◆林川

（海南正邦信息科技有限公司 海南 570100）

信息安全等級(jí)保護(hù)工作的核心是對(duì)信息等級(jí)的劃分，指在對(duì)信息等級(jí)進(jìn)行標(biāo)準(zhǔn)規(guī)劃后，按照標(biāo)準(zhǔn)對(duì)信息資源庫(kù)進(jìn)行建設(shè)、管控、監(jiān)督等行為。綜合計(jì)算機(jī)技術(shù)對(duì)信息的等級(jí)劃分標(biāo)準(zhǔn)，可將信息安全等級(jí)劃分為：計(jì)算機(jī)終端用戶(hù)對(duì)信息的自我保護(hù)行為；計(jì)算機(jī)系統(tǒng)對(duì)信息的審核性保護(hù)行為、標(biāo)記性保護(hù)行為、結(jié)構(gòu)性保護(hù)行為以及安全驗(yàn)證保護(hù)性維護(hù)等行為[1]。信息在網(wǎng)絡(luò)存儲(chǔ)過(guò)程中被劃分為多個(gè)等級(jí)，初級(jí)信息等級(jí)為用戶(hù)個(gè)人信息，而針對(duì)此方面進(jìn)行等級(jí)保護(hù)研究的目的在于對(duì)保護(hù)目標(biāo)的明確化描述。在網(wǎng)絡(luò)安全中，要實(shí)現(xiàn)上述提出的相關(guān)要求，需要將控制訪(fǎng)問(wèn)作為前提條件，在終端計(jì)算機(jī)防火墻、計(jì)算機(jī)交換路由等設(shè)備的支撐下分段控制網(wǎng)絡(luò)。此方面研究一直是有關(guān)計(jì)算機(jī)研究單位的關(guān)注重點(diǎn)，尤其在信息化技術(shù)協(xié)同發(fā)展的社會(huì)背景下，多元化信息的公開(kāi)性更為顯著，因此，如何在這一趨勢(shì)下有效保護(hù)隱私信息，顯得尤為重要。基于此，本文引進(jìn)802.1x 訪(fǎng)問(wèn)控制技術(shù)，提出一種針對(duì)網(wǎng)絡(luò)信息安全的保護(hù)方法，以期通過(guò)本文設(shè)計(jì)的方法，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中隱蔽性信息提供有效的保護(hù)，解決信息失竊、信息被盜用、信息失真等問(wèn)題。

1 信息安全等級(jí)保護(hù)方法研究

1.1 劃分信息安全等級(jí)

為確保安全保護(hù)信息安全等級(jí)，應(yīng)在方法設(shè)計(jì)工作前劃分信息安全等級(jí)。劃分過(guò)程中，可將網(wǎng)絡(luò)中數(shù)據(jù)鏈路層作為劃分的依據(jù)，以《信息安全技術(shù)》文件作為標(biāo)準(zhǔn)[2]，將信息劃分為用戶(hù)自主保護(hù)等級(jí)、系統(tǒng)審核保護(hù)等級(jí)、信息標(biāo)記保護(hù)等級(jí)、信息結(jié)構(gòu)保護(hù)等級(jí)以及安全認(rèn)證保護(hù)等級(jí)五種類(lèi)型。根據(jù)數(shù)據(jù)安全等級(jí)要素，明確信息安全等級(jí)與信息安全要素之間的對(duì)應(yīng)關(guān)系[3]。

在此基礎(chǔ)上，考慮到鏈路層數(shù)據(jù)是保障數(shù)據(jù)安全的基礎(chǔ)性配置，因此可在設(shè)計(jì)信息安全等級(jí)保護(hù)方法的過(guò)程中，將安全要素作為依據(jù)，從下述對(duì)保護(hù)方法展開(kāi)設(shè)計(jì)。

1.2 基于802.1x 訪(fǎng)問(wèn)控制構(gòu)建信息安全訪(fǎng)問(wèn)協(xié)議

在明確信息安全等級(jí)劃分及其依據(jù)的基礎(chǔ)上，引進(jìn)802.1x 訪(fǎng)問(wèn)控制技術(shù)設(shè)計(jì)信息安全訪(fǎng)問(wèn)協(xié)議[4]。在此過(guò)程中應(yīng)先明確上文提出的協(xié)議屬于802.11x 協(xié)議的延伸。協(xié)議中包括對(duì)數(shù)據(jù)鏈路的驗(yàn)證內(nèi)容，即可通過(guò)對(duì)用戶(hù)身份的驗(yàn)證，控制用戶(hù)的信息檢索行為。在驗(yàn)證用戶(hù)身份信息過(guò)程中，可將交換機(jī)作為控制訪(fǎng)問(wèn)的端口，交換機(jī)可支持在未經(jīng)權(quán)限訪(fǎng)問(wèn)條件下，做到與未經(jīng)過(guò)LAN 的互聯(lián)網(wǎng)拒絕連接[5]。在獲取用戶(hù)信息的初步訪(fǎng)問(wèn)權(quán)限后，802.1x 在防火墻驗(yàn)證無(wú)病毒攜帶后，即可驗(yàn)證用戶(hù)身份。802.1x 認(rèn)證體系中共涉及終端客戶(hù)訪(fǎng)問(wèn)端、身份認(rèn)證端、服務(wù)器認(rèn)證端三個(gè)方面的內(nèi)容。綜合上述分析，基于802.1x訪(fǎng)問(wèn)控制技術(shù)設(shè)計(jì)信息安全訪(fǎng)問(wèn)結(jié)構(gòu)，如圖1 所示。

圖1 基于802.1x 訪(fǎng)問(wèn)控制構(gòu)建信息安全訪(fǎng)問(wèn)結(jié)構(gòu)

如上述圖1 所示，基于802.1x 訪(fǎng)問(wèn)控制技術(shù)的信息安全訪(fǎng)問(wèn)結(jié)構(gòu)中，訪(fǎng)問(wèn)機(jī)制屬于虛擬端信息連接口，即交換機(jī)在物理端口層面分析，可將其劃分為信息控制與信息不受控制兩個(gè)端口。但提出的訪(fǎng)問(wèn)設(shè)計(jì)理念當(dāng)下仍屬于物理劃分方式，在上述提出的支撐設(shè)備中尚且不支持此種劃分方式。因此，在實(shí)際應(yīng)用中，可按照上述結(jié)構(gòu)，將不受控制端的端口保持一種雙向連通狀態(tài)，在每一條通信通道上，均可以對(duì)其賦予一條信息邏輯訪(fǎng)問(wèn)通道。增設(shè)的邏輯訪(fǎng)問(wèn)通道受802.1x 訪(fǎng)問(wèn)控制技術(shù)的控制，即未通過(guò)驗(yàn)證的用戶(hù)對(duì)其沒(méi)有訪(fǎng)問(wèn)權(quán)限。在構(gòu)建信息安全訪(fǎng)問(wèn)結(jié)構(gòu)過(guò)程中，802.1x 訪(fǎng)問(wèn)協(xié)議僅允許EAPoL（/互聯(lián)網(wǎng)信息訪(fǎng)問(wèn)協(xié)議）的數(shù)據(jù)通過(guò)端口。當(dāng)受控端被打開(kāi)后，網(wǎng)絡(luò)交換數(shù)據(jù)得以順利通過(guò)，據(jù)此可認(rèn)為在構(gòu)建信息安全訪(fǎng)問(wèn)協(xié)議過(guò)程中，802.1x訪(fǎng)問(wèn)控制技術(shù)的應(yīng)用是很有作用的。

1.3 基于802.1x 協(xié)議認(rèn)證的信息安全等級(jí)保護(hù)

利用上述設(shè)計(jì)的信息安全訪(fǎng)問(wèn)協(xié)議，本章將遵循基于802.1x 協(xié)議的認(rèn)證，以802.1x 協(xié)議端口邏輯作為支撐，根據(jù)交換機(jī)策略參數(shù)，對(duì)其進(jìn)行安全等級(jí)保護(hù)。

當(dāng)客戶(hù)端（/終端計(jì)算機(jī)用戶(hù)）在操作網(wǎng)絡(luò)信息的過(guò)程中，可通過(guò)交換機(jī)設(shè)備，向EAPoL-Start 發(fā)送一個(gè)數(shù)據(jù)報(bào)文，當(dāng)報(bào)文內(nèi)容通過(guò)信息安全的驗(yàn)證后，802.1x 訪(fǎng)問(wèn)控制協(xié)議可被接入。同時(shí)，交換機(jī)將向客戶(hù)端（/終端計(jì)算機(jī)用戶(hù)）發(fā)送一個(gè)EAPoL-Request/ldentity 數(shù)據(jù)報(bào)文，獲取客戶(hù)端操作用戶(hù)的身份認(rèn)證信息，并且持續(xù)對(duì)數(shù)據(jù)報(bào)文進(jìn)行封裝處理，將傳輸?shù)男畔l(fā)送給認(rèn)證端服務(wù)器。當(dāng)服務(wù)器接收到一個(gè)報(bào)文數(shù)據(jù)后，服務(wù)器將產(chǎn)生一個(gè)EAPoL-Access（成功）的認(rèn)證反饋，反之將產(chǎn)生一個(gè)EAPoL-Fall（失?。┑恼J(rèn)證反饋。

當(dāng)完成對(duì)用戶(hù)身份的有效反饋后，計(jì)算機(jī)將持續(xù)追蹤用戶(hù)對(duì)信息的操作行為，并實(shí)時(shí)向交換機(jī)反饋計(jì)算機(jī)信息等級(jí)。在實(shí)時(shí)反饋的過(guò)程中，只有認(rèn)證成功的數(shù)據(jù)才能被用戶(hù)所調(diào)用，否則便認(rèn)為用戶(hù)對(duì)信息沒(méi)有訪(fǎng)問(wèn)權(quán)限。綜上所述，通過(guò)使用不同的認(rèn)證方式認(rèn)證用戶(hù)身份信息，從而實(shí)現(xiàn)對(duì)信息安全等級(jí)保護(hù)方法的設(shè)計(jì)。

2 對(duì)比實(shí)驗(yàn)

為進(jìn)一步驗(yàn)證該方法在實(shí)際應(yīng)用中的性能和效果，下面將通過(guò)實(shí)際應(yīng)用對(duì)比基于802.1x 訪(fǎng)問(wèn)控制技術(shù)的信息安全等級(jí)保護(hù)方法與傳統(tǒng)保護(hù)方法應(yīng)用下的各類(lèi)數(shù)據(jù)，完成對(duì)比實(shí)驗(yàn)設(shè)計(jì)。

對(duì)比實(shí)驗(yàn)中本文選擇將某企業(yè)網(wǎng)絡(luò)通信環(huán)境作為實(shí)驗(yàn)環(huán)境，該環(huán)境整體通過(guò)TensorFlow2.7 型號(hào)框架支撐，通信網(wǎng)絡(luò)通信環(huán)境當(dāng)中的信號(hào)編譯器采用bazel2.6.6 型號(hào)編譯器。為確保對(duì)比實(shí)驗(yàn)的客觀(guān)性，本文將兩種保護(hù)方法均設(shè)置在上述相同的網(wǎng)絡(luò)通信環(huán)境當(dāng)中，并分別利用兩種保護(hù)方法對(duì)信息進(jìn)行安全等級(jí)保護(hù)。

同時(shí)，為保證實(shí)驗(yàn)結(jié)果與實(shí)際運(yùn)行需求相符，在網(wǎng)絡(luò)通信環(huán)境當(dāng)中引入Intel（V）Xeon（C）CPUF2-4575 v4@6.4GHz，32GB 內(nèi)存，并同時(shí)提供兩組TITAN X，128 位操作系統(tǒng)。在確保網(wǎng)絡(luò)信息環(huán)境中用戶(hù)正常通信的條件下，將信息的數(shù)據(jù)量設(shè)置為1200 幀，在正常通信過(guò)程中，分別使用兩種保護(hù)方法對(duì)信息進(jìn)行保護(hù)。

分別記錄兩種保護(hù)方法下的信息和容量，即信息損失數(shù)量。將實(shí)驗(yàn)結(jié)果進(jìn)行記錄，并繪制成如表1 所示的實(shí)驗(yàn)結(jié)果對(duì)比表。

表1 兩種保護(hù)方法實(shí)驗(yàn)結(jié)果對(duì)比表

表1 中和容量的數(shù)值越大，則說(shuō)明信息的傳輸環(huán)境越不穩(wěn)定，分配的噪聲越大，信息中數(shù)據(jù)的損失量越多，反之，和容量的數(shù)值越小，則說(shuō)明信息的傳輸環(huán)境越穩(wěn)定，分配的噪聲越小，信息中數(shù)據(jù)的損失量越少。由表1 中的數(shù)據(jù)可以看出，本文保護(hù)方法的和容量隨信息數(shù)據(jù)量的增加而增長(zhǎng)，但從整體來(lái)看，其明顯低于傳統(tǒng)保護(hù)方法的和容量。因此，通過(guò)對(duì)比實(shí)驗(yàn)組證明，本文提出的基于802.1x 訪(fǎng)問(wèn)控制技術(shù)的信息安全等級(jí)保護(hù)方法在實(shí)際應(yīng)用中能夠有效提高信息的安全性，為信息通信和傳輸提供安全保障。

3 結(jié)束語(yǔ)

本文提出的基于802.1x訪(fǎng)問(wèn)控制技術(shù)的信息安全等級(jí)保護(hù)方法，在完成設(shè)計(jì)后，通過(guò)設(shè)計(jì)對(duì)比實(shí)驗(yàn)的方式對(duì)方法進(jìn)行驗(yàn)證，證明本文設(shè)計(jì)的方法在實(shí)際應(yīng)用中對(duì)信息實(shí)現(xiàn)的等級(jí)安全保護(hù)效果更為顯著，具有更高的社會(huì)應(yīng)用價(jià)值，為信息的通信和傳輸提供更高程度的保障。