計(jì)算機(jī)網(wǎng)絡(luò)信息存儲(chǔ)安全設(shè)計(jì)

粱冰芳 邢東旭

摘 ?要： 計(jì)算機(jī)所具有的連接方式因其多樣性、應(yīng)用技術(shù)復(fù)雜性和網(wǎng)絡(luò)廣泛性以及互相關(guān)聯(lián)性等特征，導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)信息存儲(chǔ)安全問題的出現(xiàn)并且愈發(fā)復(fù)雜。針對(duì)來(lái)自各方面的諸多威脅和系統(tǒng)本身的脆弱性，通過建立計(jì)算機(jī)網(wǎng)絡(luò)信息的危險(xiǎn)控制模型、控制網(wǎng)絡(luò)信息訪問數(shù)據(jù)、鑒別網(wǎng)絡(luò)信息用戶身份等方法，制定出計(jì)算機(jī)網(wǎng)絡(luò)信息存儲(chǔ)安全的具體措施，以此來(lái)保證存儲(chǔ)信息系統(tǒng)的運(yùn)行安全。

關(guān)鍵詞： 網(wǎng)絡(luò); 信息存儲(chǔ); 安全; 設(shè)計(jì)

中圖分類號(hào)：TP393.0 ? ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ? 文章編號(hào)：1006-8228（2015）01-24-02

Secure design of computer network information storage

Liang Bingfang， Xing Dongxu

（Information Engineering College， Inner Mongolia University of Science and Technology， Baotou， Inner Mongolia 014010， China）

Abstract： Due to the diversity of the connection， complexity of the application technology and the breadth of the network and other characteristics， the security issues of the computer network information storage have appeared and become more and more complex.To solve the various threat problems and the vulnerability， methods including computer network information herein danger control model， control access to the data network information， network information to identify the user identity are used to develop specific measures to ensure the safe operation of storage information systems.

Key words： network; information storage; security; design

1 計(jì)算機(jī)存儲(chǔ)信息過程中的安全威脅

計(jì)算機(jī)存儲(chǔ)信息過程中安全威脅來(lái)自如下幾方面。

⑴ 設(shè)備自身故障

由于儲(chǔ)存信息設(shè)備的自身故障造成信息存儲(chǔ)過程中信息的破壞，從而使信息失去完整性、破壞了信息的可用性[1]。

⑵ 用戶非法訪問

沒有被授權(quán)的網(wǎng)絡(luò)用戶為了訪問信息，非法繞過為保護(hù)信息完整性所設(shè)計(jì)的安全設(shè)置，對(duì)保密信息進(jìn)行訪問，進(jìn)而使信息的保密性遭到破壞，在儲(chǔ)存過程中造成信息泄密。

⑶ 信息遭到破壞

非法入侵者雖然沒有辦法獲得網(wǎng)絡(luò)信息，但其入侵可以使存儲(chǔ)的信息遭到破壞、被刪除或者被修改，使信息喪失完整性。

2 建立計(jì)算機(jī)網(wǎng)絡(luò)信息的危險(xiǎn)控制模型

根據(jù)計(jì)算機(jī)信息在網(wǎng)絡(luò)中所處的位置來(lái)確定計(jì)算機(jī)信息資源的危險(xiǎn)等級(jí)，并將其記為R，危險(xiǎn)等級(jí)R在1—10的范圍內(nèi)取值，R數(shù)值越大代表危險(xiǎn)等級(jí)越高。根據(jù)信息資源的危險(xiǎn)等級(jí)來(lái)確定網(wǎng)絡(luò)信息的保密需求和保密等級(jí)，并將其記為W，保密等級(jí)W的數(shù)值根據(jù)保密需求依次劃分并遞增，其數(shù)值越大代表信息保密需求越高。

根據(jù)以上對(duì)計(jì)算機(jī)信息資源的危險(xiǎn)等級(jí)和網(wǎng)絡(luò)信息的保密需求及保密等級(jí)的設(shè)計(jì)，計(jì)算機(jī)網(wǎng)絡(luò)信息資源的危險(xiǎn)等級(jí)我們用WR來(lái)表示，能得出危險(xiǎn)等級(jí)的評(píng)估。

3 控制網(wǎng)絡(luò)信息訪問數(shù)據(jù)

為了有效地控制網(wǎng)絡(luò)用戶對(duì)保密信息進(jìn)行非法的訪問，有必要對(duì)已存儲(chǔ)的信息應(yīng)用訪問控制的相關(guān)技術(shù)進(jìn)行設(shè)置，由于現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)信息的存貯系統(tǒng)以Windows系統(tǒng)為主，可以用其自身所提供的安全控制設(shè)置或根據(jù)需求手動(dòng)設(shè)計(jì)對(duì)信息的安全控制設(shè)置。

3.1 鑒別網(wǎng)絡(luò)信息用戶身份

對(duì)信息用戶的身份進(jìn)行鑒別的目的是防止沒有得到授權(quán)的用戶非法闖入計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中，非法閱讀涉密網(wǎng)絡(luò)信息[7]。身份鑒別的具體操作就是對(duì)計(jì)算機(jī)終端用戶的使用身份進(jìn)行網(wǎng)絡(luò)識(shí)別和在線驗(yàn)證。身份鑒別的具體方法有以下三種：通行驗(yàn)證、指令驗(yàn)證和面部特征驗(yàn)證。在網(wǎng)絡(luò)信息中廣泛使用的方法是采用口令驗(yàn)證與Integrated Circuit卡相結(jié)合的雙重驗(yàn)證技術(shù)，具體操作如下。

第一步由用戶自己選擇一條口令，接下來(lái)由計(jì)算機(jī)終端用戶自動(dòng)識(shí)別記錄特定密碼的網(wǎng)絡(luò)信息用戶信息識(shí)別的Integrated Circuit卡[3]。

當(dāng)使用時(shí)用戶要先把Integrated Circuit卡插入計(jì)算機(jī)中，這時(shí)計(jì)算機(jī)會(huì)對(duì)所插入的Integrated Circuit卡進(jìn)行讀取并進(jìn)行驗(yàn)證，然后再根據(jù)提示將用戶口令輸入，Integrated Circuit卡和口令相吻合后，用戶就可以訪問并且使用計(jì)算機(jī)中存儲(chǔ)的信息。此方法可以有效防止驗(yàn)證口令被他人盜取，從而確保所存儲(chǔ)的信息安全。

3.2 控制網(wǎng)絡(luò)信息訪問權(quán)限

在工作中對(duì)訪問權(quán)限進(jìn)行控制指的是針對(duì)合法用戶所存儲(chǔ)的網(wǎng)絡(luò)信息（文件和數(shù)據(jù)）的操作或使用權(quán)限進(jìn)行一定的限制，這里的權(quán)限主要指信息的Read、write、execute等操作[4]。對(duì)信息的訪問權(quán)限進(jìn)行控制的方法有以下幾種。

⑴ 確保合法用戶的訪問權(quán)限。對(duì)用戶進(jìn)行可行性分類，以確定各類用戶對(duì)信息的訪問權(quán)限和允許進(jìn)行的操作，以防止用戶越權(quán)對(duì)保密的信息進(jìn)行訪問。對(duì)涉密等級(jí)較高的網(wǎng)絡(luò)系統(tǒng)，信息的訪問權(quán)限要控制到具體用戶。

⑵ 建立詳細(xì)的信息用戶操作權(quán)限控制表。在表中詳細(xì)的列出用戶的種類、訪問權(quán)限和可訪問的信息。

⑶ 對(duì)計(jì)算機(jī)中存儲(chǔ)信息的可操作權(quán)限做定期的檢查。利用編程語(yǔ)言對(duì)存儲(chǔ)文件操作權(quán)限的檢查信息進(jìn)行編寫。對(duì)限制操作的文件系統(tǒng)做定期檢查。

3.3 用戶審計(jì)

對(duì)用戶進(jìn)行審計(jì)指的是對(duì)用戶使用網(wǎng)絡(luò)系統(tǒng)的全部操作進(jìn)行全程記錄;并對(duì)發(fā)現(xiàn)的非法訪問行為進(jìn)行實(shí)時(shí)監(jiān)控，掌握非法訪問規(guī)律，及時(shí)阻止非法訪問行為，以此提高系統(tǒng)安全性。網(wǎng)絡(luò)系統(tǒng)應(yīng)建立詳盡的系統(tǒng)工作日志，用以記錄每個(gè)網(wǎng)絡(luò)用戶的每次活動(dòng)以及錯(cuò)誤信息。對(duì)于涉密等級(jí)較高的系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)必須能自動(dòng)檢測(cè)非法訪問時(shí)間并做好記錄，及時(shí)報(bào)警[2]。

3.4 病毒防護(hù)

建立有效的病毒防護(hù)措施和便捷的檢查方法，以防止數(shù)據(jù)遭到病毒的破壞。建立對(duì)優(yōu)盤、硬盤等外來(lái)文件的檢查機(jī)制，以防止病毒在存儲(chǔ)設(shè)備間傳染和擴(kuò)散。

4 網(wǎng)絡(luò)存儲(chǔ)信息數(shù)據(jù)加密

對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行加密可以有效限制存儲(chǔ)數(shù)據(jù)被非法訪問的權(quán)限。對(duì)數(shù)據(jù)進(jìn)行加密的時(shí)候用一種相當(dāng)于“密鑰”的網(wǎng)絡(luò)信息系統(tǒng)讀取數(shù)據(jù)信息并對(duì)數(shù)據(jù)進(jìn)行編碼。原始的信息數(shù)據(jù)文本被加密程序和“密鑰”加密后，就生成了被編碼的信息文本密文。如果想重新生成“明文”，就必須應(yīng)用相同的加密程序和密鑰解密密文。通過這種加密形式，對(duì)信息數(shù)據(jù)進(jìn)行非法訪問的用戶即便是得到了網(wǎng)絡(luò)信息存儲(chǔ)資源，也會(huì)因?yàn)闆]有加密程序或者加密的密鑰，而無(wú)法對(duì)密文進(jìn)行解密，也就沒有辦法得到信息數(shù)據(jù)的具體內(nèi)容。

被廣泛應(yīng)用的密令有crypt和des兩條加密命令。比較這兩條命令，應(yīng)用des進(jìn)行加密的文件信息較為安全，相對(duì)而言，應(yīng)用crypt進(jìn)行加密的文件破解技術(shù)量則相對(duì)比較大。所以，在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工程中絕大多數(shù)都應(yīng)用des對(duì)網(wǎng)絡(luò)信息的存儲(chǔ)文件加密[6]。密鑰是一個(gè)相當(dāng)于口令的編程語(yǔ)言字符串，在選用密鑰時(shí)要遵照與選用口令時(shí)相同的規(guī)則。

5 對(duì)數(shù)據(jù)進(jìn)行備份

對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行備份是保證網(wǎng)絡(luò)信息數(shù)據(jù)安全的一項(xiàng)重要措施，在此過程中必須要對(duì)重要的網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行定期備份，以防止因?yàn)橛?jì)算機(jī)信息存儲(chǔ)設(shè)備的損壞或者因?yàn)榉欠ㄓ脩舻脑L問而造成信息數(shù)據(jù)的丟失和損壞。在信息備份的過程中要注意提高系統(tǒng)的可靠性和安全性，并且要注意節(jié)約數(shù)據(jù)備份的費(fèi)用。通過建立詳細(xì)的網(wǎng)絡(luò)信息數(shù)據(jù)備份記錄，來(lái)防止備份過程中產(chǎn)生錯(cuò)誤，確保備份數(shù)據(jù)信息的安全。

6 結(jié)束語(yǔ)

本文從計(jì)算機(jī)存儲(chǔ)信息過程中的安全威脅問題入手，對(duì)當(dāng)前計(jì)算機(jī)存儲(chǔ)信息安全的現(xiàn)狀以及多種保證計(jì)算機(jī)存儲(chǔ)信息安全的技術(shù)進(jìn)行分析，結(jié)合實(shí)際工作，提出了建立計(jì)算機(jī)網(wǎng)絡(luò)信息的危險(xiǎn)控制模型、控制網(wǎng)絡(luò)信息訪問數(shù)據(jù)、鑒別網(wǎng)絡(luò)信息用戶身份、控制網(wǎng)絡(luò)信息訪問權(quán)限、用戶審計(jì)、病毒防護(hù)、網(wǎng)絡(luò)存儲(chǔ)信息數(shù)據(jù)加密、對(duì)數(shù)據(jù)進(jìn)行備份等方法，進(jìn)而提出了計(jì)算機(jī)網(wǎng)絡(luò)信息存儲(chǔ)安全設(shè)計(jì)方案，保證了信息存儲(chǔ)系統(tǒng)的運(yùn)行安全。該方案能夠?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)信息存儲(chǔ)安全設(shè)計(jì)提供較好的參考。

參考文獻(xiàn)：

[1] 信息技術(shù)研究中心.網(wǎng)絡(luò)信息安全新技術(shù)與標(biāo)準(zhǔn)規(guī)范實(shí)用手冊(cè)（第1

版）[M].電子信息出版社，2004.

[2] 周學(xué)廣，劉藝.信息安全學(xué)（第1版）[M].機(jī)械工業(yè)出版社，2003.

[3] 毛劍.保護(hù)隱私的數(shù)字產(chǎn)品網(wǎng)上交易方案[J].電子學(xué)報(bào)，2005.6：

1053-1055

[4] 陳月波.網(wǎng)絡(luò)信息安全（第1版）[M].武漢工業(yè)大學(xué)出版社，2005.

[5] 北京啟明星辰信息技術(shù)公司.網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)（第1版）[M].電

子工業(yè)出版社，2002.

[6] 寧蒙.網(wǎng)絡(luò)信息安全與防范技術(shù)（第1版）[M].東南大學(xué)出版社，2005.

[7] 石志國(guó)，薛為民，江俐.計(jì)算機(jī)網(wǎng)絡(luò)安全教程（第1版）[M].清華大學(xué)出

版社，2004.