鄧文聰

（江門市新會機電高級職業(yè)技術(shù)學(xué)校，江門 529141）

信息化技術(shù)發(fā)展水平的提高，使得我國企業(yè)的網(wǎng)絡(luò)化建設(shè)普及度不斷增強。企業(yè)網(wǎng)的應(yīng)用，有效提高了企業(yè)的辦公效率，但同樣也帶來了數(shù)據(jù)風(fēng)險。研究顯示，非法終端、搭線竊取等行為，在企業(yè)網(wǎng)中頻繁發(fā)生。導(dǎo)致上述風(fēng)險出現(xiàn)的原因，與企業(yè)的保密技術(shù)水平低有關(guān)[1]?？梢?，為確保企業(yè)能夠健康發(fā)展，對保密技術(shù)的設(shè)計及應(yīng)用方法加以研究極其必要。

1 企業(yè)網(wǎng)信息化建設(shè)所面臨的風(fēng)險

企業(yè)網(wǎng)信息化建設(shè)所面臨的風(fēng)險，以數(shù)據(jù)竊取風(fēng)險、木馬及病毒攻擊風(fēng)險為主。導(dǎo)致數(shù)據(jù)被竊取的原因，與企業(yè)網(wǎng)緩存數(shù)據(jù)量過大，且安全機制缺乏有關(guān)。解決上述問題的關(guān)鍵，在于實現(xiàn)對拷貝操作以及數(shù)據(jù)緩存的限制。導(dǎo)致木馬及病毒攻擊風(fēng)險發(fā)生的原因，與企業(yè)網(wǎng)未設(shè)置防火墻有關(guān)。

根據(jù)企業(yè)的需求，利用KiFastCallEntry等函數(shù)，對防火墻進(jìn)行設(shè)計，可有效提高網(wǎng)絡(luò)的安全性。在信息化時代，為避免不法分子竊取企業(yè)資料[2]。企業(yè)有必要采用上述保密技術(shù)，提高企業(yè)網(wǎng)信息化系統(tǒng)數(shù)據(jù)的安全性。

2 企業(yè)網(wǎng)信息化建設(shè)的保密技術(shù)設(shè)計與應(yīng)用

2.1 剪切板監(jiān)控

Windows剪切板，屬于進(jìn)程間通訊機制的一種。該機制可為企業(yè)網(wǎng)預(yù)留全局共享內(nèi)存，以便于企業(yè)工作人員，將需要共享的數(shù)據(jù)放置在該部分空間中。如用戶通過復(fù)制，將需要傳送的數(shù)據(jù)，拷貝到內(nèi)存塊中，且數(shù)據(jù)的格式能夠被識別，該數(shù)據(jù)則能夠被讀取。Windows標(biāo)準(zhǔn)剪切板的實現(xiàn)步驟相對復(fù)雜，需首先調(diào)用Global Alloc函數(shù)，創(chuàng)建共享模塊。繼而調(diào)用OpenGlipboard打開模塊，再次調(diào)用Set Clipboard Data剪切及拷貝模塊，方可確保數(shù)據(jù)能夠被應(yīng)用。

為避免數(shù)據(jù)經(jīng)剪切板被泄露，可采用授權(quán)的方式，實現(xiàn)對剪切板的監(jiān)控。例如：如進(jìn)程與進(jìn)程之間已經(jīng)授權(quán)，用戶則能夠在剪切板中執(zhí)行拷貝操作，反之則否。對此，企業(yè)技術(shù)人員，可采用APIHook技術(shù)，在剪切板中，注入目標(biāo)進(jìn)程。同時，采用IAT，修改調(diào)用函數(shù)。此時，當(dāng)非法剪切的行為出現(xiàn)時，數(shù)據(jù)則不會被粘貼及拷貝。企業(yè)網(wǎng)的保密水平，同樣能夠得到一定的提升。

2.2 應(yīng)用密碼技術(shù)

將密碼技術(shù)應(yīng)用到企業(yè)網(wǎng)信息化建設(shè)過程中，同樣能夠達(dá)到保密的目的。常用的加密技術(shù)，共包括對稱算法加密、非對稱加密、公鑰加密三種。其中，對稱算法加密，要求加密以及解密雙方，必須采用相同的密碼對數(shù)據(jù)進(jìn)行發(fā)送及調(diào)取。為確保上述過程能夠?qū)崿F(xiàn)，技術(shù)人員應(yīng)將DES算法，應(yīng)用到保密過程中。對稱算法在應(yīng)用過程中存在的問題，主要體現(xiàn)在密碼難以及時更新方面。如密碼更新周期過長，數(shù)據(jù)丟失的風(fēng)險，將會顯著提升。

非對稱算法，與公鑰加密技術(shù)，要求通過身份驗證的方式，確保數(shù)據(jù)能夠安全傳輸。與對稱加密相比，采用上述保密技術(shù)，對企業(yè)網(wǎng)中的數(shù)據(jù)進(jìn)行加密，安全性更高。以公鑰技術(shù)為例，公開的密鑰體制以及密碼體制，不僅能夠提高數(shù)據(jù)在傳輸過程中的機密性。同時，還能夠?qū)π畔l(fā)送人進(jìn)行身份驗證，以避免接收數(shù)據(jù)的過程出現(xiàn)風(fēng)險。

2.3 緩存文件保護

企業(yè)網(wǎng)計算機終端中，均具有緩存文件。該部分文件的功能，在于確保用戶能夠快速瀏覽頁面，提高企業(yè)的辦公效率。為避免緩存文件丟失，技術(shù)人員應(yīng)通過“禁止非法讀寫訪問”以及“自動刪除緩存文件”等方式，提高系統(tǒng)數(shù)據(jù)的保密性。以文件過濾驅(qū)動技術(shù)為例：該技術(shù)包括傳統(tǒng)技術(shù)與新型技術(shù)兩種，前者的文件過濾驅(qū)動，以s fi lter為主，需應(yīng)用多項代碼，方可達(dá)到保密的目的。加之該方法接口復(fù)雜，因此應(yīng)用效率較低。

對此，技術(shù)人員可將Mini fi ler應(yīng)用到企業(yè)網(wǎng)的緩存文件保護過程中，確保系統(tǒng)中的文件，均能夠被Mini fi ler所保護。此時，當(dāng)企業(yè)員工應(yīng)用企業(yè)網(wǎng)后，網(wǎng)絡(luò)中的緩存文件，將會被立即刪除。采用上述保密技術(shù)，實現(xiàn)企業(yè)網(wǎng)信息化建設(shè)，將能夠有效提高企業(yè)建設(shè)方案的合理性。利用上述網(wǎng)絡(luò)辦公，各項數(shù)據(jù)傳輸?shù)陌踩?，將明顯提升。

2.4 建立防火墻

企業(yè)技術(shù)人員，可通過建立防火墻的方式，加強企業(yè)網(wǎng)信息化建設(shè)，提高企業(yè)網(wǎng)數(shù)據(jù)的安全性。鑒于病毒及木馬，為導(dǎo)致企業(yè)網(wǎng)中的數(shù)據(jù)丟失的主要原因。因此，防火墻的設(shè)計，同樣應(yīng)以禁止病毒及木馬攻擊為主要目標(biāo)而進(jìn)行。目前，常用驅(qū)動防火墻的內(nèi)核函數(shù)，以及MmLoadSystemImage為主，掛鉤函數(shù)與之相同。該函數(shù)可實現(xiàn)對驅(qū)動加載的攔截，并在攔截后，給予記錄。采用上述方式應(yīng)用保密技術(shù)，優(yōu)勢在于有利于回溯，缺陷在于定位復(fù)雜，且兼容性差。

將掛載函數(shù)KiFastCallEntry應(yīng)用到企業(yè)網(wǎng)信息化建設(shè)中，能夠有效解決上述問題。該函數(shù)截獲驅(qū)動加載函數(shù)NtLoadDriver和NtSetSystemInformation后，會立即利用白名單機制，驅(qū)動防火墻，以實現(xiàn)對企業(yè)網(wǎng)數(shù)據(jù)的保護。將該保密技術(shù)應(yīng)用到企業(yè)網(wǎng)信息化建設(shè)中，對由木馬及病毒攻擊所帶來的數(shù)據(jù)丟失風(fēng)險發(fā)生率的降低，具有積極意義。

3 結(jié)束語

綜上所述，企業(yè)網(wǎng)信息化建設(shè)過程中所面臨的風(fēng)險較多。為提高企業(yè)網(wǎng)的安全性，技術(shù)人員可考慮將剪切板監(jiān)控技術(shù)，應(yīng)用到建設(shè)過程中。通過授權(quán)的方式，避免不當(dāng)拷貝的問題發(fā)生?？蓪ini fi ler應(yīng)用到企業(yè)網(wǎng)的緩存文件保護過程，通過刪除緩存文件等途徑，實現(xiàn)對信息的保護。在此基礎(chǔ)上，采用掛載函數(shù)KiFastCallEntry設(shè)置防火墻，使企業(yè)網(wǎng)信息化建設(shè)的安全性，得以進(jìn)一步提升。

[1] 許子拓.計算機信息系統(tǒng)的保密技術(shù)及安全管理[J].電子技術(shù)與軟件工程，2018，13（05）：226.

[2] 李濤，李玥.云計算環(huán)境下計算機信息安全保密技術(shù)應(yīng)用與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，11（07）：78+80.