企業數據安全

湖北襄樊石開網絡科技有限公司是一家致力於鐵道運輸等多種行業信息管理技術項目研究與開發的高科技公司。我們本著"精誠所至，金石為開！的宗旨，在系統集成、軟件開發、指紋識別技術 、觸摸屏技術、網絡信息管理等方面取得了較好的成績、產品用戶遍布全國各地。

概述
由於計算機技術和互聯網技術的迅速發展,大型的企業管理軟件也是深受客戶喜愛.導致了其應用其起來越來越廣泛,進一步使得企業的數據共享需要涉及到局域網/外網等等.而這時其中的數據有些是需要長久保存,甚至是永久保存的,而其中的關鍵業務數據更是成了企業生存的命脈,因此企業的數據安全越來越重要,困難也越來越重大。最終使得企業對軟件的關注重點放在了軟件的安全性/保密性/真實性和完整性上.

為了加大解決企業的數據安全問題的力度,軟件開發人員對數據系統進行全面、可靠、安全和多層次的備份是必不可少的,同時咱們還要利用各種安全產品例如防火牆/防病毒/防黑客/防入侵等等,來分擔一部分數據安全的保護責任.但是對數據本身來說,就只能通過數據加密,數據安全傳輸和身份認證三方面的管理來解決該問題.

數據加密其實就是按照一定的密碼計算方法將一些數據中敏感的明文數據轉換成一些難以識別的密文數據,然後再通過不同的密鑰隊統一加密的算法將統一明文加密成不同的密文表現形式.同時在具體需要的時候,咱們還可以利用密鑰再將密文轉成明文數據,也就是咱們所說的'解密'.

數據安全傳輸主要是指一些數據在各種傳輸過程中要確保數據的完整性和安全性,以及在一定的條件下還要求數據的不可篡改性.

另外一方面就是身份認證,這個主要是確定系統和網絡的訪問者是否是系統規定的合法用戶,以及不同用戶級別所能使用和浏覽不同層次的數據.技術上主要采用登錄密碼/代表用戶身份的物品(比如一些射頻卡)或者反應用戶生理特征的標示鑒別訪問者身份.

數據加密技術
數據加密技術作為最基本的安全技術,作為信息安全的核心,其最初其實主要運用於保證數據在存儲和傳輸過程中的保密性.主要是在數據存儲和傳輸之前先通過變換和置換等各種方法對明文進行加密,這樣就保證了存儲的數據和正在傳輸的數據都是加密過的,一般人即使竊取到了數據,也是密文.所以數據加密的可靠性就直接取決於系統所采用的密碼算法和密鑰的長度.

密鑰的類型
現今被大部分技術人員使用的密鑰從技術來說大致可以分為兩類:堆成加密算法(私鑰密碼體系)和非對稱加密算法(公鑰密碼體系).

說的明白一些,所謂的堆成加密算法是指數據加密和解密采用的是同一個密鑰,所以這種算法的安全性直接依賴於所持有的密鑰的安全性.當然這種算法也有其獨特的優點,那就是加密和解密速度快,加密強度高,而且是算法公開,但是器最大的缺點也是很讓人頭疼的問題,那就是實現密鑰的秘密分發是相當的困難,而且在大量用戶使用的情況下,密鑰的管理也是相當的復雜的,更重要的是還無法完成用戶身份認證等等功能.因此這種算法是不方便運用在開放的網絡環境中的.當然目前最著名也算是最流行的對稱加密算法就是數據加密標准DES和歐洲數據加密標准IDEA,當然加密程度最高的要數高級加密標准AES.

至於不對稱加密算法就與之相反,其加密和解密的密鑰是一個公鑰/一個私鑰的組隊型的密鑰.具體來說在加密銘文的時候就采用公鑰加密,在對密文進行解密的時候就采用私鑰.加密明文時采用公鑰加密，解密密文時使用私鑰才能完成，而且發信方（加密者）知道收信方的公鑰，只有收信方（解密者）才是唯一知道自己私鑰的人。不對稱加密算法的基本原理是，如果發信方想發送只有收信方才能解讀的加密信息，發信方必須首先知道收信方的公鑰，然後利用收信方的公鑰來加密原文；收信方收到加密密文後,使用自己的私鑰才能解密密文。顯然，采用不對稱加密算法，收發信雙方在通信之前，收信方必須將自己早已隨機生成的公鑰送給發信方，而自己保留私鑰。由於不對稱算法擁有兩個密鑰，因而特別適用於分布式系統中的數據加密。廣泛應用的不對稱加密算法有RSA算法和美國國家標准局提出的DSA。以不對稱加密算法為基礎的加密技術應用非常廣泛。

對稱加密算法是應用較早的一種加密算法，其技術相當成熟。在對稱加密算法中，數據發信方將明文（原始數據）和加密密鑰一起經過特殊加密算法處理後，使其變成復雜的加密密文發送出去。收信方收到密文後，若想解讀原文，則需要使用加密用過的密鑰及相同算法的逆算法對密文進行解密，才能使其恢復成可讀明文。在對稱加密算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密，這就要求解密方事先必須知道加密密鑰。對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發收信雙方所擁有的鑰匙數量成幾何級數增長，密鑰管理成為用戶的負擔。對稱加密算法在分布式網絡系統上使用較為困難，主要是因為密鑰管理困難，使用成本較高。在計算機專網系統中廣泛使用的對稱加密算法有DES、IDEA和AES。

不對稱加密算法使用兩把完全不同但又是完全匹配的一對鑰匙—公鑰和私鑰。在使用不對稱加密算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。加密明文時采用公鑰加密，解密密文時使用私鑰才能完成，而且發信方（加密者）知道收信方的公鑰，只有收信方（解密者）才是唯一知道自己私鑰的人。不對稱加密算法的基本原理是，如果發信方想發送只有收信方才能解讀的加密信息，發信方必須首先知道收信方的公鑰，然後利用收信方的公鑰來加密原文；收信方收到加密密文後，使用自己的私鑰才能解密密文。顯然，采用不對稱加密算法，收發信雙方在通信之前，收信方必須將自己早已隨機生成的公鑰送給發信方，而自己保留私鑰。由於不對稱算法擁有兩個密鑰，因而特別適用於分布式系統中的數據加密。廣泛應用的不對稱加密算法有RSA算法和美國國家標准局提出的DSA。以不對稱加密算法為基礎的加密技術應用非常廣泛。

數據傳輸
數據傳輸加密技術其實主要是防止由於通訊線路被竊聽/洩露/篡改/破壞而進一步導致數據被盜的情況.數據傳輸加密技術通常是通過數字簽名的方式來實現數據在傳輸過程中的安全性.也就是說數據的發送方在發送數據的同時利用單向的不可逆加密算法Hash函數或者其他信息文摘算法計算出所傳輸的數據的消息文摘,然後將消息文摘作為數據的數字簽名跟隨數據一同發給接收方.這樣就使接收方在收到數據的同時也能收到數據的數字簽名,然後吧計算出的數字簽名和接收方收到的數字簽名做比較,塗過兩者相同,就可以說明數據在傳輸過程中是正確,無誤的,同時也表明了數據在傳輸過程中是未被篡改的,也就是保證了數據完整性.

Hash算法
學過編程的朋友對Hash算法應該不會陌生,其實Hash算法就是一種不可逆加密的算法.咱們這麼說主要是因為:首先雙方必須在通信的兩個斷頭處各自執行Hash函數的計算,其次是咱們使用Hash函數很容易從消息中計算出消息摘要,但是其逆向反演是咱們目前計算機運算能力幾乎不可能實現的.所以這就是為什麼咱們說Hash算法是一種單向轉換算法的原因.

同時咱們要知道Hash散列本身就是一種所謂加密檢查的東西,通信雙方是必須各自執行一些函數計算來驗證收到的消息.舉例來說吧,比如發送方首先使用Hash算法計算消息檢查,然後將計算結果A封裝進數據包中一起發送；接收方再對所接收的消息執行Hash算法計算得出結果B，並將B與A進行比較。如果消息在傳輸中遭篡改致使B與A不一致，接收方丟棄該數據包。

下面咱們再介紹一下兩種最常用的Hash函數:MD5(消息摘要)和SHA(安全Hash算法)

MD5是對MD4做的一些改進,雖然其計算速度要比MD4稍微慢一些,但是其安全性卻得到了進一步的改善.MD5是在計算機中使用64個32位的常數進行計算,最終生成的是一個128位的完整性的檢查和.

SHA安全Hash算法是以MD5算法為原型.SHA在計算中使用了79個32位常數進行計算,最終產生的是一個160位的完整性的檢查和.由於SHA檢查和的長度比MD5更長一些,所以也就使得SHA的安全性要更高一些.

身份認證
身份認證主要是要求咱們參與通信安全的雙方在通信前必須確定雙方的身份。雜呢美女說保護數據不僅僅是要讓數據正確、長久存在，更重要的還有就是不能讓不該看到數據的人看到咱們的數據。而想要做到這點就必須要依靠身份認證技術了。咱們知道數據存在的價值就是需要被合理的訪問，所以建立一個信息安全體系的目的就應該是保證系統中的數據只能被該看到的人訪問，未經授權的人士是沒有辦法訪問的。所以有效的身份認證技術就顯得格外的重要，它輕松的杜絕了未經授權人仿冒有權限的人員訪問數據的現象，保證了咱們的信息安全體系。

業務流程對於身份認證技術也是存在是一定影響的。在一些企業的管理系統中，身份認證技術需要通過密切的結合企業的業務流程，以達到阻止對重要資源的非法訪問的情況發生。身份認證技術還可以解決訪問者物理身份與其數字身份的一致性問題，從而進一步給其他的安全技術提供權限管理的依據。所以說，身份認證技術其實就是企業整套信息安全體系的基礎。

身份認證技術也是網絡安全的第一道防線，同時也是最重要的一道防線。在網絡之後，由於通信雙方互不見面，其次在交易之前確定對方的真是身份就顯得尤其重要。

對於公共網絡身份認證，就但從安全角度而言，大致可以分為兩種情況：一種情況就是請求認證者

的私密信息在網上傳送的口令認證方式，還有一種是使用不對稱的加密算法，在認證方式中包含了數字簽名很高認證方式。

口令認證方式
口令認證必須具備一個前提：請求認證者必須具有一個 ID，該ID必須在