信息网络安全机制的研究与应用
网络信息安全问题的重要性日益凸现。全文首先介绍了以信息为中心的网络
安全策略,指出其与传统的网络安全侧重点的不同。随后从四个方面介绍了如何
建设信息网络安全机制:网络信息加密与解密,登陆认证控制,多级访问控制,信息
网络安全技术措施等。

标签：网络信息 信息安全 安全机制
0 引言
信息安全不仅要保证其在本地的存储安全,还需要保证其在网络传输中的安
全。因此设计一套完整的安全机制,如登录认证、多级访问控制、密钥管理、审
计等机制实现信息从储存、传输、接收各个环节的安全控制具有非常的现实意义。

1 以信息为中心的网络安全策略
网络作为信息传递的重要途径,使得网络安全已经从传统的系统安全转移到
信息本身的安,因为前者更多的关注整个网络系统及子系统、计算机或应用系统
的安全性,即系统以及所提供服务的稳定性和可靠性,而后者则以涉及到对个人、
家庭、企业、国家等具有重要意义的数据层面上,它强调更细粒度的控制。伴随
着TCP/IP协议群在互联网上的广泛采用,计算机、通信、网络技术的发展,因特网
的互联性、开放性、国际性、自由性、共享性在带给人们生活巨大便利的同时,
也让信息暴露在人们面前,因为开放性的网络其技术必然是全开放的,它所面临的
破坏和攻击也是多方面的[1]。因此,建立以信息为中心的网络安全机制是业界普
遍关注的问题,它涉及到信息传输(如数据加密、信息完整性鉴别)、存储(如数据
库和终端安全)以及对网络传输信息内容的审计、用户识别(如内容审计、密钥、
口令、指纹、视网膜、声音、智能卡、令牌卡)等方面,其目的是保证信息的保密
性、完整性、可用性、可控性,让有可能被侵犯或破坏的机密信息不被外界非法
操作者的控制。

2 信息网络安全机制建设
信息网络安全机制建设可以从以下几方面进行:
2.1 网络信息加密与解密 网络信息在传递过程中,要经过众多网络安全节点,
如防火墙、路由器、交换机、终端机等,在存储转发的过程中容易造成信息泄露、
失真等,因此对网络信息进行加密是保证网络通信安全的基础。①RC4流密码算
法。它由两部分组成,KSA和PRGA。前者用于完成对大小为256的字节数组的
初始化及替换,其密钥长度一般取5~16个字节,即40~128位。如对于数组S,它可
以通过对j的赋值,即重复使用密钥j=(j+S[i]+key[i%keylength])%256,以及
swap(s[i],s[j]实现两者的信息交换。但是这并不足以保证信息安全,因此继续使用
PRGA(伪随机密钥产生算法),对每个s[i],根据当前的s值,将S[i]与S中的另一字
节置换,如此循环。②RSA算法,该算法是第一个能同时用于加密和数字签名的算
法,它被认为是目前最优秀的公钥方案之一。其过程如下:a选取两个长度一样的
大素数p和q,且n=p*q,其中n为模。b计算欧拉函数φ(n)=(p-l)*(q-l),选取加密密
钥e,其与φ(n)互素,常用的e值为3、17、65537等。c使用扩展欧几里德算法求
出e模φ(n)的逆元d,即ed=1modφ(n)。由此公钥为e和n,私钥为d,p和q可以丢
弃,但是必须保密。d对S信息加密时,将其看成一个大整数,并把它分成比n小的
数据分组,按公式ci=siemodn,解密时针对Ci,且mi=cidmodn[2]。由此可见,该算法
比较依赖于大整数因子分解,如果密钥位数不够长,那么通过计算机技术进行解密
的时间会随着技术的提高而缩短,威胁性也就越大。

2.2 登陆认证控制 传统上的登录认证都采取以下几种方式:“用户名+密码”
认证,通过提问认证,根据用户的生物特征认证(如指纹、视网膜、声音等),根据用
户拥有什么认证(如银行系统采用的口令卡、U盾,门禁系统的准入卡等)。各种方
法各有优劣,但是根据用户所有进行认证的方式相对更加安全,而且通过电子系统
使用多种方式实现。本文提出将“用户名+密码”认证与动态口令认证相结合的方
式作为网络信息登录认证的控制机制。其基本思想是:让系统在每次认证过程中
获得一个随机数,并根据随机数生成动态口令。具体实现过程如下:系统首先为每
个用户生成一套RSA加密算法的公钥和私钥,公钥存储在存储卡上,用户则掌管
自己的私钥,登陆时,系统会按照一定的加密算法将公钥发给用户,而用户则通过
一定的手持设备,对公钥进行解密,然后实现登陆。这种方法有以下优点:口令是动
态的,极大的增加了被截取的难度;存储在系统中的只是公钥,要登陆系统必須获
取到相关的私钥信息,而私钥设备一般有持有人所保持。

2.3 多级访问控制 网络信息的重要程度是不同的,访问信息的主体其权限也
是不相同的,因此设定多级访问控制权限是非常必要的。本文提出两种多级访问
控制体系:①基于数据库的多级权限限制,其基本思想是将人的权限分为金字塔型,
并通过数据库的多级规则实现控制,但是其本身对信息没有分级。在这种模式下
人的权限是通过叠加的二实现的。如在某个信息系统中,对某个确定的信息,其实
现规则如下:从开发级别对该信息进行限制,即对任何人都是不可见的,只要保证
了数据库本身的安全,那么这些信息将被过滤;从功能级别对该信息进行限制,但
是允许开发人员可见,信息的使用者则被忽视;职务级限制,这是使用较多的一种
限制方法,本质上它是基于角色的访问控制,即多个人拥有同样的角色,同一个角
色可以查看同样的信息,其好处就在于对同样安全级别的人不用多次授权,主体通
过角色享有权限,它不直接与权限相关;最后是通过人员进行限制,即直接针对人
员进行信息过滤。这四个级别逐次增高,但是权限越来越低。②将人员和信息都
进行分级。较前一种方式,该方法更为严谨。其思想是将用户作为主体,关键字信
息作为客体。不同主体等级之间的差别体现在对客体使用权限上,即低安全等级
的用户只能使用与他等级相符合的关键字,用户和关键字的等级设定由系统安全
员统一管理[3]。如将信息关键字分为“禁止、绝密、机密、秘密、公开”,将人也
分为“一级、二级、三级、四级”等级别,一级人员只能对应“公开”,二级人员对应“秘
密、公开”,以此类推。这些级别信息都保存在存储卡中的不同区域。用户登录时,
根据其拥有的级别,获取与其对等的信息。

2.4 信息网络安全技术措施 包含以下几方面:①物理安全,主要围绕环境安
全(防震、防水、防火、防雷、防静电等)、设备安全(防盗、警报灯)、设备冗余
()、媒介安全(采取合适的媒介材料、防止辐射、信息泄露等)考虑;②网络安全,
首先,通过合理划分安全的网络拓扑结构,利用网络层的访问控制技术实现对内部
用户和外部用户的管理,隔离外部web服务器群和内部服务器群,保证内网应用服
务器的系统安全,其次,在实际应用中,从网络安全框架入手,逻辑上将复杂的网络
划分为多个构成部分,如采用备份系统、防病毒系统、远程容灾、操作系统完全
设置、补丁自动更、防火墙软件和防木马软件、VLAN和VPN技术的应用、IP
地址管理、网络流量控制、入侵检测系统、等实现网络信息安全。③制订发展规
划,统一规范管理。信息网络安全发展规划是一个循序渐进的过程:,要根据实际需
要,不断设定和实现中期和长期目标。④制定并落实网络安全管理制度。要结合
信息化工作,确定工作管理制度、体系,并基于管理流程,编制了一整套管理制度
等。

参考文献:
[1]杨云江.计算机网络管理技术[M].清华大学出版社.2005(4).
[2]李莉,孙慧.浅谈数据加密算法[J].电脑知识与技术(学术交流).2006(12).
[3]陈雪秀,任卫红,谢朝海.信息安全等级保护中的两大基本问题研究[J].信息
安全与通信保密.2009(3).