数据加密方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

数据加密方案

一、什么是数据加密

1、数据加密的定义

数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。

2、加密方式分类

数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为对称密钥和非对称密钥两种。

对称密钥:加密和解密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。当一个文本要加密传送时,该文本用密钥加密构成密文,密文在信道上传送,收到密文后用同一个密钥将密文解出来,形成普通文体供阅读。在对称密钥中,密钥的管理极为重要,一旦密钥丢失,密文将无密可保。这种

方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。

对称加密

对称密钥是最古老的,一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高,因而如今仍广泛被采用。

DES是一种数据分组的加密算法,它将数据分成长度为64位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到64位的杂乱无章的数据组;第二步将其分成均等两段;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。

非对称密钥:非对称密钥由于两个密钥(加密密钥和解密密钥)各不相同,因而可以将一个密钥公开,而将另一个密钥保密,同样可以起到加密的作用。

在这种编码过程中,一个密码用来加密消息,而另一个密码用来解密消息。在两个密钥中有一种关系,通常是数学关系。公钥和私钥都是一组十分长的、数字上相关的素数(是另一个大数字的因数)。有一个密钥不足以翻译出消息,因为用一个密钥加密的消息只能用另一个密钥才能解密。每个用户可以得到唯一的一对密钥,一个是公开的,另一个是保密的。公共密钥保存在公共区域,可在用户中传递,甚至可印在报纸上面。而私钥必须存放在安全保密的地方。任何人都可以有你的公钥,但是只有你一个人能有你的私钥。它的工作过程是:“你要我听你的吗?除非你用我的公钥加密该消息,我就可以听你的,因为我知道没有别人在偷听。只有我的私钥(其他人没有)才能解密该消息,所以我知道没有人能读到这个消息。我不必担心大家都有我的公钥,因为它不能用来解密该消息。”

非对称加密

公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者,即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。

数字签名一般采用非对称加密技术(如RSA),通过对整个明文

进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。当然,签名也可以采用多种方式,例如,将签名附在明文之后。数字签名普遍用于银行、电子贸易等。

数字签名不同于手写签字:数字签名随文本的变化而变化,手写签字反映某个人个性特征,是不变的;数字签名与文本信息是不可分割的,而手写签字是附加在文本之后的,与文本信息是分离的。

值得注意的是,能否切实有效地发挥加密机制的作用,关键的问题在于密钥的管理,包括密钥的生存、分发、安装、保管、使用以及作废全过程。

二、为什么要进行数据加密

1、对数据的重视程度

(1)无安全意识

大多数中小企业认为自己的数据无关紧要,加上对自己的员工信心满满,对厂商提出的数据防泄密措施置若罔闻,直到数据泄密给企业带来严重损失后才采取亡羊补牢的措施。

有一家公司,得知我们公司在做加密软件,一时心血来潮就让我们公司安排人装上了,但没过几天觉得麻烦,又把加密软件卸载了。可好景不长,没过一年,他信赖的一个得力骨干带着几个人出去单干了,带走了所有设计和管理文件,才让他深刻地认识企业数据安全的重要性。重新装上我的加密软件后,虽然还出现了员工离职单干的事,

但对他而言,企业的电子文档没有出现丢失,损失相对来说就小得多。

企业生产经营过程产生的任何数据,都是企业在日积月累中反复摸索出来的,无论是某个人的劳动成果,还是集体的劳动成果,都是企业的财富。一些貌似不紧要的数据和文件,其实在产生过程中都是付出了大量心血。因此,企业经营者一定要采取有效措施保护好这些数据财富。

(2)有意识,嫌麻烦

有些企业在选型加密软件时,经常会问到一些,比如员工回家加班怎么办?员工的电脑是个人的,不能影响他们自己使用之类的问题。这些需求都很容易理解的,在上一软件,特别是上加密软件时把各种情况考虑到,对上软件之后实施工作是有很大帮助的。问题是,有些企业过份担忧加密软件给现状带来的冲击,最后项目就不了了之了。

我们近年所做项目,有一部分是替换其它的加密软件的。企业之所以替换,有产品本身的原因,比如有些产品功能考虑不全,没有充分考虑企业使用要求的灵活性,导致应用过程员工出现抵触情绪。也有服务方面的原因,比如没有充分培训到位,软件有的功能企业不知道或者不会用。

企业数据防泄密措施与企业管理一样,也是要根据企业不同的发展阶段采用不同的手段的。如果只有几个创业者,完全可以靠自律保证数据的安全;而企业在快速发展过程中,数据的安全性和应用的灵活性必须同时兼顾。我们在软件实施过程中,会充分考虑软件实施

给工作带来的影响,在不同实施阶段采用不同的加密策略。实施后紧密跟踪应用情况,对深化应用提出实施建议。

(3)有措施,无管理

有些企业虽然上了加密软件,但仍然出现一些泄密事件,有人便开始怀疑加密软件是否有用了。加密软件不是地牢,为方便企业交流也会有审批及解密的功能,这些关口都是由人去掌握的,如果没有相应的管理措施,出现数据泄密甚至形同虚设也不足为怪。这就跟一个企业有大门,有保安,但大门总是开着,保安对进出人员不闻不问一个道理。

加密软件的实施失败无外乎软件本身缺陷及管理不当两方面原因。软件缺陷另当别论,但管理不当引起的失败尤其应引起企业的重视。笔者认为,管理方面主要有以下两个原因:

1.主管领导不重视。软件买来了,装上了,就不过问了,只有管理员在维护。有些中高领导还要求管理员开后门,甚至以各种借口卸载软件。慢慢地,数据的重要性就变得不重要了,加密软件也就可有可无了。

2.系统管理员经常换。加密软件的管理员掌握着企业数据仓库的钥匙,如果对其没有有效的监督,企业数据安全便没有保障。保持系统管理员的相对稳定,对其权限进行约束尤为重要。

(4)高度重视

一家成熟的企业总是把数据安全放在十分重要的地位。对他们而言,为数据安全增加管理成本是必须的。我们有家这样的客户,从员

相关文档
最新文档