企業如何選擇最合適的加密技術
原文同時發表在:[url]http://netsecurity.51cto.com/art/200707/51880.htm[/url]
加密是通過特定的演算法把可讀或可處理的資訊轉換為不可讀資訊的技術。加密技術可以有效的保護儲存在儲存媒體上或在不可信通訊路線上傳輸的敏感資料,同時,它也可以保護敏感資料不被未經授權者訪問。當然,任何技術都有其侷限性,加密技術也一樣,只要有足夠時間、足夠資源和充分決心,攻擊者可以破解大部分的加密演算法,還原出加密過的資訊。因此,我們應該認識到,要使加密過的資訊不可破解是不現實的,使用加密技術是為了使破解加密資訊所需的資源和時效性遠遠超過被加密資訊本身的價值。
加密系統的定義和用途:
提供加密解密功能,有硬體或軟體實現的系統,稱為加密系統。加密系統可以提供以下服務:
1、 資訊保密(confidentiality):防止未授權者訪問敏感資訊
2、 身份驗證(authenticity):確認資訊的來源、檢測偽造資訊
3、 完整性校驗 ( integrity ):校驗資訊的完整性,檢查資訊是否曾被有意或無意修改
4、 不可否認性 (non-repudiation):確保傳送者不能否認資訊來自於其
企業使用加密系統提供的前三個服務比較多,因此可根據企業實際需要,確定加密系統所提供服務的優先度,並選擇合適的加密系統產品。而身份驗證和不可否認性通常是用數字簽名的形式來實現的。
加密系統的組成:
加密系統是一個複雜的系統,以企業中常用的PGP軟體為例,一個加密系統通常包括四個元件:軟體元件、加密演算法、協議和加密金鑰組成,軟體元件負責各功能子系統的協調、和使用者互動;加密演算法根據一定規則對輸入資訊進行加密處理;協議為加密系統和執行環境及其他應用程式通訊所需;而加密金鑰就是使用者加解密資訊所需的鑰匙。其中,和加解密操作關係最大的就是加密演算法和加密金鑰,這兩者的屬性——加密演算法強度和加密金鑰長度也是衡量一個加密系統功能強弱的重要指標。
加密系統常用的加密演算法:
常見的加密演算法可以分成三類,對稱加密演算法,非對稱加密演算法和Hash演算法,其中:
對稱加密,指加密和解密使用相同金鑰的加密演算法。對稱加密演算法的優點在於加解密的高速度和使用長金鑰時的難破解性。假設兩個使用者需要使用對稱加密方法加密然後交換資料,則使用者最少需要2個金鑰並交換使用,如果企業內使用者有n個,則整個企業共需要n×(n-1) 個金鑰,金鑰的生成和分發將成為企業資訊部門的惡夢。對稱加密演算法的安全性取決於加密金鑰的儲存情況,但要求企業中每一個持有金鑰的人都保守祕密是不可能的,他們通常會有意無意的把金鑰洩漏出去——如果一個使用者使用的金鑰被入侵者所獲得,入侵者便可以讀取該使用者金鑰加密的所有文件,如果整個企業共用一個加密金鑰,那整個企業文件的保密性便無從談起。
常見的對稱加密演算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES
非對稱加密,指加密和解密使用不同金鑰的加密演算法,也稱為公私鑰加密。假設兩個使用者要加密交換資料,雙方交換公鑰,使用時一方用對方的公鑰加密,另一方即可用自己的私鑰解密。如果企業中有n個使用者,企業需要生成n對金鑰,並分發n個公鑰。由於公鑰是可以公開的,使用者只要保管好自己的私鑰即可,因此加密金鑰的分發將變得十分簡單。同時,由於每個使用者的私鑰是唯一的,其他使用者除了可以可以通過資訊傳送者的公鑰來驗證資訊的來源是否真實,還可以確保傳送者無法否認曾傳送過該資訊。非對稱加密的缺點是加解密速度要遠遠慢於對稱加密,在某些極端情況下,甚至能比對稱加密慢上1000倍。
常見的非對稱加密演算法有:RSA、ECC(移動裝置用)、Diffie-Hellman、El Gamal、DSA(數字簽名用)
還有一類比較特別的演算法,Hash演算法。Hash演算法特別的地方在於它是一種單向演算法,使用者可以通過Hash演算法對目標資訊生成一段特定長度的唯一的Hash值,卻不能通過這個Hash值重新獲得目標資訊。因此Hash演算法常用在不可還原的密碼儲存、資訊完整性校驗等。
常見的Hash演算法有MD2、MD4、MD5、HAVAL、SHA
加密演算法的效能通常可以按照演算法本身的複雜程度、金鑰長度(金鑰越長越安全)、加解密速度等來衡量。上述的演算法中,除了DES金鑰長度不夠、MD2速度較慢已逐漸被淘汰外,其他演算法仍在目前的加密系統產品中使用。
企業中常見的加密系統
加密系統在企業中有三個基本的部署方向,分別是儲存、傳輸和認證。因為網際網路並非可信傳輸渠道,有可能存在監聽、攔截和惡意修改等多種威脅,因此傳輸方向為企業對加密系統需求最大的方向。隨著企業內部對本地資料安全的日益重視,儲存方面尤其是移動裝置的儲存加密市場也越來越熱,大有後來居上的勢頭。
儲存方面,加密系統的主要作用是通過加密來保證敏感資料不被未授權者訪問和通過Hash演算法保證資料的完整性,加密常用的演算法是3DES/Blowfish/AES,在操作的資料量比較小時,也常常採用RSA等分對稱加密演算法,校驗常用的演算法是MD5。目前市場上常見的產品包括軟體實現的對特定目標(檔案、資料夾、資料庫等)和全盤加密,如商業的PGP、開源的TrueCrypt、GPG等,及整合加密晶片的加密儲存裝置,如Seagate等廠商的產品。
傳輸方面,加密系統的主要作用是保證使用者傳輸的資料在非可信傳輸渠道傳輸時不受攻擊者的威脅,並保證傳輸資料的完整性和真實性。應用在這方面的加密系統比用在儲存方面的更復雜一些,還需要考慮金鑰的分發問題,所以傳輸方面的加密系統的一種常見形式是同時使用對稱加密和非對稱加密演算法,先通過非對稱加密來加密分發對稱加密的金鑰,再用對稱加密的方法來保證資料處理和傳輸的速度。另外,用在傳輸方面的加密系統還按連線加密的網路層次分為連線加密和端對端加密,連線加密會把特定資料連線的所有資料進行加密,通常用在有較高安全級別的通訊中,端對端加密則只加密資料本身,包括路由資訊等網路資料並不進行加密,它更適合用在網際網路等安全級別較低的場合。用在傳輸方面的加密系統包括軟體實現的各種加密隧道如SSH、IPsec、VPN等、應用級別的端對端加密如PGP、HTTPS、SMIME、PEM等,硬體方面則有各種帶VPN功能的防火牆、帶加密功能的網路卡等。
認證方面,加密系統的主要作用是確認資訊傳送者的身份、校驗收到資訊的完整性以及提供不可否認性。這些功能的實現依賴於非對稱加密和Hash演算法的結合使用,以公鑰對比對方私鑰的簽名來確認資訊傳送者的身份,用Hash演算法對資訊進行校驗。目前認證方面的加密系統以軟體實現為主,如各種PKI、PGP、GPG等,少量的加密系統實現中還使用寫入私鑰或安全證書的智慧卡、快閃記憶體等來增加加密系統的安全性。
企業如何選擇最合適的加密技術?
市場上加密產品的種類繁多,各產品的技術指標和功能實現也千差萬別,企業應該如何選擇最合適自己的加密技術?企業在選擇時應該要結合自身的業務流程、資訊處理需要及面對的安全威脅,並綜合考慮產品的實現、價效比、部署後能產生的積極影響等因素。以下提供幾點供參考的意見:
1、 加密系統主要用在業務的什麼方面? 企業面臨什麼安全威脅?這個問題決定了企業採購時對加密系統效能優先考慮的方向,例如,電子商務企業需要安全儲存客戶資料和防止線上交易時被監聽,因此它可以考慮使用資料庫加密或全盤加密產品來安全儲存資料,使用HTTPS來加固線上交易時的資料傳輸;而一個非盈利機構則可能更注重所有收發資訊的真實性,但對加密產品的採購/維護成本比較敏感,那它可以選擇使用成本較低的PGP/GPG軟體或公共的PKI服務來進行保證資訊的完整性;在外地有分支機構的企業,可以選擇各種VPN或加密傳輸產品來保護在網際網路上傳輸的資料的安全。總之,滿足業務需要,能夠加固業務上各薄弱環節是選擇加密系統產品的首要考慮因素。
2、 硬體加密系統還是軟體加密系統? 硬體加密系統的處理速度遠超軟體實現,但較高的採購成本限制了它的應用範圍,只適用於對加解密效能要求敏感的使用環境。軟體加密系統的優點在於實現的靈活性和採購維護成本。
3、 加密系統的實現和效能:加密系統的實現主要使用什麼加密演算法,該加密演算法的強度如何,金鑰長度是多少都需要考慮,相對來說,金鑰長度越長加密也就越安全,但加解密操作所耗時間也越長。在處理資料量巨大或時間敏感性強的情況下,加密系統的效能也成為一個決定性的因素。
4、 加密系統安全性: 企業在選擇時除了要考慮加密系統所實現的加密功能的安全性之外,還應該考慮加密系統自身的安全性,例如對一個硬體VPN閘道器來說,由於其暴露在有可能受外界攻擊的網路環境中,它對各種攻擊的抵抗能力將是整個加密系統的使用環境最薄弱的環節。
5、 金鑰的生成、分發和儲存方式:金鑰的生成和分發方式是選擇、部署加密系統的重要環節,如果金鑰的分發儲存環節不安全,那整個加密系統的功能實現都將受到威脅。對於使用者數量較多,資料處理量又較大的企業來說,應該考慮選用對稱加密和非對稱加密結合的加密系統,用非對稱加密來生成使用者金鑰和分發加密金鑰,並用對稱加密來完成資料的加解密操作。如果企業預算比較多,也可以考慮部署PKI。
6、 加密系統維護成本: 任何系統的部署使用都不是一勞永逸的活動,加密系統也不例外,維護成本包括裝置、軟體的維護、人員培訓等,一個需要複雜的維護的加密系統必定會成為企業資訊部門的噩夢,而執行不穩定,缺少維護的加密系統也會使企業的加密保護策略形同虛設。因此,加密系統的維護成本也是企業選擇加密系統時的重要考慮因素。
企業在選擇加密系統時可以製作多個文件,包括業務流程調查、加密系統需求、待選加密系統產品的技術指標等,充分的考察市場上現有產品,然後再慎重選擇購買。否則,不說這浪費了企業的資金,它給企業帶來的虛假安全感才是最致命最隱蔽的威脅。
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/34866,如需轉載請自行聯絡原作者
相關文章
- 如何選擇適合自己企業的MES系統
- 如何選擇最好最適合你的MacBookMac
- 中小企業如何選擇合適的ERP系統
- 企業如何選擇合適的RPA部署架構架構
- 中小企業如何選擇適合的ERP系統?
- 如何選擇適合企業的免費OA系統
- 如何選擇最適合自己的伺服器伺服器
- 技術乾貨:如何選擇最適合自己的RDMA網路卡
- 企業如何選擇合適的伺服器--巴克網路伺服器
- 企業網站如何選擇適合自己的伺服器?網站伺服器
- 中小企業如何選擇合適的進銷存軟體?
- 如何選擇最適合您的代理提供商?
- 如何選擇適合你的企業資料管理類產品
- 企業應如何選擇合適的電子採購軟體?
- 如何選擇一臺適合個人/企業的網站伺服器網站伺服器
- ERP軟體排名、如何選擇適合自己企業的軟體?
- 中小型企業如何選擇合適又好用的CRM系統?
- 如何選擇適合中小型企業的OA辦公軟體
- 企業如何選擇一個適合自己網站的SSL證書?網站
- 企業如何選擇合適的CRM系統 CRM系統推薦
- “全球+”浪潮下,企業出海選擇合適的“技術船舶”成關鍵
- 如何選擇適用企業的CRM軟體?
- 如何選擇合適的 BI 工具?
- 企業應該如何選擇合適自己公司的低程式碼平臺
- 什麼是CRM系統 企業如何選擇合適的CRM系統
- 網路優化與加速方案眼花繚亂企業該如何選擇最適合的那一個?優化
- 如何判斷合適和選擇蘋果企業簽名中間商蘋果
- 企業怎麼選擇合適自己的雲伺服器?伺服器
- 為企業選擇合適的客戶服務軟體
- 阿里雲企業級雲伺服器如何選擇合適的雲盤?阿里伺服器
- 如何選擇合適的建站系統
- 個人,企業購買阿里雲伺服器如何選擇適合自己的配置?阿里伺服器
- 企業如何挑選適合自己的伺服器租用伺服器
- 香港伺服器如何選擇合適的作業系統?伺服器作業系統
- 如何選擇合適的NoSQL資料庫SQL資料庫
- 如何為DMAIC選擇合適的專案AI
- 伺服器如何選擇合適的配置伺服器
- 如何選擇合適自己的伺服器伺服器