數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用

劉朋輝

關(guān)鍵詞：網(wǎng)絡(luò)安全；數(shù)據(jù)加密；影響因素；加密類型；技術(shù)機制

1引言

在當前信息化社會中，每天產(chǎn)生的數(shù)據(jù)量呈現(xiàn)爆炸式增長，在數(shù)據(jù)量增長的同時，隨之而來的是安全性問題，是一個需要全社會共同應(yīng)對的挑戰(zhàn)。在當前數(shù)據(jù)技術(shù)發(fā)展背景下，數(shù)據(jù)加密技術(shù)已經(jīng)成為一種新型的數(shù)據(jù)技術(shù)，其主要利用數(shù)據(jù)加密鑰匙將數(shù)據(jù)密函[1]進行轉(zhuǎn)換，從而將計算機網(wǎng)絡(luò)中的數(shù)據(jù)轉(zhuǎn)換成無意義性質(zhì)的密文，實現(xiàn)對數(shù)據(jù)的加密保護。數(shù)據(jù)加密技術(shù)是當前計算機網(wǎng)絡(luò)建設(shè)過程中的重要技術(shù)，對于網(wǎng)絡(luò)安全建設(shè)具有重要意義。數(shù)據(jù)加密技術(shù)的應(yīng)用范圍也越來越廣，包括應(yīng)用在RFID卡、銀行卡等產(chǎn)品中。數(shù)據(jù)加密技術(shù)主要包括專用密鑰加密技術(shù)、對稱密鑰加密技術(shù)以及公開密鑰加密技術(shù)等多種加密技術(shù)[2]。不同的數(shù)據(jù)加密技術(shù)建立了不同的密碼算法，其中包括TripleDES和IDEA等多種數(shù)據(jù)加密算法。常見的攻擊有漏洞攻擊、SQL注入、挖礦攻擊，木馬、外掛插件[3]等。為了切實保護用戶數(shù)據(jù)的安全，應(yīng)嚴格做好相應(yīng)的防護工作，針對不同攻擊特點，制定出不同的應(yīng)對策略，以滿足不同數(shù)據(jù)的安全需求。在端到端加密、通信鏈路數(shù)據(jù)傳輸加密、節(jié)點數(shù)據(jù)加密[4]、身份認證與數(shù)據(jù)簽名等領(lǐng)域應(yīng)用數(shù)據(jù)加密技術(shù)，可以更好地保護數(shù)據(jù)的安全。

2數(shù)據(jù)加密技術(shù)

2.1端到端加密數(shù)據(jù)

采用端到端數(shù)據(jù)加密算法，可以實現(xiàn)數(shù)據(jù)包的獨立加密，滿足系統(tǒng)維護和管理的要求。然而，這種方法具有一定的局限性。比如，當以消息的形式傳輸包含大量地址信息的數(shù)據(jù)時，僅通過消息的獨立加密無法實現(xiàn)所需的保護效果，包括ide，DES，AES等，也存在一些缺點。其安全系數(shù)較低，如果存在安全威脅，數(shù)據(jù)信息可能會被盜（圖1）。

2.2數(shù)據(jù)鏈路加密

在通信線路中，數(shù)據(jù)的傳輸是依靠鏈路進行傳輸?shù)模纱丝梢詫Σ煌溌分械臄?shù)據(jù)進行加密。實施數(shù)據(jù)加密后，可以保證數(shù)據(jù)的安全性。密文是數(shù)據(jù)傳輸過程中常見的形式，理論上，雖然對鏈路中的數(shù)據(jù)進行了加密[5]，但隨著鏈路數(shù)量的增加，數(shù)據(jù)加密工作將會非常煩瑣。因此，在數(shù)據(jù)接收方解密數(shù)據(jù)過程中，會產(chǎn)生一定的工作量，可能造成漏傳、重復(fù)傳輸、數(shù)據(jù)丟失的現(xiàn)象。在保障數(shù)據(jù)傳輸安全的同時，采取鏈路加密是為了能夠及時獲取對應(yīng)的數(shù)據(jù)信息。為了提高數(shù)據(jù)獲取效率，可以在鏈路加密時，對其中的加密設(shè)備進行相應(yīng)的改進，在加密過程中，可以實施非對稱加密。通過采取公鑰加密、私鑰解密的策略，當入侵者獲取公鑰密碼（圖2），不知道私鑰密碼的前提下，是很難攻破數(shù)據(jù)壁壘的，從而保障了數(shù)據(jù)的安全。常見的公鑰加密方法包括RSA加密算法和橢圓曲線加密算法[6]，前者是基于大整數(shù)難易分解因子的原理，后者是基于離散數(shù)學(xué)的難題。

2.3節(jié)點數(shù)據(jù)與軟件加密

為確保主密鑰滿足數(shù)據(jù)傳輸?shù)囊螅?shù)據(jù)實施安全保護．做好密鑰管理工作是非常有必要的。在密鑰管理方面，采取數(shù)據(jù)密鑰加密技術(shù)，通過設(shè)置初始密鑰、會話密鑰進行管理。采取節(jié)點加密可以提高服務(wù)器運行效率，使數(shù)據(jù)傳輸（圖3）更具可靠性、安全性。當數(shù)據(jù)通過傳輸線路加密后，再通過節(jié)點加密，會提高信息的安全性。針對一些免密數(shù)據(jù)的傳輸，會遇到較多的干擾因素，對接受者和發(fā)送者的要求是很高的。

2.4身份認證與數(shù)據(jù)簽名

對于操作者權(quán)限的明確，可以通過身份認證技術(shù)對操作者進行相應(yīng)的識別和認證，通過認證后的操作者可以更快地識別數(shù)據(jù)，在提高數(shù)據(jù)通過效率的同時，也可以保護數(shù)據(jù)的安全。為了改善網(wǎng)絡(luò)運行環(huán)境，可以采取對稱加密和非對稱加密的方法，從而保護數(shù)據(jù)的安全[7]。

數(shù)字口令認證是當前數(shù)字簽名認證常見的形式。為了增強安全防護效果，更準確地進行用戶身份認證，可以通過該技術(shù)，準確獲取前端與后端的數(shù)據(jù)處理方式，滿足數(shù)據(jù)跟蹤的具體要求，以快速識別相應(yīng)的操作系統(tǒng)類型以及使用權(quán)限[8]，從而可以通過相關(guān)策略來維持系統(tǒng)高效、穩(wěn)定運轉(zhuǎn)，進而保護數(shù)據(jù)的安全。

2.5數(shù)據(jù)庫加密

數(shù)據(jù)庫加密是一個很好的防護方法，對數(shù)據(jù)庫進行訪問時，在安全代理服務(wù)中進行數(shù)據(jù)存取控制，采用數(shù)據(jù)加密安全策略，可以根據(jù)數(shù)據(jù)庫的特點和類型采取具有針對性的加密方法，從而保障用戶數(shù)據(jù)的安全。

3多重加密方式保護數(shù)據(jù)安全

3.1數(shù)據(jù)庫與應(yīng)用層雙重加密

采取數(shù)據(jù)庫加密的方式，將加密模式內(nèi)置于數(shù)據(jù)庫中，借助透明加密數(shù)據(jù)的能力，通過脫敏展示增強原數(shù)據(jù)的安全性。在數(shù)據(jù)寫入磁盤前，通過透明的數(shù)據(jù)加密TDE，對數(shù)據(jù)文件執(zhí)行I/O解密和加密，在磁盤中，讀人內(nèi)存時，進行解密。在數(shù)據(jù)庫的密鑰中，組件和API在應(yīng)用透明中實現(xiàn)加密。

在應(yīng)用層，當數(shù)據(jù)到達數(shù)據(jù)庫之前，實時傳輸敏感數(shù)據(jù)并在應(yīng)用層進行加密，能夠增加數(shù)據(jù)的透明性。通過跨多數(shù)據(jù)庫來提供統(tǒng)一的加密策略，可以增強數(shù)據(jù)的安全性，且不需要第三方廠商提供安全方案。將加密的數(shù)據(jù)控制在用戶的手中，是保障數(shù)據(jù)安全的一個很重要的方法，從而避免第三方廠商或者其他人對數(shù)據(jù)進行非法操作，避免造成信息數(shù)據(jù)泄露。在密鑰管理的創(chuàng)建、生命期的建設(shè)等過程中，要牢牢把握數(shù)據(jù)安全原則，建立獨立的數(shù)據(jù)加密機制，并實施根密鑰保護策略。通過用戶的口令保護，對密鑰文件進行保護，當口令正確、主密鑰解密成功時，通過密鑰文件即可生成可用的密鑰。

3.2防數(shù)據(jù)泄露措施

利用相關(guān)數(shù)據(jù)加密策略，有時并不能徹底消除系統(tǒng)運維環(huán)境、應(yīng)用環(huán)境安全威脅。來自應(yīng)用系統(tǒng)的后門程序、數(shù)據(jù)庫漏洞、SQL注入攻擊、第三方運維的誤操作等，會造成數(shù)據(jù)丟失，影響對應(yīng)系統(tǒng)的安全性。為防止數(shù)據(jù)信息泄露，在數(shù)據(jù)庫防火墻中，采用邊界防護技術(shù)，在邊界區(qū)域做好防護策略，通過細粒度的訪問對數(shù)據(jù)庫進行控制，從而在防攻擊、防批量數(shù)據(jù)下載方面有效防止數(shù)據(jù)泄露。

3.2.1監(jiān)控并審計數(shù)據(jù)的訪問行為

黑客千變?nèi)f化的攻擊行為以及系統(tǒng)的復(fù)雜性會對數(shù)據(jù)的管理、維護帶來一定的影響。所以，對重要的數(shù)據(jù)進行訪問控制，通過持續(xù)、實時的監(jiān)控、審計，生成對應(yīng)的風(fēng)險報告，可以讓新用戶發(fā)現(xiàn)新風(fēng)險，進而增強用戶數(shù)據(jù)的安全性。

3.2.2利用自動脫敏技術(shù)防止數(shù)據(jù)泄露

在企業(yè)內(nèi)部測試環(huán)境中，采用數(shù)據(jù)的自動脫敏技術(shù)，可以在數(shù)據(jù)處理過程中避免數(shù)據(jù)信息暴露敏感性，為測試環(huán)境提供預(yù)期的安全測試數(shù)據(jù)。所謂脫敏加密，是指在數(shù)據(jù)加密過程中對數(shù)據(jù)進行編碼。在檢索數(shù)據(jù)的過程中，檢索原始值的方法是使用解密密鑰解碼數(shù)據(jù)。可以通過密態(tài)計算技術(shù)加密數(shù)據(jù)，在數(shù)據(jù)參與計算的過程中兼顧安全需求。在文件層、存儲層所處的位置進行數(shù)據(jù)安全計算，可以避免數(shù)據(jù)庫位于下層位置時數(shù)據(jù)的計算很難被感知到的問題。數(shù)據(jù)加密完成后，其數(shù)據(jù)特征會丟失，會影響執(zhí)行器、孵化器的執(zhí)行效率。所以，在應(yīng)用層、文件層中實施密態(tài)計算技術(shù)加密，可以在一定程度上防止出現(xiàn)該問題。

3.3國密算法與統(tǒng)一管控

針對國密算法中的加密，常用的算法有SM代表商密等系列密碼，這些密碼遵照國家密碼管理局公布的密碼算法應(yīng)用規(guī)范及對應(yīng)的標準。部分密碼已經(jīng)成為國際密碼。商業(yè)密碼中的大部分密碼涉及商業(yè)領(lǐng)域，在企業(yè)做決策的過程中，對商業(yè)密碼進行統(tǒng)一管理是一個很重要的方法。采取統(tǒng)一的數(shù)據(jù)加密技術(shù)，可以根據(jù)全局、細粒度安全性對數(shù)據(jù)進行統(tǒng)一管理。數(shù)據(jù)加密時存在風(fēng)險和挑戰(zhàn)，對相關(guān)數(shù)據(jù)加密之后，存在無法還原之前數(shù)據(jù)的可能性，這時通過密文與明文并存的方法即可解決該問題。并存與隔離是一個有效的數(shù)據(jù)加密方法，可以實現(xiàn)數(shù)據(jù)同時存儲在不同的數(shù)據(jù)庫中，最大限度地保障了數(shù)據(jù)安全。

4結(jié)束語

通過利用常見的數(shù)據(jù)加密技術(shù)，可以防止數(shù)據(jù)庫出現(xiàn)漏洞時數(shù)據(jù)遭到非法篡改。采用端到端加密、節(jié)點加密、數(shù)據(jù)簽名、鏈路數(shù)據(jù)加密、身份認證等方法，可以對重要數(shù)據(jù)進行全方位保護。結(jié)合多種數(shù)據(jù)加密技術(shù)的優(yōu)點進行多重防御，可以確保計算機網(wǎng)絡(luò)中的數(shù)據(jù)安全，降低網(wǎng)絡(luò)遭受攻擊的風(fēng)險，從而提升人們的生產(chǎn)和生活水平。