楊鵬

摘 要：當(dāng)今社會(huì)由于網(wǎng)絡(luò)的普及，越來(lái)越多信息網(wǎng)絡(luò)通過(guò)網(wǎng)絡(luò)傳遞，網(wǎng)絡(luò)是一個(gè)公開的環(huán)境，不法分子可能會(huì)攔截、偷聽網(wǎng)絡(luò)封包，組織信息網(wǎng)絡(luò)安全因而變得越來(lái)越需要被重視，本文期待經(jīng)由對(duì)信息安全基本觀念的闡述，能讓讀者對(duì)信息網(wǎng)絡(luò)安全及加密方式有進(jìn)一步的了解。

關(guān)鍵詞：網(wǎng)絡(luò)科技發(fā)展 信息 安全管理

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）01（b）-0030-01

1 網(wǎng)絡(luò)科技安全發(fā)展現(xiàn)狀與概念解析

1.1 現(xiàn)狀

21世紀(jì)是電腦網(wǎng)絡(luò)科技的世紀(jì)，信息借助網(wǎng)絡(luò)傳輸既快速且無(wú)遠(yuǎn)弗屆的流通與交換，孕育出全球化社會(huì)。進(jìn)入信息化社會(huì)，國(guó)與國(guó)之間的信息戰(zhàn)也越演越烈，隨著網(wǎng)絡(luò)的普及化，信息安全的重要性更加凸顯。提升政府單位信息安全防御能力，便成當(dāng)務(wù)之急的工作。信息安全維護(hù)旨在確保信息的機(jī)密性、完整性與可用性，我們應(yīng)當(dāng)落實(shí)最佳安全實(shí)務(wù)準(zhǔn)則及縱深防御策略，以因應(yīng)信息網(wǎng)絡(luò)安全的威脅。有鑒余此，無(wú)論是防護(hù)機(jī)制建立、法令規(guī)范修訂、教育培訓(xùn)與人才培養(yǎng)，均須落實(shí)執(zhí)行。近期目標(biāo)式攻擊越來(lái)越盛行，黑客不直接攻擊目標(biāo)組織而采用迂回的“水坑式”攻擊，從目標(biāo)對(duì)象常去的網(wǎng)站著手，所有合法網(wǎng)站都有可能因?yàn)槁┒闯蔀楣籼?，網(wǎng)站被黑原因很多，SQL injection，XSS網(wǎng)頁(yè)安全問(wèn)題就可以讓黑客一再得逞。而DDoS攻擊威脅存在已久，近年來(lái)的變化速度也越來(lái)越快，黑客利用網(wǎng)絡(luò)協(xié)定所存在的漏洞，將各種網(wǎng)絡(luò)設(shè)備變成殭尸電腦的一份子，例如：打印機(jī)、路由器、網(wǎng)絡(luò)攝像頭，再利用它們發(fā)動(dòng)大規(guī)模DDoS攻擊，或是竊取里面的資料。日前韓國(guó)攻擊事件以及美聯(lián)社Twitter賬號(hào)被盜等信息安全事件對(duì)當(dāng)?shù)卦斐晒墒写蟮⒂绊懡鹑谏鐣?huì)秩序等重大沖擊。隨著APT攻擊的盛行，對(duì)于未知威脅的偵測(cè)能力也受到重視。因此，RSA信息安全廠商的SIEM將由原本的enVision平臺(tái)轉(zhuǎn)換為收購(gòu)來(lái)的NetWitness平臺(tái)，名為Security Analytics，除了將log收錄之外其全封包深度分析與鑒別功能是為最大特色。

1.2 概念

三個(gè)概念構(gòu)筑著信息網(wǎng)絡(luò)安全最基本的基石。分別是機(jī)密性、完整性、可使用性。一是機(jī)密性。主張信息網(wǎng)絡(luò)只能提供予有權(quán)取用的人或組織，無(wú)論通過(guò)語(yǔ)音、文件、E-mail、復(fù)制等任一種形式，只要信息網(wǎng)絡(luò)揭露給未授權(quán)的人員組織，就破壞了機(jī)密性。二是完整性，也即主張信息網(wǎng)絡(luò)必須可被信任為是正確且完整的。這包含了三個(gè)重要的信息：“正確”代表信息沒有被更動(dòng)過(guò)，也沒有錯(cuò)誤；“完整”代表信息沒有遺漏或被裁剪；“可被信任”代表取得信息者可以被信任。若信息遭到非屬授權(quán)的更動(dòng)，無(wú)論有意或無(wú)意，即破壞信息網(wǎng)絡(luò)的完整性。三是可使用性，也即主張負(fù)責(zé)信息網(wǎng)絡(luò)的系統(tǒng)或組織，必須在授權(quán)使用者需要時(shí)，提供正確無(wú)誤的需求信息。在信息網(wǎng)絡(luò)系統(tǒng)中，例如資料儲(chǔ)存媒體損毀、阻斷服務(wù)攻擊，都屬破壞可使用性。其中，阻斷服務(wù)攻擊就是使服務(wù)中斷的攻擊行動(dòng)。例如，傳送大量的封包造成提供信息主機(jī)超過(guò)負(fù)荷而當(dāng)機(jī)或損毀等。

2 組織信息網(wǎng)絡(luò)安全設(shè)計(jì)的完整性

一是信息網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)管理。信息安全管理的目標(biāo)，在于厘清界定組織中的信息資產(chǎn)，并且建立及實(shí)行政策、準(zhǔn)則、程序、指引，以確保信息網(wǎng)絡(luò)的可用性、完整性及機(jī)密性。實(shí)行時(shí)，可借助適當(dāng)?shù)墓芾砉ぞ呋蚍椒?，例如風(fēng)險(xiǎn)評(píng)估、信息安全觀念的培訓(xùn)等，協(xié)助找出潛在威脅、分類信息安全資產(chǎn)及評(píng)估各資產(chǎn)的弱點(diǎn)。

二是安全架構(gòu)與設(shè)計(jì)。建立一個(gè)安全的系統(tǒng)架構(gòu)及模型，可以增進(jìn)信息網(wǎng)絡(luò)的可用性、完整性及機(jī)密性。包括整體的網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)、設(shè)備、軟硬件、作業(yè)系統(tǒng)等，都應(yīng)該要構(gòu)筑在一個(gè)安全架構(gòu)之下。

三是存取控制。存取控制包含實(shí)體環(huán)境的出入管制及信息網(wǎng)絡(luò)系統(tǒng)的存取管控。須先了解有哪些存取管控的方法，以及了解整體系統(tǒng)的可能存取途徑及可能借以入侵的渠道，才能設(shè)計(jì)良好的存取控制。

四是應(yīng)用程序安全。在設(shè)計(jì)及開發(fā)應(yīng)用系統(tǒng)時(shí)，就應(yīng)當(dāng)妥適地納入信息網(wǎng)絡(luò)安全的考量。即充分了解運(yùn)用在各式應(yīng)用系統(tǒng)上重要的信息安全觀念，從而設(shè)計(jì)出符合信息安全原則的應(yīng)用系統(tǒng)。

五是操作安全。這個(gè)安全管控機(jī)制，首要目標(biāo)除了確保信息能在需要的時(shí)刻提供給授權(quán)者，還必須確保信息網(wǎng)絡(luò)不會(huì)被未經(jīng)授權(quán)者使用或更動(dòng)。

六是實(shí)體安全。實(shí)體環(huán)境中，除了整個(gè)設(shè)施機(jī)構(gòu)的周邊外，包括辦公室環(huán)境、信息儲(chǔ)放設(shè)備所在及機(jī)房空間等，都要考量到如何維護(hù)信息網(wǎng)絡(luò)安全。

七是通訊及網(wǎng)絡(luò)安全。網(wǎng)絡(luò)是個(gè)開放的資料交換環(huán)境，隨時(shí)都有人可能通過(guò)各種手法監(jiān)聽或接觸到在上面流通的信息。當(dāng)系統(tǒng)必須通過(guò)這個(gè)開放渠道傳遞或交換信息時(shí)，必須要考量到安全的問(wèn)題。

八是業(yè)務(wù)持續(xù)性與災(zāi)害復(fù)原。為建立良好的信息網(wǎng)絡(luò)安全，組織必須建立持續(xù)的改善與應(yīng)變計(jì)劃。這個(gè)計(jì)劃應(yīng)至少包含信息安全問(wèn)題的持續(xù)監(jiān)測(cè)、回應(yīng)及改善的方針，以使組織的信息安全環(huán)境能日趨成長(zhǎng)完備。

九是法律、規(guī)章、遵循性與調(diào)查。了解電腦及網(wǎng)絡(luò)犯罪的相關(guān)法律知識(shí)，有助于在遭受信息安全相關(guān)威脅及侵害時(shí)，可以較迅速的反應(yīng)。故要導(dǎo)入信息網(wǎng)絡(luò)安全時(shí)，對(duì)于相關(guān)的法律或規(guī)范，應(yīng)當(dāng)也要有足夠的認(rèn)識(shí)。

3 系統(tǒng)應(yīng)用對(duì)稱與非對(duì)稱式加密

加密過(guò)程至少包含以下元素：明文、加密演算法、加密鑰匙及密文。明文代表未加密內(nèi)容，密文代表加密后內(nèi)容，演算法代表加密規(guī)則、鑰匙代表加密時(shí)所要定義的參數(shù)。以替代加密法的例子為例，選定凱撒加密法為演算法，而決定字母要位移幾位，就是鑰匙，加解密雙方都必須知道這隻鑰匙，才能順利加解密。在加密法強(qiáng)固到難以破解后，鑰匙的交換與保護(hù)，便成為重要課題。無(wú)論資料如何加密保護(hù)，鑰匙的傳遞，除了雙方面交之外，都必須曝露在相對(duì)公開的環(huán)境下傳送，非對(duì)稱式加密，即是為了解決這樣的困境而誕生的。

非對(duì)稱式加密的原理，即為加密與解密使用一組不同且配對(duì)的鑰匙。先以兩個(gè)人—— 甲跟乙來(lái)說(shuō)明。在非對(duì)稱式加密中，每個(gè)人都有兩把鑰匙，一把稱為私密金鑰（private key），須留在自己身邊，不可透露給任何人，另一把稱為公開金鑰（public key），可公開散布，不須保密，因此，非對(duì)稱式加密又稱為公開金鑰加密。假設(shè)甲要寫信給乙，首先須取得乙的公開金鑰，由于公鑰不是秘密，乙大可通過(guò)網(wǎng)絡(luò)寄給甲，甲用乙的公鑰對(duì)信件加密，再寄給乙，這封加密信即使被偷看，也因偷窺者沒有乙的私鑰，而無(wú)法解讀，乙收到信后用私鑰解密，即可看到信件內(nèi)容。

當(dāng)然，非對(duì)稱式加密雖然安全，但由于演算法復(fù)雜，與對(duì)稱式加密相較，加密所費(fèi)時(shí)間拉長(zhǎng)許多，為顧及效率，實(shí)際上加密作業(yè)會(huì)綜合這兩種技術(shù)。以對(duì)稱式加密，加密本文，再以非對(duì)稱的公鑰，加密對(duì)稱式鑰匙，該方法即可加快文件加密的效率，也可解決鑰匙傳遞的安全問(wèn)題，著名的RSA，以及DH、Elgamal、DSA等，均屬目前較常見的非對(duì)稱式加密法。

參考文獻(xiàn)

[1] 黃發(fā)文，徐濟(jì)仁，陳家松.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)初探[J].計(jì)算機(jī)應(yīng)用研究，2002（5）.

[2] 廉士珍.計(jì)算機(jī)網(wǎng)絡(luò)通信安全中關(guān)于數(shù)據(jù)加密技術(shù)的應(yīng)用分析[J].硅谷，2011（19）.endprint