公共场所数据安全系统设计说明
Vpsm-5
一、 公共场所数据
公共场所数据包括三大类
一:通过数据分析得到的数据。如:互联网访问记录、虚拟身份、论坛还原、即时通讯聊天内容、电子邮件内容、顾客记录等
二:系统配置、控制类数据。如:管理员帐号密码,控制策略规则,系统参数设置,上网人员登记等
三:统计数据。如上网习惯行为等统计表图等
以上三种数据,前两种均在前端硬件中存储,第三种通过分析统计前两种数据生成。因以上数据均包含大量敏感信息,数据安全非常重要。后续分两个部分分别探讨数据安全的设计。
二、 公共场所前端数据存贮
前端数据用数据库进行存贮管理。我们使用的数据库系统是mysql数据库系统。 Mysql数据安全使用以下几个措施保证数据安全:
1、 MySQL的访问控制系统是通过一系列所谓授权表进行运作的,这些授权表使我
们能够在数据库、表和列水平上定义每一位用户的访问级别。
2、 只有在使用密码的情况下,用户帐户才能得到安全保障。启用MySQL的
--secure-auth选项以防止用户使用任何老式的不太安全的MySQL密码格式。 3、 在MySQL的客户端服务器架构(对于任何此类架构也是如此)中,关于在网络中
传输数据时保证数据安全的问题非常重要。使用MySQL时,利用OpenSSH这类的安全外壳实用程序,以便为通过的数据创造一个安全的加密通道。通过这种方式对客户端服务器连接进行加密,未经授权的用户就很难读取这些不断在通道中往来传输的数据了
4、 控制台的帐号密码在mysql的安全基础上,还使用了3DES加密。防止对数据
库破解导致控制密码实效。 5、
对一般的数据,为了高效的访问,我们采用了算法较为高效的加密方式,
MySQL有两个函数来支持这种类型的加密,分别叫做ENCODE()和
DECODE()。一段数据通过一个密钥被加密,只能够由知道这个密钥的人来解密。
三、 公共场所数据上传与策略等数据下载
访问记录、虚拟身份、实名、报警策略等敏感信息,在管理中心集中统一管理。我们收集或者在管理中心布控设置到这些信息通过网络通讯同步或者上传。网络上传输数据容易被窃听,我们使用ssl证书传输加密方式,并且在数据源上使用3des加密,两层防护。
3des加密:3DES(即Triple DES)是DES向AES过渡的加密算法,它使用3条64位的密钥对数据进行三次加密。是DES的一个更安全的变形。它以DES为基本模块,通过组合分组方法设计出分组加密算法。比起最初的DES,3DES更为安全
四、 管理中心数据存储
管理中心采用微软的sql2008数据库进行数据存贮。Sql2008集成了多种加密方式,我们考虑效率的基础上,采用了密码来加密保存数据。数据传输使用ssl加密。 微软sql2008数据系统加密。
数据库文件的加密在页级执行。已加密数据库中的页在写入磁盘之前会进行加密,在读入内存时会进行解密。TDE 不会增加已加密数据库的大小。有关数据库页的详细信息,请参阅页和区。 下图显示了 TDE 加密体系结构:
ISG-M公共场所数据安全
