摘要:随着数字化建设进程的不断发展,越来越多的工程项目利用数字化手段对项目进行管理,因此越来越大的工程项目管理系统投入运行,在工程项目管理环境复杂、流程繁多、信息安全意识不强等原因下,信息安全逐渐被工程建设所忽视,信息泄露不仅会工程项目管理系统正常使用造成影响,更会对项目各方造成巨大损失。
关键词:信息安全;工程项目管理系统;加密技术;
一、引言
随着数字经济的不断发展,工程项目管理信息化进程的不断推进,对信息安全也提出了更高的要求,一方面,数字经济与各实体领域的融合渗透,使得网络安全的基础保障作用与发展驱动效应,关系到数字经济发展的根本;另外一方面,爆炸式增长的海量数据资源的开放与共享成为数字经济时代的一把双刃剑[1];
二、工程项目管理系统中的信息安全
2.1 信息安全技术概述
信息安全技术是为保证信息的完整性、可用性、机密性、系统稳定性而采取的技术措施,其中完整性是保证资源的准 确性和完备性,可用性即被授权的实体可根据需要随时访问 与使用,机密性即信息不泄露给未经授权的实体、个体、过程, 系统稳定性即抵御病毒对系统的侵害,或是恶意代码的攻击, 防止系统因出现故障问题而造成的重要信息流失,及有害信息的恶意传播,确保系统得以安全正常的工作。信息安全涉 及范围较广,包括攻击、防范、检测、控制、管理、评估等领 域的基础理论和实施技术,随着网络信息化的不断发展,当 前的信息安全已从单一层次的安全发展成为多层次的立体安全。信息安全技术是随着信息时代的发展而不断发展的,其 主要技术包括防火墙技术、信息保密技术、入侵检测技术、软 件防护技术、数字签名技术、密码技术、防病毒技术、可信计算技术、专用网技术、安全扫描技术等[2]。
2.2 工程项目信息安全需求
目前工程项目管理行业正在逐步由传统的文本化管理逐渐过渡为数字化、信息化管理,相比传统管理手段,工程设计与工程建设等关键信息,需经过专业领导同意后,方能对外公布,但随着信息化与是数字化的不断加快,越来越多的信息必须预先放置到数据库中,由信息管理系统权限设置与审批流程对数据进行分类管理与流转,在此过程中,一旦信息被窃取,所有的数据对于工程项目来说就相当于放置到了互联网上,因此工程项目管理系统的信息安全显得尤为重要。
2.3加密方法介绍
目前传统的加密方法很多,按照加密方式与原理主要分为对称加密与非对称加密;
对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。其代表算法主要有AES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法,IDEA算法。
非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反,使用乙方的公钥对数据进行加密,同理,乙方使用自己的私钥来进行解密。
非对称密码体制的特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全,而非对称密钥体制有两种密钥,其中一个是公开的,这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。其主要的代表有RSA、Elgamal、背包算法、Rabin、D-H等算法。
2.4 混合加密方法
工程项目管理系统中,需要加密的主要为流程数据、用户信息等敏感数据,其中流程数据是传输频率高、数据安全极其容易被破坏或窃取,因此本文在借鉴对称与非对称加密的特点的基础上,研究并使用一种混合加密的方式,即利用对称加密算法AES的高效率、速度快、计算量小等特点,对需要传输的大量流程数据进行加密,这样会节省大量的处理时间,提高系统使用的流畅度;同时为了增强对称加密算法秘钥的安全程度,再利用非对称加密算法RSA对AES秘钥进行加密,由于RSA加密算法复杂,加密速度慢,不适用于对大量数据进行加密处理,适用于对位数较小的秘钥进行加密,这样数据加密方将明文使用AES加密算法的秘钥K进行加密,然后再使用RSA算法的公钥对AES算法的秘钥K进行加密,最终得到加密后的秘钥与加密后的秘文,通过网络传输给接受方;接收方通过RSA对应的私钥对秘钥进行解密,获取AES秘钥,然后使用AES秘钥对加密信息进行解密,获取明文,完成信息的传输。
在实际工程项目管理系统中,用户登录之前,需要先获取服务器的RSA公钥,并将其记录在浏览器缓存空间中,对用户名、用户密码、用户流程信息进行加密与解密处理,完成工程项目管理系统相关数据的安全传输。
三、总结与未来发展
本文从工程项目管理系统信息安全的角度,提出当前数字经济时代的信息安全问题,通过简述工程项目管理现状,阐述信息安全问题的重要性;然后又通过加密方法介绍与原理剖析,提出混合加密方法更适用于工程项目管理系统,以保障信息传输的安全,根据工程项目系统实际建设与使用情况,仍可看出信息安全意识与信息安全手段需要亟待加强,其具体总结如下:
(1)项目管理系统用户信息是用户泄露系统信息的重要方式,因此除了加强信息网络传输安全外,还需要加强信息安全意识,目前项目现场仍存在系统账号随意透露、密码安全性不强、修改密码方式原始等现象,因此加强安全意识培养是信息安全技术应用的前提。
(2)工程项目管理系统众多,供应厂商鱼龙混杂,在只追求效益的今天,越来越多的项目只注重项目管理效益,其中不乏很多重大国家级项目。本文只是借鉴传统加密算法的优势,利用混合加密方式解决信息传输的简单问题,但是对于加密要求较高的工程项目管理系统,还需要利用更复杂的机密组合技术实现,例如使用MD5加密对所有传输的信息进行加密验证,可以很好的解决信息被篡改等情况的发生。
除此之外,当前数据专线加密链路从信息传输的底层实现了信息的安全传输,相信越来越多的信息安全手段会被利用到工程项目管理行业。
参考文献
[1]彭志艺.网络空间安全蓝皮书[M].中国网络空间安全发展报告(2019),社会科学文献出版社[2]吴晓东.信息安全技术在工程项目管理中的应用[J].中国战略新兴产业,2017(16).