中国税务学会有限公司

登录 | 注册
  设为首页 | |加入收藏
微博 微信
  • 学术交流

    管理服务

    数据防贼三要点—信息安全迫在眉睫


    2005-04-28 15:27:41 | 来源:中国税务学会 | 作者:


        随着金税工程建设的迅猛发展,在计算机网络系统中保存的关键数据量越来越大,许多数据需要保存数十年以上,甚至是永久性保存。于是关键业务数据成了企业生存的命脉和宝贵的资源,数据安全性问题越来越突出。如何避免人为的和不可抗拒的自然灾害和计算机软硬件故障造成的数据破坏,是每一位从事金税建设的责任人关注的焦点。
        为了解决关键业务的数据安全和关键业务应用不间断问题,对数据系统进行全面、可靠、安全和多层次的备份是必不可少的。除此以外,各种安全产品,无论防火墙、防病毒、防黑客、防入侵等等,都或多或少地肩负着一些保护数据的责任。可见数据已经成为企业在市场竞争中叱咤风云必不可少的利刃。从保护数据的角度讲,对数据安全这个广义概念,可以细分为三部分:数据加密、数据传输安全和身份认证管理。数据加密是对数据自身的加密管理,我们平常所说的文件加密,数字内容加密,邮件加密都属于这个范畴内。数据传输安全是指数据在传输过程中必须要确保数据的安全性,完整性和不可篡改性。身份认证管理则主要是对数据查阅人的安全管理,这一点也不容忽视。如果我们仅对数据本身和传输过程进行保护,而对数据使用者不加干涉,那么依然是危机重重。

    数据加密
        软件加密是数据加密的重要部分。根据BSA(美国软件企业联盟)的调查, 2001年全球平均软件盗版率为40%,为此开发商要损失109.7亿美元。根据地区发展不同,不同地区的软件盗版比例也不尽相同,在东欧盗版比例远高于北美,达到87%。而在一些亚洲国家,情况更为严重,有94%~97%的软件都是不合法的。
        保护知识产权确保开发商的合法利益对每一个软件开发公司都是极为重要的。 但是,软件盗版不单单是软件开发商要面临的一个问题,如果使用了盗版软件,不论知道与否,使用者不但要承担相应的法律责任,其声誉也要大打折扣。
        软件加密就可以通过硬件来实现。比如SafeNet公司的软件保护高端产品圣天诺超强锁通过硬件方式保护应用程序的安全。开发商的软件与圣天诺超强锁结合后,用户在打开应用程序时即开启了与加密锁之间的通讯。只有用户把相对应的加密锁硬件插入计算机USB口或并口时,应用程序才可以正常运行,从而有效保护了开发商的程序不被非法盗版。

    传输安全
        现在很多机构都开始通过互联网和标准的Web浏览器,为用户提供访问机构内部网络或应用程序的远程接入服务。这时传统的IPSec VPN在易用性上就显露出了它的弊端。而基于SSL协议的VPN则能提供比IPSec VPN更好的安全性、易用性和经济性,可以在几个小时内完成安装,无需对应用程序和远程客户端进行修改或特殊配置,并提供从应用程序到桌面浏览器之间的保护。
        如果远程客户端到本部之间通过SSL协议建立专用加密通道,并使用标准的HTTP通信协议,就不会因为SSL加解密而给服务器带来任何负担。当移动用户需要连接到公司网络时,用户需要插入身份认证令牌并输入PIN码,进行登录身份认证。对服务器端的身份认证使用标准SSL验证,对客户端进行验证。双方完成验证之后,所有通信均使用HTTPS协议,以保证从客户端到本部之间的通信安全。
        通过与USB Key产品的结合,SSL VPN不仅针对网页或非网页应用程序进行保护,还能确认远程访问者的真实身份,能够有效避免口令泄露和黑客入侵。

    身份认证管理
        保护数据不仅仅是要让数据正确、长久地存在,更重要的是,要让不该看到数据的人看不到。这方面,就必须依靠身份认证技术来给数据加上一把锁。数据存在的价值就是需要被合理访问,而不是把它压在箱子底下不让人问津。所以,建立信息安全体系的目的应该是保证系统中的数据只能被有权限的人访问,未经授权的人则无法访问到数据。如果没有有效的身份认证手段,访问者的身份就很容易被伪造,使得未经授权的人仿冒有权限人的身份,这样,任何安全防范体系就都形同虚设,所有安全投入就被无情地浪费了。
        在金税工程建设中,身份认证技术要能够密切结合企业的业务流程,阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。所以说,身份认证是整个信息安全体系的基础。
        如何通过技术手段保证物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式:一是根据你所知道的信息来证明身份,假设某些信息只有某人知道,比如暗号等,通过询问这个信息就可以确认此人的身份;二是根据你所拥有的物品来证明身份,假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份;三是直接根据你独一无二的身体特征来证明身份,比如指纹、虹膜等生物识别技术。
        更简单、更有效的身份认证可以使用身份认证安全产品来实现。而身份认证技术又可以分为软件认证和硬件认证。从认证需要验证的条件来看,身份认证技术还可以分为单因子认证和双因子认证。单因子认证是仅通过一个条件来验证一个人的身份。由于只使用一种条件判断用户的身份,单因子认证很容易被仿冒。双因子认证通过组合两种不同条件(如通过密码和芯片组合)来证明一个人的身份,安全性有了明显提高。从认证信息来看,身份认证技术还可以分为静态认证和动态认证。