網絡信息安全問題研究及防護策略設計與研究

侯佳音，史淳樵

（同濟大學 附屬第十人民醫院，上海 200072）

網絡信息安全建設的目的是保證網絡信息真實完整、系統能夠正常運行，具體工作包括硬件設備和軟件系統中數據的保護，保護數據不會因為意外事故或者人為惡意破壞而被泄露、更改，刪除，保證系統能夠正常運作。總的來說，網絡信息安全涉及以下幾個方面的安全防護：計算機硬件安全、系統軟件安全、運行安全、數據安全。

1 影響網絡信息安全因素分析

網絡信息安全防護問題已成為當前時代發展的重點問題，影響計算機網絡信息安全的主要因素有：

1.1 自然因素與意外事故

因為網絡是依存于計算機和網絡光纜之上存在的，而這一點就決定了硬件的故障很可能導致信息的丟失，可能的原因包括自然環境的影響：溫度、濕度、振動、雷電或者是人為電磁波干擾問題，另外突然事故也可能導致信息損失，目前我國許多計算機空間仍舊缺少防水、防火、防電磁泄露干擾設施，抵御自然災害和意外事故的能力較差，對信息安全造成了隱患。

1.2 用戶個人安全意識問題

用戶安全意識不強，登錄口令設置簡單，用戶將自己的賬號隨意泄露等，因為怕麻煩，而不設置密保，都會造都會對信息安全造成嚴重的威脅。

用戶使用盜版軟件也是導致信息安全隱患的另一重要原因。盜版軟件在中國隨處可見，盜版軟件一般來說價格比較低，而且適用性也能夠滿足很多用戶的需要，所以很多用戶都在電腦中安裝盜版軟件，但是這些軟件設計未經認證，也會帶來潛藏的信息安全隱患，例如有些用戶購買的或者網絡上下載的盜版軟件都很有可能帶有木馬或者惡意執行代碼，一旦一臺計算機染上病毒，很可能網絡系統就因此全部癱瘓。

1.3 人為入侵行為

1）病毒木馬與惡意代碼

計算機病毒是能通過信息流動感染計算機的一段程序，通常，病毒具有傳染性、潛伏性等特點，病毒的最終目的是侵入攻擊對象的系統，竊取信息，破壞程序等。病毒的傳播途徑很廣泛、可以通過文件復制、傳輸、運行等操作進行傳輸，病毒是程序文件，承載體可以是軟盤、硬盤、光盤。病毒的危害主要在于其破壞性和傳播能力。服務器一旦被感染，就會迅速地在網絡傳播，傳播速度極快、范圍極廣，而清除全部病毒則是病毒傳播時間的幾十倍以上。病毒根據目的不同有不同破壞性，輕則信息泄露、重則直接損壞計算機硬件軟件系統，使計算機無法正常工作。

2）黑客入侵

網絡黑客指的是專門使用網絡侵入系統，竊取機密數據或者對文件進行篡改等行為、甚至遠程控制計算機使計算機系統癱瘓的計算機技術人員。目前從世界范圍來看，黑客數量龐大，且出現了協同作戰的現象，黑客群體組織化、攻擊對象也由個人和中小企業逐步轉向了政府機構、情報機構、銀行、大型企業等。黑客攻擊往往表現出很強的隱蔽性，從智能水平看，黑客通常有著很高的計算機水平，能夠有技巧地繞過防火墻和攔截，黑客行為一般比較嚴重，2010年，中國最大的搜索引擎百度被黑客攻擊，癱瘓數個小時，除了經濟利益的損失之外，大型網站被攻擊會造成社會心理的不安。

2 計算機網絡信息安全策略構建

首先，對網絡信息的綜合控制，可以在以下幾個環節進行控制，具體的控制要點如圖1所示，下文將根據其中的幾個重點內容進行詳細論述。

圖1 信息安全防護策略Fig.1 Information security protection strategy

一般個人計算機使用軟件防火墻殺毒軟件進行信息防護，殺毒軟件也是最常用的是安全防護技術，這種技術能夠有效地查殺病毒，防御木馬及其他的一些黑客程序的入侵。這是最基礎的信息安全防護手段。除此之外，重點的信息安全技術包括用戶認證、信息加密、入侵檢測的設計。

其中認證的方式主要包括身份認證、訪問授權、數字簽名等。數字簽名是近年來出現的新技術，數字簽名一種是DES形式，另一種是 RES形式，這兩種方式都是從數字簽名的應用協議方面區分的。系統需要設計一個辨別程序，對于未經授權的用戶，系統則限制訪問，這是最基本的一種防護措施，每戶通過系統認定之后，方可使用權限。其內部認證途徑如圖2所示。

圖2 認證服務程序圖Fig.2 Certification service program

3 計算機網絡信息安全認證策略的設計

3.1 EAP認證過程

如圖3所示，EAP認證過程基本上由3個步驟來實現，首先是進行鏈路的建立，建立完成后，認證者發送一個或多個請求數據包來對對方進行認證，該數據包中有一個類型域表明請求的類型。然后是由對方發送一個響應數據包對每一個請求做出應答。響應包中的類型域與請求包中的類型域對應。這樣進行對應以后，認證者發送一個成功或失敗數據包結束認證階段。

3.2 RADIUS中的EAP擴展協議

認證端點（撥號用戶）和NAS之間的EAP會話先是發起身份請求，然后以LCP（鏈路控制協議）協商EAP開始認證過程，流程如圖4所示。

圖3 EAP認證過程簡圖Fig.3 EAP authentication process diagram

整個過程中。NAS不需要處理EAP數據包，僅僅作為透明傳輸代理，無需理解EAP協議。

3.3 EAP的屬性封裝

1）EAP-Message

這個屬性封裝的是EAP數據包，類型代碼為79，string域最長253字節，如果數據包太長的話，處理器可以對其進行分片，依次封裝在多個EAP-Message屬性中。

2）Message-Authenticator

這種屬性格格式表明其類型代碼為80，其長度為18個字節，String域為16個字節，整個流程是通過服務器收到接入請求開始的，如果發現其含有EAP-Message屬性，則計算Message-Authenticator，如果發現這二者不相同，數據包被丟棄。

圖4 EAP/RADIUS工作流程Fig.4 RADIUS,EAP/workflow

3.4 EAP-MD5算法

MD5算法的優化也是本次設計的一部分，設計的總體思想是以512位分組來處理輸入的信息，且每一分組又被劃分為16個32位子分組，經過了一系列的處理后，算法的輸出由4個32位分組組成，將這4個32位分組級聯后將生成一個128位散列值。

第一步：增加填充，填充的方法就是在信息的字節上進行填充，最終目的是使得字節長度對512求余的結果等于448。

第二步：補足長度，在這個結果后面附加一個以64位二進制表示的填充前信息長度。經過這兩步的處理，現在的信息字節長度=n*512+448+64=（n+1）*512，即長度恰好是 512的整數倍。

第三步：初始化變量，用到 4個變量，分別為 A、B、C、D，均為 32 bit長。 初始化為：a=0x01234567，b=0x89abcdef，c=0xfedcba98，d=0x76543210。

第四步：數據處理，四輪循環運算，當設置好這4個鏈接變量后，就開始進入算法的四輪循環運算。循環的次數是信息中512位信息分組的數目。

第五步：輸出，最后得到的 a，b，c，d 級連為輸出結果（即摘要），共128 bit。其中a為低位，d為高位。

3.5 EAP_MD5數據包格式

EAP-MD5認證值長度Value-Size一字節長，指示“值”字段的長度。值ValBe，其作用是在字節正常的情況下，傳輸最高位。質詢值是可變字節流，質詢值必須在每次發送質詢時都要改變。

圖5 EAP-MD5數據包格式Fig.5 EAP-MD5 packet format

3.6 模塊總體設計

系統安全模塊的的總體設計基本框架如圖6所示。

在整個系統中，協商處理模塊是系統的中心模塊，圍繞該模塊的分別有一系列的階段和事件算法等：狀態庫、交換階段、超時事件、密碼算法、網絡接口和PF_KEY接口。為了能夠更加直觀。

圖6 IKEv2總體設計的基本框架Fig.6 The basic framework of the overall design of the IKEv2

上述模塊主要可以用于可信賴的有特權的密鑰管理程序或者用于操作系統內部密鑰管理的通信。密鑰引擎和它的構件是一個會話安全屬性的具體表現，也是“安全關聯”的實例。“安全關聯”（SA）的概念在RFC2401（原文為RFC1825現已被代替）中說明。這里所說的PF_KEY和密鑰引擎引用多于加密密鑰，傳統術語 “密鑰管理”為了一致性予以保留。PF_KEY源于BSD的路由套接字PF_ROUTE（[Skl91]）的一部分。例如：在兩個直接通信的應用層程序之間，但是這種可能性這里不做詳細討論。安全策略在這個接口中慎重地忽略。PF_KEY不是協調全系統安全策略的機制，也不想要實施任何密鑰管理策略。PF_KEY的開發者認為把安全機制 （如PF_KEY）和安全策略分離是很重要的，這樣允許一個機制很容易的支持多個策略。大多數密鑰管理通常部分或者全部在應用層實現。例如：IPsec的密鑰管理提案ISAKMP/Oakley、GKMP和Photuris都是應用層協議；手動調節也是在應用層完成；甚至部分SKIP協議層密鑰管理提案能夠在應用層實現。

4 結束語

計算機網絡技術是發展的一把“雙刃劍”，使用網絡技術就無法避免網絡信息安全問題，網絡環境本身的開放性決定了信息系統的脆弱性，只有不斷研究不斷積極地保護信息安全，才能夠更好地享受網絡環境帶給我們的便利，如今，我國對于網絡安全十分重視，并開展網絡安全建設，我們可以在此適當借鑒國外先進經驗，學習先進技術，引用到我國網絡安全建設中，進一步加快我國的網絡信息安全建設。

[1]何涇沙.“信息安全概論”課程建設及教學改革研究[J].信息網絡安全，2011（4）:25.

[2]薛琴.新時期手機網絡犯罪研究[J].信息網絡安全，2011（5）:25.

[3]Chadwick，Andrew，Bringing E-Democracy Back in：Why it matters for future research on E-Governance[J].Social Science Computer Review，2013（4）：443-455.

[4]顧華詳.國外保障信息安全的法治措施及啟示[J].行政管理改革，2010（12）:30.

[5]ZHANG Fang-fang，CHEN Xue-dong.Preliminary research on smart living space[J].Energy Procedia，2011（11）:2265.

[6]田衛蒙，衛晨.高校網絡辦分系統安全策略研究及技術實現[J].電子科計工程，2015（13）:27-29，33.