基于軟件完整性度量的用戶信息安全防護(hù)方法

劉勇

摘要：在計(jì)算機(jī)技術(shù)飛速發(fā)展的同時(shí)，用戶信息安全也越來(lái)越受到重視。在病毒、木馬程序、黑客等計(jì)算機(jī)不安全因素的威脅下，開發(fā)一種有效的用戶信息安全防護(hù)方法顯得尤為重要。該文從用戶信息安全防護(hù)的目標(biāo)以及基本原則入手，介紹各個(gè)層面的計(jì)算機(jī)用戶信息安全防護(hù)方法，并提出一種基于軟件完整性度量的用戶信息安全防護(hù)方法，實(shí)現(xiàn)對(duì)用戶保密信息的安全防護(hù)。該方法具有一定的參考價(jià)值。

關(guān)鍵詞：信息安全；保密信息；安全防護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）08-0047-02

當(dāng)前，計(jì)算機(jī)技術(shù)飛速發(fā)展，憑借自身的優(yōu)勢(shì)影響著人們的各個(gè)方面。然而，計(jì)算機(jī)技術(shù)在帶來(lái)信息高度共享的同時(shí)，也帶來(lái)了一定的安全問題。計(jì)算機(jī)儲(chǔ)存有用戶的大量信息，其中包含大量的機(jī)密文件和私密信息，這部分信息若被泄露，將為用戶帶來(lái)很大的安全問題。而當(dāng)前，木馬病毒、黑客技術(shù)等也在逐漸發(fā)展，對(duì)計(jì)算機(jī)信息安全構(gòu)成極大的威脅。因此，探究有效的用戶信息安全防護(hù)方法對(duì)于計(jì)算機(jī)技術(shù)的更深入發(fā)展具有重要意義。

本文提出了一種基于軟件完整性度量的用戶信息安全防護(hù)方法，為計(jì)算機(jī)信息安全提供一種新思路。

1 用戶信息安全概述

1.1 信息安全的定義

所謂信息安全，指的是計(jì)算機(jī)系統(tǒng)中各硬件設(shè)備、軟件以及用戶數(shù)據(jù)能夠保證安全性，不會(huì)受到外界惡意或者偶然的影響而發(fā)生破壞，可以保證用戶計(jì)算機(jī)系統(tǒng)的正常、穩(wěn)定運(yùn)行。

1.2 保護(hù)目標(biāo)

用戶信息安全的目標(biāo)包括四個(gè)方面，包括私密性、完整性、可用性以及可控制性。以下將從四個(gè)方面入手進(jìn)行詳細(xì)闡述。

1） 私密性

私密性指的是在未經(jīng)授權(quán)的情況下他人無(wú)法獲取用戶信息。私密性是信息安全的固有屬性，也是信息安全技術(shù)研究中的一個(gè)重要內(nèi)容。

2） 完整性

完整性指的是保證用戶信息不會(huì)因未授權(quán)的行為而被修改。其目的在于維持用戶信息的初始狀態(tài)，保證信息的正確性。若用戶信息受到未授權(quán)用戶的刪除、插入或者篡改，則信息的將失去其價(jià)值。因此必須保證用戶信息的完整性。

3） 可用性

可用性指的是在用戶需要獲取信息時(shí)能夠保證獲取信息的使用權(quán)。在當(dāng)前云計(jì)算的環(huán)境下，信息安全保護(hù)有了更深層次的含義，可用性是其中一個(gè)重要方面。

4） 可控制性

可控制性指的是可以采取一定的手段和管理方法，對(duì)用戶信息進(jìn)行監(jiān)管，保證其得到合理使用。

綜上，私密性、完整性以及可用性關(guān)注的是對(duì)未經(jīng)授權(quán)的用戶的控制，而可控制性關(guān)注的是對(duì)可能涉及的未經(jīng)授權(quán)的人員對(duì)信息操作的控制管理。以上四個(gè)方面是信息安全管理的主要目標(biāo)。此外，還有用戶信息的可恢復(fù)性等，保證用戶信息在受到破壞后能夠恢復(fù)，并保證信息不丟失。

1.3 基本原則

為完成用戶信息安全的目標(biāo)，必須采用一定的技術(shù)手段來(lái)實(shí)現(xiàn)，同時(shí)也必須遵守一定的原則，以達(dá)到理想的信息安全保護(hù)效果。其中，最主要的三個(gè)基本原則包括最小化原則、權(quán)限分配原則、安全隔離原則。

1） 最小化原則

最小化原則指的是對(duì)用戶信息的管理權(quán)限限制在一定的范圍內(nèi)。在滿足管理相關(guān)法律法規(guī)的前提下，對(duì)用戶信息獲得的最小范圍的權(quán)限稱為最小化。最小化原則目的在于對(duì)用戶信息的管理和訪問權(quán)限作出一定限制。

2） 權(quán)限分配限制原則

為使信息管理者能夠和信息使用者之間形成一定的相互制約和監(jiān)督的關(guān)系，必須對(duì)用戶的信息操作權(quán)限作出一定的限制，使兩者能夠共同承擔(dān)信息安全的責(zé)任。若已經(jīng)得到授權(quán)的用戶獲取太多的權(quán)限，則信息的絕對(duì)控制權(quán)將會(huì)受到很大威脅，且過(guò)渡的操作權(quán)限會(huì)導(dǎo)致信息的濫用，造成很大的安全隱患。因此在實(shí)際執(zhí)行中必須遵照權(quán)限分配限制原則。

3） 安全隔離原則

在信息安全管理中，常用的手段包括用戶信息的隔離和保護(hù)。控制的前提是實(shí)現(xiàn)信息的隔離，其中包括信息與外部環(huán)境的隔離以及用戶信息內(nèi)部多個(gè)信息之間的隔離。遵循安全隔離原則，有利于對(duì)信息實(shí)現(xiàn)可控制的授權(quán)訪問和管理。

除了以上三條基本原則外，在實(shí)踐中還有整體性保護(hù)原則、分類分級(jí)原則等。

2 現(xiàn)有的信息安全保護(hù)方案

2.1 操作系統(tǒng)安全保護(hù)

操作系統(tǒng)安全，是對(duì)計(jì)算機(jī)內(nèi)部操作系統(tǒng)的安全保障。目前windows系統(tǒng)得到廣泛使用，以該系統(tǒng)為例介紹其安全保護(hù)技術(shù)。

1） 限制登錄權(quán)限

在計(jì)算機(jī)系統(tǒng)里面，用戶信息的絕對(duì)安全是完全阻止外部人員接觸到用戶信息數(shù)據(jù)。在windows中，用戶可以設(shè)置訪問權(quán)限功能，只有得到授權(quán)或者經(jīng)過(guò)安全檢測(cè)的用戶才有權(quán)限去訪問內(nèi)部資源。同時(shí)可以為不同用戶設(shè)置不同的訪問權(quán)限。

2） 設(shè)置安全密鑰

Windows系統(tǒng)中可以設(shè)置密碼功能，只有輸入正確的密碼才能進(jìn)入計(jì)算機(jī)進(jìn)行訪問。

3） 軟件防火墻技術(shù)

軟件防火墻功能隨著技術(shù)的發(fā)展已經(jīng)越來(lái)越高級(jí)。從一開始的只能分析端口、病毒來(lái)源，到現(xiàn)在可以攔截惡意軟件、惡意IP訪問，軟件防火墻可以對(duì)計(jì)算機(jī)實(shí)現(xiàn)大范圍的防護(hù)和監(jiān)控。

4） 瀏覽器安全技術(shù)

瀏覽器為用戶提供豐富的網(wǎng)上資源，同時(shí)也伴隨著受到木馬病毒等威脅。Windows自帶的IE瀏覽器具有多個(gè)級(jí)別的權(quán)限設(shè)置，能夠一定程度降低計(jì)算機(jī)信息受到入侵的威脅，同時(shí)還帶有新的共享機(jī)制、恢復(fù)機(jī)制等，更大程度保證計(jì)算機(jī)安全。

3 基于軟件完整性度量的用戶信息安全防護(hù)方法

根據(jù)用戶信息安全保護(hù)的原則，提出一種基于軟件完整性度量的用戶信息安全防護(hù)方法。其流程框圖如圖1所示。

本方法包含以下步驟：

A1.首先備份并且存儲(chǔ)應(yīng)用程序同時(shí)隱藏分區(qū)，同時(shí)我們記錄下其相應(yīng)的HASH值；

A2.配置INOTIY系統(tǒng)調(diào)用，將INOTIFY系統(tǒng)調(diào)用配置為監(jiān)視指定路徑下受保護(hù)應(yīng)用程序的MODIFY事件；

A3.初始化INOTIFY系統(tǒng)調(diào)用，并啟動(dòng)監(jiān)視進(jìn)程；

A4.對(duì)指定路徑下，該受保護(hù)的應(yīng)用程序的MODIFY事件進(jìn)行實(shí)時(shí)監(jiān)控；

A5.判斷是否發(fā)生MODIFY事件，如果發(fā)生則轉(zhuǎn)A6，否則轉(zhuǎn)A10；

A6.計(jì)算觸發(fā)MODIFY事件的受保護(hù)應(yīng)用程序的HASH值；

A7.讀取受保護(hù)應(yīng)用程序預(yù)先保存的HASH值；

A8.判斷重新計(jì)算的HASH值與預(yù)先保存的HASH值是否一致；如果一致，則轉(zhuǎn)到A10，否則轉(zhuǎn)A9；

A9.利用隱藏分區(qū)中備份的受保護(hù)應(yīng)用程序重新恢復(fù)受保護(hù)應(yīng)用程序；

A10.運(yùn)行受保護(hù)應(yīng)用程序。

本算法實(shí)現(xiàn)的保護(hù)是對(duì)應(yīng)用程序進(jìn)行備份并記錄HASH值，并在運(yùn)行前對(duì)其完整性進(jìn)行度量，使應(yīng)用程序在完整的情況下才得以運(yùn)行，從而保證程序的正確工作，保護(hù)用戶信息安全。

4 結(jié)語(yǔ)

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，人們工作生活的方方面面已經(jīng)和計(jì)算機(jī)技術(shù)有著千絲萬(wàn)縷的聯(lián)系。同時(shí)，計(jì)算機(jī)技術(shù)帶來(lái)的用戶信息安全問題也逐漸受到重視。開發(fā)一種高效、便捷、安全的信息防護(hù)算法變得尤為重要。一方面，安全防護(hù)方法必須遵照計(jì)算機(jī)安全的基本原則，另一方面，算法要以私密性、完整性、可用性和可控制性為目標(biāo)，確保用戶信息安全。本文提出的基于軟件完整性度量的用戶信息安全防護(hù)方法，為計(jì)算機(jī)用戶信息安全提供一種新思路，具有廣泛的發(fā)展前景。

參考文獻(xiàn)：

[1] 王升保. 信息安全等級(jí)保護(hù)體系研究及應(yīng)用[D]. 合肥工業(yè)大學(xué)，2009.

[2] 孟曉峰. 基于計(jì)算機(jī)信息安全技術(shù)及防護(hù)的分析[J]. 電腦知識(shí)與技術(shù)，2014（27）：6310-6311.

[3] 高文濤. 國(guó)內(nèi)外信息安全管理體系研究[J]. 計(jì)算機(jī)安全，2008（12）：95-97.

[4] 王海軍. 網(wǎng)絡(luò)信息安全管理體系研究[J]. 信息網(wǎng)絡(luò)安全，2008（03）：47-48.