關(guān)于計算機信息安全策略的維度思考研究

關(guān)于計算機信息平安策略的維度考慮研究論文摘要：電子商務(wù)的平安防范方面，已經(jīng)出現(xiàn)了許多新技術(shù)新方法，但網(wǎng)絡(luò)平安問題仍然讓人擔(dān)憂。引入平安策略的維度思想，對各種平安技術(shù)進(jìn)展整合，使各種平安技術(shù)在搭配組合上更科學(xué)合理，發(fā)揮最大的平安效能。論文關(guān)鍵詞：網(wǎng)絡(luò)平安；平安策略；雛度思想1概述計算機信息平安策略維度思想是將計算機信息平安首先從不同的角度(維度)進(jìn)展拆分，然后對某一些角度(維度)的信息加以限制(如進(jìn)展加密)，當(dāng)這一維度被抽出后，其它的信息即便被人得到，只要該被限制的維度不能被獲得，那么其別人無法得到真實完好的信息，或者說是得到無用的信息。這種體系發(fā)生作用的原因就是前面提過的，為當(dāng)某一維度被限制后，它的上一層維度將會被限制，這樣向上的一層層維度都將被限制直到最頂層。在計算機領(lǐng)域里，我們知道計算機信息需要傳輸，而傳輸過程中將涉及到傳輸?shù)膬?nèi)容(加密內(nèi)容、非加密內(nèi)容)、傳輸使用的方式(、網(wǎng)絡(luò)、衛(wèi)星信號)、傳輸?shù)臅r間等諸多維度。在這些維度中假如我們能將任何—個維度加以限制，就能保證這次傳輸?shù)男畔⑵桨部煽俊?平安策略維度的關(guān)聯(lián)分析為了加強計算機信息平安，我們往往同時采用多種平安技術(shù)，如加密、平安認(rèn)證、訪問控制、平安通道等。這樣高強度的平安措施為什么還會出現(xiàn)那么多的平安破綻，以致于大家普遍認(rèn)為“網(wǎng)絡(luò)無平安“呢?經(jīng)過考慮，我們認(rèn)為計算機信息平安策略存在的缺陷，是造成這一現(xiàn)象的重要原因。主要問題出在幾個平安維度之間出現(xiàn)了強關(guān)聯(lián)，使本來三維、四維的平安措施降低了維數(shù)，甚至只有一維。這樣一來，就使得平安防范技術(shù)的效力大打折扣。舉例來講，假如我們采取了加密、平安通道這兩種技術(shù)措施，那么我們可以認(rèn)為這是—個二維平安策略，但是由于它們都是在inds操作系統(tǒng)上運行，于是這兩種本不相關(guān)聯(lián)的平安技術(shù)，通過同一操作系統(tǒng)出現(xiàn)了強關(guān)聯(lián)，使其平安策略維度降至一維甚至更低。因為一旦有人在當(dāng)事人完全不知道的情況下，通過木馬或其他手段操控了inds操作系統(tǒng)，那么無論是加密還是平安通道都變得毫無意義。因為這時入侵者已經(jīng)被認(rèn)為是—個合法的操作者，他可以以原主人的身分自行完成諸如加密、平安通道通信的操作，從而進(jìn)展破壞。究其原因是加密、平安通道技術(shù)都分別與操作系統(tǒng)發(fā)生了強關(guān)聯(lián)，而加密與平安通道技術(shù)通過操作系統(tǒng)，它們倆之問也發(fā)生了強關(guān)聯(lián)，這就使平安強度大打折扣。為了減少各維度間的關(guān)聯(lián)盡量實現(xiàn)各維度的正交，我們必須盡量做到各維度之間互相隔離減少軟、硬件的復(fù)用、共用。共用硬件往往隨之而來的就是軟件的共用(通用)，因此實現(xiàn)硬件的獨立使用是關(guān)鍵。舉例來說，要是我們能把操作系統(tǒng)與加密、平安通道實現(xiàn)隔離，那么我們就可以得到真正的二維平安策略。為了實現(xiàn)這種隔離，我們可以作這樣的設(shè)計：我們設(shè)計出用各自別離的加密、通訊硬件設(shè)備及軟件操作系統(tǒng)這些設(shè)施能獨立的(且功能單一的)完成加密、通訊任務(wù)，這樣操作系統(tǒng)、加密、平安通道三者互不依賴，它們之間只通過一個預(yù)先設(shè)計好的接口傳輸數(shù)據(jù)(如：rs232接口和pks#11加密設(shè)備接口標(biāo)準(zhǔn))。這樣一來，對于我們所需要保護(hù)的信息就有了一個完全意義上的二維平安策略。在電子交易的過程中，即便在操作系統(tǒng)被人完全操控的情況下，攻擊者也只能得到—個經(jīng)過加密的文件無法將其翻開。即便攻擊者用巨型計算機破解了加密文件，但由于平安通道的獨立存在，它仍能發(fā)揮其平安保障作用，使攻擊者無法與管理電子交易的效勞器正常進(jìn)展網(wǎng)絡(luò)聯(lián)接，不能完成不法交易。綜上所述，我們在制定平安策略時，要盡量實現(xiàn)各個維度平安技術(shù)的正交，從硬件、軟件的使用上盡量使各個平安技術(shù)不復(fù)用操作系統(tǒng)不復(fù)用硬件設(shè)施，從而減少不同維度平安技術(shù)的關(guān)聯(lián)程度。3平安策略維度的節(jié)點平安問題為了保護(hù)節(jié)平安，我們可以采取的方法一般有兩種：加強對節(jié)點的技術(shù)保護(hù)或是將節(jié)點后移。為了加強對節(jié)點的技術(shù)保護(hù)，我們采取的方法很多，如加設(shè)防火墻，安裝防病毒、防木馬軟件，以及應(yīng)用層次防御和主動防御技術(shù)等等，這方面已經(jīng)有很多成熟的技術(shù)。這種方法強調(diào)的是使用技術(shù)手段來防御，但也有其缺點，就是防御手段往往落后于攻擊手段，等發(fā)現(xiàn)技術(shù)問題再填補破綻時很可能已經(jīng)造成很大的損失。節(jié)點后移那么更多是強調(diào)一種策略而不強調(diào)先進(jìn)的技術(shù)，它不強調(diào)用最新的病毒庫、最新解碼技術(shù)來進(jìn)展節(jié)點保護(hù)，而是通過現(xiàn)有的成熟技術(shù)手段盡可能延長節(jié)點并將節(jié)點后移，從而實現(xiàn)對節(jié)點的保護(hù)。為了理清這倆個方法的區(qū)別，可以將保護(hù)分成系統(tǒng)自身的保護(hù)性構(gòu)造與外部對系統(tǒng)的保護(hù)。系統(tǒng)自身的保護(hù)構(gòu)造依靠的是節(jié)點后移，它講的是系統(tǒng)自身如何通過沒汁的合理來保證系統(tǒng)內(nèi)操作的平安性。但是假如僅靠系統(tǒng)自身的構(gòu)造是缺乏以保證系統(tǒng)平安的，因為假如系統(tǒng)的源代碼被攻擊者購得，又或者高級節(jié)點的維護(hù)人員惡意修改系統(tǒng)內(nèi)容等等平安系統(tǒng)外情況的出現(xiàn)，再完美的系統(tǒng)也會無效。這就如同金庫的門再厚，管鑰匙的人出了問題金庫自身是無能為力的。計算機平安能做的事就如同建—個結(jié)實的金庫，而如何加強對金庫的管理、維護(hù)(或者說保護(hù))那么是另外一件事。事實上金庫本身也需要維護(hù)與保護(hù)，所以我們按照維度思維構(gòu)建了計算機信息平安體系本身的同時也需要按維度思維對平安體系自身進(jìn)展保護(hù)。詳細(xì)來講比方，越是重要的數(shù)據(jù)效勞器越要加強管理，對重要數(shù)據(jù)效勞器的管理人員審查越要嚴(yán)格，工資待遇相對要高，越重要的工作場所越要加強值班、監(jiān)控等等。4平安策略維度的平安技術(shù)分布在所沒汁平安策略采用了加密、密碼認(rèn)證、平安通道三種技術(shù)，那么認(rèn)為是采用了三維的平安防范策略。有以下技術(shù)分布方法。方法1中三個平安技術(shù)維度直接與頂點相接，只有兩級層次沒有實現(xiàn)前文所述的節(jié)點后移無法進(jìn)展層級管理，也沒有按照二叉樹構(gòu)造進(jìn)展組織。所以平安性能最差；(見圖1)方法2中，三個平安技術(shù)分成了三個層級，它比方法l要好。但它也有問題它的加密與認(rèn)證關(guān)聯(lián)于同一個節(jié)點，因此假如圖中的“二級節(jié)點〞一旦被攻破那么兩種平安技術(shù)被同時攻破。(見圖2)方法3中三個平安技術(shù)分成四個層級，且加密與認(rèn)證被分布在不同的節(jié)點上，兩個三級節(jié)點任意—個被攻破仍無法攻破二級節(jié)點。因此方法3的平安性能最高。(見圖3)因此，在有限的可用平安技術(shù)中，應(yīng)該盡量使用二叉樹構(gòu)造，并將這些平安技術(shù)盡可能地分布在不同的節(jié)點上。5結(jié)論利用維度理論來構(gòu)建的平安策略可以通過不斷增加各種平安技術(shù)的使用(增加平安維度的使用)來增加防護(hù)才能，還可以通過將節(jié)點不斷后移來加大攻破的難度，但我們可以看到這些都是與增加硬件、軟件不可分割的，因為硬、軟件的不可復(fù)用性決定了使用平安維度這一策略構(gòu)筑的系統(tǒng)是一種開銷豐常宏大的系