吳 晶

(江西省電子信息工程學(xué)校，江西 南昌 330096)

0 引言

無(wú)論是計(jì)算機(jī)病毒擴(kuò)散還是網(wǎng)絡(luò)黑客攻擊，諸如此類的計(jì)算機(jī)網(wǎng)絡(luò)犯罪都已經(jīng)覆蓋了人們生活的多個(gè)方面。網(wǎng)絡(luò)信息本身面臨著非法篡改、插入、刪除的可能性，信息的完整程度也因此受到了嚴(yán)重影響。網(wǎng)絡(luò)信息安全問題已經(jīng)是人們經(jīng)常需要面對(duì)的問題，與之對(duì)應(yīng)的安全措施也應(yīng)該全方位地針對(duì)不同的威脅和漏洞特點(diǎn)來(lái)維持信息的安全性與可靠性，這也是網(wǎng)絡(luò)信息安全技術(shù)管理應(yīng)用的主要手段。

1 網(wǎng)絡(luò)信息安全技術(shù)管理的應(yīng)用

1.1 密碼協(xié)議

密碼協(xié)議技術(shù)本身是一種安全協(xié)議基礎(chǔ)上的密碼方案，是建立在現(xiàn)有密碼體制基礎(chǔ)上的交互式通信方案，借助于現(xiàn)有的密碼算法來(lái)實(shí)現(xiàn)密鑰分配和身份認(rèn)證的目的。總體而言，密碼協(xié)議是一種使用密碼學(xué)的協(xié)議，密碼技術(shù)則圍繞構(gòu)建密碼協(xié)議的基本工具展開。從密碼協(xié)議的基本功能來(lái)看，它包括會(huì)話密鑰的構(gòu)建、實(shí)體認(rèn)證、密鑰分配等，其作用在于保證所分發(fā)的密鑰實(shí)體是可以預(yù)期的，這樣一來(lái)復(fù)雜的密碼協(xié)議才具有安全通信等多個(gè)方面的功能。

按照計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)對(duì)于密碼服務(wù)功能的現(xiàn)實(shí)需求，密碼協(xié)議可以被劃分為密鑰分配協(xié)議和加密協(xié)議等。如果從其基本功能來(lái)看，則可以將比較簡(jiǎn)單的密碼協(xié)議進(jìn)行不同類型的劃分[1]。

首先是交換協(xié)議，即參與協(xié)議的多個(gè)實(shí)體之間建立共享密鑰，一方面可以在通信中進(jìn)行會(huì)話管理，另一方面也可以采用對(duì)稱密鑰密碼的方式來(lái)進(jìn)行傳送、分配和協(xié)商，雙方實(shí)體本身會(huì)各自提供數(shù)據(jù)并經(jīng)過運(yùn)算而產(chǎn)生密鑰。因?yàn)槊荑€本身不需要進(jìn)行傳送。

其次是認(rèn)證協(xié)議。認(rèn)證協(xié)議類型包括實(shí)體的身份認(rèn)證協(xié)議和消息認(rèn)證協(xié)議，其作用在于避免信息受到篡改和否認(rèn)。通常來(lái)說(shuō)認(rèn)證協(xié)議可以采取非對(duì)稱密碼技術(shù)，并按照協(xié)議中的密碼算法類型差異劃分為非對(duì)稱密碼認(rèn)證協(xié)議和單項(xiàng)函數(shù)認(rèn)證協(xié)議，按照協(xié)議參與到實(shí)體數(shù)目當(dāng)中。如果按照認(rèn)證方向的不同，則可以劃分為單向認(rèn)證協(xié)議和雙向認(rèn)證協(xié)議。某些復(fù)雜的協(xié)議內(nèi)容還可以根據(jù)應(yīng)用目的的差異劃分為電子商務(wù)或群密鑰類型等。

總體而言密碼體制被劃分為兩種類型，一種是對(duì)稱密碼體制，即單鑰密碼體制，主要功能是為數(shù)據(jù)加密提供技術(shù)手段，但也可以將其應(yīng)用在簡(jiǎn)單的消息認(rèn)證環(huán)節(jié)中。例如現(xiàn)有的口令認(rèn)證系統(tǒng)中就可以通過這一手段來(lái)有效地對(duì)用戶身份進(jìn)行認(rèn)定，但需要綜合考慮密鑰管理的相關(guān)問題，特別是在復(fù)雜的網(wǎng)絡(luò)通信條件之下如何進(jìn)行合理規(guī)劃。當(dāng)然，即便密碼算法再優(yōu)秀，系統(tǒng)本身還會(huì)面臨著一些安全問題，其保密強(qiáng)度能否維持較高的水準(zhǔn)也至關(guān)重要。與之相比，公鑰密碼體制則讓每個(gè)用戶都擁有一個(gè)加密密鑰和對(duì)應(yīng)的解密密鑰，將加密和解密能力進(jìn)行了區(qū)分，可以實(shí)現(xiàn)多個(gè)用戶的加密或解密，還可以提供數(shù)字簽名、認(rèn)證功能，也為密碼學(xué)的發(fā)展提供了關(guān)鍵的理論技術(shù)和技術(shù)支持[2]。

1.2 入侵管理檢測(cè)

入侵檢測(cè)系統(tǒng)即計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中的關(guān)鍵點(diǎn)手機(jī)信息后進(jìn)行的相關(guān)問題，從中掌握網(wǎng)絡(luò)和系統(tǒng)當(dāng)中是否有違反安全策略的行為存在。入侵檢測(cè)系統(tǒng)的構(gòu)建也能夠促進(jìn)入侵檢測(cè)功能的完善，作為一種非常有效的安全管理工具，它可以從不同的角度和不同的資源層次收集有關(guān)信息，然后反映出有哪些信息出現(xiàn)了異?；蚴潜徽`用。在對(duì)監(jiān)測(cè)行為做出自動(dòng)反應(yīng)之后，就可以采取更加系統(tǒng)和完善的安全策略來(lái)對(duì)收集的狀態(tài)信息展開分類處理，系統(tǒng)地判斷出入侵行為和非入侵行為。

整個(gè)入侵檢測(cè)系統(tǒng)的功能包括對(duì)用戶、系統(tǒng)的活動(dòng)進(jìn)行監(jiān)督，然后分析整個(gè)系統(tǒng)當(dāng)中是否有漏洞存在。這樣一來(lái)關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的特征也可以得到識(shí)別，一旦出現(xiàn)比較反常的行為模式，那么整個(gè)操作系統(tǒng)就可以通過校驗(yàn)和管理的方式判斷系統(tǒng)行為是否會(huì)存在安全隱患，是否會(huì)影響到正常的用戶活動(dòng)。如一個(gè)良好的入侵檢測(cè)系統(tǒng)可以發(fā)揮效果，系統(tǒng)管理人員不僅可以隨時(shí)了解網(wǎng)絡(luò)系統(tǒng)存在的變更情況，還可以以此為基礎(chǔ)修訂網(wǎng)絡(luò)安全策略，入侵檢測(cè)的規(guī)模會(huì)根據(jù)實(shí)際的網(wǎng)絡(luò)威脅程度和安全需求做出調(diào)整。換言之，入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵之后應(yīng)及時(shí)地做出相應(yīng)，包括對(duì)網(wǎng)絡(luò)連接的斷開和事件的記錄等。系統(tǒng)構(gòu)成包括信息模塊、分析模塊和用戶接口模塊[3]。

信息模塊是入侵檢測(cè)系統(tǒng)的首要工作，包括對(duì)系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)和活動(dòng)的狀態(tài)行為分析。整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)在收集完信息之后還應(yīng)該盡可能地?cái)U(kuò)大檢測(cè)范圍，并且獲取某些可疑的信息源。分析模塊則用于統(tǒng)計(jì)分析和完整性分析，統(tǒng)計(jì)在系統(tǒng)正常使用時(shí)的某些測(cè)量屬性，屬性的平均值信息將會(huì)被用于比較系統(tǒng)行為。當(dāng)觀察值在正常值范圍之外時(shí)就可以判定有入侵行為的產(chǎn)生。從完整性分析的角度來(lái)看，在關(guān)注某些文件和對(duì)象的具體信息時(shí)也會(huì)涉及文件和目錄的內(nèi)容和屬性，在一些應(yīng)用程序被篡改時(shí)的效果比較顯著。而入侵檢測(cè)系統(tǒng)的用戶接口可以觀察到系統(tǒng)的輸出信號(hào)，然后對(duì)系統(tǒng)行為展開控制。

1.3 數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)

信息安全的重要性顯而易見，但數(shù)據(jù)傳輸和數(shù)據(jù)交換的過程當(dāng)中本身會(huì)有信息故障的可能性，如果沒有采取有效的數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)手段，就有可能導(dǎo)致數(shù)據(jù)的丟失從而威脅到數(shù)據(jù)安全，造成系統(tǒng)失效。硬盤驅(qū)動(dòng)器的損壞、人為失誤或來(lái)自外部因素的入侵都會(huì)導(dǎo)致此類事故的出現(xiàn)。當(dāng)然，數(shù)據(jù)備份就可以成為保護(hù)數(shù)據(jù)的最后一道“屏障”，以便在數(shù)據(jù)受到意外損害時(shí)可以得到恢復(fù)，將損失降到最低?？傮w而言數(shù)據(jù)備份是為了加強(qiáng)數(shù)據(jù)的可用性與安全性，在出現(xiàn)災(zāi)害性事故時(shí)也可以將已經(jīng)備份完成的數(shù)據(jù)進(jìn)行應(yīng)用恢復(fù)。

一個(gè)完整的數(shù)據(jù)備份系統(tǒng)應(yīng)該包括多個(gè)方面，包括本地系統(tǒng)、數(shù)據(jù)安全系統(tǒng)和遠(yuǎn)程備份系統(tǒng)等。以本地的備份系統(tǒng)來(lái)說(shuō)，可以被應(yīng)用于關(guān)鍵數(shù)據(jù)的追蹤和分析，確保備份數(shù)據(jù)能夠和關(guān)鍵數(shù)據(jù)一起用于同步和更新，確保本地的關(guān)鍵數(shù)據(jù)產(chǎn)生損壞后能夠在最短時(shí)間內(nèi)得到恢復(fù)。目前遠(yuǎn)程備份數(shù)據(jù)技術(shù)已經(jīng)得到了廣泛應(yīng)用，可以保障數(shù)據(jù)損壞時(shí)能夠快速地得到恢復(fù)。從主流模式來(lái)看，無(wú)論是硬件數(shù)據(jù)備份還是軟件數(shù)據(jù)備份，都需要考慮到安全性問題。同步方式和異步方式在數(shù)據(jù)處理方面也可能會(huì)受到網(wǎng)絡(luò)環(huán)境的影響。所以整體的體系架構(gòu)至關(guān)重要。目前DAS存儲(chǔ)、NAS存儲(chǔ)、SAN存儲(chǔ)等都可以發(fā)揮應(yīng)有的作用。

這里以基于索引的文件備份方案為例，基于索引的文件備份模式即對(duì)服務(wù)器中的文件進(jìn)行排序和鑒別，讓一個(gè)副本對(duì)應(yīng)一個(gè)文件實(shí)現(xiàn)空間節(jié)約的目的，如圖1所示。

圖1 文件存儲(chǔ)單副本

1.4 RSA廣播加密

RSA廣播加密系統(tǒng)本身是一種允許數(shù)據(jù)供應(yīng)商把數(shù)據(jù)內(nèi)容通過廣播信道進(jìn)行安全分發(fā)的機(jī)制，能夠讓所有的用戶獲得信息密鑰，并且將信息進(jìn)行接收?，F(xiàn)代多媒體業(yè)務(wù)的普及和發(fā)展讓廣播加密得到了非常廣闊的應(yīng)用?？紤]到實(shí)際應(yīng)用情況，可以得到兩種不同情況下的加密和廣播方案。一種是廣播中心直接對(duì)數(shù)據(jù)進(jìn)行加密，并且計(jì)算密文將其廣播出去；另一種則是應(yīng)用傳統(tǒng)的對(duì)稱加密函數(shù)，將其作為解密函數(shù)對(duì)數(shù)據(jù)內(nèi)容展開加密處理。如果廣播中心要把數(shù)據(jù)內(nèi)容安全地發(fā)送給授權(quán)用戶，則需要進(jìn)行后續(xù)的操作控制好信息報(bào)頭。

涉及相同文件的識(shí)別和分析時(shí)就應(yīng)考慮到有哪些因素會(huì)導(dǎo)致文件的丟失情況。本文用此類參數(shù)作為判定依據(jù)，即文件的類型、文件大小、文件修改時(shí)間和校驗(yàn)值等內(nèi)容。當(dāng)這些參數(shù)完全相同時(shí)則可以被認(rèn)為是同一種類型的文件。可以先對(duì)備份文件進(jìn)行索引和分類后再按照文件類型的順序進(jìn)行排序。備份的文件在一段時(shí)間后可能需要進(jìn)行更新，并且整個(gè)文件的備份過程要將對(duì)應(yīng)的文件放入不同的文件夾當(dāng)中[4]。

在現(xiàn)有的研究中也提到了最小存儲(chǔ)開銷的廣播加密方案，可以在保持開銷不發(fā)生改變的前提下縮小用戶的存儲(chǔ)開銷。很多相關(guān)內(nèi)容中也涉及基于身份信息進(jìn)行加密的存儲(chǔ)開銷、傳輸開銷方案。基于RSA加密體制并選擇樹形結(jié)構(gòu)分配后，就可以追蹤系統(tǒng)中哪些是惡意共享內(nèi)容并且定位用戶的“合法性”。作為一種應(yīng)用廣泛的密碼算法，RSA密碼體制模式下可以縮小計(jì)算量和運(yùn)算效率，保護(hù)數(shù)據(jù)的安全性[5-6]。

2 結(jié)語(yǔ)

現(xiàn)代網(wǎng)絡(luò)技術(shù)手段的快速普及，使得網(wǎng)絡(luò)安全問題成為一個(gè)在信息時(shí)代必須解決的問題。網(wǎng)絡(luò)安全措施需要一個(gè)完善的體系來(lái)構(gòu)建的，并針對(duì)不同類型的威脅和漏洞根據(jù)他們的完善度進(jìn)行有效區(qū)分，才能確保網(wǎng)絡(luò)信息的可靠性和實(shí)用性。所以，建立相應(yīng)的安全模型、密碼協(xié)議、入侵檢測(cè)技術(shù)和數(shù)據(jù)備份方案之后就可以將廣播加密系統(tǒng)、文件備份系統(tǒng)的技術(shù)優(yōu)勢(shì)進(jìn)行應(yīng)用，讓改造后的系統(tǒng)可以在檢測(cè)速度、質(zhì)量等方面有所改進(jìn)和優(yōu)化。安全策略的制定不僅包括實(shí)體元素的安全等級(jí)，還包括安全服務(wù)互動(dòng)機(jī)制的有關(guān)內(nèi)容，每個(gè)安全策略都應(yīng)該包含身份信息管理、訪問管理和通信管理等，同時(shí)在安全恢復(fù)響應(yīng)方面發(fā)揮作用，選擇不同的技術(shù)方法。