侯佳音,史淳樵
(同济大学 附属第十人民医院,上海 200072)
网络信息安全建设的目的是保证网络信息真实完整、系统能够正常运行,具体工作包括硬件设备和软件系统中数据的保护,保护数据不会因为意外事故或者人为恶意破坏而被泄露、更改,删除,保证系统能够正常运作。总的来说,网络信息安全涉及以下几个方面的安全防护:计算机硬件安全、系统软件安全、运行安全、数据安全。
网络信息安全防护问题已成为当前时代发展的重点问题,影响计算机网络信息安全的主要因素有:
因为网络是依存于计算机和网络光缆之上存在的,而这一点就决定了硬件的故障很可能导致信息的丢失,可能的原因包括自然环境的影响:温度、湿度、振动、雷电或者是人为电磁波干扰问题,另外突然事故也可能导致信息损失,目前我国许多计算机空间仍旧缺少防水、防火、防电磁泄露干扰设施,抵御自然灾害和意外事故的能力较差,对信息安全造成了隐患。
用户安全意识不强,登录口令设置简单,用户将自己的账号随意泄露等,因为怕麻烦,而不设置密保,都会造都会对信息安全造成严重的威胁。
用户使用盗版软件也是导致信息安全隐患的另一重要原因。盗版软件在中国随处可见,盗版软件一般来说价格比较低,而且适用性也能够满足很多用户的需要,所以很多用户都在电脑中安装盗版软件,但是这些软件设计未经认证,也会带来潜藏的信息安全隐患,例如有些用户购买的或者网络上下载的盗版软件都很有可能带有木马或者恶意执行代码,一旦一台计算机染上病毒,很可能网络系统就因此全部瘫痪。
1)病毒木马与恶意代码
计算机病毒是能通过信息流动感染计算机的一段程序,通常,病毒具有传染性、潜伏性等特点,病毒的最终目的是侵入攻击对象的系统,窃取信息,破坏程序等。病毒的传播途径很广泛、可以通过文件复制、传输、运行等操作进行传输,病毒是程序文件,承载体可以是软盘、硬盘、光盘。病毒的危害主要在于其破坏性和传播能力。服务器一旦被感染,就会迅速地在网络传播,传播速度极快、范围极广,而清除全部病毒则是病毒传播时间的几十倍以上。病毒根据目的不同有不同破坏性,轻则信息泄露、重则直接损坏计算机硬件软件系统,使计算机无法正常工作。
2)黑客入侵
网络黑客指的是专门使用网络侵入系统,窃取机密数据或者对文件进行篡改等行为、甚至远程控制计算机使计算机系统瘫痪的计算机技术人员。目前从世界范围来看,黑客数量庞大,且出现了协同作战的现象,黑客群体组织化、攻击对象也由个人和中小企业逐步转向了政府机构、情报机构、银行、大型企业等。黑客攻击往往表现出很强的隐蔽性,从智能水平看,黑客通常有着很高的计算机水平,能够有技巧地绕过防火墙和拦截,黑客行为一般比较严重,2010年,中国最大的搜索引擎百度被黑客攻击,瘫痪数个小时,除了经济利益的损失之外,大型网站被攻击会造成社会心理的不安。
首先,对网络信息的综合控制,可以在以下几个环节进行控制,具体的控制要点如图1所示,下文将根据其中的几个重点内容进行详细论述。
图1 信息安全防护策略Fig.1 Information security protection strategy
一般个人计算机使用软件防火墙杀毒软件进行信息防护,杀毒软件也是最常用的是安全防护技术,这种技术能够有效地查杀病毒,防御木马及其他的一些黑客程序的入侵。这是最基础的信息安全防护手段。除此之外,重点的信息安全技术包括用户认证、信息加密、入侵检测的设计。
其中认证的方式主要包括身份认证、访问授权、数字签名等。数字签名是近年来出现的新技术,数字签名一种是DES形式,另一种是 RES形式,这两种方式都是从数字签名的应用协议方面区分的。系统需要设计一个辨别程序,对于未经授权的用户,系统则限制访问,这是最基本的一种防护措施,每户通过系统认定之后,方可使用权限。其内部认证途径如图2所示。
图2 认证服务程序图Fig.2 Certification service program
如图3所示,EAP认证过程基本上由3个步骤来实现,首先是进行链路的建立,建立完成后,认证者发送一个或多个请求数据包来对对方进行认证,该数据包中有一个类型域表明请求的类型。然后是由对方发送一个响应数据包对每一个请求做出应答。响应包中的类型域与请求包中的类型域对应。这样进行对应以后,认证者发送一个成功或失败数据包结束认证阶段。
认证端点(拨号用户)和NAS之间的EAP会话先是发起身份请求,然后以LCP(链路控制协议)协商EAP开始认证过程,流程如图4所示。
图3 EAP认证过程简图Fig.3 EAP authentication process diagram
整个过程中。NAS不需要处理EAP数据包,仅仅作为透明传输代理,无需理解EAP协议。
1)EAP-Message
这个属性封装的是EAP数据包,类型代码为79,string域最长253字节,如果数据包太长的话,处理器可以对其进行分片,依次封装在多个EAP-Message属性中。
2)Message-Authenticator
这种属性格格式表明其类型代码为80,其长度为18个字节,String域为16个字节,整个流程是通过服务器收到接入请求开始的,如果发现其含有EAP-Message属性,则计算Message-Authenticator,如果发现这二者不相同,数据包被丢弃。
图4 EAP/RADIUS工作流程Fig.4 RADIUS,EAP/workflow
MD5算法的优化也是本次设计的一部分,设计的总体思想是以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由4个32位分组组成,将这4个32位分组级联后将生成一个128位散列值。
第一步:增加填充,填充的方法就是在信息的字节上进行填充,最终目的是使得字节长度对512求余的结果等于448。
第二步:补足长度,在这个结果后面附加一个以64位二进制表示的填充前信息长度。经过这两步的处理,现在的信息字节长度=n*512+448+64=(n+1)*512,即长度恰好是 512的整数倍。
第三步:初始化变量,用到 4个变量,分别为 A、B、C、D,均为 32 bit长。 初始化为:a=0x01234567,b=0x89abcdef,c=0xfedcba98,d=0x76543210。
第四步:数据处理,四轮循环运算,当设置好这4个链接变量后,就开始进入算法的四轮循环运算。循环的次数是信息中512位信息分组的数目。
第五步:输出,最后得到的 a,b,c,d 级连为输出结果(即摘要),共128 bit。其中a为低位,d为高位。
EAP-MD5认证值长度Value-Size一字节长,指示“值”字段的长度。值ValBe,其作用是在字节正常的情况下,传输最高位。质询值是可变字节流,质询值必须在每次发送质询时都要改变。
图5 EAP-MD5数据包格式Fig.5 EAP-MD5 packet format
系统安全模块的的总体设计基本框架如图6所示。
在整个系统中,协商处理模块是系统的中心模块,围绕该模块的分别有一系列的阶段和事件算法等:状态库、交换阶段、超时事件、密码算法、网络接口和PF_KEY接口。为了能够更加直观。
图6 IKEv2总体设计的基本框架Fig.6 The basic framework of the overall design of the IKEv2
上述模块主要可以用于可信赖的有特权的密钥管理程序或者用于操作系统内部密钥管理的通信。密钥引擎和它的构件是一个会话安全属性的具体表现,也是“安全关联”的实例。“安全关联”(SA)的概念在RFC2401(原文为RFC1825现已被代替)中说明。这里所说的PF_KEY和密钥引擎引用多于加密密钥,传统术语 “密钥管理”为了一致性予以保留。PF_KEY源于BSD的路由套接字PF_ROUTE([Skl91])的一部分。例如:在两个直接通信的应用层程序之间,但是这种可能性这里不做详细讨论。安全策略在这个接口中慎重地忽略。PF_KEY不是协调全系统安全策略的机制,也不想要实施任何密钥管理策略。PF_KEY的开发者认为把安全机制 (如PF_KEY)和安全策略分离是很重要的,这样允许一个机制很容易的支持多个策略。大多数密钥管理通常部分或者全部在应用层实现。例如:IPsec的密钥管理提案ISAKMP/Oakley、GKMP和Photuris都是应用层协议;手动调节也是在应用层完成;甚至部分SKIP协议层密钥管理提案能够在应用层实现。
计算机网络技术是发展的一把“双刃剑”,使用网络技术就无法避免网络信息安全问题,网络环境本身的开放性决定了信息系统的脆弱性,只有不断研究不断积极地保护信息安全,才能够更好地享受网络环境带给我们的便利,如今,我国对于网络安全十分重视,并开展网络安全建设,我们可以在此适当借鉴国外先进经验,学习先进技术,引用到我国网络安全建设中,进一步加快我国的网络信息安全建设。
[1]何泾沙.“信息安全概论”课程建设及教学改革研究[J].信息网络安全,2011(4):25.
[2]薛琴.新时期手机网络犯罪研究[J].信息网络安全,2011(5):25.
[3]Chadwick,Andrew,Bringing E-Democracy Back in:Why it matters for future research on E-Governance[J].Social Science Computer Review,2013(4):443-455.
[4]顾华详.国外保障信息安全的法治措施及启示[J].行政管理改革,2010(12):30.
[5]ZHANG Fang-fang,CHEN Xue-dong.Preliminary research on smart living space[J].Energy Procedia,2011(11):2265.
[6]田卫蒙,卫晨.高校网络办分系统安全策略研究及技术实现[J].电子科计工程,2015(13):27-29,33.