第一篇:工资表存储加密数据格式的方案
工资表存储加密数据格式的方案:
关键的要求:
1、数据是以加密的形式存储于表中的,即使数据库管理员通过后台代码也不能查询到明文数据
2、同一个员工的工资数据可能存在多个人都需要查看的问题。如:A员工的工资,事业部总经理B、副总经理C、人力资源分管负责人D和他的部门经理E都需要能看到。
整体方案:将工资数据分成两部分:需要加密的 和 不需要加密的,需要加密的部分给每一个可以查看该数据的人员一份拷贝,该拷贝使用查看人员自己的密码加密后存放在数据库中,只有使用查看人员的密码解密后才能够使用。
具体过程:
1、基于用户输入的短语,密码和系统自动创建的唯一标识生成一个对称密钥,并将短语、密码、唯一标识保存到用户计算机的文件中,以后凭此三项信息恢复该密钥。用户需要自行备份此文件,如果文件丢失,该用户的数据不能解密,只能由别的用户重新分发一份给他。
短语:用来作为对称密钥的种子
密码:用于给密钥加锁,要使用此密钥解密数据时,必须要使用此密码打开该密钥后才能使用。
唯一标识:用于在系统中唯一地标识一个对称密钥,由系统在恢复对称密钥时使用。
对称密钥用于加密和解密数据。
2、创建证书,证书用于在数据分发的过程中对数据进行加密,防止数据被非法截取。
3、需加密数据的录入:需加密的数据由专门的人员录入系统(通常是财务部张素勤),录入的同时即加密存储。录入完成后使用专用分发工具将数据用查看人员的证书公钥分别加密后,作为文件存储到录入人员的电脑上,由录入人员在系统外分发给不同的查看人员。
4、查看人员收到文件后,使用专门的上传工具将数据上传到服务器中,此时使用证书私钥解密数据后,使用查看用户的对称密钥加密,再将数据存到表中。
5、使用数据时,统一先用对称密钥解密才能使用。
6、使用的对称密钥全部为临时的,在用户登录时创建,在用户连接关闭时由数据库自动删除。在整个生存周期中通过其他连接的用户都不能使用该密钥(由Sql 2005 保证)
方案的优点:录入数据的人员不需要知道查看数据人员的密钥信息,查看数据的人员能够独立的保护自己的密码。一份数据多人持有拷贝,降低了密码丢失导致的数据丢失风险。
方案的缺点:
1、分发数据比较麻烦(如果只有一个人录入的话,可以将密码交给录入的人,可以绕过)。
2、如果数据有修改,而查看用户没有及时上传的话,每个人看到的数据不一致(可以通过技术手段减轻)。
第二篇:数据加密技术(定稿)
我们经常需要一种措施来保护我们的数据,防止被一些怀有不良用心的人所看到或者破坏。在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。在竞争激烈的大公司中,工业间谍经常会获取对方的情报。因此,在客观上就需要一种强有力的安全措施来保护机密数据不被窃取或篡改。数据加密与解密从宏观上讲是
非常简单的,很容易理解。加密与解密的一些方法是非常直接的,很容易掌握,可以很方便的对机密数据进行加密和解密。
一:数据加密方法好范文版权所有
在传统上,我们有几种方法来加密数据流。所有这些方法都可以用软件很容易的实现,但是当我们只知道密文的时候,是不容易破译这些加密算法的(当同时有原文和密文时,破译加密算法虽然也不是很容易,但已经是可能的了)。最好的加密算法对系统性能几乎没有影响,并且还可以带来其他内在的优点。例如,大家都知道的,它既压缩数据又加密数据。又如,的一些软件包总是包含一些加密方法以使复制文件这一功能对一些敏感数据是无效的,或者需要用户的密码。所有这些加密算法都要有高效的加密和解密能力。
幸运的是,在所有的加密算法中最简单的一种就是“置换表”算法,这种算法也能很好达到加密的需要。每一个数据段(总是一个字节)对应着“置换表”中的一个偏移量,偏移量所对应的值就输出成为加密后的文件。加密程序和解密程序都需要一个这样的“置换表”。事实上,系列就有一个指令‘’在硬件级来完成这样的工作。这种加密算法比较简单,加密解密速度都很快,但是一旦这个“置换表”被对方获得,那这个加密方案就完全被识破了。更进一步讲,这种加密算法对于黑客破译来讲是相当直接的,只要找到一个“置换表”就可以了。这种方法在计算机出现之前就已经被广泛的使用。
对这种“置换表”方式的一个改进就是使用个或者更多的“置换表”,这些表都是基于数据流中字节的位置的,或者基于数据流本身。这时,破译变的更加困难,因为黑客必须正确的做几次变换。通过使用更多的“置换表”,并且按伪随机的方式使用每个表,这种改进的加密方法已经变的很难破译。比如,我们可以对所有的偶数位置的数据使用表,对所有的奇数位置使用表,即使黑客获得了明文和密文,他想破译这个加密方案也是非常困难的,除非黑客确切的知道用了两张表。
与使用“置换表”相类似,“变换数据位置”也在计算机加密中使用。但是,这需要更多的执行时间。从输入中读入明文放到一个中,再在中对他们重排序,然后按这个顺序再输出。解密程序按相反的顺序还原数据。这种方法总是和一些别的加密算法混合使用,这就使得破译变的特别的困难,几乎有些不可能了。例如,有这样一个词,变换起字母的顺序,可以变为,但所有的字母都没有变化,没有增加也没有减少,但是字母之间的顺序已经变化了。
但是,还有一种更好的加密算法,只有计算机可以做,就是字字节循环移位和操作。如果我们把一个字或字节在一个数据流内做循环移位,使用多个或变化的方向(左移或右移),就可以迅速的产生一个加密的数据流。这种方法是很好的,破译它就更加困难!而且,更进一步的是,如果再使用操作,按位做异或操作,就就使破译密码更加困难了。如果再使用伪随机的方法,这涉及到要产生一系列的数字,我们可以使用数列。对数列所产生的数做模运算(例如模),得到一个结果,然后循环移位这个结果的次数,将使破译次密码变的几乎不可能!但是,使用数列这种伪随机的方式所产生的密码对我们的解密程序来讲是非常容易的。
在一些情况下,我们想能够知道数据是否已经被篡改了或被破坏了,这时就需要产生一些校验码,并且把这些校验码插入到数据流中。这样做对数据的防伪与程序本身都是有好处的。但是感染计算机程序的病毒才不会在意这些数据或程序是否加过密,是否有数字签名。所以,加密程序在每次到内存要开始执行时,都要检查一下本身是否被病毒感染,对与需要加、解密的文件都要做这种检查!很自然,这样一种方法体制应该保密的,因为病毒程序的编写者将会利用这些来破坏别人的程序或数据。因此,在一些反病毒或杀病毒软件中一定要使用加密技术。
循环冗余校验是一种典型的校验数据的方法。对于每一个数据块,它使用位循环移位和操作来产生一个位或位的校验和,这使得丢失一位或两个位的错误一定会导致校验和出错。这种方式很久以来就应用于文件的传输,例如。这是方法已经成为标准,而且有详细的文档。但是,基于标准算法的一种修改算法对于发现加密数据块中的错误和文件是否被病毒感染是很有效的。
二.基于公钥的加密算法
一个好的加密算法的重要特点之一是具有这种能力:可以指定一个密码或密钥,并用它来加密明文,不同的密码或密钥产生不同的密文。这又分为两种方式:对称密钥算法和非对称密钥算法。所谓对称密钥算法就是加密解密都使用相同的密钥,非对称密钥算法就是加密解密使用不同的密钥。非常著名的公钥加密以及加密方法都是非对称加密算法。加密密钥,即公钥,与解密密钥,即私钥,是非常的不同的。从数学理论上讲,几乎没有真正不可逆的算法存在。例如,对于一个输入‘’执行一个操作得到
结果‘’那么我们可以基于‘’,做一个相对应的操作,导出输入‘’。在一些情况下,对于每一种操作,我们可以得到一个确定的值,或者该操作没有定义(比如,除数为)。对于一个没有定义的操作来讲,基于加密算法,可以成功地防止把一个公钥变换成为私钥。因此,要想破译非对称加密算法,找到那个唯一的密钥,唯一的方法只能是反复的试验,而这需要大量的处理时间。
加密算法使用了两个非常大的素数来产生公钥和私钥。即使从一个公钥中通过因数分解可以得到私钥,但这个运算所包含的计算量是非常巨大的,以至于在现实上是不可行的。加密算法本身也是很慢的,这使得使用算法加密大量的数据变的有些不可行。这就使得一些现实中加密算法都基于加密算法。算法以及大多数基于算法的加密方法使用公钥来加密一个对称加密算法的密钥,然后再利用一个快速的对称加密算法来加密数据。这个对称算法的密钥是随机产生的,是保密的,因此,得到这个密钥的唯一方法就是使用私钥来解密。
我们举一个例子:假定现在要加密一些数据使用密钥‘’。利用公钥,使用算法加密这个密钥‘’,并把它放在要加密的数据的前面(可能后面跟着一个分割符或文件长度,以区分数据和密钥),然后,使用对称加密算法加密正文,使用的密钥就是‘’。当对方收到时,解密程序找到加密过的密钥,并利用私钥解密出来,然后再确定出数据的开始位置,利用密钥‘’来解密数据。这样就使得一个可靠的经过高效加密的数据安全地传输和解密。
一些简单的基于算法的加密算法可在下面的站点找到:
三.一个崭新的多步加密算法
现在又出现了一种新的加密算法,据说是几乎不可能被破译的。这个算法在年月日才正式公布的。下面详细的介绍这个算法
使用一系列的数字(比如说位密钥),来产生一个可重复的但高度随机化的伪随机的数字的序列。一次使用个表项,使用随机数序列来产生密码转表,如下所示:
把个随机数放在一个距阵中,然后对他们进行排序,使用这样一种方式(我们要记住最初的位置)使用最初的位置来产生一个表,随意排序的表,表中的数字在到之间。如果不是很明白如何来做,就可以不管它。但是,下面也提供了一些原码(在下面)是我们明白是如何来做的。现在,产生了一个具体的字节的表。让这个随机数产生器接着来产生这个表中的其余的数,好范文版权所有以至于每个表是不同的。下一步,使用技术来产生解码表。基本上说,如果映射到,那么一定可以映射到,所以(是一个在到之间的数)。在一个循环中赋值,使用一个字节的解码表它对应于我们刚才在上一步产生的字节的加密表。
使用这个方法,已经可以产生这样的一个表,表的顺序是随机,所以产生这个字节的随机数使用的是二次伪随机使用了两个额外的位的密码现在,已经有了两张转换表,基本的加密解密是如下这样工作的。前一个字节密文是这个字节的表的索引。或者,为了提高加密效果,可以使用多余位的值,甚至使用校验和或者算法来产生索引字节。假定这个表是的数组将会是下面的样子
变量是加密后的数据,是前一个加密数据(或着是前面几个加密数据的一个函数值)。很自然的,第一个数据需要一个“种子”,这个“种子”是我们必须记住的。如果使用的表,这样做将会增加密文的长度。或者,可以使用你产生出随机数序列所用的密码,也可能是它的校验和。顺便提及的是曾作过这样一个测试使用个字节来产生表的索引以位的密钥作为这个字节的初始的种子。然后,在产生出这些随机数的表之后,就可以用来加密数据,速度达到每秒钟个字节。一定要保证在加密与解密时都使用加密的值作为表的索引,而且这两次一定要匹配
加密时所产生的伪随机序列是很随意的,可以设计成想要的任何序列。没有关于这个随机序列的详细的信息,解密密文是不现实的。例如:一些码的序列,如“可能被转化成一些随机的没有任何意义的乱码,每一个字节都依赖于其前一个字节的密文,而不是实际的值。对于任一个单个的字符的这种变换来说,隐藏了加密数据的有效的真正的长度。
如果确实不理解如何来产生一个随机数序列,就考虑数列,使用个双字(位)的数作为产生随机数的种子,再加上第三个双字来做操作。这个算法产生了一系列的随机数。算法如下:
如果想产生一系列的随机数字,比如说,在和列表中所有的随机数之间的一些数,就可以使用下面的方法:
××××
××××
××××
××
一
变量中的值应该是一个排过序的唯一的一系列的整数的数组,整数的值的范围均在到之间。这样一个数组是非常有用的,例如:对一个字节对字节的转换表,就可以很容易并且非常可靠的来产生一个短的密钥(经常作为一些随机数的种子)。这样一个表还有其他的用处,比如说:来产生一个随机的字符,计算机游戏中一个物体的随机的位置等等。上面的例子就其本身而言并没有构成一个加密算法,只是加密算法一个组成部分。
作为一个测试,开发了一个应用程序来测试上面所描述的加密算法。程序本身都经过了几次的优化和修改,来提高随机数的真正的随机性和防止会产生一些短的可重复的用于加密的随机数。用这个程序来加密一个文件,破解这个文件可能会需要非常巨大的时间以至于在现实上是不可能的。
四.结论:
由于在现实生活中,我们要确保一些敏感的数据只能被有相应权限的人看到,要确保信息在传输的过程中不会被篡改,截取,这就需要很多的安全系统大量的应用于政府、大公司以及个人系统。数据加密是肯定可以被破解的,但我们所想要的是一个特定时期的安全,也就是说,密文的破解应该是足够的困难,在现实上是不可能的,尤其是短时间内。
《数据加密技术》
第三篇:NAS存储与数据备份方案
NAS存储与数据备份方案
数据备份部分是整个网络系统的关键点,任何原因造成数据丢失都将带来无法估量的损失,因为这些数据涉及到公司各应用系统(包括缺陷、动态成本、点检、物质仓储、大宗物料、生产运营等系统),为了保证各系统的正常运行,必须保证能随时访问生产数据、查询历史数据。一旦发生意外导致数据丢失(包括系统崩溃、数据的丢失等),造成影响难以估计。
NAS(Network Attached Storage:网络附属存储)是一种将分布、独立的数据整合为大型、集中化管理的数据中心,以便于对不同主机和应用服务器进行访问的技术。按字面简单说就是连接在网络上, 具备资料存储功能的装置,因此也称为“网络存储器”。它是一种专用数据存储服务器。它以数据为中心,将存储设备与服务器彻底分离,集中管理数据,从而释放带宽、提高性能、降低总拥有成本、保护投资。其成本远远低于使用服务器存储,而效率却远远高于后者。
NAS数据存储的优点:
1、NAS适用于那些需要通过网络将文件数据传送到多台客户机上的用户。NAS设备在数据必须长距离传送的环境中可以很好地发挥作用。
2、NAS设备非常易于部署。可以使NAS主机、客户机和其他设备广泛分布在整个企业的网络环境中。NAS可以提供可靠的文件级数据整合,因为文件锁定是由设备自身来处理的。
3、NAS应用于高效的文件共享任务中,例如UNIX中的NFS和Windows NT中的CIFS,其中基于网络的文件级锁定提供了高级并发访问保护的功能。
公司现有存储及备份模式已经无法满足日益强大的信息系统,现急需建立一套先进的存储备份管理系统,以合理利用存储资源为基础,突出以数据为中心,实现高效的存储与数据管理,给诸多宝贵的数据提供安全、稳定的环境。
基于以上NAS系统的种种优点,结合公司实际情况,决定采用NAS系统来升级公司的存储与备份现有模式。
下图为目前的拓扑图,需要操作服务器的数量多,数据的完整性无法得
到很好的验证。
下图为添加NAS存储系统后的拓扑图,在不改变当前网络环境的状态下,直接将NAS存储系统连接至二层交换机,快速投入使用,同时支持基于Web的GUI远程管理,大大提升了备份效率。
以后的建议:可逐渐扩大NAS存储系统的应用,利用双机冗余备份,实现数据同时同步的异地容灾备份,拓扑如下:
第四篇:数据存储主要优点建议
数据存储采购建议
随着集团网络的数据量不断增加,网络数据的安全性是极为重要的,一旦重要的数据被破坏或丢失,就会对企业造成重大的影响,甚至是难以弥补的损失。数据存储备份除了拷贝外,还包括更重要的内容即管理。备份管理包括备份的可计划性,磁盘的自动化操作、历史记录的保存以及日志记录等。所有的硬件备份都不能代替数据存储备份,硬件备份(双机热备份、磁盘阵列备份以及磁盘镜象备份等硬件备份)只是拿一个系统、一个设备等作牺牲来换取另一台系统或设备在短暂时间内的安全。若发生人为的错误、自然灾害、电源故障、病毒黑客侵袭等,引起的后果就不堪设想,如造成系统瘫痪,所有设备将无法运行,由此引起的数据丢失也就无法恢复了。只有数据存储备份才能为我们提供万无一失的数据安全保护。
我们早先采用数据存储为“DAS(Direct Attached Storage,直接外挂存储)”的存储方式。这种数据存储的服务器结构如同PC机架构,外部数据存储设备都直接挂接在服务器内部总线上,数据存储设备是整个服务器结构的一部分,同样服务器也担负着整个网络的数据存储职责。DAS这种直连方式,只能够解决单台服务器的存储空间扩展、传输需求,无法满足多台服务器备份的需要。为了满足现在多台服务器所需要的网络存储必须采取支持以下两种方式的存储设备:
一、NAS(Network Attached Storage,网络附加存储)方式则全面改进了以前低效的DAS数据存储方案,它是采用独立于PC服务器,单独为网络数据存储而开发的一种文件服务器。NAS服务器中集中连接了所有的网络数据存储设备(如各种磁盘阵列、磁带、光盘机等),存储容量可以较好地扩展,同时由于这种网络存储方式是NAS服务器独立承担的,所以,对原来的网络服务器性能基本上没什么影响,以确保整个网络性能不受影响。它提供了一个简单、高性价比、高可用性、高扩展性和低总拥有成本(TCO)的数据存储方案。
二、SAN(Storage Area Network,存储域网络)与NAS则是完全不同,它不是把所有的存储设备集中安装在一个专门的NAS服务器中,而是将这些存储设备单独通过光纤交换机连接起来,形成一个光纤通道的网络,然后这个网络再与企业现有局域网进行连接,在这种数据存储方案中,起着核心作用的当然就是光纤交换机了,它的支撑技术就是Fibre Channel(FC,光纤通道)协议,这是ANSI为网络和通道I/O接口建立的一个标准集成,支持HIPPI、IPI、SCSI、IP、ATM等多种高级协议。在SAN中,数据以集中的方式进行存储,加强了数据的可管理性,同时适应于多操作系统下的数据共享同一存储池,降低了总拥有成本。
目前在数据存储方面几大主要品牌:EMC、IBM、HP、DELL等,与其他公司相比中EMC是专业从事数据方面的公司,在数据存储方面有其专业的优势。
利用 EMC 恢复管理解决方案,可以从任何中断或事件中快速、轻松、可靠地恢复业务数据。利用 EMC 恢复管理,您可采用一种全方位的做法,即利用集成式软件的备份、复制、连续数据保护(CDP)、分析和报告来保护数据。它结合了简化的管理,以提供关键业务信息的更高级别的可靠性和恢复能力。
主要优点
一、集中化备份管理 — 跨不同操作系统保护您的关键应用程序和数据库,同时集中执行管理并加快总体备份速度。
二、集中化复制管理 — 以实时或接近于实时的方式将电子数据拷贝移动到本地或远程信息存储库。
三、连续数据保护 — 自动为每一次数据更改保存一个拷贝,以便您能够将数据恢复到任一时间点。
四、分析和报告 — 收集、关联备份操作相关信息并发出警报,包括对备份失败执行根本原因分析。
五、简化管理 — 使用管理控制台查看保护和恢复活动,并确定向何处分配更多资源
EMC 同时有针对 Microsoft SQL Server 的数据保护可满足 SQL Server 的可用性和可恢复性要求。利用 EMC 针对 Microsoft SQL Server 的数据保护,并可利用 SQL Server 中的本机功能实现数据恢复和保护。利用 EMC 行之有效的专业技能满足备份和恢复、SLA 遵守能力、人员职责和基础架构规划等方面的要求。
主要优点
一、提高了数据库可用性 — 使用数据库镜像直接在服务器之间传输事务日志记录,并可快速故障切换到备用服务器。
二、增加了应用程序正常运行时间 — 减少备份窗口以减少对应用程序和系统可用性的影响。
三、减少了业务风险 — 通过内置的硬件冗余、RAID 保护和高可用性确保数据能够快速而准确地恢复。
我们通过对存储方式、存储空间、存储性能的比较,推荐选择的数据存储型号为:
EMC Celerra NX4 磁盘阵列柜 包含1个NAS控制器、2个存贮控制器、7个1TB 7200转SATA系统盘、服务器端工具包、管理软件、三年服务。同时支持光纤SAN、IPSAN、NAS功能。(注:7个1TB硬盘作RAID 5,实际可用存贮空间为5TB。)
第五篇:非结构化存储数据方案之一
非结构化数据存储方案
非结构化数据包括文本、图像、音频、视频、PDF、电子表格等。非结构化数据存储通常有两种方式:
1.将非结构化数据以文件的方式存储在文件系统中,同时将指向文件的链接或路径存储在数据库表中。这种方式数据读写的速度较快,但数据管理不方便,并需要额外考虑事务处理的一致性和数据的安全性。
2.将非结构化数据存储在传统的数据库表的大对象字段中。这种方式充分利用数据库的事务、管理和安全特性,但在数据查询和读写的性能不高。
为解决上面两种方式的缺点,利用其所长,最新的非结构化数据存储技术在磁盘格式、网络协议、空间管理、重做和撤销格式、缓冲区缓存以及智能的I/O 子系统等方面发生重大转变,在保证了文件数据的性能的同时,还保留了数据库的优势。较有代表性的就是Oracle SecureFiles非结构化数据存储方式。