◆李 涛 李 玥
(中国专利信息中心 北京 100081)
云计算环境下计算机信息安全保密技术应用与研究
◆李 涛 李 玥
(中国专利信息中心 北京 100081)
计算机信息系统已在各行业得到了广泛应用,因此信息系统的安全性就显得非常重要,亟需采用水平较高的安全保密技术和构建完善的保密制度,引入先进的数据加密技术和链路加密技术。本文首先详细介绍了云计算环境下计算机信息安全保密技术应用,然后对云计算环境下计算机信息保密管理制度进行了构建,最后进行了总结与展望。
云计算;信息安全等级保密技术
云计算、大数据、数据库技术的快速发展和改进,促进了计算机信息系统在电子政务、金融银行、物流仓储、科教文卫、商业贸易等领域得到广泛应用,促进了人们工作、生活和学习的信息化、共享化和智能化[1]。且同时重新定义了信息化资源的使用和服务提供方式,对信息化资源的管理和分配模式也有了新的思路和机制。但是,信息化系统集成时采用的技术包括 Java程序、C++程序、SOA架构、B/S架构等,不同的系统拥有不同的功能,因此系统集成可能导致不同接口存在漏洞,为黑客攻击系统、木马盗取数据、病毒破坏数据带来了潜在的渠道[2]。通过对当前计算机信息安全面临的威胁进行分析,发现许多威胁呈现出了攻击渠道多样化、安全威胁隐藏周期长期化、威胁范围扩大化等特点[3]。
攻击渠道多样化。目前,光纤通信、移动通信技术的改进促进了计算机信息系统接入渠道和设备的百花齐放,呈现出来多种多样的局面,原来仅有的台式计算机、笔记本电脑接入计算机信息系统的局面不复存在,利用移动通信网络的平板电脑、智能手机、无线路由器等开始接入到各类系统中,因此每一个接入的环节都可能成为攻击的渠道,不同设备的开发技术、系统架构集成在一起,也容易造成系统漏洞,无形中增加了互联网攻击渠道[2]。
攻击隐藏长期化。目前,病毒、木马等开发技术迅速提升,许多病毒和木马在攻击计算机信息系统时已经开始伪装成应用程序或嵌入到应用软件中,长期地隐藏在软件中。比如在金融银行信息系统的 APT攻击,该攻击行为具有隐蔽能力强、攻击方式多样化、攻击持续时间长等特点,其采用了复杂的软件开发技术实现了一个长期的、高级的、持续的威胁,持续地盗取金融银行的机密数据,并且能够动态地观察金融银行系统运行状况,发行数据通信的规律,实现机密信息盗用。
威胁范围扩大化。计算机信息系统为各行各业提供了应用软件,支撑行业信息化的与时俱进,且为了消除“信息孤岛”,很多应用系统之间互相开放端口,以便实现某些数据的变动达到高效性和实效性。但是,随着接入系统的扩大,一旦某一个系统受到病毒或木马感染,其首先会感染局域网内容所有的服务器,其次会迅速感染互联网中相关的主机和服务器,爆发网络安全事故,给网络带来严重的灾难,造成人们的财产安全严重损失。
1.1 数据加密技术种类
计算机信息安全加密技术主要包括两种类型,一种是数据加密技术、一种是传输通道加密。数据加密主要包括对称加密技术、非对称加密技术,传输通道加密多为链路加密等技术,从数据本身和传输过程两个方面进行加密工作,提高信息安全保密能力[4]。
1.1.1 对称加密
对称加密又被学者称为共享密钥加密技术,采用同一个密钥针对数据在传输发送时、接收时进行加密和解密。数据加密采用对称加密时首先确定一个公用密钥,并且保证该密钥仅仅由发送方和接收方知道,不能够泄露密钥,保证数据信息传输的完整性和可靠性,经过多年的改进和实验,对称数据加密技术已经诞生了很多种,包括DES加密技术、AES加密技术和IDEA加密技术。DES可以针对二元数据进行加密,密钥为64位数据;AES是一种强化的DES算法,采用的密钥达到了128位;IDEA采用迭代分组密码进行数据加密,使用8个循环针对128位的密钥进行处理,保证数据的安全性。
1.1.2 非对称加密技术
非对称加密技术又被称为公钥加密,是一种非对称加密技术,数据信息的发送方和接收方分别选择不同的密钥,能够对数据进行相关的加密操作、解密操作。目前,非对称加密采用的公开密钥主要用于加密过程,私有密钥应用与解密过程。非对称加密技术可以采用严格的密钥交换协议,不需要通信双方交换密钥,可以直接的传输相关通信数据。经过多年的发展和改进,常用的主流非对称加密技术包括RSA、EIGamal以及Diffie-Hellman等,这些技术可以有效防御现有的数据加密密码受到的攻击,实现信息系统用户身份验证,已经在数字证书和数字签名中得到广泛应用。
1.1.3 链路加密技术
链路加密技术是一种数据传输线路加密技术,其可以针对数据链路进行加密,所有消息在被传输之前进行加密,每个节点对接收到的消息解密,然后再使用下一个链路的密钥加密消息再传输。在到达目的地之前,一条消息可能要经过许多通信链路。构建专用的数据传输防御通道,针对数据传输的经过的交换机、路由器等不同的区域进行加密,可以很好的保证数据链路的安全性。
1.2 信息隐藏技术
信息隐藏是当前最为先进的一种数据加密技术,充分的考虑数据上下文、应用背景信息,将隐秘的数据隐藏到普通的信息进行传输,比如可以将信息隐藏在图像中进行发送。目前,信息隐藏常用的技术包括隐写术和数字水印技术。
1.2.1 隐写术
隐写术可以利用高空间频率的图像隐藏信息,也可以利用信号的色度隐藏信息,利用数字图像的像素亮度隐藏信息,将数据隐藏到图像、视频流中,非法访问人员看到的仅仅是一副图像或视频,接收方可以利用解密算法还原隐藏的信息,保证信息安全传输。
1.2.2 数字水印技术数字水印技术可以将一些关键的标识信息嵌入到文本文档、多媒体数据、软件产品应用中,其不影响数据的正常使用效果,并且不易于被人们发现。目前常用的数字水印技术主要包括两种,一种是空间数字水印技术,另外一种是频率数字水印技术。空间数字水印目前最常用的技术为最低有效位算法那,可以修改一副图像的颜色及其分量信息的位平面,这样就可以自适应调整数字图像感知,利用不重要的像素表达水印信息,达到嵌入水印的目的。频率数字水印技术最常用的算法是扩展频谱算法,针对信号进行时频分析,扩展频谱特性,选择人们视觉最敏感的部分,这样就可以保证修改后的系数隐含数字水印信息。
云计算环境下,计算机信息系统使用的用户分布于各个行业,这些人受到的计算机知识操作技能或理论均存在较大的差异,比如一些人多为经济管理类专业,没有接受过专业的计算机信息系统安全管理或操作培训,同时计算机信息安全是一个动态的过程,仅从技术方面提升信息安全保密能力是不够的,因此本文提出构建一个健全的计算机信息保密管理制度,针对使用用户进行规范,确保计算机信息系统安全运行。
构建信息系统操作权限角色制度。计算机信息系统在操作过程中,不同的用户可以设定不同的操作权限,灵活构建计算机角色,比如一般用户、管理员、超级管理员,不同的角色访问系统的内容不同,更好的实现计算机信息系统分层保护。
构建定期教育培训制度。云计算环境下,计算机信息系统开发采用的技术更新换代较快,从传统的单机版发展到了网络版,从C/S体系发展到了B/S体系架构,因此用户也亟需进行定期教育和培训,提高计算机专业理论知识和操作技能的熟练程度。构建一个定期教育培训制度,可以从根本上帮助用户掌握系统操作知识和技能,便于规范用户操作,保证系统的安全性。
信息化资源的分配与管理制度。云计算重新定义了信息化资源的使用和服务提供方式的同时,也在信息化资源的管理和分配模式上给我们带来了全新思路。以前,很多单位和企业的信息化资源管理方式是分散式管理,部门独立购买信息化设备等资源,造成了信息化设备的冗余,从而导致信息化资源的浪费。随着虚拟化技术不断成熟和云计算的广泛应用,向我们提出了信息化资源集中采购、分配和运维的全新管理理念,形成了使用部门提出需求、技术部门审核需求、管理部门购置和分配资源、运维部门维护设备的工作流程。
计算机信息系统已经在多个行业得到应用,因此信息系统的安全性就显得非常重要,亟需采用水平较高的安全保密技术和构建完善的保密制度,引入先进的数据加密技术和链路加密技术,严格控制系统操作权限,定期进行系统专业理论与操作技能的教育培训,进一步提高信息系统的安全性。