前言:中文期刊网精心挑选了数据保密解决方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
数据保密解决方案范文1
公司背景:杭州瑞网拥有国内领先自主研发技术,并与浙江大学等高校建立了科研合作关系,拥有一支高素质、高学历的团队,已成为国内少数几家具有自主研发能力并具有广泛用户群体的存储设备厂家。
技术实力:杭州瑞网专注于行业技术创新,坚持以持续自主核心技术的存储产品为客户不断创造价值。产品拥有多项技术专利及软件著作权,并先后通过公安部、中国电信、中国联通、国家保密局等机构相关认证。另外公司与浙江大学联合申请了多个省部级科技重大专项。
企业产品:杭州瑞网拥有完整、全面的产品线和融合存储解决方案。存储产品含有IP存储、FC存储和云存储三条产品线。同时杭州瑞网一直关注云计算、云存储领域,并将云存储视为公司核心技术和重要的发展契机。其中TriNet-Cloud就是杭州瑞网倾力打造的全面完整的云存储解决方案。
该方案采用TriNet NVR集群,实现海量数字/模拟摄像头的接入。前端支持码流高达12Mbps的高清摄像机,支持基于SDK的二次开发;同时内置接受、编码模块,将视频流存放在高性能RAID阵列上;支持业内Onvif标准开发协议;后端支持TriNet-Cloud云存储系统。其核心是将控制通路(元数据)和数据通路(数据读或写)分离,充分分离计算和存储资源。该方案采用业内领先的海量分层云存储功能,确保数据保密稳定。
尤其运用自主研发的云存储系统TS 6000C,采用并行存储节点设计,降低对整体系统的影响。考虑到存储层的高可用性,在本地部署两台TS 6000C并通过物理手段进行防火、防雷等隔离防护。另外结合TriNet HA软件的同步I/O技术,实现ms级两台数据和服务一致。
远端数据通过异步备份技术实现对历史数据的回溯。它同时具有定时备份、差量备份,并可在网络压力较小的环境中,实现全盘数据的镜像从而达到异地灾备中心的目的。杭州瑞网产品在不同级别均实现了数据安全保护。
数据保密解决方案范文2
当前身份识别的挑战
今天全球的企业都在致力于确保自身IT环境的安全、如何成功应对不断增长的复杂性,以及不断增加的包括合作伙伴、供应商和客户在内的内外部用户数量。
然而,在这个不断变化的数字环境中,企业必须对用户访问进行严格的控制,并确保身份识别和访问管理 (IAM) 系统与企业目标保持协调统一,同时和企业IT管理整体战略紧密结合在一起。随着在线应用的增加,建立用户和管理用户权限的工作负荷也越来越重。此外,企业内存在的多重身份也会让用户感到困惑。更为重要的是,如果某一用户是企业许多产品和服务的客户,但由于无法识别其身份,企业可能因此丧失商机。同一用户在不同的应用中产生了多重身份,使企业暴露于多种严重威胁和漏洞之下,不断遭受到身份盗窃和欺诈威胁、网站破坏、盗窃用户信息、破坏客户和员工保密性以及多种其他内部攻击。
法规要求
在所有重要IT系统范围内,政府和行业法规正逐渐加大对企业的管理力度,要求他们提供可供审计的证据,证明只有相应人员访问了关键数据和应用。
业务要求
CIO杂志和普华永道的报告表明,IT安全是亚洲企业面临的重大挑战。这些报告指出,2004年期间,75%的亚洲公司都曾因安全问题导致系统崩溃。这主要归结于亚太地区企业对基于Web应用的依赖性急剧增长,但对相应的身份识别和访问管理流程和基础架构关注不足。安全威胁对企业的破坏程度要远远大于直接的财务损失,例如它可能导致企业面临诉讼威胁和品牌的弱化。因此,风险管理已经明确地列入CIO们的议事日程。
安全基础架构的效率、质量和强度部分取决于其内部安全解决方案的相互作用性和互操作性。一般来说,每个企业的身份识别和访问管理需求都各不相同,其挑战在于如何将复杂的系统与内外部组件紧密集成,并确保IT实施和安全基础架构与业务目标保持一致。员工需要的是一整套从登录工作站到访问内部资源的安全管理解决方案,必须注重用户对资源的访问、IT系统及保护内部系统。设施和IT组件的成功整合对于保护公司资产来说至关重要,这些资产包括办公楼、安全测试实验室、目录、Web服务、数据库或文件等。
客户和业务合作伙伴则要求解决方案能够确保对其服务的Web访问的安全性。从业务的角度来看,重点在于吸引客户和支持新的客户服务。从客户的角度来看,则注重于使用方便以及个人数据和交易的保密性。另外,解决方案还必须具有可升级性,以支持大多企业不断增长的庞大用户数量。
不论应用或资源放在哪里,也不论用户需要访问的是什么,公司都需要在整个企业范围内保持安全政策的一致。企业内外边缘层的日趋模糊带来了全新的挑战,要求企业拥有更加全面的身份识别和访问管理以及安全管理解决方案。
被动的身份识别难以应对挑战
身份识别和访问管理解决方案需要解决大型企业从Web到大型主机、数百种包括客户、员工、合作伙伴在内的不同需求。没有集成解决方案的帮助,随着时间的推移,企业将面临着多个集成和共享信息的解决方案,工作量将增加。
综上所述,理想的身份识别和访问管理解决方案需要具有全面性、集成性和开放性的特点,并且应该成为企业IT管理整体战略的一部分。全面的身份识别和访问管理解决方案将结合提供、政策实施和端到端审计,确保身份生命周期的各个方面都得到安全、有效的管理。
产品链接
CA Identity Access Management身份识别和访问管理解决方案,是一套完善的模块化、集成化的身份识别和访问管理解决方案,可帮助企业降低成本,同时减小与用户及其企业内部访问相关的安全风险。它提供了可靠的尖端技术,为企业实现自身的身份管理需求提供了关键的解决方案,可解决旧系统、分布式计算环境以及新兴的 Web 服务的安全问题。这组开放式套件利用工业标准实现了简化的、更易管理的集成、支持与部署。此外CA Identity and Access Management解决方案还提供了必要工具,使身份与访问管理成为公司的核心技能。它具有如下特点:
通过出众的管理界面简化管理流程。CA Identity and Access Management解决方案的一项关键功能是能够从雇用起到退休为止对用户进行全面管理。
增加收入――实现快速部署并降低复杂性。CA Identity and Access Management解决方案提供了一个安全、开放的身份管理平台。
CA Identity and Access Management解决方案采用高性能的 X.500 Directory 作为其嵌入式存储库。该解决方案符合 LDAP v3 标准,使你能够利用 Microsoft 的 Active Directory 或Sun ONE 的 Directory Server 等类型的目录。
降低安全风险。通过使用集中化的身份管理并实施全面的访问权限管理,CA Identity and Access Management解决方案降低了旧身份仍在系统中起作用的可能性。
数据保密解决方案范文3
近日,惠普在香港推出了全面升级的远程客户端管理解决方案(RCS)。在金融危机的大背景之下,企业开始在全球范围内评估其IT采购,务求使购买的产品同时满足IT需求和业务利益,以提高成本与性能效率。此时,惠普升级远程客户端管理解决方案(RCS),迎合用户降低成本的目的显而易见。
惠普信息产品集团亚太及日本地区副总裁兼商用系统事业部总经理Dennis Mark接受采访时说,惠普的RCS套件提供了集成式解决方案,可以降低客户的总体拥有成本,同时帮助企业实现更高的性能、安全与易管理特性。
持续不断降低成本
IDC的最新研究显示,应用RCS,用户可以节省61%的运营成本和87%的软硬件成本。这主要是因为用户用瘦客户机替代普通的PC,从而降低了管理维护成本和能耗,提高了生产效率。
据惠普的高管介绍,惠普RCS系列包含了集中化客户计算组件,如刀片PC、刀片工作站和虚拟PC。它们都位于数据中心,通过惠普瘦客户机访问并经由全套惠普RCS软件管理。经过改进的RCS系列已成为第四代技术的代表。通过日常的系统管理、部署管理、协议和访问设备等设计,RCS解决方案将帮助企业重新设计其客户端计算架构,同时降低运营成本,提高维护效率,更加灵活地适应多元化的业务环境。
据Gartner的一项研究指出,瘦客户机可使每位用户的停工成本降低79%; 节省16%资本成本; 维护成本减少34%; 运营成本降低19%; 总体拥有成本降低48%。而且,瘦客户机产品组合因为固态设计,没有任何活动零件,从而能够减少维护工作并缩短停机时间。
而对于涉及到保密的单位,采用瘦客户机则能加强对重要数据的保护。惠普瘦客户机针对业务持续性和灾难恢复进行了优化,可通过取消本地存储、限制本地用户信息、将关键用户数据和应用程序存储在中央服务器上等措施,提高数据安全性。
在升级的远程客户端管理解决方案的基础上,惠普还为PC客户提供了完整的产品套装,包括基于惠普t5630 XPe的瘦客户机、惠普bc2200刀片PC,以及刀片PC配套的集成转换器和支持软件,而价格仅为入门级价位――850美元。在采购成本上,大为降低。
Dennis Mark告诉记者,当前的环境要求企业“以更少的资源做出更大的成绩”。在这一背景下,惠普开发出了RCS解决方案,将硬件与软件融为一体,提供更高效的基础架构和更出色的灵活性,帮助企业实现这一业务需求。
“在提高数据安全性的前提下降低资金成本和现行运营成本正是客户的当务之急。”惠普的一位高管说,RCS解决方案正是为此而来。
虚拟化技术助力
同日,惠普还了新型 bc2800和bc2200刀片PC。值得注意的是,惠普在所有bc2200和bc2800刀片PC上均采用了Citrix XenDesktop许可,从而增加了对Citrix(思杰)软件的支持。通过此,客户能够利用Citrix的ICA协议,将惠普的刀片PC轻松集成至Citrix XenDesktop环境。而Citrix XenDesktop为客户提供的综合性解决方案,也能够同时为数据中心的虚拟或刀片PC客户端提供支持,从而实现客户端的桌面计算。
IDC亚太个人系统研究所资深研究经理Reuben Tan分析说:“客户端虚拟计算是一种业界普遍采用的业务解决方案,已经从新兴技术发展成为成熟技术,并有可能彻底改变为企业提供IT服务的方式。客户端虚拟技术为企业提供了高效、灵活的IT基础设施,使企业获益匪浅。”
对此,Dennis Mark表示: “将惠普刀片PC与XenDesktop相结合,创造出了简化的低成本客户虚拟解决方案,在帮助企业高效管理和规范计算环境的同时,提供用户所期望的高性能使用体验。特别是在当前颇具挑战性的经济环境下,客户虚拟是一种性价比很高的替代性解决方案,能够满足客户提高管理性能、升级计算基础设施的要求。”
在高性价比之下,刀片PC在安全性和易用性方面也得到了提升。据介绍,集中型刀片PC专为与机密数据和关键业务数据打交道的专业人士开发,能够保障存放在数据中心内的数据的安全,确保最高级别的安全系数,帮助企业满足监管标准。此外,配有XenDesktop 3的惠普刀片PC还能提供高级管理工具,利用对软硬件配置的远程访问与控制、快速安装,以及用户分配工具简化IT管理,提高基础设施的可控制性与可升级性。
软硬携手
在这次会议上,除了宣布硬件更新以外,升级的惠普远程客户端管理解决方案软件套件还提供多种先进的功能组合,包括多媒体、会话分配和流媒体解决方案。此软件的目的在于为远程客户环境下的用户提供更为丰富的体验,包括基于服务器的计算应用、惠普虚拟桌面基础架构(VDI)、惠普刀片PC或刀片工作站等。
记者了解到,该软件系列包括惠普的RDP(Remote Desktop Protocol Multimedia Extension)和惠普远程图形软件(RGS),这两种协议的运用可为远程计算解决方案的使用提供更为丰富的多媒体体验。RCS软件系列还采用了惠普动态分配引擎(SAM),这是一种用于远程客户端的会话分配,能够提供连续性和先进的管理功能。
RGS 是一种协议选择,可在部署虚拟计算解决方案时提供更出色的多媒体体验,而 SAM 是一种针对远程客户端的会话软件,可提供互联和高级管理功能。惠普快速部署软件包 (RDP) 也是该软件组合的一员,它是一种部署解决方案,有助于大量目标设备(如刀片式PC)的安装、配置和部署。RCS 软件组合的这些改进,提高了惠普客户端解决方案的可靠性,并且与 VMware、Citrix和微软等业界领先合作伙伴的产品兼容。
同样,惠普远程客户端管理解决方案软件对总体拥有成本的降低也有所体现。通过减少噪音、热量、能耗和系统混乱,降低了终端用户支持成本; 便于终端用户进行远程访问,使用户能够远程作业而不会有损计算能力,实现了更出众的用户体验。
数据保密解决方案范文4
中国惠普PSG副总裁周信宏与AMD中国副总裁潘晓明共同远程客户端解决方案
互补而非替代
尽管远程客户端解决方案对于大多数大型的企业用户来讲颇具革命性,但该解决方案并非要替代目前的传统PC。中国惠普PSG副总裁周信宏表示,从商用PC几年来的发展来看,未来的IT需求将会更加网络化,市场对于虚拟化的需求将会越来越大。“调查机构预测,2010年前亚太地区瘦客户机年复合增长率有望达到26.9%。到2010年,大约1/5的企业桌面客户机将被瘦客户机和虚拟客户机解决方案所替代。”
不可否认的是,目前大多数的企业用户依然倾向于使用PC,在使用习惯上,瘦客户机尚未被大多数用户所接受。对此周信宏坦言,瘦客户机的应用是个循序渐进的过程,并非一蹴而就。而事实上,远程客户端解决方案也不是要“抢传统PC的饭碗”。
周信宏向记者详细描述了惠普瘦客户机的发展历程――惠普从2003年将瘦客户机技术带入中国,“现在我们推出了第一套完整、统一的集中式IT管理解决方案,这将是推动瘦客户机应用的一个起点”。
为商用PC瘦身
目前来看,安全、稳定、高效等一直是引领商用PC发展的关键词,惠普此次首先在业界提出,“瘦”也是商用PC发展的一个方向。
惠普亚太区解决方案拓展经理王成伟介绍,中国大型企业和行业用户对于PC整合解决方案的需求越来越个性化,而惠普公司提出的远程客户端管理解决方案,通过集中加强控制可以满足客户上述需求,为客户提供更高水平的数据保密性和稳定的运算性及可管理性。
谈到瘦PC的行业使用特点,王成伟详细解释说:“惠普远程客户端架构适用于办公、远程办公、呼叫中心,以及离岸开发、记录、电话销售和生产制造等,可以根据用户分类配套适用方案,提供标准化的接入、分配、管理架构,同时减少采购、支持成本和风险。”
巧解对接难题
数据保密解决方案范文5
关键词:数字签名;加密技术;数字证书;电子文档;安全问题
Abstract:Today’sapprovalofnewdrugsintheinternationalcommunityneedstocarryouttherawdatatransmission.Thetraditionalwayofexaminationandapprovalredtapeandinefficiency,andtheuseoftheInternettotransmitelectronictextcankeepdatasafeandreliable,butalsogreatlysavemanpower,materialandfinancialresources,andsoon.Inthispaper,encryptionanddigitalsignaturealgorithmofthebasicprinciples,combinedwithhisownideas,givenmedicalapprovalintheelectronictransmissionofthetextofthesecuritysolution.
Keywords:digitalsignature;encryptiontechnology;digitalcertificate;electronicdocuments;securityissues
1引言
随着我国医药事业的发展,研制新药,抢占国内市场已越演越烈。以前一些医药都是靠进口,不仅成本高,而且容易形成壁垒。目前,我国的医药研究人员经过不懈的努力,开始研制出同类同效的药物,然而这些药物在走向市场前,必须经过国际权威医疗机构的审批,传统方式是药物分析的原始数据都是采用纸张方式,不仅数量多的吓人,而且一旦有一点差错就需从头做起,浪费大量的人力、物力、财力。随着INTERNET的发展和普及,人们开始考虑是否能用互联网来解决数据传输问题。他们希望自己的仪器所做的结果能通过网络安全传输、并得到接收方认证。目前国外针对这一情况已⒘四承┤砑欢捎诩鄹癜汗螅际醪皇呛艹墒欤勾τ谘橹そ锥危媸被嵘兜脑颍诤苌偈褂谩U饩透谝揭┭蟹⑹乱敌纬闪思际跗烤保绾慰⒊鍪视榈南嘤θ砑创俳夜揭┥笈ぷ鞯姆⒄咕统闪斯诘那把亓煊颍胰涨肮谡夥矫娴难芯坎皇呛芏唷?lt;/DIV>
本文阐述的思想:基本上是参考国际国内现有的算法和体制及一些相关的应用实例,并结合个人的思想提出了一套基于公钥密码体制和对称加密技术的解决方案,以确保医药审批中电子文本安全传输和防止窜改,不可否认等。
2算法设计
2.1AES算法的介绍[1]
高级加密标准(AdvancedEncryptionStandard)美国国家技术标准委员会(NIST)在2000年10月选定了比利时的研究成果"Rijndael"作为AES的基础。"Rijndael"是经过三年漫长的过程,最终从进入候选的五种方案中挑选出来的。
AES内部有更简洁精确的数学算法,而加密数据只需一次通过。AES被设计成高速,坚固的安全性能,而且能够支持各种小型设备。
AES和DES的性能比较:
(1)DES算法的56位密钥长度太短;
(2)S盒中可能有不安全的因素;
(3)AES算法设计简单,密钥安装快、需要的内存空间少,在所有平台上运行良好,支持并行处理,还可抵抗所有已知攻击;
(4)AES很可能取代DES成为新的国际加密标准。
总之,AES比DES支持更长的密钥,比DES具有更强的安全性和更高的效率,比较一下,AES的128bit密钥比DES的56bit密钥强1021倍。随着信息安全技术的发展,已经发现DES很多不足之处,对DES的破解方法也日趋有效。AES会代替DES成为21世纪流行的对称加密算法。
2.2椭圆曲线算法简介[2]
2.2.1椭圆曲线定义及加密原理[2]
所谓椭圆曲线指的是由韦尔斯特拉斯(Weierstrass)方程y2+a1xy+a3y=x3+a2x2+a4x+a6(1)所确定的平面曲线。若F是一个域,ai∈F,i=1,2,…,6。满足式1的数偶(x,y)称为F域上的椭圆曲线E的点。F域可以式有理数域,还可以式有限域GF(Pr)。椭圆曲线通常用E表示。除了曲线E的所有点外,尚需加上一个叫做无穷远点的特殊O。
在椭圆曲线加密(ECC)中,利用了某种特殊形式的椭圆曲线,即定义在有限域上的椭圆曲线。其方程如下:
y2=x3+ax+b(modp)(2)
这里p是素数,a和b为两个小于p的非负整数,它们满足:
4a3+27b2(modp)≠0其中,x,y,a,b∈Fp,则满足式(2)的点(x,y)和一个无穷点O就组成了椭圆曲线E。
椭圆曲线离散对数问题ECDLP定义如下:给定素数p和椭圆曲线E,对Q=kP,在已知P,Q的情况下求出小于p的正整数k。可以证明,已知k和P计算Q比较容易,而由Q和P计算k则比较困难,至今没有有效的方法来解决这个问题,这就是椭圆曲线加密算法原理之所在。
2.2.2椭圆曲线算法与RSA算法的比较
椭圆曲线公钥系统是代替RSA的强有力的竞争者。椭圆曲线加密方法与RSA方法相比,有以下的优点:
(1)安全性能更高如160位ECC与1024位RSA、DSA有相同的安全强度。
(2)计算量小,处理速度快在私钥的处理速度上(解密和签名),ECC远比RSA、DSA快得多。
(3)存储空间占用小ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多,所以占用的存储空间小得多。
(4)带宽要求低使得ECC具有广泛得应用前景。
ECC的这些特点使它必将取代RSA,成为通用的公钥加密算法。比如SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。
2.3安全散列函数(SHA)介绍
安全散列算法SHA(SecureHashAlgorithm,SHA)[1]是美国国家标准和技术局的国家标准FIPSPUB180-1,一般称为SHA-1。其对长度不超过264二进制位的消息产生160位的消息摘要输出。
SHA是一种数据加密算法,该算法经过加密专家多年来的发展和改进已日益完善,现在已成为公认的最安全的散列算法之一,并被广泛使用。该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。散列函数值可以说时对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。
3数字签名
“数字签名”用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。数字签名技术的实现基础是公开密钥加密技术,是用某人的私钥加密的消息摘要用于确认消息的来源和内容。公钥算法的执行速度一般比较慢,把Hash函数和公钥算法结合起来,所以在数字签名时,首先用hash函数(消息摘要函数)将消息转变为消息摘要,然后对这个摘
要签名。目前比较流行的消息摘要算法是MD4,MD5算法,但是随着计算能力和散列密码分析的发展,这两种算法的安全性及受欢迎程度有所下降。本文采用一种比较新的散列算法――SHA算法。
4解决方案:
下面是医药审批系统中各个物理组成部分及其相互之间的逻辑关系图:
要签名。目前比较流行的消息摘要算法是MD4,MD5算法,但是随着计算能力和散列密码分析的发展,这两种算法的安全性及受欢迎程度有所下降。本文采用一种比较新的散列算法――SHA算法。
4解决方案:
下面是医药审批系统中各个物理组成部分及其相互之间的逻辑关系图:
图示:电子文本传输加密、签名过程
下面是将医药审批过程中的电子文本安全传输的解决方案:
具体过程如下:
(1)发送方A将发送原文用SHA函数编码,产生一段固定长度的数字摘要。
(2)发送方A用自己的私钥(keyA私)对摘要加密,形成数字签名,附在发送信息原文后面。
(3)发送方A产生通信密钥(AES对称密钥),用它对带有数字签名的原文进行加密,传送到接收方B。这里使用对称加密算法AES的优势是它的加解密的速度快。
(4)发送方A用接收方B的公钥(keyB公)对自己的通信密钥进行加密后,传到接收方B。这一步利用了数字信封的作用,。
(5)接收方B收到加密后的通信密钥,用自己的私钥对其解密,得到发送方A的通信密钥。
(6)接收方B用发送方A的通信密钥对收到的经加密的签名原文解密,得数字签名和原文。
(7)接收方B用发送方A公钥对数字签名解密,得到摘要;同时将原文用SHA-1函数编码,产生另一个摘要。
(8)接收方B将两摘要比较,若一致说明信息没有被破坏或篡改。否则丢弃该文档。
这个过程满足5个方面的安全性要求:(1)原文的完整性和签名的快速性:利用单向散列函数SHA-1先将原文换算成摘要,相当原文的指纹特征,任何对原文的修改都可以被接收方B检测出来,从而满足了完整性的要求;再用发送方公钥算法(ECC)的私钥加密摘要形成签名,这样就克服了公钥算法直接加密原文速度慢的缺点。(2)加解密的快速性:用对称加密算法AES加密原文和数字签名,充分利用了它的这一优点。(3)更高的安全性:第四步中利用数字信封的原理,用接收方B的公钥加密发送方A的对称密钥,这样就解决了对称密钥传输困难的不足。这种技术的安全性相当高。结合对称加密技术(AES)和公开密钥技术(ECC)的优点,使用两个层次的加密来获得公开密钥技术的灵活性和对称密钥技术的高效性。(4)保密性:第五步中,发送方A的对称密钥是用接收方B的公钥加密并传给自己的,由于没有别人知道B的私钥,所以只有B能够对这份加密文件解密,从而又满足保密性要求。(5)认证性和抗否认性:在最后三步中,接收方B用发送方A的公钥解密数字签名,同时就认证了该签名的文档是发送A传递过来的;由于没有别人拥有发送方A的私钥,只有发送方A能够生成可以用自己的公钥解密的签名,所以发送方A不能否认曾经对该文档进进行过签名。
5方案评价与结论
为了解决传统的新药审批中的繁琐程序及其必有的缺点,本文提出利用基于公钥算法的数字签名对文档进行电子签名,从而大大增强了文档在不安全网络环境下传递的安全性。
本方案在选择加密和数字签名算法上都是经过精心的比较,并且结合现有的相关应用实例情况,提出医药审批过程的解决方案,其优越性是:将对称密钥AES算法的快速、低成本和非对称密钥ECC算法的有效性以及比较新的算列算法SHA完美地结合在一起,从而提供了完整的安全服务,包括身份认证、保密性、完整性检查、抗否认等。
参考文献:
1.李永新.数字签名技术的研究与探讨。绍兴文理学院学报。第23卷第7期2003年3月,P47~49.
2.康丽军。数字签名技术及应用,太原重型机械学院学报。第24卷第1期2003年3月P31~34.
3.胡炎,董名垂。用数字签名解决电力系统敏感文档签名问题。电力系统自动化。第26卷第1期2002年1月P58~61。
4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.
5.WrightMA,workSecurity,1998(2)P10~13.
6.BruceSchneier.应用密码学---协议、算法与C源程序(吴世终,祝世雄,张文政,等).北京:机械工业出版社,2001。
7.贾晶,陈元,王丽娜,信息系统的安全与保密[M],北京:清华大学出版社,1999
8.陈彦学.信息安全理论与实务【M】。北京:中国铁道出版社,2000p167~178.
9.顾婷婷,《AES和椭圆曲线密码算法的研究》。四川大学硕士学位论文,【馆藏号】Y4625892002。
下面是将医药审批过程中的电子文本安全传输的解决方案:
具体过程如下:
(1)发送方A将发送原文用SHA函数编码,产生一段固定长度的数字摘要。
(2)发送方A用自己的私钥(keyA私)对摘要加密,形成数字签名,附在发送信息原文后面。
(3)发送方A产生通信密钥(AES对称密钥),用它对带有数字签名的原文进行加密,传送到接收方B。这里使用对称加密算法AES的优势是它的加解密的速度快。
(4)发送方A用接收方B的公钥(keyB公)对自己的通信密钥进行加密后,传到接收方B。这一步利用了数字信封的作用,。
(5)接收方B收到加密后的通信密钥,用自己的私钥对其解密,得到发送方A的通信密钥。
(6)接收方B用发送方A的通信密钥对收到的经加密的签名原文解密,得数字签名和原文。
(7)接收方B用发送方A公钥对数字签名解密,得到摘要;同时将原文用SHA-1函数编码,产生另一个摘要。
(8)接收方B将两摘要比较,若一致说明信息没有被破坏或篡改。否则丢弃该文档。
这个过程满足5个方面的安全性要求:(1)原文的完整性和签名的快速性:利用单向散列函数SHA-1先将原文换算成摘要,相当原文的指纹特征,任何对原文的修改都可以被接收方B检测出来,从而满足了完整性的要求;再用发送方公钥算法(ECC)的私钥加密摘要形成签名,这样就克服了公钥算法直接加密原文速度慢的缺点。(2)加解密的快速性:用对称加密算法AES加密原文和数字签名,充分利用了它的这一优点。(3)更高的安全性:第四步中利用数字信封的原理,用接收方B的公钥加密发送方A的对称密钥,这样就解决了对称密钥传输困难的不足。这种技术的安全性相当高。结合对称加密技术(AES)和公开密钥技术(ECC)的优点,使用两个层次的加密来获得公开密钥技术的灵活性和对称密钥技术的高效性。(4)保密性:第五步中,发送方A的对称密钥是用接收方B的公钥加密并传给自己的,由于没有别人知道B的私钥,所以只有B能够对这份加密文件解密,从而又满足保密性要求。(5)认证性和抗否认性:在最后三步中,接收方B用发送方A的公钥解密数字签名,同时就认证了该签名的文档是发送A传递过来的;由于没有别人拥有发送方A的私钥,只有发送方A能够生成可以用自己的公钥解密的签名,所以发送方A不能否认曾经对该文档进进行过签名。
5方案评价与结论
为了解决传统的新药审批中的繁琐程序及其必有的缺点,本文提出利用基于公钥算法的数字签名对文档进行电子签名,从而大大增强了文档在不安全网络环境下传递的安全性。
本方案在选择加密和数字签名算法上都是经过精心的比较,并且结合现有的相关应用实例情况,提出医药审批过程的解决方案,其优越性是:将对称密钥AES算法的快速、低成本和非对称密钥ECC算法的有效性以及比较新的算列算法SHA完美地结合在一起,从而提供了完整的安全服务,包括身份认证、保密性、完整性检查、抗否认等。
参考文献:
1.李永新.数字签名技术的研究与探讨。绍兴文理学院学报。第23卷第7期2003年3月,P47~49.
2.康丽军。数字签名技术及应用,太原重型机械学院学报。第24卷第1期2003年3月P31~34.
3.胡炎,董名垂。用数字签名解决电力系统敏感文档签名问题。电力系统自动化。第26卷第1期2002年1月P58~61。
4.LeungKRPH,HuiL,CK.HandingSignaturePurposesinWorkflowSystems.JournalofSystems.JournalofSystemsandSoftware,2001,55(3),P245~259.
5.WrightMA,workSecurity,1998(2)P10~13.
6.BruceSchneier.应用密码学---协议、算法与C源程序(吴世终,祝世雄,张文政,等).北京:机械工业出版社,2001。
7.贾晶,陈元,王丽娜,信息系统的安全与保密[M],北京:清华大学出版社,1999
数据保密解决方案范文6
《美军2013财年信息技术与网络安全项目的预算需求》中阐述了国防部信息环境、联合信息环境、加固网络、数据中心的建设、购买设备、企业级服务与信息技术管理、网络安全、信息技术投资计划、人力建设、电磁频谱等十个方面的建设需求,其中的五个方面则是重中之重。
美国国防部2013财年的信息技术预算需求大约为370亿美元,比2012财年的预算略微减少。这些资金被投资到6000多个遍布全球的军事基地,支持3个部、40多个局以及战场上的独特需求与任务。下面详细介绍美军2013财年信息技术和网络安全建设的五大发展重点。
五大发展重点
从《美军2013财年信息技术与网络安全项目的预算需求》可以发现,美军2013财年信息技术和网络安全建设的重点放在联合信息环境、数据中心、企业化服务、网络安全和加固网络等五个方面。
联合信息环境
联合信息环境是一个单一、安全、可靠、高效和灵活的指挥、控制、通信和计算机计划,可被联合部队的任务合作伙伴在几乎所有军事行动、梯队和环境中广泛使用。美军2013财年联合信息环境建设的目标主要有两个:一是使国防部更有效、更安全、更好地弥补弱点,更好地应对网络威胁;二是简化、集成信息系统,实现信息系统的标准化、自动化,减少国防部信息技术基础设施的相关费用。
国防部的信息主管正在指挥着联合信息环境相关计划的实施,也同联合参谋部、各军种及国防部其他部门互相合作,以更快速地全面实现国防部信息技术现代化。国防部正在使用情报委员会的信息技术现代化手段来辅助联合信息环境计划。一个由来自国防部专家组成的小组正在构思实现途径,制定实现计划与项目时间表,并进行经费预算。在2013财年,美军强调项目必须集成网络安全,从操作系统的配置到系统进入控制,到全方位防御系统,到网络入侵探测与诊断。
美军将继续通过国防信息系统局的Forge.mil与RACE软件开发环境,以及通过与研发平台匹配的集成测试与安全评估能力,加速平台的研发、质量控制、网络安全评估。
数据中心
美军非常重视信息技术标准建设,目前国防部的信息主管在军种与国防信息局的配合下为数据中心建立设计的标准,坚持非保密网络、保密网络、物理隔绝网络、加密隔绝网络都执行同样标准。这种标准网络建设,再加之更多的信息服务,使国防部数据中心的数量相应减少。
美军2013财年重点将现有数据中心合并为三类数据中心:第一类为核心数据中心,用于国防部各部门都可以使用的信息服务与应用,以及用于国防部与工业部门、公众交互的对外服务与应用;第二类为地区性数据中心,主要用于满足终端用户的信息服务与应用需求;第三类为部署在战场前方的前方数据中心,此类数据中心很灵活,可以存放地区性与全局性的服务与信息,适合各种任务情况,速度更快,网络可靠性更好。
这些数据中心的服务器将普遍高度虚拟化,这样可以更灵活地加入新的信息服务,提供最大的使用效率。
企业化服务
目前,国防部的信息主管正在同五角大楼的高层领导一起合作,以确保对信息技术投资进行企业化管理,使一些信息中心灵活地交付信息能力与解决方案。
此外,在实施企业化方案的过程中,美军也在不断解决有时出现的框架结构等方面的问题。例如,国防信息主管办公室为国防部起草了“云计算”战略,并将与军事部门、国防信息系统局以及其他部门与生产厂家一起合作来实施该战略,以更好地优化未来的信息基础设施与应用。
网络安全
2013财年信息技术与网络安全项目预算中,大约34亿美元用于国防网络安全,与2012财年基本相当,主要用以消除信息、信息系统与网络已知的脆弱性,使国防部与国家更好地应对网络威胁。
美军2013财年制定了网络安全工作的五个重要目标:第一个目标是当面对强敌发起网络战的时候,国防部信息基础设施用户,包括国防部的合作伙伴,拥有可靠的关键信息与信息基础设施;第二个目标是确保与任务需要的任何伙伴之间实现快速、安全的信息共享,而且信息足够丰富,对于执行任务是有效的;第三个目标是保护美军重要、保密的信息;第四个目标是确保任务指挥官可以随时进入网络空间;第五个目标是确保国防部采用的技术具有灵活性。
重构国防部的网络是联合信息环境的核心支柱之一,以使国防部拥有一个统一的、满足不同安全需求的联合网络体系。目前,美军正在制定这种联合信息环境要素的工程技术细节与体系结构细节。这将提供更加统一的网络防御,并将使网络司令部可以通过计算机掌握全局,防止黑客入侵在网络中蔓延,提高联合作战的互操作性与相互依赖性。
加固网络
加固网络主要有以下内容。
可靠的兼容性评估解决方案美军在2012年购买了一种名为“可靠的兼容性评估解决方案”的商业工具,使用这种工具可以扫描计算机的漏洞,然后做出报告并进行修复。这种工具正在进行最终测试,将于2013年夏天部署,预计各部门将在未来18个月部署与应用。
基于主机的安全系统
目前,美军国防部在每一台与非保密网络、保密网络连接的电脑上安装“基于主机的安全系统”工具。这种工具可以发现并报告漏洞,防止某些类型的网络入侵,探测到其他入侵并作出反应,提高了国防部网络加固、态势感知、网络入侵探测、诊断与反应能力。2013财年申请的网络安全资金继续用于部署与保障新的“基于主机的安全系统”,以更好地加固计算机,提供持续自动监督计算机配置的能力,更好地改善国防部人员与设备身份管理能力。
公钥基础设施身份识别
美军网络加固工作的另一个关键部分是去除网络匿名。美军计划在国防部非保密网络中使用公钥基础设施身份识别,2012年美军完成向50万人公钥基础设施身份识别,2013年3月份美军将使用这些身份证。这不仅可以帮助美军改善信息使用责任制,也可以与政府各部门合作,使跨部门共享更加安全信息。
值得信任国防系统/供应链风险管理 美军认识到尽管先进的商业技术可以为国防部带来众多好处,但是也为国外恶意分子通过插入恶意程序来获取、改变数据,截取、阻止通信并危及供应链安全提供了机会。为了应对这些风险,国防部正在使值得信任国防系统/供应链风险管理制度化,同时国防部也正在与其他部门合作研究管理关键基础设施中防范供应链风险的方法。
国防工业基地网络安全与信息确保项目 由国防部信息主管监督的国防工业基地网络安全与信息确保项目是国防部另一个重要成果。该项目为政府一工业部门的合作伙伴关系提供网络安全方面的标准,也为网络安全提供一种系统方法,包括政府间保密威胁信息的共享、工业部门数据的共享、抢救与修复策略的共享、网络入侵损害评估。尽管不能彻底消除威胁,但是这一项目增强了每个国防工业基地参与者消除风险的能力,进一步保护了在国防工业基地保密网络上存储或传输信息的安全。
美军在项目进程中积累的经验
信息技术采办的标准化为美军节约大量经费
为了解决由于国防部“烟囱式”信息体系(“烟囱式”信息体系是指数据直接从各个数据源被直接抓取到目的地,中间不留任何缝隙)而产生的问题,美军重点改革国防部3个核心过程:提需求、预算与采办。
国防部信息主管办公室与主管军官的办公室紧密合作制定一种灵活、快捷的采办程序,美军通过企业化软件计划,10年期间总共节省了30亿美元。美军的信息体系战略与路线图强调了将购买硬件、软件与服务作为提高效率的主要手段。通过共享国防部中各个组织的购买协议,美军大大减少了中介的数量,进一步优化、理顺了信息技术采购过程。可以说,正是由于美军注重信息技术与设备从需求、预算到采办的全程合作与规范,才大大缩减了经费开支。
智能网络入侵监测系统将提高美军的网络防御能力
美军明确提出要通过“可靠的兼容性评估解决方案”、“基于主机的安全系统”等5项工作来提高其加固网络、态势感知、网络入侵探测、诊断与反应能力。美军计划未来几年逐步从“可靠的兼容性评估解决方案”与“基于主机的安全系统”来收集关于国防部每台计算机的配置信息,并使用这些信息自动生成可供各级指挥官使用的任务风险数值。指挥官可以使用这些信息与风险数值来修复漏洞,更好地了解到底哪些任务存在漏洞。这些智能入侵监测系统的应用将会大大缩短美军监测网络入侵的时间,提高美军应对网络入侵的反应效率。
联合信息环境将为美军提供一体化平台
