一、区块链技术在网络与信息安全领域的应用
1.1区块链概念
在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改和可追溯的块链式数据结构,实现和管理事务处理的模式。区块链本质上是一个去中心化的数据库,通过其独特的技术设计和数据管理方式,可以支撑不同领域的多方协作。区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着密切的联系,可以用来解决该领域的一些问题,例如攻击防御、数据保护、隐私保护、身份认证、崩溃恢复等。但区块链作为新技术在许多方面尚未成熟,多数的应用仍处于研究和发展阶段,运行成本较高,现阶段的用途和效果可能存在夸大和炒作的情况,实现技术优化和更好的应用仍是需要研究的重要课题。
1.2区块链的核心技术
区块链的核心技术中共识机制、数据存储、网络协议、加密算法、隐私保护和智能合约等6类公认的区块链核心技术发展活跃,不断取得新的进展。此外,跨链、分片等技术进展较快,也已逐渐成为新的核心技术方向。
1.2.1共识机制
共识机制指的是群体或组织达成和维护共识的方式。区块链作为分布式记账技术,没有一个中心来指挥协调多方之间的协作,就必须有一个共识机制来解决谁有权写入数据和如何进行同步数据的问题。常用的共识机制主要有PoW工作量证明、PoS 权益证明、DPoS 委托权益证明、Paxos 算法、PBFT实用拜占庭容错算法、dBFT授权拜占庭容错算法等。
1.2.2数据存储
区块链中每一个区块记录了创建期间所有的交易信息,按时间顺序逐个先后生成并连接成链。每个区块都指向前一个区块,形成链表。区块分为区块头和区块体两部分。区块头存储着区块的多项特征值,包含上一个区块的哈希值、本区块体的哈希值以及时间戳等等。区块体中记录了该区块存储的交易数量以及交易数据。
1.2.3网络协议
区块链在网络层一般采用P2P协议,由多个节点组成网络结构,节点之间处于对等的地位且共享资源,既可以是资源的提供者,也可以资源的接受者。P2P 网络结构是扁平化的拓扑结构,节点相互之间没有层次之分。不同的区块链系统往往有其独特的P2P网络协议。
1.2.4加密算法
区块链中用到的密码学算法主要有两大类:哈希算法和非对称加密算法。哈希算法是将任意长度的字符串映射为较短的固定长度的字符串。其确定性、高效性使得去中心化的计算能够实现,其对输入的敏感性和抗原像攻击对区块链系统的安全性有很大帮助,被广泛地用于构建区块和确认交易的完整性。非对称加密技术的加密和解密过程使用的是一对不同的密钥:公开密钥和私有密钥。交换信息时使用一方的公钥或私钥加密,则需对应的私钥或公钥才能解密。非对称加密在区块链中有数据加密和数字签名等用途。
1.2.5隐私保护
目前区块链上传输和存储的数据都是公开可见的。为了达到匿名效果,通常以一串无意义的数字作为组织或个人的代号,通过该代号的表面信息无法将其对应到某一个具体对象的真实身份。但这样的保护并非完美,通过一°些手段还是可以追查到帐户和交易的关联性。想要加强区块链的隐私保护,可以采用混币、环签名、同态加密、零知识证明等方式。
1.2.6智能合约
智能合约是一种特殊协议,旨在提供、验证及执行合约,可以由一个计算系统自动执行。其最大的优势是利用程序算法替代人仲裁和执行合同。区块链可以实现去中心化的重要原因之一是智能合约,使得进行可追溯、不可逆转和安全的交易时可以不依赖第三方。
1.2.7跨链
区块链的链与链之间存在高度异构化,每一个单独的区块链网络都是-一个相对独立的网络,数据信息不能做到互通互联。不同的区块链网络之间协作的难度大,极大地限制了区块链应用的发展。跨链可以理解为一种协议,解决两个或多个不同链上的资产以及功能状态可以互相传递、转移、交换的难题。跨链的存在,不仅是增加了区块链的可拓展性,还可以解决不同区块链之间交易困难产生的信息孤岛问题。
1.2.8分片
分片是数据库设计中的一个概念,将较大的数据库分成更小、更快、更容易管理的部分,实现扩容并提高性能。可以将分片的思想运用到区块链网络中,将一个大任务拆分为多个可以并行处理的小任务,从而提升性能。将网络中的工作分摊给所有参与的节点,通过使用多个网络设备来获得平行处理转账的功能,进行分片处理。将网络分割为碎片可以使得更多的交易同时被处理和验证。
1.3区块链技术在网络与信息安全领域的应用
区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着本质的联系,提供了一种完全不同的方法来存储信息、进行交易、执行功能和建立信任,可以用来解决网络与信息安全领域的某些问题。
1.3.1支持更安全的DNS架构
区块链中的交易一旦被确认,不容易被篡改。可以利用该特性将域名和P地址对应关系的操作记录在区块链中,在全网达成共识,不可篡改,形成交易记录,完美地保存域名服务器信息。使用去中心化的区块链技术的域名服务器比传统的中心化域名服务器更安全,能支持域名管理,防止域名服务器缓存投毒。
1.3.2 缓解DDoS攻击
分布式拒绝服务攻击(DDoS 攻击)将多个计算机联合起来作为攻击平台来发动攻击,通过大量合法的请求,大规模消耗目标网站的主机资源,使被攻击的对象无法正常提供服务。区块链技术允许用户加入分布式网络,从而缓解DDoS攻击。此外,还可通过出租额外带宽,以支持那些流量过载的网络。
1.3.3保护边缘计算设备
由于边缘计算的网络体系和网络环境庞杂,要想为分散布局的边缘计算设备设置有效的隔离保护,增加的大量网络隔离设备会带来成本和工作量的压力。但若不防护,边缘计算设备一旦被入侵或者攻击,会渗透到整个网络。此外,如果边缘计算中的终端设备没有身份认证体系,攻击者可以随意接入恶意终端来传播病毒或恶意软件,也会导致网络瘫瘓,影响生产和生活。通过区块链技术可以很好解决以上问题。区块链技术可以通过给边缘计算不同域及终端设备分发数字证书,控制功能权限和数据权限,提供更安全的运算与存储环境。区块链技术也可以为边缘计算中的终端设备提供身份认证体系。在进行边缘计算和数据上传前,首先要进行身份验证,之后才能传输数据。
1.3.4数据保护
区块链构建分布式账本不可篡改,能够通过加密和权限控制等技术保障数据的机密性、完整性、可用性。区块链对数据的完全加密可以确保这些数据在传输过程中不会被未授权的用户访问。使用分布式记账技术对文件进行签名,来代替传统的签名方式,使得攻击者几乎不可能伪造和窃取数据。区块链可以被视为一条存储数据的链条,环环紧扣。每当加入新的一环,前一环中数据的特征值将被记录在新的环节上。只要验证对应某一环与前后两环的特征值,就可以判断原始信息是否被篡改。
1.3.5与PKI结合提高安全性
目前标准的加密技术是基于公钥基础设施(PKI)的,主要依赖于中心化、受信任的第三方认证机构(CA)来发放、激活和存储用户证书。如果黑客攻击了这些第三方认证机构,就可以伪造成CA欺骗用户身份并破解加密通信。在区块链中依靠非对称加密技术,对用户的身份信息进行高度加密,发放密钥来鉴别对方的真实身份,一旦信息经过验证并添加至区块链,采用去中心化的管理方式,不容易篡改,理论上来说可以大大提高数字证书的安全性。
1.3.6隐私保护
区块链技术可以通过分布式结构、可追溯性、匿名性来实现隐私保护。在区块链中,用户的隐私数据是随机发布在分布式账本中的,攻击者无法通过入侵单一节点来收集到用户的所有数据,能最大限度地防止数据泄露。区块链的可追溯特性使得数据从采集、交易、流通到计算分析的每步记录都可以留存在区块链上,不容易被篡改。在区块链技术中,各节点之间的数据交换基于地址而非个人身份,交易双方采取匿名方式就能交易,因此大部分个人隐私信息都不会暴露。
1.3.7崩溃恢复
区块链上的数据分布在对等节点之间。不同于传统数据库中所有数据都存储在中心位置,区块链上的每个用户有权生成并维护数据的完整副本。虽然造成数据冗余,但大大提高了可靠性,增加了网络的容错性。如果某些节点受到攻击,不会对其余部分网络造成损害,也容易实现崩溃恢复。
1.4小结
运用区块链技术可以解决一些网络与信息安全领域的问题,例如攻击防御、数据保护、隐私保护、身份认证、崩溃恢复等。但其作为新技术,在稳定性、安全性、业务模式、经济评价等方面尚未成熟,多数的应用仍处于研究和发展阶段,运行成本较高。现阶段的用途和效果可能存在夸大和炒作的情况,如何实现技术优化和更好的应用仍是需要研究的重要课题。
二、大数据背景下的网络信息安全控制的研究
2.1大数据
2.1.1大数据的概念
20 世纪 80 年代,美国著名学者阿尔文·托夫勒在《第三次浪潮》中提出了“大数据”(Big Data)的概念。大数据是指以计算机技术为基础的规模庞大、无法用当前常规数据处理方法实现有效、及时的提取、储存、分析、搜索以及处理等操作的数据。大数据的出现也在表明,当今的信息技术框架和数据处理模式,已经与过去的情形完全不同,当前的数据信息处理模式要求能够更加经济、高效、智能地从海量信息以及多样化类型的数据中找到可利用价值。
2.1.2大数据的特点
(1)Volume 表示大数据规模巨大、数据量多的特性。在描述大数据时,常见的
GB 或者 TB 的数据储存单位已经无法再适用,而是通过 PB(1024TB)、EB(1024PB)甚至 ZB(1024EB)进行储存。国际互联网数据中心 IDC 预测,2020 年全球互联网数据量将达到 35ZB。因此,大数据的特点之一就是数据规模庞大。
(2)Variety 表示大数据的数据结构多样化,数据类型复杂多变,不但包括常规的计算机处理的结构型数据,同时也包括大量的视频、文字、音频以及图片等非结构化的数据信息。互联网数据分布具有自身的特点,再加上云计算、物联网等技术平台的不断完善,信息数据的来源逐渐向多样化趋势发展,互联网数据来源逐渐增多。主要的数据来源有以下几个方面:海量的互联网终端用户在多种互联网应用中传递、应用图片、文字、音频、视频等多种类型的数据信息;各种互联网设备以及多种信息管理系统在运作过程中产生各种数据库、文件、操作日志、审计等等信息数据;近些年兴起的物联网信号采集设备和传感设备,例如智能医疗设备所产生的各种生命特征数据、天文望远镜产生的大量天文观测相关的信息数据等。
Value 表示大数据具有价值密度低的特性。因为大数据虽然拥有庞大的数据量,但是对决策产生有利作用的信息和数据是有限的,需要进行有效地挖掘。相对有限的价值量除以巨大的数据基数,就使得大数据形成了价值密度低的又一特点。需要强调的是,价值密度低并不代表没有价值,而是强调大数据的价值需要利用更精密的算法进行更进一步的数据挖掘才能体现,这对数据处理技术提出了新的要求。
Velocity 表示大数据的数据信息处理速度快的特性。因为大数据数量巨大,从中提取有效信息成为大数据发挥作用的关键,因此对数据传递和处理的速度要求也大大提升。并且大数据所催生的信息产业瞬息万变,因此要求大数据处理过程能及时快速的响应变化,对数据的分析也要快速,因此数据处理速度快将为大数据时代处理数据的一个最显著的特点。
Complexity 表示大数据复杂性的特征。数据量的庞大和数据类型的繁多都成为大数据复杂特征的原因,在当前环境下,大数据的智能处理和分析成为体现大数据价值的关键步骤,大数据的复杂性已经成为其处理与分析过程中必须应对的问题。
2.2大数据背景下网络信息安全存在的问题及成因分析
2.2.1网络信息安全面临的挑战
1.日益严重的计算机病毒的形成
以“震荡波”病毒为例,“震荡波”(Sasser)病毒利用微软公布的 Lsass漏洞进行传播,通过Windows2000/XP 等操作系统,开启上百个线程去攻击其他网上用户,造成机器运行缓慢、网络堵塞。利用病毒,木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。
2.愈发严重的网络黑客攻击
网络黑客(Hacker)是专业进行网络计算机入侵的人员,通过入侵计算机网络窃取机密数据和盗用特权,或进行文件破坏,或使系统功能得不到充分发挥直至瘫痪。从世界范围看,黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。黑客就是利用网络安全的漏洞,尝试侵入其聚焦的目标。
2.2.2网络信息安全面临的问题成因分析
技术层面的问题:网络通信线路和设备的缺陷以及软件存在漏洞和后门。网络通信线路和设备缺陷包括电磁泄漏、设备监听、终端接入和网络攻击。软件存在漏洞和后门包括网络软件的漏洞被利用、软件病毒入侵和软件端口未进行安全限制。
人员层面的问题:网络信息安全存在的问题离不开人员的控制和影响。从系统使用人员的角度上出发,系统使用人员保密观念不强,关键信息没进行加密处理,密码保护强度低和文档的共享没有经过必要的权限控制;从技术人员的角度上出发,技术人员因为业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施;从专业人员的角度上出发,专业人员利用工作之便,用非法手段访问系统,非法获取信息;从不法人员的角度上出发,不法人员利用系统的端口或者传输的介质,采用监听、捕获、破译等手段窃取保密信息。所以,人员层面是严重危害和影响网络信息安全的关键主体。
管理层面的问题:网络安全管理可以有效提高网络安全系数,保护用户的个人信息及电脑中的重要数据信息,但由于管理层面上的问题,也导致网络信息安全的问题的产生。首先,安全管理制度不健全,缺乏完善的制度管理体系,管理人员对网络信息安全重视不够;其次,监督机制不完善,技术人员有章不循,对安全麻痹大意,缺乏有效地监管;再次,教育培训不到位。对使用者缺乏安全知识教育,对技术人员缺乏专业技术培训。
2.3大数据背景下网络信息安全控制要素分析
2.3.1人员
网络控制人员:网络用户构成网络信息安全管理工作的又一管理对象群体。网络用户并不是孤立存在的,而是处于相互连接的系统中。网络用户的信息行为是影响网络信息安全的重要因素之一,不安全的操作行为会在不经意间暴露个人隐私信息,且由于是网络用户的主观行为,使得追责工作难以有效取证。
网络安全管理者:首先要明确的是,作为网络信息安全管理者,必须具备较高的网络信息安全素养,尤其是在信息量剧增的大数据时代,海量数据对网络信息安全工作的影响已见端倪,在数据存储、数据挖掘、数据过滤等方面均面临挑战。网络信息安全管理者的信息安全素养是指管理工作人员积极适应网络信息安全管理活动职业所需要的和信息环境变化(如大数据环境)所要具备的有关信息安全方面的知识、能力和文化修养。只有具备较高的网络信息安全意识,才能从根本上明确网络信息安全工作的重要性,才能为掌握必须的安全工作技能与技术打下坚实的基础。
2.3.2环境
网络设施:互联网的正常运行离不开网络设施的正常运转与维护,在大数据背景下,物联网、云计算、三网融合等 IT 与通信技术的迅猛发展,对现有 IT 架构的处理和计算能力提出了挑战,目前大数据的数据处理规模能够从 TB 级上升到 PB、EB级,因而如何降低数据存储成本,如何充分地利用计算资源,并且提高系统并发吞吐率,如何支持分布式的非线性迭代算法的优化,成为升级和维护网络设施的重要难题。大数据背景下,如何构建海量数据的存储与管理体系,挖掘和计算体系以及网络平台及其应用是保障网络信息安全的基础。
网络文化:在信息技术高速发展的今天,网络文化由一种草根文化,被逐步引导而向高级文化发展,在社会生活中逐渐起到不可忽视的作用。作为大数据背景下传播速度最快的文化形式,网络文化与网络信息安全息息相关。网络文化尤其以社交网络中的形式为典型,社交网络拥有庞大的用户群,能够产生巨大的用户信息量。社交网络的社会交互性使得用户的个人信息很大程度上处于公开透明的状态,而且,热点信息会在短时间内吸引众多的关注并且以病毒式营销的方式迅速传播,因此网络暴力等网络信息安全问题容易出现。因此,健康的网络文化会促进网络信息安全工作的进行,相反,不健康的网络文化则会引发相应的网络安全问题。
政策与法规:我国现有的政策制度和法律法规大多存在原则性强、实际执行操作性差的问题,在大数据背景下,无法切实对网络信息行为进行有效地规范,对网络信息和数据的保护力度也不够大。需要明确在网络环境中,政策与法规的强制力作用是保障网络信息安全的有效外在动力,是网络信息安全控制机制正常运行的有效保障。
2.3.3技术
“防”——防火墙技术:“防火墙”是位于内部网络与外部网络间的网络安全系统,是在两个网络通讯时执行的一种访问控制,属于网络通信监控系统范畴。“防火墙”被建立在网络边界上,具有对计算机网络安全进行保障的功能,既可以用软件产品体现,又可以在某种硬件产品上制作或嵌入。通常防火墙构成为软件系统和硬件设备的组合,在内部网络和外部网络间把安全的保护屏障构建起来。立足逻辑视角看防火墙,其作用体现为分隔和限制以及分析;就网络安全策略组成而言,防火墙可以借助对网络间信息交换和访问行为的控制与监测,效管理网络安全。在网络安全保护实施中,防火墙处于核心地位。防火墙是连接所有内部网和外部网的必经之路,检查和连接在此进行,只通过被授权的通信。防火墙基于一定条件具备隔离内部网络与外部网络功能,并对非法入侵和对系统资源非法使用具有防止的作用。
“密”——数据加密技术: 在不断发展和创新的科技背景下,不断的更新与改进加密技术才能使当下网络信息安全保障需要得以满足。对称加密和非对称加密是加密技术被划分的两种类型。对称加密就是以相同密钥进行加密和解密,目前是使用最为广泛的加密技术,典型的 SessionKey 就是美国政府使用的数据加密标准(DES)。反之,非对称加密(公开或私有密钥)技术就是在加密和解密上使用不同密匙,其中能够对外公布公钥,私人持有私钥,因而数据的安全性具有保障。为了保密传输的数据,加密和解密数据环节必不可少。加密就是把明文数据转化为特定的密码算法,使其达到不易辨认的程度,某一明文可依靠不同密钥和相同算法进行加密,形成不相同的密文。解密就是把密文数据依靠密钥进行转化,形成明文数据过程。
“控”——入侵检测技术与网络监控技术:入侵检测系统就是识别和处理恶意使用计算机和网络资源行为的系统。外部入侵系统行为和没有授权的内部用户行为是其处理的主要内容。入侵检测系统是能够对系统中没有授权现象及时发现并报告的技术,其目的是为计算机系统安全提供保障,入侵检测系统包括入侵检测软件与硬件两部分。网络监控,是针对局域网内的计算机进行监视和控制。在大数据背景下,互联网的使用呈现出越来越普遍的情况,网络监控技术的使用也越发频繁。监控软件与监控硬件是网络监控产品的主要类型。
“审”——安全审计技术:计算机网络安全审计就是以一定的安全策略为指导依据,以记录的系统活动等信息为依托,对事件的环境及活动进行检查和审查以及检验等操作,从而把系统漏洞和入侵行为找出,使系统性能改善的技术,也是针对系统安全风险进行审查评估并实施相应措施过程,是系统安全性提高的重要途径。安全审计的主要作用和目的如下:
具有威慑和警示可能存在的潜在攻击者功能,风险评估是核心。
对系统的控制情况进行测试,进而及时调整,达到与安全策略和操作规程实现协调一致目的。
评估已经出现的破坏事件,从而为灾难恢复和责任追究提供有效依据。
评价和反馈系统控制和安全策略以及变更规程,从而为决策和部署的修订带来便利。
发挥使系统管理员对网络系统入侵或对潜在漏洞及时发现的协助作用。