數(shù)據(jù)加密技術(shù)在信息系統(tǒng)中的應(yīng)用

93142部隊(duì) 袁玉飛 韓 涵 郭 帥

近年來，國(guó)內(nèi)外在信息保密安全防護(hù)方面的研究，主要是在兩個(gè)方面，一是以密碼學(xué)為基礎(chǔ)的各類加密方式，二是以計(jì)算機(jī)信息網(wǎng)絡(luò)為對(duì)象的信息通信安全研究，在保障通信信息安全方面所采用的技術(shù)仍主要是數(shù)據(jù)加密技術(shù)，數(shù)據(jù)加密技術(shù)已廣泛滲透到各行各業(yè)信息安全保障技術(shù)之中，并作為它們的重要基礎(chǔ)。為此，針對(duì)當(dāng)前復(fù)雜多變的網(wǎng)絡(luò)信息通信環(huán)境，探討數(shù)據(jù)加密技術(shù)在信息系統(tǒng)的建設(shè)、使用、管理等方面應(yīng)用，將成為我們研究的重點(diǎn)。

1 數(shù)據(jù)加密技術(shù)對(duì)信息系統(tǒng)安全保障的重要意義

隨著我國(guó)信息化建設(shè)的不斷發(fā)展，各類型信息系統(tǒng)部署到各行各業(yè)，信息化建設(shè)高速發(fā)展的同時(shí)也帶來了不可忽視的安全隱患，信息化條件下，敵對(duì)勢(shì)力為獲取信息優(yōu)勢(shì)，采用各種手段，如常規(guī)的病毒、黑客軟件，IP攻擊等，還有最新發(fā)展起來的無線注入等技術(shù)，對(duì)我信息系統(tǒng)關(guān)鍵節(jié)點(diǎn)和要害部位進(jìn)行竊密和破壞等活動(dòng)，嚴(yán)重威脅了信息系統(tǒng)的安全運(yùn)行。為能有效保證信息系統(tǒng)安全，使其系統(tǒng)效能獲得充分發(fā)揮，我們常采取防火墻、入侵檢測(cè)、漏洞掃描、防病毒、電磁屏蔽等多種防護(hù)手段，這些防護(hù)手段以成為核心要害部門建設(shè)的基礎(chǔ)框架，但隨著信息技術(shù)的發(fā)展，傳統(tǒng)的防護(hù)手段已經(jīng)遠(yuǎn)不能滿足系統(tǒng)的安全需求，新型的安全防護(hù)手段逐步成了信息安全防護(hù)的主力軍，數(shù)據(jù)加密技術(shù)便是其中重要安全防護(hù)手段之一。

2 數(shù)據(jù)加密技術(shù)概述

數(shù)據(jù)加密技術(shù)，其核心基礎(chǔ)是密碼學(xué)，主要通過加密算法和密鑰將明文數(shù)據(jù)信息轉(zhuǎn)變?yōu)槊芪臄?shù)據(jù)信息的過程，而解密通過解密算法和密鑰將加密數(shù)據(jù)信息恢復(fù)為明文數(shù)據(jù)信息的過程。數(shù)據(jù)加密技術(shù)仍就是當(dāng)前對(duì)數(shù)據(jù)信息進(jìn)行保護(hù)的一種最為可靠和有效的辦法，它利用加密算法和密鑰對(duì)數(shù)據(jù)信息進(jìn)行加密，實(shí)現(xiàn)對(duì)真實(shí)數(shù)據(jù)信息隱蔽，從而起到保護(hù)數(shù)據(jù)信息安全的作用。當(dāng)前，常用的數(shù)據(jù)加密技術(shù)主要有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)兩種。

2.1 對(duì)稱加密技術(shù)

在當(dāng)前數(shù)據(jù)信息加密技術(shù)中，對(duì)稱性加密法是使用較為廣泛的一種加密方法，其主要采用的是相同密鑰同時(shí)對(duì)數(shù)據(jù)信息加密和解密，這種數(shù)據(jù)加密方式也可稱為單密鑰加密方式，是目前最為常見的數(shù)據(jù)信息加密技術(shù)之一。采用對(duì)稱加密算法，使用相同的密鑰對(duì)數(shù)據(jù)信息加密和解密，具有加解密速度快、效率高、資源占用少、使用成本低、算法公開、技術(shù)成熟等特性，因此，在目前信息系統(tǒng)建設(shè)使用中應(yīng)用較為廣泛。對(duì)于對(duì)稱加密技術(shù)，不足之處是主要是密鑰的傳遞、保存、管理存在困難，密鑰的安全性、可靠性不能較好的保障。針對(duì)使用要求不用，目前使用較廣泛的對(duì)稱加密算法主要有DES、3DES、RC4、AES、IDEA等。

2.2 非對(duì)稱性加密法

數(shù)據(jù)加密技術(shù)中的非對(duì)稱性加密與對(duì)稱性加密有著極大的不同。非對(duì)稱加密，也可稱公（私）鑰加密，即數(shù)據(jù)信息發(fā)送方與接收方分別采用不同的密鑰，來對(duì)數(shù)據(jù)信息進(jìn)行加解密。在具體的應(yīng)用中，數(shù)據(jù)信息通信前，信息接收方必須將隨機(jī)生成的公鑰傳遞給信息發(fā)送方，私鑰由信息接收方獨(dú)自保管，只有公鑰與私鑰進(jìn)行匹配才能夠?qū)?shù)據(jù)信息進(jìn)行加解密，這樣就保證了數(shù)據(jù)傳輸雙方可在不交流私鑰的情況下，便可直接傳輸數(shù)據(jù)，保證了密鑰的安全性。非對(duì)稱性加密法在實(shí)際應(yīng)用中較對(duì)稱加密算法具有更高的安全性，但在使用中也具有算法相對(duì)復(fù)雜、資源占用多、加解密速度慢、效率低的問題，因而，非對(duì)稱加密技術(shù)主要應(yīng)用于在數(shù)字證書、簽名等領(lǐng)，目前，常用的非對(duì)稱加密算法主要有RSA、DSA、EIGamal等算法。

3 探究信息系統(tǒng)建設(shè)中加密技術(shù)的具體應(yīng)用

信息系統(tǒng)安全防護(hù)體系中，密碼技術(shù)在各類系統(tǒng)、多個(gè)業(yè)務(wù)環(huán)節(jié)都起到了至關(guān)重要的作用，根據(jù)不同業(yè)務(wù)使用不同的密碼技術(shù)，保證業(yè)務(wù)效率的同時(shí)使系統(tǒng)更加安全。

3.1 公鑰基礎(chǔ)設(shè)施（PKI）的應(yīng)用

PKI是一種利用非對(duì)稱加密算法理論和技術(shù)建立及提供安全服務(wù)，采用通用的技術(shù)規(guī)范及標(biāo)準(zhǔn)，是創(chuàng)建、分發(fā)、管理、銷毀密鑰和確認(rèn)信息，證書服務(wù)、加密技術(shù)等一系列軟硬件的集合體，其技術(shù)基礎(chǔ)仍是加密技術(shù)，這種技術(shù)是目前網(wǎng)絡(luò)安全建設(shè)的核心和關(guān)鍵，在各類型信息系統(tǒng)已取得了較為廣泛的應(yīng)用，他通過數(shù)據(jù)加密、身份認(rèn)證等密碼服務(wù)及所須的證書服務(wù)，為實(shí)現(xiàn)信息系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)通信的機(jī)密性、完整性提供了一套較為完備的解決方案。

3.2 數(shù)據(jù)庫(kù)系統(tǒng)中的應(yīng)用

隨著各行業(yè)信息化建設(shè)的發(fā)展，數(shù)據(jù)庫(kù)技術(shù)已經(jīng)成為信息系統(tǒng)建設(shè)基礎(chǔ)支持技術(shù)，其系統(tǒng)的安全性決定了整個(gè)信息通信網(wǎng)絡(luò)環(huán)境及數(shù)據(jù)信息傳輸環(huán)境的安全水平，對(duì)于信息系統(tǒng)而言，數(shù)據(jù)庫(kù)系統(tǒng)除了承載常規(guī)數(shù)據(jù)處理，還需要負(fù)責(zé)各種權(quán)限以及身份認(rèn)證工作，其系統(tǒng)中數(shù)據(jù)庫(kù)的安全直接關(guān)系到整個(gè)信息系統(tǒng)的安全水平，只有切實(shí)加強(qiáng)信息系統(tǒng)中數(shù)據(jù)庫(kù)安全水平的建設(shè)，才能確保數(shù)據(jù)庫(kù)系統(tǒng)在高性能、高可用性同時(shí)提升數(shù)據(jù)的安全性。采用數(shù)據(jù)庫(kù)數(shù)據(jù)加密技術(shù)，就是為增強(qiáng)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全性，提供一個(gè)安全加密平臺(tái)，對(duì)數(shù)據(jù)庫(kù)系統(tǒng)存儲(chǔ)的數(shù)據(jù)信息進(jìn)行有效保護(hù)，通過對(duì)數(shù)據(jù)庫(kù)存儲(chǔ)信息加密等安全方法實(shí)現(xiàn)了數(shù)據(jù)信息的保密性和完整性，使得數(shù)據(jù)庫(kù)可以對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行密文存儲(chǔ)并在密態(tài)方式下工作，確保了信息數(shù)據(jù)的安全。目前，數(shù)據(jù)庫(kù)加密技術(shù)主要包含身份認(rèn)證、通信加密、完整性保護(hù)、存儲(chǔ)加密、密鑰管理、安全備份等功能和特性。

3.3 網(wǎng)絡(luò)存儲(chǔ)中的應(yīng)用

網(wǎng)絡(luò)存儲(chǔ)（NAS）是指一種專用的數(shù)據(jù)存儲(chǔ)服務(wù)器，集中管理和處理網(wǎng)絡(luò)上的所有數(shù)據(jù)，用戶在網(wǎng)絡(luò)上存取數(shù)據(jù)無需在應(yīng)用服務(wù)器進(jìn)行干預(yù)，使存儲(chǔ)負(fù)載從應(yīng)用服務(wù)器中卸載下來。目前，信息系統(tǒng)常常采用存儲(chǔ)局域網(wǎng)或網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)等存儲(chǔ)架構(gòu)，利用有線通信網(wǎng)絡(luò)進(jìn)行連接，從而整合整個(gè)信息系統(tǒng)的存儲(chǔ)資源，以提高使用及運(yùn)行效率，但由于存儲(chǔ)網(wǎng)絡(luò)允許用戶從多個(gè)節(jié)點(diǎn)存取數(shù)據(jù)信息資源，導(dǎo)致數(shù)據(jù)信息資源遭受攻擊或非授權(quán)存取數(shù)據(jù)資源的幾率大為增加，因此，采用網(wǎng)絡(luò)存儲(chǔ)加密技術(shù)變得至關(guān)重要。目前常用的存儲(chǔ)加密技術(shù)主要有兩種：一種加密方式是通過網(wǎng)絡(luò)存儲(chǔ)的自帶存儲(chǔ)加密功能，用戶根據(jù)自身需要可對(duì)文件加密或者文件夾添加密碼，存儲(chǔ)會(huì)對(duì)相應(yīng)區(qū)域進(jìn)行數(shù)據(jù)加密，需要訪問加密文件時(shí)則需要提供正確的密鑰才可解密，另一種方式是通過在網(wǎng)絡(luò)中部署加密網(wǎng)關(guān)，用戶在存取數(shù)據(jù)信息時(shí)都通過加密網(wǎng)關(guān)進(jìn)行加解密和認(rèn)證授權(quán)。通過存儲(chǔ)加密，即便是具有超級(jí)權(quán)限的管理人員，在沒有密鑰的情況下也只能得到密文數(shù)據(jù)，無法獲取任何有用的數(shù)據(jù)信息。

3.4 信息傳遞中的應(yīng)用

在信息系統(tǒng)中，各級(jí)信息系統(tǒng)進(jìn)行互聯(lián)互通，大量的數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳輸，任何節(jié)點(diǎn)出現(xiàn)問題，將對(duì)整個(gè)信息系統(tǒng)的安全可靠運(yùn)行形成致命性的打擊，為保證數(shù)據(jù)的安全可靠傳輸，對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)的加密由顯重要。目前，常用的信息數(shù)據(jù)傳輸加密技術(shù)由線路加密以及端一端加密兩種方式組成，它們的目的都是對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行加密。線路加密，又可細(xì)分為鏈路加密和節(jié)點(diǎn)加密，對(duì)于每個(gè)入網(wǎng)節(jié)點(diǎn)，通常采用配置信道保密機(jī)或密碼裝置來實(shí)現(xiàn)，加密效果好，但使用成本相對(duì)較高，而端對(duì)端的加密方法穩(wěn)定而且簡(jiǎn)單，成本也非常低，在目前的計(jì)算機(jī)通信網(wǎng)絡(luò)系統(tǒng)建設(shè)中運(yùn)用的最為廣泛。

3.5 文件系統(tǒng)中的應(yīng)用

信息系統(tǒng)很多敏感數(shù)據(jù)，有部分是以文件的形式存儲(chǔ)在系統(tǒng)服務(wù)器或應(yīng)用終端，一旦服務(wù)器或終端存在安全漏洞或人為原因，導(dǎo)致文件信息被惡意篡改或丟失泄密，將影響整個(gè)信息系統(tǒng)的安全可靠運(yùn)行，因此，對(duì)信息系統(tǒng)采用文件系統(tǒng)的加密極為重要。文件加密是指采用密碼加密技術(shù)對(duì)各類敏感數(shù)據(jù)信息文件進(jìn)行加密防止非法泄密的計(jì)算機(jī)加密控制，目前常用的文件加密主要通過加密指定文檔、泄密控制、審批管理、離線文檔管理、用戶權(quán)限管理、審計(jì)管理、操作系統(tǒng)自身文件保護(hù)等的方式來實(shí)現(xiàn)。

對(duì)上述五個(gè)主要的密碼技術(shù)在信息系統(tǒng)上的應(yīng)用場(chǎng)景進(jìn)行分析，通過公鑰基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)加密、網(wǎng)絡(luò)存儲(chǔ)加密、信息傳遞加密、文件系統(tǒng)加密五個(gè)基本方面，構(gòu)建了信息系統(tǒng)從基礎(chǔ)設(shè)施、數(shù)據(jù)安全、存儲(chǔ)安全、傳輸安全、應(yīng)用安全方面業(yè)務(wù)的基本密碼技術(shù)應(yīng)用體系。

信息化建設(shè)的不斷發(fā)展，各種新技術(shù)、新手段在系統(tǒng)建設(shè)中的廣泛應(yīng)用，給網(wǎng)絡(luò)信息安全以及信息數(shù)據(jù)的完整性、保密性提出了更高要求，數(shù)據(jù)加密技術(shù)將廣泛運(yùn)用于信息系統(tǒng)建設(shè)、使用、管理等方面，作為信息系統(tǒng)研究、開發(fā)及管理人員，在數(shù)據(jù)安全方面需開拓思維，提升創(chuàng)新思想，推進(jìn)信息加密技術(shù)的進(jìn)一步發(fā)展，將數(shù)據(jù)加密技術(shù)逐步運(yùn)用到信息系統(tǒng)信息安全管理的每一個(gè)環(huán)節(jié)中，全方位的提升信息系統(tǒng)的安全防護(hù)能力。