數(shù)字證書在企業(yè)信息安全應用

　　隨著企業(yè)信息安全意識的加強，數(shù)字證書系統(tǒng)已經(jīng)是一種成熟的技術手段，下面是小編搜集整理的一篇探究數(shù)字證書在企業(yè)信息安全應用的論文范文，供大家閱讀查看。

　　摘要:計算機、網(wǎng)絡和人們的工作、生活聯(lián)系越來越緊密,同時產(chǎn)生了大量信息。這些信息涉及個人隱私甚至工作秘密,信息的泄露會極大損害個人、企業(yè)的利益。如何保證這些信息在個人計算機、網(wǎng)絡中使用和傳輸?shù)臋C密性、完整性、安全性,以及對信息使用和接收者的身份確認,成了近年來信息安全領域研究的一個重要課題。

　　關鍵詞:企業(yè)信息安全;數(shù)字證書;私鑰公鑰

　　隨著科技水平、信息化技術的發(fā)展,計算機、網(wǎng)絡和人們的工作、生活聯(lián)系越來越緊密。計算機的使用與網(wǎng)絡的應用產(chǎn)生了大量的數(shù)據(jù)和信息,這些信息部分可以隨意公開,少部分涉及個人隱私甚至工作秘密不能被他人知曉。如何保證個人數(shù)據(jù)、信息在使用和傳輸中的機密性、完整性、安全性,以及對信息使用和接收者的身份確認,成了信息安全領域研究的一個重要課題。

　　1、存在的問題

　　隨著信息化水平的提高,辦公自動化系統(tǒng)、生產(chǎn)管理系統(tǒng)、ERP、郵件等系統(tǒng)在企業(yè)內(nèi)部網(wǎng)絡的使用,方便了員工的信息共享,提高了企業(yè)管理效率。但是每一個系統(tǒng)都有不同的賬號登錄,員工在各系統(tǒng)間頻繁登錄,要記錄不同的賬號與密碼,維護難度大。通常系統(tǒng)登錄采取賬號加口令方式,賬號加口令認證采用的是明文傳輸。這種身份認證方式存在安全漏洞,安全性差,用戶一般使用容易記憶的口令,如數(shù)字、生日、姓名縮寫等。因此建立安全、可靠的身份認證體系顯得尤為重要。

　　1.1 身份認證技術

　　常用身份認證技術包括單因素認證、雙因素認證、生理特征認證等。賬號加口令屬于單因素認證;雙因素是指除使用賬號加口令認證方式外,采用諸如:USBKey(智能芯片卡),pin碼,數(shù)字證書等其他的認證方式的一種強身份認證方式;生理特征身份認證以人體唯一的指紋、虹膜、聲音等為依據(jù)進行認證;但是數(shù)據(jù)采集成本大、運營成本高,存儲與傳輸難度大。從實用性和成本角度企業(yè)一般采取PKI/CA的雙因素身份認證。

　　1.2 PKI公鑰基礎設施

　　PKI公鑰基礎設施[1],是一種利用公鑰理論和技術建立的密鑰管理平臺,它能夠為網(wǎng)絡應用和數(shù)據(jù)傳輸提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系,為每個合法用戶的使用提供合法性的證明�；�于企業(yè)網(wǎng)絡環(huán)境,無論是B/S、C/S架構的系統(tǒng)應用。利用PKI可以方便地建立,維護一個可信的企業(yè)內(nèi)部網(wǎng)絡環(huán)境,使企業(yè)員工在網(wǎng)絡環(huán)境中能夠確認彼此的身份和認證交換的信息;實現(xiàn)通信中各實體的身份認證,保證數(shù)據(jù)的完整性、真實性、抗抵賴性和信息保密等。

　　2、PKI/CA系統(tǒng)

　　通常一個完整PKI系統(tǒng)必須包含幾個部分:PKI客戶端、注冊機構RA、認證機構CA和LDAP目錄服務器。

　　2.1 PKI體系結構

　　PKI客戶端是證書的使用者、持有者;RA證書注冊機構,負責核實證書申請者的身份,是用戶與認證中心服務連接的接口;認證機構CA是PKI的核心,負責制定證書策略、初始化RA,接收、撤銷和更新證書請求,為實體生成密鑰對,CA在密碼傳輸中采用MD5加密算法,采取公鑰與私鑰結合的方式,在證書認證和下發(fā)中采用不可逆下發(fā)。CA負責簽發(fā)網(wǎng)絡用戶的電子身份標識,對CRL證書注銷列表進行管理;LDAP服務器提供目錄瀏覽服務,負責將用戶信息以及數(shù)字證書加入到服務器上。

　　2.2 PKI建設

　　通常根據(jù)企業(yè)的性質不同和規(guī)模大小可以采用不同的建設方案,建設方案的選擇直接關系到了PKI/CA系統(tǒng)的使用、管理、維護及安全性。一般有以下幾種:(1)采用現(xiàn)有存在的面向公眾服務商業(yè)性數(shù)字認證機構+國家級權威公證模式。(2)采用完全自行建設模式。通過建立行業(yè)內(nèi)部認證+內(nèi)部審核公證系。第一種方式具有建設成本較低,無需建立維護、培訓和支持團隊,無需自己定義管理和安全策略。但應用和管理靈活性差。證書管理策略依賴于服務商,業(yè)務可靠性、穩(wěn)定性依賴于外部服務,風險較高。第二種方式要獨立建立、維護、培訓和運營的整個PKI過程,并對PKI所有事物負全責,其中包括系統(tǒng)、通信、數(shù)據(jù)庫及物理安全、網(wǎng)絡安全、冗余系統(tǒng)、恢復等,對人員要求也比較高。比較適合具有全國、全省、行業(yè)范圍內(nèi)有多種業(yè)務相關的關鍵信息系統(tǒng)的應用;企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)存在大量涉密信息對安全性可靠性要求高,企業(yè)內(nèi)網(wǎng)與外網(wǎng)采取物理隔離的網(wǎng)絡通常采取這種建設模式。

　　3、USKkey在數(shù)字證書中的使用

　　3.1 USBKey的特點

　　為了適應企業(yè)網(wǎng)絡環(huán)境的特殊性,保障計算機和系統(tǒng)安全性,企業(yè)一般采用PIN碼加USBKey的方式進行雙因素登錄。USBKey屬于密碼設備,內(nèi)置智能卡芯片,通過存儲的私鑰信息在企業(yè)網(wǎng)絡內(nèi)部系統(tǒng)中實現(xiàn)身份認證、數(shù)字簽名等功能。

　　3.2 文件加密傳輸

　　為保障企業(yè)內(nèi)部涉密文件的加密傳輸,保證接受者的合法讀取權,都可以通過身份認證進行解決。加密傳輸對原有明文的文件按照某種特定算法進行處理,形成不可讀的一段代碼“密文”,匹配相應的密鑰之后顯示原來的文件內(nèi)容。

　　3.3 USBKey私鑰證書恢復

　　通常企業(yè)信息安全管理部門設置專屬的CA管理人員,負責證書的維護,對用戶的證書申請、重發(fā)放及密鑰制作。企業(yè)內(nèi)部網(wǎng)絡用戶丟失或者損壞USBKey,CA管理人員通過數(shù)字證書系統(tǒng)密鑰代理恢復數(shù)據(jù),將私鑰備份復制到新的USBKey中。

　　3.4 USBKey的管理

　　企業(yè)內(nèi)部采用雙因素認證,工作中難免個人PIN碼和USBKey被他人知悉。為了防范需要加強PIN碼和USBKey的管理,定期修改PIN碼,停止使用計算機時將USBKey存放到安全的設備中如:文件柜、密碼柜中,人走拔key。企業(yè)內(nèi)部大量USBKey的使用,增加管理難度,為了區(qū)分采取數(shù)字編碼或制作用戶標牌進行劃分。同時完善日志,審計用戶信息、終端信息、認證時間和成功失敗情況等,若出現(xiàn)異常,便于追蹤,加強防范。

　　4、結語

　　隨著企業(yè)信息安全意識的加強,以及在商務領域中PKI/CA技術的廣泛應用。數(shù)字證書系統(tǒng)已經(jīng)是一種成熟的技術手段,在數(shù)據(jù)安全加密和加密傳輸中能夠較好的解決信息安全方面的問題,隨著信息化水平的提高數(shù)字認證、身份認證技術必將廣泛應用到各行業(yè)中。

　　參考文獻:

　　[1]謝冬青,冷建.PKI原理與技術[M].北京:清華大學出版社,2004.

【數(shù)字證書在企業(yè)信息安全應用】相關文章：

數(shù)字證書在電子商務中的應用09-15

信息安全技術與數(shù)字證書研究10-23

企業(yè)信息安全管理的論文07-11

電力企業(yè)信息安全論文10-07

企業(yè)信息數(shù)據(jù)安全的研究論文09-08

企業(yè)信息安全風險管理研究論文08-15

談企業(yè)信息安全概述及防范06-13

淺議企業(yè)信息安全概述及防范07-17

供電企業(yè)信息安全管理論文10-02

計算機應用技術對企業(yè)信息化的影響07-01