浅谈基于Web环境系统软件数据安全.docVIP

浅谈基于Web环境系统软件数据安全 　　1 引言（Introduction） 　　计算机已经成为现代社会不可或缺的工具，系统软件是计算机各项功能得以实现的基础，系统软件随着种类越来越丰富，功能越来越强大暴露了很多安全隐患，尤其是数据安全问题。系统软件的数据安全问题是用户、开发商共同关心的问题。用户担心的安全问题主要集中在系统软件数据的保密性。目前很多系统软件的应用是基于Web环境的，那么数据在互联网中存储、传输过程中存在的安全风险更大。本文将阐述针基于Web环境下系统软件的数据安全需求及相应的安全防范技术。 　　2 数据安全需求（Data security requirement） 　　2.1 身份认证的安全需求 　　在计算机系统软件中，保证进入系统的操作人员是用户名的合法拥有者。在现实生活中，验证某人的身份主要通过三种方式：根据独特的体貌特征来证明身份，例如面部特征、指纹等；根据已经信息来证明身份，例如暗号等，这类信息只有特定的人知道，通过询问可以确认身份；根据拥有物来证明身份，例如印章等，通过出示这类东西确认的身份。在计算机系统软件中，对用户的身份认证大体上也有以上三种方式。通过某一条件的校验证明身份是单因子认证。但是在应用中由于仅用某一种条件来判断身份容易被仿冒，通常情况下是组合两种不同的条件来校验身份，这称为双因子认证。 　　在计算机系统软件中，未来身份认证的发展方向是把多种方法进行数据融合，例如系统关键数据信息及多种生物特征信息融合的身份认证方式、签名和语音结合的身份认证方式、签名和指纹结合的身份认证方式等，这些都能明显提高身份识别的正确性。 　　2.2 数据保存的安全需求 　　在计算机系统软件中，数据存储的安全主要包括：数据保存时，需要保存数据库中文件不丢失，同时还需加入相应的加密技术，如数字签名，以保证数据的不可篡改；查询网络数据时，各个终端系统对所需查询的数据信息进行身份认证。为保证系统软件数据完整性，数据加密技术是最基本也是最重要的技术手段。 　　2.3 传输数据的安全需求 　　某些系统软件中的大量数据要求在开放的互联网上传输，其中包括一些保密信息和敏感信息，这类信息如果被篡改或窃取将会带来不可估量的损失。鉴于计算机系统软件的数据的重要性，作为保障数据安全的一种方式——加密应该被应用在网络数据的传输过程。 　　2.4 数据访问的安全需求 　　访问控制是网络信息安全管理的主要策略，是允许或限制用户对数据的访问范围及能力的一种手段。数据的访问安全主要包含以下两方面内容：一是数据库的访问安全。在设计过程中，必须确保系统的数据库除了具有基本的数据库安全性能以外，还要针对存放数据库的网络环境具有相应的安全保障措施；在使用过程中，必须确保系统的合法应用才能读取数据库中的数据。二是要角色访问的权限。大多数系统软件是一个多用户操作的平台，由于系统用户各自职责不同，使用户具有不同的权限。使用基于角色的权限控制在满足业务需求的基础上，还可以保障系统的安全性。 　　3 数据安全加密（Data security encryption） 　　3.1 对称密钥加密 　　对称密钥加密指通信的双方拥有同一个密钥，用于对处理数据的加密或解密[1]。对称密钥也称为单密钥或传统密钥，软件的加密者和解密者要在加密和解密前选定好一个统一的密钥，任何获得此密钥的人都能对已加密的数据进行解密，因此对称密钥算法的安全性能不是依赖于算法本身的保密性，而是完全取决于密钥的秘密性，也可以理解为取决于密钥分发过程中的保密性。每对通信用户拥有一个密钥，如果一个用户要与多个用户进行数据交换，那么就必须保管多个不同的密钥，这种情况下就增加了密钥保存的难度，所以对称密钥加密技术一般适用于数据传输量较大且密钥交换安全的情况。 　　3.2 非对称密钥加密 　　非对称密钥加密也称为公开密钥加密，能够解决对称密钥技术存在的密钥安全性缺陷的问题。加解密操作是相互独立的且密钥不同，加密使用的密钥是公钥，解密所采用的密钥是私钥[2]。公钥任何人都可以使用，但是解密密钥即私钥只有解密者拥有。用公钥加密的信息只能用该公钥所对应的私钥进行解密，利用私钥进行加密的信息不仅具有保密性能，还具有数字签名的作用，用户可以利用对应的公钥验证，极大的提高了数据的安全性能。但应用人员也发现公钥和私钥之间复杂的计算关系会导致解密的速度变慢，所以非对称密钥加密技术不适用于数据传输量较大的场合。 　　3.3 组合加密技术 　　组合加密技术是将对称密钥加密技术的数据处理效率和非对称密钥加密技术的密钥保密优势结合在一起。发送方发送数据时，通过对称密钥加密技术用之前协商好的共同密钥对传输数据进行快速加密，再通过非对称密钥加密技术用发送方的公钥将共同密钥进行加密，然后连同之前加密