論文摘要：隨著Internet的不斷發(fā)展,伴隨而來的網(wǎng)絡(luò)信息安全問題越來越引人關(guān)注。計(jì)算機(jī)信息一旦遭受破壞，將給單位造成嚴(yán)重的損失。就網(wǎng)絡(luò)信息安全問題，對可能產(chǎn)生的安全因素進(jìn)行剖析，并采取一定的措施。
　　
　　論文關(guān)鍵詞：網(wǎng)絡(luò)安全；安全策略；雛度思想
　　
　　一、信息安全的概念
　　
　　目前，我國《計(jì)算機(jī)信息安全保護(hù)條例》的權(quán)威定義是：通過計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)手段，使計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)庫等受到保護(hù)，最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密,系統(tǒng)能夠正常運(yùn)行，使用戶獲得對信息使用的安全感。信息安全的目的是保護(hù)信息處理系統(tǒng)中存儲、處理的信息的安全，其基本屬性有：完整性、可用性、保密性、可控性、可靠性。
　　
　　
　　2安全策略維度的關(guān)聯(lián)分析
　　
　　為了加強(qiáng)計(jì)算機(jī)信息安全，我們往往同時采用多種安全技術(shù)，如加密、安全認(rèn)證、訪問控制、安全通道等。這樣高強(qiáng)度的安全措施為什么還會出現(xiàn)那么多的安全漏洞，以致于大家普遍認(rèn)為“網(wǎng)絡(luò)無安全“呢?經(jīng)過思考，我們認(rèn)為計(jì)算機(jī)信息安全策略存在的缺陷，是造成這一現(xiàn)象的重要原因。主要問題出在幾個安全維度之間出現(xiàn)了強(qiáng)關(guān)聯(lián)，使原本三維、四維的安全措施降低了維數(shù)，甚至只有一維。這樣一來，就使得安全防范技術(shù)的效力大打折扣。舉例來講，如果我們采取了加密、安全通道這兩種技術(shù)措施，則我們可以認(rèn)為這是—個二維安全策略，但是由于它們都是在WINDOWS操作系統(tǒng)上運(yùn)行，于是這兩種本不相關(guān)聯(lián)的安全技術(shù)，通過同一操作系統(tǒng)出現(xiàn)了強(qiáng)關(guān)聯(lián)，使其安全策略維度降至一維甚至更低。因?yàn)橐坏┯腥嗽诋?dāng)事人完全不知道的情況下，通過木馬或其他手段操控了WINDOWS操作系統(tǒng)，那么無論是加密還是安全通道都變得毫無意義。因?yàn)檫@時入侵者已經(jīng)被認(rèn)為是—個合法的操作者，他可以以原主人的身分自行完成諸如加密、安全通道通信的操作，從而進(jìn)行破壞。究其原因是加密、安全通道技術(shù)都分別與操作系統(tǒng)發(fā)生了強(qiáng)關(guān)聯(lián)，而加密與安全通道技術(shù)通過操作系統(tǒng)，它們倆之問也發(fā)生了強(qiáng)關(guān)聯(lián)，這就使安全強(qiáng)度大打折扣。為了減少各維度間的關(guān)聯(lián)盡量實(shí)現(xiàn)各維度的正交，我們必須盡量做到各維度之間相互隔離減少軟、硬件的復(fù)用、共用。共用硬件往往隨之而來的就是軟件的共用(通用)，因此實(shí)現(xiàn)硬件的獨(dú)立使用是關(guān)鍵。舉例來說，要是我們能把操作系統(tǒng)與加密、安全通道實(shí)現(xiàn)隔離，則我們就可以得到真正的二維安全策略。為了實(shí)現(xiàn)這種隔離，我們可以作這樣的設(shè)計(jì)：我們設(shè)計(jì)出用各自分離的加密、通訊硬件設(shè)備及軟件操作系統(tǒng)這些設(shè)施能獨(dú)立的(且功能單一的)完成加密、通訊任務(wù)，這樣操作系統(tǒng)、加密、安全通道三者互不依賴，它們之間只通過一個預(yù)先設(shè)計(jì)好的接口傳輸數(shù)據(jù)(如：Rs232接口和PKCS#11加密設(shè)備接口標(biāo)準(zhǔn))。這樣一來，對于我們所需要保護(hù)的信息就有了一個完全意義上的二維安全策略。
　　3安全策略維度的節(jié)點(diǎn)安全問題
　　
　　為了保護(hù)節(jié)安全，我們可以采取的方法一般有兩種：加強(qiáng)對節(jié)點(diǎn)的技術(shù)保護(hù)或是將節(jié)點(diǎn)后移。為了加強(qiáng)對節(jié)點(diǎn)的技術(shù)保護(hù)，我們采取的方法很多，如加設(shè)防火墻，安裝防病毒、防木馬軟件，以及應(yīng)用層次防御和主動防御技術(shù)等等，這方面已經(jīng)有很多成熟的技術(shù)。這種方法強(qiáng)調(diào)的是使用技術(shù)手段來防御，但也有其缺點(diǎn)，就是防御手段往往落后于攻擊手段，等發(fā)現(xiàn)技術(shù)問題再填補(bǔ)漏洞時很可能已經(jīng)造成很大的損失。節(jié)點(diǎn)后移則更多是強(qiáng)調(diào)一種策略而不強(qiáng)調(diào)先進(jìn)的技術(shù)，它不強(qiáng)調(diào)用最新的病毒庫、最新解碼技術(shù)來進(jìn)行節(jié)點(diǎn)保護(hù)，而是通過現(xiàn)有的成熟技術(shù)手段盡可能延長節(jié)點(diǎn)并將節(jié)點(diǎn)后移，從而實(shí)現(xiàn)對節(jié)點(diǎn)的保護(hù)。
　　為了理清這倆個方法的區(qū)別，可以將保護(hù)分成系統(tǒng)自身的保護(hù)性構(gòu)造與外部對系統(tǒng)的保護(hù)。
　　系統(tǒng)自身的保護(hù)構(gòu)造依靠的是節(jié)點(diǎn)后移，它講的是系統(tǒng)自身如何通過沒汁的合理來保證系統(tǒng)內(nèi)操作的安全性。但是如果僅靠系統(tǒng)自身的構(gòu)造是不足以保證系統(tǒng)安全的，因?yàn)槿绻�系統(tǒng)的源代碼被攻擊者購得，又或者高級節(jié)點(diǎn)的維護(hù)人員惡意修改系統(tǒng)內(nèi)容等等安全系統(tǒng)外情況的出現(xiàn)，再完美的系統(tǒng)也會無效。這就如同金庫的門再厚，管鑰匙的人出了問題金庫自身是無能為力的。計(jì)算機(jī)安全能做的事就如同建—個結(jié)實(shí)的金庫，而如何加強(qiáng)對金庫的管理、維護(hù)(或者說保護(hù))則是另外一件事。事實(shí)上金庫本身也需要維護(hù)與保護(hù)，所以我們按照維度思維構(gòu)建了計(jì)算機(jī)信息安全體系本身的同時也需要按維度思維對安全體系自身進(jìn)行保護(hù)。具體來講比如，越是重要的數(shù)據(jù)服務(wù)器越要加強(qiáng)管理，對重要數(shù)據(jù)服務(wù)器的管理人員審查越要嚴(yán)格，工資待遇相對要高，越重要的工作場所越要加強(qiáng)值班、監(jiān)控等等。
　　
　　
　　
　　4安全策略維度的安全技術(shù)分布
　　
　　在所沒汁安全策略采用了加密、密碼認(rèn)證、安全通道三種技術(shù)，則認(rèn)為是采用了三維的安全防范策略。有以下技術(shù)分布方法。方法1中三個安全技術(shù)維度直接與頂點(diǎn)相接，只有兩級層次沒有實(shí)現(xiàn)前文所述的節(jié)點(diǎn)后移無法進(jìn)行層級管理，也沒有按照二叉樹結(jié)構(gòu)進(jìn)行組織。所以安全性能最差。
　　
　　方法2中，三個安全技術(shù)分成了三個層級，它比方法l要好。但它也有問題它的加密與認(rèn)證關(guān)聯(lián)于同一個節(jié)點(diǎn)，因此如果圖中的“二級節(jié)點(diǎn)”一旦被攻破則兩種安全技術(shù)被同時攻破。
　　方法3中三個安全技術(shù)分成四個層級，且加密與認(rèn)證被分布在不同的節(jié)點(diǎn)上，兩個三級節(jié)點(diǎn)任意—個被攻破仍無法攻破二級節(jié)點(diǎn)。因此方法3的安全性能最高。
　　因此，在有限的可用安全技術(shù)中，應(yīng)該盡量使用二叉樹結(jié)構(gòu)，并將這些安全技術(shù)盡可能地分布在不同的節(jié)點(diǎn)上。
　　
　　5結(jié)論
　　
　　利用維度理論來構(gòu)建的安全策略可以通過不斷增加各種安全技術(shù)的使用(增加安全維度的使用)來增加防護(hù)能力，還可以通過將節(jié)點(diǎn)不斷后移來加大攻破的難度，但我們可以看到這些都是與增加硬件、軟件不可分割的，因?yàn)橛病④浖�的不可�?fù)用性決定了使用安全維度這一策略構(gòu)筑的系統(tǒng)是一種開銷豐常巨大的系統(tǒng)，它并不適用于普通的網(wǎng)絡(luò)、計(jì)算機(jī)的安全防范。可以想象，如果我們上網(wǎng)時每—個點(diǎn)擊、每一次下載都要輸入密碼，要進(jìn)行加密，要進(jìn)行文件轉(zhuǎn)換等等操作，即便是—個二維的安全策略也讓人無法忍受。但涉及到一些重要的文件、信息時，尤其是需要保護(hù)的文件本身不大但卻極其重要時，維度安全策略就非常合適。

 1/2    1 2 下一頁 尾頁