吳 晶

(江西省電子信息工程學校，江西 南昌 330096)

0 引言

無論是計算機病毒擴散還是網(wǎng)絡黑客攻擊，諸如此類的計算機網(wǎng)絡犯罪都已經(jīng)覆蓋了人們生活的多個方面。網(wǎng)絡信息本身面臨著非法篡改、插入、刪除的可能性，信息的完整程度也因此受到了嚴重影響。網(wǎng)絡信息安全問題已經(jīng)是人們經(jīng)常需要面對的問題，與之對應的安全措施也應該全方位地針對不同的威脅和漏洞特點來維持信息的安全性與可靠性，這也是網(wǎng)絡信息安全技術(shù)管理應用的主要手段。

1 網(wǎng)絡信息安全技術(shù)管理的應用

1.1 密碼協(xié)議

密碼協(xié)議技術(shù)本身是一種安全協(xié)議基礎上的密碼方案，是建立在現(xiàn)有密碼體制基礎上的交互式通信方案，借助于現(xiàn)有的密碼算法來實現(xiàn)密鑰分配和身份認證的目的。總體而言，密碼協(xié)議是一種使用密碼學的協(xié)議，密碼技術(shù)則圍繞構(gòu)建密碼協(xié)議的基本工具展開。從密碼協(xié)議的基本功能來看，它包括會話密鑰的構(gòu)建、實體認證、密鑰分配等，其作用在于保證所分發(fā)的密鑰實體是可以預期的，這樣一來復雜的密碼協(xié)議才具有安全通信等多個方面的功能。

按照計算機網(wǎng)絡信息系統(tǒng)對于密碼服務功能的現(xiàn)實需求，密碼協(xié)議可以被劃分為密鑰分配協(xié)議和加密協(xié)議等。如果從其基本功能來看，則可以將比較簡單的密碼協(xié)議進行不同類型的劃分[1]。

首先是交換協(xié)議，即參與協(xié)議的多個實體之間建立共享密鑰，一方面可以在通信中進行會話管理，另一方面也可以采用對稱密鑰密碼的方式來進行傳送、分配和協(xié)商，雙方實體本身會各自提供數(shù)據(jù)并經(jīng)過運算而產(chǎn)生密鑰。因為密鑰本身不需要進行傳送。

其次是認證協(xié)議。認證協(xié)議類型包括實體的身份認證協(xié)議和消息認證協(xié)議，其作用在于避免信息受到篡改和否認。通常來說認證協(xié)議可以采取非對稱密碼技術(shù)，并按照協(xié)議中的密碼算法類型差異劃分為非對稱密碼認證協(xié)議和單項函數(shù)認證協(xié)議，按照協(xié)議參與到實體數(shù)目當中。如果按照認證方向的不同，則可以劃分為單向認證協(xié)議和雙向認證協(xié)議。某些復雜的協(xié)議內(nèi)容還可以根據(jù)應用目的的差異劃分為電子商務或群密鑰類型等。

總體而言密碼體制被劃分為兩種類型，一種是對稱密碼體制，即單鑰密碼體制，主要功能是為數(shù)據(jù)加密提供技術(shù)手段，但也可以將其應用在簡單的消息認證環(huán)節(jié)中。例如現(xiàn)有的口令認證系統(tǒng)中就可以通過這一手段來有效地對用戶身份進行認定，但需要綜合考慮密鑰管理的相關(guān)問題，特別是在復雜的網(wǎng)絡通信條件之下如何進行合理規(guī)劃。當然，即便密碼算法再優(yōu)秀，系統(tǒng)本身還會面臨著一些安全問題，其保密強度能否維持較高的水準也至關(guān)重要。與之相比，公鑰密碼體制則讓每個用戶都擁有一個加密密鑰和對應的解密密鑰，將加密和解密能力進行了區(qū)分，可以實現(xiàn)多個用戶的加密或解密，還可以提供數(shù)字簽名、認證功能，也為密碼學的發(fā)展提供了關(guān)鍵的理論技術(shù)和技術(shù)支持[2]。

1.2 入侵管理檢測

入侵檢測系統(tǒng)即計算機網(wǎng)絡和計算機系統(tǒng)中的關(guān)鍵點手機信息后進行的相關(guān)問題，從中掌握網(wǎng)絡和系統(tǒng)當中是否有違反安全策略的行為存在。入侵檢測系統(tǒng)的構(gòu)建也能夠促進入侵檢測功能的完善，作為一種非常有效的安全管理工具，它可以從不同的角度和不同的資源層次收集有關(guān)信息，然后反映出有哪些信息出現(xiàn)了異常或是被誤用。在對監(jiān)測行為做出自動反應之后，就可以采取更加系統(tǒng)和完善的安全策略來對收集的狀態(tài)信息展開分類處理，系統(tǒng)地判斷出入侵行為和非入侵行為。

整個入侵檢測系統(tǒng)的功能包括對用戶、系統(tǒng)的活動進行監(jiān)督，然后分析整個系統(tǒng)當中是否有漏洞存在。這樣一來關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的特征也可以得到識別，一旦出現(xiàn)比較反常的行為模式，那么整個操作系統(tǒng)就可以通過校驗和管理的方式判斷系統(tǒng)行為是否會存在安全隱患，是否會影響到正常的用戶活動。如一個良好的入侵檢測系統(tǒng)可以發(fā)揮效果，系統(tǒng)管理人員不僅可以隨時了解網(wǎng)絡系統(tǒng)存在的變更情況，還可以以此為基礎修訂網(wǎng)絡安全策略，入侵檢測的規(guī)模會根據(jù)實際的網(wǎng)絡威脅程度和安全需求做出調(diào)整。換言之，入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵之后應及時地做出相應，包括對網(wǎng)絡連接的斷開和事件的記錄等。系統(tǒng)構(gòu)成包括信息模塊、分析模塊和用戶接口模塊[3]。

信息模塊是入侵檢測系統(tǒng)的首要工作，包括對系統(tǒng)、網(wǎng)絡數(shù)據(jù)和活動的狀態(tài)行為分析。整個計算機網(wǎng)絡系統(tǒng)中的關(guān)鍵點在收集完信息之后還應該盡可能地擴大檢測范圍，并且獲取某些可疑的信息源。分析模塊則用于統(tǒng)計分析和完整性分析，統(tǒng)計在系統(tǒng)正常使用時的某些測量屬性，屬性的平均值信息將會被用于比較系統(tǒng)行為。當觀察值在正常值范圍之外時就可以判定有入侵行為的產(chǎn)生。從完整性分析的角度來看，在關(guān)注某些文件和對象的具體信息時也會涉及文件和目錄的內(nèi)容和屬性，在一些應用程序被篡改時的效果比較顯著。而入侵檢測系統(tǒng)的用戶接口可以觀察到系統(tǒng)的輸出信號，然后對系統(tǒng)行為展開控制。

1.3 數(shù)據(jù)備份與數(shù)據(jù)恢復

信息安全的重要性顯而易見，但數(shù)據(jù)傳輸和數(shù)據(jù)交換的過程當中本身會有信息故障的可能性，如果沒有采取有效的數(shù)據(jù)備份和數(shù)據(jù)恢復手段，就有可能導致數(shù)據(jù)的丟失從而威脅到數(shù)據(jù)安全，造成系統(tǒng)失效。硬盤驅(qū)動器的損壞、人為失誤或來自外部因素的入侵都會導致此類事故的出現(xiàn)。當然，數(shù)據(jù)備份就可以成為保護數(shù)據(jù)的最后一道“屏障”，以便在數(shù)據(jù)受到意外損害時可以得到恢復，將損失降到最低?？傮w而言數(shù)據(jù)備份是為了加強數(shù)據(jù)的可用性與安全性，在出現(xiàn)災害性事故時也可以將已經(jīng)備份完成的數(shù)據(jù)進行應用恢復。

一個完整的數(shù)據(jù)備份系統(tǒng)應該包括多個方面，包括本地系統(tǒng)、數(shù)據(jù)安全系統(tǒng)和遠程備份系統(tǒng)等。以本地的備份系統(tǒng)來說，可以被應用于關(guān)鍵數(shù)據(jù)的追蹤和分析，確保備份數(shù)據(jù)能夠和關(guān)鍵數(shù)據(jù)一起用于同步和更新，確保本地的關(guān)鍵數(shù)據(jù)產(chǎn)生損壞后能夠在最短時間內(nèi)得到恢復。目前遠程備份數(shù)據(jù)技術(shù)已經(jīng)得到了廣泛應用，可以保障數(shù)據(jù)損壞時能夠快速地得到恢復。從主流模式來看，無論是硬件數(shù)據(jù)備份還是軟件數(shù)據(jù)備份，都需要考慮到安全性問題。同步方式和異步方式在數(shù)據(jù)處理方面也可能會受到網(wǎng)絡環(huán)境的影響。所以整體的體系架構(gòu)至關(guān)重要。目前DAS存儲、NAS存儲、SAN存儲等都可以發(fā)揮應有的作用。

這里以基于索引的文件備份方案為例，基于索引的文件備份模式即對服務器中的文件進行排序和鑒別，讓一個副本對應一個文件實現(xiàn)空間節(jié)約的目的，如圖1所示。

圖1 文件存儲單副本

1.4 RSA廣播加密

RSA廣播加密系統(tǒng)本身是一種允許數(shù)據(jù)供應商把數(shù)據(jù)內(nèi)容通過廣播信道進行安全分發(fā)的機制，能夠讓所有的用戶獲得信息密鑰，并且將信息進行接收?，F(xiàn)代多媒體業(yè)務的普及和發(fā)展讓廣播加密得到了非常廣闊的應用?？紤]到實際應用情況，可以得到兩種不同情況下的加密和廣播方案。一種是廣播中心直接對數(shù)據(jù)進行加密，并且計算密文將其廣播出去；另一種則是應用傳統(tǒng)的對稱加密函數(shù)，將其作為解密函數(shù)對數(shù)據(jù)內(nèi)容展開加密處理。如果廣播中心要把數(shù)據(jù)內(nèi)容安全地發(fā)送給授權(quán)用戶，則需要進行后續(xù)的操作控制好信息報頭。

涉及相同文件的識別和分析時就應考慮到有哪些因素會導致文件的丟失情況。本文用此類參數(shù)作為判定依據(jù)，即文件的類型、文件大小、文件修改時間和校驗值等內(nèi)容。當這些參數(shù)完全相同時則可以被認為是同一種類型的文件?？梢韵葘浞菸募M行索引和分類后再按照文件類型的順序進行排序。備份的文件在一段時間后可能需要進行更新，并且整個文件的備份過程要將對應的文件放入不同的文件夾當中[4]。

在現(xiàn)有的研究中也提到了最小存儲開銷的廣播加密方案，可以在保持開銷不發(fā)生改變的前提下縮小用戶的存儲開銷。很多相關(guān)內(nèi)容中也涉及基于身份信息進行加密的存儲開銷、傳輸開銷方案?；赗SA加密體制并選擇樹形結(jié)構(gòu)分配后，就可以追蹤系統(tǒng)中哪些是惡意共享內(nèi)容并且定位用戶的“合法性”。作為一種應用廣泛的密碼算法，RSA密碼體制模式下可以縮小計算量和運算效率，保護數(shù)據(jù)的安全性[5-6]。

2 結(jié)語

現(xiàn)代網(wǎng)絡技術(shù)手段的快速普及，使得網(wǎng)絡安全問題成為一個在信息時代必須解決的問題。網(wǎng)絡安全措施需要一個完善的體系來構(gòu)建的，并針對不同類型的威脅和漏洞根據(jù)他們的完善度進行有效區(qū)分，才能確保網(wǎng)絡信息的可靠性和實用性。所以，建立相應的安全模型、密碼協(xié)議、入侵檢測技術(shù)和數(shù)據(jù)備份方案之后就可以將廣播加密系統(tǒng)、文件備份系統(tǒng)的技術(shù)優(yōu)勢進行應用，讓改造后的系統(tǒng)可以在檢測速度、質(zhì)量等方面有所改進和優(yōu)化。安全策略的制定不僅包括實體元素的安全等級，還包括安全服務互動機制的有關(guān)內(nèi)容，每個安全策略都應該包含身份信息管理、訪問管理和通信管理等，同時在安全恢復響應方面發(fā)揮作用，選擇不同的技術(shù)方法。