公務(wù)員期刊網(wǎng) 論文中心 正文

計算機(jī)終端信息安全的解決方案

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機(jī)終端信息安全的解決方案范文,希望能給你帶來靈感和參考,敬請閱讀。

計算機(jī)終端信息安全的解決方案

摘要:現(xiàn)階段,隨著科技的發(fā)展,各種形式、類型的信息安全問題呈現(xiàn)日漸增加的趨勢,表明了操作系統(tǒng)與信息安全管理已難以滿足當(dāng)前信息完整性、私密性的需求,人們逐漸認(rèn)知到終端信息安全的緊迫性與重要性?;诖耍Y(jié)合當(dāng)前實際情況,總結(jié)了兩種解決方案,一是以可信平臺模塊為基礎(chǔ)終端的信息安全體系結(jié)構(gòu),二是設(shè)計操作系統(tǒng)安全信息防護(hù)體系。

關(guān)鍵詞:計算機(jī)終端信息安全;信息防護(hù)

1信息安全面臨的威脅分析

對于信息安全系統(tǒng),其主要包含服務(wù)器安全、終端安全、網(wǎng)絡(luò)傳輸。目前,人們關(guān)注最多的是網(wǎng)絡(luò)傳輸,因為信息通過外部公共設(shè)備傳輸,采取多層次的VPN、數(shù)字簽名、加密措施等,能得到比較理想的效果。對終端信息安全來講,始終未能解決安全問題,終端成為造成各種安全事件的根源,導(dǎo)致各種信息泄露。從公安部最新數(shù)據(jù)統(tǒng)計得知,所有泄密犯罪中,超過70%來自各單位內(nèi)部。從軍隊層面來講,近期通報的一些重大泄密事件,均與機(jī)密文件未能妥當(dāng)處理有關(guān)。對信息安全而言,其不僅與國防安全息息相關(guān),而且與經(jīng)濟(jì)發(fā)展、社會穩(wěn)定緊密關(guān)聯(lián)。近年來,無論是國內(nèi)還是國外,常出現(xiàn)各種泄密時間,究其原因,主要在于終端信息安全問題,防御能力比較薄弱。對個人或單位而言,在構(gòu)建計算機(jī)終端安全防護(hù)機(jī)制方面仍處于空白狀態(tài),在缺乏安全性的終端上處理數(shù)據(jù),往往存在較大安全隱患。

2終端安全分析

隨著個人在信息私密性方面要求的日漸提升,操作系統(tǒng)漏洞問題越來越突出,比如身份驗證薄弱、計算機(jī)軟硬件結(jié)構(gòu)簡單、資源可隨意使用、儲存與處理敏感數(shù)據(jù)方面缺乏安全措施以及用戶權(quán)限無嚴(yán)格化訪問控制等,均會造成各種使用與操作風(fēng)險。需要指出的是,除了上述問題外,還存在如下突出問題,比如存在比較滯后的安全管理機(jī)制、具體移動儲存設(shè)備方面存在比較嚴(yán)重的公私混用情況、與互聯(lián)網(wǎng)相連接的終端的機(jī)密數(shù)據(jù)處理。因此,要想有效解決信息安全問題,需做好終端安全工作。制定高效解決終端信息安全問題的方案,通??蓜澐譃閮纱箢悾钥尚牌脚_模塊為基礎(chǔ)的可信計算技術(shù)和建立更加完善且實用的操作系統(tǒng)安全軟件防護(hù)體系[1-2]。對這兩種解決方案而言,能夠根據(jù)安全級別及具體需求的不同進(jìn)行多樣化選擇?;陂L遠(yuǎn)發(fā)展層面考量,第一種方案能滿足信息安全方面的各項需求,將硬件作為基本支撐,從根源處解決安全問題,保護(hù)信息的私密性與完整性。對第二種方案來講,其主要利用軟件技術(shù)保護(hù)操作系統(tǒng),應(yīng)用方便,成本低。

3操作系統(tǒng)信息安全防護(hù)體系

3.1高強(qiáng)度的身份認(rèn)證

借助強(qiáng)制性登錄機(jī)制,軟件與硬件相結(jié)合,利用Windows操作系統(tǒng)配套的圖形化認(rèn)證接口,連接操作系統(tǒng),支持多種方式的身份認(rèn)證,如指紋、USBKey等。另外,基于身份認(rèn)證,與合適的授權(quán)體系相結(jié)合,為終端構(gòu)建一個堅固的盾牌。

3.2安全文件系統(tǒng)研究

對Windows應(yīng)用程序來講,對某種服務(wù)提出請求時,會調(diào)用Win32API,而對此時的Win32子系統(tǒng)而言,通過使用系統(tǒng)服務(wù)接口[3-4],I/O管理器會及時創(chuàng)建IRP請求,向設(shè)備驅(qū)動程序?qū)崟r傳送,以此調(diào)用硬件抽象層,使硬件處于工作狀態(tài)。根據(jù)實際需要,設(shè)置若干個驅(qū)動程序,實現(xiàn)上下鏈接,構(gòu)建更加高效、實用的驅(qū)動程序堆棧,共同服務(wù)于此設(shè)備。對IRP而言,借助各種類型的過濾驅(qū)動程序,直至某個驅(qū)動程序完成IRP請求。需要指出的是,針對文件系統(tǒng)過濾驅(qū)動程序,當(dāng)其截獲IRP后,在向原文件系統(tǒng)驅(qū)動程序轉(zhuǎn)發(fā)前,依據(jù)用戶的具體需求執(zhí)行加密或解密操作,保證所有問卷均以加密形式儲存,并確保加密操作與解密操作的透明性。

3.3計算機(jī)設(shè)備及接口監(jiān)控

從根本上來講,主要監(jiān)控計算機(jī)端口接入的設(shè)備或者外設(shè)接口,包含通信類設(shè)備、接口、打印設(shè)備的監(jiān)控。需要指出的是,針對接口監(jiān)控,可以詳細(xì)、準(zhǔn)確記錄計算機(jī)外設(shè)端口的實際設(shè)備接入情況。

4構(gòu)建可信計算平臺,確保終端安全

第一,對可信計算平臺而言,其思想根基是將一塊TPM芯片嵌入計算機(jī)主板,與安全芯片軟件協(xié)議棧(TSS)等軟件接口相結(jié)合,建立全新、高質(zhì)量的安全體系結(jié)構(gòu)[5]。此安全體系結(jié)構(gòu)能夠高質(zhì)量完成各項功能,比如私密數(shù)據(jù)隔離存儲、文件加密、平臺軟硬件可信度量和遠(yuǎn)程平臺認(rèn)證等。對TPM芯片來講,其功能為明確平臺配置可信與否、證明存儲核心數(shù)據(jù)。針對前者,借助一套平臺配置寄存器(PCR),儲存平臺完整性度量后的度量報告。對度量報告來講,實際是把硬件、硬件當(dāng)前所處狀態(tài)的完整性度量值與PCR中的當(dāng)前值相連接,計算SHA-1Hash函數(shù)值,把最終結(jié)果存儲到PCR。平臺證明時,通常情況下,需要重新度量平臺信息,對比PCR中的各種數(shù)據(jù),以此明確平臺的可信性。對于加密存儲數(shù)據(jù),從根本上分析,即擴(kuò)張復(fù)雜密碼加速器、可執(zhí)行HMAC鑒別、保護(hù)密鑰以及RSA操作。解密時,平臺會把數(shù)據(jù)提交給TPM,只有經(jīng)過指定的PCR,方能擁有相同于數(shù)據(jù)封裝的具體值,且調(diào)用者給出正確的認(rèn)證碼,這樣方能解密。第二,將RTM視為可信根,建立一個可信環(huán)境。平臺借助一個以度量為基礎(chǔ)的可信根,經(jīng)可信引導(dǎo),完成每一步的度量,僅用一條可信鏈即可構(gòu)造具體的可信環(huán)境。平臺度量完成后,將BIOS對應(yīng)的Hash值與度量報告共同寫入PCR,用于現(xiàn)階段BIOS系統(tǒng)配置記錄。若此步驟能夠正確執(zhí)行,BIOS便會把下一步需要執(zhí)行的代碼(可信引導(dǎo))傳送至TPM,TPM接收到代碼后,采用相同方式實施度量,實時更新PCR值,同時,分別加載OS應(yīng)用程序、OS內(nèi)核代碼等,逐一度量,更新PCR值。TCG把BIOS作為度量的信任根(RTM)。需要強(qiáng)調(diào)的是,不能忽視度量與檢查內(nèi)存,入侵者能夠借助直接內(nèi)存訪問(DMA),繞開TPM檢查。因此,可將加密公鑰儲存在內(nèi)存中,若無TPM的私鑰,則無法訪問內(nèi)存??尚哦攘啃枰獧z測軟件、硬件系統(tǒng)環(huán)境是否改變、有無危機(jī)。TPM需綁定指定平臺,若平臺出現(xiàn)變化,TPM會要求平臺重新認(rèn)證。

5結(jié)語

終端安全信息防護(hù)體系可以在較短時間內(nèi)根據(jù)操作系統(tǒng)強(qiáng)化終端安全防護(hù),相關(guān)技術(shù)更容易實現(xiàn)。但是,此軟件系統(tǒng)存在一定漏洞,不能長久使用。對可信計算技術(shù)而言,技術(shù)相對創(chuàng)新,但相關(guān)理論需更新完善,需要加大研發(fā)與技術(shù)投入,提升技術(shù)能力與水平。

參考文獻(xiàn)

[1]季燕.計算機(jī)辦公終端的安全管理方案研究[J].無線互聯(lián)科技,2013(4):123.

[2]葉定松.從信息源頭構(gòu)建核心安全平臺——局域網(wǎng)“一KEY通”安全解決方案[J].信息安全與通信保密,2004(7):69-72.

[3]黨小燕.電網(wǎng)信息終端安全問題及解決方案[J].數(shù)字技術(shù)與應(yīng)用,2014(10):162.

[4]董晶晶,霍珊珊,袁泉,等.移動辦公終端信息安全技術(shù)研究[J].計算機(jī)技術(shù)與發(fā)展,2018,28(1):155-158.

作者:黃馨漪 單位:玉溪供電局