范劍文
(上海電科智能系統(tǒng)股份有限公司 上海市 200063)
網(wǎng)絡(luò)信息安全防護(hù)涉及的內(nèi)容較多,安全防護(hù)措施也較為多樣?,F(xiàn)階段我國已進(jìn)入大數(shù)據(jù)時代,網(wǎng)絡(luò)安全防護(hù)的相關(guān)理論研究和實(shí)踐探索日漸深入,區(qū)塊鏈技術(shù)在網(wǎng)絡(luò)安全防護(hù)領(lǐng)域的應(yīng)用也逐漸受到行業(yè)重視。為盡可能保證計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全,正是本文圍繞該課題開展具體研究的原因所在。
網(wǎng)絡(luò)病毒具備傳染性、寄生性、毀壞性等特點(diǎn),對計(jì)算機(jī)網(wǎng)絡(luò)的威脅較大。在具備外界條件時,網(wǎng)絡(luò)病毒能夠快速傳輸。以網(wǎng)絡(luò)病毒“物聯(lián)網(wǎng)破壞者”為例,其能夠同時讓數(shù)百萬攝像頭發(fā)出網(wǎng)絡(luò)訪問請求,網(wǎng)絡(luò)堵塞及網(wǎng)絡(luò)癱瘓等故障會因此出現(xiàn)[1]。
通過對網(wǎng)絡(luò)信息安全漏洞的利用,黑客等不法分子可實(shí)現(xiàn)對網(wǎng)絡(luò)的入侵,這同樣會對網(wǎng)絡(luò)用戶安全造成威脅。一般情況下,網(wǎng)絡(luò)信息安全漏洞無法徹底規(guī)避,網(wǎng)絡(luò)用戶及技術(shù)人員僅能夠?qū)ΜF(xiàn)有漏洞進(jìn)行彌補(bǔ),如系統(tǒng)程序的某些要點(diǎn)在網(wǎng)絡(luò)程序編寫時被遺漏,網(wǎng)絡(luò)漏洞便會隨之出現(xiàn)。隨著信息技術(shù)的快速發(fā)展,互聯(lián)網(wǎng)及人工智能助手在人們的生活中大量涌現(xiàn),為保證用戶能夠關(guān)注平臺推送的信息,客戶頭像分析和用戶群體研究系統(tǒng)成為各界研究焦點(diǎn)。在互聯(lián)網(wǎng)平臺登錄方式選擇環(huán)節(jié),用戶在其他社交平臺的信息很容易泄露,不法分子利用這類信息往往會導(dǎo)致網(wǎng)絡(luò)安全漏洞被利用[2]。
黑客能夠入侵開放的計(jì)算機(jī)系統(tǒng),進(jìn)而對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊或?qū)W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行惡意篡改。在情況嚴(yán)重時,黑客攻擊會導(dǎo)致用戶在系統(tǒng)內(nèi)部存儲的信息的泄露或丟失,網(wǎng)絡(luò)阻隔等情況也往往隨之出現(xiàn)。以“永久拒絕服務(wù)攻擊”為例,設(shè)備中存儲的文件可能因此被全部清除,這會帶來嚴(yán)重的損失。
網(wǎng)絡(luò)數(shù)據(jù)的真實(shí)性和有效性下降會導(dǎo)致其可信度降低,現(xiàn)階段網(wǎng)民無法在短時間內(nèi)實(shí)現(xiàn)對網(wǎng)絡(luò)環(huán)境中虛假信息的有效甄別,數(shù)據(jù)源虛假問題也日漸惡化,“虛假信息網(wǎng)絡(luò)”通過網(wǎng)絡(luò)環(huán)境下虛假信息的不斷傳播形成,網(wǎng)民信息決策和判斷因此受到的負(fù)面影響需要得到重視。在傳遞互聯(lián)網(wǎng)信息的過程中,被肆意篡改的真實(shí)信息會變?yōu)樘摷傩畔?,本身具備有效性和真?shí)性的信息會因此逐步“失真”,進(jìn)而導(dǎo)致網(wǎng)絡(luò)社會在網(wǎng)絡(luò)社會中出現(xiàn),受此影響用戶將無法順利實(shí)現(xiàn)信息真實(shí)判斷,網(wǎng)民的綜合素質(zhì)提升也會受到負(fù)面影響[3]。
計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全維護(hù)需重點(diǎn)關(guān)注安全事件發(fā)生前的維護(hù),該環(huán)節(jié)的維護(hù)可從四方面入手:
(1)網(wǎng)絡(luò)入侵檢測屏障構(gòu)建。為實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)非法入侵的防控,入侵檢測技術(shù)的應(yīng)用極為關(guān)鍵,網(wǎng)絡(luò)通信安全能夠更好得到保障。基于網(wǎng)絡(luò)信息安全防護(hù)需要,多樣網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)能夠基于入侵檢測手段辨識,防控網(wǎng)絡(luò)入侵的方式和途徑可據(jù)此給出。結(jié)合現(xiàn)狀可以發(fā)現(xiàn),簽名分析法和統(tǒng)計(jì)分析法均可用于網(wǎng)絡(luò)入侵檢測屏障構(gòu)建,通過對網(wǎng)絡(luò)運(yùn)行偏差的針對性修正,入侵檢測目標(biāo)將在最短時間內(nèi)精確實(shí)現(xiàn)。為保證數(shù)據(jù)運(yùn)算和數(shù)據(jù)計(jì)算安全,基于同步防護(hù)方式的“主動免疫可信計(jì)算”也需要得到重視,在密碼基因基礎(chǔ)上,及時識別異己因素,各種有害信息能夠在網(wǎng)絡(luò)機(jī)體內(nèi)部及時被發(fā)現(xiàn),可將其視作在網(wǎng)絡(luò)系統(tǒng)內(nèi)部植入的免疫能力,其在身份辨識、狀態(tài)度量、存儲保密方面的表現(xiàn)較為優(yōu)秀;
(2)防火墻與殺毒軟件安裝。勒索病毒屬于近年來廣受關(guān)注的計(jì)算機(jī)病毒,通過數(shù)據(jù)加密手段,該病毒能夠使計(jì)算機(jī)數(shù)據(jù)不可用,用戶因此受到的損失較為嚴(yán)重。為規(guī)避這類計(jì)算機(jī)病毒帶來的威脅,殺毒軟件的應(yīng)用和防火墻的設(shè)置極為關(guān)鍵,二者屬于網(wǎng)絡(luò)安全防護(hù)的最常用和最關(guān)鍵手段,網(wǎng)絡(luò)用戶需依托二者關(guān)注網(wǎng)絡(luò)安全狀態(tài),保證這類手段的應(yīng)用能夠發(fā)揮預(yù)期效果;
(3)開展業(yè)務(wù)應(yīng)用安全檢測。網(wǎng)絡(luò)安全人才缺乏情況廣泛存在于我國各行業(yè),很多企業(yè)僅關(guān)注重要業(yè)務(wù)系統(tǒng)的安全測試,希望能夠?qū)⒆顕?yán)重的問題通過有限資源解決,但在攻擊者視角下,業(yè)務(wù)系統(tǒng)的任何安全漏洞均屬于嚴(yán)重問題。因此,企業(yè)可采用灰盒IAST 測試、威脅建模等技術(shù),在業(yè)務(wù)開發(fā)全生命周期中應(yīng)用,并保證開發(fā)、運(yùn)營、安全團(tuán)隊(duì)的所有人員均能夠發(fā)揮自身作用;
(4)強(qiáng)化網(wǎng)絡(luò)安全建設(shè)。以資產(chǎn)為中心開展的網(wǎng)絡(luò)安全建設(shè)較為主流,這種主流方式的安全能力建設(shè)圍繞資產(chǎn)外圍安全防御、威脅檢測等開展,這使得資產(chǎn)自身的安全加固很容易被忽略,資產(chǎn)漏洞安全問題因此在近年來頻繁出現(xiàn)?;谄髽I(yè)的已知資產(chǎn),網(wǎng)絡(luò)安全建設(shè)應(yīng)關(guān)注企業(yè)所有資產(chǎn)及未知資產(chǎn)的漏洞梳理,分析公開的數(shù)據(jù)、應(yīng)用、服務(wù)、業(yè)務(wù)等情況,對暴露在外的資產(chǎn)和服務(wù)變化進(jìn)行監(jiān)控,同時還需要持續(xù)監(jiān)控對外部威脅情況、合規(guī)檢測、漏洞檢測等多個維度。如工作環(huán)境存在潛在風(fēng)險(xiǎn),需針對性開展緊急事件機(jī)動處理機(jī)制的針對性設(shè)定,保證相關(guān)事宜能夠在網(wǎng)絡(luò)安全問題出現(xiàn)后有效處理,網(wǎng)絡(luò)安全問題的消極影響將大幅下降[4]。
安全事件發(fā)生時,計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全維護(hù)可從兩方面入手:
(1)開展安全威脅誘捕系統(tǒng)建設(shè)?;谄垓_防御與攻擊混淆技術(shù),攻擊誘捕系統(tǒng)能夠?qū)⑾葳逶O(shè)置于黑客必經(jīng)之路,實(shí)現(xiàn)對攻擊目標(biāo)的混淆,同時對黑客攻擊行為進(jìn)行精確感知,在仿真沙盒中隔離攻擊,攻擊行為記錄、真實(shí)資產(chǎn)保護(hù)、黑客信息獲取即可順利實(shí)現(xiàn),對黑客攻擊的溯源和取證也能夠同時實(shí)現(xiàn)?;诎踩{誘捕系統(tǒng),信息安全事故維權(quán)能夠獲得證據(jù)支持,同時也能夠在道德和法治高地上對不法團(tuán)體及分子進(jìn)行約束、威懾;
(2)設(shè)法實(shí)現(xiàn)威脅感知能力提升。為實(shí)現(xiàn)對網(wǎng)絡(luò)安全威脅的及時發(fā)現(xiàn),可采用大數(shù)據(jù)自學(xué)習(xí)技術(shù)和安全流量分析技術(shù),新型惡意攻擊行為所具備的特征能夠通過日常流量行為分析明確,更加靈敏的響應(yīng)方式也能夠在自我行為模型的不斷進(jìn)化下獲得,大數(shù)據(jù)平臺能夠由此開展全面、實(shí)時、準(zhǔn)確的威脅檢測[5]。
更加靈敏的響應(yīng)方式,計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全維護(hù)可從三方面入手:
(1)取證溯源。取證溯源需圍繞安全事件進(jìn)行,基于感知到的攻擊事件,依托攻擊IP 識別、指紋持久化種植、網(wǎng)絡(luò)身份識別、人機(jī)識別、物理位置識別等方法,即可進(jìn)行攻擊畫像內(nèi)容整理,安全防御改善及司法取證將獲得充足依據(jù);
(2)安全事件影響范圍控制。在信息安全事件發(fā)生后,其影響范圍需通過對問題的解決快速控制,具體需涉及管理層面、市場層面、技術(shù)層面的控制,避免蝴蝶效應(yīng)下其他損失的出現(xiàn);
(3)安全架構(gòu)優(yōu)化??紤]到邊緣系統(tǒng)的漏洞同樣可能引發(fā)完全問題,因此需積極吸取安全事件教訓(xùn),實(shí)現(xiàn)對薄弱點(diǎn)的持續(xù)彌補(bǔ),真正做到防患于未然,提升計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全維護(hù)水平。
為保證網(wǎng)絡(luò)中信息傳輸安全性,計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)安全維護(hù)中區(qū)塊鏈技術(shù)的應(yīng)用必須得到重視,以此處理和封裝信封信息,網(wǎng)絡(luò)節(jié)點(diǎn)間無需考慮信封結(jié)構(gòu)下的通信協(xié)議及方式。傳輸封裝消息可依托非對稱加密實(shí)現(xiàn)加解密,區(qū)塊鏈網(wǎng)絡(luò)數(shù)據(jù)傳輸安全則能夠得到區(qū)塊鏈信息處理層的支持。在智能合約共識層的支持下,排序、傳輸、驗(yàn)證執(zhí)行能夠安全推進(jìn),安全的網(wǎng)絡(luò)數(shù)據(jù)傳輸將更好實(shí)現(xiàn)。通過節(jié)點(diǎn)管理,進(jìn)行節(jié)點(diǎn)劃分,驗(yàn)證信任身份,優(yōu)選權(quán)限控制策略,相應(yīng)功能管理將取得預(yù)期成果?;诰W(wǎng)絡(luò)傳輸模式進(jìn)行分析不難發(fā)現(xiàn),數(shù)據(jù)在每一次節(jié)點(diǎn)間的傳輸無須向核心服務(wù)器發(fā)送,數(shù)據(jù)完整性檢查由多節(jié)點(diǎn)集群共識模塊完成,發(fā)送方身份及消息內(nèi)容真實(shí)性驗(yàn)證將順利實(shí)現(xiàn)。在基于區(qū)塊鏈技術(shù)的模式下,結(jié)合應(yīng)用身份認(rèn)證技術(shù)、傳輸數(shù)據(jù)加密、共識模塊,網(wǎng)絡(luò)傳輸數(shù)據(jù)信息安全將更好得到保障。
對于具備開放、共識、點(diǎn)對點(diǎn)傳輸、去中心化等特點(diǎn)的區(qū)塊鏈技術(shù)來說,該技術(shù)為個人數(shù)據(jù)安全保護(hù)提供了新的途徑。去信任化的區(qū)塊鏈探索中,個人信息保護(hù)需得到新的管理機(jī)制支持,如無中心化管理,現(xiàn)有的信息集中管理能夠被取代,弱中心管理也能夠發(fā)揮同樣效果,在操作、意識、技能等方面,系統(tǒng)管理人員導(dǎo)致的個人用戶數(shù)據(jù)信息泄露幾率將大幅下降。對于任何業(yè)務(wù)操作和交易行為,區(qū)塊鏈技術(shù)均可實(shí)現(xiàn)有時序記錄,可追溯、零信任能夠順利實(shí)現(xiàn),全生命周期的個人數(shù)據(jù)信息保護(hù)將順利開展,這一過程可同時兼顧立體式保護(hù)。基于多節(jié)點(diǎn)體系進(jìn)行分析不難發(fā)現(xiàn),其分布式特點(diǎn)使得數(shù)據(jù)信息存儲同時在某個節(jié)點(diǎn)及其他節(jié)點(diǎn)進(jìn)行,其他節(jié)點(diǎn)的數(shù)據(jù)副本能夠發(fā)揮重要性作用,如出現(xiàn)數(shù)據(jù)信息被破壞情況,即可向鄰近節(jié)點(diǎn)進(jìn)行完整副本數(shù)據(jù)的提取,這對故障節(jié)點(diǎn)存儲數(shù)據(jù)修復(fù)、系統(tǒng)地容錯率提升均能夠提供有力支持。對于新增用戶來說,區(qū)塊鏈技術(shù)能夠開展一次性加密,并將唯一密鑰分配給用戶,個人信息數(shù)據(jù)的使用只有應(yīng)用對應(yīng)密鑰方可實(shí)現(xiàn),非法篡改個人數(shù)據(jù)等問題將順利解決,用戶個人數(shù)據(jù)的可追溯性也能夠同時得到保障。對于上鏈的個人數(shù)據(jù),區(qū)塊鏈會針對性開展數(shù)據(jù)檢測,虛假、無效信息能夠由此排除,數(shù)據(jù)自我監(jiān)管也能夠同時實(shí)現(xiàn),保護(hù)個人數(shù)據(jù)信息的成本將大幅下降。對于具備可擴(kuò)展性的區(qū)塊鏈來說,個人數(shù)據(jù)信息保護(hù)過程中可能出現(xiàn)的動態(tài)變化需求能夠通過區(qū)塊鏈技術(shù)更好滿足。依托區(qū)塊鏈基礎(chǔ)架構(gòu),開展用戶數(shù)據(jù)信息保護(hù)模型設(shè)計(jì),數(shù)據(jù)層封裝公有鏈等數(shù)據(jù)庫存取操作,邏輯層負(fù)責(zé)提供操作處理模塊,結(jié)合相應(yīng)請求,處理結(jié)果反饋能夠順利獲取。在區(qū)塊鏈技術(shù)支持下,用戶數(shù)據(jù)信息的全生命周期保護(hù)將順利開展,其安全自然能夠得到保障?;趨^(qū)塊鏈技術(shù)的用戶數(shù)據(jù)信息保護(hù)框架應(yīng)由應(yīng)用層、數(shù)據(jù)層、邏輯層組成,數(shù)據(jù)層包括公有鏈、聯(lián)盟鏈、私有鏈,邏輯層包括控制、設(shè)置、統(tǒng)計(jì)、驗(yàn)證、查詢、查看、存儲等模塊。
在管理區(qū)塊鏈數(shù)據(jù)的過程中,資源數(shù)據(jù)的存儲和共享應(yīng)由節(jié)點(diǎn)、用戶、結(jié)構(gòu)聯(lián)合負(fù)責(zé),共建共享數(shù)字資源面臨的硬件故障、惡意攻擊等安全問題將有效規(guī)避?;趨^(qū)塊鏈技術(shù)構(gòu)建的數(shù)據(jù)存儲與共享安全模型應(yīng)由用戶層、數(shù)據(jù)共享層、公共審計(jì)服務(wù)層組成,用戶負(fù)責(zé)數(shù)據(jù)上傳和發(fā)出審計(jì)請求。數(shù)據(jù)共享層由機(jī)構(gòu)和數(shù)據(jù)塊存儲服務(wù)組成,負(fù)責(zé)發(fā)出身份驗(yàn)證信息。公共審計(jì)服務(wù)層由區(qū)塊鏈網(wǎng)絡(luò)組成,負(fù)責(zé)接受審計(jì)請求并下發(fā)審計(jì)結(jié)果。所謂機(jī)構(gòu),指的是聯(lián)合體區(qū)塊鏈網(wǎng)絡(luò),由區(qū)塊鏈成員(多組數(shù)據(jù)共享方案)組成,數(shù)據(jù)共享服務(wù)提供可通過各機(jī)構(gòu)共同實(shí)現(xiàn)。不同機(jī)構(gòu)的用戶屬于數(shù)據(jù)所有者,數(shù)據(jù)共享需依托機(jī)構(gòu)實(shí)現(xiàn),而通過在機(jī)構(gòu)進(jìn)行注冊,即可在該機(jī)構(gòu)上傳共享的數(shù)據(jù)。對于多個機(jī)構(gòu)組成的數(shù)據(jù)共享層來說,主要負(fù)責(zé)數(shù)據(jù)的管理和存儲,通過提供共享服務(wù)滿足所有用戶需要。所有用戶均需要參與到區(qū)塊鏈數(shù)據(jù)庫的維護(hù)中,上層用戶則需要負(fù)責(zé)提供公共審計(jì)服務(wù),在對應(yīng)服務(wù)層中,防篡改數(shù)據(jù)庫維護(hù)由所有機(jī)構(gòu)維護(hù),公共驗(yàn)證信息用戶由該數(shù)據(jù)庫記錄,共享數(shù)據(jù)可用性及完整性驗(yàn)證可順利實(shí)現(xiàn)?;谏鲜龃鎯蚕戆踩P?,結(jié)合公共區(qū)塊鏈上的信息,所有成員均可通過驗(yàn)證協(xié)議實(shí)現(xiàn)共享數(shù)據(jù)完整性的驗(yàn)證,這一過程無需可信的第三方參與。共享數(shù)據(jù)在區(qū)塊鏈節(jié)點(diǎn)中不可見,數(shù)據(jù)驗(yàn)證信息記錄的共享由專門的區(qū)塊鏈數(shù)據(jù)庫負(fù)責(zé),相應(yīng)的維護(hù)工作由區(qū)塊鏈節(jié)點(diǎn)負(fù)責(zé)。在區(qū)塊鏈節(jié)點(diǎn)支持下,正確性的共享數(shù)據(jù)驗(yàn)證能夠順利開展,但這一過程中真實(shí)的數(shù)據(jù)不會得到。對于涉及敏感信息的分享數(shù)據(jù),為實(shí)現(xiàn)用戶隱私的保護(hù),共享基于匿名方式開展,而在糾紛出現(xiàn)時,惡意用戶的真實(shí)身份能夠通過管理器跟蹤,數(shù)據(jù)存儲和共享的可追溯性、匿名性、機(jī)密性能夠由此順利實(shí)現(xiàn)。
綜上所述,計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全維護(hù)需關(guān)注多方面因素影響。在此基礎(chǔ)上,本文涉及的安全事件發(fā)生后的維護(hù)、區(qū)塊鏈數(shù)據(jù)存儲與共享安全等內(nèi)容,則提供了可行性較高的安全維護(hù)路徑。為更好保證計(jì)算機(jī)網(wǎng)絡(luò)安全,數(shù)據(jù)庫安全管理的強(qiáng)化、各類新型技術(shù)的應(yīng)用均需要得到重視。