信息網(wǎng)絡安全機制的研究與應用

摘要:網(wǎng)絡信息安全問題的重要性日益凸現(xiàn)。全文首先介紹了以信息為中心的網(wǎng)絡安全策略，指出其與傳統(tǒng)的網(wǎng)絡安全側(cè)重點的不同。隨后從四個方面介紹了如何建設信息網(wǎng)絡安全機制:網(wǎng)絡信息加密與解密，登陸認證控制，多級訪問控制，信息網(wǎng)絡安全技術(shù)措施等。

關(guān)鍵詞:網(wǎng)絡信息 信息安全 安全機制

0 引言

信息安全不僅要保證其在本地的存儲安全，還需要保證其在網(wǎng)絡傳輸中的安全。因此設計一套完整的安全機制，如登錄認證、多級訪問控制、密鑰管理、審計等機制實現(xiàn)信息從儲存、傳輸、接收各個環(huán)節(jié)的安全控制具有非常的現(xiàn)實意義。

1 以信息為中心的網(wǎng)絡安全策略

網(wǎng)絡作為信息傳遞的重要途徑，使得網(wǎng)絡安全已經(jīng)從傳統(tǒng)的系統(tǒng)安全轉(zhuǎn)移到信息本身的安，因為前者更多的關(guān)注整個網(wǎng)絡系統(tǒng)及子系統(tǒng)、計算機或應用系統(tǒng)的安全性，即系統(tǒng)以及所提供服務的穩(wěn)定性和可靠性，而后者則以涉及到對個人、家庭、企業(yè)、國家等具有重要意義的數(shù)據(jù)層面上，它強調(diào)更細粒度的控制。伴隨著TCP/IP協(xié)議群在互聯(lián)網(wǎng)上的廣泛采用，計算機、通信、網(wǎng)絡技術(shù)的發(fā)展，因特網(wǎng)的互聯(lián)性、開放性、國際性、自由性、共享性在帶給人們生活巨大便利的同時，也讓信息暴露在人們面前，因為開放性的網(wǎng)絡其技術(shù)必然是全開放的，它所面臨的破壞和攻擊也是多方面的[1]。因此，建立以信息為中心的網(wǎng)絡安全機制是業(yè)界普遍關(guān)注的問題，它涉及到信息傳輸(如數(shù)據(jù)加密、信息完整性鑒別)、存儲(如數(shù)據(jù)庫和終端安全)以及對網(wǎng)絡傳輸信息內(nèi)容的審計、用戶識別(如內(nèi)容審計、密鑰、口令、指紋、視網(wǎng)膜、聲音、智能卡、令牌卡)等方面，其目的是保證信息的保密性、完整性、可用性、可控性，讓有可能被侵犯或破壞的機密信息不被外界非法操作者的控制。

2 信息網(wǎng)絡安全機制建設

信息網(wǎng)絡安全機制建設可以從以下幾方面進行:

2.1 網(wǎng)絡信息加密與解密 網(wǎng)絡信息在傳遞過程中，要經(jīng)過眾多網(wǎng)絡安全節(jié)點，如防火墻、路由器、交換機、終端機等，在存儲轉(zhuǎn)發(fā)的過程中容易造成信息泄露、失真等，因此對網(wǎng)絡信息進行加密是保證網(wǎng)絡通信安全的基礎(chǔ)。①RC4流密碼算法。它由兩部分組成，KSA和PRGA。前者用于完成對大小為256的字節(jié)數(shù)組的初始化及替換，其密鑰長度一般取5~16個字節(jié)，即40~128位。如對于數(shù)組S，它可以通過對j的賦值，即重復使用密鑰j=(j+S[i]+key[i%keylength])%256，以及swap(s[i]，s[j]實現(xiàn)兩者的信息交換。但是這并不足以保證信息安全，因此繼續(xù)使用PRGA(偽隨機密鑰產(chǎn)生算法)，對每個s[i]，根據(jù)當前的s值，將S[i]與S中的另一字節(jié)置換，如此循環(huán)。②RSA算法，該算法是第一個能同時用于加密和數(shù)字簽名的算法，它被認為是目前最優(yōu)秀的公鑰方案之一。其過程如下:a選取兩個長度一樣的大素數(shù)p和q，且n=p*q，其中n為模。b計算歐拉函數(shù)φ(n)=(p-l)*(q-l)，選取加密密鑰e，其與φ(n)互素，常用的e值為3、17、65537等。c使用擴展歐幾里德算法求出e模φ(n)的逆元d，即ed=1modφ(n)。由此公鑰為e和n，私鑰為d，p和q可以丟棄，但是必須保密。d對S信息加密時，將其看成一個大整數(shù)，并把它分成比n小的數(shù)據(jù)分組，按公式ci=siemodn，解密時針對Ci，且mi=cidmodn[2]。由此可見，該算法比較依賴于大整數(shù)因子分解，如果密鑰位數(shù)不夠長，那么通過計算機技術(shù)進行解密的時間會隨著技術(shù)的提高而縮短，威脅性也就越大。

2.2 登陸認證控制 傳統(tǒng)上的登錄認證都采取以下幾種方式:“用戶名+密碼”認證，通過提問認證，根據(jù)用戶的生物特征認證(如指紋、視網(wǎng)膜、聲音等)，根據(jù)用戶擁有什么認證(如銀行系統(tǒng)采用的口令卡、U盾，門禁系統(tǒng)的準入卡等)。各種方法各有優(yōu)劣，但是根據(jù)用戶所有進行認證的方式相對更加安全，而且通過電子系統(tǒng)使用多種方式實現(xiàn)。本文提出將“用戶名+密碼”認證與動態(tài)口令認證相結(jié)合的方式作為網(wǎng)絡信息登錄認證的控制機制。其基本思想是:讓系統(tǒng)在每次認證過程中獲得一個隨機數(shù)，并根據(jù)隨機數(shù)生成動態(tài)口令。具體實現(xiàn)過程如下:系統(tǒng)首先為每個用戶生成一套RSA加密算法的公鑰和私鑰，公鑰存儲在存儲卡上，用戶則掌管自己的私鑰，登陸時，系統(tǒng)會按照一定的加密算法將公鑰發(fā)給用戶，而用戶則通過一定的手持設備，對公鑰進行解密，然后實現(xiàn)登陸。這種方法有以下優(yōu)點:口令是動態(tài)的，極大的增加了被截取的難度;存儲在系統(tǒng)中的只是公鑰，要登陸系統(tǒng)必須獲取到相關(guān)的私鑰信息，而私鑰設備一般有持有人所保持。

2.3 多級訪問控制 網(wǎng)絡信息的重要程度是不同的，訪問信息的主體其權(quán)限也是不相同的，因此設定多級訪問控制權(quán)限是非常必要的。本文提出兩種多級訪問控制體系:①基于數(shù)據(jù)庫的多級權(quán)限限制，其基本思想是將人的權(quán)限分為金字塔型，并通過數(shù)據(jù)庫的多級規(guī)則實現(xiàn)控制，但是其本身對信息沒有分級。在這種模式下人的權(quán)限是通過疊加的二實現(xiàn)的。如在某個信息系統(tǒng)中，對某個確定的信息，其實現(xiàn)規(guī)則如下:從開發(fā)級別對該信息進行限制，即對任何人都是不可見的，只要保證了數(shù)據(jù)庫本身的安全，那么這些信息將被過濾;從功能級別對該信息進行限制，但是允許開發(fā)人員可見，信息的使用者則被忽視;職務級限制，這是使用較多的一種限制方法，本質(zhì)上它是基于角色的訪問控制，即多個人擁有同樣的角色，同一個角色可以查看同樣的信息，其好處就在于對同樣安全級別的人不用多次授權(quán)，主體通過角色享有權(quán)限，它不直接與權(quán)限相關(guān);最后是通過人員進行限制，即直接針對人員進行信息過濾。這四個級別逐次增高，但是權(quán)限越來越低。②將人員和信息都進行分級。較前一種方式，該方法更為嚴謹。其思想是將用戶作為主體，關(guān)鍵字信息作為客體。不同主體等級之間的差別體現(xiàn)在對客體使用權(quán)限上，即低安全等級的用戶只能使用與他等級相符合的關(guān)鍵字，用戶和關(guān)鍵字的等級設定由系統(tǒng)安全員統(tǒng)一管理[3]。如將信息關(guān)鍵字分為“禁止、絕密、機密、秘密、公開”，將人也分為“一級、二級、三級、四級”等級別，一級人員只能對應“公開”，二級人員對應“秘密、公開”，以此類推。這些級別信息都保存在存儲卡中的不同區(qū)域。用戶登錄時，根據(jù)其擁有的級別，獲取與其對等的信息。

2.4 信息網(wǎng)絡安全技術(shù)措施 包含以下幾方面:①物理安全，主要圍繞環(huán)境安全(防震、防水、防火、防雷、防靜電等)、設備安全(防盜、警報燈)、設備冗余()、媒介安全(采取合適的媒介材料、防止輻射、信息泄露等)考慮;②網(wǎng)絡安全，首先，通過合理劃分安全的網(wǎng)絡拓撲結(jié)構(gòu)，利用網(wǎng)絡層的訪問控制技術(shù)實現(xiàn)對內(nèi)部用戶和外部用戶的管理，隔離外部web服務器群和內(nèi)部服務器群，保證內(nèi)網(wǎng)應用服務器的系統(tǒng)安全，其次，在實際應用中，從網(wǎng)絡安全框架入手，邏輯上將復雜的網(wǎng)絡劃分為多個構(gòu)成部分，如采用備份系統(tǒng)、防病毒系統(tǒng)、遠程容災、操作系統(tǒng)完全設置、補丁自動更、防火墻軟件和防木馬軟件、VLAN和VPN技術(shù)的應用、IP地址管理、網(wǎng)絡流量控制、入侵檢測系統(tǒng)、等實現(xiàn)網(wǎng)絡信息安全。③制訂發(fā)展規(guī)劃，統(tǒng)一規(guī)范管理。信息網(wǎng)絡安全發(fā)展規(guī)劃是一個循序漸進的過程:，要根據(jù)實際需要，不斷設定和實現(xiàn)中期和長期目標。④制定并落實網(wǎng)絡安全管理制度。要結(jié)合信息化工作，確定工作管理制度、體系，并基于管理流程，編制了一整套管理制度等。

參考文獻:

[1]楊云江.計算機網(wǎng)絡管理技術(shù)[M].清華大學出版社.2005(4).

[2]李莉，孫慧.淺談數(shù)據(jù)加密算法[J].電腦知識與技術(shù)(學術(shù)交流).2006(12).

[3]陳雪秀，任衛(wèi)紅，謝朝海.信息安全等級保護中的兩大基本問題研究[J].信息安全與通信保密.2009(3).