基于网络信息安全技术管理的计算机应用
2020-12-24吴晶
吴 晶
(江西省电子信息工程学校,江西 南昌 330096)
0 引言
无论是计算机病毒扩散还是网络黑客攻击,诸如此类的计算机网络犯罪都已经覆盖了人们生活的多个方面。网络信息本身面临着非法篡改、插入、删除的可能性,信息的完整程度也因此受到了严重影响。网络信息安全问题已经是人们经常需要面对的问题,与之对应的安全措施也应该全方位地针对不同的威胁和漏洞特点来维持信息的安全性与可靠性,这也是网络信息安全技术管理应用的主要手段。
1 网络信息安全技术管理的应用
1.1 密码协议
密码协议技术本身是一种安全协议基础上的密码方案,是建立在现有密码体制基础上的交互式通信方案,借助于现有的密码算法来实现密钥分配和身份认证的目的。总体而言,密码协议是一种使用密码学的协议,密码技术则围绕构建密码协议的基本工具展开。从密码协议的基本功能来看,它包括会话密钥的构建、实体认证、密钥分配等,其作用在于保证所分发的密钥实体是可以预期的,这样一来复杂的密码协议才具有安全通信等多个方面的功能。
按照计算机网络信息系统对于密码服务功能的现实需求,密码协议可以被划分为密钥分配协议和加密协议等。如果从其基本功能来看,则可以将比较简单的密码协议进行不同类型的划分[1]。
首先是交换协议,即参与协议的多个实体之间建立共享密钥,一方面可以在通信中进行会话管理,另一方面也可以采用对称密钥密码的方式来进行传送、分配和协商,双方实体本身会各自提供数据并经过运算而产生密钥。因为密钥本身不需要进行传送。
其次是认证协议。认证协议类型包括实体的身份认证协议和消息认证协议,其作用在于避免信息受到篡改和否认。通常来说认证协议可以采取非对称密码技术,并按照协议中的密码算法类型差异划分为非对称密码认证协议和单项函数认证协议,按照协议参与到实体数目当中。如果按照认证方向的不同,则可以划分为单向认证协议和双向认证协议。某些复杂的协议内容还可以根据应用目的的差异划分为电子商务或群密钥类型等。
总体而言密码体制被划分为两种类型,一种是对称密码体制,即单钥密码体制,主要功能是为数据加密提供技术手段,但也可以将其应用在简单的消息认证环节中。例如现有的口令认证系统中就可以通过这一手段来有效地对用户身份进行认定,但需要综合考虑密钥管理的相关问题,特别是在复杂的网络通信条件之下如何进行合理规划。当然,即便密码算法再优秀,系统本身还会面临着一些安全问题,其保密强度能否维持较高的水准也至关重要。与之相比,公钥密码体制则让每个用户都拥有一个加密密钥和对应的解密密钥,将加密和解密能力进行了区分,可以实现多个用户的加密或解密,还可以提供数字签名、认证功能,也为密码学的发展提供了关键的理论技术和技术支持[2]。
1.2 入侵管理检测
入侵检测系统即计算机网络和计算机系统中的关键点手机信息后进行的相关问题,从中掌握网络和系统当中是否有违反安全策略的行为存在。入侵检测系统的构建也能够促进入侵检测功能的完善,作为一种非常有效的安全管理工具,它可以从不同的角度和不同的资源层次收集有关信息,然后反映出有哪些信息出现了异常或是被误用。在对监测行为做出自动反应之后,就可以采取更加系统和完善的安全策略来对收集的状态信息展开分类处理,系统地判断出入侵行为和非入侵行为。
整个入侵检测系统的功能包括对用户、系统的活动进行监督,然后分析整个系统当中是否有漏洞存在。这样一来关键系统和数据文件的特征也可以得到识别,一旦出现比较反常的行为模式,那么整个操作系统就可以通过校验和管理的方式判断系统行为是否会存在安全隐患,是否会影响到正常的用户活动。如一个良好的入侵检测系统可以发挥效果,系统管理人员不仅可以随时了解网络系统存在的变更情况,还可以以此为基础修订网络安全策略,入侵检测的规模会根据实际的网络威胁程度和安全需求做出调整。换言之,入侵检测系统在发现入侵之后应及时地做出相应,包括对网络连接的断开和事件的记录等。系统构成包括信息模块、分析模块和用户接口模块[3]。
信息模块是入侵检测系统的首要工作,包括对系统、网络数据和活动的状态行为分析。整个计算机网络系统中的关键点在收集完信息之后还应该尽可能地扩大检测范围,并且获取某些可疑的信息源。分析模块则用于统计分析和完整性分析,统计在系统正常使用时的某些测量属性,属性的平均值信息将会被用于比较系统行为。当观察值在正常值范围之外时就可以判定有入侵行为的产生。从完整性分析的角度来看,在关注某些文件和对象的具体信息时也会涉及文件和目录的内容和属性,在一些应用程序被篡改时的效果比较显著。而入侵检测系统的用户接口可以观察到系统的输出信号,然后对系统行为展开控制。
1.3 数据备份与数据恢复
信息安全的重要性显而易见,但数据传输和数据交换的过程当中本身会有信息故障的可能性,如果没有采取有效的数据备份和数据恢复手段,就有可能导致数据的丢失从而威胁到数据安全,造成系统失效。硬盘驱动器的损坏、人为失误或来自外部因素的入侵都会导致此类事故的出现。当然,数据备份就可以成为保护数据的最后一道“屏障”,以便在数据受到意外损害时可以得到恢复,将损失降到最低。总体而言数据备份是为了加强数据的可用性与安全性,在出现灾害性事故时也可以将已经备份完成的数据进行应用恢复。
一个完整的数据备份系统应该包括多个方面,包括本地系统、数据安全系统和远程备份系统等。以本地的备份系统来说,可以被应用于关键数据的追踪和分析,确保备份数据能够和关键数据一起用于同步和更新,确保本地的关键数据产生损坏后能够在最短时间内得到恢复。目前远程备份数据技术已经得到了广泛应用,可以保障数据损坏时能够快速地得到恢复。从主流模式来看,无论是硬件数据备份还是软件数据备份,都需要考虑到安全性问题。同步方式和异步方式在数据处理方面也可能会受到网络环境的影响。所以整体的体系架构至关重要。目前DAS存储、NAS存储、SAN存储等都可以发挥应有的作用。
这里以基于索引的文件备份方案为例,基于索引的文件备份模式即对服务器中的文件进行排序和鉴别,让一个副本对应一个文件实现空间节约的目的,如图1所示。
图1 文件存储单副本
1.4 RSA广播加密
RSA广播加密系统本身是一种允许数据供应商把数据内容通过广播信道进行安全分发的机制,能够让所有的用户获得信息密钥,并且将信息进行接收。现代多媒体业务的普及和发展让广播加密得到了非常广阔的应用。考虑到实际应用情况,可以得到两种不同情况下的加密和广播方案。一种是广播中心直接对数据进行加密,并且计算密文将其广播出去;另一种则是应用传统的对称加密函数,将其作为解密函数对数据内容展开加密处理。如果广播中心要把数据内容安全地发送给授权用户,则需要进行后续的操作控制好信息报头。
涉及相同文件的识别和分析时就应考虑到有哪些因素会导致文件的丢失情况。本文用此类参数作为判定依据,即文件的类型、文件大小、文件修改时间和校验值等内容。当这些参数完全相同时则可以被认为是同一种类型的文件。可以先对备份文件进行索引和分类后再按照文件类型的顺序进行排序。备份的文件在一段时间后可能需要进行更新,并且整个文件的备份过程要将对应的文件放入不同的文件夹当中[4]。
在现有的研究中也提到了最小存储开销的广播加密方案,可以在保持开销不发生改变的前提下缩小用户的存储开销。很多相关内容中也涉及基于身份信息进行加密的存储开销、传输开销方案。基于RSA加密体制并选择树形结构分配后,就可以追踪系统中哪些是恶意共享内容并且定位用户的“合法性”。作为一种应用广泛的密码算法,RSA密码体制模式下可以缩小计算量和运算效率,保护数据的安全性[5-6]。
2 结语
现代网络技术手段的快速普及,使得网络安全问题成为一个在信息时代必须解决的问题。网络安全措施需要一个完善的体系来构建的,并针对不同类型的威胁和漏洞根据他们的完善度进行有效区分,才能确保网络信息的可靠性和实用性。所以,建立相应的安全模型、密码协议、入侵检测技术和数据备份方案之后就可以将广播加密系统、文件备份系统的技术优势进行应用,让改造后的系统可以在检测速度、质量等方面有所改进和优化。安全策略的制定不仅包括实体元素的安全等级,还包括安全服务互动机制的有关内容,每个安全策略都应该包含身份信息管理、访问管理和通信管理等,同时在安全恢复响应方面发挥作用,选择不同的技术方法。