網(wǎng)絡(luò)科技發(fā)展及信息安全管理分析

楊鵬

摘 要：當(dāng)今社會由于網(wǎng)絡(luò)的普及，越來越多信息網(wǎng)絡(luò)通過網(wǎng)絡(luò)傳遞，網(wǎng)絡(luò)是一個公開的環(huán)境，不法分子可能會攔截、偷聽網(wǎng)絡(luò)封包，組織信息網(wǎng)絡(luò)安全因而變得越來越需要被重視，本文期待經(jīng)由對信息安全基本觀念的闡述，能讓讀者對信息網(wǎng)絡(luò)安全及加密方式有進(jìn)一步的了解。

關(guān)鍵詞：網(wǎng)絡(luò)科技發(fā)展 信息 安全管理

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2014）01（b）-0030-01

1 網(wǎng)絡(luò)科技安全發(fā)展現(xiàn)狀與概念解析

1.1 現(xiàn)狀

21世紀(jì)是電腦網(wǎng)絡(luò)科技的世紀(jì)，信息借助網(wǎng)絡(luò)傳輸既快速且無遠(yuǎn)弗屆的流通與交換，孕育出全球化社會。進(jìn)入信息化社會，國與國之間的信息戰(zhàn)也越演越烈，隨著網(wǎng)絡(luò)的普及化，信息安全的重要性更加凸顯。提升政府單位信息安全防御能力，便成當(dāng)務(wù)之急的工作。信息安全維護(hù)旨在確保信息的機密性、完整性與可用性，我們應(yīng)當(dāng)落實最佳安全實務(wù)準(zhǔn)則及縱深防御策略，以因應(yīng)信息網(wǎng)絡(luò)安全的威脅。有鑒余此，無論是防護(hù)機制建立、法令規(guī)范修訂、教育培訓(xùn)與人才培養(yǎng)，均須落實執(zhí)行。近期目標(biāo)式攻擊越來越盛行，黑客不直接攻擊目標(biāo)組織而采用迂回的“水坑式”攻擊，從目標(biāo)對象常去的網(wǎng)站著手，所有合法網(wǎng)站都有可能因為漏洞成為攻擊跳板，網(wǎng)站被黑原因很多，SQL injection，XSS網(wǎng)頁安全問題就可以讓黑客一再得逞。而DDoS攻擊威脅存在已久，近年來的變化速度也越來越快，黑客利用網(wǎng)絡(luò)協(xié)定所存在的漏洞，將各種網(wǎng)絡(luò)設(shè)備變成殭尸電腦的一份子，例如：打印機、路由器、網(wǎng)絡(luò)攝像頭，再利用它們發(fā)動大規(guī)模DDoS攻擊，或是竊取里面的資料。日前韓國攻擊事件以及美聯(lián)社Twitter賬號被盜等信息安全事件對當(dāng)?shù)卦斐晒墒写蟮⒂绊懡鹑谏鐣刃虻戎卮鬀_擊。隨著APT攻擊的盛行，對于未知威脅的偵測能力也受到重視。因此，RSA信息安全廠商的SIEM將由原本的enVision平臺轉(zhuǎn)換為收購來的NetWitness平臺，名為Security Analytics，除了將log收錄之外其全封包深度分析與鑒別功能是為最大特色。

1.2 概念

三個概念構(gòu)筑著信息網(wǎng)絡(luò)安全最基本的基石。分別是機密性、完整性、可使用性。一是機密性。主張信息網(wǎng)絡(luò)只能提供予有權(quán)取用的人或組織，無論通過語音、文件、E-mail、復(fù)制等任一種形式，只要信息網(wǎng)絡(luò)揭露給未授權(quán)的人員組織，就破壞了機密性。二是完整性，也即主張信息網(wǎng)絡(luò)必須可被信任為是正確且完整的。這包含了三個重要的信息：“正確”代表信息沒有被更動過，也沒有錯誤；“完整”代表信息沒有遺漏或被裁剪；“可被信任”代表取得信息者可以被信任。若信息遭到非屬授權(quán)的更動，無論有意或無意，即破壞信息網(wǎng)絡(luò)的完整性。三是可使用性，也即主張負(fù)責(zé)信息網(wǎng)絡(luò)的系統(tǒng)或組織，必須在授權(quán)使用者需要時，提供正確無誤的需求信息。在信息網(wǎng)絡(luò)系統(tǒng)中，例如資料儲存媒體損毀、阻斷服務(wù)攻擊，都屬破壞可使用性。其中，阻斷服務(wù)攻擊就是使服務(wù)中斷的攻擊行動。例如，傳送大量的封包造成提供信息主機超過負(fù)荷而當(dāng)機或損毀等。

2 組織信息網(wǎng)絡(luò)安全設(shè)計的完整性

一是信息網(wǎng)絡(luò)安全與風(fēng)險管理。信息安全管理的目標(biāo)，在于厘清界定組織中的信息資產(chǎn)，并且建立及實行政策、準(zhǔn)則、程序、指引，以確保信息網(wǎng)絡(luò)的可用性、完整性及機密性。實行時，可借助適當(dāng)?shù)墓芾砉ぞ呋蚍椒ǎ顼L(fēng)險評估、信息安全觀念的培訓(xùn)等，協(xié)助找出潛在威脅、分類信息安全資產(chǎn)及評估各資產(chǎn)的弱點。

二是安全架構(gòu)與設(shè)計。建立一個安全的系統(tǒng)架構(gòu)及模型，可以增進(jìn)信息網(wǎng)絡(luò)的可用性、完整性及機密性。包括整體的網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)、設(shè)備、軟硬件、作業(yè)系統(tǒng)等，都應(yīng)該要構(gòu)筑在一個安全架構(gòu)之下。

三是存取控制。存取控制包含實體環(huán)境的出入管制及信息網(wǎng)絡(luò)系統(tǒng)的存取管控。須先了解有哪些存取管控的方法，以及了解整體系統(tǒng)的可能存取途徑及可能借以入侵的渠道，才能設(shè)計良好的存取控制。

四是應(yīng)用程序安全。在設(shè)計及開發(fā)應(yīng)用系統(tǒng)時，就應(yīng)當(dāng)妥適地納入信息網(wǎng)絡(luò)安全的考量。即充分了解運用在各式應(yīng)用系統(tǒng)上重要的信息安全觀念，從而設(shè)計出符合信息安全原則的應(yīng)用系統(tǒng)。

五是操作安全。這個安全管控機制，首要目標(biāo)除了確保信息能在需要的時刻提供給授權(quán)者，還必須確保信息網(wǎng)絡(luò)不會被未經(jīng)授權(quán)者使用或更動。

六是實體安全。實體環(huán)境中，除了整個設(shè)施機構(gòu)的周邊外，包括辦公室環(huán)境、信息儲放設(shè)備所在及機房空間等，都要考量到如何維護(hù)信息網(wǎng)絡(luò)安全。

七是通訊及網(wǎng)絡(luò)安全。網(wǎng)絡(luò)是個開放的資料交換環(huán)境，隨時都有人可能通過各種手法監(jiān)聽或接觸到在上面流通的信息。當(dāng)系統(tǒng)必須通過這個開放渠道傳遞或交換信息時，必須要考量到安全的問題。

八是業(yè)務(wù)持續(xù)性與災(zāi)害復(fù)原。為建立良好的信息網(wǎng)絡(luò)安全，組織必須建立持續(xù)的改善與應(yīng)變計劃。這個計劃應(yīng)至少包含信息安全問題的持續(xù)監(jiān)測、回應(yīng)及改善的方針，以使組織的信息安全環(huán)境能日趨成長完備。

九是法律、規(guī)章、遵循性與調(diào)查。了解電腦及網(wǎng)絡(luò)犯罪的相關(guān)法律知識，有助于在遭受信息安全相關(guān)威脅及侵害時，可以較迅速的反應(yīng)。故要導(dǎo)入信息網(wǎng)絡(luò)安全時，對于相關(guān)的法律或規(guī)范，應(yīng)當(dāng)也要有足夠的認(rèn)識。

3 系統(tǒng)應(yīng)用對稱與非對稱式加密

加密過程至少包含以下元素：明文、加密演算法、加密鑰匙及密文。明文代表未加密內(nèi)容，密文代表加密后內(nèi)容，演算法代表加密規(guī)則、鑰匙代表加密時所要定義的參數(shù)。以替代加密法的例子為例，選定凱撒加密法為演算法，而決定字母要位移幾位，就是鑰匙，加解密雙方都必須知道這隻鑰匙，才能順利加解密。在加密法強固到難以破解后，鑰匙的交換與保護(hù)，便成為重要課題。無論資料如何加密保護(hù)，鑰匙的傳遞，除了雙方面交之外，都必須曝露在相對公開的環(huán)境下傳送，非對稱式加密，即是為了解決這樣的困境而誕生的。

非對稱式加密的原理，即為加密與解密使用一組不同且配對的鑰匙。先以兩個人—— 甲跟乙來說明。在非對稱式加密中，每個人都有兩把鑰匙，一把稱為私密金鑰（private key），須留在自己身邊，不可透露給任何人，另一把稱為公開金鑰（public key），可公開散布，不須保密，因此，非對稱式加密又稱為公開金鑰加密。假設(shè)甲要寫信給乙，首先須取得乙的公開金鑰，由于公鑰不是秘密，乙大可通過網(wǎng)絡(luò)寄給甲，甲用乙的公鑰對信件加密，再寄給乙，這封加密信即使被偷看，也因偷窺者沒有乙的私鑰，而無法解讀，乙收到信后用私鑰解密，即可看到信件內(nèi)容。

當(dāng)然，非對稱式加密雖然安全，但由于演算法復(fù)雜，與對稱式加密相較，加密所費時間拉長許多，為顧及效率，實際上加密作業(yè)會綜合這兩種技術(shù)。以對稱式加密，加密本文，再以非對稱的公鑰，加密對稱式鑰匙，該方法即可加快文件加密的效率，也可解決鑰匙傳遞的安全問題，著名的RSA，以及DH、Elgamal、DSA等，均屬目前較常見的非對稱式加密法。

參考文獻(xiàn)

[1] 黃發(fā)文，徐濟(jì)仁，陳家松.計算機網(wǎng)絡(luò)安全技術(shù)初探[J].計算機應(yīng)用研究，2002（5）.

[2] 廉士珍.計算機網(wǎng)絡(luò)通信安全中關(guān)于數(shù)據(jù)加密技術(shù)的應(yīng)用分析[J].硅谷，2011（19）.endprint