粱冰芳 邢东旭
摘 要: 计算机所具有的连接方式因其多样性、应用技术复杂性和网络广泛性以及互相关联性等特征,导致计算机网络信息存储安全问题的出现并且愈发复杂。针对来自各方面的诸多威胁和系统本身的脆弱性,通过建立计算机网络信息的危险控制模型、控制网络信息访问数据、鉴别网络信息用户身份等方法,制定出计算机网络信息存储安全的具体措施,以此来保证存储信息系统的运行安全。
关键词: 网络; 信息存储; 安全; 设计
中图分类号:TP393.0 文献标志码:A 文章编号:1006-8228(2015)01-24-02
Secure design of computer network information storage
Liang Bingfang, Xing Dongxu
(Information Engineering College, Inner Mongolia University of Science and Technology, Baotou, Inner Mongolia 014010, China)
Abstract: Due to the diversity of the connection, complexity of the application technology and the breadth of the network and other characteristics, the security issues of the computer network information storage have appeared and become more and more complex.To solve the various threat problems and the vulnerability, methods including computer network information herein danger control model, control access to the data network information, network information to identify the user identity are used to develop specific measures to ensure the safe operation of storage information systems.
Key words: network; information storage; security; design
1 计算机存储信息过程中的安全威胁
计算机存储信息过程中安全威胁来自如下几方面。
⑴ 设备自身故障
由于储存信息设备的自身故障造成信息存储过程中信息的破坏,从而使信息失去完整性、破坏了信息的可用性[1]。
⑵ 用户非法访问
没有被授权的网络用户为了访问信息,非法绕过为保护信息完整性所设计的安全设置,对保密信息进行访问,进而使信息的保密性遭到破坏,在储存过程中造成信息泄密。
⑶ 信息遭到破坏
非法入侵者虽然没有办法获得网络信息,但其入侵可以使存储的信息遭到破坏、被删除或者被修改,使信息丧失完整性。
2 建立计算机网络信息的危险控制模型
根据计算机信息在网络中所处的位置来确定计算机信息资源的危险等级,并将其记为R,危险等级R在1—10的范围内取值,R数值越大代表危险等级越高。根据信息资源的危险等级来确定网络信息的保密需求和保密等级,并将其记为W,保密等级W的数值根据保密需求依次划分并递增,其数值越大代表信息保密需求越高。
根据以上对计算机信息资源的危险等级和网络信息的保密需求及保密等级的设计,计算机网络信息资源的危险等级我们用WR来表示,能得出危险等级的评估。
3 控制网络信息访问数据
为了有效地控制网络用户对保密信息进行非法的访问,有必要对已存储的信息应用访问控制的相关技术进行设置,由于现阶段计算机网络信息的存贮系统以Windows系统为主,可以用其自身所提供的安全控制设置或根据需求手动设计对信息的安全控制设置。
3.1 鉴别网络信息用户身份
对信息用户的身份进行鉴别的目的是防止没有得到授权的用户非法闯入计算机网络信息系统中,非法阅读涉密网络信息[7]。身份鉴别的具体操作就是对计算机终端用户的使用身份进行网络识别和在线验证。身份鉴别的具体方法有以下三种:通行验证、指令验证和面部特征验证。在网络信息中广泛使用的方法是采用口令验证与Integrated Circuit卡相结合的双重验证技术,具体操作如下。
第一步由用户自己选择一条口令,接下来由计算机终端用户自动识别记录特定密码的网络信息用户信息识别的Integrated Circuit卡[3]。
当使用时用户要先把Integrated Circuit卡插入计算机中,这时计算机会对所插入的Integrated Circuit卡进行读取并进行验证,然后再根据提示将用户口令输入,Integrated Circuit卡和口令相吻合后,用户就可以访问并且使用计算机中存储的信息。此方法可以有效防止验证口令被他人盗取,从而确保所存储的信息安全。
3.2 控制网络信息访问权限
在工作中对访问权限进行控制指的是针对合法用户所存储的网络信息(文件和数据)的操作或使用权限进行一定的限制,这里的权限主要指信息的Read、write、execute等操作[4]。对信息的访问权限进行控制的方法有以下几种。
⑴ 确保合法用户的访问权限。对用户进行可行性分类,以确定各类用户对信息的访问权限和允许进行的操作,以防止用户越权对保密的信息进行访问。对涉密等级较高的网络系统,信息的访问权限要控制到具体用户。
⑵ 建立详细的信息用户操作权限控制表。在表中详细的列出用户的种类、访问权限和可访问的信息。
⑶ 对计算机中存储信息的可操作权限做定期的检查。利用编程语言对存储文件操作权限的检查信息进行编写。对限制操作的文件系统做定期检查。
3.3 用户审计
对用户进行审计指的是对用户使用网络系统的全部操作进行全程记录;并对发现的非法访问行为进行实时监控,掌握非法访问规律,及时阻止非法访问行为,以此提高系统安全性。网络系统应建立详尽的系统工作日志,用以记录每个网络用户的每次活动以及错误信息。对于涉密等级较高的系统,网络系统必须能自动检测非法访问时间并做好记录,及时报警[2]。
3.4 病毒防护
建立有效的病毒防护措施和便捷的检查方法,以防止数据遭到病毒的破坏。建立对优盘、硬盘等外来文件的检查机制,以防止病毒在存储设备间传染和扩散。
4 网络存储信息数据加密
对网络信息数据进行加密可以有效限制存储数据被非法访问的权限。对数据进行加密的时候用一种相当于“密钥”的网络信息系统读取数据信息并对数据进行编码。原始的信息数据文本被加密程序和“密钥”加密后,就生成了被编码的信息文本密文。如果想重新生成“明文”,就必须应用相同的加密程序和密钥解密密文。通过这种加密形式,对信息数据进行非法访问的用户即便是得到了网络信息存储资源,也会因为没有加密程序或者加密的密钥,而无法对密文进行解密,也就没有办法得到信息数据的具体内容。
被广泛应用的密令有crypt和des两条加密命令。比较这两条命令,应用des进行加密的文件信息较为安全,相对而言,应用crypt进行加密的文件破解技术量则相对比较大。所以,在计算机网络系统工程中绝大多数都应用des对网络信息的存储文件加密[6]。密钥是一个相当于口令的编程语言字符串,在选用密钥时要遵照与选用口令时相同的规则。
5 对数据进行备份
对网络信息数据进行备份是保证网络信息数据安全的一项重要措施,在此过程中必须要对重要的网络信息数据进行定期备份,以防止因为计算机信息存储设备的损坏或者因为非法用户的访问而造成信息数据的丢失和损坏。在信息备份的过程中要注意提高系统的可靠性和安全性,并且要注意节约数据备份的费用。通过建立详细的网络信息数据备份记录,来防止备份过程中产生错误,确保备份数据信息的安全。
6 结束语
本文从计算机存储信息过程中的安全威胁问题入手,对当前计算机存储信息安全的现状以及多种保证计算机存储信息安全的技术进行分析,结合实际工作,提出了建立计算机网络信息的危险控制模型、控制网络信息访问数据、鉴别网络信息用户身份、控制网络信息访问权限、用户审计、病毒防护、网络存储信息数据加密、对数据进行备份等方法,进而提出了计算机网络信息存储安全设计方案,保证了信息存储系统的运行安全。该方案能够为计算机网络信息存储安全设计提供较好的参考。
参考文献:
[1] 信息技术研究中心.网络信息安全新技术与标准规范实用手册(第1
版)[M].电子信息出版社,2004.
[2] 周学广,刘艺.信息安全学(第1版)[M].机械工业出版社,2003.
[3] 毛剑.保护隐私的数字产品网上交易方案[J].电子学报,2005.6:
1053-1055
[4] 陈月波.网络信息安全(第1版)[M].武汉工业大学出版社,2005.
[5] 北京启明星辰信息技术公司.网络信息安全技术基础(第1版)[M].电
子工业出版社,2002.
[6] 宁蒙.网络信息安全与防范技术(第1版)[M].东南大学出版社,2005.
[7] 石志国,薛为民,江俐.计算机网络安全教程(第1版)[M].清华大学出
版社,2004.