數(shù)字證書在企業(yè)信息安全應(yīng)用

數(shù)字證書在企業(yè)信息平安應(yīng)用隨著企業(yè)信息平安意識(shí)的加強(qiáng)，數(shù)字證書系統(tǒng)已經(jīng)是一種成熟的技術(shù)手段，下面是搜集的一篇探究數(shù)字證書在企業(yè)信息平安應(yīng)用的，供大家閱讀查看。隨著科技程度、信息化技術(shù)的開展,計(jì)算機(jī)、網(wǎng)絡(luò)和人們的工作、生活聯(lián)絡(luò)越來越嚴(yán)密。計(jì)算機(jī)的使用與網(wǎng)絡(luò)的應(yīng)用產(chǎn)生了大量的數(shù)據(jù)和信息,這些信息部分可以隨意公開,少部分涉及個(gè)人隱私甚至工作機(jī)密不能被別人知曉。如何保證個(gè)人數(shù)據(jù)、信息在使用和傳輸中的機(jī)密性、完好性、平安性,以及對(duì)信息使用和接收者的身份確認(rèn),成了信息平安領(lǐng)域研究的一個(gè)重要課題。隨著信息化程度的進(jìn)步,辦公自動(dòng)化系統(tǒng)、消費(fèi)管理系統(tǒng)、ERP、郵件等系統(tǒng)在企業(yè)內(nèi)部網(wǎng)絡(luò)的使用,方便了員工的信息共享,進(jìn)步了企業(yè)管理效率。但是每一個(gè)系統(tǒng)都有不同的賬號(hào),員工在各系統(tǒng)間頻繁,要記錄不同的賬號(hào)與密碼,維護(hù)難度大。通常系統(tǒng)采取賬號(hào)加口令方式,賬號(hào)加口令認(rèn)證采用的是明文傳輸。這種身份認(rèn)證方式存在平安破綻,平安性差,用戶一般使用容易記憶的口令,如數(shù)字、生日、姓名縮寫等。因此建立平安、可靠的身份認(rèn)證體系顯得尤為重要。1.1身份認(rèn)證技術(shù)常用身份認(rèn)證技術(shù)包括單因素認(rèn)證、雙因素認(rèn)證、生理特征認(rèn)證等。賬號(hào)加口令屬于單因素認(rèn)證;雙因素是指除使用賬號(hào)加口令認(rèn)證方式外,采用諸如:USBKey(智能芯片卡),pin碼,數(shù)字證書等其他的認(rèn)證方式的一種強(qiáng)身份認(rèn)證方式;生理特征身份認(rèn)證以人體唯一的指紋、虹膜、聲音等為根據(jù)進(jìn)展認(rèn)證;但是數(shù)據(jù)采集本錢大、運(yùn)營(yíng)本錢高,存儲(chǔ)與傳輸難度大。從實(shí)用性和本錢角度企業(yè)一般采取PKI/CA的雙因素身份認(rèn)證。1.2PKI公鑰根底設(shè)施PKI公鑰根底設(shè)施[1],是一種利用公鑰理論和技術(shù)建立的密鑰管理平臺(tái),它可以為網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)傳輸提供加密和數(shù)字簽名等密碼效勞及所必需的密鑰和證書管理體系,為每個(gè)合法用戶的使用提供合法性的證明?；谄髽I(yè)網(wǎng)絡(luò)環(huán)境,無論是B/S、C/S架構(gòu)的系統(tǒng)應(yīng)用。利用PKI可以方便地建立,維護(hù)一個(gè)可信的企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境,使企業(yè)員工在網(wǎng)絡(luò)環(huán)境中可以確認(rèn)彼此的身份和認(rèn)證交換的信息;實(shí)現(xiàn)通信中各實(shí)體的身份認(rèn)證,保證數(shù)據(jù)的完好性、真實(shí)性、抗抵賴性和信息保密等。通常一個(gè)完好PKI系統(tǒng)必須包含幾個(gè)部分:PKI客戶端、機(jī)構(gòu)RA、認(rèn)證機(jī)構(gòu)CA和LDAP目錄效勞器。2.1PKI體系構(gòu)造PKI客戶端是證書的使用者、持有者;RA證書機(jī)構(gòu),負(fù)責(zé)核實(shí)證書申請(qǐng)者的身份,是用戶與認(rèn)證中心效勞連接的接口;認(rèn)證機(jī)構(gòu)CA是PKI的核心,負(fù)責(zé)制定證書策略、初始化RA,接收、撤銷和更新證書懇求,為實(shí)體生成密鑰對(duì),CA在密碼傳輸中采用MD5加密算法,采取公鑰與私鑰結(jié)合的方式,在證書認(rèn)證和下發(fā)中采用不可逆下發(fā)。CA負(fù)責(zé)簽發(fā)網(wǎng)絡(luò)用戶的電子身份標(biāo)識(shí),對(duì)CRL證書注銷列表進(jìn)展管理;LDAP效勞器提供目錄閱讀效勞,負(fù)責(zé)將用戶信息以及數(shù)字證書參加到效勞器上。2.2PKI建立通常根據(jù)企業(yè)的性質(zhì)不同和規(guī)模大小可以采用不同的建立方案,建立方案的選擇直接關(guān)系到了PKI/CA系統(tǒng)的使用、管理、維護(hù)及平安性。一般有以下幾種:(1)采用現(xiàn)有存在的面向公眾效勞商業(yè)性數(shù)字認(rèn)證機(jī)構(gòu)+國家級(jí)權(quán)威公證形式。(2)采用完全自行建立形式。通過建立行業(yè)內(nèi)部認(rèn)證+內(nèi)部審核公證系。第一種方式具有建立本錢較低,無需建立維護(hù)、培訓(xùn)和支持團(tuán)隊(duì),無需自己定義管理和平安策略。但應(yīng)用和管理靈敏性差。證書管理策略依賴于效勞商,業(yè)務(wù)可靠性、穩(wěn)定性依賴于外部效勞,風(fēng)險(xiǎn)較高。第二種方式要獨(dú)立建立、維護(hù)、培訓(xùn)和運(yùn)營(yíng)的整個(gè)PKI過程,并對(duì)PKI所有事物負(fù)全責(zé),其中包括系統(tǒng)、通信、數(shù)據(jù)庫及物理平安、網(wǎng)絡(luò)平安、冗余系統(tǒng)、恢復(fù)等,對(duì)人員要求也比較高。比較適宜具有全國、全省、行業(yè)范圍內(nèi)有多種業(yè)務(wù)相關(guān)的關(guān)鍵信息系統(tǒng)的應(yīng)用;企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)存在大量涉密信息對(duì)平安性可靠性要求高,企業(yè)內(nèi)網(wǎng)與外網(wǎng)采取物理隔離的網(wǎng)絡(luò)通常采取這種建立形式。3.1USBKey的特點(diǎn)為了適應(yīng)企業(yè)網(wǎng)絡(luò)環(huán)境的特殊性,保障計(jì)算機(jī)和系統(tǒng)平安性,企業(yè)一般采用PIN碼加USBKey的方式進(jìn)展雙因素。USBKey屬于密碼設(shè)備,內(nèi)置智能卡芯片,通過存儲(chǔ)的私鑰信息在企業(yè)網(wǎng)絡(luò)內(nèi)部系統(tǒng)中實(shí)現(xiàn)身份認(rèn)證、數(shù)字簽名等功能。3.2文件加密傳輸為保障企業(yè)內(nèi)部涉密文件的加密傳輸,保證承受者的合法讀取權(quán),都可以通過身份認(rèn)證進(jìn)展解決。加密傳輸對(duì)原有明文的文件按照某種特定算法進(jìn)展處理,形成不可讀的一段代碼“密文”,匹配相應(yīng)的密鑰之后顯示原來的文件內(nèi)容。3.3USBKey私鑰證書恢復(fù)通常企業(yè)信息平安管理部門設(shè)置專屬的CA管理人員,負(fù)責(zé)證書的維護(hù),對(duì)用戶的證書申請(qǐng)、重發(fā)放及密鑰制作。企業(yè)內(nèi)部網(wǎng)絡(luò)用戶喪失或者損壞USBKey,CA管理人員通過數(shù)字證書系統(tǒng)密鑰代理恢復(fù)數(shù)據(jù),將私鑰備份復(fù)制到新的USBKey中。3.4USBKey的管理企業(yè)內(nèi)部采用雙因素認(rèn)證,工作中難免個(gè)人PIN碼和USBKey被別人知悉。為了防范需要加強(qiáng)PIN碼和USBKey的管理,定期修改PIN碼,停頓使用計(jì)算機(jī)時(shí)將USBKey存放到平安的設(shè)備中如:文件柜、密碼柜中,人走拔key。企業(yè)內(nèi)部大量USBKey的使用,增加管理難度,為了區(qū)分采取數(shù)字編碼或制作用戶標(biāo)牌進(jìn)展劃分。同時(shí)完善日志,審計(jì)用戶信息、終端信息、認(rèn)證時(shí)間和成功失敗情況等,假設(shè)出現(xiàn)異常,便于追蹤,加強(qiáng)防范。隨著企業(yè)信息平安意識(shí)的加強(qiáng),以及在商務(wù)領(lǐng)域中PKI/CA技術(shù)的廣泛應(yīng)用。數(shù)字證書