沈阳地铁十号线土建工程XX标段XXX站 加密控制点测量方案 制表:XXX 检查:XXX 复核:XXX XXXXXXXXXXXXXXXXXXXXXXXXXXX XXXX年X月X日
目录 一、工程概况 (2) 二、编制依据 (3) 三、测量人员及测量仪器设备 (3) 四、测量工艺流程 (5) 五、加密点的布设埋设 (5) 六、加密点的观测 (6) 1 (7) 八、测量质量保证措施 (10) 九、仪器精度的保证措施 (10) 十、资料的上报 (10) 十一、测量安全及文明要求 (10) 一、工程概况 黑龙江大学站位于黑龙江大学校门西南侧,哈尔滨服装城东侧,车站沿南北走向布置于
学府路下,为地下二层岛式车站。黑龙江大学站主体结构的是个已于去年结束,今年施工车站附属结构。车站共设4个出入口(其中1个为远期预留)、2个风道和2组风亭等附属结构。 车站东侧为黑龙江大学,西侧有哈尔滨服装城,展位处地面高程起伏不大,地面标高约为158.2米。本车站附属结构为地下一层结构,顶板覆土2.8~5.0米,车站附属结构基坑开挖深度为10米左右。 我标段车站主体结构已经全部施工完成,剩余工程为车站附属结构,施工均采用明挖法施工。为满足工程施工需要,保证测量工作准确及时,特制定加密点布设、埋设及观测方案。 二、编制依据 《工程测量规范》(GB50026-93) 《城市轨道交通工程测量规范》(GB50308-2008) 《城市测量规范》(CJJ8-99) 哈尔滨地铁一期工程二标段控制点交接桩成果 国家其他测量规范、强制性标准 三、测量人员及测量仪器设备 1、测量人员
2、仪器设备 3、辅助工具及材料
数据库加密技术的要点分析 最近两年,信息安全产业随着斯诺登事件的爆发,从国家战略高度得到重视,大量的数据安全泄密事件,让企业与用户对此关注也越来越高。安全攻击方法和策略在升级,传统的边界安全防御机制备受挑战,攻与防的较量之间,对决焦点直指泄密源——核心数据。对于一家组织机构的核心数据往往存于传统安全防护手段难以从根本防护的数据库存储层。入侵者或直接采取行动从外部入侵数据库主机,或利用职权之便从内部窃取数据,从而将不设防或边界网关设防的数据库存储数据整库窃走。这种对于窃取者而言屡试不爽行为的方式背后,围绕数据库安全的行之有效的加密保护技术呼之欲出,从根本拯救数据库安全。。 对数据库存储层核心数据进行加密,可以解决库内明文存储引发的信息泄露风险,也能解决数据库高权限用户不受控制的现状。但是数据库加密这项技术要想形成真正让用户既安全又安心的产品,以下几个核心技术是用户选择该类产品的关键。 数据库列级加密策略配置 在敏感系统的后台数据库中,真正需要加密存储的内容其实占据整个数据库信息的少部分,如用户身份认证信息,账户资金等,成熟的数据库加密技术可以将加密粒度控制在列级,只选择最核心列的内容进行加密,既能保证核心数据的安全性,又能避免整库加密方式造成的严重性能损耗。现在市场上比较成熟的数据库加密产品,如安华金和的数据库保险箱(DBCoffer)即采用以列为单位进行数据库加解密的技术,能全面应对如number、varchar、date、lob等数据类型,做到用较小的代价保护用户最核心的敏感数据。
数据库运维三权分立 有些数据库自身具有加密模块,如Oracle数据库。但是这些模块的配置和权限掌握在DBA手中,这对于用户来说就像只锁上保险柜而不管理钥匙,从根本上无法解决内部高权限用户进行主动窃取数据或者误操作批量删除、修改数据,从而引发数据库安全问题。安华金和数据库保险箱(DBCoffer)引入安全管理员和审计管理员,与数据库管理员DBA多个身份账户,并对数据库加密列的访问权限进行有效管控,,三个角色之间相互协作,各司其责,确保数据库核心数据的使用根本上安全合规。 数据库透明加解密 如果说应用防火墙或者堡垒机等传统安全产品对数据库的防护是药物治疗的话,那么对数据库存储层进行加密无异于给数据库做了一台精密手术。大动筋骨”后加密存储的数据库内数据存储安全性自然得到了提升。但是如果“术“后将会对用户的行动产生影响,即用户访问数据库内数据方式产生影响,需要应用的SQ L语句做出针对性调整,或者使用特殊的API连接数据库,甚至使运维侧的数据迁移等脚本全部重写,这说明医生的医术并不精湛,反而给患者留下后遗症。成熟的数据库加密产品,不仅能够对数据库提供安全防护,同时还会将数据加密后对数据库使用方面的性能影响降至最低,不影响用户的正常使用。在透明性这点上,安华金和的数据库保险箱(DBCoffer)拥有自主研发的国家级专利技术,通过数据库多级透明视图技术,保障数据加密后应用程序无需改造,运维侧无需改造,依然可以做到不影响到数据库的各项依赖和函数关系,不影响到数据库的高端特性如RAC等,让用户能够毫不费力的享受数据安全。
中国中铁隆股份有限公司大连地铁五号第五总承包管理部 控制桩加密测量方案 编制: 审核: 审批: 中国中铁隆股份有限公司大连地铁五号 2010年5月 15日 主要内容 一、工程概况 二、编制依据
三、测量仪器及人员组成 1、测量仪器 2、人员组成 四、加密控制点的布置 1、加密控制桩的布置 2、加密控制桩的埋设 五、加密控制点施测技术要求 1、平面控制网测量方法及精度要求 2、高程控制网测量方法及精度要求 六、记录格式及平差方法 1、记录格式 2、平差方法 七、注意事项 八、测量人员上岗证书 九、测量仪器检定证书 大连地铁五号线控制桩加密测量方案 一、工程概况 本合同段为大连市轨道交通5号线一期05标,由2站2区间组
成,即梭鱼湾~甘井子区间(以下文字简称梭~甘区间)、甘井子站、甘井子站~山花街区间(以下文字简称甘~山区间)、山花街站。标段总长2125.93m,起止里程:K14+463.189~K16+589.119。区间主线长度1050.102米停车线:左线明挖顺做+暗挖法(双侧壁导坑法)共317.859m。甘井子站中心里程为K15+647.380,车站长度203.86m。设计院交桩平面控制点CPⅠ8个,CPⅡ29个;高程控制点共计27个,深埋水准点BM25、BM26计2个,我工区共埋设加密控制桩50个,标石埋设符合《铁路工程测量规范》对CPⅡ的埋设要求,本段最大冻土深度为1.2m故加密桩均埋设在冻土线以下50CM,保证稳定牢固。 二、编制依据 1、《高速铁路工程测量规范》 2、《国家一、二等水准测量规范》 3、《精密工程控制测量网复测成果书》 4、《兰新第二双线工程测量人员培训讲义》 三、测量仪器及人员组成 1、测量仪器 角度及距离测量采用瑞士产徕卡TCR1201+全站仪及配套的脚架、棱镜、对中器等。仪器一测回方向中误差1〞,测距标称精度2mm+1ppm ,该仪器于2010年05月13日经新疆维吾尔自治区计量测试研究院检定合格,可以用于四等导线测量。 高程测量采用天宝DAN03电子水准仪及配套的铟瓦条码尺,该
第45卷 第11期2018年11月 计算机科学COM PU T ER SCIENCE Vol .45No .11Nov .2018 到稿日期:2017-10-23 返修日期:2018-01-25 本文受国家重点研发计划资助项目(2017Y FC 0806200)资助。 初晓璐(1991-),女,硕士,CCF 会员,主要研究方向为密码学;刘培顺(1975-),男,博士,讲师,CCF 会员,主要研究方向为信息安全,E -mail :Liups @ouc .edu .cn (通信作者)。 基于公私属性的多授权中心加密方案 初晓璐 刘培顺 (中国海洋大学信息科学与工程学院 山东青岛266001) 摘 要 基于属性的加密方法可以简化云计算环境中的密钥管理和访问控制问题,是适用于云环境的加密方案。文中提出了一种基于公私属性的多授权中心加密方案。该方案将属性分为公有属性和私有属性,将用户的角色权限信息等作为用户的公有属性,将用户登录密码、设备上的标识码等作为用户的私有属性。利用公有属性实现访问控制,在云服务器上安全地共享数据;利用私有属性实现信息流的安全控制,确保只有特定用户在特定设备上使用数据。提出的方案可以实现密钥追踪和属性撤销,基于私有属性的加密还可以实现抗合谋攻击。关键词 属性加密,云计算,抗合谋攻击,选择安全 中图法分类号 T P 309 文献标识码 A DOI 10.11896/j .issn .1002-137X .2018.11.018 Multi-authorityEncryptionSchemeBasedonPublicandPrivateAttributes CHU Xiao -lu LIU Pei -shun (College of Information Science and Engineering ,Ocean U niversity of China ,Qingdao ,Shandong 266001,China ) Abstract The attribute -based encryption method can simplify the problem of key management and access control in cloud computing environment ,and it ’s suitable for cloud environment .This paper proposed a multi -authority encryption scheme based on public and private attributes .In this scheme ,the attributes are divided into public attribute and private attribute .The user ’s public property is constitutive of the user ’s role authority information ,etc .The user ’s private p roperty is composed of the password and the identification code of devices , etc .By using the public property to imple -ment access control ,the data can be shared safely on the cloud server .By using the private property to implement the security control of information flow ,it can ensure that only the specific user uses data on a specific device .This scheme can realize key tracing and attribute revocation .Encryption based on private attributes can also achieve anti -conspiracy attacks .Keywords Attribute -based encryption ,Cloud computing ,Anti -conspiracy attacks ,Selective security 1 引言 当前云计算技术飞速发展,越来越多的企业选择在云环境进行办公。由于云计算环境的开放性和共享性,在云计算环境中用户对私有信息和数据的控制能力减弱,数据安全的一个重要挑战就是既要共享数据又要保护数据安全。在云存储的多用户环境下,共享机密文件将给文件所有者带来密钥存储、更新及维护等难以解决的问题。Sahai 等[1]在2005年的欧密会议上首次提出了基于属性 加密的想法。Goyal 等 [2] 于2006年提出将ABE 分为密钥策 略的基于属性的加密方法(KP -ABE )和密文策略的基于属性的加密方法(CP -ABE ),并且提供了一个KP -ABE 方案。Be -thencourt 等[3]于2007年首次实现了CP -ABE 方案。此外, Chase [4]提出了一种引入全局标识符与用户键绑定的方法。Goyal 等[5]于2008年设计了一种可证明安全的CP -ABE 方案。Waters [6]于2011年给出了一种基于DBDH 假设的可证明安全的CP -ABE 方案。至此,基于属性加密的密码体制已基本建立。 在ABE 的发展过程中,研究人员发现了系统可能存在用户泄密的安全问题和由此产生的撤销密钥的需求。为了解决这些问题,提出了可撤销的基于属性的加密方案和可追踪的基于属性的加密方案。Hinek [7]于2008年提出了第一个可追踪选择性安全的系统。Ruj 等[8]提出了一种DAAC 方案,并为Lewko 等的方案提出了一种属性撤销方法。在确保安全性的同时,Chen 等[9]根据Lewko 等[10]的方案,将DLIN 替换成了标准的SXDH 假设,大大提高了方案的运行效率。 多授权的基于属性的加密方案(M A -ABE )最先是由Chase [11]提出的,该加密方案是一种可以实现不同细粒度的 加密方案。Cao [12]首先提出了没有中央机构的M A -ABE 系统,该系统可以解决现有的单授权中心系统问题。Chase 等万方数据
安全企业谈等保2.0(五)--云端互联网金融业务的安全要求及解决方案
安全企业谈等保2.0(五)云端互联网金融业务的安全要求及解决方案 编者按 互联网金融业务系统上云后的安全是当下热点,本文梳理了等级保护云计算安全和非银行金融机构安全监管这两方面的合规性要求,将两者加以融合、针对其主要的安全问题和需求,提出云端互联网金融的安全防护、安全检测和安全监测三大类措施与安全服务解决方案。 正文 目前,公有云的建设发展成为互联网时代的风向标,如阿里云、亚马逊等建立的公有云规模增长迅速。在移动互联网发展推波助澜之下,依托移动互联网开展P2P网贷、线上理财、消费金融、三方支付业务的企业为了享受公有云提供的快捷、弹性架构,从而纷纷将应用系统部署到云上。 首先,合规要求方面,《信息系统安全等级保护基本要求云计算扩展要求》(以下简称“《云等保》”)定义云计算服务带来了“云主机”等虚拟计算资源,将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任。这点明确了企业作为云租户,其应用系统都需要定级且符合对应等级安全控制措施要求。2016年12月银监会发布了188号文,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(以下简称“《指导意见》”),对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构信息科技建设、信息科技风险防范提
出了要求。《指导意见》第五章节指出“加强网络区域划分和隔离;通过部署防病毒、防攻击、防篡改、防泄密、防抵赖等措施提升系统抵御内外部攻击破坏的能力;”。对于云上应用系统的安全防护明确提出了安全建设要求。 其次,参考安全咨询机构对于2002年至2017年3月之间公开报道的敏感信息泄露案例的数据分析发现: ■ 敏感信息泄露呈现上升趋势——泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展,特别是对非技术手段的运用,近几年呈现出较快速的增长,企业对可能的应用系统攻击行为没有安全检测防护措施。 ■ 敏感信息泄露涉及行业广泛——重点集中在互联网、制造业、政府机构及金融行业,特别是互联网行业信息泄露事件呈现高速增长趋势,需要引起警惕。 ■ 敏感信息泄露的追责难度大——基于IP的审计,难以准确定位责任人,难以将IP地址与具体人员身份准确关联,导致发生安全事故后,追查责任人成为新的难题。 由此,安全威胁与应用安全风险与企业业务经营如影随形。应用系统部署到云上的企业需要考虑在公有云上应用系统的安全防护解决思路。 绿盟科技建议从满足合规要求作为起点,业务在“云上”的企业都需要符合《云等保》安全要求,非银行金融机构接受国家主管单位合规监管,未持牌开展业务或违规经营将会后果严重。同时,为了达到业务正常开展需要的安全防护水平,安全服务也应纳入,解决应用系统安全检测和安全监测需要。
中国中铁隆股份有限公司大连地铁五号第五总承包管理部 控制桩加密测量方案 编制: 审核: 审批: 中国中铁隆股份有限公司大连地铁五号 2010年5月15日
主要内容 一、工程概况 二、编制依据 三、测量仪器及人员组成 1、测量仪器 2、人员组成 四、加密控制点的布置 1、加密控制桩的布置 2、加密控制桩的埋设 五、加密控制点施测技术要求 1、平面控制网测量方法及精度要求 2、高程控制网测量方法及精度要求 六、记录格式及平差方法 1、记录格式 2、平差方法 七、注意事项 八、测量人员上岗证书 九、测量仪器检定证书
大连地铁五号线控制桩加密测量方案 一、工程概况 本合同段为大连市轨道交通5号线一期05标,由2站2区间组成,即梭鱼湾~甘井子区间(以下文字简称梭~甘区间)、甘井子站、甘井子站~山花街区间(以下文字简称甘~山区间)、山花街站。标段总长,起止里程: K14+~K16+。区间主线长度米停车线:左线明挖顺做+暗挖法(双侧壁导坑法)共。甘井子站中心里程为K15+,车站长度。设计院交桩平面控制点CPⅠ8个,CPⅡ29个;高程控制点共计27个,深埋水准点BM25、BM26计2个,我工区共埋设加密控制桩50个,标石埋设符合《铁路工程测量规范》对CPⅡ的埋设要求,本段最大冻土深度为故加密桩均埋设在冻土线以下50CM,保证稳定牢固。 二、编制依据 1、《高速铁路工程测量规范》 2、《国家一、二等水准测量规范》 3、《精密工程控制测量网复测成果书》 4、《兰新第二双线工程测量人员培训讲义》 三、测量仪器及人员组成 1、测量仪器 角度及距离测量采用瑞士产徕卡TCR1201+全站仪及配套的脚架、棱镜、对中器等。仪器一测回方向中误差1〞,测距标称精度2mm+1ppm ,该仪器于2010年05月13日经新疆维吾尔自治区计量测
关于公司重要文件加密方案 一、使用加密软件 1、加密软件:服务器端、控制端、客服端。 服务器端:统一管理功能 客服端:要加密的电脑 控制端:文件加密、解密设置,人员控制权限设置 2、加密软件介绍 第一道防线:端口管控、管控USB端口拷贝、刻录、打印行为,控制所有的终端端口外泄。对于注册授权的移动U盘设备,可以允许在公司指定的计算机上使用,且同一个U盘可针对不同的电脑设定不同的读写权限,灵活方便,更贴合您的管控需求。还可将U盘设备设为加密盘,拷入U盘设备中的数据进行加密,防止因U盘设备丢失而导致数据泄密。 (对U盘加密后带出公司不能使用,U盘需要给客户需解密才可以带出使用,也可以限使用次数) 第二道防线:数据加密强制对计算机生成的文档图纸、源码、office文档等数据自动透明加密,加密后仅在安装客服端的电脑范围内进行数据交互;所有加密过程均为自动和透明,不影响原有工作习惯和管理流程;全生命周期、全流程保护,新建、修改、传递、存储、备份均加密;未经公司授权同意,无论您通过何种途径恶意外发出去,均无法打开。离线策略离线客户端可以工作多久,加密文件不可以使用,可以对出差电脑进行离线策略下发。 (文件加密后只能在安装客户端的电脑之间使用) 第三道防线:文件外发管控对外发的重要数据要申请外发管理无懈可击反拷贝防扩散防泄密严控收件人的使用权限,可对外发文件,设置指定的可查看次数、时间,设置是否允许修改、是否允许打印等;禁止拖拽、拷屏、另存为、剪贴板盗取和另存等手段盗取外发文档内容;超过打开时间或者打开次数外发文件自动销毁;支持所有的类型文件外发包括:CAD图纸文件、源代码、财务数据报表、office文件等;对信任的收件对象可设置邮件白名单,邮件发送至白名单中用户时自动解密,提高工作效率; (对要外传的文件进行权限设置设置指定的可查看次数、时间,设置是否允许修改、是否允许打印等;禁止拖拽、拷屏、另存为、剪贴板盗取和另存等手段盗取外发文档内容;超过打开时间或者打开次数外发文件自动销毁;)第四道防线:日志审计和文件备份事前主动防御,事中全程控制,事后有据可查提供完整的日志管理,可对所有加密文档的所有操作进行详尽的日志审计,并对审计日志提供查询、导出、备份及导出数据报表等支持。对日常办公中文档的复制、移动、重命名、删除等涉密操作过程做详尽记录,对便于监督检查和事后追溯。提供详细的加密文件备份功能,有效避免了文件因版本更新或者是意外破坏造成的风险,大大保护了企业机密数据的完整性和安全性。(对日常办公中文档的复制、移动、重命名、删除等涉密操作过程做详尽记录) 3、指定一个人员权限管理 4、费用:按电脑安装台数计算400元/台(10台起)+税点5%
物流信息系统及办公网络安全方案(加密机制) 由于这套系统涉及到企业至关重要的信息,其在保密性、准确性及防篡改等安全方面都有较高的要求,因此,本系统着重设计了一套严密的安全措施。 一、一般措施 1、实体安全措施 就是要采取一些保护计算机设备、设施(含网络、通信设备)以及其他媒体免地震、水灾、火灾、有害气体和其他环境事故(如电磁污染)破坏的措施、过程。这是整个管理信息系统安全运行的基本要求。 尤其是机房的安全措施,计算机机房建设应遵循国标GB2887-89《计算机场地技术条例》和GB9361 -88《计算机场地安全要求》,满足防火、防磁、防水、防盗、防电击、防虫害等要求,配备相应的设备。 2、运行安全措施 为保障整个系统功能的安全实现,提供一套安全措施,来保护信息处理过程的安全,其中包括:风险分析、审计跟踪,备份恢复、应急等。
制定必要的、具有良好可操作性的规章制度,去进行制约,是非常必要和重要的,而且是非常紧迫的。 3、信息安全措施 数据是信息的基础,是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工,传递等数据流动的各个环节进行精心组织和严格控制,确保数据的准确性、完整性、及时性、安全性、适用性和共亨性。 制定良好的信息安全规章制度,是最有效的技术手段。而且不仅仅是数据,还应把技术资料、业务应用数据和应用软件包括进去。 二、防病毒措施 计算机病毒泛滥,速度之快,蔓延之广,贻害社会之大,为有史以来任何一种公害所无可比拟。从CIH 到红色代码和尼姆达,已充分说明了病毒的难以预知性、潜藏性和破坏性,另一方面也说明了防毒的重要性。 本系统中采用了卡巴斯基网络安全解决方案,运行在Win2003服务器上。 该软件包含卡巴斯基实验室最新的反恶意软件技术,这些技术结合了基于特征码的技
金融行业桌面云平台 解决方案
目录 1金融行业简介 (5) 1.1行业概述 (5) 1.2行业困境 (5) 2云桌面简介 (5) 2.1云桌面的价值 (5) 2.2云桌面应用场景 (7) 2.2.1普通办公云桌面 (7) 2.2.2安全办公云桌面 (7) 2.2.3研发和测试云桌面 (7) 2.2.4外包环境云桌面 (7) 2.2.5安全上网云桌面 (7) 2.2.6移动办公云桌面 (8) 2.2.7高性能图形云桌面 (8) 2.2.8应用虚拟化 (8) 2.2.9运维和监控云桌面 (8) 2.2.10电子会议云桌面 (8) 2.2.11培训云桌面 (8) 2.2.12分支机构云桌面 (9) 2.2.13呼叫中心桌面云 (9) 2.2.14营业厅桌面云 (9) 3云桌面系统方案 (9)
3.1超融合架构数据中心 (9) 3.2超融合架构数据中心优势 (10) 3.3超融合架构的云桌面 (11) 4云桌面系统设计 (12) 4.1逻辑架构设计 (12) 4.2物理架构设计 (13) 4.3云桌面管理架构规划 (16) 4.4云桌面资源规划 (17) 4.5计算资源规划 (22) 4.6储资源规划 (22) 4.7网络资源规划 (22) 4.8终端规划 (23) 5软硬件配置清单 (23) 5.1硬件配置清单 (24) 5.2软件配置清单 (24)
1金融行业简介 1.1行业概述 金融行业由于其行业特性,对数据安全性尤其敏感。但随着业务的扩展以及互联网、移动互联网的发展,大量的分支机构、营业厅、外置终端等对金融行业的数据安全性带来了很大的挑战,加之外包团队(甚至是第三方开发团队)入驻访问内网,导致原本应该很安全的数据因庞大、分散的网络架构和多种身份人员的访问变得很容易外泄,而传统的管控方式是采取全国大集中的监控、管理模式,即“胖终端、大后台”的模式,但这种模式并未彻底解决问题,并且又引进了许多新的问题点。 1.2行业困境 无法解决的安全问题 由于金融行业网络的“入口”——终端部分大多数依旧为PC,由于PC自身带来的安全 问题始终无法规避(例如数据本地运算、本地存储、容易脱离集中管控等),使用的“胖终端”越多就会导致“大后台”的安全策略愈加复杂、繁琐,且更加容易暴露漏洞。 持续不断的成本投入 伴随着金融市场的竞争加剧,各分支机构、办事处的快速扩张积攒了大量的IT设备,导 致了“胖终端”越来越“胖”,“大后台”越来越臃肿,维护成本越来越高。 效率低下的维护方式 金融行业尤其是各银行营业厅办公、自助终端等由于PC本身缺乏有效的集中管控,导致 维护效率难以提高。 被迫牺牲的用户体验 目前大部分银行都已实现了双网隔离,对于重要敏感的信息采用内部网络,对于需要连接公网的情景采用外部网络。逐渐复杂的安全措施牺牲了员工的实际办公体验,让办公不再“清爽”。 2云桌面简介 达沃时代云桌面解决方案是基于超融合平台的一种虚拟桌面应用,通过在超融合平台上部署虚拟桌面软件,使终端用户通过瘦客户端或者其他设备来访问整个用户桌面和应用。 达沃时代云桌面解决方案重点解决传统 PC 办公模式给客户带来的如:安全、投资、办公效率等方面的诸多挑战,适合大中型企事业单位、政府、军队、金融、教育、医疗机构、营 业厅、呼叫中心或其他分散型、移动型办公单位。 2.1云桌面的价值 数据上移,信息安全 传统桌面环境下,由于用户数据都保存在本地 PC,因此,内部泄密途径众多,且容易受 到各种网络攻击,从而导致数据丢失。桌面云环境下,终端与数据分离,本地终端只是显示
数据库加密存取及强权限控制系统 技术白皮书 Oracle版
目录 1.产品背景 (1) 2.解决的问题 (3) 3.系统结构 (6) 4.部署方案 (7) 5.功能与特点 (9) 6.支持特性 (10) 7.性能测试数据 (11)
1.产品背景 随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。 在重要单位或者大型企业中,涉及大量的敏感信息。比如行政涉密文件,领导批示、公文、视频和图片,或者企业的商业机密、设计图纸等。为了保障这些敏感电子文件的安全,各单位广泛的实施了安全防护措施,包括:机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。但是数据库的安全问题却一直让管理员束手无策。原因是目前市场上缺乏有效的数据库安全增强产品。 数据库及其应用系统普遍存在一些安全隐患。其中比较严峻的几个方面表现在: (1)由于国外对高技术出口和安全产品出口的法律限制,国内市场上只能购买到C2安全级别的数据库安全系统。该类系统只有最基本的安全防护能力。并且采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。这就使得获取DBA角色的权限成为攻击者的目标。而一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全性可言。 (2)由于DBA拥有至高无上的权利,其可以在不被人察觉的情况下查看和修改任何数据(包括敏感数据)。因此DBA掌控着数据库中数据安全命脉,DBA的任何操作、行为无法在技术上实施监管。而DBA往往只是数据的技术上的维护者,甚至可能是数据库厂商的服务人员,并没有对敏感数据的查看和控制权。现阶段并没有很好的技术手段来约束DBA 对数据的访问权限,因此存在巨大安全隐患,特别是在DBA权限被非法获取的情况下,更是无法保证数据的安全。 (3)由于C2级的商业数据库对用户的访问权限的限制是在表级别的。一旦用户拥有了一个表的访问权限,那么表中的任何数据都具有访 1
技术资料 附件2 向家坝水电站 引水发电系统土建及金属结构安装工程 (合同编号:XJB/0184) 测量控制网技术方案 水电七局向家坝项目部 二零零六年五月九日
向家坝水电站引水发电系统控制网技术方案 一、工程概述 1、1向家坝水电站引水发电系统工程简介 向家坝水电站是金沙江梯级开发中的最后一个梯级,位于四川省 与云南省交界处的金沙江下游河段,坝址左岸下距四川省宜宾县的安边镇4km 宜宾市33km右岸下距云南省的水富县城1.5km。工程开发任务以发电为主,同时改善航运条件,兼顾防洪、灌溉,并具有拦沙和对溪洛渡水电站进行反调节等综合作用。工程枢纽建筑物主要由混凝土重力挡水坝、左岸坝后厂房、右岸地下引水发电系统及左岸河中垂直升船机等组成。 本标的主要内容为右岸引水发电系统工程、右岸EL288.00m?384.00m坝基开挖与支护工程、排沙洞工程、施工支洞工程、右岸310m 混凝土生产系统工程的设计、建设与运行等。 本合同工程计划于2006年4月1日开工,要求2012年6月30 日全部完工。本合同主要工程量:土石方明挖4645075帛,土石方填筑230997用,石方洞挖1639190帛,混凝土970531^钢筋制安62030.06t.喷混凝土44867斥。 二、控制网的设计依据 2、1设计依据 2、1、1、2003年1月9日发布的《水电水利工程施工测量规范》 (DL/T5173-2003)。
2、1、2、中国长江三峡工程开发总公司向家坝工程建设部颁发 的《向家坝工程施工测量管理细则》。 2、1、 3、XJB/0184标段有关施工设计图。 2、1、4、施工组织设计 2、1、5、《水利水电工程测量规范》 2、1、6、国家技术监督部门颁发的有关测量规范 三、施工控制网的布设和控制点的埋设 3、1施工控制网的布设 向家坝水电站引水发电系统测量控制网拟在三峡总公司向家坝工程建设部测量中心提供的首级控制网和加密控制网的基础上布设适合于本标段施工的三等加密控制网。共布设:三条附合导线,一条闭合导线,排沙洞附合导线。平面控制按照三等级布设,高程按四等水准测量布设;困难条件下也可以按四等级光电三角高程测距布设。其余工作面可以从此五条主干导线上引支导线进行施工放样,但尽可 能附合在主干导线上。 目前本标段的地面施工测量控制网点密度已经基本满足前期施工的需要。考虑到工程质量和以后施工放样的方便,对于引水系统工程中的进水口隧洞部分和厂房系统部分,要在业主提供三角基准网点和水准基准网点的基础上进行加密,加密的控制网的工作基点(永久工作基点)应在进水口和出水口各布设一个单三角,中间用导线连接。采用三等精度,以边角网观测方法进行加密,每个点应进行三维坐标的观测。高程工作基点在进水口和出水口各布设一
加密实施方案 数据保密需求 传统信息安全领域主要关注由于外部入侵或外部破坏导致的数据破坏和泄漏以及对病毒的防范,对于企业网络内部的信息泄漏,却没有引起足够的重视。内部信息的泄漏包;如内部人员泄密、其他未授权人员直接接入内部网络导致的泄密。显然,对于企业内部的信息泄密,传统手段显然无法起到有效的预防和控制作用。 美新微纳收购美国Xbow WSN业务后,大量的核心源代码、设计图纸、电路原理图以及算法都是公司的重要信息资产,必须需要严格的管理和控制。同时新开发项目的核心信息的安全管理都是企业安全管理工作的重要内容。以下方案是通过数据加密的方法对公司的核心机密信息进行安全保护。 数据加密办法 一、信息加密系统数据管理办法 系统分为三层架构,服务器、管理机、客户机组成。 加密系统架构示意图 1.服务器
服务器主要功能: 管理根密钥。服务端管理加密狗中的根密钥信息,以此产生全球唯一的密钥,并分 发给各个管理端,客户端用以解密文件; 自动升级功能,通过服务端可以导入最新的升级包,通过自动下发策略可以实现自 动升级加密环境; 注册、管理管理端,企业中所有的管理机需要在服务端进行注册并分配权限;注册 管理机、加密管理机器; 监控管理机的工作状态,汇总管理机的工作日志,可以随时调用查看; 备份、恢复数据库功能,提供手动进行数据库备份,恢复功能,一旦服务器出现故 障可以随时恢复保证运行不影响工作; 配置管理机的脱机策略。服务器具有设置管理机的脱机时间功能,在设置了脱机时 间后,管理机和服务器未连接的状态下,管理机能正常运行的时间限制; 设置卸载码。设置客户端、管理机卸载时的授权码,如果授权码不能正确即使有安 装程序也无法卸载程序。 自定义密钥。客户可自行设置私有密钥,增加安全性。 备用服务器。提供主服务器无法正常工作的应急机制,可保证系统的正常工作 2.管理机 管理机主要功能 客户机注册管理。企业中所有客户机需要统一在管理机上进行注册,方能运行; 解密文件并记录日志,根据服务器的授权,管理机可以解密权限范围内的加密文件,与此同时记录下来解密文件的日志信息; 管理客户机策略。 系统内置约300类常用软件加密策略; 是否允许用户脱机使用及脱机使用时间; 是否允许用户进行打印操作,并可对使用的打印机类型进行控制(主要用于控 制各类虚拟打印机); 是否允许用户进行拷屏操作;
前言 2010年4月29日修订的《中华人民共和国保守国家保密法》, 要求保密与信息公开并重,政府部门急需加强数据防泄密保护措施,保护国家秘密的安全。 目前政府的网络分为接入Internet网络和政务专网两个部分,它们之间物理隔离。其中接入Internet网络部署多种应用系统,泄密途径无处不在;政务专网由于属于可信任网,一直以来对安全防护的重视程度较低。政府部门普遍在信息安全这块薄弱,泄密隐患严重。 政府电脑上存储着大量的政府重要机密信息,但是所有文件均是明文分散存储在办公人员电脑上,任何人可以随意拷贝和外发,安全性得不到保障;一些机密级别较高的公文,内部人员都有权限查看,越权访问时有发生;另外,政府单位与外界其他单位进行信息交互时,通常以U 盘作为媒介传递数据,移动存储介质的使用缺乏规范化管理,如果仅仅依靠单位的制度,而缺乏有效的技术手段,往往造成泄密事件频发。 需求分析 政府机构作为国家的职能机关从事的行业性质都是跟国家紧密联系的,所涉及信息都是机密性,现存在如下方面对政府机构信息安全造成威胁: ·内部文件明文存储,办公人员可以随意将文件拷贝泄密; ·公文无法限定访问人员、访问权限(如:打印)和期限; ·电脑存放公文成为保密管理死角,可以任意打印和拷贝; ·个别办公人员安全保密意识不强,造成无意识文件泄密; ·泄密事件的发生依靠单位的制度,缺乏有效的技术手段。 解决方案 依据2010年4月29日修订的《中华人民共和国保守国家秘密法》,通过驱动级加密技术,对数据源头进行控制,为政府机构信息安全提出针对性的安全解决方案,做到:
1.单位内文件透明加密 采用Windows内核的文件过滤驱动实现透明加密与解密,对用户完全透明,用户打开文件、编辑文件和平常一样,不影响用户操作习惯。同时由于在文件读写的时候动态加密与解密,不产生临时文件,因此基本不影响速度。 如果加密文件通过QQ、电子邮件、移动存储设备等手段流转到单位授权范围以外(政府外部),那么打开时会显示乱码,无法正常阅读或使用,通过加密软件保障数据安全。 2.控制内部公文二次扩散 为了防止内部公文的二次扩散,支持对内部公文的制作和使用做到指定人员、指定电脑、指定权限、指定期限。 ·公文制作:公文制作人设定水印警示、公文密级、具体访问人员、访问权限、访问期限; ·公文访问:被授权人员经身份认证后,在授予的权限(比如:禁止打印、禁止截屏、禁止复印、禁止编辑、阅读次数、过期自动销毁)和期限时间内访问; ·公文回收:经单位授权的人员才有权将内部公文回收为原公文。
目录 一、工程概况及交桩情况 (1) (一)、工程概况 (1) (二)、交桩情况及控制点加密情况 (1) (三)、坐标系统与高程系统 (3) 二、主要使用的测量依据 (3) 1、《工程测量规范》50026—2007; (3) 2、《国家三、四等水准测量规范》GB/T 12898-2009 (3) 3、《全球定位系统(GPS)测量规范》 GB/T 18314-2009 (3) 4、设计单位现场交桩资料及相关成果资料。(详见附表1交桩记录表) (3) 三、测量作业人员和仪器 (3) (一)、测量作业人员 (4) 本次测量工作由项目部测量组负责完成,成员由5名测量工程师和7名技术员组成。 (详见附表2测量组人员一览表) (4) (二)、测量仪器 (4) A7段测量仪器采用3台中海达V90型GPS进行静态控制测量。检定日期为2016年 1月4日,有效期至2017年1月3日。网平差结束后利用索佳CX-101全站仪进行测量控制点之间的距离,与平差结果进行比较分析,检验平差精度,全站仪检定日期为2015年 10月14日,有效期至2016年10月12日。 (4) 高程测量控制水准测量苏州一光DZS-2型水准仪,检定日期为2016年1月4日,有效期至2017年1月3日。(详见附件监测和测量装置检定证书) (4) 四、加密控制点埋设 (5) 五、控制网外业观测要求 (5)
六、结论 (8) 七、附件 (9)
控制点加密复测报告 一、工程概况及交桩情况 (一)、工程概况 福建省顺昌至邵武高速公路项目第三合同段起点位于邵武市大竹镇小仟村西侧(K52+440),路线由南向北展线,经龙潭后山穿银坑山隧道(2589米),经吴家塘镇溪东村、坊上村,建铺前大桥(790.5米)跨富屯溪、鹰厦铁路,国道G316建铺前分离式桥(61米)上跨高速公路,接着路线沿天步岭后山布设避开吴家塘开发区,并于天步岭村处设吴家塘互通连接国道G316,建安家渡大桥(728.8米)跨越G316国道、富屯溪、鹰厦铁路及金塘大道(在建),经原安家渡村,穿张家际隧道(802米),经张家际后山,终于张家际村西北侧,并设置张家际枢纽互通连接既有的武邵高速公路,终点桩号K66+874.41(=武邵WSK51+400),线路全长14.434公里。 本项目内主要控制点工程为银坑山隧道、铺前大桥、吴家塘互通、吴家塘工业园区、安家渡大桥、张家际隧道和张家际枢纽工程等。(二)、交桩情况及控制点加密情况 福建省交通规划设计院在本标段施工现场共交予了35个控制点(平面、高程共用)、未交予独立水准点位,结合现场实际地形及后期施工放样需要,本次平面复测不进行联测YE324、XYE127-1、XYE133-1、YE391、YE300、YE301、XYE386-1等4个控制点,高程复测不进行联测YD162、YE300、YE301、YE392等3个控制点,在加密24个控制点(平面、高程共用)后,点位密度可完全满足施工测量需要。 1)平面控制点加密情况
加密方案 一、加密目的 为了防止未经授权访问或拷贝单片机的机内程序,大部分芯片都带有加密锁定位或者加密字节,以保护片内程序。如果在编程时加密锁定位被使能(锁定),就无法用普通编程器直接读取单片机芯片内的程序,这就叫芯片加密。 加密认证芯片放在PCB板上,外加一些简单的电路,同时写入算法防止芯片里面的程序被盗窃者读走 二、加密方法 1、磨片。用细砂纸将芯片上的型号磨掉,对于偏门的芯片比较管用,对常用芯片来说,只要猜出个大概功能,查一下哪些管脚接地、接电源很容易就对照出真实的芯片了; 2、封胶。用那种凝固后象石头一样的胶(如粘钢材、陶瓷的那种)将PCB及其上的元件全部覆盖。里面还可故意搞五六根飞线(用细细的漆包线最好)拧在一起,使得拆胶的过程必然会弄断飞线而不知如何连接。要注意的是胶不能有腐蚀性,封闭区域发热不太大; 3、加密算法。需要密钥,对主要算法加密或者进行认证; 4、使用裸片。看不出型号也不知道接线。但芯片的功能不要太容易猜,最好在那团黑胶里再装点别的东西,如小IC、电阻等。 三、加密算法 (一)加密算法分类 加密算法分为对称式加密算法、非对称式加密算法和杂凑(Hash)算法三种。 1、对称式加密算法:对称式加密算法加密和解密的密钥相同,金融行业常用的算法包括DES、3DES、AES等。 2、非对称式加密算法:非对称式加密算法的密钥分为公钥和私钥,公钥公开用于加密,私钥保存用于解密,从公钥到私钥的过程是不可逆的。常用的算法包括:基于大数分解的RSA算法和基于椭圆曲线离散对数问题的ECC算法。RSA算法是基于一个十分简单的数论事实:将两个大素数相乘十分简单,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。ECC算法的数学基础是利用椭圆曲线上的有理点构成Abel 加法群上椭圆离散对数的计算困难性。 3、Hash算法:Hash算法是一种单向算法,可以对目标信息生成一段特定长度的唯一的Hash值,常用的算法包括:MD、SHA-1、SHA-2、SHA-3。SHA(安全散列算法)是美国
北京朗天鑫业信息工程技术有限公司Chinasec全方位的数据保密解决方案 ` 北京朗天鑫业信息工程技术有限公司 2011年8月
北京朗天鑫业信息工程技术有限公司 一、Chinasec平台各系统功能简介 C hinasecTM(安元TM)可信网络安全平台系列产品是基于内网安全和可信计算 理论研发的内网安全管理产品,以密码技术为支撑,以身份认证为基础,以数据安全为核心,以监控审计为辅助,可灵活全面的定制并实施各种安全策略,实现对内网中用户、计算机和信息的安全管理,达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。 ChinasecTM(安元TM)可信网络安全平台系列产品是在ChinasecTM(安元TM)可信网络安全平台的基础上,由六个系统组成,分别是Chinasec可信网络认证系统(TIS)、Chinasec可信网络保密系统(VCN)、Chinasec可信网络监控系统(MGT)、Chinasec 可信数据管理系统(DMS)、Chinasec可信应用保护系统(APS)和 Chinasec可信移 动存储设备管理系统(RSM)。这六个系统均采用模块化设计,根据安全机制的需求将 功能打包成产品系统,各系统作为可信安全产品进行单独使用,同时又可以根据用户特殊场景应用和需求进行灵活组合成多种数据保密解决方案。 ?可信网络认证系统(TIS):终端操作系统认证加固与管理(可结合AD域、CA 统一管理); ?可信网络保密系统(VCN):硬盘加密、通信信道加密、逻辑虚拟子网划分; ?可信网络监控系统(MGT):操作行为、网络行为审计,终端软硬件资源使用、 网络访问管理; ?可信移动存储设备管理系统(RSM):外来移动存储设备区别管理,内部办公 设备注册使用; ?可信数据管理系统(DMS):基于模式切换实现对同一计算机办公与非办公状态 的区别性控制管理; ?可信应用保护系统(APS):精确定位应用系统(B/S架构,如OA、CRM、PDM 等)泄密风险,制定专属数据安全防护体系。 二、Chinasec全方位的数据保密解决方案 ?终端数据保密