计算机节点安全保障分析论文.doc

计算机节点安全保障分析论文 一、概论 计算机的信息可以划分为不同维度，我们可以针对其中的某一个维度设限，当这一维度被其他人提取时，是无法被获得的，即使其它信息被他人获得，也无法得到完整的有用信息。换句话说，被设限的维度，其上一层维度也将受到限制，逐层向上，直到顶层都将会受限。在使用计算机传输各种信息时，我们可以选取所涉及到的传输载体、传输内容、传输时间、传输地点等其中一个维度设限，那么其传输的信息就没有泄漏隐患。 二、维度提高安全保障 （一）维度思想 举例来说，我们经常使用聊天软件，并为帐号设置多层保障（密码、密保卡、手机验证等），可是依然会出现诸多漏洞，依然会出现帐号被盗、内容被修改的问题。由此可以看出，我们的计算机安全策略存在漏洞。其主要漏洞在于进行安全设计时，我们将多维的安全技术出现了强关联，使原本多维的安全技术降低了维度。如果我们同时使用密码和访问权限两个安全技术，则构成了二维。然而两者都是被WINDOWS系统控制的，迫使没有关联的两者建立的强关联，其安全系数降低，安全维度降至一维甚至更低。在这个时候，有人入侵到WINDOWS操作系统并进行操控，那么，密码和访问权限的安全保障都形同虚设了，系统会认为入侵者是合法的操作者，任其修改信息、抽取信息等都是合法的，不会收到限制。也就是说，强关联是计算机安全策略维度的致命伤，它可以将原本复杂的多维技术降低不同程度的维数，安全强度反而变得更加薄弱。 （二）硬件独立 要想减少强关联，提高安全保障，就要将操作系统和安全技术隔离，互不侵扰。由于硬件的反复使用和共同使用，往往会使其中的软件发生通用现象，各维度发生强关联，因此，要实现维度隔离，先要实现硬件独立。 （三）实现隔离 首先，我们预先设计两个传输数据接口；其次，我们设计出两个能够独立完成加密、通讯任务并且相互分离的硬件设备和一个独立的操作系统；最后，使它们通过设计好的接口进行数据传输。由此，我们的安全维度就可以达到二维。在我们进行网络传输时，入侵者进入操作系统操控了我们的计算机，他得到的文件也将是一个加密文件，即使入侵者攻破了密码，但安全通道是独立存在的，入侵者必须再破译安全通道才能拿到真正有意义的文件。这就增加了攻破难度，是文件得到了保护。普通入侵者不会有很高的设备、技术和很长的时间来攻破一个普通人的信息，重要信息还可以设置多维安全策略，使安全保障得到了很大提高。大部分系统都配备了用以改进系统管理及服务质量的工具软件，但遗憾的是，这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度：例如：NBTSTAT命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用这一命令收集对系统有威胁性的信息，例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被hacker用来破译口令。另一个最常被利用的工具是网包嗅探器（PacketSniffer）。系统管理员用此工具来监控及分发网包，以便找出网络的潜在问题。hacker如要攻击网络，则先把网卡变成功能混杂的设备，截取经过网络的包（包括所有未加密的口令和其他敏感信息），然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。因此，实现维度隔离，避免强关联是提高安全保障的重要途径。要避免强关联，就要避免软件、硬件的反复使用和共同使用，减少各个维度之间的关联性，实现各个维度之间的安全技术正交，实现硬件独立。 三、节点安全 （一）保护节点安全的方法 第一，使用技术手段保护节点。为节点加设保护层，我们通常使用防火墙、杀毒软件、木马防御软件等。但入侵者往往会率先找保护出漏洞，采用新的攻击技术，使用者只能等到被病毒感染后才开始修补漏洞，这时计算机信息已经外流。第二，延长节点，节点后移。此方法不是高级科学技术，而是一种谋略，是军事家而不是科学家。它不需要最新的病毒库和解码技术来为节点穿上一件防弹衣，它采用已有成熟技术使节点最大限度延长，并将节点滞后，保护节点。 （二）系统内外保护 系统的保护分为两方面，一个是系统自身的保护性构造，也就是节点后移，另一个是外部对系统的保护。系统的内外保护都不能忽略，当系统的源代码被入侵者获得，或者出现其他系统外泄情况时，再完美的系统也无济于事，就必须依靠系统外保护。就如同我们设计了坚实的防盗门，并设计了复杂的锁芯，钥匙却被拿走了，那么再坚固、厚实的防盗门，再完美的锁芯的设计，入侵者拿着钥匙一下子就将锁打开了，资料、信息唾手可得。因此，我们用维度思想设立了计算机信息保护的同时，也要按照维度的思想对安全体系进行保护。就如同数据服务器的管理，越是重要的数据服务器对管理人员的要求就越严格，更要加强值班、监控、惩处等措施。 四、维度、节点设计 我们以三维安全策略维度为例，设计三维安全防御系统： （一）三个维度分别与顶点相连我们不难看出，此种设计方法只有两级层次，节点后移无法进行层级管理，其组织结构也不能构成二叉树结构，整个设计安全级别过低，信息很容易外漏。 （二）预设两个顶点，两顶点相连，一个顶点连接一个维度，另一个顶点连接剩余两个维度从图中我们可以看出，此设计比第一个设计安全系数高一些。但是，它的两个维度关联于一个节点，两个维度出现了强关联，一旦二级节点被攻破，那么就可以同时取缔两个安全技术。 （三）设计三个安全节点，三个安全维度分为四个层次当入侵者攻破下其中一个节点时，还需要攻破另一个节点才可以攻破二级节点，这无疑给入侵者的攻破技术增加了难度，其安全性能最高。总结：二叉树结构是目前计算机信息安全技术领域中最可靠、最安全的计算机防御结构，二叉树可以将安全技术最大限度的分布在不同节点上，延长节点，保护系统。 五、结论 综上，我们可以看出维度思想和节点后移可以加大防护力度、攻破难度，阻止入侵者入侵。无论是维度思想还是节点后移都需要加设软件和硬件，采用此种方式保护计算机，硬件和软件都不可重复使用，因此在进行构建这样的系统防御是需要投入很大财力的。此种技术不适合普通网站和普通计算机的防御，我们不可能花那么大的开销