網(wǎng)絡信息安全問題研究及防護策略設計與研究

侯佳音，史淳樵

（同濟大學 附屬第十人民醫(yī)院，上海 200072）

網(wǎng)絡信息安全建設的目的是保證網(wǎng)絡信息真實完整、系統(tǒng)能夠正常運行，具體工作包括硬件設備和軟件系統(tǒng)中數(shù)據(jù)的保護，保護數(shù)據(jù)不會因為意外事故或者人為惡意破壞而被泄露、更改，刪除，保證系統(tǒng)能夠正常運作?？偟膩碚f，網(wǎng)絡信息安全涉及以下幾個方面的安全防護：計算機硬件安全、系統(tǒng)軟件安全、運行安全、數(shù)據(jù)安全。

1 影響網(wǎng)絡信息安全因素分析

網(wǎng)絡信息安全防護問題已成為當前時代發(fā)展的重點問題，影響計算機網(wǎng)絡信息安全的主要因素有：

1.1 自然因素與意外事故

因為網(wǎng)絡是依存于計算機和網(wǎng)絡光纜之上存在的，而這一點就決定了硬件的故障很可能導致信息的丟失，可能的原因包括自然環(huán)境的影響：溫度、濕度、振動、雷電或者是人為電磁波干擾問題，另外突然事故也可能導致信息損失，目前我國許多計算機空間仍舊缺少防水、防火、防電磁泄露干擾設施，抵御自然災害和意外事故的能力較差，對信息安全造成了隱患。

1.2 用戶個人安全意識問題

用戶安全意識不強，登錄口令設置簡單，用戶將自己的賬號隨意泄露等，因為怕麻煩，而不設置密保，都會造都會對信息安全造成嚴重的威脅。

用戶使用盜版軟件也是導致信息安全隱患的另一重要原因。盜版軟件在中國隨處可見，盜版軟件一般來說價格比較低，而且適用性也能夠滿足很多用戶的需要，所以很多用戶都在電腦中安裝盜版軟件，但是這些軟件設計未經(jīng)認證，也會帶來潛藏的信息安全隱患，例如有些用戶購買的或者網(wǎng)絡上下載的盜版軟件都很有可能帶有木馬或者惡意執(zhí)行代碼，一旦一臺計算機染上病毒，很可能網(wǎng)絡系統(tǒng)就因此全部癱瘓。

1.3 人為入侵行為

1）病毒木馬與惡意代碼

計算機病毒是能通過信息流動感染計算機的一段程序，通常，病毒具有傳染性、潛伏性等特點，病毒的最終目的是侵入攻擊對象的系統(tǒng)，竊取信息，破壞程序等。病毒的傳播途徑很廣泛、可以通過文件復制、傳輸、運行等操作進行傳輸，病毒是程序文件，承載體可以是軟盤、硬盤、光盤。病毒的危害主要在于其破壞性和傳播能力。服務器一旦被感染，就會迅速地在網(wǎng)絡傳播，傳播速度極快、范圍極廣，而清除全部病毒則是病毒傳播時間的幾十倍以上。病毒根據(jù)目的不同有不同破壞性，輕則信息泄露、重則直接損壞計算機硬件軟件系統(tǒng)，使計算機無法正常工作。

2）黑客入侵

網(wǎng)絡黑客指的是專門使用網(wǎng)絡侵入系統(tǒng)，竊取機密數(shù)據(jù)或者對文件進行篡改等行為、甚至遠程控制計算機使計算機系統(tǒng)癱瘓的計算機技術人員。目前從世界范圍來看，黑客數(shù)量龐大，且出現(xiàn)了協(xié)同作戰(zhàn)的現(xiàn)象，黑客群體組織化、攻擊對象也由個人和中小企業(yè)逐步轉向了政府機構、情報機構、銀行、大型企業(yè)等。黑客攻擊往往表現(xiàn)出很強的隱蔽性，從智能水平看，黑客通常有著很高的計算機水平，能夠有技巧地繞過防火墻和攔截，黑客行為一般比較嚴重，2010年，中國最大的搜索引擎百度被黑客攻擊，癱瘓數(shù)個小時，除了經(jīng)濟利益的損失之外，大型網(wǎng)站被攻擊會造成社會心理的不安。

2 計算機網(wǎng)絡信息安全策略構建

首先，對網(wǎng)絡信息的綜合控制，可以在以下幾個環(huán)節(jié)進行控制，具體的控制要點如圖1所示，下文將根據(jù)其中的幾個重點內(nèi)容進行詳細論述。

圖1 信息安全防護策略Fig.1 Information security protection strategy

一般個人計算機使用軟件防火墻殺毒軟件進行信息防護，殺毒軟件也是最常用的是安全防護技術，這種技術能夠有效地查殺病毒，防御木馬及其他的一些黑客程序的入侵。這是最基礎的信息安全防護手段。除此之外，重點的信息安全技術包括用戶認證、信息加密、入侵檢測的設計。

其中認證的方式主要包括身份認證、訪問授權、數(shù)字簽名等。數(shù)字簽名是近年來出現(xiàn)的新技術，數(shù)字簽名一種是DES形式，另一種是 RES形式，這兩種方式都是從數(shù)字簽名的應用協(xié)議方面區(qū)分的。系統(tǒng)需要設計一個辨別程序，對于未經(jīng)授權的用戶，系統(tǒng)則限制訪問，這是最基本的一種防護措施，每戶通過系統(tǒng)認定之后，方可使用權限。其內(nèi)部認證途徑如圖2所示。

圖2 認證服務程序圖Fig.2 Certification service program

3 計算機網(wǎng)絡信息安全認證策略的設計

3.1 EAP認證過程

如圖3所示，EAP認證過程基本上由3個步驟來實現(xiàn)，首先是進行鏈路的建立，建立完成后，認證者發(fā)送一個或多個請求數(shù)據(jù)包來對對方進行認證，該數(shù)據(jù)包中有一個類型域表明請求的類型。然后是由對方發(fā)送一個響應數(shù)據(jù)包對每一個請求做出應答。響應包中的類型域與請求包中的類型域?qū)?。這樣進行對應以后，認證者發(fā)送一個成功或失敗數(shù)據(jù)包結束認證階段。

3.2 RADIUS中的EAP擴展協(xié)議

認證端點（撥號用戶）和NAS之間的EAP會話先是發(fā)起身份請求，然后以LCP（鏈路控制協(xié)議）協(xié)商EAP開始認證過程，流程如圖4所示。

圖3 EAP認證過程簡圖Fig.3 EAP authentication process diagram

整個過程中。NAS不需要處理EAP數(shù)據(jù)包，僅僅作為透明傳輸代理，無需理解EAP協(xié)議。

3.3 EAP的屬性封裝

1）EAP-Message

這個屬性封裝的是EAP數(shù)據(jù)包，類型代碼為79，string域最長253字節(jié)，如果數(shù)據(jù)包太長的話，處理器可以對其進行分片，依次封裝在多個EAP-Message屬性中。

2）Message-Authenticator

這種屬性格格式表明其類型代碼為80，其長度為18個字節(jié)，String域為16個字節(jié)，整個流程是通過服務器收到接入請求開始的，如果發(fā)現(xiàn)其含有EAP-Message屬性，則計算Message-Authenticator，如果發(fā)現(xiàn)這二者不相同，數(shù)據(jù)包被丟棄。

圖4 EAP/RADIUS工作流程Fig.4 RADIUS,EAP/workflow

3.4 EAP-MD5算法

MD5算法的優(yōu)化也是本次設計的一部分，設計的總體思想是以512位分組來處理輸入的信息，且每一分組又被劃分為16個32位子分組，經(jīng)過了一系列的處理后，算法的輸出由4個32位分組組成，將這4個32位分組級聯(lián)后將生成一個128位散列值。

第一步：增加填充，填充的方法就是在信息的字節(jié)上進行填充，最終目的是使得字節(jié)長度對512求余的結果等于448。

第二步：補足長度，在這個結果后面附加一個以64位二進制表示的填充前信息長度。經(jīng)過這兩步的處理，現(xiàn)在的信息字節(jié)長度=n*512+448+64=（n+1）*512，即長度恰好是 512的整數(shù)倍。

第三步：初始化變量，用到 4個變量，分別為 A、B、C、D，均為 32 bit長。 初始化為：a=0x01234567，b=0x89abcdef，c=0xfedcba98，d=0x76543210。

第四步：數(shù)據(jù)處理，四輪循環(huán)運算，當設置好這4個鏈接變量后，就開始進入算法的四輪循環(huán)運算。循環(huán)的次數(shù)是信息中512位信息分組的數(shù)目。

第五步：輸出，最后得到的 a，b，c，d 級連為輸出結果（即摘要），共128 bit。其中a為低位，d為高位。

3.5 EAP_MD5數(shù)據(jù)包格式

EAP-MD5認證值長度Value-Size一字節(jié)長，指示“值”字段的長度。值ValBe，其作用是在字節(jié)正常的情況下，傳輸最高位。質(zhì)詢值是可變字節(jié)流，質(zhì)詢值必須在每次發(fā)送質(zhì)詢時都要改變。

圖5 EAP-MD5數(shù)據(jù)包格式Fig.5 EAP-MD5 packet format

3.6 模塊總體設計

系統(tǒng)安全模塊的的總體設計基本框架如圖6所示。

在整個系統(tǒng)中，協(xié)商處理模塊是系統(tǒng)的中心模塊，圍繞該模塊的分別有一系列的階段和事件算法等：狀態(tài)庫、交換階段、超時事件、密碼算法、網(wǎng)絡接口和PF_KEY接口。為了能夠更加直觀。

圖6 IKEv2總體設計的基本框架Fig.6 The basic framework of the overall design of the IKEv2

上述模塊主要可以用于可信賴的有特權的密鑰管理程序或者用于操作系統(tǒng)內(nèi)部密鑰管理的通信。密鑰引擎和它的構件是一個會話安全屬性的具體表現(xiàn)，也是“安全關聯(lián)”的實例?！鞍踩P聯(lián)”（SA）的概念在RFC2401（原文為RFC1825現(xiàn)已被代替）中說明。這里所說的PF_KEY和密鑰引擎引用多于加密密鑰，傳統(tǒng)術語 “密鑰管理”為了一致性予以保留。PF_KEY源于BSD的路由套接字PF_ROUTE（[Skl91]）的一部分。例如：在兩個直接通信的應用層程序之間，但是這種可能性這里不做詳細討論。安全策略在這個接口中慎重地忽略。PF_KEY不是協(xié)調(diào)全系統(tǒng)安全策略的機制，也不想要實施任何密鑰管理策略。PF_KEY的開發(fā)者認為把安全機制 （如PF_KEY）和安全策略分離是很重要的，這樣允許一個機制很容易的支持多個策略。大多數(shù)密鑰管理通常部分或者全部在應用層實現(xiàn)。例如：IPsec的密鑰管理提案ISAKMP/Oakley、GKMP和Photuris都是應用層協(xié)議；手動調(diào)節(jié)也是在應用層完成；甚至部分SKIP協(xié)議層密鑰管理提案能夠在應用層實現(xiàn)。

4 結束語

計算機網(wǎng)絡技術是發(fā)展的一把“雙刃劍”，使用網(wǎng)絡技術就無法避免網(wǎng)絡信息安全問題，網(wǎng)絡環(huán)境本身的開放性決定了信息系統(tǒng)的脆弱性，只有不斷研究不斷積極地保護信息安全，才能夠更好地享受網(wǎng)絡環(huán)境帶給我們的便利，如今，我國對于網(wǎng)絡安全十分重視，并開展網(wǎng)絡安全建設，我們可以在此適當借鑒國外先進經(jīng)驗，學習先進技術，引用到我國網(wǎng)絡安全建設中，進一步加快我國的網(wǎng)絡信息安全建設。

[1]何涇沙.“信息安全概論”課程建設及教學改革研究[J].信息網(wǎng)絡安全，2011（4）:25.

[2]薛琴.新時期手機網(wǎng)絡犯罪研究[J].信息網(wǎng)絡安全，2011（5）:25.

[3]Chadwick，Andrew，Bringing E-Democracy Back in：Why it matters for future research on E-Governance[J].Social Science Computer Review，2013（4）：443-455.

[4]顧華詳.國外保障信息安全的法治措施及啟示[J].行政管理改革，2010（12）:30.

[5]ZHANG Fang-fang，CHEN Xue-dong.Preliminary research on smart living space[J].Energy Procedia，2011（11）:2265.

[6]田衛(wèi)蒙，衛(wèi)晨.高校網(wǎng)絡辦分系統(tǒng)安全策略研究及技術實現(xiàn)[J].電子科計工程，2015（13）:27-29，33.