劉朋輝
關(guān)鍵詞:網(wǎng)絡(luò)安全;數(shù)據(jù)加密;影響因素;加密類型;技術(shù)機(jī)制
1引言
在當(dāng)前信息化社會中,每天產(chǎn)生的數(shù)據(jù)量呈現(xiàn)爆炸式增長,在數(shù)據(jù)量增長的同時(shí),隨之而來的是安全性問題,是一個(gè)需要全社會共同應(yīng)對的挑戰(zhàn)。在當(dāng)前數(shù)據(jù)技術(shù)發(fā)展背景下,數(shù)據(jù)加密技術(shù)已經(jīng)成為一種新型的數(shù)據(jù)技術(shù),其主要利用數(shù)據(jù)加密鑰匙將數(shù)據(jù)密函[1]進(jìn)行轉(zhuǎn)換,從而將計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)換成無意義性質(zhì)的密文,實(shí)現(xiàn)對數(shù)據(jù)的加密保護(hù)。數(shù)據(jù)加密技術(shù)是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)過程中的重要技術(shù),對于網(wǎng)絡(luò)安全建設(shè)具有重要意義。數(shù)據(jù)加密技術(shù)的應(yīng)用范圍也越來越廣,包括應(yīng)用在RFID卡、銀行卡等產(chǎn)品中。數(shù)據(jù)加密技術(shù)主要包括專用密鑰加密技術(shù)、對稱密鑰加密技術(shù)以及公開密鑰加密技術(shù)等多種加密技術(shù)[2]。不同的數(shù)據(jù)加密技術(shù)建立了不同的密碼算法,其中包括TripleDES和IDEA等多種數(shù)據(jù)加密算法。常見的攻擊有漏洞攻擊、SQL注入、挖礦攻擊,木馬、外掛插件[3]等。為了切實(shí)保護(hù)用戶數(shù)據(jù)的安全,應(yīng)嚴(yán)格做好相應(yīng)的防護(hù)工作,針對不同攻擊特點(diǎn),制定出不同的應(yīng)對策略,以滿足不同數(shù)據(jù)的安全需求。在端到端加密、通信鏈路數(shù)據(jù)傳輸加密、節(jié)點(diǎn)數(shù)據(jù)加密[4]、身份認(rèn)證與數(shù)據(jù)簽名等領(lǐng)域應(yīng)用數(shù)據(jù)加密技術(shù),可以更好地保護(hù)數(shù)據(jù)的安全。
2數(shù)據(jù)加密技術(shù)
2.1端到端加密數(shù)據(jù)
采用端到端數(shù)據(jù)加密算法,可以實(shí)現(xiàn)數(shù)據(jù)包的獨(dú)立加密,滿足系統(tǒng)維護(hù)和管理的要求。然而,這種方法具有一定的局限性。比如,當(dāng)以消息的形式傳輸包含大量地址信息的數(shù)據(jù)時(shí),僅通過消息的獨(dú)立加密無法實(shí)現(xiàn)所需的保護(hù)效果,包括ide,DES,AES等,也存在一些缺點(diǎn)。其安全系數(shù)較低,如果存在安全威脅,數(shù)據(jù)信息可能會被盜(圖1)。
2.2數(shù)據(jù)鏈路加密
在通信線路中,數(shù)據(jù)的傳輸是依靠鏈路進(jìn)行傳輸?shù)?,由此可以對不同鏈路中的?shù)據(jù)進(jìn)行加密。實(shí)施數(shù)據(jù)加密后,可以保證數(shù)據(jù)的安全性。密文是數(shù)據(jù)傳輸過程中常見的形式,理論上,雖然對鏈路中的數(shù)據(jù)進(jìn)行了加密[5],但隨著鏈路數(shù)量的增加,數(shù)據(jù)加密工作將會非常煩瑣。因此,在數(shù)據(jù)接收方解密數(shù)據(jù)過程中,會產(chǎn)生一定的工作量,可能造成漏傳、重復(fù)傳輸、數(shù)據(jù)丟失的現(xiàn)象。在保障數(shù)據(jù)傳輸安全的同時(shí),采取鏈路加密是為了能夠及時(shí)獲取對應(yīng)的數(shù)據(jù)信息。為了提高數(shù)據(jù)獲取效率,可以在鏈路加密時(shí),對其中的加密設(shè)備進(jìn)行相應(yīng)的改進(jìn),在加密過程中,可以實(shí)施非對稱加密。通過采取公鑰加密、私鑰解密的策略,當(dāng)入侵者獲取公鑰密碼(圖2),不知道私鑰密碼的前提下,是很難攻破數(shù)據(jù)壁壘的,從而保障了數(shù)據(jù)的安全。常見的公鑰加密方法包括RSA加密算法和橢圓曲線加密算法[6],前者是基于大整數(shù)難易分解因子的原理,后者是基于離散數(shù)學(xué)的難題。
2.3節(jié)點(diǎn)數(shù)據(jù)與軟件加密
為確保主密鑰滿足數(shù)據(jù)傳輸?shù)囊?,并對?shù)據(jù)實(shí)施安全保護(hù).做好密鑰管理工作是非常有必要的。在密鑰管理方面,采取數(shù)據(jù)密鑰加密技術(shù),通過設(shè)置初始密鑰、會話密鑰進(jìn)行管理。采取節(jié)點(diǎn)加密可以提高服務(wù)器運(yùn)行效率,使數(shù)據(jù)傳輸(圖3)更具可靠性、安全性。當(dāng)數(shù)據(jù)通過傳輸線路加密后,再通過節(jié)點(diǎn)加密,會提高信息的安全性。針對一些免密數(shù)據(jù)的傳輸,會遇到較多的干擾因素,對接受者和發(fā)送者的要求是很高的。
2.4身份認(rèn)證與數(shù)據(jù)簽名
對于操作者權(quán)限的明確,可以通過身份認(rèn)證技術(shù)對操作者進(jìn)行相應(yīng)的識別和認(rèn)證,通過認(rèn)證后的操作者可以更快地識別數(shù)據(jù),在提高數(shù)據(jù)通過效率的同時(shí),也可以保護(hù)數(shù)據(jù)的安全。為了改善網(wǎng)絡(luò)運(yùn)行環(huán)境,可以采取對稱加密和非對稱加密的方法,從而保護(hù)數(shù)據(jù)的安全[7]。
數(shù)字口令認(rèn)證是當(dāng)前數(shù)字簽名認(rèn)證常見的形式。為了增強(qiáng)安全防護(hù)效果,更準(zhǔn)確地進(jìn)行用戶身份認(rèn)證,可以通過該技術(shù),準(zhǔn)確獲取前端與后端的數(shù)據(jù)處理方式,滿足數(shù)據(jù)跟蹤的具體要求,以快速識別相應(yīng)的操作系統(tǒng)類型以及使用權(quán)限[8],從而可以通過相關(guān)策略來維持系統(tǒng)高效、穩(wěn)定運(yùn)轉(zhuǎn),進(jìn)而保護(hù)數(shù)據(jù)的安全。
2.5數(shù)據(jù)庫加密
數(shù)據(jù)庫加密是一個(gè)很好的防護(hù)方法,對數(shù)據(jù)庫進(jìn)行訪問時(shí),在安全代理服務(wù)中進(jìn)行數(shù)據(jù)存取控制,采用數(shù)據(jù)加密安全策略,可以根據(jù)數(shù)據(jù)庫的特點(diǎn)和類型采取具有針對性的加密方法,從而保障用戶數(shù)據(jù)的安全。
3多重加密方式保護(hù)數(shù)據(jù)安全
3.1數(shù)據(jù)庫與應(yīng)用層雙重加密
采取數(shù)據(jù)庫加密的方式,將加密模式內(nèi)置于數(shù)據(jù)庫中,借助透明加密數(shù)據(jù)的能力,通過脫敏展示增強(qiáng)原數(shù)據(jù)的安全性。在數(shù)據(jù)寫入磁盤前,通過透明的數(shù)據(jù)加密TDE,對數(shù)據(jù)文件執(zhí)行I/O解密和加密,在磁盤中,讀人內(nèi)存時(shí),進(jìn)行解密。在數(shù)據(jù)庫的密鑰中,組件和API在應(yīng)用透明中實(shí)現(xiàn)加密。
在應(yīng)用層,當(dāng)數(shù)據(jù)到達(dá)數(shù)據(jù)庫之前,實(shí)時(shí)傳輸敏感數(shù)據(jù)并在應(yīng)用層進(jìn)行加密,能夠增加數(shù)據(jù)的透明性。通過跨多數(shù)據(jù)庫來提供統(tǒng)一的加密策略,可以增強(qiáng)數(shù)據(jù)的安全性,且不需要第三方廠商提供安全方案。將加密的數(shù)據(jù)控制在用戶的手中,是保障數(shù)據(jù)安全的一個(gè)很重要的方法,從而避免第三方廠商或者其他人對數(shù)據(jù)進(jìn)行非法操作,避免造成信息數(shù)據(jù)泄露。在密鑰管理的創(chuàng)建、生命期的建設(shè)等過程中,要牢牢把握數(shù)據(jù)安全原則,建立獨(dú)立的數(shù)據(jù)加密機(jī)制,并實(shí)施根密鑰保護(hù)策略。通過用戶的口令保護(hù),對密鑰文件進(jìn)行保護(hù),當(dāng)口令正確、主密鑰解密成功時(shí),通過密鑰文件即可生成可用的密鑰。
3.2防數(shù)據(jù)泄露措施
利用相關(guān)數(shù)據(jù)加密策略,有時(shí)并不能徹底消除系統(tǒng)運(yùn)維環(huán)境、應(yīng)用環(huán)境安全威脅。來自應(yīng)用系統(tǒng)的后門程序、數(shù)據(jù)庫漏洞、SQL注入攻擊、第三方運(yùn)維的誤操作等,會造成數(shù)據(jù)丟失,影響對應(yīng)系統(tǒng)的安全性。為防止數(shù)據(jù)信息泄露,在數(shù)據(jù)庫防火墻中,采用邊界防護(hù)技術(shù),在邊界區(qū)域做好防護(hù)策略,通過細(xì)粒度的訪問對數(shù)據(jù)庫進(jìn)行控制,從而在防攻擊、防批量數(shù)據(jù)下載方面有效防止數(shù)據(jù)泄露。
3.2.1監(jiān)控并審計(jì)數(shù)據(jù)的訪問行為
黑客千變?nèi)f化的攻擊行為以及系統(tǒng)的復(fù)雜性會對數(shù)據(jù)的管理、維護(hù)帶來一定的影響。所以,對重要的數(shù)據(jù)進(jìn)行訪問控制,通過持續(xù)、實(shí)時(shí)的監(jiān)控、審計(jì),生成對應(yīng)的風(fēng)險(xiǎn)報(bào)告,可以讓新用戶發(fā)現(xiàn)新風(fēng)險(xiǎn),進(jìn)而增強(qiáng)用戶數(shù)據(jù)的安全性。
3.2.2利用自動(dòng)脫敏技術(shù)防止數(shù)據(jù)泄露
在企業(yè)內(nèi)部測試環(huán)境中,采用數(shù)據(jù)的自動(dòng)脫敏技術(shù),可以在數(shù)據(jù)處理過程中避免數(shù)據(jù)信息暴露敏感性,為測試環(huán)境提供預(yù)期的安全測試數(shù)據(jù)。所謂脫敏加密,是指在數(shù)據(jù)加密過程中對數(shù)據(jù)進(jìn)行編碼。在檢索數(shù)據(jù)的過程中,檢索原始值的方法是使用解密密鑰解碼數(shù)據(jù)??梢酝ㄟ^密態(tài)計(jì)算技術(shù)加密數(shù)據(jù),在數(shù)據(jù)參與計(jì)算的過程中兼顧安全需求。在文件層、存儲層所處的位置進(jìn)行數(shù)據(jù)安全計(jì)算,可以避免數(shù)據(jù)庫位于下層位置時(shí)數(shù)據(jù)的計(jì)算很難被感知到的問題。數(shù)據(jù)加密完成后,其數(shù)據(jù)特征會丟失,會影響執(zhí)行器、孵化器的執(zhí)行效率。所以,在應(yīng)用層、文件層中實(shí)施密態(tài)計(jì)算技術(shù)加密,可以在一定程度上防止出現(xiàn)該問題。
3.3國密算法與統(tǒng)一管控
針對國密算法中的加密,常用的算法有SM代表商密等系列密碼,這些密碼遵照國家密碼管理局公布的密碼算法應(yīng)用規(guī)范及對應(yīng)的標(biāo)準(zhǔn)。部分密碼已經(jīng)成為國際密碼。商業(yè)密碼中的大部分密碼涉及商業(yè)領(lǐng)域,在企業(yè)做決策的過程中,對商業(yè)密碼進(jìn)行統(tǒng)一管理是一個(gè)很重要的方法。采取統(tǒng)一的數(shù)據(jù)加密技術(shù),可以根據(jù)全局、細(xì)粒度安全性對數(shù)據(jù)進(jìn)行統(tǒng)一管理。數(shù)據(jù)加密時(shí)存在風(fēng)險(xiǎn)和挑戰(zhàn),對相關(guān)數(shù)據(jù)加密之后,存在無法還原之前數(shù)據(jù)的可能性,這時(shí)通過密文與明文并存的方法即可解決該問題。并存與隔離是一個(gè)有效的數(shù)據(jù)加密方法,可以實(shí)現(xiàn)數(shù)據(jù)同時(shí)存儲在不同的數(shù)據(jù)庫中,最大限度地保障了數(shù)據(jù)安全。
4結(jié)束語
通過利用常見的數(shù)據(jù)加密技術(shù),可以防止數(shù)據(jù)庫出現(xiàn)漏洞時(shí)數(shù)據(jù)遭到非法篡改。采用端到端加密、節(jié)點(diǎn)加密、數(shù)據(jù)簽名、鏈路數(shù)據(jù)加密、身份認(rèn)證等方法,可以對重要數(shù)據(jù)進(jìn)行全方位保護(hù)。結(jié)合多種數(shù)據(jù)加密技術(shù)的優(yōu)點(diǎn)進(jìn)行多重防御,可以確保計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)安全,降低網(wǎng)絡(luò)遭受攻擊的風(fēng)險(xiǎn),從而提升人們的生產(chǎn)和生活水平。