数据保密解决方案实用13篇

数据保密解决方案篇1

0引言

快速信息化已经是我国经济社会发展的一个显著特征。许多的企事业单位，尤其是物流企业和电子商务企业已经把数据平台作为了自己的核心竞争力之一。但是基于信息技术和网络技术的数据平台正在面临着来自安全性方面的诸多挑战。

本文提出了一种通用的基于两种加密技术的加密系统，为解决数字平台所面临的安全性难题提供了可能。该系统融合了对称加密技术、非对称加密技术、验证技术，较好的实现了了数据交流者的身份认证、数据传输过程中的保密、数据发送接收的不可否认、数据传输结果的完整。本系统尤其适用于对保密度有较高需求的数据平台。

本文重点针对4个方面进行讨论：（1）数据平台安全性问题；(2) 对称加密体制与非对称加密体制; (3) 一种更加安全的加密与验证系统; (4) 总结.

1数据平台安全性问题

在数字时代，数据平台的构建已经是企业的必需。论文参考网。企业的关键业务数据作为企业的宝贵资源和生存发展的命脉，其安全性是不言而喻的。论文参考网。但是，现实是，这些数据却没有得到很好的保护。据赛门铁克公司2010年1月对27个国家的2100家企业进行的调查显示，被调查的所有企业(100%)在2009年都曾出现过数据丢失问题，其中有75%的企业曾遭受过网络攻击。

数据平台的建设要注意以下问题：

（1）严格终端管理【1】。

终端采用硬件数字证书进行认证，并要求终端用户定期修改PIN码，以确保终端和数据来源的真实性。

（2）采取访问控制技术，允许合法用户访问规定权限内的应用。

（3）保证通信链路安全，建立端到端传输的安全机制。

其中，解决数据安全性问题最有效的方法就是在存储和传输过程中对数据加密，常见的加密技术包括对称加密技术和非对称加密技术。

2对称加密体制与非对称加密体制

2.1. 对称加密体制

2.1.1对称加密体制的原理

对称加密技术在已经有了悠久的历史，以凯撒密码为代表的古典密码技术曾被广泛应用。现代的对称加密算法虽然比那些古典加密算法复杂许多，但是其原理都是一样的：数据发送方将明文数据加密后传送给接收方，接收方利用发送方用过的密钥（称作秘密密钥）及相同算法的逆算法把密文解密成明文数据。

图1给出了对称加密体制的工作流程。发送方对要发送的明文数据M用秘密密钥K加密成密文C后，密文经网络传送到接收方，接收方用发送方使用过的秘密密钥K把密文C还原成明文数据M。

图1: 对称加密体制工作原理图

2.1.2对称加密体制的特点

对称加密算法的优点是加解密时运算量比较小，所以加解密速度比较快[2]、加解密的效率也比较高。

该算法的缺点是不容易管理密钥。原因有二：一，在对称加密体制下，用来加密和解密的密钥是同一个，这就要求接收数据一方，即解密数据一方需要事先知道数据发送方加密时所使用的密钥。二，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一的钥匙，密钥的需要量比较大。假如平台上有n个用户需要交流，根据保密性要求，每两个用户就需要一个密钥，则这n个用户就需要n(n-1)/2个密钥。论文参考网。

2.2. 非对称加密体制

2.2.1非对称加密体制的概念

与对称加密技术不同，在非对称加密体制下加密密钥与解密密钥不相同【3-4】。在这种体制下，每个用户都有一对预先选定的、完全不同但又完全匹配的密钥：一个是可以像电话号码一样进行注册公布的公开密钥KPub，另一个是用户需要保密的、可以用作身份认证的私有密钥KPri，而且无法根据其中一个推算出另一个。这样，数据的发送方（加密者）知道接收方的公钥，数据接收方（解密者）才是唯一知道自己私钥的人。

非对称加密技术以大数的分解问题、离散对数问题、椭圆曲线问题等数学上的难解问题来实现，是目前应用最为广泛的加密技术。

图2给出了非对称加密体制的工作流程。发送方把明文数据M用接收方的公钥KPub接收方

加密成密文C后经网络传输给接收方，接收方用自己的私钥KPri接收方把接收到的密文还原成明文数据M。

图2: 非对称加密体制工作原理图

2.2.2非对称加密体制的特点

非对称加密算法的优点是安全性比较高

非对称加密算法的缺点是算法十分复杂，加解密的效率比较低，用该技术加解密数据是利用对称加密算法加解密同样数据所花费时间的1000倍。

3. 一种更加安全的加密与验证系统

3.1加密与验证系统的框架

更加安全的加密与验证系统主要由数据的加密作业、数据的解密作业、数据完整性验证三大模块组成。

数据加密模块由数据发送方作业。发送方首先将待发送数据明文经哈希变换并用发送方私钥加密后得到数字签名。然后，使用对称加密中的秘密密钥对数字签名和原数据明文进行再加密。最后，使用接收方的公钥对秘密密钥进行加密，并将上述操作结果经网络传送出去。

数据解密作业模块由数据接收方作业。接收方首先用自己的私钥对接受到的、经过加密的秘密密钥进行解密。然后，用解密得到的秘密密钥对接收到的数据密文和加密后的签名进行解密。

数据完整性验证模块也是由数据接收方作业。接收方对解密模块作业得到的数据明文和数据签名进行操作，首先将该明文进行哈希变换得到数据摘要。然后，运用数据发送方的公钥对数据签名变换得到另一个摘要。最后，比较这两个摘要。若两者完全相同，则数据完整。否则，认为数据在传输过程中已经遭到破坏。

该系统框架将对称加密、非对称加密、完整性校验三者融为一体，既保证了数据的高度安全性又有很好的时效性，同时，兼顾了数据源的合法性和数据的完整性，能有效地规避仿冒数据源和各类攻击，是一种值得推广的数据存储和传输安全系统模型。

3.2加密与验证系统的实现

图3给出了这种种更加安全的加密与验证系统工作流程。其中，M指数据明文，C指数据密文，A、B分别为数据发送方和接收方，私钥A指A的私钥，公钥B指B的公钥。

图3:一种更加安全的加密与验证系统

4.总结

文中提出了一种基于两种加密技术的加密与验证系统设计，讨论了该加密与验证系统的总体框架与流程实现，得出了本系统能到达到更高的安全性与时效性的结论。

数字时代的到来给我们带来了前所未有的挑战和机遇，我们必须迎头赶上，化解挑战抓住机遇，提高自身的综合竞争力。把信息技术应用于各个行业，必将为我国社会经济的发展和人民生活水平的提高带来新的福音。

参考文献

[1]周蓉蓉. 构建公安消防信息网内外网边界接入平台[J]. 网络安全技术与应用, 2009, 12:46-48.

[2]管孟辉，吴健，湛文韬，张涛. 移动电子政务平台中安全Web服务的研究[J]. 计算机测量与控制, 2009.17(5): 967-969.

[3]程伟. 基于无线的核心WPKI安全开发平台设计[J]. 地理与地理信息科学, 2009, 9(6) : 50-52.

数据保密解决方案篇2

孔凡玉：所谓网络安全、信息安全，最重要的目标是保证信息系统和网络环境中的“数据”、“信息”的安全，而不单是对计算机设备、网络设备自身的安全防护。大到一个国家，小到一个企业和个人，多数黑客进行攻击的真正目的就是窃取机密数据和信息，而不仅仅是破坏信息系统本身。因此，商用密码产品及服务作为保障数据的机密性、完整性等安全性的关键一环，是信息安全产业的重要组成部分。

得安公司成立于1997年10月7日，是我国最早致力于商用密码产品研发及产业化的企业之一，这与我国当时对网络安全和商用密码产品的迫切需求密切相关：一个是随着互联网技术的发展，网上银行、网上证券等金融业务的开展迫切需要商用密码产品和网络安全系统的出现；另一个是，我国信息化建设的飞速发展迫切需要实现商用密码技术的国产化，以保证信息安全核心技术的独立性和自主性。

中国信息化周报：得安现有哪些科研成果？具有哪些核心技术优势？

孔凡玉：得安科技自主研发的“SMS100-1网络安全平台”，这是国内最早通过国家密码管理机构组织鉴定的商用密码PKI产品，并荣获国家科技进步三等奖和密码科技进步二等奖，此系统已在上海证券中国证券登记结算公司的证券系统中成功使用。此外，得安公司也顺利完成了中国金融认证中心CFCA的商用密码模块的国产化开发项目，实现了商用密码产品和接口的国产化，并逐渐将服务器密码机、智能IC卡等产品广泛应用于中国建设银行等各大银行以及邮政、电信、税务、电力、煤炭、石化、广电、烟草、航空等行业。

十六年以来，得安公司一直注重商用密码和信息安全核心技术的创新，在高速密码服务器、数字认证系统、智能IC卡、VPN设备、安全文件传输系统、云安全密码服务平台、大数据安全、移动安全计算等方面具备良好的技术积累，得安参与研发的多项产品和技术填补了国内外空白，保证了核心技术的领先优势。

中国信息化周报：从国家政策层面强化网络安全意识，到首席安全官渐成大型企业标配职位的发展现状，您如何理解密码安全对于企业信息安全堡垒建设的核心意义？

孔凡玉：在目前的互联网时代，每一个企业和个人都在享受着互联网给工作和生活带来的便捷的同时，也遭遇着前所未有的信息安全的巨大风险。中央网络安全和信息化小组的成立，标志着我国已经把网络信息安全上升为国家战略的层面。

在网络信息安全防护中，以数据加密、身份认证、数字签名等为代表的密码技术和以网络攻防、系统漏洞分析、防病毒、入侵检测等为代表的系统安全技术是网络信息安全的两大类核心技术。所以，商用密码安全产品和系统是信息安全市场的必不可少的重要组成部分。

近年来，发生的信息安全事件大致分为两种：一种是单纯的病毒、木马、系统攻击，没有特别的针对性，造成的后果是计算机系统的崩溃或者网络无法正常访问；第二种是针对数据和信息的窃取，这会造成重要数据或个人隐私的泄露，带来严重的后果。最近爆发的信息安全事件，八成以上都涉及到数据泄露问题，例如2013年底发生的美国第二大零售商Target的4000万用户的信用卡和借记卡信息泄露事件，近期爆出的OpenSSL的几个严重漏洞，以及我国近年发生的多个网站的数据泄露问题，这都存在密码技术防护措施不足的问题。这需要对数据的存储和传输进行加密保护，并进行严格的身份认证、访问控制、安全管理等。

得安科技大力推广信息安全服务的理念，所提出的企业信息安全堡垒的建设方案，是一个从技术实现到管理制度、从硬件产品到软件系统、从内部加固到外部防范的立体化的整体解决方案，实现服务端的核心数据的加密、安全可靠的网络数据传输、远程用户的身份认证和访问控制等功能，实现企业信息系统的高安全性和可靠性，为企业提供信息安全保障。

中国信息化周报：在与用户接触过程中，您认为目前企业信息安全系统普遍薄弱的环节有哪些？

孔凡玉：在云计算和大数据时代来临之际，任何信息系统的核心都是“数据”，因此任何信息系统的安全最重要的就是保证“数据”的安全。而数据的安全，包括了数据的产生、存储、传输、访问、处理、共享、销毁等各个环节的安全，这形成一个环环相扣的系统。

在与很多用户进行交流时，我们了解到，现在企业信息安全系统普遍存在的问题是缺乏一个完整、系统的安全解决方案，仅在某一个或几个方面进行了安全防护，但是仍然存在其他方面的漏洞，不能形成一个完整的防护体系。

中国信息化周报：对此，得安科技针对不同行业、不同应用场景下的安全问题，推出了哪些解决方案？

孔凡玉：得安公司一直专注于信息安全核心技术以及信息安全整体解决方案的研发和应用，针对不同行业、不同应用场景，已经在云计算安全、大数据安全、电子商务安全、企业级安全等领域形成了一系列先进的、成熟的、可靠的信息安全整体解决方案，包括云安全密码服务平台、远程文件安全传输解决方案、数字证书认证系统解决方案、安全移动办公解决方案、手机安全支付解决方案、桌面安全解决方案、统一认证授权平台等。具体包括：

■云安全密码服务平台：这是得安公司研发的基于“云计算”技术的高性能密码平台，将多款高端密码设备和软件中间件技术有机融合，以高安全性、高效率、高稳定性为目标，以先进的分布式计算和并行处理技术为核心，提供高性能的数据加密、数字签名、身份认证等密码服务功能。

■远程文件安全传输解决方案：此方案用于解决企业的总部与各分支机构、出差员工之间的文件安全传输问题，在数据的安全、可靠、高效的传输方面，可以解决FTP等传统传输方式的种种不足，为广大企业客户所信赖。同时，该方案可以集成于各类企业的信息系统平台中，实现企业的远程文件的安全传输，目前已经广泛应用于金融、证券、石油化工、电力等行业。

■数字证书认证系统解决方案：此方案用于解决企业内部的身份识别与认证的问题。数字证书是由权威机构―CA机构颁发的、标识身份信息的电子文件，提供了一种在网络环境中验证身份的方式，类似于日常生活中的身份证。得安数字证书认证系统简称CA系统，采用双证书机制，利用PKI技术提供数字证书的签发、验证、注销、更新等功能，将个人信息或单位信息及密钥、密码算法集合在一起，提供在虚拟的互联网世界可用的“网上身份证”。得安数字证书认证系统，已经成功应用于广东电子政务认证中心、贵州省数字认证中心的建设，并顺利运行。

■安全移动办公解决方案：此方案用于解决企业的各分支机构和出差员工的远程办公、移动办公问题。通过采用IPSec VPN、SSL VPN、安全网关以及安全客户端等产品，可实现各种复杂环境下的远程和移动办公系统。远程用户在通过互联网登录企业内部业务系统时，首先需要经过安全网关的身份认证，认证通过后才能访问其权限范围内的业务系统；可以在安全网关上进行细粒度的权限配置，保证接入终端的安全性；同时，安全网关支持客户端访问企业内网时不能同时访问其它互联网的功能，更加保证了接入的安全性。目前该解决方案已成功应用于国土资源、石油、煤炭、电力、电信、银行等行业。

■手机安全支付解决方案：得安公司研发的智能SD卡以及软件系统，是近年新兴的一种信息安全产品，把高性能的安全模块集成到SD卡中，这样用户既可以像使用普通SD卡那样使用其大容量存储功能，又可以像使用智能IC卡那样使用SD卡中集成的安全模块，具有密钥管理、证书存储、权限控制、数据加解密等功能，实现个人隐私数据的加密保护和安全支付。此方案已经在金融、电信以及中小企业中推广使用。

■桌面安全解决方案：此方案用于解决企业内部计算机设备的安全控制和信息保密问题，采用智能密码钥匙、安全加密U盘、文件加密软件、Word/PDF文件签名等产品和技术，确保了信息在单位内的安全存储，确保了计算机设备的安全使用。该系统是针对客户端PC安全的整体解决方案，它的最大特点是既能“攘外”，又能“安内”，部署灵活且易于使用，特别适合金融、电信、政府机关、制造业等具有分布式网络应用的行业。

■统一认证授权解决方案：本方案可以为企业的多个业务系统提供安全支撑，简化业务系统的管理方式和使用方式，提高整体系统安全性。通过该解决方案，可以为企业提供各个业务系统的统一认证和登录服务，提供数据传输的加密服务、高强度的身份认证、人员的集中管理和应用的集中管理，适合在具有多个业务信息系统的企业中部署实施。

中国信息化周报：在国内市场，用户往往会在IT价值与IT风险之间寻求一个平衡。让用户为安全买单，很多用户关心的问题是需要支付哪些成本？又能获得哪些收益？得安科技的解决方案又是如何来降低用户IT应用风险的？

孔凡玉：得安科技采用的是一套科学的、系统的信息安全工程建设方法，达到用户的IT价值和风险、收益和成本之间的平衡。

首先，用户的信息系统和数据的有形资产和无形资产是可以进行估算的。这些数据的重要程度，一旦泄露会产生什么样的后果，决定了数据的价值。数据的价值越高，一旦泄露带来的后果越严重，因此需要投入的安全成本就越高。举例来说，价值100万的数据，如果投入200万进行安全防护可能是不必要的；同样，价值1亿的数据，仅投入1万元进行安全防护则可能具有极大的安全风险。

评估了资产的价值后，然后就要分析信息系统存在的风险和威胁，包括目前的信息系统存在哪些漏洞和弱点，内部和外部可能有哪些潜在的攻击威胁等。之后，就要和企业一起制定信息安全保障系统建设的内容，这主要取决于哪些风险必须要降低，降低到什么程度，采用哪些技术手段，成本是多少等。这样，在系统建设之前，用户很清楚建设目标是什么，需要花费多大的成本，会带来怎样的收益，做到有的放矢、未雨绸缪。在系统建设、维护运行以及管理等方面，还有一系列的方法和措施，以保证信息安全项目建设的可控性。

中国信息化周报：相比其他应用安全企业，得安科技有何自身特色？具体到商用密码解决方案，相比其他软件公司，得安科技有哪些独特的优势和创新？

孔凡玉：与其它信息安全企业相比，得安公司的特色体现在三方面。

第一，在商用密码及信息安全核心技术方面具有创新优势。作为国内最早从事商用密码产品研发及产业化的企业之一，得安公司在商用密码以及信息安全核心技术方面具有18年的积累，在高速密码算法实现、数字认证技术、云计算安全、大数据安全、移动互联网安全等方面具备核心技术的创新优势。

第二，在参与国家和行业标准制定方面具有领先优势。作为商用密码基础设施技术标准组的成员单位，得安公司主持或参与了服务器密码机技术规范等20多项国家标准、行业标准的制定，因此在把握行业的发展趋势方面具有优势。2012年，得安牵头制定的《密码应用标识规范》作为我国第一批密码行业标准进行颁布；两年来，《服务器密码机技术规范》、《签名验证服务器技术规范》等行业标准也陆续正式颁布。

第三，具备成熟的信息安全服务理念，并在多个行业成功应用实施。得安一直秉承为用户提供信息安全服务的理念，以可靠的技术实力、稳定的产品性能、优质的服务团队、强大的分支网络赢得了用户的信赖，成功案例遍布于金融、证券、税务、电信、邮政、石油、煤炭等行业。

得安科技的商用密码解决方案，具有以下独特的优势和创新：

（1）核心产品可靠性和高效性：解决方案中所采用的硬件产品和软件系统必须具有高可靠性和高效性，才能保证整个信息系统的安全性和稳定性。例如，云安全密码服务平台采用了多机并行、动态分配、冗余配置、负载均衡等技术，保证整个平台的可靠和高速。

（2）量身定制的整体安全架构：这些解决方案不是单纯的硬件和软件的累加，而是经过系统的整体设计后形成的有机整体，而且每一个方案的确立和实施，都要根据用户的信息系统的特点进行量身打造，以保证方案的科学性和合理性。

（3）运维支持和管理制度：信息安全设施的建设，三分凭技术，七分靠管理。每一个解决方案中都包含了系统的运行维护方案和管理制体系，保证信息安全系统运行期间的动态实时监控和管理岗位的协同工作。

中国信息化周报：得安科技未来的市场竞争策略和发展目标是什么？

孔凡玉：得安未来的市场竞争策略和发展目标，可概括为两个词。

一是“共赢”。“共赢”是指与客户的关系，是对“服务”理念的拓展。“服务”是被动地满足用户的安全需求；“共赢”是主动地去帮助客户发现信息系统中的安全问题并提出科学的解决方案，从而达到与客户共赢的最终目标。

数据保密解决方案篇3

选择合适的重复数据删除解决方案的注意事项

无论是在备份和灾难恢复设备中，还是用于其它应用程序，对于任何考虑使用重复数据删除技术的人来说，以下事项及基本术语需要重视：

设备vs.软件：需要了解将重复数据删除解决方案作为专用设备来部署，以及使用运行在服务器上的重复数据删除软件这两种方法各自的利弊。一些软件解决方案相对价格低廉，但是可能无法很好地扩展，以满足日益增长的容量需求，其性能取决于它所在的服务器。软件方案似乎在灵活性方面差一些，但是对那些有资源来承担集成、管理和监控重任的客户来说可能是有效的。如果你选择软件方法，一定要了解运行上述“清理”任务所需的处理能力，及其对服务器的影响。硬件设备有自己的空间和功耗要求，有时耗电量很大。它们通常是自我管理的，提供更大的灵活性和简洁性，并得益于硬件优化。对于那些寻求快速部署并轻松集成到当前环境的客户来说，硬件解决方案非常受欢迎。

可用容量vs.原始容量：可使用容量是终端用户最直接、最适用的规格。它指的是进行任何重复数据删除之前的容量，并不包含用于元数据、数据保护和系统管理的任何存储。一些厂商规定“原始”容量，它比“可用”容量稍微高一点，但是这一规格会产生误导，因为不同厂商和数据保护方案将会有不同程度的开销。重复数据删除将需要一些原始磁盘容量来存储元数据，这些容量并不供终端用户使用。在这两种情况下，这些容量都被归为“重复数据删除前容量”――如果用户拥有10：1的重复数据删除率，那么他们可以存储“可用容量”10倍的数据。如果他们拥有20：1的重复数据删除率，那么他们可以存储“可用容量”20倍的数据。

性能：确保不仅要了解“写入”和“读取”速度――通常被注明为TB/小时，而且还要询问“读取”或“恢复”速度，以了解这是否满足贵公司的服务水平目标（SLO）。最后，要了解在必须进行一些后台“清理”任务的“稳定状态”期间，系统性能会受到哪些影响。重复数据删除方案的性能可决定IT部门如何能够在任务分配的时间段很好地完成其备份。

硬盘密度：硬盘的密度继续增加，而重复数据删除设备可能适用1 TB到3 TB的硬盘。甚至4 TB的硬盘现在也可用于消费类设备，并开始用在一些主存储阵列中。在一般情况下，密度更高的硬盘将转化为“节省数据中心占地面积以及省电”的优势。然而，随着硬盘密度的增加，当硬盘出现故障时，数据重建的时间也会同比增加。这会给系统带来新的不稳定因素。因此有无高效的硬盘（数据）重建技术，对于系统的稳定运行至关重要。

可扩展性：每家公司都有不断增长的数据。对于任何重复数据删除解决方案来说，这不再是“是否需要部署更多容量的问题”，而是“何时部署”的问题。无论是基于设备的方案还是基于软件的方案，最重要的是要了解它如何随着时间推移而扩展。如果一个解决方案能够在未来3-5年随着预期数据增长而扩展，它在目前可能就是更好的投资。如果它能随着数据增长而细化扩展，那就更好了。

加密：一些系统提供磁盘存储加密，以防止在磁盘丢失或被盗情况下数据泄露。通常这种加密会影响系统性能，因此重要的是要了解这种重复删除数据加密解决方案，以及它对系统性能会产生哪些影响。

数据保密解决方案篇4

云计算是基于下一代互联网的计算系统，提供了方便和可定制的服务供用户访问或者与其他云应用协同工作。云计算通过互联网将云应用连接在一起，向用户提供了在任意地点通过网络访问和存储数据的服务。

通过选择云服务，用户能够将本地数据副本存储在远端云环境中。在云环境中存储的数据能通过云服务提供商提供的服务进行存取。在云计算带来方便的同时，必须考虑数据存储的安全性。如今云计算安全是一个值得注意的问题。如果对数据的传输和存储不采取合适的手段，那么数据处于高风险的环境中，关键数据泄露可能造成非常大的损失。由于云服务向公共用户群提供了访问数据的功能，数据存储可能存在高风险问题。在后续章节中，本文首先介绍了云计算模型，然后针对云计算本身的属性带来的信息安全问题，研究了已有数据安全解决方案的应用范围。

2 云计算应用模式

云计算的应用模式主要有软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)等。在SaaS中，厂商提供服务供客户使用，客户使用服务在云基础架构中运行应用。SaaS相对比较简单，不需要购买任何硬件，使用容易。但是数据全部保存在云端，且存放方式不受用户控制，存在安全隐患。PaaS则通过使用云计算服务商提供的中间件平台开发和测试应用，例如谷歌的App Engine。由于不同的中间件平台提供的API不一样，同一个应用不能再不同的平台通用，存在一定的兼容性问题。在IaaS模型中，用户可以控制存储设备、网络设备等基础计算架构，或者直接使用服务商提供的虚拟机去满足特定的软件需求，灵活性高但是使用难度也比较大。

随着云计算的蓬勃发展，云计算安全作为不能忽视的层面，应该引起足够的重视。如果对数据的传输和存储不采取合适的手段，那么数据将处于高风险的环境中。由于云计算向用户群提供了访问数据的功能，不论采用三种主要应用模式的任意一种，数据都存储在公共平台中，由此带来了数据存储和传输的安全问题。

3 数据安全挑战

3.1 数据保障

当多个用户共享同一个资源的时候存在资源误用的风险。为了避免这个风险，有必要对数据存储、数据传输、数据处理等过程实施安全方面的措施。数据的保护是在云计算中最重要的挑战。为了加强云计算的安全，有必要提供认证授权和访问控制的手段确保数据存储的安全。数据安全的主要几个方面：健壮性——使用测试工具检查数据的安全脆弱性，查看云计算应用是否有常见的漏洞，比如跨站脚本、SQL注入漏洞等;保密性——为了保护客户端数据的安全，应当使用资源消耗少的瘦客户端，尽量将客户端的功能精简，将数据的运算放置在云服务端完成;可用性——数据安全中最重要的部分，具体实施情况由厂商和客户直接协商决定。以上措施决定了数据的可用性、可靠性和安全性。

3.2 数据正确性

在保证数据安全的同时也要保证数据的正确性。每个在云计算中的事务必须遵守ACID准则保持数据的正确性。否则会造成数据的“脏读”，“幻读”等现象，造成数据的不准确，事后排查花费的代价高。大多数Web服务使用HTTP协议都面临着事物管理的问题。HTTP协议本身并不提供事务的功能，事务的功能可以使用程序内部的机制解决。

3.3 数据访问

数据访问主要是指数据安全访问管理机制。在一个公司中，应根据公司的安全条例，给予不同岗位职工特定数据的访问权限，保证该数据不能被公司的其他员工访问。可以使用加密技术保证数据传输安全，采取令牌管理手段提升用户密码的猜解复杂程度。

3.4 保密性

由于在云环境中，用户将文本、视频等数据存储在云端，数据保密性成为了一个重要的需求。用户应该了解保密数据的存放情况和数据的访问控制实施情况。

3.5 数据隔离

云计算的重要特征之一是多用户租用公共服务或设备。由于公用云向所有用户提供服务的特点，存在数据入侵的可能。通过注入代码等手段，可能造成云端存储的数据被非授权获取。所以有必要将用户数据和程序数据分开存储，增加数据被非授权获取的难度。通常可以通过SQL注入、数据验证等方式验证潜在的漏洞是否存在。

3.6 数据备份

云端数据备份主要目的是在数据意外丢失的情况下找。数据丢失是一个很普遍的问题，一份2009年的调查表明，66%的被访者声称个人电脑的文件存在丢失情况。云端数据备份还可以方便将数据恢复到某个时期的版本。云计算作为公用服务，已有大量用户使用网盘将数据副本存储在云端，但是还有很多应用的业务数据未在用户本地设备中存储。无论云端存储数据的性质，云端都应定时将存储的数据备份，保障云服务的正常运行。

3.7 法律法规风险

在云计算中，数据有可能分布存储在不同的国家和地区中。当数据被转移到其他的国家和地区中后，必须遵守当地的法律法规。所以在云计算中，存在数据放置地理位置的问题，客户应当知晓数据存储的地理位置防范风险。

4 数据安全解决方案

对于数据安全问题，需要方案解决云环境中数据潜在的风险。其中由于云环境的公用特性，数据保密应当作为主要解决目标。针对上节的数据保障、正确性、访问等问题，多位云计算安全专家在不同层面已先后提出了几套完整的解决方案，其目标主要是保证云环境中数据共享的安全性。在不可信的公共云环境中，数据共享的同时保证数据对第三方的保密性。

4.1 基本方案

数据加密是一个比较好的保证数据安全的方案。在云端存储数据之前最好能先加密数据。数据的拥有者能将数据的访问权给予特定的用户群体。应当设计一个包括认证、数据加密、数据正确性、数据恢复等功能的模型去保证数据在云端的安全。

为了保证数据不能被非授权访问，将数据加密使其完全对于其他用户无法解析是一个比较好的方法。在上传数据到云端之前，建议用户验证数据是否在本地有完整的备份，可以通过计算文件的哈希值来验证数据是否一致。数据传输应当采用加密方式，防止敏感信息被中间人监听。SaaS要求必须在物理层面和应用层面将不同用户的数据隔离。可以使用采用基于角色的访问控制或者是自主访问控制，以及分布式的访问控制架构控制云计算中的数据访问。一个设计良好的访问控制机制可以极大地保护数据的安全，还可以采用入侵防御系统实时监测网络入侵。入侵防御系统主要功能为识别可疑行为，记录行为的详细信息并试图阻止。

上述基本方案可以解决数据保障、数据正确性、数据访问及保密性等问题。但是，在实际应用中没有考虑效率，仅仅作为基本手段不能满足用户云环境数据共享的特定需求。

4.2 属性基加密

属性基加密(Attribute-based Encryption)相对于传统的公用密钥加密具有很大的优势。传统的公用密钥加密采用公私钥对，公钥加密的信息只能用私钥解密，保证了仅有接收人能得到明文;私钥加密的信息只能用公钥解密，保证了信息的来源。公钥基础设施体系和对称加密方式相比，解决了信息的保密性、完整性、不可否认性问题。属性基加密则在公用密钥加密的基础上，更多考虑了数据共享和访问控制的问题。在属性基加密系统中，密钥由属性集合标识。仅当公私钥对指定的属性相同或者具有规定的包含关系时，才能完成解密密文。例如，用户如果为了数据安全将文档加密，但是需要同公司的人能解密该密文，那么可以设置密钥的属性位“组织”，只有属性位“组织”为该用户公司的密钥才能将该密文解密，不满足条件的密钥则不能解密，如图1所示。

属性基加密分为密钥策略(KP-ABE)和密文策略(CP-ABE)。KP-ABE模式中，密文具有属性集合，解密密钥则和访问控制策略关联。加密方定义了能成功解密密文的密钥需要满足的属性集合。KP-ABE模式适用于用户查询类应用，例如搜索、视频点播等。CP-ABE模式中，加密方定义了访问控制策略，访问控制策略被包含在密文内，而密钥仅仅是属性的集合。CP-ABE模式主要适用于访问控制类应用，例如社交网站、电子医疗等。

属性基加密方式，不仅可以应用在云存储共享中，在审计日志共享方面也有很广泛的应用。审计日志共享大都存在时间段的限制，属性基加密方式可以在密文中添加时间属性位和用户属性，提供对不同用户共享不同时间段日志的功能。属性基加密紧密结合了访问控制的特性，在传统公用密钥的基础上，提高了数据共享的方便程度。

属性基加密虽然提高了数据共享的方便程度，但是没有从根本上解决云环境数据加解密过程中，解密为明文导致的敏感数据泄露问题。

4.3 重加密

由于云环境是公用的，用户无法确定服务提供商是否严格的将用户资料保存，不泄露给第三方。所以，当用户之间有在云环境中共享资料的需求时，必须考虑资料的保密性问题。

用户A希望和用户B共享自己的数据，但是不希望直接将自己的私钥Pa给B，否则B能直接用Pa解密自己采用私钥加密的其他数据。对于这种情况，有一些解决方案。

(1)用户A将加密数据从云端取回，解密后通过安全方式(例如采用用户B的公钥加密)发送给用户B。这种方式要求用户A必须一直在线，存在一定的局限性，并且数据量比较大时，本地耗费的计算量可能非常大。

(2)用户A可以将自己的私钥给云服务提供商，要求提供数据共享的服务。在这种情况中，用户A必须相信云端不会将私钥泄露。

(3)用户A可以采用一对一加密机制。A将解密密钥分发给每个想共享数据的用户，A必须针对每个用户生成并存储不同的加密密钥和密文。当新用户数量很多时，这个方案造成了磁盘空间的大量占用，存储数据冗余度高。

重加密(Proxy Re-Encryption)手段可以很好的解决云环境数据共享的问题。重加密手段设立了一个解密。首选A由私钥Pa和B的公钥Pb计算出转换密钥Rk。转换密钥可以直接将由私钥Pa加密的密文转加密为由公钥Pb加密的密文。在转换过程中，A的原始密文不会解密为明文，而转加密后的密文也只能由用户B解密。当用户B想访问A共享的资料时，只需要解密使用Rk将A的密文转换为只有B能解密的密文即可。这种机制保证了包括云在内的所有第三方都不能获取A共享给B的明文，如图2所示。

重加密解决了云环境中数据共享而不泄露明文的基本问题，侧重于数据的保密。该技术手段关注数据的保密性，未考虑实际应用中数据共享方便程度等其他问题。

4.4 基于重加密的属性基加密方法

重加密技术可以和在云存储中使用的属性基加密机制结合，属性基加密侧重于加密方面的访问控制，而重加密从加密手段上保证了数据的隐秘性。通过将这两种机制结合，用户可以更加高效的分享数据。数据拥有者可以根据新的访问控制规则生成转换密钥，然后将转换密钥上传至云服务器，服务器将原有的密文转加密为新的密文。新的密文在不影响原有用户解密的情况下，可以使新用户成功解密。而在转换原有密文的整个过程中，服务器无法将密文解密为明文。

该类加密方法既保证了转换效率，又保证了数据的保密性。此类方法中，不考虑抗选择密文攻击的算法计算转换密钥的资源消耗相对较小，考虑了抗选择密文攻击的算法资源消耗量和密钥属性基的大小正相关。

5 结束语

虽然云计算是一个带来了很多益处给用户的新兴技术，但它也同时面临着很多安全方面的挑战。本文说明了云计算方面的安全挑战和对应的解决方案，从而降低云计算可能带来的安全风险。为了保证云存储的安全访问，在技术层面，可以采用健壮的数据加密机制;在管理层面，采用合适的令牌管理机制，分发令牌给用户从而保证数据只能被授权的访问。随着云计算的普及，相信云服务提供商和用户对于云环境数据安全方面会越来越重视。在相关安全策略实施后，云计算能在提供良好服务的同时，让用户使用更加放心。

作者简介：

许龙(1988-)，男，湖北人，硕士，公安部第三研究所检测中心;主要研究方向和关注领域：信息安全及相关检测技术。

数据保密解决方案篇5

如果威胁已经无法避免，那么企业应如何面对各种途径造成数据泄露问题呢?随着企业逐渐对数据安全重视，市场中各种类型的数据安全产品和解决方案也在各自为营，企业安全相关工作人员需要准确判断自身数据安全需求，并正确认识数据安全解决方案的特点，才能为企业做出最佳的数据安全产品选择，和最符合成本利益投资。对于数据安全我们需要了解：

安全是相对的

用户有时候对数据安全的应用希望能够追求尽善尽美，倾向于把所以认知到的数据安全问题项都罗列出来，并希望这些数据安全问题能全部解决。但安全和威胁一直都是博弈存在的，此长彼消。作为安全厂商和企业我们共同的目标是要做到让数据安风险趋于零，而不是过于追求大而全的单款方案。在选择数据安全产品时，企业进行更多理性判断，诸如，什么情况下适合用怎样数据安全技术来对此类问题进行控制，而什么情况下我们需要借助数据安全工具将企业数据泄漏风险到最低，当然这个最低是业企业所能接受的，这样企业才能正确衡量投入多少资本进行安全防护是合理的，从而收到高的安全投资回报。

数据安全问题其实也是一种风险管理的问题，我们应该先解决最为严重的数据泄露风险，对于无法回避的数据泄露风险应该采用规章制度或者其他转嫁方法来解决。

企业数据安全运营

为企业解决数据安全问题，最理想的做法是从企业业务风险大小出发，告之企业一旦数据泄露对其业务影响有多大，这种影响绝不是只对其IT层面。如果企业的图纸和源代码等核心数据泄露，整体企业都必须为其承担风险，而风险程度对于每个企业是各不相同的。例如某厂商的一款芯片的相关核心技术提前泄漏，由于一款芯片的生命周期是18个月，那么泄漏一款芯片对企业就不仅仅是半年到一年的影响，而意味着未来18个月企业都很难翻身。这对企业来说不是简单的几十万的损失，而是几百万甚至更多的无法预估的损失。所以要把数据泄露放在企业运营层面看待，它不仅仅保护企业内部的一些流程，不是对企业IT架构有多重要，而是对企业有多重要。数据安全不单单为一个部门，而是为企业运营解决问题。

数据泄漏防护

数据泄漏防护(DLP)解决方案是目前最为成熟和国外最主流的数据安全保护方案，它可以有效识别各种机密数据的内容，从而应对各种数据变形后的泄密事件。但目前国内推出的DLP解决方案大部分依托于访问控制，加解密的保护。但在国外比较成熟的DLP产品会更多关注数据的内容到底是什么，它会用更多的技术去分析企业正在泄露的数据是工资单、图纸还是源代码。而不是不管是源文件还是代码，统统在策略中定制的只要是机密，就加密。

加密和DLP其实是两个概念。一款成熟的DLP产品需要做到能够真正识别企业机密数据的内容，正确的认识企业的业务流程(谁可以把何种企业数据发送到哪里?)以梳理出合理的业务流程保证敏感数据正确的流动，此外，还需针对主要的HTTP／s、SMTP和USB等不同的业务渠道进行保护，并可以施以统一的策略管理和部署。

单纯通过加密和访问限制来对数据安全防护是非常局限的。进行加密之后文件从技术上讲内容被改变了，数据可能受到影响。此外，加密也可能会成为一种伪装，因为加密决策是由人来制定的。所以如果企业没有审计制度，就无法保证决策外的机密文件及其里面的内容是否没有被泄漏的。而这时，企业就会需要另寻专业的DLP技术来审计分析，外传文件中是否含有源代码等重要内容，因为审计部门靠人工是很难发现文件中是否有组合源代码的。并且，大范围内的加解密也会影响业务效率。尤其是对于上GB的文件来说。但一款专业的DLP方案能判断出真正是机密的内容，从而阻止外传，降低安全效率的损耗，缩小范围，提升效率。

但是，通常DLP解决方案无法解决数据已经泄漏到公司外部的情况，因此，企业可以采用加密、数字水印等技术来进行补充保护。

数据保密解决方案篇6

Check Point DLP解决方案采用全新思路,对数据泄密由检测转为预防,并允许用户参与补救行动,同时不影响公司的日常业务流程。

例如,Check Point DLP可以阻止包含敏感财务信息的电子邮件发送给外部收件人,它会实时提醒用户潜在的违规行为,并要求他选择放弃发送电子邮件,或者确认发送,又或者进一步审查电子邮件,以了解企业的有关数据策略。Check Point DLP解决方案不仅能有效地防止数据丢失,而且它能在执行企业策略的同时教育用户。

在同一情景下,其它传统解决方案通常会创建一个事件并阻止通讯,直到一个IT安全管理员检查并修正了这个潜在违规行为,这过程可能需要数天,直到它追寻到通讯的背景,同时这需涉及用户及其上司。此外,ITHL作人员处理该事件时,将会看到不在他授权范围的敏感数据。

数据保密解决方案篇7

据李梦然介绍，信息安全是一个很大的生态体系。在互联网连接企业的过程当中，可能会存在安全问题，接入网络边界时可能存在安全问题，甚至当数据到达终端的时候也可能存在安全问题，而尖锐软件就是保护云、管、端的数据安全。

数据到底多么重要呢？

李梦然打了这么一个比方：我们把数据资产放在一个房子里面。房子的围墙是防火墙，房门就是边界安全，即便解决了黑客入侵问题，也很难保证数据一定安全。数据安全解决方案则是房子里面的保险箱，保护着房子里面最重要最有价值的东西。所有的文件因为经过复杂的加密程序，即便有人将保险箱拎走，也偷不走数据。

目前，尖锐的主要产品有尖锐企业图档加密系统、尖锐文档外发管理系统、尖锐共享文档保护系统等。

针对不同的客户给出不同的解决方案

食品安全因为与生活密不可分而备受关注，数据安全也是如此。在竞争激烈、网络信息肆意传播的现代社会，各行各业对数据安全也提出了不同的要求。

目前，尖锐软件主要服务的有政府级安全用户和民营企业级用户。据李梦然介绍，国家安全客户包括军工、政府、运营商等，对数据安全解决方案的要求很高，属于不可公开。

以中石油为例，为了保护核心的研发图纸、战略规划书、商务合同文件等内容，尖锐采用了透明加密的方式，把文件划分了权限等级，使内部员工访问文件时受相对应的权限控制。“但相比之下，民营企业的数据安全解决方案则会偏向标准化。”

数据保密解决方案篇8

在这些威胁和风险中，最有可能发生并造成严重后果的便是保密信息有意或意外的泄漏。一旦发生数据泄漏事件，企业不单要承担保密数据本身价值的损失，严重的时候还会影响企业的声誉和公众形象，并有可能面临法律上的麻烦。

Forrester Research的统计资料显示，70%以上的数据泄露都是无意的。电子邮件在不经意间就可能将海力士的核心机密信息泄露给竞争对手。

面对这样的窘境，海力士希望将可能让机密或专有信息泄露的行为牢牢控制住，例如员工使用加密Web邮件、数据向第三方存储站点的传输、远程访问应用软件等。

因此，必须制定一套有效的信息泄漏预防解决方案，来着眼于无意的数据丢失所导致的日常风险。

有安全专家曾建议，基于终端的防泄密从技术上来说是不可靠的，而且规模越大，可靠性越差，而管理难度也越大。

因为基于终端的解决方案是一种封堵传播途径的技术，在理想的情况下，如果能够封堵所有的文档传播途径，则文档不会被传播出去。

Blue Coat Systems大中华区执行总监潘道良表示：“企业必须从互联网网关处入手，有效阻止意外泄露和恶意窃取。企业的网络资源管理人员必须清楚获知机密数据在网络中的精确位置。监测这些数据、信息的使用者状况，并有力保护数据的不被窃取、流失和破坏，帮助企业保护财产、控制风险。海力士需要重新获得网络的控制权，管理盲点，在保护数据的同时实现法规遵从。”

网关阻止信息泄露

由于大多数Web安全解决方案不能检查SSL隧道，SSL隧道携带着点到点的加密数据，使SSL成为截获数据最有效的承载体。

海力士通过选型对比，选择了Blue Coat ProxySG设备，实现监测互联网通信并根据政策进行控制。借助Blue Coat的SSL，海力士可以了解内部用户和外部站点之间的SSL加密通信。他们还可以对带宽进行优先化管理，验证网站证书，在不审查通信内容的情况下避免钓鱼欺诈，这将有助于保持员工个人财务交易的安全性和机密性。

其中具备ProxyAV模块的ProxySG让海力士能够对带宽进行优先化管理，验证网站证书和检查SSL通信，从而更好地避免数据泄露和恶意软件威胁，例如僵尸网络和Web邮件。

数据保密解决方案篇9

1　引言

我国数据库产业起始于20世纪70年代，在较短的时间段跨越了引进、起步和发展三个阶段，据中国互联网络信息中心《中国互联网络信息资源调查报告》最新公布，全国在线数据库总量已达29.54万个。随着数据库在我国信息产业中地位的提升，如何保护数据库制作者的利益，规范和解决数据库生产、传播、利用过程的各种纠纷成为我国立法完善的新课题。本文对我国现行数据库法律保护制度及其司法实践进行全面述评，并在此基础上提出我国数据库法律保护制度完善与发展对策。

2　我国数据库法律保护立法现状及其司法实践

从全球看，数据库法律保护模式分为两种：①传统的以著作权法为主体的多重法律保护模式(以下简称多重法律保护模式)；②以欧美为代表的专门立法保护模式(以下简称专门立法保护模式)。目前，除欧盟已经实施专门立法保护数据库，世界上大多数国家采用多重法律保护模式，即依靠著作权法、反不正当竞争法、商业秘密保护法、合同法等现行的法律制度保护数据库。多重法律保护模式是世界数据库法律保护的主流模式，也是我国目前采用的数据库法律保护模式。

2.1　著作权法保护

著作权法是我国数据库保护的主要法律制度。依据《著作权法》第14条，著作权保护独创性数据库，排斥他人不劳而获的“搭便车”。在我国数据库保护司法实践中，“历史纪年表”案和“中国大法规数据库”案原告都成功地以著作权法维护了自己的利益。但是，著作权法保护独创性数据库的特性决定了其惠及的数据库是相当有限的，大量非独创性数据库游离于著作权保护之外。并且，即便是符合独创性标准，著作权法保护的只是数据库的结构，并不延及数据库的内容。VA“历史纪年表”案和“中国大法规数据库”案为例，权利人享有的是表(或数据库)结构的著作权，权利人无权制止他人对其表(或数据库)内容的复制。对数据库而言，真正具有商业价值、最易遭受他人复制的恰恰是数据库的内容。所以，著作权法这种只保护数据库结构、不保护数据库内容的特性被学者称为软保护。

2.2　反不正当竞争法保护

反不正当竞争法是保护非独创性数据库最为有力的法律武器。由于著作权独创性的高弹性(即编排或选择的独创性很大程度取决于法官的判断)，原告提起著作权的同时，也常附带反不正当竞争方面的诉讼，以最大程度保证诉讼效率。以反不正当竞争法保护数据库，引用的是《反不正当竞争法》第二条第一款原则性条款。

在我国司法实践中，原告运用反不正当竞争法保护自身利益并不鲜见，除早期“中国拟建和在建项目库”①案、还有后继“SIC实时金融系统侵权”案②和“金融城”③案等，其中“SIC实时金融系统侵权”案和“金融城”案最终获反不正当竞争法保护，法院判定被告行为“……抢占了原告的客户、损害原告的合法权益，构成不正当竞争”。

以反不正当竞争法保护数据库，排斥了竞争者对数据库内容的复制，弥补了著作权法不保护数据库内容的缺陷。故有学者认为“在我国数据库不能提供完整、充分的版权保护时，反不正当竞争法的规制不失为对数据库制作者权利保护的重要补充”。但是，以反不正当竞争法保护数据库也有其局限：①反不正竞争法规范的对象是有限的，对非竞争性关系的恶意破坏，数据库权利人难以利用反不正竞争法寻求救济；②以反不正竞争法原则性条款界定不正当竞争行为具有极大的不确定性，这种高度抽象的原则性标准需要法院根据个案进行认定，判决结果很大程度取决于法官的解释和判断。以“中国拟建和在建项目库”案为例，对于原告附带的反不正当竞争诉求，该案法官以其“不能举证被告抢占了其客户”为由，认定当事人之间不存在竞争关系，驳回其诉求。反不正当竞争法的这种不确定性恰恰是数据库制作者最为担心的。

2.3　合同法保护

对于商业数据库，权利人通常会利用合同条款约束用户，限制他人不正当利用并追究其法律责任。以合同法保护数据库通常依据的是《合同法》第60条以及对违约责任处理的第107条。

合同法保护数据库要求当事人签有合同。“SIC实时金融系统侵权”案原告即凭借与被告的合同在一审中获胜。合同有利于数据库制作者在可能发生的诉讼中占据主动，目前已有越来越多数据库制作者依赖合同法保护自身经济利益。

合同法对数据库的补充保护作用是不可否认的，它可作为数据库制作者加强自我保护，控制用户合理使用的手段。但作为一种法律制度，合同法不可能独立承担起对数据库全面保护职能，合同法通常协同反不正当竞争法(如SIC实时金融系统侵权案(一审)，详见本文2.4第二段)。和反不正当竞争法保护数据库的缺陷相似，合同法也不能为数据库提供一种具有确定内容的、稳定的财产权，即存在不确定性问题。例《中国学术期刊(光盘版)》电子杂志社诉赵萍萍案④，法院就未从合同法角度考虑原告对数据库内容享有合同下的权利；此外，合同法无法对付合同外的第三方侵权行为，为防止合同外任何人访问数据库，数据库制作者还必须同时依靠技术措施和其它法律制度。

2.4　商业秘密保护

以商业秘密保护法保护数据库在发达国家极为常见，我国保护数据库商业秘密通常援引的是《反不正当竞争法》第10条和《合同法》第43条等。

以反不正当竞争法保护数据库商业秘密的前提是数据库符合秘密性、经济性和采取了合理的保密措施三个条件，而以合同法保护数据库商业秘密，要求商业秘密所有人和侵权人之间有保护商业秘密的合同或在其它诸如劳动合同中有相关保密条款。“SIC实时金融系统侵权”案(一审)因“《SIC实时金融》具有秘密性、价值性”、“……合同载明了《SIC实时金融》是原告的商业秘密、被告已知且承诺承担相应的保密义务”、“……原告在主观上具有保密的意愿，在客观上采取了与客户约定保密义务等保密措施”而获反不正当竞争法和合同法保护。

相对于著作权保护，数据库商业秘密保护既保护了数据库的结构，又保护了数据库的内容，只要其中的技术或内容不为社会所知。但是对多数商业数据库，因公开发行而不构成商业秘密，不在其保护范围之内；并且，商业秘密保护属于反不正当竞争法保护的范畴，所以它具有反不正当竞争法的缺陷，而合同法只规范合同双方，对于没有合同关系的第三方将其中商业秘密扩散，数据库制作者亦不能提出诉讼(商业秘密的权利产生于合同的约定)；再者，由于我国没有商业秘密保护法，法院在审理数据库商业秘密时必须适用于相

关法律，难以避免法律的冲突和竞合现象。

2.5　民法保护

以民法基本原则保护数据库制作者的辛苦劳动，依据的是《民法通则》第二条。以民法保护汇编作品的典型案例有“电视节目预告表”案①和“出版发行名录”案②。尽管两案的著作权诉求被否定，但法院对原告对汇编作品的劳动投入予以肯定，依照“创造利益者享受该利益”和“合法的民事权益受法律保护”的民法原理，法院将原告对数据库享有的权利定位于一种民事财产权，并判决被告承担一般民事侵权责任。

以民法基本原则保护数据库，实际是鼓励人们诚实守信、积极创新，作为国家大法，它是我国数据库专门立法的指导思想。在学术上，以民法基本原则作为判案依据，由司法机关直接确认数据库的财产权，尚有很大的争议，毕竟民法保护的是权益，而不是权利。多数学者认为将民事原则条款扩张到知识产权领域必须慎重为之。

除了上述相关法律制度，对于侵犯数据库知识产权的犯罪，以刑事救济手段保护数据库财产权免受侵犯也越来越显示出其不可替代的作用。我国刑法对数据库的保护主要体现于侵害数据库的著作权、商标权、专利权和商业秘密情节严重者的制裁。

3　存在的不足或问题

综述我国数据库法律保护相关制度及其司法实践，笔者认为，以著作权法为主体，包括反不正当竞争法、合同法、民法和商业秘密保护相关法等法律制度，从各自不同的角度一定程度地保护了数据库制作者的利益，它们为我国数据库产业的健康成长提供了良好的法律环境。但是，现行数据库法律保护模式还存在诸多问题或不足，需要不断加以完善和发展。

3.1　适用性方面的不足

细量上述法律制度，笔者认为各法律均有其适用范围和提供保护的可能，也有其不足。从法律制度看，一旦数据库达不到著作权法的独创性标准，数据库的制作者只有依靠反不正当竞争法；而反不正当竞争法本身调整范围的有限性(仅限于竞争者之间)和反不正当竞争法保护数据库的不确定性，往往使数据库的制作者失去保障；数据库商业秘密保护只对具有商业秘密属性的，也即非公开的数据库才适用；合同法对合同的双方有效，对第三者侵权往往无能为力；刑法仅针对非常严重的数据库侵权行为，对于一般的数据库侵权无法调整；而以民事原则条款的扩张解释保护数据库财产权亦存有争议。总之，现行法律制度只是从各自的角度对数据库提供某一方面的保护，现行法律保护模式缺乏对数据库的整体保护。

3.2　确定性方面的不足

从司法实践看，以多重法律保护数据库，具有极大的不确定性，如著作权独创性的高弹性、高概括性、反不正当竞争法的抽象性、原则性，使个案的判决结果很大程度上取决于法官的解释和判断，其结果是数据库制作者很难预见自己的权利是否能得到保护。在“SIC实时金融系统侵权”案中，原告在主张自己的权利时即显得无所适从，为达到最终胜诉的目的，采取了“地毯式轰炸”术，罗列了商业秘密、著作权、劳动获益权、专有技术成果权。现行模式使数据库制作者不能准确地市场预期，影响其投资的激励，而且可能造成司法的不公正、不统一。

3.3　协调性方面的不足

现行数据库法律制度不是一个统一有效的整体，各法律制度彼此之间缺乏配合，如同数据库商业秘密保护中援引反不正当竞争法和合同法等相关法律法规，可能造成竞合与冲突，数据库著作权法、反不正当竞争法与合同法保护之间也有协调问题。在美国，已通过INS、NBA及ProCD案确立了著作权优先，解决了著作权法不保护非独创性数据库背景下，竞争法、合同法得以适用的条件与前提，而这一理论阐述在我国很大程度上并未完成。在著作权法不能适用的情况下，其它相关法律制度如何承担起协调保护的作用，这在诸如《中国学术期刊(光盘版)》电子杂志社诉赵萍萍案等司法实践中并未得到完美解决。4国际社会的新举措和我们的对策研究

数据保密解决方案篇10

与局域网电子设备厂商合作

泰科电子是全球领先的电气与电子连接器制造商。凭借以往的知识与经验，公司开发和设计了神奇的连接技术。公司不但将先进的连接器集成到公司的产品中以提供顶级布线系统，而且还和直接连接到布线系统的IT设备厂商进行密切合作。因此，泰科电子为各种交换机和服务器厂商提供相同的高技术连接能力，能为全球的数据中心用户提供真正无缝的端到端系统方案。

通过智能布线系统降低耗电量

数据保密解决方案篇11

1.1 内涵

所谓档案数字化建设，简单的来说，就是将传统的纸质信息转变为电子数据信息的过程，需要通过借助当前先进的各种技术，包括扫描技术、信息技术以及网络技术等，构建完善的档案数据库，改变传统的以纸质作为载体的信息记录方式，实现对数据信息的快速查询、共享，提升信息资源的利用价值。

1.2 内容

在档案数字化建设中，需要建设的内容主要包括两个方面，一是数据库，二是技术保障体系，其中，数据库是档案信息存储所在，必须保障数据库的安全可靠，避免数据的泄露，确保数据安全，为档案管理与应用奠定良好基础；档案数字化建设是与互联网息息相关的，而互联网中安全风险远远高于传统纸质数据保存方式，对此，就需要通过完善、可靠的技术保障体系，来加强对档案数据信息的保护，包括限定访问权限、定期维护与升级系统、建立身份认证机制、采取密钥等措施。

2 档案数字化建设现存的安全问题分析

2.1 缺乏良好安全保护意识

安全保护意识是减轻安全风险的基础，但就当前实际情况来看，安全意识的缺乏是一个十分普遍，但也较为严重的问题。我国档案管理工作起步相对较晚，在管理机制上本身就存在一定不足，许多档案管理人员本身对档案工作认识存在偏差，对档案的重要性没有正确认知，在从传统档案向数字化建设转型过程中，这种理念并没有改变，导致数字化档案信息存在许多流失的漏洞，比如没有合适的分类保管，可以随意进行信息的拷贝与复制、在管理中未严格遵循相应的规范等，都严重降低了数字化档案的安全性，引发各种安全风险，导致出现安全问题。

2.2 技术保障体系不够完善

数字化档案是基于信息技术、网络技术存在的，必须有完善的技术保障体系，才可最大程度的避免安全风险。档案数据与计算机是密切相关的，由于计算机病毒的存在，在数据传输过程中，也容易被计算机病毒所感染，加上恶意攻击等行为的存在，如果没有对应水平的技术保障体系，档案数据库很容易被侵入，造成大量信息的丢失、泄漏等问题，极大威胁档案数字化建设的安全。

2.3 安全管理人员相对缺乏

档案数字化是一种新的档案管理模式，其安全管理与传统模式有很大区别，对安全管理人员的专业素质有着极高要求，特别是在计算机能力方面。但是，就实际情况来看，许多安全档案管理人员的计算机能力水平只在中等甚至以下，是难以达到电子档案管理需求的，在此种情况下，一旦档案数据库被入侵，很难采取有效处理措施，安全风险得不到解决，引发安全问题。

2.4 档案数字化理论与资金支持不足

我国档案数字化建设起步相对较晚，依然处于探索论证的初级阶段，相关的成熟理论较为有限，理论水平相对较弱，依然有许多需要研究的内容，无法为档案数字化建设提供足够的理论支撑，导致很多档案数字化建设隐患、缺陷未被及时发现，在一定程度上对档案数字化安全造成了不良影响。

档案数字化建设是一种以高新技术为基础的工作，在硬件、软件等方面都需要大量的投入，也就是对资金有着较大需求，数字化设备购入、现有设备的运行使用、落后过时硬件的及时更新以及相关软件的开发升级等，都离不开资金的支持。但是，就实际情况来看，无论是企业、事业单位，还是高校、行政部门，经费投入都较为有限，特别是在安全方面，经费严重不足，各种安全问题普遍存在。

3 档案数字化建设安全问题解决对策

3.1 提升档案管理安全意识

针对档案数字化建设安全意识薄弱的问题，首先，应当加强对档案管理安全的宣传，了解档案管理安全的重要性，认识到档案的重要价值，从日常工作的各个方面，主动采取并落实相应的安全措施，预防安全问题发生。

其次，建立责任制度，将档案管理安全责任层层分解到对应的岗位、人员身上，激发其责任心，使其以认真、负责的态度对待数字化档案管理工作，严格执行相应管理制度，减少因人为因素导致的档案安全隐患，提升电子档案安全性。

3.2 建立档案安全技术保障

在档案数字化建设安全工作中，采取适宜的技术，是实现安全有效途径，常用的安全保障技术包括加密技术、防火墙技术、入侵检测技术以及数字签名技术等等。其中，加密技术是应用最为普遍，也是最为经济、安全的技术措施，在档案数字化中应用加密技术，对于不同重要级别的档案信息，分别对其进行不同复杂程度的加密，给档案信息提供有力的防护，有效避免信息被截取或篡改，提升档案信息安全。

随着各种学科、技术的不断进步，加密技术也越来多加多样化，为档案数字化安全提供了许多选择。对于电子档案来说，在信息传递过程中，常用的加密技术是“非对称密钥”，也就是指分别使用公钥、私钥两个密钥，来分别完成电子档案的传递、接收解读，在此过程中，电子档案的加密、解密对应的密钥是不相同的，即使文件被截获，也很难将其破解，大大提高了电子档案的安全性。

3.3 提高档案管理人员素质

对于档案数字化建设的安全来说，人力资源是最为根本、最为基础的，加强对档案管理人员的培养，提升其整体素质水平，建设符合信息时代背景下档案管理的复合型人才队伍，对档案数字化建设安全提升是有着重要的意义。

对此，首先，要严格档案管理人员的考核，在聘任人员时，需要选择具备相应专业技能水平的人才，保证其能力满足档案数字化建设安全的需求，更好地开展安全保护工作。同时应保障档案管理人员的工资福利能与当时社会消费水平保持平衡，尽量消除其在生活中的经济压力，保证能更专心地提升自身专业技能水平，更好地应对不断升级的档案工作需求。

其次，做好人员的专门培训，定期开展各种培训、交流活动，积极了解技术变化情况，了解并掌握先进安全技术等，提升自身专业技术水平，增强对各种安全问题的发现与解决能力，有效保护档案安全。

3.4 加大档案数字化建设投入

数据保密解决方案篇12

近年来，亨通立足光通信主业、突破产业关键核心技术，不断完善“光棒-光纤-光缆-光器件-光网络”的光纤通信全产业链。与此同时，亨通瞄准产业尖端前沿，不断延伸产业链，调整结构，转型升级，积极拓展互联网+发展新空间，布局量子通信产业，进入宽带接入网、智慧社区、通信工程的建设运营，并构建大数据应用及网络安全等业务体系，“形成‘产品+平台+服务’的综合服务模式。”亨通光电总经理尹纪成表示。

布局网络安全

网络安全是当下互联网领域最突出的问题，受到人们的广泛关注，也是本届通信展上一项重要的展示内容。而在这一背景下，亨通适时推出了优网科技大数据、安全、通信软件解决方案和量子保密通信行业级解决方案这两套保障网络信息安全的解决方案。

据了解，优网科技大数据、安全、通信软件解决方案包括用于通信网络维护的综合性能监控解决方案、重点场景保障解决方案、客服支撑解决方案，用于网络安全领域的信息安全态势感知解决方案、网络安全态势感知解决方案、大数据云防护解决方案、云安全防护解决方案及运营，用于大数据运营的大数据平台解决方案、互联网综合服务平台解决方案等一系列的维护、安全、大数据解决方案，为通信、互联网等数据运营提供全方位的支撑。

今年8月份，亨通光电与安徽问天量子科技股份有限公司共同投资设立江苏亨通问天量子信息研究院有限公司，双方强强联合、优势互补，积极布局量子通信产业，加快启动量子网络建设，并在本届展会上推出了政务网解决方案、电力调度保密通信解决方案、数据中心信息安全解决方案等一系列量子保密通信解决方案，为通信及互联网的信息安全保驾护航。

聚焦高铁通信

国内高铁建设正加快推进，乘客对于乘坐高铁时手机上网和通话的需求量逐渐增加，因此运营商在高铁沿线的基站建设方面将进一步加大投资力度。

据了解，高铁沿线无线信号覆盖主要依靠沿线的通信基站，为高铁列车提供无线信号。由于高铁列车的运行速度较快，导致基站的密集程度高，投资费用较高。同时，在大部分偏远地区，高铁沿线基站仅用于列车信号覆盖，功能单一，并且用户量少，运营商的投资收益率低，资金回收周期长。

针对现有情况，亨通推出高铁无线覆盖解决方案，为客户提供建设效率高、投资费用低、运维便捷的产品和方案。据介绍，该方案采用铜合金导体作为主要供电电缆，可选配1-144芯光纤，能够同时为高铁沿线基站提供电力和通信接入服务。铜合金导体相比传统铜芯电缆产品，产品施工难度低，相同重量长度更长，抗强风能力好，同时由于导体采用铜合金导体，无法回收利用，具有防盗效果。高铁无线覆盖解决方案采用100V-600V可变直流电远程集中供电，通过铁路信源站取电后，能够双向辐射，最远可满足8个基站的供电需求。因此减少了用户的取电费用和协调难度。在基站端仅需要配置对应的终端设备即可完成快速建站，节约用户建站时间，降低客户无形建设成本。

目前，亨通的高铁无线覆盖解决方案已经在兰新线铁路中大范围使用，为客户提供了更优质的产品和解决方案。

深耕海洋业务

海洋板块是亨通近两年颇为重视的业务板块，同时也是今年上半年营业收入增幅最大的业务之一。据亨通2016年上半年报告，亨通海洋电力通信产品营收2.43亿元，同比增长249.12%。

在本届通信展上，亨通重点推出了海底观测系统以及江河湖泊水质监测系统解决方案。

数据保密解决方案篇13

Keywords： Enterprise Library; Digital Archives; Management System

随着档案信息化建设的全面铺开，我国档案事业发展已经进入数字档案馆建设的新阶段，这已经成为当前档案信息社会化服务的一个重要趋势。全国各地也在探索自己的数字档案馆建设道路。北京档案数字化标准规范体系建设逐步完善，贵州制定了档案方志信息化建设实施意见。云南文书类电子档案移交与接收试行办法，广州实施“广州记忆”数字信息资源库建设。成都对档案与电子文件登记备份进行试点，西安电子文件归档与电子档案管理细则。宁波在全市范围内建设完成档案馆电子目录中心 [1]。在数字档案管理系统研究方面，文献[2]通过对OAIS体系的分解，给出了我国数字档案馆的功能模型 [3]。文献[4]结合OAIS标准和软件工程方法，采用Java平台设计了一个综合档案管理系统，并在北京市档案馆进行实际应用[5]。文献 [6]针对数字档案馆的信息安全体系构建进行了研究[7]。这些研究与设计工作，在数字档案管理工作理论研究和实践应用上都做了大量的工作，提出了好方法。基于此，笔者采用微软Enterprise Library框架，设计开发实现了一个安全可靠、高性能、可扩展的数字档案管理系统。

1 数字档案管理系统面临挑战

数字档案资源众多，数据量大，由于数字档案信息客观需要对安全性又有较高的要求。随着数字档案的社会服务功能的不断深入、延伸，数字档案管理工作需要承受不断增加的数据量和业务量的双重压力，这就要求数字档案管理系统在实际应用中，与普通信息管理系统相比，还要面临以下主要挑战：

（1）伸缩性：数字档案管理系统能够适应不断增长、变化的各类数字档案管理、应用需求，在功能扩展性和用户群扩展性方面能够很好地满足新的需求。

（2）安全性：数字档案信息是数字档案馆顺利开展业务的关键，也是其提供服务的保证。为此，对数字档案馆信息安全的研究已经成为数字档案馆建设和发展的核心问题之一[8]，这就要求数字档案管理系统必须有完备的数字档案安全解决方案。

（3）异构和互通问题：在档案信息数字化过程中，会产生不同文件格式、不同载体类型、形式各异的数字化档案数据，如何解决这些不同载体形式档案数据的标准化以及以不同形式保存在计算机中各类档案数据统一处理，都是数字档案管理系统需要解决的实际问题。

（4）系统易用性：随着档案社会服务的多样化，数字档案管理系统所面向的用户群体也趋于多样化，档案服务更加追求个性化和定制服务，这就要求档案管理系统必须使用简单、方便，以适应不同用户的需求。

2 Enterprise Library框架介绍

Enterprise Library是patterns & practices 小组为.NET Framework开发的一套企业库，共包括数据访问（Data Access Application Block）、异常管理（Exception Handling Application Block）、数据验证（Validation Application Block）等多个应用程序块。Enterprise Library 是一个为了由创建复杂企业级应用的开发人员使用的应用程序块的集合，用于解决企业级应用开发中所面临的一致性、扩展性、易于使用和集成性等共性挑战。

数据访问模块实现了常用的数据访问功能，简化的这部分的开发工作。通过该模块，在应用开发中可以减少实现标准功能所需编码量，在应用数据访问中保持一致的数据访问体验，同时对多数据源或数据库的变化提供很好的支持。

加密应用模块主要解决了应用开发中数据加密问题，该模块提供了离散加密和对称性加密两种加密模式，可以满足应用开发中实际需求。同时，该模块也提供了扩展接口，开发者可以根据实际需要，自定义相应加密方法。

安全管理模块允许开发人员在程序中包括安全。程序可以在不同的情况下使用到安全性，比如鉴别和批准用户访问数据库，获得任务信息，以及缓存用户信息等。

日志模块主要为开发者在应用中实现标准的日志功能。

异常处理模块为开发者和决策者在系统架构中提供一致的异常处理流程。

缓存模块为开发者提供在应用中组成本地缓存功能。

验证模块为开发者提供在应用的不同层的业务对象创建验证规则的功能。

依赖注入模块，开发者可以用这个模块在应用中实现一个轻量的、可扩展的依赖注入容器，容器支持构造函数注入、属性注入、方法调用注入。

策略注入模块，开发者可以使用这个模块在应用中实现拦截策略，可以简化一些常用功能，例如日志、缓存、异常处理、验证等功能的实现。

3 基于Enterprise Library的数字档案管理系统设计

数字档案的管理工作主要分为两个方面，一个是档案整理工作，该工作主要实现档案数据数字化，为档案利用做好准备。另一个是档案利用工作，包括检索、编研、借阅、保管、鉴定、统计等。

整个数字档案管理系统采用基于.NET的Enterprise Library设计、开发，整个系统模块设计、实现是标准化的、可扩展的。有效地满足了数字档案管理系统的伸缩性要求。

利用Enterprise Library的安全、加密、日志和依赖注入模块，设计数字档案管理系统的安全体系，有效满足了系统的安全性需求。通过依赖注入模块将安全相关功能采用拦截处理的方式实现，这样将各个安全模块从业务模块中独立出来，可以有效地解决安全策略的统一、完整。利用安全模块、加密模块和日志模块分别实现了数字档案管理中权限控制、数据加密、日志保存的功能需求。

在数据访问上，利用Enterprise Library的数据访问模块实现各应用程序模块和档案数据库的交互。利用数据库访问模块不仅可以简化数据库的访问，而且可以方便地实现跨数据库支持。这样就可以很好地适应各档案馆的实际情况，保证新系统的应用时可以很好地支持原有系统的数据迁移，保护已有投资。

系统开发实现采用技术进行呈现，用户只要拥有一台可以上网的计算机即可以进行相关数字档案管理操作，方便实用。

系统整体的结构设计如下图所示。

基于Enterprise Library的数字档案管理系统设计图

4 结束语

在数字档案馆建设中，数字档案的管理工作是一项十分重要的工作。本文利用Enterprise Library设计实现了一个数字档案管理系统，经过实际的应用表明，该系统的应用解决了数字档案管理工作中面临的实际问题，对档案管理工作水平的提高和社会服务能力提升提供了更好的支撑。

*2009年，河南省青年骨干教师基金资助项目，2009GGJS-165;本文是河南省科技厅鉴定项目――基于Enterprise Library的数字档案管理系统设计的研究成果（豫科鉴委字[2013]第1070号。

参考文献：

[1]杨冬权.在全国档案局长馆长会议上的讲话[J].中国档案，2013（1） .

[2][3]李泽锋.基于OAIS的数字档案馆功能模型研究[J].档案学通讯，2010（3）.

[4][5]周迪.北京市档案馆综合档案管理系统设计与实现[D].北京工业大学硕士学位论文，2012（6）.