数据保密解决方案篇1
关键词:加密系统,数据平台,对称加密,非对称加密
0引言
快速信息化已经是我国经济社会发展的一个显著特征。许多的企事业单位,尤其是物流企业和电子商务企业已经把数据平台作为了自己的核心竞争力之一。但是基于信息技术和网络技术的数据平台正在面临着来自安全性方面的诸多挑战。
本文提出了一种通用的基于两种加密技术的加密系统,为解决数字平台所面临的安全性难题提供了可能。该系统融合了对称加密技术、非对称加密技术、验证技术,较好的实现了了数据交流者的身份认证、数据传输过程中的保密、数据发送接收的不可否认、数据传输结果的完整。本系统尤其适用于对保密度有较高需求的数据平台。
本文重点针对4个方面进行讨论:(1)数据平台安全性问题;(2)对称加密体制与非对称加密体制;(3)一种更加安全的加密与验证系统;(4)总结.
1数据平台安全性问题
在数字时代,数据平台的构建已经是企业的必需。论文参考网。企业的关键业务数据作为企业的宝贵资源和生存发展的命脉,其安全性是不言而喻的。论文参考网。但是,现实是,这些数据却没有得到很好的保护。据赛门铁克公司2010年1月对27个国家的2100家企业进行的调查显示,被调查的所有企业(100%)在2009年都曾出现过数据丢失问题,其中有75%的企业曾遭受过网络攻击。
数据平台的建设要注意以下问题:
(1)严格终端管理【1】。
终端采用硬件数字证书进行认证,并要求终端用户定期修改pin码,以确保终端和数据来源的真实性。
(2)采取访问控制技术,允许合法用户访问规定权限内的应用。
(3)保证通信链路安全,建立端到端传输的安全机制。
其中,解决数据安全性问题最有效的方法就是在存储和传输过程中对数据加密,常见的加密技术包括对称加密技术和非对称加密技术。
2对称加密体制与非对称加密体制
2.1.对称加密体制
2.1.1对称加密体制的原理
对称加密技术在已经有了悠久的历史,以凯撒密码为代表的古典密码技术曾被广泛应用。现代的对称加密算法虽然比那些古典加密算法复杂许多,但是其原理都是一样的:数据发送方将明文数据加密后传送给接收方,接收方利用发送方用过的密钥(称作秘密密钥)及相同算法的逆算法把密文解密成明文数据。
图1给出了对称加密体制的工作流程。发送方对要发送的明文数据m用秘密密钥K加密成密文C后,密文经网络传送到接收方,接收方用发送方使用过的秘密密钥K把密文C还原成明文数据m。
图1:对称加密体制工作原理图
2.1.2对称加密体制的特点
对称加密算法的优点是加解密时运算量比较小,所以加解密速度比较快[2]、加解密的效率也比较高。
该算法的缺点是不容易管理密钥。原因有二:一,在对称加密体制下,用来加密和解密的密钥是同一个,这就要求接收数据一方,即解密数据一方需要事先知道数据发送方加密时所使用的密钥。二,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一的钥匙,密钥的需要量比较大。假如平台上有n个用户需要交流,根据保密性要求,每两个用户就需要一个密钥,则这n个用户就需要n(n-1)/2个密钥。论文参考网。
2.2.非对称加密体制
2.2.1非对称加密体制的概念
与对称加密技术不同,在非对称加密体制下加密密钥与解密密钥不相同【3-4】。在这种体制下,每个用户都有一对预先选定的、完全不同但又完全匹配的密钥:一个是可以像电话号码一样进行注册公布的公开密钥Kpub,另一个是用户需要保密的、可以用作身份认证的私有密钥Kpri,而且无法根据其中一个推算出另一个。这样,数据的发送方(加密者)知道接收方的公钥,数据接收方(解密者)才是唯一知道自己私钥的人。
非对称加密技术以大数的分解问题、离散对数问题、椭圆曲线问题等数学上的难解问题来实现,是目前应用最为广泛的加密技术。
图2给出了非对称加密体制的工作流程。发送方把明文数据m用接收方的公钥Kpub接收方
加密成密文C后经网络传输给接收方,接收方用自己的私钥Kpri接收方把接收到的密文还原成明文数据m。
图2:非对称加密体制工作原理图
2.2.2非对称加密体制的特点
非对称加密算法的优点是安全性比较高
非对称加密算法的缺点是算法十分复杂,加解密的效率比较低,用该技术加解密数据是利用对称加密算法加解密同样数据所花费时间的1000倍。
3.一种更加安全的加密与验证系统
3.1加密与验证系统的框架
更加安全的加密与验证系统主要由数据的加密作业、数据的解密作业、数据完整性验证三大模块组成。
数据加密模块由数据发送方作业。发送方首先将待发送数据明文经哈希变换并用发送方私钥加密后得到数字签名。然后,使用对称加密中的秘密密钥对数字签名和原数据明文进行再加密。最后,使用接收方的公钥对秘密密钥进行加密,并将上述操作结果经网络传送出去。
数据解密作业模块由数据接收方作业。接收方首先用自己的私钥对接受到的、经过加密的秘密密钥进行解密。然后,用解密得到的秘密密钥对接收到的数据密文和加密后的签名进行解密。
数据完整性验证模块也是由数据接收方作业。接收方对解密模块作业得到的数据明文和数据签名进行操作,首先将该明文进行哈希变换得到数据摘要。然后,运用数据发送方的公钥对数据签名变换得到另一个摘要。最后,比较这两个摘要。若两者完全相同,则数据完整。否则,认为数据在传输过程中已经遭到破坏。
该系统框架将对称加密、非对称加密、完整性校验三者融为一体,既保证了数据的高度安全性又有很好的时效性,同时,兼顾了数据源的合法性和数据的完整性,能有效地规避仿冒数据源和各类攻击,是一种值得推广的数据存储和传输安全系统模型。
3.2加密与验证系统的实现
图3给出了这种种更加安全的加密与验证系统工作流程。其中,m指数据明文,C指数据密文,a、B分别为数据发送方和接收方,私钥a指a的私钥,公钥B指B的公钥。
图3:一种更加安全的加密与验证系统
4.总结
文中提出了一种基于两种加密技术的加密与验证系统设计,讨论了该加密与验证系统的总体框架与流程实现,得出了本系统能到达到更高的安全性与时效性的结论。
数字时代的到来给我们带来了前所未有的挑战和机遇,我们必须迎头赶上,化解挑战抓住机遇,提高自身的综合竞争力。把信息技术应用于各个行业,必将为我国社会经济的发展和人民生活水平的提高带来新的福音。
参考文献
[1]周蓉蓉.构建公安消防信息网内外网边界接入平台[J].网络安全技术与应用,2009,12:46-48.
[2]管孟辉,吴健,湛文韬,张涛.移动电子政务平台中安全web服务的研究[J].计算机测量与控制,2009.17(5):967-969.
[3]程伟.基于无线的核心wpKi安全开发平台设计[J].地理与地理信息科学,2009,9(6):50-52.
[4]徐丽娟,徐秋亮,郑志华.基于身份无可信中心的数字签名方案[J].计算机工程与设计,2007,28(23):5607-5609.
数据保密解决方案篇2
数据加密是基础
CommVault认为,数据管理中的存储与安全是密不可分的。因此,CommVault在其产品设计的理念中,就已经将数据加密、身份识别和用户管理权限等安全技术融合到自己的产品中,在帮助企业实现一体化信息管理的同时,实现数据管理安全上的未雨绸缪。
近年来,国外企业数据丢失案件频频发生。因此,除了要对数据进行备份,要保证存储设备上的数据在丢失后不至于带来更多不可预料的后果,就需要对数据进行加密,以加强安全性。CommVault一体化信息管理解决方案集成了数据加密功能,具有非常出色的对各类数据,特别是离线数据的数据保护功能――通用技术引擎内置了加密选件,可以在需要之处按需要的方式存储密钥,以确保通过网络传送的数据以及存储在介质上的数据在磁带丢失时的安全,避免被探测和偷盗。
除了数据保护层面,CommVault一体化信息管理解决方案对复制、备份和归档数据副本也采用了相同的加密策略,让加密机制贯穿于整个数据生命周期管理。另外,CommVault还提供了完整的Lto-4磁带驱动器加密密钥的管理功能,有助于企业降低数据保护成本。
身份认证不可少
当然,仅有数据加密是不够的。在解决了数据加密问题后,企业还需要准确地把握谁有权限来访问哪些数据,因此CommVault在一体化信息管理解决方案中融合了身份认证和权限管理等技术。CommVault认为,在数据管理中,身份认证和权限管理是必不可少的。随着人员在企业中角色和职责的不断变换,人员对于数据的访问权限也必须随之改变。CommVault提供的身份认证管理功能提供了很好的访问控制手段,可以确保数据得到安全、正确的处理,并且根据不断变化的应用需求将其存放在最经济有效的存储资源中。
此外,CommVault还提供了完善的用户权限管理功能,确保用户无法对非授权机器进行相应的备份恢复操作,甚至无法浏览到非授权的机器,从而保证在一个数据管理系统有多个系统管理员情况下的安全性。不仅如此,CommVault还和微软活动目录结合起来,通过融合活动目录中设定的用户权限,来确保整个环境中数据管理的安全。
误区
数据保密解决方案篇3
文献标识码:a
文章编号:1006-0278(2015)03-110-01
随着社会经济的信息化建设快速发展,电子文件的产生,档案的完整性,安全性以及真实性受到十分严峻的考验。电子档案的产生,无疑是对档案性能的一种强化。
一、计算机的网络化
计算机的网络化使得众多档案部门可以通过网络联结来实现电子档案的高速传递与资源共享,进而使档案资源能够得到更广泛的利用与开发。一方而,各个部门可以随时随地的将本部门已经形成的,有存档价值的一些电子文件通过互联网发送到需要的档案部门,而后档案人员通过相应的软件程序对档案进行核对,统计;再一方而,档案部门也可以通过互联网网站,允许公开的一些电子档案信息,使广大用户能够及时的获取档案信息并最大限度的发挥档案的效用。诚然,网络化有利也有弊,也会给档案管理带来一些负而性影响,比如隐私问题,安全保密性问题等,这需要我们进行深入探索。
二、安全保密性
应用计算机来管理电子档案,就必须要加强安全保密措施,并不断完善。要具备完善的安全保密体系需要具备以下几方而:1)电子档案要学习传统纸质档案设置不一样的密码等级,并且按照密码等级的不同,分别将档案储存到不同的数据库;2)根据电子档案的开放程度与密码等级,使用权限审核方式以及身份认证,确定用户是否可以阅读档案;3)建立安全级别不同的网络分段,特定网段的服务应采取方向控制的手段,一般情况下将内部用户设置为安全网段,受限网段则留给外部用户,内外分离可以减少被不是内部用户攻击的概率;4)对有密码等级的信息内容必须要进行加密处理并定期或不定期的修改所用密匙;5)启用系统自动的入侵检测功能,将操作的全过程以及各种访问进行有效的追踪记录,并安排人员定期的审计日志,能够白动识别蓄意攻击行为并及时处理;6)不断对管理制度进行完善,渐渐对安全保密意识进行树立,最大可能的避免为人疏漏。
三、载体保护与数据备份
与传统纸质档案对比,电子档案是完全依赖于相关计算机的软硬件系统与存储介质,更容易受到储存载体的物理损伤,设备技术故障以及计算机病毒的破坏等突发事故影响,所以,电子档案管理需要重视存储载体的保护与对数据的备份。(一)数据备份数据备份能够为崩溃或者受损的电脑系统提供有效,安全的恢复手段,把因为数据丢失而造成的损失减到最低。建议大家采用脱机备份与磁盘镜像两者相结合的方案。热备份是对磁盘镜像的另一种称呼,使用两个或两个以上同种类型的磁盘互相为镜像盘,无论是对哪个磁盘的数据进行操作,都会被直接复制到镜像盘中;若是其中的一个硬盘有了故障,另外一个硬盘就会提供一样的数据,从而减少系统中断或者数据丢失的几率。但是磁盘镜像不能对人为误操作或病毒破坏等问题进行解决,所以还需要定期的进行脱机备份。
(二)载体保护
电子档案记录载体具有光学性,磁光型以及磁性,但是这些载体容易受到光线,温度,湿度以及磁场等环境的影响,其寿命也普遍不会长久。这就需要采取一些保护措施来确保其耐久性:1)选择较高质量的磁盘,磁带或光盘;2)将电子档案盘带放在避光,无腐蚀性气体,防尘或无强磁场干扰的环境中,比如对温湿度的控制,库房或存放载体的柜架达到相关要求标准;3)人为因素。加强工作人员的责任心,提高其操作能力,彻底避免其不恰当操作。比如在使用标识笔标注时,会给盘而带来污损;拿取时的手法不正确,在上面留下指纹中的盐分,微生物或油脂等,会腐蚀盘带。而且,在保管电子档案的时候,要做到多分以及多处保存,以备不时之需。
四、真实性、原始性
电子档案与纸质档案不同,一经改动就有痕迹留下,影响电子档案法律凭证性。要维护电子档案的真实性,原始性就要做到以下几方而:
(一)数字签名技术
数字签名技术主要包括验证技术与数字签署技术,用来解决抵赖,冒充以及伪造等问题,在流通与存储过程中,对电子档案的真实性与原始性进行了保证。当前数字签名技术较常用的有:电子签名,数字指纹,数字证书,数字水印等。
(二)加密与解密技术
一般情况下较多的使用“双密钥”式机制,加密密钥与解密密钥分离。只要将解密密钥妥善保密,用户就可以把自己的加密密钥广泛分发,公诸于众。任何人用加密密钥向其发送加密信息,此用户都可以用解密密钥将之打开并读阅,他人难以介入。
(三)防写措施
比如,现在的一些电子档案软件有一种可以将档案设置成“只读”的功能,能读不能修。
另外,双套归档制(即纸质档案与电子档案的并存)也是在欠缺成熟技术条件下,解决电子档案真实性与原始性问题的一个可行性办法。
有了上述对电子档案管理的认识,相信监狱的电子档案应用会更加便捷也会更保密。
数据保密解决方案篇4
机房散热是数据中心必须考虑的关键问题。针对空调散热的高成本问题,中兴新公司推出了新一代高密度机房散热解决方案――液冷门散热系统,它专为刀片服务器等高密度数据产品而设计,有效解决了数据中心机房存在的散热效率低、局部温度高、空间利用率低、噪音大等问题。同时,根据不同地区的气候条件,中兴新公司创造性地引入了室外空气自然冷却源,减弱对空调的依赖,有效降低能耗,减少对环境的负面影响,节约运营成本。
在传统的数据机房制冷系统条件下,机柜热密度一般在每机柜2到3千瓦,很多机房的机柜只能放几个服务器,以此来降低单个机柜的热负荷,从而造成了机柜的低利用率。中兴新公司在本次展会亮相的一体化冷却机柜――高密度散热解决方案,即利用“液冷门”的辅助散热方案,可以使单个机柜支持每机柜20到25千瓦的高热密度。该方案通过液冷、智能化热环境控制。节省电费;智能化调节,延长设备使用寿命,降低再投资成本;实现高密度配置,节省空间。
本届展会,中兴新还推出其户外动环一体化解决方案,旨在解决传统的各类移动基站所面临的诸多问题。目前,传统基站缺乏一体化解决方案,设备整合难度大,建设时间长;远程监测和智能控制缺失导致运维难度大,成本增加;缺乏电力多元化配置,能耗高且设备寿命缩减,增加了设备的二次投资。中兴新解决方案不仅能一体化配置降低设计成本和采购成本,同时可以降低运营成本。
创立并控股中兴通讯的中兴新通讯设备有限公司是一家长期致力于推动、扶持高科技、新产业发展的投资控股公司,目前的业务涉及精密机械设计和通讯配套高科技产品制造、网络增值应用产品的持续研发应用、新动力能源、绿色替代能源和节能环保技术研究开发等领域,产品已广泛应用于国内外市场,并进入欧洲、北美等国际高端市场。
数据保密解决方案篇5
关键词:电子商务对称密钥非对称密钥安全数字签名
1引言
如何建立一个安全、便捷的电子商务应用环境,保证整个商务过程中信息的安全性,使基于internet的电子交易方式与传统交易方式一样安全可靠,已经成为在电子商务应用中所关注的重要技术问题。数字签名正是由此产生的可以解决电子商务活动中否认、伪造、篡改及冒充等问题的一项技术,不过自身的安全性也随之而来,因此,现目前急需找出一个更安全的方案解决数字签名所面临的问题。
2传统数字签名存在的安全问题
伴随着开放式网络系统的飞速发展,比如银行结算系统等关系国计民生的大型网络系统的普遍应用,认证用户身份和保证用户使用时的安全,正日益受到各方面的挑战。在不与网络连接的个人计算机中,资源和个人信息可以通过物理保护来实现。在分时计算环境中,操作系统管理所有资源,并保护用户信息不被其他未授权的用户使用,这时操作系统需要认证每一个用户,以保证每个用户的权限,操作系统在用户登录时完成这项工作。在网络系统中,用户需要从多台计算机得到服务,这时控制访问的方法有以下三种方法:
①服务程序不进行认证工作,而由用户登录的计算机来管理用户的认证来保证正确的访问。在封闭式网络中,网络中的所有计算机以及他们之间的通信都在严格的控制之下,方法a在这时是一个合乎情理的方案。
②收到服务请求时,对发来请求的主机进行认证,对每台认证过的主机的用户不进行认证。半开放系统可以采用方法b,每个服务选择自己信任的计算机,在认证时检查主机地址来实现认证,这种方法应用于rlogin和rsh程序中。
③对每一个服务请求,都要认证用户的身份。在开放式系统中,主机并不能控制登录它的每一个用户,而且还有来自系统外部的假冒等情况发生,以上两种方法都不能保证用户身份的真实性,只有使用方法。
①将用户提交的数据,打成数据包m,数据包m中的内容,一般就包括用户的交易的具体信息。
②用mD5算法计算数据包的报文摘要的值C,报文摘要值也称叫特征值,输入数据的变化直接影响输出的报文摘要值。
③用RSa算法将报文摘要的值用发送方的SK加密,得到C1。
采用公钥算法RSa将报文摘要值用发送方的私钥加密,形成数字签名。
④形成传送的数字签名信息包,即构成用户名+C1+m。
形成的数字签名包也是最终在公用通信线路上所传输的形式。而最终发给接收方的数据包中除了密文C1以外,还包括用户名和明文,用户名是为了对方获知身份信息,明文主要用来当接收方在进行认证C1时确定是否被篡改。
⑤传送信息包由发送方通过网络发送到接收方。
⑥根据双方规定的协议分离出用户名,密文C1和数据包m。
⑦由RSa算法用用户的pK对密文C1解密,得到数字签名C。
接收方用发送方公布的公钥应用RSa算法将密文C1解开,获得C。
⑧用mD5算法对提取出的明文数据包m进行计算得到C′
接收方运用mD5算法计算出明文m的信息文摘值,然后再与前一阶段的C进行比较。
⑨将C和C′进行比较,若相同,则签名有效,不同则签名无效。
比较下来,如果相同表明明文没有被修改,如果不相同表明数据在传送过程中被非法篡改。
通过以上所提出的数字签名技术的实现方案,不难看出对于电子商务安全需求上可以做到防止第三方假冒交易一方的身份,对发送方数据进行伪造和篡改,同时能够避免发送方事后否认所发送的数据,也表明能同时达到完整性和不可抵赖的特性。但是从过程4中也出现一个问题,针对数字签名信息包:用户名+C1+m,根据密码学中公钥体系的知识可知,要解开此信息包需要发送方的公钥。而发送方的公钥是全局公开,除了发送方本身具具备以外,其它任何人都可以获知。
问题出现了,这样就导致任何拥有发送方公钥的人都可以解开此信息。如图所示,如果这个信息包被真实的接收方获取了,哪没有任何损失,但是由于网络的复杂性,这个信息包有可能被第三方获取,哪么通过解开此信息包的就可以得到三类信息:用户名、密文C1、另一个就是攻击者感兴趣的明文m了。
3安全数字签名的应用
从上面的分析可以看出这传统上所采用的数字签名方案只能做到完整性和不可抵赖性,也就是说可以防止第三方假冒交易一方的身份对数据进行伪造和篡改,同时能够避免发送方事后否认所发送的数据。但是由于最终的密文除了正确的接收方可以解开以外,任何拥有发送方公钥的第三方都可以解开信息包,获取信息包中的明文信息。而发送方的公开密钥本业就是全局公开,这样就导致了信息的泄露。
因此要在通信双方之间确保只有正确的接收方才能接收并解密信件,必须得改进认证方案。改进后的安全数字签名,采用嵌套加密的思想,新的数字签名方案在传统数字签名的基础上增加安全元。同时保证保密性、完整性、可用性、不可抵赖性。
①将用户提交的数据,打成数据包m。
②用mD5算法计算数据包的报文摘要的值C。
③用RSa算法将报文摘要的值用用户的SK加密,得到C1。
④形成传送的信息,即构成用户名+C1+m。
⑤用发送方的私钥来反向加密此信息包(用户名+C1+m)形成一密文。
⑥然后再用接收方的公开密钥来再一次加密上一个阶段产生的密文,.把上一阶段形成的信息包(用户名+C1+m)看作加密数据,应用接收方的公开密钥进行再一次加密,形成嵌套加密。最后再把嵌套加密的最终数据发给接收方。
⑦最后再把形成的双重密文发送给接收方,当接收方收到此密文后,先用唯一的接收方私有密钥去解密,得到一密文,接着再用发送方的公开密钥来解密,得到用户名+C1+m。
⑧根据双方规定的协议分离出用户名,密文C1和数据包m。
⑨由RSa算法用用户的公钥对C1解密,得到数字签名C。
⑩用mDS算法对提取出的明文数据包m进行计算得到C′。
数据保密解决方案篇6
针对企业对非结构化数据内容管理的需求,日立数据系统(HDS)公司推出了HitachiContentarchiveplatform(日立动态内容归档平台,HCap),并于不久前了其最新版本HCap2.0版,为用户提供特定的内容管理服务,以满足政府监管及企业管理对数据保留、可扩展性、保存和保护的要求。
HDS公司亚太区企业内容归档解决方案总监KimHockLiu介绍说,新版HCap可在一个80节点的归档系统中支持多达20pB的内容。HCap的单一节点即可支持多达4亿个对象(包括文件、元数据和策略),因此,一个80节点的系统就可以支持多达320亿个对象。通过利用日立企业级存储功能,如RaiD技术,HCap的性能比第一代CaS解决方案超出了470%。KimHockLiu介绍说,HCap有七大特点,首先它是一个开放系统,采用基于标准的开放接口,如nFS、CiFS、webDaV、Http以及Smi-S等存储管理标准;其次,它符合法规遵从的要求,包括woRm(一次写入,多次读取)功能;第三,数据在写入时已加密(该功能可选择);第四,高可用性,数据在写入时可自动复制4份,以防止数据丢失;第五,内容发现,该平台支持370种文件格式和77种语言;第六,系统可升级;第七,易管理性。
KimHockLiu介绍说,HCap源于HDS今年2月份收购的archivas公司,HDS之后成功地对该公司的产品计划进行了全面整合,在一个通用的管理架构内为用户提供内容归档服务,并使用户充分利用日立原有的异构存储虚拟化服务优势。目前,HCap可以以两种方式提供给用户,一是集成了HDSwmS100存储设备的一整套HCap解决方案,提供最高级别的安全性;一是HCap机头加用户原有的HDS磁盘阵列,支持wmS100、amS200/500/1000、USpV以及nSC55。
数据保密解决方案篇7
【关键词】集散式中小型企业;远程数据;安全传输
DistributedSmallandmedium-sizedenterpriseRemoteDataSecuretransmissionSolutions
ZhangDing-xiang
(GuizhouCommercialCollegeGuizhouGuizhou550004)
【abstract】accordingtothedemandcharacteristicsofbusinessofthedistributedsmallandmedium-sizedenterprises(Smes),ihaveresearchedandanalyzedseveralcommonschemeaboutremotedatatransmissionsafety,andcombinedwiththepracticalapplicationofcases,tosetinonebodywithvarietyofsecuritytechnologyandsocialfreeresources,proposedacheapsolutionbasedontheVpn.Letmoresimilarenterprisecanbuildupanduseup,ForSmestosolvetheproblemoftheremotedatasecurityexchangeandsharingofsafety.
【Keywords】distributed?smallandmedium-sizedenterprises;remotedata;securitytransmission
0引言
将那些在地理分布上较为分散,但在管理上却需要敏捷集中、信息交流十分频繁的中小型企业称之为集散式中小型企业。而这些集散式中小型企业将越来越需要利用公众互联网平台开展自己的业务,与异地分支机构、移动办公人员和商业伙伴频繁地交换秘密信息,以降低公司的管理成本,提高公司的管理效率和应付日益复杂的环境需求及情况变化。同时也受到来自公众互联网的各种安全威胁,如系统攻击、数据窃取、数据泄露等,这些企业数据的传输和共享受到了网络安全威胁和资金投入的限制,如果不能有效地解决这些问题,将会严重阻碍我国集散式中小型企业的正常发展。
1解决方案
无论采取何种方式解决集散式中小型企业远程数据的安全传输问题,都要以确保数据信息的机密性、完整性、可用性、可控性、抗抵赖性等安全属性为构建目标。
1.1构建专用线路方案
在该方案中,整个线路仅为企业专用,安全性和数据传输速度都很好,就是建设成本和维护成本很高,一般情况下中小型企业是无法承受这个高额费用的。
1.2基于防火墙的解决方案
人们通常的做法是购置路由器、防火墙、入侵检测系统等硬件设备,对它们进行简单堆砌,造成财务负担重,安全效果不明显的局面。防火墙主要解决网络安全隔离技术,却无法解决抗抵赖性、数据压缩传输、数据加密传输和密钥管理等问题。
1.3硬件Vpn方案
利用公众互联网链路架设企业私有的虚拟专用网(即Vpn),Vpn融合了隧道传输、加密解密、密钥管理、身份认证、访问控制等多方面的先进技术。建立Vpn实质上是扩展企业内部网络,为企业分支机构、商业伙伴、移动办公人员等建立可信的网络安全连接,实现数据安全传输和内部资源安全共享。
Vpn相对于专线方式而言,在价格上有着绝对的优势;相对于普通pStn拨号连接,Vpn在安全性、保密性上更胜一筹。人们通常采用硬件Vpn解决方案,因为效果好、性能稳定,但建设成本和维护成本较高,中小型企业难以接受。
1.省略)、88ip()等。
采用以上方案,解决了无固定公网ip地址主机的访问问题,得到了免费的公网ip地址和域名。
(3)集成型Vpn网关软件的选用
软件Vpn除具有硬件Vpn同样的功能外,还具有价格低、寿命长、灵活性和扩展性强的优点;缺点是安装配置复杂、性能一般,可采用较强性能的计算机作为软件Vpn的运行支撑环境,解决软件Vpn的性能问题。这里,将基于Vpn并集成防火墙、入侵检测、计算机病毒防治、网络拨号服务等重要功能于一体的Vpn软件称为集成型Vpn网关软件。
虽然集成型Vpn网关软件在市场上不少,但适用的质量好的并不多见。笔者推荐使用injoyFirewall集成型Vpn网关软件,该软件在我国也有少量用户,并得到了中国公安部的安全认证许可。
injoyFirewall集成型Vpn网关软件可较好地解决数据安全传输和内网资源安全共享问题。injoyFirewall内置了网络拨号(ppoe、pStn)、Vpn、防火墙、iDS、DHCpServer、远程配置管理等功能模块,且支持ipSec和nat-t协议,支持多种高强度加密(DeS、3DeS、aeS、aeS-192/256)、多种认证(共享密钥、扩展认证、RSa数字签名)、数据压缩传输,提供隧道模式和传输模式两种工作方式。
(4)运行环境
运行环境不能要求高,能运行于普通pC机和windows(Linux)操作系统即可。
通过以上综合分析,得出了一个6+解决方案(pC机+windows(Linux)+aDSL拨号+DDnS+二级域名+集成型Vpn网关软件)。6+是一个经济、适用、易用、安全的远程数据传输方案,为集散型中小型企业构建远程数据安全传输平台是切实可行的。
2应用案例
上述的综合解决方案已在贵州省几家集散式中小型企业和政府基层管理部门得到了较好的应用。现以某医院为例来说明该方案构建方法。
某医院为实现其异地分支机构(分院、社区医院、诊所)与中心医院的业务系统互联,数据统一集中存储、处理和管理,做到病人的刷卡和结算同步,构建了如图1所示的远程数据安全传输平台。在图1的网络拓扑结构图中,实线为物理连接线路,虚线为逻辑上的Vpn隧道。在中心医院及其分支机构(a和B)的网络接入处都安装集成型网关(pC机+windows2000+aDSL拨号+DDnS花生壳客户端软件+二级域名+injoyFirewall),集成型网关负责内网与aDSLmodem的连接,aDSLmodem的另一端与公众网络连接。其中,中心医院和分支机构B的集成型网关还额外配置了普通电话modem,它们通过pStn公众电话网进行电话拨号连接,作为aDSL的备用线路。中心医院和各分支机构都无固定的公网ip地址,通过aDSL拨号上网获得动态的免费公网ip地址。借助DDnS花生壳客户端软件和injoyFirewall提供的nat-t技术,使得各分支机构内网的任一台计算机均可安全地访问中心医院网络中的业务服务器或其它计算机。
该远程数据安全传输平台从2004年建成使用至今,仍然在稳定、安全、可靠地运行,实现了预期的业务需求和低成本的建设目标。
3应用效果及展望
多家单位多年运用结果表明,采用本文提出的“6+”解决方案构建的信息交互平台运行效果良好,原有投资也得到了保护。这就为集散式中小型企业和政府基层管理部门找到了一个安全、够用、好用、价廉的远程数据安全传输解决方案。
但是,“6+”解决方案不适合传输大流量的视频数据,还有待于进一步的研究。
参考文献
[1]曾庆凯.信息安全体系结构[m].北京:电子工业出版社,2010.
[2]戴彬.基于ipSec的Vpn技术穿越nat的研究与设计[D].重庆:西南大学,2006.
[3]F/XCommunications公司.inJoyFirewall-ipSecVpnFeatures[oL].fx.dk.
数据保密解决方案篇8
计算机技术应用在会计档案工作中有以下特点:(1)计算机会计档案增加了会计档案存储的方向。很好的继承了会计档案的传统,存储在硬盘数据、磁媒介、光盘存储数据也包含其中。(2)用计算机技术处理会计档案工作需要特殊定制的计算机硬件与软件系统环境。(3)计算机技术中的存储技术是计算机技术在会计档案工作中的重要应用。(4)计算机技术处理会计档案的存储工作受到多种因素的制约和威胁,所以对于计算机会计档案的存储安全需要特殊加强保护。
二、算机会计档案的内容及保管期限
根据会计档案价值鉴定标准的规定,具有一定保存价值的会计凭证、会计账薄、会计报告及其他会计记录和文件,均应作为会计档案保存并统一管理。(1)会计凭证类。包括原始凭证,记账凭证,汇总凭证,其他会计凭证,保管期限15年;(2)会计账薄类。包括总账,明细账,日记账,辅助账类,保管年限都是15年;现金日记账和银行存款日记账的保管年限是25年,固定资产卡片是在固定资产报废清理后保管5年;(3)财务报表类。月季度财务报告(包括文字分析),保管年限是3年,年度财务报告(决算)(包括财务分析)包括会计报表、附表、附注及文字说明,属于永久性保管;(4)其他类。银行存款余额调节表,银行对账单,保管年限是5年,会计移交清册的保管年限是15年;其他应当保存的会计档案保管清册、会计档案销毁清册永久性保存。
三、在会计档案工作中应用计算机技术存在的风险
3.1数据存储设备损坏
数据的存储设备不慎损坏,使数据丢失或者损坏。比如:机械损伤;温度、湿度、清洁度对磁盘所存储的会计数据的影响等。
3.2数据的软破坏
(1)通常,会计数据是运行会计软件得出的结果。在程序设计师设计会计软件的时候,程序设计师在程序构成和功能上考虑不够充分,就会导致会计数据信息偏差。当然,随着计算机软件技术的发展,这种情况会逐步减少;(2)操作失误和停电。突然停电对正在进行的计算机会计软件操作是一种非常头疼的事情,由于不能及时存盘而造成会计数据丢失不容易挽回,我们只能通过定时存盘来尽量缓解这样的数据破坏;操作失误会计数据丢失的一种常见错误。但是这种失误可以通过加强管理,严肃会计管理制度等措施来规范、解决;(3)计算机病毒程序。很多计算机病毒都是存在攻击性和破坏性的程序。它们能够修改、删除存储设备上的会计数据。
3.3会计数据的恶意篡改
会计数据是一种机密数据、是神圣不可侵犯的。如果被不法之徒获取会带来巨大的经济损失,和不良的社会影响。会计数据可以通过主动泄露和被动泄露多种方法被截取。有企图的不法分子主动窃取会计数据称为人为主动泄露:例如,通过非常规手段获取会计数据,贿赂财务人员等相关人员获取会计数据等。会计数据在传播或处理的过程中被非法截获称为技术被动泄露:例如,通过先进的计算机网络通信手段截获数据,存储设备处理不当等。下面总结会计数据被盗取的方法:
(1)通过直接非法手段来访问会计数据。这种手段包括两种方法:即实体访问和远距离访问。实体访问指的是不法分子在会计系统存在的计算机上,通过了用户识别系统的确认,伪装成合法用户访问会计系统,窃取机密的会计数据。这种风险可以通过加强实体控制来解决。远距离访问指的是不法分子使用远程计算机遥控技术,从其他地方获得计算机会计数据的使用权,入侵会计系统软件。解决远距离控制访问要困难得多,因为侵入者的人群范围太广,无处可查,入侵的过程透明化,难觅踪迹。
(2)间接手段取得会计数据。间接手段取得会计数据类似于特务人员、情报人员的行事方式,例如,他们会通过非法手段贿赂相关人员,获得计算机会计系统用户的使用权,从而获取会计数据;还有一些人会通过分析和询问来获取会计数据。
(3)在数据通信中获取。在会计数据传送过程中,有很多途径可以被截获。可以通过对会计数据进行加密来解决这种数据被截获的情况。数据加密的方法千变万化,就算数据被截获,不法之徒也不能轻易了解会计数据的真正意义。
(4)综合分析并推断。当不法之徒获得某些会计数据,如果感觉这个数据可能关系重大,会运用数学手段运算、统计,对得到的结果进一步分析推断来获得更重要的信息。例如,如果一个银行的存款总额数据不小心被窃取,那么就能以此判断出该银行的贷款能力,再通过其他手段来对这家银行造成危害。
四、计算机会计数据的保护措施
4.1加密技术应用和推广
计算机数据加密技术可以使会计数据具有非常强的保密性。通过计算机数据加密技术给会计数据加密,可以使窃取者即使得到数据,也无法了解数据的真正含义,从而使非法获取的数据失去了真正价值,也不能轻易的对数据进行篡改和伪造。所以,计算机加密技术是防止计算机会计数据失窃的重要手段。
4.2保护计算机硬件设备
计算机及相关硬件设备需要配备防火、防地震、防水、防雷击等必要的预防自然灾害对计算机造成损坏的保护系统以及报警装置。在计算机室的主入口安装电子保安密码门锁。增强计算机的防电磁辐射以及抗电子干扰的性能,在计算机室内配备防静电措施和空调系统,配备稳压电源和备用电源确保电压稳定,保证会计数据存储设备运送安全。
4.3跟踪检测机制的建立
建立跟踪监测机制保护会计数据的存取操作,使用计算机技术在会计软件系统上建立详细记录和跟踪检测。例如,对登入、退出会计系统的时间、地点、用户;输入错误的口令次数;使用的输入输出设备;存入、增加、删除、更新的文件等都做详细的记录。而所有这些信息会反映到系统主制台上,使系统管理员能够及时发现问题,及时采取相应措施。
五、结束语
数据保密解决方案篇9
关键词:软交换;网络安全;安全区
中图分类号:F626.3文献标识码:a
软交换网络一个很大的优势就是具有开放性的平台和接口,这样可以方便的进行业务扩展,这样各种第三方的业务以及网络都可以方便的和电信网络实现无缝连接。这就导致电信网络的规模以及业务类型十分的反正,传统互联网所面临的病毒、黑客等危险也随之蔓延到电信网络上,从而给运营商的服务造成巨大的威胁。因此,对于软交换来说,能否做好安全保障工作是一个非常重要的环节。随着软交换技术的使用以及推广,这就导致软交换面临着传统的网络安全问题。同时,软交换网络和传统网络相比还有自身的一些特点,因此其安全问题也具有自身的一些特点。在进行软交换安全防护的过程当中一般都是从软交换设备本身以及网络这两个大的方面为切入点来进行的。首先应该确保软交换的相关设备自身在设置上的安全,并且做好相应的硬件和软件防护工作,从而使软交换设备自身具有一定的安全防护能力。而对于网络的安全,则是对于软交换的承载网络安全采取相应的措施,建立健全完善的保护机制,防止通过网络对软交换设备造成的攻击。
在软交换网络建设过程当中一定要同时抓好软交换设备安全以及网络安全,两者相辅相成,缺一不可。运营商首先要在思想上引起足够的重视,做好相应的软交换安全保障工作。
1软交换面临的主要安全隐患
软交换所面临的安全问题十分多样,种类层出不穷,但是大体可以分为以下几个方面:第一,网络安全,主要是软交换网络自身的安全;第二,终端安全,终端主要是指用户侧的终端设备。当前对于用户终端的病毒以及攻击十分常见,由于软交换网络无法对其进行有效的防范,因此往往利用终端对网络发起攻击,进而对软交换的设备产生影响;第三,设备安全,主要是指各种软交换的承载设备自身的安全,这种安全隐患大多都是由于设备运行不规范或者是外部对其进行攻击。
2软交换安全服务措施
由于软交换所面临的安全隐患十分繁多,因此必须做好相应的防范工作,为用户提供安全的服务,可以通过以下几个方面的措施来实现。
2.1保密性。应该采取相应的手段对软交换网络中传递的数据进行相应的加密,从而防止没有经过授权的用户非法截留数据。这样讲数据以加密的形式传递,即使数据被截留,那么也没法进行解读。除此之外,应该做好相应的数据传输端口的防护工作,防止非法对相应的端口进行监听,保护数据的安全性。
2.2认证。建立严密的身份认证程序,防止用户合法身份被盗用,而对资源进行窃取。对于数据传输之前双方的身份以及数据来源进行认证,从而保证通信双方都具有相应的合法身份和对应的权限。将业务和实体身份进行捆绑,防止身份被盗用或者是伪装欺骗。
2.3完整性。为了防止未经授权的用户对数据继续非法修改,可以利用Vpn技术进行通信。为了防止数据受到损坏,可以积极采用数字签名以及其它的完整性检测技术地数据完整性进行检测。
2.4访问控制。通过完善的授权机制对于网络中的关键部分提供保护,对于相应的访问者进行等级划分,具备相应的等级才能够访问相应的资源,防止对于没有权限的资源进行使用。建立完善的数据库,用于存储安全认证信息,用户进行认证时需要将信息进行严格的比对。对于认证信息数据库也应该设立较高的等级,防止数据库被非法篡改。
2.5安全协议。目前应用较多的是ipSeC,SSL/tLS。至于mpLS,严格地说它并不是一种安全协议,其主要用途是兼容和并存目前各种ip路由和atm交换技术,提供一种更加具有弹性和扩充性的、效率更高的交换路由技术,它对网络安全贡献应主要在于流量方面。
3软交换安全方案
软交换网络安全的实现,有多种方案可供选择,下面介绍的ipSeC(eSp遂道模式)+SSL/tLS+认证服务器/策略服务器+Fw/nat是一种可运营解决方案。ipSec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,可以保证互通性,并且可以提供嵌套安全服务。另外对ipV6而言它是一个强制标准,是今后发展的一个趋势。
ipSec协议主要由aH(认证头)协议,eSp(封装安全载荷)协议和负责密钥管理的iKe(因特网密钥交换)协议三个协议组成。认证头(aH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。eSp协议除了提供数据完整性校验、身份认证和防重放保护外,同时提供加密。eSp的加密和认证是可选的,要求支持这两种算法中的至少一种算法,但不能同时置为空。根据要求,eSp协议必须支持下列算法:第一,使用CBC模式的DeS算法。第二,使用mD5的HmaC算法。第三,使用SHa-1的HmaC算法。第四,空认证算法。第五,空加密算法。数据完整性可以通过校验码(mD5)来保证;数据身份认证通过在待认证数据中加入一个共享密钥来实现;报头中的序列号可以防止重放攻击。iKe协议主要在通信双方建立连接时规定使用的ipSec协议类型、加密算法、加密和认证密钥等属性,并负责维护。iKe采用自动模式进行管理,iKe的实现可支持协商虚拟专业网(Vpn),也可从用于在事先并不知道的远程访问接入方式。
认证系统和策略系统对商用软交换系统而言是必不可少的。它们在管理层面上实施访问控制、信息验证、信息保密性等措施,可以为网络提供安全保证。同时,认证服务可以提计费的准确性,保证网络的商业运营。
防火墙/nat是保证网络安全必不可少的一部分。防火墙种类繁多,它在较交换中的窍越问题可以通过两种方法实现:一是使用tCp;二是用短于关闭墙口时长为周期,不断发送消息,维持端口开启
4结束语
基于软交换的nGn网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,以ip作为承载媒体的软交换所面临的一些安全隐患,实际是目前ip网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,软交换才能够在新的电信网中持久稳定的发挥作用,并成为解决话音、数据、视频多媒体通信需求的有效解决方法,并最终完成“三网合一”。
网络安全工作是一个以管理为主的系统工程,靠的是“三分技术,七分管理”,因此必须制定一系列的安全管理制度、安全评估和风险处置手段、应急预案等,这些措施应覆盖网络安全的各个方面,达到能够解决的安全问题及时解决,可以减轻的安全问题进行加固,不能解决的问题编制应急预案减少安全威胁。与此同时,需要强有力的管理来保障这些制度和手段落到实处。
参考文献:
[1]徐鹏,廖建新,吴乃星,马旭涛.基于软交换的集群媒体服务器的安全问题及其解决方案[J].计算机应用研究,2006(6).
数据保密解决方案篇10
从用户的观点来看,身份管理可能像应用程序的登录一样简单,但是从企业领导层的观点来看,身份和存取管理(i&am)是一项更为复杂的事业。这项事业的核心是旨在让合适的人员进入重要信息系统,而不正当的人员则被挡在门外。做好身份管理工作,能够防止it经理浪费时间和金钱,及时解决数据安全问题;能够把所有相关信息集中存放,使管理人员更容易管理,并允许用户管理自己的档案;能够降低入侵者或不正当的人员获得机密数据或使用目的,未用过的账号进入公司系统的可能性。坦率地说,不重视身份认证管理即是让重要信息资源和个人信息处于无法承担的风险当中。广义地说,身份管理可描述为企业能够建立并管理数字身份,定义谁进入那个系统并保护私人和业务机密信息的一套业务流程、政策和技术。过去,身份管理主要是防止未获得授权的用户访问特定数据。如今,身份管理正在朝着让信得过的,经过认证的用户访问web服务和应用这样的模式发展。
二、构建身份管理系统六要素
那么如何构建身份管理系统呢?据笔者观察,尽管没有标准身份管理套件,许多企业逐渐使用下列主要技术提高安全性、降低成本、支持业务流程并提高效率。一流的身份管理工作的基础由六项技术组成,包括:认证、存取管理、用户管理、配给、数据存储、网络和应用集成服务。 (1)认证证实所有用户的身份当然对建立各个企业所依赖的信任关系至关重要。许多公司使用令牌、智能卡和数字证书等便携式设备技术加强认证效果。直到最近,认证仍然主要采用口令方式。单点登录(sso)技术的出现,为使用多个口令进行认证提供了代用方案并提供了整个企业中的各种应用。尽管单点登录给用户提供了很大的方便并且提高了生产率,但是在某种程度上,也向用户提供了进入企业王国的密钥。用户必须加强保护这些具有强认证功能的“密钥”,强认证将用户与其行为联系起来,证实所述用户是访问资源或完成事务的个人。 (2)存取管理鉴于公司可以通过认证验证用户身份,所以存取管理是决定谁访问哪些应用、服务和业务资源的方法和流程。随着现代公司逐渐雇佣承包商并致力于与合作伙伴建立牢固、开放的关系,公司向越来越多的用户开放其系统。通常公司在如此行事时,并没有管理系统访问权限的企业政策。因此,外部人员可能毫无必要访问却访问了机密商业资源。通过存取管理,向it员工授予权力,允许依据他们选定的标准(通常按用户的具体位置,具体地按用户部门、职务说明书或在公司的任期)向用户分配访问权限。从商业客户的观点来看,可以依据账户余额、信用评级或其他预先确定的基准设置访问权限。 (3)用户管理用户管理是通过授权管理,组织可以分配管理it以外用户账号的责任。例如,具体的业务单位或部门可能能够更新自己的用户账号,而不会增加it部门的工作量。另一种方法是用户自理,允许用户通过公司内联网更新部分旧账户,如地址信息。通常,当用户忘记其密码时,用户就与it员工联系,it员工必须接着进入系统并人工重设密码。根据idc公司的资料,平均5000名雇员的公司每年在密码管理上花费100至150万美元。(国内还没有相关的统计资料)。采用用户自理方式时,通过减少与密码相关的帮助要求,降低成本、提高数据输入的准确程度以及提高效率,可以快速收回投资。 (4)配给管理配给指依据商业政策为雇员、商业合作伙伴和客户在多种应用和资源范围内分配数字身份和访问权限。为了彻底减少问题,在开始时必须准确可靠地配给。自动分配、维护和撤回这些身份和权限应成为集中统一的功能。配给不正确,会产生过时的“孤立账户”。这些到期的账户为雇员和黑客留下了开放的门,带来了安全风险。 (5)数据存储设施目录和数据库等数据存储设施存储和检索用户身份信息。数据存储设施没有吸引力,但却是身份管理不可分割的一部分。通过数据存储设施,可以从分布很广的场所中的多种应用集中查看、收集和组织用户数据。数据存储设施还消除了多种应用中的重复身份信息。为保障数据存储设施安全而考虑的两种技术是加密和数据拆分(在不同服务器中拆分信息)。一些公司存储私人信息(例如,社会保障号码)以便对客户进行认证,这些私人信息使数据库不仅造价高昂,而且吸引想要成为黑客的人。对于这类存储的数据,广泛使用加密技术对客户信息进行加密,使客户信息在被盗取或截取时无法辨认。通过拆分数据,公司保证任何单独一台服务器中都没有完整的社会保障号码;黑客不得不设法控制多台服务器,这无疑极大地加大了黑客破解的难度。 (6)网络和应用集成服务为了保证服务真正全面广泛,身份管理战略必须将其功能与组织现有和将来的企业技术和基础设施融为一体。需要保护的各种元件有:vpn、crm和hr应用服务器以及与门户相连的供应链管理系统、web服务器和其他网络和后端系统。安全解决方案包括应用程序界面、web、web服务和合作伙伴的产品的互操作能力,所有这些都设计用于有效地将不同的企业系统与保障其安全的安全技术融为一体。强认证管理战略还要求承担更大的责任。因为公司面临许多新规定,如《1996年健康信息可携带性和责任法》(通常称为hippa)、《2002年sarbanes-oxley法)以及《1999年gramm-leach-bliley法》,创建审计跟踪记录是一种宝贵的方法。