数据安全问题

数据安全

含义

信息安全或数据安全有对立的两彭祖经 方面的含义：一是数据本身的安

全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、

数据完整性、双向强身份认证等，二是数据防护的安全，主要是采用

现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、

异地容灾等手段保证数据的安全，数据安全是一种主动的包含措施，

数据本身的安全必须基于可靠的加密算法与安全体系，主要是有对称

算法与公开密钥密码体系两种。

目前数据泄露防护市场的品牌结构主要有国外和国内品牌两大阵

营：国外品牌为Webn、Symantec、TrendMicro等，国内品牌

主要有亿赛通、深信服等等。无论是国外还是国内厂商，其在产品、

渠道以及行业应用方面都有较为明显的区别。

很多企业的数据安全都具有这样一些特点：机密性、保密性、完

整性等。数据是信息化潮流真正的主题，企业已经把关键数据视为正

常运作的基础。一旦遭遇数据灾难，那么整体工作会陷入瘫痪，带来

难以估量的损失。

影响数据安全的主要因素

（1）硬盘驱动器损坏

一个硬盘驱动器的物理损坏意味着数据丢失。设备的运行损耗、

存储介质失效、运行环境以及人为的破坏等，都能造成硬盘驱动器设

备造成影响。

（2）人为错误

由于操作失误，使用者可能会误删除系统的重要文件，或者修改

影响系统运行的参数，以及没有按照规定要求或操作不当导致的系统

宕机

（3）黑客

这里入侵时入侵者通过网络远程入侵系统，侵入形式包括很多：

系统漏洞，管理不力等

（4）病毒

由于感染计算机病毒而破坏计算机系统，造成的重大经济损失屡

屡发生，计算机病毒的复制能力强，感染性强，特别是网络环境下，

传播性更快。

（5）信息窃取

从计算机上复制、删除信息或干脆把计算机偷走

（6）自然灾害

（7）电源故障

电源供给系统故障，一个瞬间过载电功率会损坏在硬盘或存储设

备上的数据

（8）磁干扰

磁干扰是指重要的数据接触到有磁性的物质，会造成计算机数据

被破坏。

数据安全防护技术

计算机存储的信息越来越多，而且越来越重要，为防止计算机中

的数据意外丢失，一般都采用许多重要的安全防护技术来确保数据的

安全，下面简单的介绍常用和流行的数据安全防护技术：

1、磁盘阵列

磁盘阵列是指把多个类型、容量、接口甚至品牌一直的专用磁盘

或普通硬盘连成一个阵列，使其以更快的速度、准确、安全的方式读

写磁盘数据，从而达到数据读取速度和安全性的一种手段。

2、数据备份

备份管理包括备份的可计划性，自动化操作，历史记录的保存或

日志记录

3、双机容错

双机容错的目的在于保证系统数据和服务的在线性，即当某一系

统发生故障时，仍然能够正常的向网师德培训心得 络系统提供数据和服务，使得系

统不至于停顿，双机容错的目的在于保证数据不丢失宪法的意义 和系统不停机。

4、NAS

NAS解决方案通常配置为作为文件服务的设备，由工作站或服务

器通过网络协议和应用程序来进行文件访问，大多数NAS链接在工作

站客户机和NAS文件共享设备之间进行。这些链接依赖于企业的网络

基础设施来正常运行。

5、数据迁移

由在线存储设备和离线存储设备共同构成一个协调工作的存储系

统，该系统在在线存储和离线存储设备间动态的管理数据，使得访问

频率高的数据存放于性能高的数据存放于性能较高的在线存储设备

中，而访问频率低的数据存放于较为廉价的离线存储设备中。

6、异地容灾

以异地实时备份为基础的高效、可靠的远程数据存储，在各单位

的IT系统中，必然有核心部分，通常称之为生产中心，往往给生产中

心配备一个备份中心，改备份中心是远程的，并且在生产中心的内部

已经实施了各种各样的数据保护。不管怎么保护，当火灾、地震这种

灾难发生时，一旦生产中心瘫痪了，备份中心会接管生产，继续提供

服务。

7、SAN

SAN允许服务器在共享存储装置的同时仍能高速传送数据。这一方

案具有带宽高、可用性高、容错能力强的优点，而且它可以轻松升级，

容易管理，有助于改善整个系统的总体成本状况。

加密技术在企业数据安全中的应用

随着大型企业管理软件的发展，其应用越来越广泛，企业数据平台

涉及局域网、广域网、Internet等，在各类系统中保存的企业关键数

据量也越来越大，许多数据需要保存数十年以上，甚至是永久性保存。

于是关键业务数据成了企业生存的命脉和宝贵的资源，数据安全性问

题越来越突出。如何增强企业软件系统的安全性、保密性、真实性、

完整性，成为每一位软件开发人员关注的焦点。

从保护数据的角度讲，对数据安土鳖养殖 全这个广义概念，可以细分为三部

分：数据加密、数据传输安全和身份认证管理。

数据加密就是按照确定的密冰冻大黄鱼怎么做好吃 码算法把敏感的明文数据变换成难以

识别的密文数据，通过使用不同的密钥，可用同一加密算法把同一明

文加密成不同的密文。当需要时，可使用密钥把密文数据还原成明文

数据，称为解密。这样就可以实现数据的保密性。数据加密被公认为

是保护数据传输安全惟一实用的方法和保护存储数据安全的有效方

法，它是数据保护在技术上最重要的防线。

数据传输安全是指数据在传输过程中必须要确保数据的安全性，

完整性和不可篡改性。

身份认证的目的是确定系统和网络的访问者是否是合法用户。主要

采用登录密码、代表用户身份的物品（如智能卡、IC卡等）或反映用

户生理特征的标识鉴别访问者的身份。

数据加密

数据加密技术是最基本的安全技术，被誉为信息安全的核心，最初

主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换

等各种方法会被保护信息置换成密文，然后再进行信息的存储或传输，

即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证

这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直

接取决于所采用的密码算法和密钥长度。

根据密钥类型不同可以把现代密码技术分为两类：对称加密算法

（私钥密码体系）和非对称加密算法（公钥密码体系）。在对称加密算

法中，数据加密和解密采用的都是同一个密钥，因而其安全性红绿灯怎么画 依赖于

所持有密钥的安全性。对称加密算法的主要优点是加密无奈的人生 和解密速度快，

加密强度高，且算法公开，但其最大的缺点是实现密钥的秘密分发困

难，在大量用户带乐字的男孩名字 的情况下密钥管理复杂，而且无法完成身份认证等功

能，不便于应用在网络开放的环境中。最著名的对称加密算法有数据

加密标准DES和欧洲数据加密标准IDEA等，加密强度最高的对称加密

算法是高级加密标准AES。

对称加密算法、非对称加密算法和不可逆加密算法可以分别应用于

数据加密、身份认证和数据安全传输。

传输安全

数据传输加密技术目的是对传输中的数据流加密，以防止通信线路

上的窃听、泄漏、篡改和破坏。数据传输的完整性通常通过数字签名

的方式来实现，即数据的发送方在发送数据的同时利用单向的不可逆

加密算法Hash函数或者其它信息文摘算法计算出所传输数据的消息

文摘，并把该消息文摘作为数字签名随数据一同发送。接收方在收到

数据的同时也收到该数据的数字签名，接收方使用相同的算法计算出

接收到的数据的数字签名，并把该数字签名和接收到的数字签名进行

比较，若二者相同，则说明数据在传输过程中未被修改，数据完整性

得到了保证。

Hash算法也称为消息摘要或单向转换，是一种不可逆股份协议书范本 加密算法，

称它为单向转换是因为：

1）双方必须在通信的两个端头处各自执行Hash函数计算；

2）使用Hash函数很容易从消息计算出消息摘要，但其逆向反演

过程以计算机的运算能力几乎不可实现。

Hash散列本身就是所谓加密检查，通信双方必须各自执行函数计

算来验证消息。举例来说，发送方首先使用Hash算法计算消息检查

和，然后把计算结果A封装进数据包中一起发送；接收方再对所接收

的消息执行Hash算法计算得出结果B，并把B与A进行比较。如果消

息在传输中遭篡改致使B与A不一致，接收方丢弃该数据包。

有两种最常用的Hash函数：

MD5（消息摘要5）：MD5对MD4做了改进，计算速度比MD4

稍慢，但安全性能得到了进一步改善。MD5在计算中使用了64个32

位常数，最终生成一个128位的完整性检查和。

SHA安全Hash算法：其算法以MD5为原型。SHA在计算中使

用了79个32位常数，最终产生一个160位完整性检查和。SHA检查

和长度比MD5更长，因此安全性也更高。

身份认证

身份认证要求参与安全通信的双方在进行安全通信前，必须互相鉴

别对方的身份。保护数据不仅仅是要让数据正确、长久地存在，更重

要的是，要让不该看到数据的人看不到。这方面，就必须依靠身份认

证技术来给数据加上一把锁。数据存在的价值就是需要被合理访问，

所以，建立信息安全体系的目的应该是保证系统中的数据只能被有权

限的人访问，未经授权的人则无法访问到数据。如果没有有效的身份

认证手段，访问者的身份就很容易被伪造，使得未经授权的人仿冒有

权限人的身份，这样，任何安全防范体系就都形同虚设，所有安全投

入就被无情地浪费了。

在企业管理系统中，身份认证技术要能够密切结合企业的业务流

程，阻止对重要资源的非法访问。身份认证技术可以用女生教育 于解决访问者

的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理

的依据。所以说，身份认证是整个信息安全体系的基础。

由于网上的通信双方互不见面，必须在交易时（交换敏感信息时）

确认对方的真实身份；身份认证指的是用户身份的确认技术，它是网

络安全的第一道防线，也是最重要的一道防线。

在公共网络上的认证，从安全角度分有两类：一类是请求认证者的

秘密信息（例如：口令）在网上传送的口令认证方式，另一类是使用

不对称加密算法，而不需要在网上传送秘密信息的认证方式，这类认

证方式中包括数字签名认证方式。

口令认证方式

口令认证必须具备一个前提：请求认证者必须具有一个ID，该ID

必须在认证者的用户数据库（该数据库必须包括ID和口令）中是唯一

的。同时为了保证认证的有效性必须考虑到以下问题：

求认证者的口令必须是安全的。

在传输过程中，口令不能被窃看，替换。

请求认证者在向认证者请求认证前，必须确认认证者的真实身

份。否则会把口令发给冒充的认证者。

口令认证方式还有一个最大的安全问题就是系统的管理员通常都

能得到所有用户的口令。因此，为了避免这样的安全隐患，通常情况

下会在数据库中保存口令的Hash值，通过验证Hash值的方法来认证

身份。

使用不对称加密算法的认证方式（数字证书方式）

使用不对称加密算法的认证方式，认证双方的个人秘密信息（例

如：口令）不用在网络上传送，减少了认证的风险。这种方式是通过

请求认证者与认证者之间对一个随机数作数字签名与验证数字签名来

实现的。

认证一旦通过，双方即建立安全通道进行通信，在每一次的请求和

响应中进行，即接受信息的一方先从接收到的信息中验证发信人的身

份信息，验证通过后才根据发来的信息进行相应的处理。

用于实现数字签名和验证数字签名的密钥对必须与进行认证的一

方唯一对应。

在公钥密码（不对称加密算法）体系中，数据加密和解密采用不同

的密钥，而且用加密密钥加密的数据只有采用相应的解密密钥才能解

密，更重要的是从加密密码来求解解密密钥在十分困难。在实际应用

中，用户通常把密钥对中的加密密钥公开（称为公钥），而秘密持有解

密密钥（称为私钥）。利用公钥体系可以方便地实现对用户的身份认证，

也即用户在信息传输前首先用所持有的私钥对传输的信息进行加密，

信息接收者在收到这些信息之后利用该用户向外公布的公钥进行解

密，如果能够解开，说明信息确实为该用户所发送，这样就方便地实

现了对信息发送方身份的鉴别和认证。在实际应用中通常把公钥密码

体系和数字签名算法结合使用，在保证数据传输完整性的同时完成对

用户的身份认证。

结束语：数据安全问题涉及到企业的很多重大利益，发展数据安全

技术是面临的迫切要求，除了上述内容以外，数据安全还涉及到其他

很多方面的技术与知识，例如：黒客技术、防火墙技术、入侵检测技

术、病毒防护技术、信息隐藏技术等。一个完善的数据安全保障系统，

应该根据具体需求对上述安全技术进行取舍。