◆李 濤 李 玥

（中國專利信息中心 北京 100081）

云計算環(huán)境下計算機(jī)信息安全保密技術(shù)應(yīng)用與研究

◆李 濤 李 玥

（中國專利信息中心 北京 100081）

計算機(jī)信息系統(tǒng)已在各行業(yè)得到了廣泛應(yīng)用，因此信息系統(tǒng)的安全性就顯得非常重要，亟需采用水平較高的安全保密技術(shù)和構(gòu)建完善的保密制度，引入先進(jìn)的數(shù)據(jù)加密技術(shù)和鏈路加密技術(shù)。本文首先詳細(xì)介紹了云計算環(huán)境下計算機(jī)信息安全保密技術(shù)應(yīng)用，然后對云計算環(huán)境下計算機(jī)信息保密管理制度進(jìn)行了構(gòu)建，最后進(jìn)行了總結(jié)與展望。

云計算；信息安全等級保密技術(shù)

0 引言

云計算、大數(shù)據(jù)、數(shù)據(jù)庫技術(shù)的快速發(fā)展和改進(jìn)，促進(jìn)了計算機(jī)信息系統(tǒng)在電子政務(wù)、金融銀行、物流倉儲、科教文衛(wèi)、商業(yè)貿(mào)易等領(lǐng)域得到廣泛應(yīng)用，促進(jìn)了人們工作、生活和學(xué)習(xí)的信息化、共享化和智能化[1]。且同時重新定義了信息化資源的使用和服務(wù)提供方式，對信息化資源的管理和分配模式也有了新的思路和機(jī)制。但是，信息化系統(tǒng)集成時采用的技術(shù)包括 Java程序、C++程序、SOA架構(gòu)、B/S架構(gòu)等，不同的系統(tǒng)擁有不同的功能，因此系統(tǒng)集成可能導(dǎo)致不同接口存在漏洞，為黑客攻擊系統(tǒng)、木馬盜取數(shù)據(jù)、病毒破壞數(shù)據(jù)帶來了潛在的渠道[2]。通過對當(dāng)前計算機(jī)信息安全面臨的威脅進(jìn)行分析，發(fā)現(xiàn)許多威脅呈現(xiàn)出了攻擊渠道多樣化、安全威脅隱藏周期長期化、威脅范圍擴(kuò)大化等特點(diǎn)[3]。

攻擊渠道多樣化。目前，光纖通信、移動通信技術(shù)的改進(jìn)促進(jìn)了計算機(jī)信息系統(tǒng)接入渠道和設(shè)備的百花齊放，呈現(xiàn)出來多種多樣的局面，原來僅有的臺式計算機(jī)、筆記本電腦接入計算機(jī)信息系統(tǒng)的局面不復(fù)存在，利用移動通信網(wǎng)絡(luò)的平板電腦、智能手機(jī)、無線路由器等開始接入到各類系統(tǒng)中，因此每一個接入的環(huán)節(jié)都可能成為攻擊的渠道，不同設(shè)備的開發(fā)技術(shù)、系統(tǒng)架構(gòu)集成在一起，也容易造成系統(tǒng)漏洞，無形中增加了互聯(lián)網(wǎng)攻擊渠道[2]。

攻擊隱藏長期化。目前，病毒、木馬等開發(fā)技術(shù)迅速提升，許多病毒和木馬在攻擊計算機(jī)信息系統(tǒng)時已經(jīng)開始偽裝成應(yīng)用程序或嵌入到應(yīng)用軟件中，長期地隱藏在軟件中。比如在金融銀行信息系統(tǒng)的 APT攻擊，該攻擊行為具有隱蔽能力強(qiáng)、攻擊方式多樣化、攻擊持續(xù)時間長等特點(diǎn)，其采用了復(fù)雜的軟件開發(fā)技術(shù)實(shí)現(xiàn)了一個長期的、高級的、持續(xù)的威脅，持續(xù)地盜取金融銀行的機(jī)密數(shù)據(jù)，并且能夠動態(tài)地觀察金融銀行系統(tǒng)運(yùn)行狀況，發(fā)行數(shù)據(jù)通信的規(guī)律，實(shí)現(xiàn)機(jī)密信息盜用。

威脅范圍擴(kuò)大化。計算機(jī)信息系統(tǒng)為各行各業(yè)提供了應(yīng)用軟件，支撐行業(yè)信息化的與時俱進(jìn)，且為了消除“信息孤島”，很多應(yīng)用系統(tǒng)之間互相開放端口，以便實(shí)現(xiàn)某些數(shù)據(jù)的變動達(dá)到高效性和實(shí)效性。但是，隨著接入系統(tǒng)的擴(kuò)大，一旦某一個系統(tǒng)受到病毒或木馬感染，其首先會感染局域網(wǎng)內(nèi)容所有的服務(wù)器，其次會迅速感染互聯(lián)網(wǎng)中相關(guān)的主機(jī)和服務(wù)器，爆發(fā)網(wǎng)絡(luò)安全事故，給網(wǎng)絡(luò)帶來嚴(yán)重的災(zāi)難，造成人們的財產(chǎn)安全嚴(yán)重?fù)p失。

1 云計算環(huán)境下計算機(jī)信息安全保密技術(shù)應(yīng)用

1.1 數(shù)據(jù)加密技術(shù)種類

計算機(jī)信息安全加密技術(shù)主要包括兩種類型，一種是數(shù)據(jù)加密技術(shù)、一種是傳輸通道加密。數(shù)據(jù)加密主要包括對稱加密技術(shù)、非對稱加密技術(shù)，傳輸通道加密多為鏈路加密等技術(shù)，從數(shù)據(jù)本身和傳輸過程兩個方面進(jìn)行加密工作，提高信息安全保密能力[4]。

1.1.1 對稱加密

對稱加密又被學(xué)者稱為共享密鑰加密技術(shù)，采用同一個密鑰針對數(shù)據(jù)在傳輸發(fā)送時、接收時進(jìn)行加密和解密。數(shù)據(jù)加密采用對稱加密時首先確定一個公用密鑰，并且保證該密鑰僅僅由發(fā)送方和接收方知道，不能夠泄露密鑰，保證數(shù)據(jù)信息傳輸?shù)耐暾院涂煽啃?，?jīng)過多年的改進(jìn)和實(shí)驗(yàn)，對稱數(shù)據(jù)加密技術(shù)已經(jīng)誕生了很多種，包括DES加密技術(shù)、AES加密技術(shù)和IDEA加密技術(shù)。DES可以針對二元數(shù)據(jù)進(jìn)行加密，密鑰為64位數(shù)據(jù)；AES是一種強(qiáng)化的DES算法，采用的密鑰達(dá)到了128位；IDEA采用迭代分組密碼進(jìn)行數(shù)據(jù)加密，使用8個循環(huán)針對128位的密鑰進(jìn)行處理，保證數(shù)據(jù)的安全性。

1.1.2 非對稱加密技術(shù)

非對稱加密技術(shù)又被稱為公鑰加密，是一種非對稱加密技術(shù)，數(shù)據(jù)信息的發(fā)送方和接收方分別選擇不同的密鑰，能夠?qū)?shù)據(jù)進(jìn)行相關(guān)的加密操作、解密操作。目前，非對稱加密采用的公開密鑰主要用于加密過程，私有密鑰應(yīng)用與解密過程。非對稱加密技術(shù)可以采用嚴(yán)格的密鑰交換協(xié)議，不需要通信雙方交換密鑰，可以直接的傳輸相關(guān)通信數(shù)據(jù)。經(jīng)過多年的發(fā)展和改進(jìn)，常用的主流非對稱加密技術(shù)包括RSA、EIGamal以及Diffie－Hellman等，這些技術(shù)可以有效防御現(xiàn)有的數(shù)據(jù)加密密碼受到的攻擊，實(shí)現(xiàn)信息系統(tǒng)用戶身份驗(yàn)證，已經(jīng)在數(shù)字證書和數(shù)字簽名中得到廣泛應(yīng)用。

1.1.3 鏈路加密技術(shù)

鏈路加密技術(shù)是一種數(shù)據(jù)傳輸線路加密技術(shù)，其可以針對數(shù)據(jù)鏈路進(jìn)行加密，所有消息在被傳輸之前進(jìn)行加密，每個節(jié)點(diǎn)對接收到的消息解密，然后再使用下一個鏈路的密鑰加密消息再傳輸。在到達(dá)目的地之前，一條消息可能要經(jīng)過許多通信鏈路。構(gòu)建專用的數(shù)據(jù)傳輸防御通道，針對數(shù)據(jù)傳輸?shù)慕?jīng)過的交換機(jī)、路由器等不同的區(qū)域進(jìn)行加密，可以很好的保證數(shù)據(jù)鏈路的安全性。

1.2 信息隱藏技術(shù)

信息隱藏是當(dāng)前最為先進(jìn)的一種數(shù)據(jù)加密技術(shù)，充分的考慮數(shù)據(jù)上下文、應(yīng)用背景信息，將隱秘的數(shù)據(jù)隱藏到普通的信息進(jìn)行傳輸，比如可以將信息隱藏在圖像中進(jìn)行發(fā)送。目前，信息隱藏常用的技術(shù)包括隱寫術(shù)和數(shù)字水印技術(shù)。

1.2.1 隱寫術(shù)

隱寫術(shù)可以利用高空間頻率的圖像隱藏信息，也可以利用信號的色度隱藏信息，利用數(shù)字圖像的像素亮度隱藏信息，將數(shù)據(jù)隱藏到圖像、視頻流中，非法訪問人員看到的僅僅是一副圖像或視頻，接收方可以利用解密算法還原隱藏的信息，保證信息安全傳輸。

1.2.2 數(shù)字水印技術(shù)數(shù)字水印技術(shù)可以將一些關(guān)鍵的標(biāo)識信息嵌入到文本文檔、多媒體數(shù)據(jù)、軟件產(chǎn)品應(yīng)用中，其不影響數(shù)據(jù)的正常使用效果，并且不易于被人們發(fā)現(xiàn)。目前常用的數(shù)字水印技術(shù)主要包括兩種，一種是空間數(shù)字水印技術(shù)，另外一種是頻率數(shù)字水印技術(shù)?？臻g數(shù)字水印目前最常用的技術(shù)為最低有效位算法那，可以修改一副圖像的顏色及其分量信息的位平面，這樣就可以自適應(yīng)調(diào)整數(shù)字圖像感知，利用不重要的像素表達(dá)水印信息，達(dá)到嵌入水印的目的。頻率數(shù)字水印技術(shù)最常用的算法是擴(kuò)展頻譜算法，針對信號進(jìn)行時頻分析，擴(kuò)展頻譜特性，選擇人們視覺最敏感的部分，這樣就可以保證修改后的系數(shù)隱含數(shù)字水印信息。

2 云計算環(huán)境下計算機(jī)信息保密管理制度構(gòu)建

云計算環(huán)境下，計算機(jī)信息系統(tǒng)使用的用戶分布于各個行業(yè)，這些人受到的計算機(jī)知識操作技能或理論均存在較大的差異，比如一些人多為經(jīng)濟(jì)管理類專業(yè)，沒有接受過專業(yè)的計算機(jī)信息系統(tǒng)安全管理或操作培訓(xùn)，同時計算機(jī)信息安全是一個動態(tài)的過程，僅從技術(shù)方面提升信息安全保密能力是不夠的，因此本文提出構(gòu)建一個健全的計算機(jī)信息保密管理制度，針對使用用戶進(jìn)行規(guī)范，確保計算機(jī)信息系統(tǒng)安全運(yùn)行。

構(gòu)建信息系統(tǒng)操作權(quán)限角色制度。計算機(jī)信息系統(tǒng)在操作過程中，不同的用戶可以設(shè)定不同的操作權(quán)限，靈活構(gòu)建計算機(jī)角色，比如一般用戶、管理員、超級管理員，不同的角色訪問系統(tǒng)的內(nèi)容不同，更好的實(shí)現(xiàn)計算機(jī)信息系統(tǒng)分層保護(hù)。

構(gòu)建定期教育培訓(xùn)制度。云計算環(huán)境下，計算機(jī)信息系統(tǒng)開發(fā)采用的技術(shù)更新?lián)Q代較快，從傳統(tǒng)的單機(jī)版發(fā)展到了網(wǎng)絡(luò)版，從C/S體系發(fā)展到了B/S體系架構(gòu)，因此用戶也亟需進(jìn)行定期教育和培訓(xùn)，提高計算機(jī)專業(yè)理論知識和操作技能的熟練程度。構(gòu)建一個定期教育培訓(xùn)制度，可以從根本上幫助用戶掌握系統(tǒng)操作知識和技能，便于規(guī)范用戶操作，保證系統(tǒng)的安全性。

信息化資源的分配與管理制度。云計算重新定義了信息化資源的使用和服務(wù)提供方式的同時，也在信息化資源的管理和分配模式上給我們帶來了全新思路。以前，很多單位和企業(yè)的信息化資源管理方式是分散式管理，部門獨(dú)立購買信息化設(shè)備等資源，造成了信息化設(shè)備的冗余，從而導(dǎo)致信息化資源的浪費(fèi)。隨著虛擬化技術(shù)不斷成熟和云計算的廣泛應(yīng)用，向我們提出了信息化資源集中采購、分配和運(yùn)維的全新管理理念，形成了使用部門提出需求、技術(shù)部門審核需求、管理部門購置和分配資源、運(yùn)維部門維護(hù)設(shè)備的工作流程。

3 結(jié)束語

計算機(jī)信息系統(tǒng)已經(jīng)在多個行業(yè)得到應(yīng)用，因此信息系統(tǒng)的安全性就顯得非常重要，亟需采用水平較高的安全保密技術(shù)和構(gòu)建完善的保密制度，引入先進(jìn)的數(shù)據(jù)加密技術(shù)和鏈路加密技術(shù)，嚴(yán)格控制系統(tǒng)操作權(quán)限，定期進(jìn)行系統(tǒng)專業(yè)理論與操作技能的教育培訓(xùn)，進(jìn)一步提高信息系統(tǒng)的安全性。