数据加密以及密码安全如何在等保2.0里设置


(1)识别身份。
 
认证集中在对网络用户进行身份认证,防止黑客冒用用户身份。典型的例子有:网银U盾认证,

手机或虚拟机环境中的软协同认证,公共密钥基础设施PKI系统,以及IBC下的信任系统。真

伪鉴定的技术手段主要有:一是基于对称密码、公钥密码等密码技术的鉴别机制;二是基于静

态口令的鉴别机制;三是基于动态口令的鉴别机制;四是基于生物特征(FIDO)的快速鉴别机制。
 
(2)涉及机密性和完整性的传输信道的通信安全。
 
通信安全问题,数据传输过程中,主要是防止中间商窃听或篡改消息。利用SSLVPN或IPSec

VPN在互联网上安全传输商业秘密信息,利用HTTPS保护网络应用数据传输安全,PGP安全

邮件收发,基于代理再加密的云上数据分发,企业内部文件授权分发等。
 
 
为防止攻击者对终端、服务端(包括应用程序系统、数据库或文件服务器等)设备数据的非法访

问所造成的数据泄漏,保护数据存储安全。一般情况下,实现保密保护的方法可以分为三种

:一是访问控制方法,防止未经授权的用户访问敏感信息;二是信息隐藏方法,避免恶意用

户发现敏感信息的存在;三是信息加密方法,允许敌方观察到信息,但不能从获得的数据中

提取用户信息。在数据通信和数据存储中,加密是实现保密保护的主要机制。

 
服务器口令机采用商用口令产品型号,认证口令服务项目,内嵌口令模块,可以对重要数据

进行加密保护。其方法主要有:首先,采用消息鉴别码来实现完整性保护;消息鉴别码的生

成可以采用对称密码算法和混合算法。第二,利用数字签名实现完整性。尽管基于对称密码

或杂凑算法的完整性保护机制能够在接收到消息之前保证消息的完整性,但它并不能防止接

收方对消息的伪造,基于公钥密码技术的数字签名不仅能防止消息被敌方篡改,还能防止接

收方伪造消息,实现消息发送行为的不可否认性。在实现过程中,可以对重要数据进行MAC

消息识别码或数字签名,也可以向服务器发送重要数据给密码机等。在对密码产品进行完整

性保护后,存储到其他媒体如数据库中。
分享: