粱冰芳 邢東旭

摘 ?要： 計算機所具有的連接方式因其多樣性、應(yīng)用技術(shù)復雜性和網(wǎng)絡(luò)廣泛性以及互相關(guān)聯(lián)性等特征，導致計算機網(wǎng)絡(luò)信息存儲安全問題的出現(xiàn)并且愈發(fā)復雜。針對來自各方面的諸多威脅和系統(tǒng)本身的脆弱性，通過建立計算機網(wǎng)絡(luò)信息的危險控制模型、控制網(wǎng)絡(luò)信息訪問數(shù)據(jù)、鑒別網(wǎng)絡(luò)信息用戶身份等方法，制定出計算機網(wǎng)絡(luò)信息存儲安全的具體措施，以此來保證存儲信息系統(tǒng)的運行安全。

關(guān)鍵詞： 網(wǎng)絡(luò); 信息存儲; 安全; 設(shè)計

中圖分類號：TP393.0 ? ? ? ? ?文獻標志碼：A ? ? 文章編號：1006-8228（2015）01-24-02

Secure design of computer network information storage

Liang Bingfang， Xing Dongxu

（Information Engineering College， Inner Mongolia University of Science and Technology， Baotou， Inner Mongolia 014010， China）

Abstract： Due to the diversity of the connection， complexity of the application technology and the breadth of the network and other characteristics， the security issues of the computer network information storage have appeared and become more and more complex.To solve the various threat problems and the vulnerability， methods including computer network information herein danger control model， control access to the data network information， network information to identify the user identity are used to develop specific measures to ensure the safe operation of storage information systems.

Key words： network; information storage; security; design

1 計算機存儲信息過程中的安全威脅

計算機存儲信息過程中安全威脅來自如下幾方面。

⑴ 設(shè)備自身故障

由于儲存信息設(shè)備的自身故障造成信息存儲過程中信息的破壞，從而使信息失去完整性、破壞了信息的可用性[1]。

⑵ 用戶非法訪問

沒有被授權(quán)的網(wǎng)絡(luò)用戶為了訪問信息，非法繞過為保護信息完整性所設(shè)計的安全設(shè)置，對保密信息進行訪問，進而使信息的保密性遭到破壞，在儲存過程中造成信息泄密。

⑶ 信息遭到破壞

非法入侵者雖然沒有辦法獲得網(wǎng)絡(luò)信息，但其入侵可以使存儲的信息遭到破壞、被刪除或者被修改，使信息喪失完整性。

2 建立計算機網(wǎng)絡(luò)信息的危險控制模型

根據(jù)計算機信息在網(wǎng)絡(luò)中所處的位置來確定計算機信息資源的危險等級，并將其記為R，危險等級R在1—10的范圍內(nèi)取值，R數(shù)值越大代表危險等級越高。根據(jù)信息資源的危險等級來確定網(wǎng)絡(luò)信息的保密需求和保密等級，并將其記為W，保密等級W的數(shù)值根據(jù)保密需求依次劃分并遞增，其數(shù)值越大代表信息保密需求越高。

根據(jù)以上對計算機信息資源的危險等級和網(wǎng)絡(luò)信息的保密需求及保密等級的設(shè)計，計算機網(wǎng)絡(luò)信息資源的危險等級我們用WR來表示，能得出危險等級的評估。

3 控制網(wǎng)絡(luò)信息訪問數(shù)據(jù)

為了有效地控制網(wǎng)絡(luò)用戶對保密信息進行非法的訪問，有必要對已存儲的信息應(yīng)用訪問控制的相關(guān)技術(shù)進行設(shè)置，由于現(xiàn)階段計算機網(wǎng)絡(luò)信息的存貯系統(tǒng)以Windows系統(tǒng)為主，可以用其自身所提供的安全控制設(shè)置或根據(jù)需求手動設(shè)計對信息的安全控制設(shè)置。

3.1 鑒別網(wǎng)絡(luò)信息用戶身份

對信息用戶的身份進行鑒別的目的是防止沒有得到授權(quán)的用戶非法闖入計算機網(wǎng)絡(luò)信息系統(tǒng)中，非法閱讀涉密網(wǎng)絡(luò)信息[7]。身份鑒別的具體操作就是對計算機終端用戶的使用身份進行網(wǎng)絡(luò)識別和在線驗證。身份鑒別的具體方法有以下三種：通行驗證、指令驗證和面部特征驗證。在網(wǎng)絡(luò)信息中廣泛使用的方法是采用口令驗證與Integrated Circuit卡相結(jié)合的雙重驗證技術(shù)，具體操作如下。

第一步由用戶自己選擇一條口令，接下來由計算機終端用戶自動識別記錄特定密碼的網(wǎng)絡(luò)信息用戶信息識別的Integrated Circuit卡[3]。

當使用時用戶要先把Integrated Circuit卡插入計算機中，這時計算機會對所插入的Integrated Circuit卡進行讀取并進行驗證，然后再根據(jù)提示將用戶口令輸入，Integrated Circuit卡和口令相吻合后，用戶就可以訪問并且使用計算機中存儲的信息。此方法可以有效防止驗證口令被他人盜取，從而確保所存儲的信息安全。

3.2 控制網(wǎng)絡(luò)信息訪問權(quán)限

在工作中對訪問權(quán)限進行控制指的是針對合法用戶所存儲的網(wǎng)絡(luò)信息（文件和數(shù)據(jù)）的操作或使用權(quán)限進行一定的限制，這里的權(quán)限主要指信息的Read、write、execute等操作[4]。對信息的訪問權(quán)限進行控制的方法有以下幾種。

⑴ 確保合法用戶的訪問權(quán)限。對用戶進行可行性分類，以確定各類用戶對信息的訪問權(quán)限和允許進行的操作，以防止用戶越權(quán)對保密的信息進行訪問。對涉密等級較高的網(wǎng)絡(luò)系統(tǒng)，信息的訪問權(quán)限要控制到具體用戶。

⑵ 建立詳細的信息用戶操作權(quán)限控制表。在表中詳細的列出用戶的種類、訪問權(quán)限和可訪問的信息。

⑶ 對計算機中存儲信息的可操作權(quán)限做定期的檢查。利用編程語言對存儲文件操作權(quán)限的檢查信息進行編寫。對限制操作的文件系統(tǒng)做定期檢查。

3.3 用戶審計

對用戶進行審計指的是對用戶使用網(wǎng)絡(luò)系統(tǒng)的全部操作進行全程記錄;并對發(fā)現(xiàn)的非法訪問行為進行實時監(jiān)控，掌握非法訪問規(guī)律，及時阻止非法訪問行為，以此提高系統(tǒng)安全性。網(wǎng)絡(luò)系統(tǒng)應(yīng)建立詳盡的系統(tǒng)工作日志，用以記錄每個網(wǎng)絡(luò)用戶的每次活動以及錯誤信息。對于涉密等級較高的系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)必須能自動檢測非法訪問時間并做好記錄，及時報警[2]。

3.4 病毒防護

建立有效的病毒防護措施和便捷的檢查方法，以防止數(shù)據(jù)遭到病毒的破壞。建立對優(yōu)盤、硬盤等外來文件的檢查機制，以防止病毒在存儲設(shè)備間傳染和擴散。

4 網(wǎng)絡(luò)存儲信息數(shù)據(jù)加密

對網(wǎng)絡(luò)信息數(shù)據(jù)進行加密可以有效限制存儲數(shù)據(jù)被非法訪問的權(quán)限。對數(shù)據(jù)進行加密的時候用一種相當于“密鑰”的網(wǎng)絡(luò)信息系統(tǒng)讀取數(shù)據(jù)信息并對數(shù)據(jù)進行編碼。原始的信息數(shù)據(jù)文本被加密程序和“密鑰”加密后，就生成了被編碼的信息文本密文。如果想重新生成“明文”，就必須應(yīng)用相同的加密程序和密鑰解密密文。通過這種加密形式，對信息數(shù)據(jù)進行非法訪問的用戶即便是得到了網(wǎng)絡(luò)信息存儲資源，也會因為沒有加密程序或者加密的密鑰，而無法對密文進行解密，也就沒有辦法得到信息數(shù)據(jù)的具體內(nèi)容。

被廣泛應(yīng)用的密令有crypt和des兩條加密命令。比較這兩條命令，應(yīng)用des進行加密的文件信息較為安全，相對而言，應(yīng)用crypt進行加密的文件破解技術(shù)量則相對比較大。所以，在計算機網(wǎng)絡(luò)系統(tǒng)工程中絕大多數(shù)都應(yīng)用des對網(wǎng)絡(luò)信息的存儲文件加密[6]。密鑰是一個相當于口令的編程語言字符串，在選用密鑰時要遵照與選用口令時相同的規(guī)則。

5 對數(shù)據(jù)進行備份

對網(wǎng)絡(luò)信息數(shù)據(jù)進行備份是保證網(wǎng)絡(luò)信息數(shù)據(jù)安全的一項重要措施，在此過程中必須要對重要的網(wǎng)絡(luò)信息數(shù)據(jù)進行定期備份，以防止因為計算機信息存儲設(shè)備的損壞或者因為非法用戶的訪問而造成信息數(shù)據(jù)的丟失和損壞。在信息備份的過程中要注意提高系統(tǒng)的可靠性和安全性，并且要注意節(jié)約數(shù)據(jù)備份的費用。通過建立詳細的網(wǎng)絡(luò)信息數(shù)據(jù)備份記錄，來防止備份過程中產(chǎn)生錯誤，確保備份數(shù)據(jù)信息的安全。

6 結(jié)束語

本文從計算機存儲信息過程中的安全威脅問題入手，對當前計算機存儲信息安全的現(xiàn)狀以及多種保證計算機存儲信息安全的技術(shù)進行分析，結(jié)合實際工作，提出了建立計算機網(wǎng)絡(luò)信息的危險控制模型、控制網(wǎng)絡(luò)信息訪問數(shù)據(jù)、鑒別網(wǎng)絡(luò)信息用戶身份、控制網(wǎng)絡(luò)信息訪問權(quán)限、用戶審計、病毒防護、網(wǎng)絡(luò)存儲信息數(shù)據(jù)加密、對數(shù)據(jù)進行備份等方法，進而提出了計算機網(wǎng)絡(luò)信息存儲安全設(shè)計方案，保證了信息存儲系統(tǒng)的運行安全。該方案能夠為計算機網(wǎng)絡(luò)信息存儲安全設(shè)計提供較好的參考。

參考文獻：

[1] 信息技術(shù)研究中心.網(wǎng)絡(luò)信息安全新技術(shù)與標準規(guī)范實用手冊（第1

版）[M].電子信息出版社，2004.

[2] 周學廣，劉藝.信息安全學（第1版）[M].機械工業(yè)出版社，2003.

[3] 毛劍.保護隱私的數(shù)字產(chǎn)品網(wǎng)上交易方案[J].電子學報，2005.6：

1053-1055

[4] 陳月波.網(wǎng)絡(luò)信息安全（第1版）[M].武漢工業(yè)大學出版社，2005.

[5] 北京啟明星辰信息技術(shù)公司.網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)（第1版）[M].電

子工業(yè)出版社，2002.

[6] 寧蒙.網(wǎng)絡(luò)信息安全與防范技術(shù)（第1版）[M].東南大學出版社，2005.

[7] 石志國，薛為民，江俐.計算機網(wǎng)絡(luò)安全教程（第1版）[M].清華大學出

版社，2004.