■

加解密技术一直是信息安全技术的主要研究领域。在网络通信的过程中，越是重要的和敏感的信息就越需要通过加密和解密的过程进行传输。

在信息安全测评中，《信息系统安全等级保护基本要求》也明确要求“对通信过程中的敏感信息字段进行加密”。

因此，通过加解密这种代价较小的安全传输和存储方式，对抗系统入侵和攻击具有积极的意义。

等保测评中的加解密技术

加解密技术按某种算法对信息进行明密变换的符号的方法。换而言之，加解密就是将明文转换成密文，再从密文转换成明文的方式，其产物就是隐蔽了真实内容的密码。密码的特点就是除约定双方以外其他人所不能读解的信息。

加解密技术现今分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以国际数据加密算法（IDEA）为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。

对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。加解密技术目前主要应用于身份鉴别、网络通信和数据传输存储三个方面。

1.身份验证

身份鉴别需要通过标识和鉴别确保用户与正确的安全属性相关联。

加解密技术在身份鉴别方面主要体现为用户身份口令。

身份口令鉴别的方法有很多，基本上可分为：基于共享密钥、基于公开密钥和基于生物学特征的身份鉴别方式。

系统通过对称加密算法或非对称加密算法生成动态口令，用户能够通过动态口令进一步验证身份，防止单一口令被恶意获取。PKI（Public Key Infrastructure）是一种为应用系统提供加密和数字签名等服务及所必需的证书管理的密钥管理平台。PKI采用非对称的加密算法，避免第三方获取密钥后解密密文。如果用户想得到一份属于自己的证书，用户首先需要申请并被验证身份，之后便会被分配一个公钥，将该公钥与申请者的身份信息合并签字后，便形成申请者的证书。基于加解密算法对身份的进一步验证，保证了系统的身份鉴别机制的全面性，使系统能够通过两种或多种方式对用户身份进行验证，保证身份鉴别模块对攻击和篡权访问进行了有效控制。

2.网络通信

网络通信信道的安全协议有很多，这么安全协议都是通过加解密的方式对网络通道进行加密。常见的协议有https协议。

https协议是在HTTP的基础上，扩展了SSL/TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据，就像数据经过了一条安全通道，保证了系统的的关键敏感信息在安全的通道里通信。

入侵者截取到的网络数据包都是加密处理的，加密处理后的数据包被截获后很难被破解，从而保证了信息的安全性。经过对网络通信信道的加密处理，保证了通信网络的保密性和完整性，对入侵者的部分攻击方式有了很好的防护效果。

3.数据传输存储

除了对网络通信信道进行加密外，还可以单独对数据进行加解密。通过对重要数据的加解密可以使监听者即使破解了安全协议的密文，也无法得到数据的明文。

当今的普遍做法也是通过重要数据的解密和安全协议两种混合的方式，系统能够达到数据的安全传输，做到防护效果的最大化。

同时，在数据传输加密方面外，还有对数据库中存储的数据进行加密处理。对数据库中数据加密是为增强关系型数据库管理系统的安全性，提供一个安全的数据库平台，对数据库存储的内容实施有效的加密保护。它通过数据库存储加密等安全方法实现了数据的保密性和完整性要求，使得数据库以密文方式存储、加工、查询，确保了数据安全。

加解密技术在等级保护中的作用

根据《信息技术安全性评估准则》，加解密技术能够为系统安全达到几种高级目标，包括（但不限于）标识与鉴别、抗抵赖、可信路径、可信信道和数据分离，通过产生、分配、登录、存储、访问和销毁进行工作。加解密技术的广泛应用，使得重要的信息系统、工业控制系统等各方面得以安全可信的运行。在安全防护的最底层，通过加解密技术使得数据在不同网络之间安全流转，也给予了很多技术的有效补充，例如防火墙技术、入侵检测技术、信息隐藏技术、病毒防护技术。

因此，对系统的安全防护不仅仅要依靠安全设备的防护，更要有一个安全的数据安全保障环境。

系统安全防护体系为保证数据安全要求，在建设中需要部署加密机/解密机，用以保护网络通信中的数据的可用性、完整性和保密性要求，提供一个完整有效的客观环境。

结束语

在系统安全状态下，我们确保了重要的数据仅仅能够被赋予相应权限的人员读取，也确保信息在传输的过程中没有被篡改和截取。在政府机关、事业单位、国防工业中，数据安全尤其受到重视，因此，安全保障是一个重要的课题。当然我们无论怎样对数据进行加密，数据都是可以被解密的，至少我们需要保证数据在相当一段时间内无法被恶意破解，保证数据在我们需要的时间之内安全可控。