計算機網絡信息存儲安全設計

粱冰芳 邢東旭

摘 ?要： 計算機所具有的連接方式因其多樣性、應用技術復雜性和網絡廣泛性以及互相關聯性等特征，導致計算機網絡信息存儲安全問題的出現并且愈發復雜。針對來自各方面的諸多威脅和系統本身的脆弱性，通過建立計算機網絡信息的危險控制模型、控制網絡信息訪問數據、鑒別網絡信息用戶身份等方法，制定出計算機網絡信息存儲安全的具體措施，以此來保證存儲信息系統的運行安全。

關鍵詞： 網絡; 信息存儲; 安全; 設計

中圖分類號：TP393.0 ? ? ? ? ?文獻標志碼：A ? ? 文章編號：1006-8228（2015）01-24-02

Secure design of computer network information storage

Liang Bingfang， Xing Dongxu

（Information Engineering College， Inner Mongolia University of Science and Technology， Baotou， Inner Mongolia 014010， China）

Abstract： Due to the diversity of the connection， complexity of the application technology and the breadth of the network and other characteristics， the security issues of the computer network information storage have appeared and become more and more complex.To solve the various threat problems and the vulnerability， methods including computer network information herein danger control model， control access to the data network information， network information to identify the user identity are used to develop specific measures to ensure the safe operation of storage information systems.

Key words： network; information storage; security; design

1 計算機存儲信息過程中的安全威脅

計算機存儲信息過程中安全威脅來自如下幾方面。

⑴ 設備自身故障

由于儲存信息設備的自身故障造成信息存儲過程中信息的破壞，從而使信息失去完整性、破壞了信息的可用性[1]。

⑵ 用戶非法訪問

沒有被授權的網絡用戶為了訪問信息，非法繞過為保護信息完整性所設計的安全設置，對保密信息進行訪問，進而使信息的保密性遭到破壞，在儲存過程中造成信息泄密。

⑶ 信息遭到破壞

非法入侵者雖然沒有辦法獲得網絡信息，但其入侵可以使存儲的信息遭到破壞、被刪除或者被修改，使信息喪失完整性。

2 建立計算機網絡信息的危險控制模型

根據計算機信息在網絡中所處的位置來確定計算機信息資源的危險等級，并將其記為R，危險等級R在1—10的范圍內取值，R數值越大代表危險等級越高。根據信息資源的危險等級來確定網絡信息的保密需求和保密等級，并將其記為W，保密等級W的數值根據保密需求依次劃分并遞增，其數值越大代表信息保密需求越高。

根據以上對計算機信息資源的危險等級和網絡信息的保密需求及保密等級的設計，計算機網絡信息資源的危險等級我們用WR來表示，能得出危險等級的評估。

3 控制網絡信息訪問數據

為了有效地控制網絡用戶對保密信息進行非法的訪問，有必要對已存儲的信息應用訪問控制的相關技術進行設置，由于現階段計算機網絡信息的存貯系統以Windows系統為主，可以用其自身所提供的安全控制設置或根據需求手動設計對信息的安全控制設置。

3.1 鑒別網絡信息用戶身份

對信息用戶的身份進行鑒別的目的是防止沒有得到授權的用戶非法闖入計算機網絡信息系統中，非法閱讀涉密網絡信息[7]。身份鑒別的具體操作就是對計算機終端用戶的使用身份進行網絡識別和在線驗證。身份鑒別的具體方法有以下三種：通行驗證、指令驗證和面部特征驗證。在網絡信息中廣泛使用的方法是采用口令驗證與Integrated Circuit卡相結合的雙重驗證技術，具體操作如下。

第一步由用戶自己選擇一條口令，接下來由計算機終端用戶自動識別記錄特定密碼的網絡信息用戶信息識別的Integrated Circuit卡[3]。

當使用時用戶要先把Integrated Circuit卡插入計算機中，這時計算機會對所插入的Integrated Circuit卡進行讀取并進行驗證，然后再根據提示將用戶口令輸入，Integrated Circuit卡和口令相吻合后，用戶就可以訪問并且使用計算機中存儲的信息。此方法可以有效防止驗證口令被他人盜取，從而確保所存儲的信息安全。

3.2 控制網絡信息訪問權限

在工作中對訪問權限進行控制指的是針對合法用戶所存儲的網絡信息（文件和數據）的操作或使用權限進行一定的限制，這里的權限主要指信息的Read、write、execute等操作[4]。對信息的訪問權限進行控制的方法有以下幾種。

⑴ 確保合法用戶的訪問權限。對用戶進行可行性分類，以確定各類用戶對信息的訪問權限和允許進行的操作，以防止用戶越權對保密的信息進行訪問。對涉密等級較高的網絡系統，信息的訪問權限要控制到具體用戶。

⑵ 建立詳細的信息用戶操作權限控制表。在表中詳細的列出用戶的種類、訪問權限和可訪問的信息。

⑶ 對計算機中存儲信息的可操作權限做定期的檢查。利用編程語言對存儲文件操作權限的檢查信息進行編寫。對限制操作的文件系統做定期檢查。

3.3 用戶審計

對用戶進行審計指的是對用戶使用網絡系統的全部操作進行全程記錄;并對發現的非法訪問行為進行實時監控，掌握非法訪問規律，及時阻止非法訪問行為，以此提高系統安全性。網絡系統應建立詳盡的系統工作日志，用以記錄每個網絡用戶的每次活動以及錯誤信息。對于涉密等級較高的系統，網絡系統必須能自動檢測非法訪問時間并做好記錄，及時報警[2]。

3.4 病毒防護

建立有效的病毒防護措施和便捷的檢查方法，以防止數據遭到病毒的破壞。建立對優盤、硬盤等外來文件的檢查機制，以防止病毒在存儲設備間傳染和擴散。

4 網絡存儲信息數據加密

對網絡信息數據進行加密可以有效限制存儲數據被非法訪問的權限。對數據進行加密的時候用一種相當于“密鑰”的網絡信息系統讀取數據信息并對數據進行編碼。原始的信息數據文本被加密程序和“密鑰”加密后，就生成了被編碼的信息文本密文。如果想重新生成“明文”，就必須應用相同的加密程序和密鑰解密密文。通過這種加密形式，對信息數據進行非法訪問的用戶即便是得到了網絡信息存儲資源，也會因為沒有加密程序或者加密的密鑰，而無法對密文進行解密，也就沒有辦法得到信息數據的具體內容。

被廣泛應用的密令有crypt和des兩條加密命令。比較這兩條命令，應用des進行加密的文件信息較為安全，相對而言，應用crypt進行加密的文件破解技術量則相對比較大。所以，在計算機網絡系統工程中絕大多數都應用des對網絡信息的存儲文件加密[6]。密鑰是一個相當于口令的編程語言字符串，在選用密鑰時要遵照與選用口令時相同的規則。

5 對數據進行備份

對網絡信息數據進行備份是保證網絡信息數據安全的一項重要措施，在此過程中必須要對重要的網絡信息數據進行定期備份，以防止因為計算機信息存儲設備的損壞或者因為非法用戶的訪問而造成信息數據的丟失和損壞。在信息備份的過程中要注意提高系統的可靠性和安全性，并且要注意節約數據備份的費用。通過建立詳細的網絡信息數據備份記錄，來防止備份過程中產生錯誤，確保備份數據信息的安全。

6 結束語

本文從計算機存儲信息過程中的安全威脅問題入手，對當前計算機存儲信息安全的現狀以及多種保證計算機存儲信息安全的技術進行分析，結合實際工作，提出了建立計算機網絡信息的危險控制模型、控制網絡信息訪問數據、鑒別網絡信息用戶身份、控制網絡信息訪問權限、用戶審計、病毒防護、網絡存儲信息數據加密、對數據進行備份等方法，進而提出了計算機網絡信息存儲安全設計方案，保證了信息存儲系統的運行安全。該方案能夠為計算機網絡信息存儲安全設計提供較好的參考。

參考文獻：

[1] 信息技術研究中心.網絡信息安全新技術與標準規范實用手冊（第1

版）[M].電子信息出版社，2004.

[2] 周學廣，劉藝.信息安全學（第1版）[M].機械工業出版社，2003.

[3] 毛劍.保護隱私的數字產品網上交易方案[J].電子學報，2005.6：

1053-1055

[4] 陳月波.網絡信息安全（第1版）[M].武漢工業大學出版社，2005.

[5] 北京啟明星辰信息技術公司.網絡信息安全技術基礎（第1版）[M].電

子工業出版社，2002.

[6] 寧蒙.網絡信息安全與防范技術（第1版）[M].東南大學出版社，2005.

[7] 石志國，薛為民，江俐.計算機網絡安全教程（第1版）[M].清華大學出

版社，2004.