数据安全及防范的研究

坪拓金融电Ｊｊ垂Ｉ　网络与安全技术　ＦＩＮＡＮＣＩＡＬ　ＣＯＭＰＩ胍Ｒ　ＯＦ　ＨＵＡＮＡＮ　２００６年３月１０日第３期　数据安全及防范的研究　◆　广州大学松田学院陈立军　在信息化建设突飞猛进的今天，保证数据的安　传输之前进行加密，在每一个节点对接收到的消息　全显得非常重要。本文就数据安全的实现进行一些　进行解密，然后先使用下一个链路的密钥对消息进　探讨。　行加密，再进行传输。在到达目的地之前，一条消息　一、数据加密　可能要经过许多通信链路的传输。　当数据正在传输时，黑客经常利用网络嗅探器　由于在每一个中间传输节点消息均被解密后　（Ｓｎｉｆ）等工具捕获一些重要数据，此时便需要对数　重新进行加密，因此，包括路由信息在内的链路上的　据进行加密。目前常用的加密方法就是使用应用层　所有数据均以密文形式出现。这样，链路加密就掩盖　加密和ＩＰ层加密。应用层加密主要对某些特定的　了被传输消息的源点与终点。由于填充技术的使用　应用程序进行加密，ＩＰ层加密是加密所有通过的ＩＰ　以及填充字符在不需要传输数据的情况下就可以进　数据包，目前支持应用层加密的几个协议有：　行加密，这使得消息的频率和长度特性得以掩盖，从　ＳＭＢ（Ｓｅｒｖｅｒ　Ｍｅｓｓａｇｅ　Ｂｌｏｃｋ　Ｓｉｇｎｉｎｇ，服务器信息　而可以防止对通信业务进行分析链路加密使用得较　块签名）　普遍，但对网络性能要求较高，成本也较高。　ＳＳＬ（Ｓｅｃｕｒｉｔｙ　Ｓｏｃｋｅｔ　Ｌａｙｅｒ，加密套接字协议层）　第二层次：节点加密　ＴＬＳ（Ｔｒａｎｓｌａｔｅｄ　Ｌａｙｅｒ　Ｓｅｃｕｒｉｔｙ，传输层协议）　节点加密在操作方式上与链路加密是类似的：　Ｓ／ＭＩＭ及ＰＧＰ协议　两者均在通信链路上为传输的消息提供安全性；都　ＩＰ加密方法是通过ｉＰＳｅｃ协议进行加密，　在中间节点先对消息进行解密，然后进行加密。因　ＩＰＳｅｃ协议是用ＡＨ（验证头部）和ＥＳＰ（压缩安全有　为要对所有传输的数据进行加密，所以加密过程对　效载荷）协议中的一个或两者结合来达到保护数　用户是透明的。　据安全的目的。目前ＩＰＳｅｃ可以通过传输模式和隧　然而，与链路加密不同，节点加密不允许消息　道模式两种模式来加密数据：传输模式是加密端　在网络节点以明文形式存在，它先把收到的消息进　对端中的所有端口，而隧道模式则是加密指定的　行解密，然后采用另一个不同的密钥进行加密，这　端口。　一过程是在节点上的一个安全模块中进行。　一般的数据加密可以在通信的三个层次来实　节点加密要求报头和路由信息以明文形式传　现：链路加密、节点加密和端到端加密。　输，以便中间节点能得到如何处理消息的信息，因　第一层次：链路加密　此存在一定的风险。　对于在两个网络节点间的某一次通信链路，链　第三层次：端到端加密　路加密能为网上传输的数据提供安全保证。　端到端加密允许数据在从源点到终点的传输　对于链路加密（又称在线加密），所有消息在被　过程中始终以密文形式存在。采用端到端加密（更称　囫　ＭＡＲ．１０．２００６　ＮＯ．３　维普资讯 http://www.cqvip.com

国　网络与安全技术　２００６年３月１０日第３期　脱线加密或包加密），消息被传输时在到达终点之前　以下是在线行为的注意事项：　不进行解密，因为消息在整个传输过程中均受到保　・不要打开来历不明的电子邮件的附件；　护，所以即使有节点被损坏也不会使消息泄露。　－不要点击电子邮件内的链接，尤其是来历不　端到端加密系统的价格便宜些，并且与链路加　明的电子邮件；　密和节点加密相比更可靠，更容易设计、实现和维　・即使电子邮件来自您认识的人，也同样要保　护。由于这种加密方法不能掩盖被传输消息的源点　持警惕；　与终点，因此它对于防止攻击者分析通信业务是很　・决不要回复自称银行或者其它要求您提供　脆弱的。　详细客户资料的公司的电子邮件。　二、保护服务器　四、保护数据　以上是数据正在传输时的安全防范措施，如果　可使用加密软件将敏感数据安全地保存在您　不是正在传输，而是一台对外开放的Ｗｅｂ服务器就　的电脑中，这些软件将打乱数据，无权访问的人将　应该采取以下措施来保证数据的安全。第一、使用防　无法阅读。可以利用Ｗｉｎｄｏｗｓ操作系统提供的加密　火墙硬件、软件，防止黑客轻而易举地远程登录Ｗｅｂ　方法，也可以下载强大的１２８位加密软件。　服务器；第二、使用安全性较高的数据库（如：ＭＳ—　同时，不要忘记对电子邮件文件夹也进行加　ＳＱＬ、Ｏｒａｃｌｅ等）；第三、登记匿名用户的信息，万一　密，如果您的客户无法使用加密的电子邮件，可考　数据库被非法窃取，就能为机关查取提供线　虑使用ＳＳＬ　ＶＰＮ加密正在传输的数据，而不必在客　索。第四、有重要数据的服务器要专人专用，而且要　户的电脑上安装任何软件。下面是一些保护数据安　经常更换登录密码；第五、制定相关法律制度。总的　全的软件的下载地址：　说来，保证数据安全应采取以下措施：　用于锁定文件和文件夹的Ｃｒｙｐｔａｉｎｅｒ：ｈｔｔｐ：／／　（一）、妥善保管相关设备　ＷＷＷ．ｃｙｐｈｅｒｉｘ．ｃｏｍ／ｃｒｙｐｔａｉｎｅｒｌｅ　一定要妥善保管那些包含敏感数据的笔记本　用于加密整个磁盘和隐藏文件夹的Ｌｏｃｋ—　电脑、ＰＤＡ、ＣＤ—ＲＯＭ和可移动存储磁盘，谨防遗　ＭｙＰＣ　ｈｔｔｐ：ｆｆ　ｗ３￣ｒｗ．ｆｓｐｒｏ．ｎｅｔ／ｐｒｏｄｕｃｔｓ　ｈｔｍｌ　失。一定要通过密码验证接入设备。不易猜测的密　适用于ＰＣ、笔记本电脑和掌上电脑的Ｐｏｉｎｔｓｅｃ：　码可有效地防止技术欠佳的窃贼。然而，专业窃贼　ｈｔｔｐ：／／ＷＷＷ．ｐｏｉｎｔｓｅｅ　ｃｏｍ／ｃｏｒｅ／ｄｅｆａｕｌｔ．ａｓｐ　可能通过扫描硬盘文件绕过密码。一定要经常将　ＳｅｃＥｘＭａｉｌ　Ｓｅｃｕｒｅ　Ｅｍａｉｌ：ｈｔｔｐ：／／ＷＷＷ．ｄｏｗｎｌｏａｄ．　数据备份到ＣＤ—ＲＯＭ或存储磁盘上，并将其存放　Ｃｏｍ　在安全位置。同时也可以利用在线备份服务。　ＳＳＬ　ＶＰＮ解决方案：ｈｔｔｐ：∥ＷＷＷ．ｊｕｎｉｐｅｒ．ｎｅｔ／　（二）、保障办公室安全　ｐｒｏｄｕｃｔｓ／ｓｓｌ　在离开办公室的时候，需要在电脑ｔ运行软件　３５＂、谨慎使用无线上网方式　防火墙，还应使用硬件防火墙保护办公室中的所有　如果您使用了公共Ｗｉ—Ｆｉ热点，一定要打开　设备，包括有ＩＰ功能的传真机、打印机、文件服务　您的ＷＥＰ和其它安全层（可能是ＩＰＳｅｃ或ＳＳＬ）。　器等。硬件防火墙可防止入侵者通过探测办公室中　Ｃｏｗａｒｄ称，ＳＳＬ正成为远程接入企业ＶＰＮ网络的　的设备来寻找漏洞。　日益普及的方法。然而，对于小型用户，防火墙内的　三、谨慎在线　ＩＰＳｅｃ安全措施可能更加有效。黑客有时创建伪造　ＭｃＡｆｅｅ和Ｎｏｒｔｏｎ　Ｕｔｉｌｉｔｉｅｓ等公司可提供包含　的热点登录页面，因此，用于上网的密码信息一定　防火墙、防病毒和防间谍软件的互联网安全程序　要与其它安全措施中使用的密码（如文件加密的密　包。要随时更新这些程序，使其能够识别病毒和其　码）不同，也可以利用软件探测对网络的入侵。　它威胁的最新签名。　（责任编辑：童叶敏）　ＭＡＲ．１０，２００６　ＮＯ．３　目