網(wǎng)絡(luò)安全論文發(fā)表期刊推薦《計(jì)算機(jī)安全》雜志是由中華人民共和國(guó)信息產(chǎn)業(yè)部主管，信息產(chǎn)業(yè)部基礎(chǔ)產(chǎn)品發(fā)展研究中心主辦，面向國(guó)內(nèi)外公開發(fā)行的全面介紹網(wǎng)絡(luò)與計(jì)算機(jī)信息系統(tǒng)安全技術(shù)與應(yīng)用的大型科技類月刊。每期正文80頁(yè)，精美印刷，現(xiàn)發(fā)行量已達(dá)3萬(wàn)冊(cè)。
　　摘要：電子商務(wù)的安全防范方面，已經(jīng)出現(xiàn)了許多新技術(shù)新方法，但網(wǎng)絡(luò)安全問(wèn)題仍然讓人擔(dān)憂。引入安全策略的維度思想，對(duì)各種安全技術(shù)進(jìn)行整合，使各種安全技術(shù)在搭配組合上更科學(xué)合理，發(fā)揮最大的安全效能。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全,安全策略,雛度思想

　　1概述

　　計(jì)算機(jī)信息安全策略維度思想是將計(jì)算機(jī)信息安全首先從不同的角度(維度)進(jìn)行拆分，然后對(duì)某一些角度(維度)的信息加以限制(如進(jìn)行加密)，當(dāng)這一維度被抽出后，其它的信息即便被人得到，只要該被限制的維度不能被獲得，則其他人無(wú)法得到真實(shí)完整的信息，或者說(shuō)是得到無(wú)用的信息。這種體系發(fā)生作用的原因就是前面提過(guò)的，為當(dāng)某一維度被限制后，它的上一層維度將會(huì)被限制，這樣向上的一層層維度都將被限制直到最頂層。在計(jì)算機(jī)領(lǐng)域里，我們知道計(jì)算機(jī)信息需要傳輸，而傳輸過(guò)程中將涉及到傳輸?shù)膬?nèi)容(加密內(nèi)容、非加密內(nèi)容)、傳輸使用的方式(電話、網(wǎng)絡(luò)、衛(wèi)星信號(hào))、傳輸?shù)臅r(shí)間等諸多維度。在這些維度中如果我們能將任何—個(gè)維度加以限制，就能保證這次傳輸?shù)男畔�安全可靠�?/p>

　　2安全策略維度的關(guān)聯(lián)分析

　　為了加強(qiáng)計(jì)算機(jī)信息安全，我們往往同時(shí)采用多種安全技術(shù)，如加密、安全認(rèn)證、訪問(wèn)控制、安全通道等。這樣高強(qiáng)度的安全措施為什么還會(huì)出現(xiàn)那么多的安全漏洞，以致于大家普遍認(rèn)為“網(wǎng)絡(luò)無(wú)安全“呢?經(jīng)過(guò)思考，我們認(rèn)為計(jì)算機(jī)信息安全策略存在的缺陷，是造成這一現(xiàn)象的重要原因。主要問(wèn)題出在幾個(gè)安全維度之間出現(xiàn)了強(qiáng)關(guān)聯(lián)，使原本三維、四維的安全措施降低了維數(shù)，甚至只有一維。這樣一來(lái)，就使得安全防范技術(shù)的效力大打折扣。舉例來(lái)講，如果我們采取了加密、安全通道這兩種技術(shù)措施，則我們可以認(rèn)為這是—個(gè)二維安全策略，但是由于它們都是在WINDOWS操作系統(tǒng)上運(yùn)行，于是這兩種本不相關(guān)聯(lián)的安全技術(shù)，通過(guò)同一操作系統(tǒng)出現(xiàn)了強(qiáng)關(guān)聯(lián)，使其安全策略維度降至一維甚至更低。因?yàn)橐坏┯腥嗽诋?dāng)事人完全不知道的情況下，通過(guò)木馬或其他手段操控了WINDOWS操作系統(tǒng)，那么無(wú)論是加密還是安全通道都變得毫無(wú)意義。因?yàn)檫@時(shí)入侵者已經(jīng)被認(rèn)為是—個(gè)合法的操作者，他可以以原主人的身分自行完成諸如加密、安全通道通信的操作，從而進(jìn)行破壞。究其原因是加密、安全通道技術(shù)都分別與操作系統(tǒng)發(fā)生了強(qiáng)關(guān)聯(lián)，而加密與安全通道技術(shù)通過(guò)操作系統(tǒng)，它們倆之問(wèn)也發(fā)生了強(qiáng)關(guān)聯(lián)，這就使安全強(qiáng)度大打折扣。為了減少各維度間的關(guān)聯(lián)盡量實(shí)現(xiàn)各維度的正交，我們必須盡量做到各維度之間相互隔離減少軟、硬件的復(fù)用、共用。共用硬件往往隨之而來(lái)的就是軟件的共用(通用)，因此實(shí)現(xiàn)硬件的獨(dú)立使用是關(guān)鍵。舉例來(lái)說(shuō)，要是我們能把操作系統(tǒng)與加密、安全通道實(shí)現(xiàn)隔離，則我們就可以得到真正的二維安全策略。為了實(shí)現(xiàn)這種隔離，我們可以作這樣的設(shè)計(jì)：我們?cè)O(shè)計(jì)出用各自分離的加密、通訊硬件設(shè)備及軟件操作系統(tǒng)這些設(shè)施能獨(dú)立的(且功能單一的)完成加密、通訊任務(wù)，這樣操作系統(tǒng)、加密、安全通道三者互不依賴，它們之間只通過(guò)一個(gè)預(yù)先設(shè)計(jì)好的接口傳輸數(shù)據(jù)(如：Rs232接口和PKCS#11加密設(shè)備接口標(biāo)準(zhǔn))。這樣一來(lái)，對(duì)于我們所需要保護(hù)的信息就有了一個(gè)完全意義上的二維安全策略。在電子交易的過(guò)程中，即便在操作系統(tǒng)被人完全操控的情況下，攻擊者也只能得到—個(gè)經(jīng)過(guò)加密的文件無(wú)法將其打開。即便攻擊者用巨型計(jì)算機(jī)破解了加密文件，但由于安全通道的獨(dú)立存在，它仍能發(fā)揮其安全保障作用，使攻擊者無(wú)法與管理電子交易的服務(wù)器正常進(jìn)行網(wǎng)絡(luò)聯(lián)接，不能完成不法交易。綜上所述，我們?cè)谥贫ò踩�策略時(shí)，要盡量實(shí)現(xiàn)各個(gè)維度安全技術(shù)的正交，從硬件、軟件的使用上盡量使各個(gè)安全技術(shù)不復(fù)用操作系統(tǒng)不復(fù)用硬件設(shè)施，從而減少不同維度安全技術(shù)的關(guān)聯(lián)程度。

　　3安全策略維度的節(jié)點(diǎn)安全問(wèn)題

　　為了保護(hù)節(jié)安全，我們可以采取的方法一般有兩種：加強(qiáng)對(duì)節(jié)點(diǎn)的技術(shù)保護(hù)或是將節(jié)點(diǎn)后移。為了加強(qiáng)對(duì)節(jié)點(diǎn)的技術(shù)保護(hù)，我們采取的方法很多，如加設(shè)防火墻，安裝防病毒、防木馬軟件，以及應(yīng)用層次防御和主動(dòng)防御技術(shù)等等，這方面已經(jīng)有很多成熟的技術(shù)。這種方法強(qiáng)調(diào)的是使用技術(shù)手段來(lái)防御，但也有其缺點(diǎn)，就是防御手段往往落后于攻擊手段，等發(fā)現(xiàn)技術(shù)問(wèn)題再填補(bǔ)漏洞時(shí)很可能已經(jīng)造成很大的損失。節(jié)點(diǎn)后移則更多是強(qiáng)調(diào)一種策略而不強(qiáng)調(diào)先進(jìn)的技術(shù)，它不強(qiáng)調(diào)用最新的病毒庫(kù)、最新解碼技術(shù)來(lái)進(jìn)行節(jié)點(diǎn)保護(hù)，而是通過(guò)現(xiàn)有的成熟技術(shù)手段盡可能延長(zhǎng)節(jié)點(diǎn)并將節(jié)點(diǎn)后移，從而實(shí)現(xiàn)對(duì)節(jié)點(diǎn)的保護(hù)。

　　為了理清這倆個(gè)方法的區(qū)別，可以將保護(hù)分成系統(tǒng)自身的保護(hù)性構(gòu)造與外部對(duì)系統(tǒng)的保護(hù)。

　　系統(tǒng)自身的保護(hù)構(gòu)造依靠的是節(jié)點(diǎn)后移，它講的是系統(tǒng)自身如何通過(guò)沒(méi)汁的合理來(lái)保證系統(tǒng)內(nèi)操作的安全性。但是如果僅靠系統(tǒng)自身的構(gòu)造是不足以保證系統(tǒng)安全的，因?yàn)槿绻�系統(tǒng)的源代碼被攻擊者購(gòu)得，又或者高級(jí)節(jié)點(diǎn)的維護(hù)人員惡意修改系統(tǒng)內(nèi)容等等安全系統(tǒng)外情況的出現(xiàn)，再完美的系統(tǒng)也會(huì)無(wú)效。這就如同金庫(kù)的門再厚，管鑰匙的人出了問(wèn)題金庫(kù)自身是無(wú)能為力的。計(jì)算機(jī)安全能做的事就如同建—個(gè)結(jié)實(shí)的金庫(kù)，而如何加強(qiáng)對(duì)金庫(kù)的管理、維護(hù)(或者說(shuō)保護(hù))則是另外一件事。事實(shí)上金庫(kù)本身也需要維護(hù)與保護(hù)，所以我們按照維度思維構(gòu)建了計(jì)算機(jī)信息安全體系本身的同時(shí)也需要按維度思維對(duì)安全體系自身進(jìn)行保護(hù)。具體來(lái)講比如，越是重要的數(shù)據(jù)服務(wù)器越要加強(qiáng)管理，對(duì)重要數(shù)據(jù)服務(wù)器的管理人員審查越要嚴(yán)格，工資待遇相對(duì)要高，越重要的工作場(chǎng)所越要加強(qiáng)值班、監(jiān)控等等。

　　4安全策略維度的安全技術(shù)分布

　　在所沒(méi)汁安全策略采用了加密、密碼認(rèn)證、安全通道三種技術(shù)，則認(rèn)為是采用了三維的安全防范策略。有以下技術(shù)分布方法。方法1中三個(gè)安全技術(shù)維度直接與頂點(diǎn)相接，只有兩級(jí)層次沒(méi)有實(shí)現(xiàn)前文所述的節(jié)點(diǎn)后移無(wú)法進(jìn)行層級(jí)管理，也沒(méi)有按照二叉樹結(jié)構(gòu)進(jìn)行組織。所以安全性能最差；(見圖1)

　　方法2中，三個(gè)安全技術(shù)分成了三個(gè)層級(jí)，它比方法l要好。但它也有問(wèn)題它的加密與認(rèn)證關(guān)聯(lián)于同一個(gè)節(jié)點(diǎn)，因此如果圖中的“二級(jí)節(jié)點(diǎn)”一旦被攻破則兩種安全技術(shù)被同時(shí)攻破。(見圖2)

　　方法3中三個(gè)安全技術(shù)分成四個(gè)層級(jí)，且加密與認(rèn)證被分布在不同的節(jié)點(diǎn)上，兩個(gè)三級(jí)節(jié)點(diǎn)任意—個(gè)被攻破仍無(wú)法攻破二級(jí)節(jié)點(diǎn)。因此方法3的安全性能最高。(見圖3)

　　因此，在有限的可用安全技術(shù)中，應(yīng)該盡量使用二叉樹結(jié)構(gòu)，并將這些安全技術(shù)盡可能地分布在不同的節(jié)點(diǎn)上。

　　5結(jié)論

　　利用維度理論來(lái)構(gòu)建的安全策略可以通過(guò)不斷增加各種安全技術(shù)的使用(增加安全維度的使用)來(lái)增加防護(hù)能力，還可以通過(guò)將節(jié)點(diǎn)不斷后移來(lái)加大攻破的難度，但我們可以看到這些都是與增加硬件、軟件不可分割的，因?yàn)橛�、軟件的不可�?fù)用性決定了使用安全維度這一策略構(gòu)筑的系統(tǒng)是一種開銷豐常巨大的系統(tǒng)，它并不適用于普通的網(wǎng)絡(luò)、計(jì)算機(jī)的安全防范�？梢韵胂�，如果我們上網(wǎng)時(shí)每—個(gè)點(diǎn)擊、每一次下載都要輸入密碼，要進(jìn)行加密，要進(jìn)行文件轉(zhuǎn)換等等操作，即便是—個(gè)二維的安全策略也讓^、無(wú)法忍受。但涉及到一些重要的文件、信息時(shí)，尤其是需要保護(hù)的文件本身不大但卻極其重要時(shí)，維度安全策略就非常合適。

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/jisuanjiwangluolw/24583.html