數(shù)字證書在企業(yè)信息安全應(yīng)用

　　隨著企業(yè)信息安全意識的加強(qiáng)，數(shù)字證書系統(tǒng)已經(jīng)是一種成熟的技術(shù)手段，下面是小編搜集整理的一篇探究數(shù)字證書在企業(yè)信息安全應(yīng)用的論文范文，供大家閱讀查看。

　　摘要:計(jì)算機(jī)、網(wǎng)絡(luò)和人們的工作、生活聯(lián)系越來越緊密,同時(shí)產(chǎn)生了大量信息。這些信息涉及個(gè)人隱私甚至工作秘密,信息的泄露會極大損害個(gè)人、企業(yè)的利益。如何保證這些信息在個(gè)人計(jì)算機(jī)、網(wǎng)絡(luò)中使用和傳輸?shù)臋C(jī)密性、完整性、安全性,以及對信息使用和接收者的身份確認(rèn),成了近年來信息安全領(lǐng)域研究的一個(gè)重要課題。

　　關(guān)鍵詞:企業(yè)信息安全;數(shù)字證書;私鑰公鑰

　　隨著科技水平、信息化技術(shù)的發(fā)展,計(jì)算機(jī)、網(wǎng)絡(luò)和人們的工作、生活聯(lián)系越來越緊密。計(jì)算機(jī)的使用與網(wǎng)絡(luò)的應(yīng)用產(chǎn)生了大量的數(shù)據(jù)和信息,這些信息部分可以隨意公開,少部分涉及個(gè)人隱私甚至工作秘密不能被他人知曉。如何保證個(gè)人數(shù)據(jù)、信息在使用和傳輸中的機(jī)密性、完整性、安全性,以及對信息使用和接收者的身份確認(rèn),成了信息安全領(lǐng)域研究的一個(gè)重要課題。

　　1、存在的問題

　　隨著信息化水平的提高,辦公自動化系統(tǒng)、生產(chǎn)管理系統(tǒng)、ERP、郵件等系統(tǒng)在企業(yè)內(nèi)部網(wǎng)絡(luò)的'使用,方便了員工的信息共享,提高了企業(yè)管理效率。但是每一個(gè)系統(tǒng)都有不同的賬號登錄,員工在各系統(tǒng)間頻繁登錄,要記錄不同的賬號與密碼,維護(hù)難度大。通常系統(tǒng)登錄采取賬號加口令方式,賬號加口令認(rèn)證采用的是明文傳輸。這種身份認(rèn)證方式存在安全漏洞,安全性差,用戶一般使用容易記憶的口令,如數(shù)字、生日、姓名縮寫等。因此建立安全、可靠的身份認(rèn)證體系顯得尤為重要。

　　1.1 身份認(rèn)證技術(shù)

　　常用身份認(rèn)證技術(shù)包括單因素認(rèn)證、雙因素認(rèn)證、生理特征認(rèn)證等。賬號加口令屬于單因素認(rèn)證;雙因素是指除使用賬號加口令認(rèn)證方式外,采用諸如:USBKey(智能芯片卡),pin碼,數(shù)字證書等其他的認(rèn)證方式的一種強(qiáng)身份認(rèn)證方式;生理特征身份認(rèn)證以人體唯一的指紋、虹膜、聲音等為依據(jù)進(jìn)行認(rèn)證;但是數(shù)據(jù)采集成本大、運(yùn)營成本高,存儲與傳輸難度大。從實(shí)用性和成本角度企業(yè)一般采取PKI/CA的雙因素身份認(rèn)證。

　　1.2 PKI公鑰基礎(chǔ)設(shè)施

　　PKI公鑰基礎(chǔ)設(shè)施[1],是一種利用公鑰理論和技術(shù)建立的密鑰管理平臺,它能夠?yàn)榫W(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)傳輸提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系,為每個(gè)合法用戶的使用提供合法性的證明。基于企業(yè)網(wǎng)絡(luò)環(huán)境,無論是B/S、C/S架構(gòu)的系統(tǒng)應(yīng)用。利用PKI可以方便地建立,維護(hù)一個(gè)可信的企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境,使企業(yè)員工在網(wǎng)絡(luò)環(huán)境中能夠確認(rèn)彼此的身份和認(rèn)證交換的信息;實(shí)現(xiàn)通信中各實(shí)體的身份認(rèn)證,保證數(shù)據(jù)的完整性、真實(shí)性、抗抵賴性和信息保密等。

　　2、PKI/CA系統(tǒng)

　　通常一個(gè)完整PKI系統(tǒng)必須包含幾個(gè)部分:PKI客戶端、注冊機(jī)構(gòu)RA、認(rèn)證機(jī)構(gòu)CA和LDAP目錄服務(wù)器。

　　2.1 PKI體系結(jié)構(gòu)

　　PKI客戶端是證書的使用者、持有者;RA證書注冊機(jī)構(gòu),負(fù)責(zé)核實(shí)證書申請者的身份,是用戶與認(rèn)證中心服務(wù)連接的接口;認(rèn)證機(jī)構(gòu)CA是PKI的核心,負(fù)責(zé)制定證書策略、初始化RA,接收、撤銷和更新證書請求,為實(shí)體生成密鑰對,CA在密碼傳輸中采用MD5加密算法,采取公鑰與私鑰結(jié)合的方式,在證書認(rèn)證和下發(fā)中采用不可逆下發(fā)。CA負(fù)責(zé)簽發(fā)網(wǎng)絡(luò)用戶的電子身份標(biāo)識,對CRL證書注銷列表進(jìn)行管理;LDAP服務(wù)器提供目錄瀏覽服務(wù),負(fù)責(zé)將用戶信息以及數(shù)字證書加入到服務(wù)器上。

　　2.2 PKI建設(shè)

　　通常根據(jù)企業(yè)的性質(zhì)不同和規(guī)模大小可以采用不同的建設(shè)方案,建設(shè)方案的選擇直接關(guān)系到了PKI/CA系統(tǒng)的使用、管理、維護(hù)及安全性。一般有以下幾種:(1)采用現(xiàn)有存在的面向公眾服務(wù)商業(yè)性數(shù)字認(rèn)證機(jī)構(gòu)+國家級權(quán)威公證模式。(2)采用完全自行建設(shè)模式。通過建立行業(yè)內(nèi)部認(rèn)證+內(nèi)部審核公證系。第一種方式具有建設(shè)成本較低,無需建立維護(hù)、培訓(xùn)和支持團(tuán)隊(duì),無需自己定義管理和安全策略。但應(yīng)用和管理靈活性差。證書管理策略依賴于服務(wù)商,業(yè)務(wù)可靠性、穩(wěn)定性依賴于外部服務(wù),風(fēng)險(xiǎn)較高。第二種方式要獨(dú)立建立、維護(hù)、培訓(xùn)和運(yùn)營的整個(gè)PKI過程,并對PKI所有事物負(fù)全責(zé),其中包括系統(tǒng)、通信、數(shù)據(jù)庫及物理安全、網(wǎng)絡(luò)安全、冗余系統(tǒng)、恢復(fù)等,對人員要求也比較高。比較適合具有全國、全省、行業(yè)范圍內(nèi)有多種業(yè)務(wù)相關(guān)的關(guān)鍵信息系統(tǒng)的應(yīng)用;企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)存在大量涉密信息對安全性可靠性要求高,企業(yè)內(nèi)網(wǎng)與外網(wǎng)采取物理隔離的網(wǎng)絡(luò)通常采取這種建設(shè)模式。

　　3、USKkey在數(shù)字證書中的使用

　　3.1 USBKey的特點(diǎn)

　　為了適應(yīng)企業(yè)網(wǎng)絡(luò)環(huán)境的特殊性,保障計(jì)算機(jī)和系統(tǒng)安全性,企業(yè)一般采用PIN碼加USBKey的方式進(jìn)行雙因素登錄。USBKey屬于密碼設(shè)備,內(nèi)置智能卡芯片,通過存儲的私鑰信息在企業(yè)網(wǎng)絡(luò)內(nèi)部系統(tǒng)中實(shí)現(xiàn)身份認(rèn)證、數(shù)字簽名等功能。

　　3.2 文件加密傳輸

　　為保障企業(yè)內(nèi)部涉密文件的加密傳輸,保證接受者的合法讀取權(quán),都可以通過身份認(rèn)證進(jìn)行解決。加密傳輸對原有明文的文件按照某種特定算法進(jìn)行處理,形成不可讀的一段代碼“密文”,匹配相應(yīng)的密鑰之后顯示原來的文件內(nèi)容。

　　3.3 USBKey私鑰證書恢復(fù)

　　通常企業(yè)信息安全管理部門設(shè)置專屬的CA管理人員,負(fù)責(zé)證書的維護(hù),對用戶的證書申請、重發(fā)放及密鑰制作。企業(yè)內(nèi)部網(wǎng)絡(luò)用戶丟失或者損壞USBKey,CA管理人員通過數(shù)字證書系統(tǒng)密鑰代理恢復(fù)數(shù)據(jù),將私鑰備份復(fù)制到新的USBKey中。

　　3.4 USBKey的管理

　　企業(yè)內(nèi)部采用雙因素認(rèn)證,工作中難免個(gè)人PIN碼和USBKey被他人知悉。為了防范需要加強(qiáng)PIN碼和USBKey的管理,定期修改PIN碼,停止使用計(jì)算機(jī)時(shí)將USBKey存放到安全的設(shè)備中如:文件柜、密碼柜中,人走拔key。企業(yè)內(nèi)部大量USBKey的使用,增加管理難度,為了區(qū)分采取數(shù)字編碼或制作用戶標(biāo)牌進(jìn)行劃分。同時(shí)完善日志,審計(jì)用戶信息、終端信息、認(rèn)證時(shí)間和成功失敗情況等,若出現(xiàn)異常,便于追蹤,加強(qiáng)防范。

　　4、結(jié)語

　　隨著企業(yè)信息安全意識的加強(qiáng),以及在商務(wù)領(lǐng)域中PKI/CA技術(shù)的廣泛應(yīng)用。數(shù)字證書系統(tǒng)已經(jīng)是一種成熟的技術(shù)手段,在數(shù)據(jù)安全加密和加密傳輸中能夠較好的解決信息安全方面的問題,隨著信息化水平的提高數(shù)字認(rèn)證、身份認(rèn)證技術(shù)必將廣泛應(yīng)用到各行業(yè)中。

　　參考文獻(xiàn):

　　[1]謝冬青,冷建.PKI原理與技術(shù)[M].北京:清華大學(xué)出版社,2004.

【數(shù)字證書在企業(yè)信息安全應(yīng)用】相關(guān)文章：

1.信息安全技術(shù)與數(shù)字證書研究

2.企業(yè)信息系統(tǒng)應(yīng)用論文

3.企業(yè)信息安全構(gòu)建分析

4.探討企業(yè)信息安全困境

5.企業(yè)信息安全管理的論文

6.電力企業(yè)信息安全論文

7.淺談安全護(hù)理在婦產(chǎn)科中的應(yīng)用

8.計(jì)算機(jī)技術(shù)在企業(yè)信息化管理中的應(yīng)用研究