云計算環境下計算機信息安全保密技術應用與研究

◆李 濤 李 玥

（中國專利信息中心 北京 100081）

云計算環境下計算機信息安全保密技術應用與研究

◆李 濤 李 玥

（中國專利信息中心 北京 100081）

計算機信息系統已在各行業得到了廣泛應用，因此信息系統的安全性就顯得非常重要，亟需采用水平較高的安全保密技術和構建完善的保密制度，引入先進的數據加密技術和鏈路加密技術。本文首先詳細介紹了云計算環境下計算機信息安全保密技術應用，然后對云計算環境下計算機信息保密管理制度進行了構建，最后進行了總結與展望。

云計算；信息安全等級保密技術

0 引言

云計算、大數據、數據庫技術的快速發展和改進，促進了計算機信息系統在電子政務、金融銀行、物流倉儲、科教文衛、商業貿易等領域得到廣泛應用，促進了人們工作、生活和學習的信息化、共享化和智能化[1]。且同時重新定義了信息化資源的使用和服務提供方式，對信息化資源的管理和分配模式也有了新的思路和機制。但是，信息化系統集成時采用的技術包括 Java程序、C++程序、SOA架構、B/S架構等，不同的系統擁有不同的功能，因此系統集成可能導致不同接口存在漏洞，為黑客攻擊系統、木馬盜取數據、病毒破壞數據帶來了潛在的渠道[2]。通過對當前計算機信息安全面臨的威脅進行分析，發現許多威脅呈現出了攻擊渠道多樣化、安全威脅隱藏周期長期化、威脅范圍擴大化等特點[3]。

攻擊渠道多樣化。目前，光纖通信、移動通信技術的改進促進了計算機信息系統接入渠道和設備的百花齊放，呈現出來多種多樣的局面，原來僅有的臺式計算機、筆記本電腦接入計算機信息系統的局面不復存在，利用移動通信網絡的平板電腦、智能手機、無線路由器等開始接入到各類系統中，因此每一個接入的環節都可能成為攻擊的渠道，不同設備的開發技術、系統架構集成在一起，也容易造成系統漏洞，無形中增加了互聯網攻擊渠道[2]。

攻擊隱藏長期化。目前，病毒、木馬等開發技術迅速提升，許多病毒和木馬在攻擊計算機信息系統時已經開始偽裝成應用程序或嵌入到應用軟件中，長期地隱藏在軟件中。比如在金融銀行信息系統的 APT攻擊，該攻擊行為具有隱蔽能力強、攻擊方式多樣化、攻擊持續時間長等特點，其采用了復雜的軟件開發技術實現了一個長期的、高級的、持續的威脅，持續地盜取金融銀行的機密數據，并且能夠動態地觀察金融銀行系統運行狀況，發行數據通信的規律，實現機密信息盜用。

威脅范圍擴大化。計算機信息系統為各行各業提供了應用軟件，支撐行業信息化的與時俱進，且為了消除“信息孤島”，很多應用系統之間互相開放端口，以便實現某些數據的變動達到高效性和實效性。但是，隨著接入系統的擴大，一旦某一個系統受到病毒或木馬感染，其首先會感染局域網內容所有的服務器，其次會迅速感染互聯網中相關的主機和服務器，爆發網絡安全事故，給網絡帶來嚴重的災難，造成人們的財產安全嚴重損失。

1 云計算環境下計算機信息安全保密技術應用

1.1 數據加密技術種類

計算機信息安全加密技術主要包括兩種類型，一種是數據加密技術、一種是傳輸通道加密。數據加密主要包括對稱加密技術、非對稱加密技術，傳輸通道加密多為鏈路加密等技術，從數據本身和傳輸過程兩個方面進行加密工作，提高信息安全保密能力[4]。

1.1.1 對稱加密

對稱加密又被學者稱為共享密鑰加密技術，采用同一個密鑰針對數據在傳輸發送時、接收時進行加密和解密。數據加密采用對稱加密時首先確定一個公用密鑰，并且保證該密鑰僅僅由發送方和接收方知道，不能夠泄露密鑰，保證數據信息傳輸的完整性和可靠性，經過多年的改進和實驗，對稱數據加密技術已經誕生了很多種，包括DES加密技術、AES加密技術和IDEA加密技術。DES可以針對二元數據進行加密，密鑰為64位數據；AES是一種強化的DES算法，采用的密鑰達到了128位；IDEA采用迭代分組密碼進行數據加密，使用8個循環針對128位的密鑰進行處理，保證數據的安全性。

1.1.2 非對稱加密技術

非對稱加密技術又被稱為公鑰加密，是一種非對稱加密技術，數據信息的發送方和接收方分別選擇不同的密鑰，能夠對數據進行相關的加密操作、解密操作。目前，非對稱加密采用的公開密鑰主要用于加密過程，私有密鑰應用與解密過程。非對稱加密技術可以采用嚴格的密鑰交換協議，不需要通信雙方交換密鑰，可以直接的傳輸相關通信數據。經過多年的發展和改進，常用的主流非對稱加密技術包括RSA、EIGamal以及Diffie－Hellman等，這些技術可以有效防御現有的數據加密密碼受到的攻擊，實現信息系統用戶身份驗證，已經在數字證書和數字簽名中得到廣泛應用。

1.1.3 鏈路加密技術

鏈路加密技術是一種數據傳輸線路加密技術，其可以針對數據鏈路進行加密，所有消息在被傳輸之前進行加密，每個節點對接收到的消息解密，然后再使用下一個鏈路的密鑰加密消息再傳輸。在到達目的地之前，一條消息可能要經過許多通信鏈路。構建專用的數據傳輸防御通道，針對數據傳輸的經過的交換機、路由器等不同的區域進行加密，可以很好的保證數據鏈路的安全性。

1.2 信息隱藏技術

信息隱藏是當前最為先進的一種數據加密技術，充分的考慮數據上下文、應用背景信息，將隱秘的數據隱藏到普通的信息進行傳輸，比如可以將信息隱藏在圖像中進行發送。目前，信息隱藏常用的技術包括隱寫術和數字水印技術。

1.2.1 隱寫術

隱寫術可以利用高空間頻率的圖像隱藏信息，也可以利用信號的色度隱藏信息，利用數字圖像的像素亮度隱藏信息，將數據隱藏到圖像、視頻流中，非法訪問人員看到的僅僅是一副圖像或視頻，接收方可以利用解密算法還原隱藏的信息，保證信息安全傳輸。

1.2.2 數字水印技術數字水印技術可以將一些關鍵的標識信息嵌入到文本文檔、多媒體數據、軟件產品應用中，其不影響數據的正常使用效果，并且不易于被人們發現。目前常用的數字水印技術主要包括兩種，一種是空間數字水印技術，另外一種是頻率數字水印技術。空間數字水印目前最常用的技術為最低有效位算法那，可以修改一副圖像的顏色及其分量信息的位平面，這樣就可以自適應調整數字圖像感知，利用不重要的像素表達水印信息，達到嵌入水印的目的。頻率數字水印技術最常用的算法是擴展頻譜算法，針對信號進行時頻分析，擴展頻譜特性，選擇人們視覺最敏感的部分，這樣就可以保證修改后的系數隱含數字水印信息。

2 云計算環境下計算機信息保密管理制度構建

云計算環境下，計算機信息系統使用的用戶分布于各個行業，這些人受到的計算機知識操作技能或理論均存在較大的差異，比如一些人多為經濟管理類專業，沒有接受過專業的計算機信息系統安全管理或操作培訓，同時計算機信息安全是一個動態的過程，僅從技術方面提升信息安全保密能力是不夠的，因此本文提出構建一個健全的計算機信息保密管理制度，針對使用用戶進行規范，確保計算機信息系統安全運行。

構建信息系統操作權限角色制度。計算機信息系統在操作過程中，不同的用戶可以設定不同的操作權限，靈活構建計算機角色，比如一般用戶、管理員、超級管理員，不同的角色訪問系統的內容不同，更好的實現計算機信息系統分層保護。

構建定期教育培訓制度。云計算環境下，計算機信息系統開發采用的技術更新換代較快，從傳統的單機版發展到了網絡版，從C/S體系發展到了B/S體系架構，因此用戶也亟需進行定期教育和培訓，提高計算機專業理論知識和操作技能的熟練程度。構建一個定期教育培訓制度，可以從根本上幫助用戶掌握系統操作知識和技能，便于規范用戶操作，保證系統的安全性。

信息化資源的分配與管理制度。云計算重新定義了信息化資源的使用和服務提供方式的同時，也在信息化資源的管理和分配模式上給我們帶來了全新思路。以前，很多單位和企業的信息化資源管理方式是分散式管理，部門獨立購買信息化設備等資源，造成了信息化設備的冗余，從而導致信息化資源的浪費。隨著虛擬化技術不斷成熟和云計算的廣泛應用，向我們提出了信息化資源集中采購、分配和運維的全新管理理念，形成了使用部門提出需求、技術部門審核需求、管理部門購置和分配資源、運維部門維護設備的工作流程。

3 結束語

計算機信息系統已經在多個行業得到應用，因此信息系統的安全性就顯得非常重要，亟需采用水平較高的安全保密技術和構建完善的保密制度，引入先進的數據加密技術和鏈路加密技術，嚴格控制系統操作權限，定期進行系統專業理論與操作技能的教育培訓，進一步提高信息系統的安全性。