信息数据加密(精选11篇)
信息数据加密 篇1
随着市场经济以及科学技术的发展, 计算机技术被广泛地应用在社会生产与生活的各个领域中, 数字货币、电子商务、网上银行等在人们的生产与生活正都扮演着重要的角色, 并且随着计算机技术的普及, 人们的日常生活与工作已经离不开计算机, 因此, 计算机信息数据的安全问题也越来越受到人们的重视, 如果信息数据被窃取或者泄露, 将会造成一定的损失, 甚至会给国家的安全带来威胁。因此, 计算机信息数据的安全已经成为亟待解决的问题, 应该加大信息加密技术的使用, 进而保证计算机信息数据的安全。
1 计算机信息数据的安全
威胁计算机信息数据储存安全的因素包括设备故障 (例如电磁干扰、断电停电等) 、物理损坏 (例如外力损坏、硬盘损坏等) 、自然灾害 (例如雷电、洪水、火灾等) 、人为失误 (例如误删文件、格式化硬盘等操作) 、计算机数据管理问题 (例如黑客进攻、管理不当出现的安全漏洞、软件设计时存在“后门”等) , 这些都会给计算机信息数据的安全造成影响。因此, 计算机信息数据的安全主要包括以下几个方面: (1) 完善计算机信息数据的硬件与软件系统, 安装必要的杀毒软件, 并及时对软件系统和硬件系统进行定期的检查和维修, 为计算机信息数据的安全奠定良好的基础; (2) 创建安全的网络系统, 网络安全涉及到信息防盗、防人侵破坏、防病毒等, 通过各种信息安全技术保护整个网络系统的环境; (3) 计算机信息数据安全管理, 包括人员管理、设备管理、信息数据管理以及网络管理等, 认真的贯彻落实计算机信息安全管理制度, 并采取相应的措施进行管理, 其中包括数据信息安全日常监控措施、预防保障措施、事后补救措施等, 为保证计算机信息数据的安全提供有力的保障。
2 加密技术在计算机信息数据中的应用
(1) 计算机信息数据加密算法。目前, 计算机信息数据加密算法常用的对二元数据加密的方式为DES算法和RSA算法。对于DES算来来说, 其中秘钥长度、数据分组以及文分组长度都为64位, 有效秘钥为56位, 加密和解密的过程基本相同, 都含有8位奇偶校验, 但是在顺序上存在一定的差异, 利用该秘钥采用一定的结构和流程对明文数据进行加密, 将明文数据转变成密文信息, 当需求使用和读取加密数据时, 必须使用与之对应的解密秘钥才能进行解密处理, 该种加密方式只能通过暴力的方式进行破解, 能够满足日常的需要, 当需要更高的加密性时, 通常采用AES加密算法。RSA加密算法除了用数字签名之外, 还经常应用数据加密, 该种加密算法中包含了两个秘钥, 即加密秘钥PS和解密秘钥SK, 加密和解密方程表现为:n=p*q, 其中P∈[0, n-1], 并且p和q为素数, 大于10100, 具有较高的加密性能。
(2) 计算机信息数据储存加密技术。信息数据加密算法是一种针对信息数据自身的一种加密技术, 计算机信息数据在调用和储存的过程中依然需要采用合适的加密手段和加密技术对信息数据进行加密保护, 提高计算机信息数据的安全性。计算机信息数据储存加密通常分为存取控制和密文储存两个部分, 密文储存通常通过加密算法实现, 存取控制需要对信息数据使用用户的权限与行为进行审查与控制, 进而保证数据的安全, 计算机信息数据储存加密技术能够将程序和用户划分为不同的层次和等级, 只有经过权限认证和安全认证的用户或者程序才允许调用信息数据, 避免越权用户或者非法用户对信息数据的使用, 提高计算机信息数据的安全性。
(3) 计算机信息数据传输加密技术。计算机信息数据传输加密技术主要包括两种:PGP技术, PGP是一种基于RSA公钥较加密体系的邮件加密技术, 通过在邮件上添加数字签名能够保证邮件向所期望的收件人发送信息, 并能够防止非授权人员阅读, 进而保证计算机信息数据的安全性;SSL技术, SSL技术通过使用通信双方的CA根证书以及客户证书, 通过建立一种不能被非允许客户或者服务器偷听的通信方式, 建立一条可信任、安全的信息数据传输通道, 进而保证信息的完整性和保密性。
(4) 信息数据完整性鉴别与摘要技术。完整性鉴别技术是一种常见的技术, 主要涉及到身份、信息数据、口令、秘钥等方面的鉴别, 为了能够实现对计算机信息数据的保密要求, 系统会根据既定的程序对输入对象的特征值进行检查, 进而实现对信息数据的加密, 保证计算机信息数据的安全性。信息摘要技术主要通过单向Hash加密函数, 实现一对一的信息数据传输, 信息发送者能够通过自身的私有秘钥加密摘要, 接受者根据秘钥解密技术来验证与确定信息发送者传输的信息数据, 通过对比分析传输信息的摘要和原始摘要, 能够检查出信息数据是否被更改, 进而保证计算机信息数据的完整性和安全性。
3 结语
总而言之, 为了保证当前形势下计算机信息数据的安全性, 应该投入更多的物力、财力以及人力研究信息数据加密技术, 并重视加密技术在计算机信息数据中的应用, 为网络使用者创造一个安全的信息环境, 进而保证信息数据的安全性。
摘要:随着经济与科学技术的快速发展, 计算机技术被应用在众多领域中, 并且已经成为人们生产和生活中至关重要的一部分。然而, 随着计算机技术的应用与发展, 影响计算机信息数据安全的因素越来越多, 例如木马、黑客、计算机病毒、计算机硬件故障、电磁波干扰等, 都严重地威胁着计算机信息数据的安全。文章分析了计算机信息数据安全, 探析了加密技术在计算机信息数据中的应用, 以供参考。
关键词:计算机信息数据,安全,加密技术
参考文献
[1]雷清.计算机信息数据的安全分析及加密技术探讨[J].价值工程, 2012 (12) :178-179
[2]夏炎, 徐东晨.计算机信息数据安全及加密技术研究[J].硅谷, 2013 (9) :61-62
[3]曲哲.加密技术在计算机信息数据安全防范中的应用[J].信息系统工程, 2013 (12) :74
信息数据加密 篇2
摘要:随着互联网的不断发展,社会也随着科技的进步不断前进,计算机在人们的生活和生产中得到了广泛的使用。大多数人的隐私性信息也通过计算机进行输送,计算机虽给人们的生活带来了很多便捷,但随之而来的也有弊端,首先最重要的就是计算机数据信息的安全问题。所以,必须重视计算机数据信息安全加密。因此笔者将以计算机信息数据的安全为中心,对信息加密技术进行分析和研究。
关键词:计算机;信息数据安全;加密技术
近些年来,随着科技的发展市场经济也得到快速发展,对于互联网技术的使用日益普遍化。计算机被普遍使用在各个领域,在网上银行、电子商务网站、数字货币等领域都具有非常重要的地位。人们的生活离不开电子信息技术,很多人已对电子信息技术产生很大的依赖性。所以,计算机信息数据的安全性开始引起人们的关注,如果人们的信息数据泄露或是被剽窃,那么给人们带来的损失将是不可预见的,同时也会影响人们的正常生活和工作。所以,解决计算机数据安全问题是重中之重,为了计算机技术更好地服务于社会和人们的生活,对信息数据加强安全保密工作是大势所趋。
计算机数据安全
1.1 数据安全需注意的内部因素
在这个信息化时代,各种专业知识被强化,大多数人的日常生活和工作都离不开计算机信息技术,保证个人信息数据的安全得到了关注,保障数据的绝对安全才有利于计算机被更多的人使用,也有利于其更好的发展。对于数据安全需注意的主要因素有以下两方面:其一就是人为因素,其二就是非人为因素。虽然很多人都是利用计算机提
高工作效率,或是通过计算机进行学习,但是还会有少数人通过计算机盗取和破坏系统和重要数据,进而谋取一些利益,更严重的就是一些不法分子利用计算机进行一些犯法违规行为,如想要窃取客户个人重要信息的密码,就将一些木马或病毒导入用户的计算机中,进行恶意破坏,给人们带来了重大损失。因此,对计算机信息数据进行加密非常重要,要保障用户信息数据安全,保证计算机能够安全使用,同时人们在使用计算机时,要加强计算机信息数据安全的保护意识。对于计算机信息数据安全影响最为重要的还是非人为因素。除了人为因素其他影响计算机信息安全的因素都属于非人为因素,其包括硬件事故和电磁波的干扰等多种因素。因此,这就要求使用计算机的人要具备较高的专业水平,一旦发生计算机故障,可以及时准确地解决,避免了非人为因素造成信息数据丢失或泄露。所以,建议计算机使用者加强对计算机的学习和了解,不断提高自身计算机技术能力,减少一些非人为因素给计算机信息数据带来的安全问题。
1.2 对于数据安全需重视的外部因素
对于计算机信息数据来说对其安全影响较大的还是外部因素,可
以采取具体措施避免该问题发生。首先最重要的就是确保硬件的安全。现今很多人习惯把个人的各种信息保存在计算机上,所以确保计算机信息数据安全尤为重要。这样一来所涉及的范围比较广,包括购买、生产、检测及使用等,计算机使用者要确保每个环节都是安全的,没有任何质量问题。在使用过程中可以安装一些杀毒软件,如电脑管家、360 等以避免计算机被病毒入侵。另外在安装系统时,使用者要根据个人需求安装合适的系统,这样有利于延长计算机的使用时间,还能保证计算机信息数据的安全性。还有一些通讯过程中出现的问题,这就需要采取一些技术措施来解决。比如计算机信息数据加密技术,保护计算机信息数据。
计算机信息数据安全加密的建立
加密其实就是将文件通过多种方式转变成密文的过程,最后有将密文恢复回明文的过程,这两个过程中都是使用密码算法对其进行加密和解密的。两者的关系是正相关,密码算法越难信息就越安全。
2.1 权限管理的建立
权限管理技术被越来越广泛地应用于多种安全管理中,它是加密技术管理中较高级的使用程序。假如某个文件被设为权限管理,那么其他人都不能使用或拷贝这个文件,总结为就是权限管理是对文件进行加密设置。权限管理里最重要的优势就是对后台服务程序进行权限限制,如果某个文件将被某个用户使用或拷贝,后台服务端可以进行权限限制,之后该文件就不能被其他人所浏览和使用了。在我国很多Windows 系统都可以使用权限管理技术,还有一些其他产品支持权限管理,但是由于技术的不统一和版本的不匹配,导致安装过程比较复杂、困难,即使已安装权限管理,但是要没有相对应的的服务器还是无法使用权限管理打开文件。还有一个非常重要的问题就是权限管理不是所有的数据类型都支持的,有些数据类型是权限管理也无法使用的。优质的权限管理可以将应用程序和加密相结合,但假如无法安装该技术,那么在使用计算机是无法更好地发挥其优势的。
2.2 入侵检测系统的建立
入侵检测系统是网络安全研究中从产生至今都是非常重要的,它不仅可以抵御内部入侵,还可以及时快速地拦截外部的入侵,实现对网络安全快速主动的保护。随着现今科技的快速发展,入侵检测技术也不断改进,出现了一些分布式入侵检测、智能化入侵检测、全面安全防范等方向的研究。入侵检测主要任务是对内外部入侵实施拦截,其中有软件和硬件相互合作完成的入侵检测系统,它还可以检测一些阻止不了的危险等。入侵检测系统被广泛应用于各种计算机信息数据加密技术中,将不断扩大使用范围,其将有更好的使用前途。
2.3 音讯方面的鉴别技术
对于音讯和文本的值进行加密保护的,只有音讯摘要和完整性鉴别技术,其对传输的数据使用单向作用进行加密保护。当计算机使用者发送数据时,使用私有秘钥对数据进行加密,然后使用加密摘要形式,就可以保护该信息数据。而音讯摘要接收者将收到的摘要和原样
进行比较,接收者要对信息进行解密才可以得到信息,这些都可以看到摘要和原样有什么不同,从而判断信息数据是否被别人中途更改,这样更有利于确保音讯的完整性和信息数据的安全性。
结语
在现今大数据的时代下,计算机的使用量不断增多,信息数据呈现爆发式的增长趋势,其中计算机信息数据安全问题不断增多,这将对信息数据安全加密技术提出更高的要求,同时也是关系到用户个人信息安全及正常工作和生活的关键,所以计算机安全研究人员要加强重视计算机信息数据安全问题。就目前来说,现今的加密技术都只解决一些表面上的计算机信息数据问题,根本不能完全杜绝计算机信息数据隐患的发生。这就要与计算机有关的专业人员不断提升自身的计算机能力,提高自身素质,对计算机信息数据安全问题提出一些针对性意见和解决方案,确保我国计算机信息数据的安全,保证用户使用计算机的安全,使计算机技术能够持续发展。
参考文献
破解数据加密难题 篇3
根据Forrester调研公司2008年初发布的数据,45%的美国公司正在评估或是计划购买磁盘加密软件以防止数据被窃。原因很简单:加密技术可以使得利用偷盗行为获取保密信息的行为变得更困难,比如偷盗笔记本以获取信息。
磁盘全面加密有两种方式:通过计算机硬盘公司提供的硬件形式,尤其是希捷公司;或是也可以作为笔记本制造商提供的选装件,例如联想公司会额外赠送价值25美元~30美元的希捷磁盘全面加密技术作为选装件。所以,现在有~系列的单机加密软件涌现出来。在这个领域的可选项有“Check Point Full Disk Encryption”,GuardianEdge公司的“Encryption Plus Hard Disk”,McAfee公司的“Endpoint Encryption”,PGP公司的“Whole Disk Encryption”和Utimaco Safeware公司提供的“SafeGuard Easy”。Symantec公司的战略则是与GuardianEdge公司达成OEM交易。微软Vista系统的企业版中也包含了一个叫做“BitLocker”的全面加密功能软件。
对于克里斯·肖来说,促使他两年前为笔记本电脑投资购买加密技术的原因非常简单。他创立的技术人员猎头公司S4 Partners Inc.位于加州的El Granada,年销售领200万美元,处理的都是高度敏感的个人信息。所以他选择了Voltage Securiry公司的文件层保护技术,而不是保护他的全部磁盘。
信息数据加密 篇4
1 网络安全概念及其现状
1.1 网络安全的概念
“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护, 保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。本质上讲网络安全就是网络上的信息安全。从广义上来说, 凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性相关技术和理论都是网络安全的研究领域。
1.2 网络安全的现状
互联网的开放性、共享性、国际性导致不安全因素诸多, 使计算机病毒无处不在, 黑客的猖獗, 也防不胜防。目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元, 而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋势公司称, 像Sobig、Slammer等网络病毒和蠕虫造成的网络大塞车, 去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化, 网络安全问题带来的损失由此可见一斑。
2 网络安全的主要技术防范措施
安全是网络赖以生存的保障, 只有安全得到保障, 网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展, 其涉及的技术面非常广, 主要的技术有认证、数据加密、防火墙及入侵检测是网络安全的重要防线。
2.1 认证技术措施
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问, 使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下:a.身份认证:当系统的用户要访问系统资源时要求确认是否是合法的用户, 这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。b.报文认证:主要是通信双方对通信的内容进行验证, 以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改过。c.访问授权:主要是确认用户对某资源的访问权限。d.数字签名:数字签名是一种使用加密认证电子信息的方法。数字签名技术是基于加密技术的, 可用对称加密算法、非对称加密算法或混合加密算法来实现。
2.2 信息数据的加密措施
在保障信息安全各种功能特性的诸多技术中, 密码技术是信息安全的核心和关键技术, 通过数据加密技术, 可以在一定程度上提高数据传输的安全性, 保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥, 密钥控制加密和解密过程, 一个加密系统的全部安全性是基于密钥的, 而不是基于算法, 所以加密系统的密钥管理是一个非常重要的问题。
2.2.1 信息数据加密的理由
网络安全方面, 我们主要选择数据加密。在互联网上进行文件传输、电子邮件商务往来存在许多不安全因素, 尤其是一些大公司和一些机密文件在网络上传输, 更易遭到黑客的入侵。其解决的方案就是数据加密, 加密后的口令即使被黑客获得也是不可读的, 加密后的文件没有收件人的私钥无法解开, 文件成为一大堆无任何实际意义的乱码。加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。在此强调一点, 文件加密其实不只用于电子邮件或网络上的文件传输, 也可应用静态的文件保护, 如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密, 以防他人窃取其中的信息。
2.2.2 信息数据加密
信息数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理, 使其成为不可读的一段代码, 通常称为“密文”, 使其只能在输入相应的密钥之后才能显示出本来内容, 通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密, 即将该编码信息转化为其原来数据的过程。简单地说:加密就是通过一种方式使信息变得混乱, 从而使未被授权的人看不懂它。数据信息加密技术通常分为两大类:
“对称式加密”和“非对称式加密”。也可以说存在主要的加密类型:私钥加密和公钥加密两种。
对称式加密也可称为私钥加密, 因为用来加密信息的密钥就是解密信息所使用的密钥, 通常称之为“Session Key”。私钥加密为信息提供了进一步的紧密性, 它不提供认证, 因为使用该密钥的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快, 很容易在硬件和软件件中实现。对称式信息加密这种技术, 目前被广泛采用, 如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法。
非对称式加密就是加密和解密所使用的不是同一个密钥, 通常有两个密钥, 称为“公钥”和“私钥”, 它们两个需要配对使用, 一个用于加密信息, 另一个用于解密信息。否则不能打开加密文件。这里的公钥是指可以对外公布的, 私钥则只有持有者自己知道。在网络上, 对称式的加密方法很难公开密钥, 而非对称式的公钥是可以公开的, 不怕别人知道, 收件人解密时只要用自己的“私钥”即可以, 这样就很好地避免了密钥的传输安全性问题。公钥加密系统的缺点是它们通常是计算密集的, 因而比私钥加密系统的速度慢得多, 不过若将两者结合起来, 就可以得到一个更复杂的系统。
2.3 防火墙技术防范措施
防火墙是网络访问控制设备, 用于拒绝除了明确允许通过之外的所有通信数据, 它不同于只会确定网络信息传输方向的简单路由器, 而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击, 其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术, 它们的安全级别依次升高, 但具体实践中既要考虑体系的性价比, 又要考虑安全兼顾网络连接能力。
2.4 入侵检测系统措施
入侵检测技术是网络安全研究的一个热点, 是一种积极主动的安全防护技术, 提供了对内部入侵、外部入侵和误操作的实时保护, 在网络系统受到危害之前拦截相应入侵。随着时代的发展, 入侵检测技术将朝着三个方向发展:分布式入侵检测、智能化入侵检测和全面的安全防御方案。
入侵检测系统, 是进行入侵检测的软件与硬件的组合, 其主要功能是检测, 除此之外还有检测部分阻止不了的入侵;检测入侵的前兆, 从而加以处理, 如阻止、封闭等;入侵事件的归档, 从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。
3 网络安全问题对策的思考
网络安全建设是一个系统工程、是一个社会工程, 网络安全问题的对策可从以下几方面思考:
网络安全的保障从技术角度看:
3.1 要树立正确的思想准备。
网络安全的特性决定了这是一个不断变化、快速更新的领域, 况且我国在信息安全领域技术方面和国外发达国家比还有差距, 这要求技术上的要迅速创新, 不断研究, 也意味着人们对于网络安全领域的投资是长期的行为。
3.2 建立高素质的人才队伍。
目前在我国, 网络信息安全存在的突出问题是人才稀缺、人才流失, 尤其是拔尖人才, 同时网络安全人才培养方面的投入还有较大缺欠。
3.3 在具体完成网络安全保障的需求时, 要根
据实际情况, 结合各种要求 (如性价比等) , 需要多种技术的合理综合运用。
网络安全的保障从管理角度看:考察一个内部网络是否安全, 不仅要看其技术手段, 而更重要的是看对该网络所采取的综合措施, 不光看重物理的防范因素, 更要看重人员的素质等“软”因素, 这主要是重在管理, “安全源于管理, 向管理要安全”。
参考文献
[1]张千里, 陈光英.网络安全新技术[M].北京:人民邮电出版社, 2003.
[2]高永强, 郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社, 2003.
数据加密技术及网络应用 篇5
关键词:数据加密;DES;RSA;AES;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21588-02
Data Encryption and Network Applications
SUN Xiao-han
(Shandong University Building, China)
Abstract:Data encryption is information security a proactive strategy, the present paper discusses some of the major data encryption algorithm : DES, RSA algorithm and the Advanced Encryption Standard (AES) Rijndael algorithm. On different encryption algorithm performance of the comparative analysis Encryption algorithm introduced in the network for the application and data encryption technology, the development of the situation
Key words:Data Encryption;DES;RSA;AES;Network Security
1 引言
伴随微机应用技术的发展与应用,数据的安全越来越受到高度的重视。数据加密技术就是用来保证信息安全的基本技术之一。数据加密是指在数据处理过程中将敏感数据转换成不能识别的乱码,还原的过程则称为解密,数据加、解密过程是由算法来具体实施的。
2 加密算法原理
2.1 常规密钥加密
常规密钥加密是指加密与解密密钥相同,通信双方必须都拥有同一把密钥并保持机密性。发送信息时,发送方用自己的密钥进行加密,而在接收方收到数据后,又用对方所给的密钥进行解密,故它也称为对称加密技术或私钥密码体制。常规密钥加密应用较多的是DES ( data encryption standard)算法,它是第一代私匙加密的标准。
它的基本原理是混淆及散布。混淆是将明文转换为其他形式,而散布则可将明文的部分变化影响扩散到加密后的整个部分。DES输入64位密钥,实际使用密钥长度为56位(有8位用于奇偶校验)。加密时把明文以64位为单位分成块,而后用密钥进行块加密把明文转化成密文。DES算法对64位的输入数据块进行16轮的编码,在每轮编码时,都要从56位的主密钥中得出一个唯一的轮次密钥,经验证采用的16次迭代扩散已能满足安全要求。在加密过程中输入的64位原始数据被转换成64位被置换完全打乱了的输出数据,在解密时可以用解密算法将其转换回原来的状态。
2.2 公开密钥加密
20世纪70年代Diffie和Hellman以及Merkl。分别提出了公开密钥密码体制的思想,它不同于常规的对称密钥密码体制,算法的核心是单向陷门函数的应用,加密和解密使用不同的密钥,每个用户保存着一对密钥一一公开密钥PK和秘密密钥SK,二者不能相互推导。用户公开密钥可以发布出去,只要保障秘密密钥的安全即可。公共密钥与秘密密钥的关联性在于用公钥加密的信息只能用秘密密钥解密,反之亦然。
到现在为止发展了大量的公开密钥密码算法,应用最广的为RSA算法,RSA算法是由RL-Rivest, AShamir和LAdlemansh设计的用数论构造双钥的算法,也是迄今为止理论上最为成熟和完善的一种公钥密码体制。 RSA也属于分组加密算法,它使用两个密钥,密钥长度从40 b到2 048 b可变,加密时把明文分割成长度小于密钥长度的块,RSA算法把每一块明文转化为与密钥长度相同的密文块。密钥越长,加密效果越好,但开销也随之增大,所以要在安全与性能之间折衷考虑,实际应用中一般采用64位密钥。
3 高级加密标准AES
在数据加密中由于通用性的要求,通常是采用保护密钥的秘密性来保证加密的可靠性。由于计算机运行速度的增快,DES算法可能会在合理的时间内受到强力攻击而遭到破坏,替代的三重DES算法同样没有解决这个问题 ;而其他的商业替代者RC5,IDEA等都没能成为世界范围的标准。鉴于此,美国国家标准和技术研究所(NIST)发起征集AES (advanced encryption standard)算法的活动,其目的就是为了确定一个公开的、免费使用的全球标准的加密算法。
经过几轮严格测评和筛选,NIST正式确定两位比利时密码学家Joan Daemen和Vincent Rijmen提交的Rijndael算法为入选算法。Rijn-dael算法是一个迭代分组加密算法,其分组长度和密钥长度都是可变的,为了满足AES的要求,分组长度为128 b,密钥长度可以为128/192 /256b,比较而言,其密钥空间比DES的要大的多,相应的转换操作轮数为10 /12 /14。Rijndael算法的原形是Square算法,它的设计策略是宽轨迹策略(wide trail strategy)。宽轨迹策略是针对差分分析和线性分析提出的,它可以给出算法的最佳差分特征的概率以及最佳线性逼近的偏差的界限,由此可以分析算法抗击差分密码分析及线性密码分析的能力。
Rijndael算法在整体结构上采用的是代替/置换网络,多轮迭代,每一轮由3层组成:非线性层、线性混合层和密钥加层: (1)线性混合层。进行Sub byte转换,即在状态中每个字节进行非线性字节转换,确保多輪之上的高度扩散;(2)非线性层。进行Shift row运算和Mix column运算,它是由16个S-盒并置而成,起到混淆的作用。S-盒选取的是有限域GF中的乘法逆运算,它的差分均匀性和线性偏差都达到了最佳;(3)密钥加层。进行AddRounKey运算,子密钥与状态对应字节异或。
Rijndael解密算法的结构与加密算法的结构相同,其变换为加密算法变换的逆变换。算法分析结果显示,7轮以上的Rijndael对“Square”攻击是免疫的;Rijndael的4轮、8轮最佳差分特征的概率及最佳线性逼近的偏差均较低。Rijndael在数据块和密钥长度的设计上也很灵活,算法可提供不同的迭代次数,综合这些Rijndael算法最终成为AES的合适选择。
4 加密技术在网络中的应用及发展
实际应用中加密技术主要有链路加密、节点加密和端对端加密等三种方式,它们分别在OSI不同层次使用加密技术。
链路加密通常用硬件在物理层实现,加密设备对所有通过的数据加密,这种加密方式对用户是透明的,由网络自动逐段依次进行,用户不需要了解加密技术的细节。主要用以对信道或链路中可能被截获的部分进行保护。链路加密的全部报文都以明文形式通过各节点的处理器,在节点数据容易受到非法存取的危害。节点加密是对链路加密的改进,在协议运输层上进行加密,加密算法要组合在依附于节点的加密模块中,所以明文数据只存在于保密模块中,克服了链路加密在节点处易遭非法存取的缺点。网络层以上的加密,通常称为端对端加密,端对端加密是把加密设备放在网络层和传输层之间或在表示层以上对传输的数据加密,用户数据在整个传输过程中以密文的形式存在,它不需要考虑网络低层,下层协议信息以明文形式传输,由于路由信息没有加密,易受监控分析。不同加密方式在网络层次中侧重点不同,网络应用中可以将链路加密或节点加密同端到端加密结合起来,可以弥补单一加密方式的不足,从而提高网络的安全性。
针对网络不同层次的安全需求也制定出了不同的安全协议以便能够提供更好的加密和认证服务,每个协议都位于计算机体系结构的不同层次中。
混合加密方式兼有两种密码体制的优点,从而构成了一种理想的密码方式并得到广泛的应用。
在数据信息中很多时候所传输数据只是其中一小部分包含重要或关键信息,只要这部分数据安全性得到保证整个数据信息都可以认为是安全的,这种情况下可以采用部分加密方案,在数据压缩后只加密数据中的重要或关键信息部分,就可以大大减少计算时间,做到数据既能快速地传输,并且不影响准确性和完整性,尤其在实时数据传输中这种方法能起到很显著的的效果。
5 结束语
数据加密技术是信息安全的基本技术,在网络中使用的越来越广泛。针对不同的业务要求可以设计或采取不同的加密技术及实现方式,另外还要注意的是,数据加密技术所讨论的安全性只是暂时的,因此还要投入对密码技术新体制、新理论的研究才能满足不断增长的信息安全的需求。密码技术的发展也将渗透到数字信息的每一个角落,与数据网络、通信系统的安全紧密联系在一起,提供更广泛更有效的安全保护措施。
参考文献:
[1]李克洪,王大珍,董晓梅.实用密码学与计算机数据安全[M].沈阳:东北大学出版社,2001:52-112.
[2]Wunnava Subbarao V, Ernesto Rassi.Data encryp-tion performance and evaluation schemes.Proceed-ings IEEE SoutheastCon 2002.2002:234-238.
[3]张焕国,覃中平.高级数据加密标准的研究[J].计算机工程与科学,2001,23(5):91-93.
[4]Bruce Schneier.应用密码学:协议、算法与C源程序[M].北京:机械工业出版社,2000:151-154.
信息数据加密 篇6
1 计算机信息数据安全
1.1 影响计算机信息数据安全的因素
当前的时代是信息化时代, 计算机已经进入到了寻常百姓家, 同时在社会发展中, 很多领域已经离不开计算机网络技术, 而在其应用的过程中, 数据的安全一直都是人们非常重视的一个要素, 影响计算机数据安全的因素主要有两个:一个是人为因素, 一个是非人为因素。在计算机数据信息安全问题当中, 人为因素是非常重要的一个因素, 例如木马或者是黑客的侵扰等, 这也是影响计算机数据安全的一个十分重要的因素。而非人为因素当中主要有计算机自身出现了硬件故障, 或者是设备受到了电磁波抑或是自然灾害的不利影响。而两个因素在计算机运行的过程中都会使得信息数据的安全受到一定的不利影响。因此, 我们在使用计算机的过程中一定要采取有效的措施对其予以防范和处理, 尤其是要做好计算机信息数据的加密保护, 这样才能更好的避免计算机运行的过程中受到一些安全因素的影响, 这样也就在很大程度上降低了安全威胁对企业和个人的不利影响。
1.2 计算机信息数据安全的外部条件
在维护计算机信息数据安全的过程中, 一定要从两个方面入手:一个是计算机自身的安全性, 一个是通信的安全性。首先就是计算机的安全性, 用户将重要的信息数据都放在了计算机上, 加强对信息数据的有效管理必须要首先做好计算机自身的防护工作, 计算机安全防护工作也应该从两个方面着手:一个是计算机硬件, 一个是计算机软件。从硬件的角度上来说一定要在使用的过程中定期的对计算机的硬件进行全面的检查, 同时还应该在这一过程中做好维护工作, 如果出现了异常现象, 一定要及时的对计算机进行维修处理, 只有这样, 才能更好的保证计算机处于良好的运行状态。而如果站在软件的角度来说, 计算机在运行的过程中必须要安装一些杀毒软件。总体上来说, 计算机的安全对数据信息的安全起到了非常重要的作用。其次就是通信安全。在计算机应用的时候, 通信是信息数据传输的基本条件, 所以如果计算机的通信出现了比较严重的安全隐患, 信息数据的安全性也会受到一定的影响, 当前我国的科技水平在不断的提升, 但是从整体上来说还是需要在这一过程中采取一些有效的措施对其予以严格的控制, 只有这样, 才能更好的保证计算机数据自身的安全性和完整性。
2 计算机信息数据安全中的加密技术
在这样一个全新的时代, 计算机信息数据安全问题在不断增多, 问题的类型也朝着多样化的方向发展, 所以在这一过程中, 为了可以更好的保证信息数据自身的安全性, 我们需要在计算机上安装一些效果比较好的杀毒软件, 同时还要在这一过程中使用加密技术, 只有这样, 才能更好的保证信息数据的安全性。
2.1 计算机信息数据的存储加密技术和传输加密技术
在计算机信息数据安全中, 存储加密技术和传输加密技术是信息加密技术中的一个重要组成部分。下面, 我们就对计算机信息数据的存储加密技术和传输加密技术分别进行介绍。第一, 存储加密技术。顾名思义, 存储加密技术主要是用来预防计算机信息数据在存储过程中的安全。根据实现方式的不同, 存储加密技术又可以分为密文存储和存取控制两种类型。其中, 密文存储是通过加密模块或者加密算法转换等方法来实现, 而存取控制是通过辨别用户的合法性以及限制用户权限等来实现。不论是那种实现方式, 存储加密技术都可以有效地防治信息数据在存储过程中的泄露或窃取。第二, 传输加密技术。所谓传输加密技术, 就是通过对需要传输的信息数据进行加密处理, 从而确保信息数据在传输过程中的安全。一般来说, 传输加密技术也分包括线路加密和端-端加密两种类型。其中, 线路加密技术是指对传输线路进行不同的加密密钥, 从而保证计算机信息数据传输的安全, 而端-端加密是指在信息数据在发送的时候就由发送用户进行加密处理, 通过信息数据包, 以不可识别或者不可阅读的信息数据形式传输, 当这些传输的信息数据达到目的地之后, 再对这些信息数据进行解码变成可读的信息数据, 然后再被接受的用户使用。
2.2 计算机信息数据的密钥管理加密技术与确认加密技术
在计算机信息数据安全管理工作中, 密钥管理加密技术与确认加密技术是另外一种确保信息数据安全的加密技术。具体来讲, 第一, 密钥管理加密技术。在计算机信息数据安全问题中, 密钥是一个不得不提的组成部分。一般来说, 密钥的媒体有半导体存储器、磁卡或者磁盘等, 而密钥的管理主要会涉及到密钥的产生、保存以及销毁等环节。我们通过密钥管理进行加密, 从而确保密钥产生、保存以及销毁等环节的安全, 从而在更大程度上保障计算机信息数据的安全。第二, 确认加密技术。在计算机信息安全管理中, 确认加密技术就是指通过限制计算机信息数据的共享范围, 从而保证信息数据的安全, 防治他人篡改或者伪造等。这种信息数据加密技术一方面可以使信息的发出者无法抵赖自己所发出的信息, 使合法的信息接收者能够辨别自己接收信息是否真实可靠;另一方面, 它可以防治他人伪造或者假冒信息数据。在确认加密技术中, 根据不同的目的, 信息数据的确认系统主要有身份确认、消息确认和数字签字等几种形式。
3 结论
当前, 计算机网络技术在不断发展, 它给人们的生产和生活带来了诸多的便利, 但是信息窃取等安全问题也越来越严重, 这给社会生活的正常运行也产生了非常不利的影响, 而计算机病毒越来越复杂, 所以我们一定要在这样的情况下合理的应用加密技术, 这样才能更好的保证信息数据的安全性和可靠性。
摘要:当前我国的信息化建设水平在不断的提高, 同时计算机的普及程度也越来越高, 其在生产和生活中都得到了非常广泛的应用, 而计算机信息技术本身具有比较强的开放性, 所以, 计算机数据库的安全性也受到了非常大的威胁, 我们必须要采取有效的措施对数据库予以保护。主要分析了计算机信息数据的安全与加密技术, 以供参考和借鉴。
关键词:计算机,安全,信息数据,加密技术
参考文献
[1]邵雪.数据加密技术在计算机网络安全领域的应用探讨[J].中国市场, 2011 (45) .
信息数据加密 篇7
1 概述网络信息加密技术
具体而言,信息加密就是保护网络信息安全的一种技术,属于一种主动的安全预防措施。通过加密计算,可以将明文转换为不可直接获取的密文,以防非法用户对原始数据的盗取,提高数据的安全与保密性。这一转换过程称之为加密,相反将密文转换为明文的过程则是解密,而密钥是加密与解密中应用的可变参数之一。在过去,人们一般采用传统软件进行数据加密,在破译密文的加密计算法难度非常大。此外,良好的加密计算法不会影响到计算机系统性能,甚至还有利于系统运行,比如常见的Pkzip,对信息既可以压缩又可以加密,功能非常好。
2 目前计算机网络信息安全存在的威胁
2.1 计算机系统不安全
由于计算机系统自身有安全隐患,对网络信息安全带来了很大冲击,在计算机运行中,其系统是一种支撑软件,为网络信息传递奠定了基础。因此,如果系统不够安全,黑客或木马就会通过网络直接盗取重要网络信息,对整个计算机系统进行任意操作。一般,计算机操作系统的不安全因素包含通信协议不够安全及存在一定的超级用户。因此在使用计算机时,用户要尽可能不要下载使用未知软件,对程序与软件定期进行更新。
2.2 信息管理系统出现漏洞
众所周知,计算机数据管理系统是依照分级管理理念设置的,自身存在无法避免的缺陷,DBMS的漏洞比较大。如果在数据管理系统中,使用者录入自己的保密信息,在一定程度上数据库会泄露相关信息甚至密码,这种泄露非常严重,影响到计算机用户的财产安全与个人隐私。
2.3 信息安全管理不标准
计算机应用中,网络信息安全存在威胁,究其原因则是安全管理技术不到位,人员综合素质不高,管理制度不合理等造成的。计算机网络信息属于一种无形式的存在,具有很大的随机与波动性,安全问题令人堪忧,病毒、木马等程序对计算机程序的侵袭,对计算机造成的破坏非常大。
3 分析计算机网络信息安全中数据加密技术的类型
3.1 链路加密
该加密技术常用于多区段计算机系统中,对数据与信息的传输路线进行划分,同时根据传输区域与路径的不同,加密也不相同。在传输过程中,数据受各环节不同加密方式的影响,因此数据接收者会接收到密文形式的数据,这样即使传输中出现病毒侵袭,其具有的模糊性也会保护数据。该加密技术还可以对传输中的数据填充不同的数据,因此其不同传输区段差异比较大,这种差异会影响到第三方信息盗取者的判断力,从而提高了数据信息的安全性。
3.2 节点加密
该加密技术与链路加密技术有很多相似之处,都是通过对数据传输线路进行加密,实现保护数据信息的安全性。节点加密的不同在于是在数据传输之前实施加密,数据就会以密文形式进行传输,经过加密后,在传输区段数据识辨难度大,提高了信息的安全性。但是必须要注意是的,加密技术安全性在高,也存在一些无法避免的弊端,由于加密技术要求信息发送与接收者必须以明文形式对数据进行加密,这样如果受到外在因素影响,就会削弱数据的安全性。
3.3 专用密钥
该加密技术也可称之为对称密钥技术,具体而言就是在数据加密与解密过程中,选用相同的密码方式,该加密技术是目前最简单的数据加密技术之一。在网络信息与数据传输过程中,通信双方采用相同的密码,只要确保密码没有外泄,其网络信息安全就会有很大的保障。DES数据分组加密算法是目前常用的密码计算方法,其运算量不大,且计算速度快,具有很高的安全性,如图1所示。
3.4 非对称加密
非对称加密技术也可称为公钥加密,在数据的发送与接收者对数据加密与解密采用不同的密钥技术,其可分解成公开(加密)与私有(解密)两种密钥,目前技术与设备还不能实现公钥转换私钥。在密钥交换协议基础上,通信双方可直接安全通信无需交换密钥,其安全隐患降低,一定程度上数据传输的保密性得以提高。非对称加密技术不但可以对数据进行加密,还可以验证身份及数据的完整性,在数字证书及签名等数据交换领域得到了广泛应用,如图2所示。
3.5 数字签名认证加密
在数字加密技术中,数字签名认证是重要的表现形式之一,该技术以加密技术为基础,通过加密解密计算确保数据安全,其同样包含私人与公用两种加密形式。但通常情况下,网上税务安全部门常用数字签名认证加密技术,以提高数据的安全保障。
3.6 端端加密法
端端加密技术,具体就是从一端到另一端,对数据进行加密的一种技术。简单来说,就是在发送方对数据加密,接收方对数据解密的过程,数据以密文形式进行传输。相较之链路与节点两种加密技术,该加密技术仅仅在数据的接收与发送端设置了加密与解密设备,传输中的数据加密与解密次数降低,在一定程度上,数据的安全性得到提高。但是在实际应用中,必须要注意该加密技术也有一定的缺陷,因为其只能对内容加密,对开始无法加密,这种情况为入侵者创造了盗取数据的条件,容易造成数据泄露。
4 分析计算机网络信息安全中数据加密技术的具体应用表现
4.1 通过链路数据加密,网络信息安全得到保护
一般对于多区段计算机而言,常选用链路数据加密技术对数据实施加密,通过应用该技术,能够科学划分相关信息与数据的传输过程。除此之外,由于传输路径与区域不同,数据信息可以顺利进行加密处理。在不同数据传输阶段,选用的加密技术差异性比较大,因此,数据接收者接收相关数据的过程中,就算数据传输出现了病毒侵袭等现象,但数据的模糊性功能也可以得到噶会,在此基础上可以有效保护传输的相关数据信息。同时,随着计算机网络系统中链路加密技术的广泛应用,在数据传输过程中可以有效填充相关数据资料,才能确保不同传输区段,数据显示差异比较明显,这种情况下,对一些觊觎数据信息的不法分子的判断力有很大影响,保障网络信息的安全性。
4.2 通过数据加密对相关软件进行加密处理
在计算机实际运行中,其系统软件与程序随时都有可能遭到黑客及病毒木马的侵袭。将加密技术应用于加密软件,则可以极大的预防病毒侵袭,木马程序的恶意植入等。在计算机系统运行中,操作人员要严密监控加密文件,及时处理存在病毒与非法程序的相关文件,以防病毒扩散影响到整个计算机网络系统安全。因此对加密软件实施数据加密处理技术,为计算机软件与程序奠定了安全、稳定运行的基础。
4.3 积极推进公、私密匙的融合
在计算机网络系统运行中应用不同形式的数据加密处理技术,其目的主要是为保障数据资料的安全性,切实提高信息安全防护的实效与主动性。一般情况下,私有及公用密匙共同构成了密匙。其中私有密匙是指在信息传输之前,针对密匙双方以达成共识,采用同一密匙对数据进行加密处理,并进行相应的科学解密,以此确保信息数据的安全性。而公用密匙比私有密匙的安全性高很多,其在文件传输前已进行了数据加密,以防信息外泄。此外,公用密匙对私有密匙不足也有补充作用,加强数据加密效果,从整体上提高网络系统的安全。
4.4采用各类数据加密处理技术确保电子商务运行的安全性
众所周知,目前以阿里巴巴为代表的电子商务已发展成为人们购物、经营的主体,创造了很大的社会经济效益,但在起运行过程中,也存在很多干扰因素威胁其运行的安全性。电子商务与网络安全是相辅相成的,网络交易平台为电子商务带来了一定的安全威胁,现阶段,电子商务运行中常采用SST与SSL安全协议数据加密处理技术,其先进性还有待进一步提高。
5 分析计算机网络信息安全数据加密技术的发展趋势
随着社会经济的快速发展,无论在生活、工作、学习、政治及军事等诸多领域,计算机网络将得到广泛应用,网络信息安全也成为计算机领域研究的重要课题。信息具有的安全性是社会安全目标之一,如果没有制定合理的应对措施,其负面影响将不可估量。对于网络信息安全而言,随着现代化科技水平日益提高,其防御与保护性必将是全方位的,保护力度与强度也将不断凸显。增强人们积极防御与综合防范的理念,推动网络信息安全技术发展,同时要同步实施其他安全保障措施。在网络信息安全技术未来发展中,要结合实际情况,积极应对可能出现的各类安全问题,逐步完善网络管理体制,以此为网络信息奠定安全基础。
6 结束语
综上所述,随着计算机网络技术的快速发展,信息安全问题对计算机使用者造成了很大困扰。而现有数据加密技术对网络信息的保护也只是的暂时的。因此随着计算机网络技术的快速发展,相应数据加密处理技术也要同步发展,防患于未然,以此降低网络信息外泄与被盗等安全隐患的发生,从而为计算机网络信息奠定良好的发展基础。
参考文献
[1]邵康宁.计算机网络信息安全中数据加密技术的研究[J].信息安全与技术,2016(02):29-32.
[2]解海燕,马禄,张馨予.研究计算机网络安全数据加密技术的实践应用[J].通讯世界,2016(07):5.
[3]云晓春.计算机网络安全中数据加密技术的运用研究[J].黑龙江科技信息,2016(14):179.
[4]孙慧博,薛佳,王策.计算机网络通信安全中数据加密技术的研究[J].通讯世界,2016(08):98.
[5]马越.计算机网络信息安全中的数据加密技术探讨[J].信息化建设,2016(06):113.
[6]杨敏.数据加密技术在计算机网络安全中的有效应用[J].科技传播,2016(13):107-108.
信息数据加密 篇8
1 单一文档加密技术应用的不足
国家干燥技术及装备工程技术研究中心是由国家科技部批准专门从事干燥技术及装备工程化研发的国家级专业科研中心。该中心主要从事干燥、焙烧、粉尘回收、尾气处理、重力掺混及气力输送、塔器、压力容器、成套装置的工程设计及制造。工程中心国产化大型干燥技术和装备成功取代进口设备, 提升了我国干燥行业技术进步。中心很早就采用了文档加密系统用于保护自身的数据安全。该系统主要使用应用层加密技术将重要的CAD、DOC、XLS、PPT、TXT等技术文档进行加密处理, 保证了相关数据资源不被泄露。随着时间的推移和技术的进步, 这一系统也暴露出了诸多问题和不足。
(1) 该系统严重依赖于应用程序, 保密策略必须区别不同的文档类型、版本进行逐一单独加密, 当遇到应用程序不断增多或升级变化时, 保密策略的二次开发性变得愈加复杂和不可控。
(2) 当用户使用多种应用程序交互工作 (如在CAD和WORD文档间进行复制、粘贴操作) 时, 加密系统对不同文档类型的强制保护阻止应用程序间的联系, 从而进一步妨碍了多个用户 (组) 进行协同工作的需求, 而这种需求在近些年来变得日益频繁。
(3) 由于操作失误、计算机错误 (如意外断电) 而造成的加密文档错误迫使管理人员投入大量的时间去处理加密系统的不稳定和故障频发。
(4) 由于文档加密本身针对单一文档进行加密和解密, 随着技术文件数量呈指数性增长, 以上问题和整个系统的维护工作量日渐庞杂。
为解决以上问题, 工程中心于2014年采用了Chinasec (安元) 可信网络安全平台, 全面升级和改造了原有的单一文档加密系统, 有利的保障了关键信息数据和内网安全, 取得了良好的应用效果。
2 网络安全平台的技术特点
2.1 系统的体系结构
Chinasec (安元) 可信网络安全平台, 是基于内网安全和可信计算理论研发的内网安全管理产品, 以密码技术为支撑, 以身份认证为基础, 以数据安全为核心, 以监控审计为辅助, 可灵活全面的定制并实施各种安全策略, 实现对内网中用户、计算机和信息的安全管理, 达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。整个平台体系包括网络认证系统 (TIS) 、网络保密系统 (VCN) 、数据管理系统 (DMS) 、应用保护系统 (APS) 和移动存储设备管理系统 (RSM) 六大子系统。这些子系统均采用模块化设计, 根据安全机制的需求既可以单独使用, 又可以灵活组合。
国家干燥工程中心采用的该保密系统主要由两个子系统, 分别是可信网络认证系统 (TIS) 、可信网络保密系统 (VCN) 。
在该系统中, 子系统拥有共同的工作平台和基础, 其基本结构分为服务器 (Server) 、客户端代理 (Agent) 和控制台 (Management Console) 三部分, 全部为软件系统。其它各个子系统都运行在这个共同的平台上, 使用共同的服务器、共同的控制台和共同的核心客户端代理。它们的通信体系和通道也是共同的, 从而保证了占用最少的系统资源和网络资源。
Server是可信网络安全平台的核心组成部分, 是所有策略的存储中心, 也是系统运行和维护的中心。在Server上, 存储着用户信息、计算机信息、组织体系、策略信息及日志信息。服务器软件需要一个授权的硬件USB令牌, 才能够正常运行。Agent运行在可信网络安全平台需要控制的计算机终端上, 该代理采用安全的方式接收服务器的统一管理, 接收服务器下发的策略, 并通知相应的功能模块执行, 其功能模块都通过平台的核心代理引擎与服务器进行通信。Console是可信网络安全平台的用户界面, 用于实现对服务器端的远程管理, 它是整个平台的控制中心, 平台中的各个系统都可以集中体现在该控制台中。
网络认证子系统 (TIS) 是一套基于PKI技术和公开密钥技术实现的网络资源认证的软件机制, 是整个系统中的安全管理机构, 其主体架构与可信网络安全平台相似, 其安全性也得到了该平台的有力支撑。它主要采用口令 (或USB令牌) 的方式, 对被控计算机终端的登录和使用权限进行“双因素认证”管理;可以对服务器进行访问控制和保护, 只有经过授权的客户端和用户才能够访问受保护的服务器。
网络保密子系统 (VCN) 是基于密码技术、网络驱动技术和系统文件核心驱动技术, 针对内部网络和主机信息保密开发的软件机制, 也是整个系统中最重要的应用和执行机构。同样基于可信网络安全平台进行开发, 其主体架构依赖安全平台, 主要用于构造内网保密网络, 隔离内外网间的数据传输, 对网络传输和存储设备两个主要数据交换途径进行有效控制和管理。能够提供网络传输加密和控制、本地磁盘加密、外设控制和U盘管理等功能, 并可以对需要外发的文件提供文件审批和本地终端的文件加密功能, 从而防止机密信息从网络途径或者存储设备的途径泄漏出去, 这里的存储设备, 包括移动硬盘、固定硬盘、U盘和软盘等。
2.2 存储加密技术特点
加密技术在该系统中占有重要的组成部分。其加密体系分为网络加密体系和存储加密体系, 其中, 网络加密体系通过对IP层数据包的改造和特殊保密格式的封装, 实现了网络途径的保密, 客户端代理 (Agent) 对所有IP包采用特殊格式进行封装, 然后才发送到网络中进行传输。而对于存储加密体系考虑更加周全, 采用了目前主流的驱动级加密技术, 很大程度上提高了系统的运行效率。驱动级技术与单一文档加密技术的区别在于前者采用透明加解密技术, 用户感觉不到系统的存在, 不改变用户的操作习惯;而数据一旦脱离安全环境, 则无法使用, 有效的提高了数据的安全性。
2.3 加密算法技术特点
对于加密技术来说, 加密算法是整个技术体系赖以运作的关键核心。Chinasec可信网络平台在数据存储控制中支持DES、3DES、AES和SMS4多种算法。
DES算法是分组密码的典型代表, 也是第一个被公布出来的加密标准算法。在1976年11月被美国国家标准和技术研究所 (NIST) 采纳为美国联邦标准, 并被批准用于非军事场合的各个政府机构。DES同时采用了代换和置换两种技巧, 用56位密钥加密64位明文, 最后输出64位密文, 整个过程由两大部分组成, 一个是加密过程, 另一个是子密钥产生过程, 见图1所示。DES加密过程共迭代16轮, 每轮用一个不同的48位子密钥。这些子密钥由算法的56位密钥产生。DES算法的输入密钥长度是64位, 但只用了其中的56位, 其余位数主要用于奇偶校验。由于DES将Lucifer算法作为基础, 而Lucifer算法的密钥长度为128位, 但DES将密钥长度改为56位, 因此密钥共有256=7.2×1016个可能值, 这不能抵抗穷尽密钥搜索攻击和破解。
由于DES算法本身的缺陷和安全问题, NIST在1999年发布了新版本的DES标准 (FIPS PUB46-3) , 即通常所说的三重DES (3DES) 标准。3DES的密钥长度是128位, 足以抵抗穷举攻击和破解。其次, 3DES的底层加密算法与DES的加密算法相同, 该加密算法比任何其他加密算法受到分析的时间要长得多, 但迄今为止却没有发现有比穷举攻击更有效的密码分析方法。当然, 由于3DES迭代的轮数是DES的3倍, 因此运行速度要慢很多。
为了弥补DES在安全性上的不足和3DES的运行效率问题, NIST在2000年公布了新的高级加密标准 (Advanced Encryption Standards, AES) 。AES标准支持新的准则: (1) 安全性:由于AES最短的密钥长度是128位, 在现有技术条件下, 穷举攻击和破解是无法实现的; (2) 代价:由于AES具有很高的计算效率, 因此可以广泛应用于各种实际应用中; (3) 算法和执行特征:算法的灵活性、简洁性以及硬件与软件平台的适应性方面远比DES和3DES更高。
SMS4算法是中国国家商用密码管理办公室于2006年公布的用于无线局域网的分组对称密码算法, 是国内官方公布的第一个商用密码算法, 具有较好的抗破解能力。它的分组长度和密钥长度为128 Bit, 具有较好的平衡性和非线性。
3 应用中的安全特性和优点
3.1 系统的安全特性
整个系统总的来说就是提供了一种有效的资源控制手段, 根据管理需要和规则对内部网络信息系统的各种资源进行有效的控制。具体来说, 计算机系统本身就是一种资源, 计算机里面的各种外设、硬盘空间、应用程序、网络端口、网络连接和文件等, 而服务器系统本身也是资源。系统对所有这些有价值的资源都进行控制, 采用了授权使用、违规记录及审计等多种手段结合, 确保了所有资源的可控性, 从而提高了内网信息系统的安全性和可管理性。
授权使用是指所有资源必须是经过管理员授权的用户在指定的状态下才能使用。例如, 要使用某台计算机, 必须是经过管理员授权的用户才能进入该计算机操作系统;又如要使用一台计算机上的USB端口, 那么也只有经过管理员授权。
违规记录则是将用户违反管理规则, 试图使用没经过授权的资源。比如一个用户在一台计算机上没有被授权使用光驱, 该计算机上的光驱在该用户登录系统后会被禁用, 如果用户试图从设备管理器强行启用该设备 (当然其行为会失败) , 保密系统将记录该用户的违规行为。
审计则是对用户行为和信息系统的一些重要信息进行记录。记录的信息包括了详细描述、用户、计算机及时间等要素, 可以作为以后查证使用。
整个系统资源控制, 都以策略的方式实现, 包括了用户、计算机、资源授权内容和状态几个要素。尤其是可信网络保密子系统 (VCN) 由于同时使用了存储加密和网络加密传输, 部署VCN的所有计算机, 启用网络策略后, 其传输的数据都经过加密, 且每两台计算机使用的通信密钥都不一样, 从而有效防止了网内使用恶意侦听软件的行为。网络加密的密钥由VCN服务器统一管理。VCN强制加密所有本地磁盘保存的文件, 只能在VCN系统启动的情况下才能正常使用本地磁盘, 有效防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。有效防止了非法外连和非法接入, VCN内的计算机不能与VCN外的计算机进行网络通信, 阻止了各种形式的非法接入。
3.2 实际应用中的优点
3.2.1 开机认证保护
即用户和安全平台之间的认证是优先于操作系统启动之前发生。在BIOS启动后通过密码进行认证, 合法授权才能启动您的电脑正常使用本地磁盘数据, 等于是在底层控制, 确保硬盘数据的安全性是万无一失。
3.2.2 加密方式灵活
存储磁盘加密的实际运用手段分为快速加密和深度加密。快速加密方式仅加密磁盘分区表, 特点是部署时间短;深度加密方式加密全盘数据, 特点是安全性高。企业可根据自身的实际情况来采取更合理的加密方式。
3.2.3 后台无感知自动加解密
所有加密过程均在后台全自动完成, 对硬盘的每一个扇区加密, 全面而彻底;而对用户完全透明, 整个过程用户毫无感知。用户查看文件时将不会看到文件带有任何与“加密”有关的属性;但如果换个角度, 将装有系统的硬盘拆掉, 连接到其他计算机上, 在试图访问应用了硬盘加密的系统所在的分区时, 则只能看到未经格式化的硬盘分区信息。
3.2.4 支持断点加解密
客户端在加密或解密过程中, 发生系统关机、断电等异常操作后, 重启计算机, 客户端仍继续执行相应的加解密动作。
3.2.5 集中部署, 统一安全的策略
系统集中下发安全策略, 客户端统一受控于管理端。策略在运行时, 使用者没有修改安全策略的控制权限, 在客户端强制性设置安全策略变得更容易, 后期维护更简单方便。
3.2.6 数据恢复措施完善
服务器会实时记录当前客户端状态, 当发生客户端断电、使用者忘记密码、遗失或者离开本单位后, 客户端都能安全的恢复到当前状态;还可建立网上恢复工具的帮助桌面, 通过帮助桌面远程重新设定使用者密码。
4 结束语
大数据时代, 无论是政府还是企业都离不开数据的采集、存储和使用, 数据资产是企业发展的生命线, 捍卫数据安全成为企业的重要任务。网络安全平台的投入使用, 通过存储强制加密、保护控制策略、记录审计等多种手段相结合, 可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果, 有效防止机密敏感信息的泄漏。它的投入使用, 全面提升了国家干燥技术及装备工程技术研究中心的数据安全性和综合信息管理的水平, 保护了企业的智力资产。这一系统的成功应用, 为其他企业的信息数据安全管理也有很好的借鉴。
摘要:随着信息技术的日益发展, 企业信息安全越来越重要, 数据加密技术是企业信息安全管理的重要环节。本论述通过对国家干燥技术及装备工程技术研究中心采用的网络安全平台的介绍, 分析了该系统采用非对称加密技术的优点, 证明其在企业信息安全管理中的实际意义。
关键词:数据加密,企业信息安全,网络安全平台
参考文献
[1]卓先德, 赵菲, 曾德明.非对称加密技术研究[J].四川理工学院学报, 2010 (10) .
[2]张玉洁.文件系统安全存储算法研究与系统设计[J].华北科技学院学报, 2011 (4) .
信息数据加密 篇9
伴随信息技术及相关产品的多元化发展,为企业经营建设奠定了良好的技术基础,并进一步优化了相应环境条件。各类企业则日渐提升了信息化工作意识,并引入信息化管理手段扩充经营建设,实现了良好的实践管理效果。然而,企业信息化工作中仍然存在数据库实践管理的相关安全问题。例如存储误差、非法获取信息、杜绝提供正常服务等均对数据库形成了安全威胁影响,究其原因,主要来自于人为的不良攻击、管理不佳以及设备故障等因素。人为攻击是产生数据库安全影响威胁的最显著因素,目前黑客攻击、信息盗取已经逐步实现了产业链发展,基于我国一些网站没有提升信息安全管理意识,没有做好用户明文信息的科学加密,加之保障措施有限,最终造成了不良损失。伴随信息化技术的科学发展,操作系统种类也日益丰富,然而其通常包含相应的安全漏洞,因此需要企业应用实践阶段中做好数据加密,方能确保自身数据库系统的安全运行。然而当前,较多企业应用加密方式较为落后,其安全防护性能则十分有限。另外企业管理决策还存在一定的失误性,造成其数据信息的网络传输较易被非法截取,系统之中的合法用户则有可能被非法入侵人员盗用或仿冒。在不断的攻击影响下,企业网络数据库面临着严重的安全威胁,且其信息体系处理程序则由于病毒的影响以及黑客的入侵而被非法修改。
2、数据库加密技术
加密体系是确保网络安全的核心手段,其组成至少应涵盖没有实施加密以及完成加密的报文,进行加密以及解密的相应算法或是系统设备,做加密与解密处置的相关密钥等。为确保信息数据传输阶段中不被不法分子篡改以及窃听,应对数据做好加密处理。这样即便黑客窃取密文,则在欠缺密钥的状况下也无法将其还原为明文,这样便保证了信息数据的整体安全性。常见加密方式包括常规密钥以及公开密钥数据加密。前者加密体制其解密以及加密密钥一致,而公开密钥则体现了解密以及加密应用不同密钥的特征。
3、企业信息化管理中数据库加密技术应用
3.1 做好身份认证、授权,完善数据加密处理
企业应用一般数据库,可利用访问控制、授权、身份认证、安全备份、跟踪监督、审计管理以及反病毒措施创建安全系统,确保企业各项信息数据的可靠安全。基于电子商务体系中网络数据库存储重要商业信息,而一些用户可通过非法手段取得用户登录信息,或应用越权方式操作数据库,还可将其中文件直接打开进行信息的窃取以及篡改,因此,仅仅依靠以上安全措施无法确保数据整体安全性。为此应对存储数据库体系之中的重要信息数据做好加密处理。基于较多企业运行管理中的信息数据为敏感数据,为此,输入信息阶段中应创设安全有效的保障方案。可建设公开密钥安全密码体系、引入DES加密算法做好加密处理。该算法包含五十六比特长度密钥,可对六十四比特分组实施加密,令其变换为六十四比特输出。公开密钥安全密码体系通过每用户进行一对密钥的存储,令公钥与私钥无法互相推导。该算法体现了较高的加密效率。
3.2 应用总量数据管控技术,创建透明加密系统
企业信息处理阶段中,可应用总量数据管控技术确保数据整体完整、科学与准确性。在录入信息数据,实现处理以及输出阶段中,一些位置可借助各异手段、策略做好信息字段内可计算信息数据的全面统计,各类不同统计路径完成的数据统计总量应全面一致。倘若存在不同现象,则表明该阶段包含差异问题,应进行全面核查比对。统计实施过程可进行手工操作,也可借助计算机系统进行计算。例如,对于企业订货采购物资总量的统计,我们可利用总量管控技术确保数据信息的准确、可靠。为提升企业数据信息整体安全性,应科学创建透明加密系统,其体系结构包括三个级别。首要级别为windows,其利用用户密码对数据对象实施加密,其通过用户凭据完成第二级别的加密。而第二级别通过服务主密钥进行第三级别的加密。即上层服务于下层,层级加密。第三级别则可对数据库之中他类对象进行加密。一旦企业数据库系统中包含主密钥,便可通过其进行证书以及非对称密钥的安全保护,并应用对称密钥做好他类对称密钥以及数据的保护,还可直接应用证书以及非对称密钥完成数据信息保护。
3.3 做好加密失误检验,创建安全管控平台
伴随数据加密技术的科学发展,企业在应用部署层面积累了丰富的经验,然而仍旧包含一定的失误问题。例如,储存数据库密钥于同一服务器系统中或应用落后加密算法技术等。虽然企业整体数据库体系表面看似安全坚固,然而不注重加密管理,便会令保护机制失效。为此,我们应做好企业信息化管理中应用数据库的疏漏修补,将默认登陆全面更新,并将系统之中较多的执行特权予以消除,还应做好自动检验,进而明确系统隐患,促进安全风险的有效降低。为便于安全管理维护,应创建统一可靠的安全运维平台,将企业各项业务以及信息资产全面覆盖,创建优质监控平台,并为企业业务体系的科学运行管理提供信息化、科学化预警支持策略手段。同时,企业应创建网络集中服务运行管理监控系统以及指标体系,有效实现安全技术、管理人员以及实践操作的良好集中以及层级管控。还可借助运行研究以及安全分析,做好及时管理调节与运行控制,完善安全策略,全面掌握企业网络以及数据库体系运行状况,并快速发觉危害病毒、非法入侵、异常故障等问题以及系统安全隐患,通过明确定位及时予以解决。
3.4 制定企业安全事故有效应急恢复管理措施
企业数据库一旦引发安全事故,我们应通过制定一整套行之有效的应急恢复管理措施,降低损失影响,确保数据库系统的快速恢复、健康运行,提升企业工作效率,避免数据信息的不良窃取与篡改。可通过深入分析明确企业信息体系之中最为主要且需要全面保护的各项信息业务数据,并探究易损成因。而后应明确列出企业数据库信息系统服务运行阶段中各项所需的基础硬件工具、软件以及管理人员资料清单、具体联系方式。同时,应针对各类可能发生的灾难事故创设层级管理策略,列出具体实施步骤,一旦发生事故则可为各项恢复管控处理提供科学参考依据,进而提升恢复处理管理效能,降低事故隐患影响,确保企业数据库体系的稳定、可靠运行,为企业信息化管理发挥核心应用价值。
4、结语
总之,信息产业的快速发展,令各类企业越发意识到信息化管理中各项数据信息的安全保护尤为重要。为此应科学应用数据库加密技术,制定优质实践策略,扩充信息体系安全建设,完善应急管理,方能提升企业核心竞争力,强化工作效率,令企业站稳脚跟,获取长效进步,在价值化信息数据的有效辅助下,实现可持续的全面发展。
参考文献
[1]代晓红, 信息数据的安全与加密技术[J].重庆工商大学学报, 2009, 12 (10) :106-108.
[2]芥增军.基于数据加密技术的会计电子数据安全对策[J].财会通讯.2008, 2 (8) :92.
[3]许轶旻, 孙建军.江苏省企业信息化与工业化融合影响因素及实证研究[J].情报杂志, 2012 (5) .
信息数据加密 篇10
关键词:Visual FoxPro;库外加密;数据库
中图分类号:TP309.7
在数据库运用的普遍化影响下,数据库的安全性受到了高度重视。当前大量的数据库主要是以明文存储,通过普通的身份验证和识别,难以有效保证数据库安全。因此,在进行身份验证和识别过后,要应用数据加密技术完成数据库的有效保护。同时数据库加密技术还可以把数据库中相关数据当作密文存储。另外,运用数据库加密技术可以有效保证数据库的可靠性与安全性。
1 数据库加密技术的概述
现阶段,数据库加密技术已渐渐趋于成熟。通常情况下,数据库加密技术必须要具备多种功能。身份认证功能,用户不仅要提供用户名与口令,还应该严格依据系统安全需求提供其他有关的安全凭证,比如说应用终端密钥。数据库通信加密以及完整性保护功能,所访问的数据库一定要在网络的传输过程中进行加密,并且在每一次的通信时必须进行一次加密,这样可以防止篡改。数据存储加密功能,一般数据库系统会选择数据项级的存储加密方式,也就是数据中具备不同的记录,所有的记录全是利用不同字段和不同密钥进行加密,然后再利用校验对策确保数据库的安全性与保密性以及完整性,避免数据出现非授权访问以及修改等。加密设置功能,数据库系统应该选取需求进行加密的数据库列,从而有利于相关用户选取部分敏感信息完成加密,并非所有的数据全完成加密。仅仅针对用户敏感数据进行加密能够在一定程度上提升数据库自身的访问速度。安全备份功能,系统可以提供数据库的明文备份功能以及密钥备份功能。
2 传统数据加密技术存在的问题
2.1 固定密码
固定密码作为系统中唯一的密码,其是不可以改变,一般是利用IF语言或是ACCEPT语言完成有关功能的授权。此密码会在程序设计时所固定,并且在后期的应用时无法完成相应的修改,若想改变就一定要对源程序进行重新编写,或者是应用部分子程序实现密码的有效修改,总而言之灵活性以及安全性并不是很好。
2.2 固定密码的简单加密
其主要是对原本的固定密码完成一次加密,此种加密方法与固定密码方式相比较而言安全性比较高,可是密码自身的值并不会发生改变,而且加密也比较简单。此种加密技术主要有转换方法与钥匙方法。其中转换方法就是对固定密码自身完成一次运算,从而使密码值出现固定变化,一般要利用下述语言实现:
PASSWORD=CHR(65)+CHR(65)+CHR(67)+“0”
此语言利用的CHR()函数一般是经过进行返回并以数值表达式作为编码的字符,其中符号“+”主要用于字符的串联接,而文中的语句完成转换之后,PASSWORD值就是ABC0,此种简单加密方法可以实现密码保护,有效提升数据库的安全性。另外,密钥方法主要是把密码存储于一个特定装置中,若是需要应用密码,可以将此“密钥装置”连接至系统中,从而使系统完成密码的读取和审核等。
2.3 可变密码
其主要指密码本身可以实现规律性变化,利用许多方式来完成加密,例如时间方法和位移方法等。比如说转换方法,其一般是针对原来的密码完成一次计算,把其转换之后变成加密过后的密码,而在密码的应用过程中,必须对加密过后的密码完成一次倒序计算,从而获取密码本身。而时间方法就是利用DATE()函数和CDOW()函数完成加密的算法,此种加密密码值主要是由所有时间和字符组成,其能够在每天变化许多密码,利用下述语言实现:
VALUE1=DATE()
PASSWORD=SUBSTR(CDOW(VALUE1),1,3)+“VFPSYSTEM”
在此语言中,DATE()函数可以获取目前的日期,再利用CDOW()函数依据目前的日期计算出今天的日期,然后运用SUBSTR()函数获取字符串的相应部分,最终应用“+”连接对应的字符串“VFPSYSTEM”构成今天的密码。相关操作人员一定要依据日期存在的差异完成密码输入,同时一周当中的密码是不会出现重复的,从而有效提升数据库的安全性。总而言之,上述的加密技术都比较简单,而且安全性和防护功能水平偏低,因此必须采用高技术手段完成数据库加密。
3 VF数据环境下的数据加密技术
在VF环境下进行数据库系统的研究和开发,通常状况下要求所输入的用户名以及密码一定要准确,再依据各个用户权限建立用户读取和修改以及删除数据的相关权限。因为存储数据DBF文件主要利用ASCII实现明文存储,若是非法用户并未通过应用程序完成读取,而是通过WINHEX、U1treaEdit等软件。对此,为了可以使DBF文件具备安全性,一定要对数据载体DBF文件完成加密保护。
3.1 库外加密技术
文件型的数据库系统主要是以文件系统作为基础,采用库外的加密方法,而且主要针对文件IO操作或是操作系统方面而言,由于数据库中管理系统以及操作系统主要有直接运用文件系统的功能和运用操作系统中I/O模块以及直接运用存储管理三种接口模式。因此,利用数据库外的加密方法过程中,一定要把数据进行内存,然后运用DES和RSA等方式完成加密,这样文件系统可以将每一次加密之后的内存数据录入至数据库的文件当中,从而在读入的过程中实现逆方面的解密就能够顺利应用。此种加密模式相对简单,仅仅需求妥善管理好密钥即可。但是存在一定的缺点,比如说数据库的读写相对较为麻烦,而且每一次都要完成加密和解密工作,在一定程度上影响程序的编写与读写数据库速度。
3.2 库内加密技术
若是在关系型数据有关方面而言,库内加密技术比较容易实现。而关系型数据库中主要术语包含了表和字段以及数据元素等。首先以表作为单位,从文件型数据库角度而言,单个文件仅仅具备一张表,所以对表进行加密应该就是完成文件的加密。经过变化文件分配表当中的说明等方法能够完成文件比较简单的加密,可是此种加密方法关系到文件系统的底层,比较容易出现FAI错序,同时会影响文件系统的格式,因此通常不会利用此种加密方法。其次,以记录或是字段作为单位进行加密,一般情况下,在访问数据库过程中主要是通过二维模式实现的,其中二维表中所有行全是数据库中的一條记录,并且二维表中所有列全是数据库当中的一个字段。若是以记录作为单位完成加密,这样每进行一条记录的续写,就要完成加密和解密,而且针对不需要进行访问的记录,并不需要进行加密,因此运用效率相对较高。
4 结束语
基于VF环境下的数据库加密技术运用在一定程度上有效解决了数据可靠与安全问题,而且数据库加密技术方法多种多样,具备各自的特点。而在数据库加密技术不断发展下,其运用安全性变得更为重要。
参考文献:
[1]李庆森.浅谈VisualFoxR数据库加密技术及其应用田[J].计算机光盘软件与应用,2012(20):109-111.
[2]毕文才.VisualFoxpro数据库的加密[J].电脑开发与应用,2010(08):77-79.
[3]李萍.数据库加密技术研究[J].忻州师范学院学报,2012(05):43-45.
[4](美)Jeffrey A. Hoffer, Mary B.Prescott,Fred R.McFadden.现代数据库管理,2013.
[5]徐坷.基于VF环境的数据库加密技术[J].广西轻工业,2010(04):67-68.
信息数据加密 篇11
随着因特网的应用和计算机技术的飞速发展,数据库逐渐成为信息系统的核心部分并广泛应用于企业、金融机构、政府及国防等各个领域,使得数据库的安全显得越来越重要。保证数据库中大量数据的安全及第三方数据的访问不被篡改,已经成为当前计算机领域面临的一大挑战[1]。从20 世纪80 年代开始,人们对数据库存储加密技术进行了不断深入的研究,但其加密粒度基本上都是基于相应数据模型中的逻辑结构。而基于关系模型的存储加密模式也有其重大的缺陷:一是数据模型中逻辑结构实际存储的数据长度不固定,有时差别很大,从密匙安全角度考虑,分配的密匙数量和加密次数需要根据数据量而变化,造成密匙管理上的困难;二是由于分组加密具有较好的扩散性,因此数据库系统的存储加密一般采用分组加密方式,而数据量的不固定造成加密后的密文与加密前的明文长度上不成比例,因此造成存储管理上的困难;三是对数据库系统的体系结构考虑不够,完全是在逻辑操作和数据存取之间增加了一层存储加解密操作,造成对数据库性能影响较大[2]。
南京市卫生信息中心获得了国家密码管理局《国产商用密码技术在电子病历中的应用示范》的研究课题。在南京市机要局的牵头下,我中心与迈科龙公司经过近1 年的严谨细致的工作,部署M2-S5100 数据库安全网关数据库加密设备,从业务应用、数据安全和医疗信息系统等级保护等角度,对安全加密设备的性能和安全性进行了全面、深入的测试[3]。
1 M2-S5100数据库安全网关的功能
M2-S5100 数据库系统安全网关,是国内首款基于数据库透明加密技术和数据库防火墙技术推出的一款数据库主动安全防御产品。它可实现数据透明加密存储,实时监控整个数据环境里的活动,主动识别并阻止攻击、防止信息泄密、恶意活动和欺诈,并自动对数据库进行审计,对数据及数据库安全提供立体化的数据保护[4]。 该安全网关可以防止绕过企业边界(Fire Wall、IDSIPS等)防护的外部数据攻击,可以防止来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取,以及由于磁盘、磁带失窃等引起的数据泄露。
2 M2-S5100数据库安全网关性能测试
本测试在南京市卫生局进行,测试M2-S5100 数据库系统安全网关的加解密性能。测试计划主要通过对南京市妇幼保健信息系统数据库进行透明加解密性能测试。从测试的立项开始直至测试结束,对数据库中涉及的管理内容进行模拟测试[5]。
2.1 测试对象
本次测试将采用《南京妇幼保健信息系统》和实际数据进行性能测试,以验证对重要数据加密后的性能来评估加密对应用系统性能的影响;同时为测试加密设备的极限性能,排除应用服务器和应用系统本身对测试数据的影响。本次测试将采用业务系统中登记建卡模块中的维护查询模块中SQL语句返回的大量数据来测试设备的解密性能。主要测试内容:1 南京市妇幼保健信息应用系统场景测试;2 精确查询性能测试;3 批量数据查询性能测试;4 婚孕前保健模块批量数据查询性能测试;5 2500万批量数据查询性能测试;6 5000 万批量数据查询性能测试;7 报表统计加密前后性能测试;8 数据更新和插入测试[6]。
2.2 测试环境配置
本次测试环境配置,见表1。
2.3 测试准备
测试人员:用户方2 人,设备厂家2 人;测试第三方:东软公司。
测试针对专业的医疗卫生信息系统(南京妇幼保健信息系统)的真实数据进行,在对数据库存储的个人敏感隐私信息(包括涉及患者隐私信息的姓名、身份证号、联系电话、住址、病史等敏感数据)加密的前提下,测试数据库安全网关加密设备是否满足存储加密的功能性要求,是否满足医疗卫生专业系统对系统响应性能的要求。性能测试采用工业标准的Load Runer测试工具,通过组合不同加密字段、不同循环次数和业务系统不同模块,对加密设备性能进行全方位、多维度的测试[7]。
3 测试结果
(1)采用《南京妇幼保健信息系统》孕产期保健模块—登记建卡—维护模块,测试方式为并发50 个用户,根据保健编号,查询用户一条记录信息,总共产生200 个事务数,加密前事务平均响应时间为0.187 s,加密后5 个字段事务平均响应时间为0.203 s,加密后10 个字段事务平均响应时间为0.205 s,加密后20 个字段事务平均响应时间为0.207 s,加密后50 个字段事务平均响应时间为0.251 s,性能平均下降不超过9.563%,整体延时控制在毫秒级内,对用户体验的影响基本上可以忽略。具体测试汇总表和Load Runner自动化测试工具产生的原始数据,见表2 及图1。
(2)采用《南京妇幼保健信息系统》孕产期保健模块—登记建卡—维护模块,测试方式为并发10 个用户,每个查询返回1000 条记录,总共产生100 个事务数,总共返回100 万条记录,加密前事务平均响应时间为2.502 s。加密后5 个字段事务平均响应时间为2.644 s,加密后10 个字段事务平均响应时间为2.684 s,加密后20 个字段事务平均响应时间为2.808 s,加密后50 个字段事务平均响应时间为2.84s,性能平均下降不超过12.95%,整体延时控制在毫秒级内,对用户体验的影响基本上可以忽略。具体测试汇总表和Load Runner自动化测试工具产生的原始数据,见表3 及图2。
(3)测试方式采用100 个用户,并发执行业务系统中登记建卡模块中的维护查询模块中的SQL语句,该查询语句单用户单次查询将返回5000 条记录,加密前事务平均响应时间为9.904 s,加密后5 个字段事务平均响应时间为10.535 s,加密后10 个字段事务平均响应时间为10.621 s,加密后20 个字段事务平均响应时间为10.955 s,加密后50个字段事务平均响应时间为11.108 s,性能平均下降不超过8.3%,整体延时控制在毫秒级内,对用户体验的影响基本上可以忽略。具体测试汇总表和Load Runner自动化测试工具产生的原始数据,见表4 及图3。
由测试数据分析可知,在设备本身处理性能内,性能并不会随着并发用户的增加和返回的数据量增多导致性能加剧下降,能够将延时控制在一个合理的范围。
4 测试结果分析
在性能测试中,当加密字段较少、数据库访问并发量较小的情况下,加密后的事务性能下降< 10%,对用户体验影响较小;在加密字段较多、数据库访问并发量增加的情况下,加密后事务性能下降较为明显,对系统性能和用户体验有较大影响。
5 测试结论
经测试,M2-S5100 产品在功能上能够满足数据库安全防护需求,加解密性能在测试环境中基本满足所需性能,用户体验与加密前基本一致,但绝对性能值有所下降。
6 医疗行业应用分析
电子病历系统具有访问并发量高、性能稳定性要求高、数据统计分析性能要求高等特点,对数据安全的考虑覆盖用户、医疗流程、药品等多个环节,通过少量加密字段难以实现医疗信息系统对数据安全的要求。大医院高峰期有上千名医生同时使用电子病历系统,数据安全需要包括用户隐私、医疗流程、医嘱处方、药品防统方等多个方面,因此M2-S5100 数据库安全网关在电子病历系统中应用需要对多个字段进行加密,需要面临加密字段的高并发量访问。现有的性能测试结果表明,在加密字段数较多、数据库访问并发量较高的情况下,M2-S5100 数据库安全网关会导致电子病历系统在性能上出现较大下降。而且随着区域医疗的推进,多家医疗机构进行数据联动和大数据分析,对系统性能的要求只会越来越高[8]。
根据测试情况,建议将数据库安全网关数据库加密设备应用在数据并发量较小,只需加密少数字段就可以保障数据安全性的专业医疗信息系统,不建议在医疗电子病历系统应用该产品。
摘要:本文详细介绍了M2-S5100数据安全网关数据库加密设备的部署和测试过程。利用该设备对妇幼保健信息系统的业务应用、数据安全和系统保护等方面的性能和安全性进行了全面测试,测试结果证实,在系统数据库访问并发量较小、加密字段较少的情况下,加密后的事务性能下降<10%,对用户体验影响也较小;在系统数据库访问并发量增加、加密字段较多的情况下,加密后事务性能下降较为明显,对系统性能和用户体验有较大影响。为此,建议将该数据库安全网关应用在数据并发量较小、只需加密少数字段就可以保障数据安全性的专业医疗信息系统,不建议在医疗电子病历系统应用该产品。
关键词:数据库安全网关,电子病历系统,妇幼保健信息系统,系统性能
参考文献
[1]王建.数据库加密系统的设计与实现[D].济南:山东大学,2014.
[2]宋衍,孔志印,马婧,等.通用高效的数据库存储加密研究[A].中国计算机学会计算机安全专业委员会第26次全国计算机安全学术交流会论文集[C].中国计算机学会计算机安全专业委员会,2011.
[3]刘丹丹,刘同波.数据库安全审计系统在医院的部署与应用[J].中国医疗设备,2013,28(5):42-44.
[4]孟艳红,王育欣,倪天予,等.数据加密系统的设计与实现[J].沈阳工业大学学报,2007,29(3):340-343.
[5]朱振立.数据库加密技术方法的比较研究[J].计算机光盘软件与应用,2014,(22):189-189,191.
[6]马锡坤,于京杰,杨霜英,等.电子病历系统的集成和建设[J].中国医疗设备,2012,27(1):59-60,38.
[7]李国赓,王亚红.医疗机构病历管理规定(2013年版)立法技术缺陷初探[J].中国医院管理,2014,34(12):67-68.