公系統軟件環境,所有審計工作將在審計電子數據管理平成,審計人員個人計算機將不再存儲任何審計相關數據;利用專用存儲介質數據檢查工具對審計人員個人計算機和上網本定期進行數據存儲檢查,確保介質審計數據零存儲;實現審計工作環境與個人計算機終端分離,審計數據實時在線。
5 主要成效
結合企業計算機審計工作實際,通過虛擬化等技術手段,建設審計電子數據管理平臺,采取計算機審計電子數據集中管理、審計辦公桌面集中管理、審計應用軟件統一管理和信息安全策略集中管理等具體措施,最終實現審計工作環境分離、審計數據實時在線,從而實時有效地進行計算機審計電子數據安全保護。
5.1 實現電子數據集中管理
集中管理審計電子數據,提供數據多種分類和檢索方式,審計人員根據分配的權限、關鍵字、文檔類型、提交時間等快速定位所需文檔,為深入發掘審計電子數據價值提供支撐,為審計管理和審計項目工作提供豐富有效的數據資源。審計電子數據管理平臺,采用經國家相關安全部門認證的數據加密技術和手段,通過數據加密存儲、加密傳輸、加密備份和數據訪問控制機制,全面保障數據的安全性,實現數據的全生命周期管理。
5.2 實現辦公桌面集中管理
采用云計算和虛擬化技術,提供標準的、靈活的、可擴展的辦公桌面環境,通過集中配置和統一分配審計辦公桌面,提高審計辦公資源申請、配制、獲取、維護與收回清理的工作效率,同時服務器、存儲、網絡等資源能得到更加充分的利用。審計人員可以快速獲得所需辦公桌面,系統嚴格控制,實現審計工作數據與個人本地終端完全分離,且工作狀態自動保存,可從任何地點重新接入和恢復。
5.3 實現應用軟件統一管理
集中管理OA系統、Office等辦公軟件,審計管理系統、財務輔助審計系統等審計軟件,以及FMIS、ERP等其他專業軟件,統一配置到審計人員辦公桌面。審計人員還可以根據需要,申請所需的其他應用軟件,經審批通過后集中配置、統一分配到辦公桌面,滿足審計人員工作需要,提高審計人員的工作效率,提升信息人員的運維水平。
5.4 實現安全策略集中部署
在虛擬桌面、辦公應用、審計數據3個層級,集中部署管理防病毒軟件、辦公應用軟件和數據加密管理軟件等,通過一次性集中配置,到所有審計辦公桌面,實現桌面安全、應用安全和數據安全,建立全面的審計辦公和電子數據三級安全防護體系,提升審計辦公和審計電子數據的安全保護能力。
6 總 結
企業計算機審計電子數據安全保護工作是一項系統工程,需要技術和管理并重,在將計算機審計電子數據安全保護納入企業保密管理工作范疇的同時,要建立企業個人計算機審計電子數據集中管理制和個人計算機存儲介質安全清理檢查制,定期開展計算機審計電子數據安全檢查工作,將檢查結果定期予以公布,并將計算機審計電子數據安全保護工作情況納入績效考核,全面提高計算機審計電子數據安全保護能力,為企業內部審計計算機審計工作提供有力保障。
主要參考文獻
[1]審計署企業審計司.企業計算機審計論文集[C].北京:中國時代經濟出版社,2012.
關鍵詞:計算機;數據庫;安全
中圖分類號:TP393.08
計算機數據庫是計算機信息技術的重要組成部分,是計算機應用的一種重要的管理技術。一般意義上說,數據庫是數據存儲的重要基地,發揮著非常巨大的作用,并且能夠進行復雜的數據管理和保護,并在實際應用過程中有很大的靈活性,提供給人們更多的便利。計算機數據庫技術在實踐中已經在許多領域得到了廣泛的應用,它給我們的生活、工作都帶來了便捷的服務,但是如何維護其安全成為了當下人們關注的主要問題。數據安全管理的措施和辦法已經被廣泛的討論,一些專家和學者也對數據庫的安全發表過眾多的可行性方案和學術論文,作者在參考相關資料和信息后又結合自身所學和個人實際操作經驗提出建立數據庫安全模型、加密數據、隱道通道分析技術三種可行性方法,進而有效的進行數據庫安全管理。
1 計算機數據庫存在的安全問題
計算機數據庫存在安全問題主要涉及到計算機操作系統方面的安全問題、用戶對網絡信息安全方面的意識薄弱問題、數據庫系統自身存在的安全問題三個方面。
1.1 計算機操作系統方面的安全問題
操作系統的問題主要在于病毒,后門,數據庫系統和操作系統的相關性上。首先,病毒方面,木馬程序在操作系統中是可能存在的,這就直接威脅數據庫系統的安全。一個木馬程序入侵程序給程序修改密碼,當密碼被更新后,程序中攜帶的個人資料信息被入侵者獲得,其次操作系統后門方面,許多數據庫系統的特征參數給數據庫管理員帶來了方便,但也為數據庫服務器主機操作系統留下了后門,入侵者可以通過進門后訪問數據庫;再次,數據庫系統,操作系統與強的相關性。文件管理是操作系統有一個功能,它可以對所有類型的文件,包括數據庫文件的授權,通過使用訪問控制進行讀寫和執行,同時也為用戶的登錄名和密碼的控制識別操作系統監控過程序列可以進行,所以由操作系統提供的環境和硬件設備,以確保數據庫系統的安全性。
1.2 用戶對網絡信息安全方面的意識薄弱問題
數據庫用戶對網絡信息安全方面的意識薄弱,其自身沒有真正意識到數據庫安全的重要性,沒有開展安全管理措施,從而導致數據庫安全事件頻頻發生,照成數據庫資料被竊取、數據庫數據丟失、數據庫損壞等問題,這是由于管理疏忽誘發的安全問題。另外數據庫的使用者通常計算機操作水平和應用能力較弱,在操作方面容易忽略數據安全問題,在數據庫密碼設置、軟件登陸密碼設置、數據加密設置等方面采用較為簡單的密碼,很容易被不法分子所竊取。
1.3 數據庫系統自身存在的安全問題
數據庫系統自身存在的問題。目前很多軟件的數據庫系統采用的是關系數據庫,關系數據庫系統已使用多年,并具有強大的功能,產品已經非常成熟,深受廣大用戶的喜愛,由于其開發技術成熟,兼容性強,很多數據開發人員在數據的選用上都會優先考慮使用關系數據庫。但是關系數據庫在實際的應用中已經固有了一定的特性,其并未在其所兼容的操作系統中,完善數據庫安全功能,數據升級改造在安全方面也較為薄弱,其系統漏洞已經被不法分子深入的掌握,關系數據庫屢屢遭受到網絡攻擊。因此,大多數相關的關系數據庫系統在安全性能上還不夠成熟。
2 數據庫安全管理措施
本文所研究的數據庫安全管理措施主要包含三個方面:建立數據庫安全模型、加密數據、隱道通道分析技術。這三個方面是計算機數據庫的安全管理措施中最為立竿見影、最為實用的。
2.1 建立數據庫安全模型
數據庫安全模型可以分為多級安全模型和多邊安全模型,計算機數據庫安全模型的建立在維護數據庫安全上發揮著重要作用。
(1)多級安全模型:多級數據庫安全模型首先應用在軍事系統數據庫中,其具有較高的安全性和保密性,多級數據庫安全模型可以使不同數據庫進行安全分類,其安全級別高,防竊取能力強,數據庫安全碼包含各種各樣不同的信息。在通常情況下,多級數據庫安全模型從低到高密級分為“秘密”、“機密”、“絕密”,每個安全分類信息只能被密級或高于該密級權限的人使用。多級安全模型具有層級管理模式,高出下一級別的權限使用者可以對下級進行管理,其保密等級逐級提高,用不同的管理關系構建多層安全防護網絡,是計算機數據安全管理的有效措施,目前已經被廣泛的應用在計算機數據庫安全管理中。
(2)多邊安全模型:多邊數據庫安全模型是數據庫安全性的重要措施之一,其能夠降低數據庫的信息發生橫向泄漏危險,多邊數據安全模型將數據封裝在框架中,對包含在框架內的數據庫信息進行有效的保護,防止數據泄露。多邊數據庫安全模型在計算機數據庫安全管理方面最大程度的防止數據的丟失,其具有較高的安全性。
2.2 加密數據
數據加密是防止數據庫中的數據存儲和傳輸被攔截或被盜的有效方法。其基本思想是根據一定的算法將數據加密的原始數據還沒有轉換成格式,可以使得不知道解密算法人無法直接識別并且獲得數據的真實內容。密碼作為保密的關鍵技術,在解決信息安全問題上發揮著不可替代的作用。隨著計算機網絡不斷滲透到現實生活中的各個領域,加密技術得到了廣泛的應用。數據加密是密碼技術應用的。數據庫系統,承擔著存儲和管理的關鍵業務數據和信息的任務,每個信息系統都必須保證其安全性和保密性。通常情況下,數據庫系統提供的安全控制措施,能滿足一般的數據庫的應用,但對于一些重要的部門或敏感領域,只是應用數據庫的控制功能是難為充分保證數據安全性的。因此,有必要對存儲在數據庫中的重要數據加密處理,從而加強存儲的數據的安全性。
2.3 隱道通道分析技術
雖然自主和強制訪問控制限制了系統中的信息,只有通過安全級別低的主體的高級別安全性的主體流程,但低級別的安全性主體仍然可以通過其他的方式發送消息給高安全級別主體,隱通道便是其中一種。隱蔽通道是一個用戶以違反系統安全策略的方式傳送信息給另一個用戶的機制。它往往是最初由系統用于數據傳送訪問控制系統資源來傳輸信息,而這樣的溝通往往是不系統內置機制來檢測和控制。隱通道包括了存儲隱蔽通道和定時隱蔽通道。
3 結語
綜上所述,隨著數據庫越來越被廣泛的應用,其涉及的領域越來越廣,數據庫的安全問題必然成為了當前計算機應用中最為關注的重點。在數據庫給我們帶來生活和工作的便利同時,其安全問題也成為我們所需要認真研究的對象??偟膩碚f計算機數據庫的安全管理措施主要體現在三個方面,即操作系統方面、用戶管理方面以及數據庫系統自身漏洞方面。在面對數據庫的所帶來的安全問題時,我們需要一方面提高數據庫用戶使用數據庫的安全意識和重視程度,另方面還需要通過建立數據庫安全模型、數據加密等技術手段來強化數據庫的安全性能,從系統性能上和應用人員意識上雙管齊下,從而提高數據庫運行的穩定性和安全性。
參考文獻:
[1]薛玉芳,李潔瓊,李亞軍.數據庫安全與防護性的技術研究[J].中國新技術新產品,2011,3.
[2]許方恒.數據庫加密模型研究[J].電腦知識與技術,2009,23.
[3]汪新建,羅緋,李明.網絡數據庫的應用與安全認識[J].西南軍醫,2009,1.
[4]羅華鈞,孫長軍.現代數據庫安全概述[A].2007通信理論與技術新發展——第十二屆全國青年通信學術會議論文集(上冊)[C],2007.
論文關鍵詞:FTP服務器,IIS,用戶隔離,ActiveDirectory,數據訪問保護
1 引言
FTP(File Transfer Protocol)文件傳輸協議,用來在遠程主機和本地主機之間傳輸文件。FTP服務是基于客戶機/服務器模式的服務,通過該服務可在FTP服務器和FTP客戶端之間建立TCP連接,實現FTP服務器和FTP客戶端之間的文件傳輸,文件傳輸包括從FTP服務器下載文件和向FTP服務器上傳文件。
2 FTP服務器的數據安全
FTP服務主要應用于軟件的高速下載,Web站點的維護和更新,在不同類型的計算機之間傳送文件等。由于FTP服務器上的數據對遠程用戶開放,允許用戶對服務器上的文件進行讀、寫、修改、傳送等操作,維護服務器上的數據安全具有重要意義。在IIS6.0中FTP服務可通過以下方式維護服務器上的數據安全:
2.1驗證用戶身份
1.匿名FTP 身份驗證
默認狀態下,FTP站點允許匿名訪問,FTP服務器接受對該資源的所有請求,并且不提示用戶輸入用戶名或密碼。 如果站點中存儲有重要的或敏感的信息,只允許授權用戶訪問,應禁止匿名訪問。
2.基本FTP 身份驗證
用戶必須使用有效 Windows 用戶名和密碼進行登錄,實現對該FTP站點的訪問。
2.2 通過IP地址限制FTP連接
通過對IP地址的限制,可以只允許或拒絕某些特定范圍內的計算機訪問該FTP站點FTP服務器,避免某些來自外界的惡意攻擊,并將授權用戶限制在一定范圍。將IP地址限制和用戶認證訪問集合在一起,可進一步提高FTP站點訪問的安全性。
2.3 磁盤限額
當賦予FTP客戶寫入權限時,可用NTFS文件系統的磁盤配額功能限制用戶對服務器硬盤的使用。為不同的用戶組分別設置磁盤配額,當用戶上傳的文件超出容量時,系統將提示用戶超出空間配額,上傳操作不能完成。
3 用戶隔離的FTP站點
在典型的FTP服務中,信息的傳播是單方向的,既大多數用戶能瀏覽和下載服務器上的文件,只有少數維護人員擁有向服務器上傳文件的權限。當服務器和客戶機之間的信息交流是雙向的,需要授予多數用戶向FTP服務器上傳文件的權限,并限制用戶查看或修改其他用戶的文件時,必須建立“用戶隔離”的FTP站點論文格式范文。
FTP 用戶隔離通過將用戶限制在自己的目錄中,來防止用戶查看或覆蓋其他用戶的FTP內容。在用戶隔離的FTP站點內,用戶能創建、修改或刪除自己的文件和文件夾,但無法瀏覽目錄樹的上一層。FTP用戶隔離是站點屬性,在站點創建時確定,無法為每個FTP站點啟動或關閉該屬性。在創建FTP站點時,IIS6.0支持以下三種模式:
不隔離用戶
該模式是FTP站點建立時的默認設置,登陸站點的用戶可以訪問FTP站點主目錄或Public目錄(在用戶隔離模式下)的所有摘要在用戶間進行數據訪問保護的站點。
隔離用戶
為防止普通用戶通過匿名賬號訪問FTP站點,并在用戶間進行數據訪問保護,應該建立隔離用戶的FTP站點。該模式在用戶訪問與用戶名匹配的用戶主目錄前,根據本地用戶賬戶驗證用戶身份。所有用戶的主目錄都在單一FTP主目錄下,每個用戶均被限制在自己的主目錄中,不允許用戶瀏覽自己主目錄外的內容。建立用戶隔離的FTP站點的步驟如下:
1) 為所有需要訪問受保護的FTP站點的用戶,在“計算機管理”控制臺中的“本地用戶和組”中建立本地用戶賬戶。
2) 在硬盤的NTFS分區中建立FTP站點的目錄結構,包括FTP站點的主目錄,以及各用戶賬號的用戶主目錄。假設要讓use1、user2登陸用戶隔離的FTP站點,應在FTP主目錄(如testFTP)下為用戶創建用戶主目錄F:\testFTP\LocalUser\user1和F:\testFTP\LocalUser\user2。其中“LocalUser”子文件夾名稱不能隨意設置,新建的用戶主目錄名稱“user1”, “user2” 必須與用戶賬戶名稱完全相同。用戶隔離的FTP站點建成后,用戶只能訪問自己主目錄,沒有權利訪問其他用戶的主目錄。
如果希望保留用戶隔離站點的匿名登錄功能,可在“LocalUser”文件夾中創建一個“Public”子目錄。用戶通過匿名方式登錄FTP站點FTP服務器,只能瀏覽到“Public”子目錄中的內容。
3)建立用戶隔離的FTP站點,站點主目錄指向“testFTP”文件夾。
用ActiveDirectory隔離用戶
在FTP服務器上用ActiveDirectory隔離用戶,FTP站點不需要主目錄,但必須為每個用戶創建一個專用的用戶主目錄。
首先安裝活動目錄,在Windows Server 2003域的Active Directory數據庫的用戶賬戶內有兩個用來支持“用Active Directory隔離用戶”的FTP站點屬性,分別是FTProot和FTPdir。FTProot用來指定用戶主目錄的根目錄,FTPdir用來指出用戶主目錄的相對路徑。在命令提示符下,可利用iisftp程序為每個用戶設置不同的FTProot和FTPdir屬性,靈活地將用戶主目錄分布在多臺服務器、多個卷和多個目錄中。
該模式根據相應的 Active Directory 容器驗證用戶憑據。當用戶對象在 ActiveDirectory 容器內時,可以將 FTPRoot 和 FTPDir 屬性提取出來,為用戶主目錄提供完整路徑。用戶只能瀏覽自己的用戶主目錄,無法向上查看目錄樹。建立“用Active Directory隔離用戶”的FTP站點的步驟如下:1、在“ActiveDirectory用戶和計算機”域中,創建一個域用戶賬戶test1。
2、用iisftp命令在Active Directory數據庫中設置用戶的主目錄。當用戶test1的FTP主目錄為F:\ftp\test1dir時,用iisftp來設置test1的FTPRoot和FTPDir屬性的命令如圖。
圖2-1 設置test1的FTPRoot和FTPDir屬性
同理,當另一域用戶test2的FTP主目錄為D:\remoteftp\test2dir時,用iisftp來設置test2的FTPRoot屬性為“D:\remoteftp”, FTPDir 屬性為“test2dir”,因此在“用Active Directory隔離用戶”的FTP站點,用戶的主目錄可放置在任意的網絡路徑上論文格式范文。
3、FTP站點通過域用戶賬戶讀取用戶屬性。FTP站點必須能夠讀取位于Active Directory內的域用戶賬戶的FTPRoot 和 FTPDir 屬性,才能夠得知用戶主目錄的位置,這是通過對域用戶賬戶進行控制委派實現的。具體步驟如下:
1)在“Active Directory用戶和計算機”中,選擇域用戶賬戶test1所在的容器,右擊,選擇“控制委派”命令,彈出“控制委派向導”對話框,單擊“下一步”。
2)彈出“用戶和組”界面,單擊“添加”,選擇test1,單擊“下一步”。
3)彈出“要委派的任務”界面,選中“讀取所有用戶信息”復選框,單擊“下一步”。單擊“完成”。
4、創建“用 ActiveDirectory 隔離用戶”的FTP站點。
4 FTP用戶隔離在教學中的應用
4.1畢業設計
在畢業設計過程中,學生大部分時間要在工作單位實習,師生之間需要就畢業設計的方向和畢業論文的修改進行頻繁的交流。為學生建立用戶隔離的FTP站點FTP服務器,有利于學生隨時遞交畢業設計的最新進展,便于教師及時審閱,給出修改意見。對軟件專業的學生,教師可直接在FTP站點內修改學生畢業設計的方向,再由學生完成具體的設計內容。教師還可將畢業設計的要求,畢業論文的格式和各種通知在Public公共文件夾內,允許所有學生匿名訪問。
4.2 作業提交
每學期末,在學生提交課程設計作業時,為學生建立用戶隔離的FTP站點,便于教師同時管理多個班級的作業提交,減少由電子郵件提交作業帶來的分類整理工作,又能避免U盤提交帶來的病毒傳播。
總之,建立用戶隔離的FTP站點,給每個用戶建立需登錄訪問的用戶主目錄,解決了FTP服務中數據雙向傳遞的問題,加強了對用戶數據的隔離保護,使FTP服務器的架設具有更大的靈活性,必將在研發推廣FTP服務器的應用上起到十分積極的作用。
參考文獻
[1]黃世權,FTP協議分析和安全研究.微計算機信息,2008(2-3):93:94
[2]唐偉,在Windows下實現配置FTP服務器.計算機時代,2004(5):41:43
[3]張志和,實戰基于IIS的FTP服務器架設.吉林省教育學院學報,2009(8):104:105
[4]叢佩麗,網絡操作系統管理與應用.北京:中國鐵道出版社,2008:178:181