數據加密技術在保障企業通信數據安全中的應用

李 梅

（蘇州高博軟件技術學院，江蘇 蘇州 215163）

0 引 言

目前，計算機病毒、不法分子和網絡黑客都在不斷威脅計算機網絡通信的安全，使得網絡通信數據很容易被惡意竊取和篡改。把數據加密技術引入到網絡通信過程中，既可以保護數據信息擁有者的隱私，也能夠保證網絡上數據傳輸的完整性和真實性。數據加密技術指的是利用加密算法對數據原文進行加密轉換，生成一串跟原文數據完全不相同的亂碼信息，從而實現對數據信息保護的目的，讓攻擊者難以推算出原文數據。加密技術生成的亂碼信息沒有任何意義，只有在具備解密密鑰的情況下，才能實現對加密數據的解密操作，從而恢復數據原文信息。跟其他的數據安全防護技術相比較，數據加密技術的實現方式比較簡單，能夠被技術人員快速掌握并實際應用，從而降低數據安全防護的成本。

1 企業數據信息容易發生泄露的原因

1.1 存儲較為分散，管控難度較大

企業的數據信息量非常龐大、內容頗為復雜，且大部分數據信息都保存在服務器，又或者分散在企業員工的辦公終端。由于企業的員工不斷在流動，每天都有入職和離職人員，企業人員的流失將會使得企業的數據信息更加容易被泄露。同時，由于企業的數據信息大多沒有實現集中化的管理，且機密和敏感的數據信息也大多存放的比較分散，很難對企業的數據信息進行統一的管控，讓數據信息面臨著隨時被泄露和被竊取的風險。

1.2 數據被泄露的風險逐漸變高

由于大多數企業目前都沒有統一的數據安全防護體系，一些敏感和機密的數據信息缺乏主動的安全防護能力，使得企業員工無意或者有意的泄露企業內部數據信息的事件頻頻發生，給企業的經濟和形象都帶來了巨大的損失。此外，由于目前企業辦公時所用到的打印機、移動存儲介質、計算機和網絡的數據保存或傳輸的途徑難以實現統一的管控，且當前黑客的攻擊水平日益提高，進而會讓企業數據被泄露的風險逐漸變高。

1.3 缺少有效的追蹤和監管的方法

在企業內部，往往運維人員或者前臺業務人員能夠直接訪問數據庫系統和業務系統，并且可以通過下載、郵件、U盤等多種方式泄露系統的數據信息。當前大多數企業缺少關于數據信息傳遞過程的有效追蹤和監管，甚至于對數據信息的篡改、惡意刪除等高危操作都難以及時發現并制止。

2 當前主流的數據加密算法

2.1 MD5算法

MD5算法以128位作為基本數據單位，因此較普遍應用于計算機網絡通信中。通常，在文件下載和生成方面對于MD5算法的使用比較多。當用戶在一個不安全的網絡環境中進行數據文件的下載時，如果通過MD5算法計算出的校驗值一致，那么就說明下載的數據文件是沒有被人惡意篡改的；而如果通過MD5算法計算出的校驗值不相同，則說明用戶下載的數據文件的完整性已經遭到了破壞，通常是被攻擊者惡意篡改過。如果用戶下載數據文件而不進行安全驗證，那么用戶最終下載的數據文件很有可能無法操作和瀏覽，嚴重時可能還會令計算機遭到惡意代碼的攻擊。當前有很多和MD5算法相關的驗證和檢測程序，可以幫助用戶有效識別在不安全網絡環境中下載的數據文件的安全性。

2.2 DES算法

DES算法是一種分組對稱的加解密算法，它在加密明文之前，會把明文進行分組處理，且每個組的長度均為64位。在對每個組的明文進行加密處理之后，將會生成一組長64位的密文，而每個組加密之后得到的密文拼在一起就組成了最終的整個密文。DES算法使用的密鑰長度為64位，并且其中的8位是用來做奇偶校驗的。實際使用DES加密算法時，發送方會通過迭代加密來增加數據信息的加密性，從而提高加密數據被攻擊者破解的難度。對于DES加密算法來說，它的計算方式主要有置換以及移位。

2.3 RSA算法

RSA加密算法把數學計算作為加密過程的基礎，它加密的最終效果要明顯優于其他加密算法。RSA加密算法在加密原理中應用到了非對稱密鑰以及數論構造的知識，因此實現的最終加密結果很難被攻擊者所破解。RSA加密算法有兩個不同的密鑰，首先對兩個大素數相乘得到乘積，然后利用計算出的乘積來加密數據。因此即便攻擊者知道了最終的乘積，也很難倒推出具體的大素數值，而且對于大素數的選擇也是通過加密算法隨機生成的，因此RSA算法對數據的加密性得到了進一步提高。RSA加密算法圍繞H值開展加密運算，增加了對約束條件的限制性，一旦突破了限制條件和原則將無法對密文進行解密，這也是RSA加密算法不同于其他加密算法的地方。

3 數據加密技術在企業數據安全的主要應用

3.1 對局域網數據進行安全傳輸

當前局域網是機構以及企業內部通信網絡建設的重點工作，給企業的信息化發展帶來了機遇和挑戰。局域網是一種內部的信息網絡，能夠實現局域內部的網絡信息通信，因此被廣泛地用于企業內部的數據信息管理。企業如果想要避免內部網絡傳輸的數據被企業外部的攻擊者獲取到，就必須在局域網內對傳輸的數據信息開展安全管理。借助數據加密技術加密傳輸的數據，能夠實現在不改變局域網數據傳輸方法的前提下，有效保證企業內部網絡通信的數據安全。企業內部局域網的數據傳輸保密安全性和效率要求很高，因此可以借助對稱加密算法的網絡資源占有率低且操作簡單的優勢來對傳輸數據進行加密。

3.2 對數據庫中存儲的數據開展保密管理

目前，互聯網中涌現出了很多新興的信息技術。對于這些新興的信息技術，如果它所使用的數據庫遭到了攻擊者的惡意攻擊，則數據庫中保存的所有數據和信息將會直接被攻擊者獲取到。一旦數據庫信息被攻擊者拿到，將會令數據庫的擁有者和管理者面臨巨大的損失，因此對數據庫存儲的數據開展有效的保護變得非常重要。目前，國內很多數據庫管理平臺都是基于Windows系統，由于公共信道偏弱使得傳輸數據時不能有效保證數據的安全性，進而使得攻擊者很容易對重要的數據信息進行盜用和竊取。因此，必須要加密處理數據庫所涉及的數據信息。此外，如果對數據庫進行訪問時權限不夠，那么應當拒絕數據庫數據被此人訪問。

3.3 對計算機軟件運行的數據執行加密處理

軟件加密技術的原理跟其他加密技術差不多，它可以借助軟件來對數據信息進行加密處理。對計算機軟件數據進行加密處理的目的，就是防止用戶在使用軟件時產生信息泄露的問題。此外，還需要加密管理和存儲軟件中涵蓋的用戶數據隱私信息。例如，用戶在登錄軟件時，需要禁止明文傳輸密碼數據；在軟件登錄前臺向軟件后臺發送用戶輸入的密碼以進行密碼匹配處理時，必須要在發送前對密碼進行加密，并在軟件后端解密前臺獲取的密碼密文。

4 數據加密技術在防止企業數據泄露方面的主要應用

4.1 為企業內部辦公終端建立一種數據安全防護體系

企業內部的辦公終端常常保存各種與業務相關的數據信息，這些保存在本地的數據信息通常沒有加密也沒有做任何的數據安全防護措施。由于缺乏有效的數據安全防護體系，使得企業內部辦公終端保存的數據信息很容易遭到泄露和攻擊者的竊取，從而給企業帶來巨大的經濟和形象損失。因此，可以借助數據加密技術設置一種先進高效的文件過濾層，從而對數據實施源頭加密。同時，被加密的相關數據信息也只能在企業內部進行流轉。換言之，如果終端里保存的加密數據沒有經過授權被私自帶出企業辦公區，那么終端里的加密數據將不能正常使用。圖1為辦公終端數據安全防護體系。

圖1 辦公終端數據安全防護體系

4.2 實現服務器數據信息自動加解密

當把企業內部辦公終端的數據信息進行加密之后，既需要保證應用系統和數據信息能夠實現無縫的兼容，又需要保證在應用系統中數據信息的安全性。為了解決這一難題，可以通過建立一種服務器的白名單來實現數據的兼容和安全性。如果企業要求從辦公終端上傳到應用系統的數據信息以明文形式保存，可以在服務器的白名單中加入這些要求保存明文信息的系統服務器，這樣從辦公終端上傳到服務器的數據信息會自動進行解密操作來保存數據明文。但是對于不在白名單里的其他服務器，它保存的辦公終端上傳的數據信息依舊以密文的形式保存。此外，企業辦公人員在辦公網中通過辦公終端從服務器上下載相關數據信息時，數據信息會自動執行加密操作，從而防止數據信息的泄露。圖2為服務器明文保存數據時的加解密過程。

圖2 服務器明文保存數據時的加解密過程

4.3 為企業創建一種高效且安全的移動辦公環境

企業如果想創建出一種高效且安全的移動辦公環境，可以在用戶通過自己的移動終端去訪問企業應用系統之前，對用戶使用的移動終端開展有效的識別認證，嚴格控制訪問應用系統的移動設備和人員。在用戶通過移動終端訪問應用系統里的數據信息時，需要為相關數據信息建立一個安全的數據傳輸通道，避免數據在傳輸的過程中被惡意攻擊者竊取，從而保證應用系統數據的安全性。此外，還要對保存在移動終端本地的數據信息進行加密處理，避免移動設備中存儲的數據信息被泄露。圖 3 為移動終端訪問應用系統數據的安全防護過程。

圖3 移動終端訪問應用系統數據的安全防護過程

5 結 論

在當前信息技術飛速發展的時代，計算機網絡通信技術為人們的生活提供了便利，但是也讓人們面臨著隱私和敏感信息泄露的風險。因此，為了保證數據信息在網絡上傳輸的安全性，必須有效利用各種加密算法及技術。