数据加密专项方案

数据加密方案

一、什么是数据加密1、数据加密定义数据加密又称密码学，它是一门历史悠久技术，指经过加密算法和加密密钥将明文转变为密文，而解密则是经过解密算法和解密密钥将密文恢复为明文。数据加密现在仍是计算机系统对信息进行保护一个最可靠措施。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息安全作用。2、加密方法分类数据加密技术要求只有在指定用户或网络下，才能解除密码而取得原来数据，这就需要给数据发送方和接收方以部分特殊信息用于加解密，这就是所谓密钥。其密钥值是从大量随机数中选择。按加密算法分为对称密钥和非对称密钥两种。对称密钥：加密和解密时使用同一个密钥，即同一个算法。如DES和MITKerberos算法。单密钥是最简单方法，通信双方必需交换相互密钥，当需给对方发信息时，用自己加密密钥进行加密，而在接收方收到数据后，用对方所给密钥进行解密。当一个文本要加密传送时，该文本用密钥加密组成密文，密文在信道上传送，收到密文后用同一个密钥将密文解出来，形成一般文体供阅读。在对称密钥中，密钥管理极为关键，一旦密钥丢失，密文将无密可保。这种方法在和多方通信时因为需要保留很多密钥而变得很复杂，而且密钥本身安全就是一个问题。对称加密对称密钥是最古老，通常说“密电码”采取就是对称密钥。因为对称密钥运算量小、速度快、安全强度高，所以现在仍广泛被采取。DES是一个数据分组加密算法，它将数据分成长度为64位数据块，其中8位用作奇偶校验，剩下56位作为密码长度。第一步将原文进行置换，得到64位杂乱无章数据组；第二步将其分成均等两段；第三步用加密函数进行变换，并在给定密钥参数条件下，进行数次迭代而得到加密密文。非对称密钥：非对称密钥因为两个密钥（加密密钥和解密密钥）各不相同，所以能够将一个密钥公开，而将另一个密钥保密，一样能够起到加密作用。在这种编码过程中，一个密码用来加密消息，而另一个密码用来解密消息。在两个密钥中有一个关系，通常是数学关系。公钥和私钥全部是一组十分长、数字上相关素数（是另一个大数字因数）。有一个密钥不足以翻译出消息，因为用一个密钥加密消息只能用另一个密钥才能解密。每个用户能够得到唯一一对密钥，一个是公开，另一个是保密。公共密钥保留在公共区域，可在用户中传输，甚至可印在报纸上面。而私钥必需存放在安全保密地方。任何人全部能够有你公钥，不过只有你一个人能有你私钥。它工作过程是：“你要我听你吗？除非你用我公钥加密该消息，我就能够听你，因为我知道没有她人在偷听。只有我私钥（其它人没有）才能解密该消息，所以我知道没有些人能读到这个消息。我无须担心大家全部有我公钥，因为它不能用来解密该消息。”非对称加密公开密钥加密机制虽提供了良好保密性，但难以判别发送者，即任何得到公开密钥人全部能够生成和发送报文。数字署名机制提供了一个判别方法，以处理伪造、抵赖、冒充和篡改等问题。数字署名通常采取非对称加密技术（如RSA），经过对整个明文进行某种变换，得到一个值，作为核实署名。接收者使用发送者公开密钥对署名进行解密运算，如其结果为明文，则署名有效，证实对方身份是真实。当然，署名也能够采取多个方法，比如，将署名附在明文以后。数字署名普遍用于银行、电子贸易等。数字署名不一样于手写签字：数字署名随文本改变而改变，手写签字反应某个人个性特征，是不变；数字署名和文本信息是不可分割，而手写签字是附加在文本以后，和文本信息是分离。值得注意是，能否切实有效地发挥加密机制作用，关键问题在于密钥管理，包含密钥生存、分发、安装、保管、使用和作废全过程。二、为何要进行数据加密1、对数据重视程度（1）无安全意识大多数中小企业认为自己数据无关紧要，加上对自己职员信心满满，对厂商提出数据防泄密方法置若罔闻，直到数据泄密给企业带来严重损失后才采取亡羊补牢方法。有一家企业，得悉我们企业在做加密软件，一时心血来潮就让我们企业安排人装上了，但没过几天认为麻烦，又把加密软件卸载了。可好景不长，没过十二个月，她信赖一个得力骨干带着多个人出去单干了，带走了全部设计和管理文件，才让她深刻地认识企业数据安全关键性。重新装上我加密软件后，即使还出现了职员离职单干事，但对她而言，企业电子文档没有出现丢失，损失相对来说就小得多。企业生产经营过程产生任何数据，全部是企业在日积月累中反复探索出来，不管是某个人劳动结果，还是集体劳动结果，全部是企业财富。部分貌似不紧要数据和文件，其实在产生过程中全部是付出了大量心血。所以，企业经营者一定要采取有效方法保护好这些数据财富。（2）有意识，嫌麻烦有些企业在选型加密软件时，常常会问到部分，比如职员回家加班怎么办？职员电脑是个人，不能影响她们自己使用之类问题。这些需求全部很轻易了解，在上一软件，尤其是上加密软件时把多种情况考虑到，对上软件以后实施工作是有很大帮助。问题是，有些企业过份担忧加密软件给现实状况带来冲击，最后项目就不了了之了。我们多年所做项目，有一部分是替换其它加密软件。企业之所以替换，有产品本身原因，比如有些产品功效考虑不全，没有充足考虑企业使用要求灵活性，造成应用过程职员出现抵触情绪。也有服务方面原因，比如没有充足培训到位，软件有功效企业不知道或不会用。企业数据防泄密方法和企业管理一样，也是要依据企业不一样发展阶段采取不一样手段。假如只有多个创业者，完全能够靠自律确保数据安全；而企业在快速发展过程中，数据安全性和应用灵活性必需同时兼顾。我们在软件实施过程中，会充足考虑软件实施给工作带来影响，在不一样实施阶段采取不一样加密策略。实施后紧密跟踪应用情况，对深化应用提出实施提议。（3）有方法，无管理有些企业即使上了加密软件，但仍然出现部分泄密事件，有些人便开始怀疑加密软件是否有用了。加密软件不是地牢，为方便企业交流也会有审批及解密功效，这些关口全部是由人去掌握，假如没有对应管理方法，出现数据泄密甚至形同虚设也不足为怪。这就跟一个企业有大门，有保安，但大门总是开着，保安对进出人员不闻不问一个道理。加密软件实施失败无外乎软件本身缺点及管理不妥两方面原因。软件缺点另当别论，但管理不妥引发失败尤其应引发企业重视。笔者认为，管理方面关键有以下两个原因：1.主管领导不重视。软件买来了，装上了，就不过问了，只有管理员在维护。有些中高领导还要求管理员开后门，甚至以多种借口卸载软件。慢慢地，数据关键性就变得不关键了，加密软件也就可有可无了。2.系统管理员常常换。加密软件管理员掌握着企业数据仓库钥匙，假如对其没有有效监督，企业数据安全便没有保障。保持系统管理员相对稳定，对其权限进行约束尤为关键。（4）高度重视一家成熟企业总是把数据安全放在十分关键地位。对她们而言，为数据安全增加管理成本是必需。我们有家这么用户，从职员一入厂便开始进行数据保密教育，人手一本保密手册，定时进行保密制度考评，直接和绩效挂钩。在上了我们加密软件后，不仅对管理员有明确职责要求，而且定时汇总数据，开专题会议分析数据流向，防范可能出现实施偏差。确保企业数据财富安全，一定是人防和技防并举，指望靠一个加密软件处理全部问题，是企业信息化过程中很轻易犯低级错误。结合多年实践经验，总结用好加密软件关键要素，最少应该包含以下三点：1.领导重视。要把企业数据看成财富和资产，有强烈数据安全意识，建立制度并监督实施。2.建立制度。用制度规范不一样岗位职责和数据流向，时刻提醒职员扣紧数据安全这根弦。3.做好服务。出现使用问题立即处理，出现业务冲突立即处理，但必需确保数据是安全。2、现有数据加密技术三、数据加密规范1、数据加密层次通常数据加密能够在通信三个层次来实现：链路加密、节点加密和端到端加密。链路加密：对于在两个网络节点间某一次通信链路，链路加密能为网上传输数据提供安全确保。对于链路加密（又称在线加密），全部消息在被传输之前进行加密，在每一个节点对接收到消息进行解密，然后先使用下一个链路密钥对消息进行加密，再进行传输。在抵达目标地之前，一条消息可能要经过很多通信链路传输。因为在每一个中间传输节点消息均被解密后重新进行加密，所以，包含路由信息在内链路上全部数据均以密文形式出现。这么，链路加密就掩盖了被传输消息源点和终点。因为填充技术使用和填充字符在不需要传输数据情况下就能够进行加密，这使得消息频率和长度特征得以掩盖，从而能够预防对通信业务进行分析。尽管链路加密在计算机网络环境中使用得相当普遍，但它并非没有问题。链路加密通常见在点对点同时或异步线路上，它要求先对在链路两端加密设备进行同时，然后使用一个链模式对链路上传输数据进行加密。这就给网络性能和可管理性带来了副作用。节点加密：尽管节点加密能给网络数据提供较高安全性，但它在操作方法上和链路加密是类似：二者均在通信链路上为传输消息提供安全性；全部在中间节点先对消息进行解密，然后进行加密。因为要对全部传输数据进行加密，所以加密过程对用户是透明。然而，和链路加密不一样，节点加密不许可消息在网络节点以明文形式存在，它先把收到消息进行解密，然后采取另一个不一样密钥进行加密，这一过程是在节点上一个安全模块中进行。节点加密要求报头和路由信息以明文形式传输，方便中间节点能得到怎样处理消息信息。所以这种方法对于预防攻击者分析通信业务是脆弱。端到端加密：端到端加密许可数据在从源点到终点传输过程中一直以密文形式存在。采取端到端加密（又称脱线加密或包加密），消息在被传输时抵达终点之前不进行解密，因为消息在整个传输过程中均受到保护，所以即使有节点被损坏也不会使消息泄露。端到端加密系统价格廉价些，而且和链路加密和节点加密相比更可靠，更轻易设计、实现和维护。端到端加密还避免了其它加密系统所固有同时问题，因为每个报文包均是独立被加密，所以一个报文包所发生传输错误不会影响后续报文包。另外，从用户对安全需求直觉上讲，端到端加密更自然些。单个用户可能会选择这种加密方法，方便不影响网络上其它用户，此方法只需要源和目标节点是保密即可。端到端加密系统通常不许可对消息目标地址进行加密，这是因为每一个消息所经过节点全部要用此地址来确定怎样传输消息。因为这种加密方法不能掩盖被传输消息源点和终点，所以它对于预防攻击者分析通信业务是脆弱。2、怎样选择适宜加密技术保障数据安全多年来，假如企业想使得数据含有一个额外安全度，她们能够选择性使用加密技术。然而非强制性进行加密日子已经一去不返了。现在，各行业企业全部受制于那些强制加密和其它安全标准规章制度限制，假如企业未能充足保护好她们数据，将受到严厉处罚。即使一个企业不受到这么规章制度限制，很多法律还要求企业对那些未加密用户数据遭到破坏安全攻击事件进行披露。所以，这已经不再是企业是否应该使用加密技术问题，而是一个企业应该怎样对数据进行加密问题。制订加密策略计划第一步是了解关键加密技术类型，包含存放加密技术、网络加密技术、应用程序级加密技术。即使多种方法全部有各自优点，但它们也有不足地方，我们也需要把这些原因考虑进去。权限管理：权限管理是一个更高级应用程序级加密技术，越来越多人正在使用它。权限管理是一项能够给加密文档分配权限技术。举例来说，这种加密政策会阻止用户从文件中拷贝数据，或打印一个受保护文档。权限管理一个优点是权限能够在后台服务端进行分配。这意味着假如一个用户计划把授权限控制文件拷贝到移动介质上带出企业，管理员只需把对应权限移除，就能够阻止这个用户取得该文档数据。Windows系统本身就支持权限管理，部分第三方产品也提供了类似功效。大多数情况下，权限管理在安全方面起着很好作用，不过因为产品不一样，初始化安装有时会很复杂。而且，依据权限管理设定方法，移动用户假如不连接到企业权限管理服务器上，则将无法打开受权限控制文档。另外一个潜在不足是，并非全部数据类型全部支持权限控制。理想情况下，权限控制确实能够把应用程序级加密功效结合起来，从而处理这些管理难题。怎样选择：因为存在多个类型加密技术，选择一个最适合本身需要技术对企业而言将成为一件很困难事情。第一步，确定你企业是否需要遵守联邦或行业法规，这些法规强制要求了数据该怎样进行安全保护。假如需要遵守话，能够把这些法规当成指导，进而决定应该选择何种加密方案。大多数企业想要采取分层方法。当包含到加密时，通常规则要求数据在静态和动态下全部能够对其进行保护。假如数据只是在存放级、或只在传输中进行加密，那么面对那些潜在风险，数据并没有得到完整保护。尽管应用程序级加密均满足这两个准则，但它也只能用来加强你网络安全，并不能作为一个唯一加密手段，因为不是全部应用程序全部提供了内置加密功效，而那些含有加密功效软件，其加密强度也有所不一样。假如一个企业不受要求加密行业规则影响，那么关键问题就是技术布署和维护上总成本和对职员要求。加密可能会在硬件、软件和技术支持上花费大量费用，所以确保合理收支效益很关键。不管一个企业选择什么样加密方案，对于终