數據加密技術在信息系統中的應用

93142部隊 袁玉飛 韓 涵 郭 帥

近年來，國內外在信息保密安全防護方面的研究，主要是在兩個方面，一是以密碼學為基礎的各類加密方式，二是以計算機信息網絡為對象的信息通信安全研究，在保障通信信息安全方面所采用的技術仍主要是數據加密技術，數據加密技術已廣泛滲透到各行各業信息安全保障技術之中，并作為它們的重要基礎。為此，針對當前復雜多變的網絡信息通信環境，探討數據加密技術在信息系統的建設、使用、管理等方面應用，將成為我們研究的重點。

1 數據加密技術對信息系統安全保障的重要意義

隨著我國信息化建設的不斷發展，各類型信息系統部署到各行各業，信息化建設高速發展的同時也帶來了不可忽視的安全隱患，信息化條件下，敵對勢力為獲取信息優勢，采用各種手段，如常規的病毒、黑客軟件，IP攻擊等，還有最新發展起來的無線注入等技術，對我信息系統關鍵節點和要害部位進行竊密和破壞等活動，嚴重威脅了信息系統的安全運行。為能有效保證信息系統安全，使其系統效能獲得充分發揮，我們常采取防火墻、入侵檢測、漏洞掃描、防病毒、電磁屏蔽等多種防護手段，這些防護手段以成為核心要害部門建設的基礎框架，但隨著信息技術的發展，傳統的防護手段已經遠不能滿足系統的安全需求，新型的安全防護手段逐步成了信息安全防護的主力軍，數據加密技術便是其中重要安全防護手段之一。

2 數據加密技術概述

數據加密技術，其核心基礎是密碼學，主要通過加密算法和密鑰將明文數據信息轉變為密文數據信息的過程，而解密通過解密算法和密鑰將加密數據信息恢復為明文數據信息的過程。數據加密技術仍就是當前對數據信息進行保護的一種最為可靠和有效的辦法，它利用加密算法和密鑰對數據信息進行加密，實現對真實數據信息隱蔽，從而起到保護數據信息安全的作用。當前，常用的數據加密技術主要有對稱加密技術和非對稱加密技術兩種。

2.1 對稱加密技術

在當前數據信息加密技術中，對稱性加密法是使用較為廣泛的一種加密方法，其主要采用的是相同密鑰同時對數據信息加密和解密，這種數據加密方式也可稱為單密鑰加密方式，是目前最為常見的數據信息加密技術之一。采用對稱加密算法，使用相同的密鑰對數據信息加密和解密，具有加解密速度快、效率高、資源占用少、使用成本低、算法公開、技術成熟等特性，因此，在目前信息系統建設使用中應用較為廣泛。對于對稱加密技術，不足之處是主要是密鑰的傳遞、保存、管理存在困難，密鑰的安全性、可靠性不能較好的保障。針對使用要求不用，目前使用較廣泛的對稱加密算法主要有DES、3DES、RC4、AES、IDEA等。

2.2 非對稱性加密法

數據加密技術中的非對稱性加密與對稱性加密有著極大的不同。非對稱加密，也可稱公（私）鑰加密，即數據信息發送方與接收方分別采用不同的密鑰，來對數據信息進行加解密。在具體的應用中，數據信息通信前，信息接收方必須將隨機生成的公鑰傳遞給信息發送方，私鑰由信息接收方獨自保管，只有公鑰與私鑰進行匹配才能夠對數據信息進行加解密，這樣就保證了數據傳輸雙方可在不交流私鑰的情況下，便可直接傳輸數據，保證了密鑰的安全性。非對稱性加密法在實際應用中較對稱加密算法具有更高的安全性，但在使用中也具有算法相對復雜、資源占用多、加解密速度慢、效率低的問題，因而，非對稱加密技術主要應用于在數字證書、簽名等領，目前，常用的非對稱加密算法主要有RSA、DSA、EIGamal等算法。

3 探究信息系統建設中加密技術的具體應用

信息系統安全防護體系中，密碼技術在各類系統、多個業務環節都起到了至關重要的作用，根據不同業務使用不同的密碼技術，保證業務效率的同時使系統更加安全。

3.1 公鑰基礎設施（PKI）的應用

PKI是一種利用非對稱加密算法理論和技術建立及提供安全服務，采用通用的技術規范及標準，是創建、分發、管理、銷毀密鑰和確認信息，證書服務、加密技術等一系列軟硬件的集合體，其技術基礎仍是加密技術，這種技術是目前網絡安全建設的核心和關鍵，在各類型信息系統已取得了較為廣泛的應用，他通過數據加密、身份認證等密碼服務及所須的證書服務，為實現信息系統網絡數據通信的機密性、完整性提供了一套較為完備的解決方案。

3.2 數據庫系統中的應用

隨著各行業信息化建設的發展，數據庫技術已經成為信息系統建設基礎支持技術，其系統的安全性決定了整個信息通信網絡環境及數據信息傳輸環境的安全水平，對于信息系統而言，數據庫系統除了承載常規數據處理，還需要負責各種權限以及身份認證工作，其系統中數據庫的安全直接關系到整個信息系統的安全水平，只有切實加強信息系統中數據庫安全水平的建設，才能確保數據庫系統在高性能、高可用性同時提升數據的安全性。采用數據庫數據加密技術，就是為增強數據庫管理系統的安全性，提供一個安全加密平臺，對數據庫系統存儲的數據信息進行有效保護，通過對數據庫存儲信息加密等安全方法實現了數據信息的保密性和完整性，使得數據庫可以對存儲數據進行密文存儲并在密態方式下工作，確保了信息數據的安全。目前，數據庫加密技術主要包含身份認證、通信加密、完整性保護、存儲加密、密鑰管理、安全備份等功能和特性。

3.3 網絡存儲中的應用

網絡存儲（NAS）是指一種專用的數據存儲服務器，集中管理和處理網絡上的所有數據，用戶在網絡上存取數據無需在應用服務器進行干預，使存儲負載從應用服務器中卸載下來。目前，信息系統常常采用存儲局域網或網絡存儲系統等存儲架構，利用有線通信網絡進行連接，從而整合整個信息系統的存儲資源，以提高使用及運行效率，但由于存儲網絡允許用戶從多個節點存取數據信息資源，導致數據信息資源遭受攻擊或非授權存取數據資源的幾率大為增加，因此，采用網絡存儲加密技術變得至關重要。目前常用的存儲加密技術主要有兩種：一種加密方式是通過網絡存儲的自帶存儲加密功能，用戶根據自身需要可對文件加密或者文件夾添加密碼，存儲會對相應區域進行數據加密，需要訪問加密文件時則需要提供正確的密鑰才可解密，另一種方式是通過在網絡中部署加密網關，用戶在存取數據信息時都通過加密網關進行加解密和認證授權。通過存儲加密，即便是具有超級權限的管理人員，在沒有密鑰的情況下也只能得到密文數據，無法獲取任何有用的數據信息。

3.4 信息傳遞中的應用

在信息系統中，各級信息系統進行互聯互通，大量的數據通過網絡進行傳輸，任何節點出現問題，將對整個信息系統的安全可靠運行形成致命性的打擊，為保證數據的安全可靠傳輸，對網絡傳輸數據的加密由顯重要。目前，常用的信息數據傳輸加密技術由線路加密以及端一端加密兩種方式組成，它們的目的都是對網絡傳輸數據進行加密。線路加密，又可細分為鏈路加密和節點加密，對于每個入網節點，通常采用配置信道保密機或密碼裝置來實現，加密效果好，但使用成本相對較高，而端對端的加密方法穩定而且簡單，成本也非常低，在目前的計算機通信網絡系統建設中運用的最為廣泛。

3.5 文件系統中的應用

信息系統很多敏感數據，有部分是以文件的形式存儲在系統服務器或應用終端，一旦服務器或終端存在安全漏洞或人為原因，導致文件信息被惡意篡改或丟失泄密，將影響整個信息系統的安全可靠運行，因此，對信息系統采用文件系統的加密極為重要。文件加密是指采用密碼加密技術對各類敏感數據信息文件進行加密防止非法泄密的計算機加密控制，目前常用的文件加密主要通過加密指定文檔、泄密控制、審批管理、離線文檔管理、用戶權限管理、審計管理、操作系統自身文件保護等的方式來實現。

對上述五個主要的密碼技術在信息系統上的應用場景進行分析，通過公鑰基礎設施、數據庫加密、網絡存儲加密、信息傳遞加密、文件系統加密五個基本方面，構建了信息系統從基礎設施、數據安全、存儲安全、傳輸安全、應用安全方面業務的基本密碼技術應用體系。

信息化建設的不斷發展，各種新技術、新手段在系統建設中的廣泛應用，給網絡信息安全以及信息數據的完整性、保密性提出了更高要求，數據加密技術將廣泛運用于信息系統建設、使用、管理等方面，作為信息系統研究、開發及管理人員，在數據安全方面需開拓思維，提升創新思想，推進信息加密技術的進一步發展，將數據加密技術逐步運用到信息系統信息安全管理的每一個環節中，全方位的提升信息系統的安全防護能力。