【三】資訊保安

一、區塊鏈技術在網路與資訊保安領域的應用

1.1區塊鏈概念

在2008年由署名為中本聰的作者在《比特幣：一種點對點的電子現金系統》一文提出，指的是一種在對等網路環境下，通過透明和可信規則，構建防偽造、防篡改和可追溯的塊鏈式資料結構，實現和管理事務處理的模式。區塊鏈本質上是一個去中心化的資料庫，通過其獨特的技術設計和資料管理方式，可以支撐不同領域的多方協作。區塊鏈技術是加密和安全領域新的研究成果，與網路與資訊保安有著密切的聯絡，可以用來解決該領域的一些問題，例如攻擊防禦、資料保護、隱私保護、身份認證、崩潰恢復等。但區塊鏈作為新技術在許多方面尚未成熟，多數的應用仍處於研究和發展階段，執行成本較高，現階段的用途和效果可能存在誇大和炒作的情況，實現技術優化和更好的應用仍是需要研究的重要課題。

1.2區塊鏈的核心技術

區塊鏈的核心技術中共識機制、資料儲存、網路協議、加密演算法、隱私保護和智慧合約等6類公認的區塊鏈核心技術發展活躍，不斷取得新的進展。此外，跨鏈、分片等技術進展較快，也已逐漸成為新的核心技術方向。

1.2.1共識機制

共識機制指的是群體或組織達成和維護共識的方式。區塊鏈作為分散式記賬技術，沒有一箇中心來指揮協調多方之間的協作，就必須有一個共識機制來解決誰有權寫入資料和如何進行同步資料的問題。常用的共識機制主要有PoW工作量證明、PoS 權益證明、DPoS 委託權益證明、Paxos 演算法、PBFT實用拜占庭容錯演算法、dBFT授權拜占庭容錯演算法等。

1.2.2資料儲存

區塊鏈中每一個區塊記錄了建立期間所有的交易資訊，按時間順序逐個先後生成並連線成鏈。每個區塊都指向前一個區塊，形成連結串列。區塊分為區塊頭和區塊體兩部分。區塊頭儲存著區塊的多項特徵值，包含上一個區塊的雜湊值、本區塊體的雜湊值以及時間戳等等。區塊體中記錄了該區塊儲存的交易數量以及交易資料。

1.2.3網路協議

區塊鏈在網路層一般採用P2P協議，由多個節點組成網路結構，節點之間處於對等的地位且共享資源，既可以是資源的提供者，也可以資源的接受者。P2P 網路結構是扁平化的拓撲結構，節點相互之間沒有層次之分。不同的區塊鏈系統往往有其獨特的P2P網路協議。

1.2.4加密演算法

區塊鏈中用到的密碼學演算法主要有兩大類：雜湊演算法和非對稱加密演算法。雜湊演算法是將任意長度的字串對映為較短的固定長度的字串。其確定性、高效性使得去中心化的計算能夠實現，其對輸入的敏感性和抗原像攻擊對區塊鏈系統的安全性有很大幫助，被廣泛地用於構建區塊和確認交易的完整性。非對稱加密技術的加密和解密過程使用的是一對不同的金鑰：公開金鑰和私有金鑰。交換資訊時使用一方的公鑰或私鑰加密，則需對應的私鑰或公鑰才能解密。非對稱加密在區塊鏈中有資料加密和數字簽名等用途。

1.2.5隱私保護

目前區塊鏈上傳輸和儲存的資料都是公開可見的。為了達到匿名效果，通常以一串無意義的數字作為組織或個人的代號，通過該代號的表面資訊無法將其對應到某一個具體物件的真實身份。但這樣的保護並非完美，通過一°些手段還是可以追查到帳戶和交易的關聯性。想要加強區塊鏈的隱私保護，可以採用混幣、環簽名、同態加密、零知識證明等方式。

1.2.6智慧合約

智慧合約是一種特殊協議，旨在提供、驗證及執行合約，可以由一個計算系統自動執行。其最大的優勢是利用程式演算法替代人仲裁和執行合同。區塊鏈可以實現去中心化的重要原因之一是智慧合約，使得進行可追溯、不可逆轉和安全的交易時可以不依賴第三方。

1.2.7跨鏈

區塊鏈的鏈與鏈之間存在高度異構化，每一個單獨的區塊鏈網路都是-一個相對獨立的網路，資料資訊不能做到互通互聯。不同的區塊鏈網路之間協作的難度大，極大地限制了區塊鏈應用的發展。跨鏈可以理解為一種協議，解決兩個或多個不同鏈上的資產以及功能狀態可以互相傳遞、轉移、交換的難題。跨鏈的存在，不僅是增加了區塊鏈的可擴充性，還可以解決不同區塊鏈之間交易困難產生的資訊孤島問題。

1.2.8分片

分片是資料庫設計中的一個概念，將較大的資料庫分成更小、更快、更容易管理的部分，實現擴容並提高效能。可以將分片的思想運用到區塊鏈網路中，將一個大任務拆分為多個可以並行處理的小任務，從而提升效能。將網路中的工作分攤給所有參與的節點，通過使用多個網路裝置來獲得平行處理轉賬的功能，進行分片處理。將網路分割為碎片可以使得更多的交易同時被處理和驗證。

1.3區塊鏈技術在網路與資訊保安領域的應用

區塊鏈技術是加密和安全領域新的研究成果，與網路與資訊保安有著本質的聯絡，提供了一種完全不同的方法來儲存資訊、進行交易、執行功能和建立信任，可以用來解決網路與資訊保安領域的某些問題。

1.3.1支援更安全的DNS架構

區塊鏈中的交易一旦被確認，不容易被篡改。可以利用該特性將域名和P地址對應關係的操作記錄在區塊鏈中，在全網達成共識，不可篡改，形成交易記錄，完美地儲存域名伺服器資訊。使用去中心化的區塊鏈技術的域名伺服器比傳統的中心化域名伺服器更安全，能支援域名管理，防止域名伺服器快取投毒。

1.3.2 緩解DDoS攻擊

分散式拒絕服務攻擊(DDoS 攻擊)將多個計算機聯合起來作為攻擊平臺來發動攻擊，通過大量合法的請求，大規模消耗目標網站的主機資源，使被攻擊的物件無法正常提供服務。區塊鏈技術允許使用者加入分散式網路，從而緩解DDoS攻擊。此外，還可通過出租額外頻寬，以支援那些流量過載的網路。

1.3.3保護邊緣計算裝置

由於邊緣計算的網路體系和網路環境龐雜，要想為分散佈局的邊緣計算裝置設定有效的隔離保護，增加的大量網路隔離裝置會帶來成本和工作量的壓力。但若不防護，邊緣計算裝置一旦被入侵或者攻擊，會滲透到整個網路。此外，如果邊緣計算中的終端裝置沒有身份認證體系，攻擊者可以隨意接入惡意終端來傳播病毒或惡意軟體，也會導致網路癱瘓，影響生產和生活。通過區塊鏈技術可以很好解決以上問題。區塊鏈技術可以通過給邊緣計算不同域及終端裝置分發數字證書，控制功能許可權和資料許可權，提供更安全的運算與儲存環境。區塊鏈技術也可以為邊緣計算中的終端裝置提供身份認證體系。在進行邊緣計算和資料上傳前，首先要進行身份驗證，之後才能傳輸資料。

1.3.4資料保護

區塊鏈構建分散式賬本不可篡改，能夠通過加密和許可權控制等技術保障資料的機密性、完整性、可用性。區塊鏈對資料的完全加密可以確保這些資料在傳輸過程中不會被未授權的使用者訪問。使用分散式記賬技術對檔案進行簽名，來代替傳統的簽名方式，使得攻擊者幾乎不可能偽造和竊取資料。區塊鏈可以被視為一條儲存資料的鏈條，環環緊扣。每當加入新的一環，前一環中資料的特徵值將被記錄在新的環節上。只要驗證對應某一環與前後兩環的特徵值，就可以判斷原始資訊是否被篡改。

1.3.5與PKI結合提高安全性

目前標準的加密技術是基於公鑰基礎設施(PKI)的，主要依賴於中心化、受信任的第三方認證機構(CA)來發放、啟用和儲存使用者證書。如果黑客攻擊了這些第三方認證機構，就可以偽造成CA欺騙使用者身份並破解加密通訊。在區塊鏈中依靠非對稱加密技術，對使用者的身份資訊進行高度加密，發放金鑰來鑑別對方的真實身份，一旦資訊經過驗證並新增至區塊鏈，採用去中心化的管理方式，不容易篡改，理論上來說可以大大提高數字證書的安全性。

1.3.6隱私保護

區塊鏈技術可以通過分散式結構、可追溯性、匿名性來實現隱私保護。在區塊鏈中，使用者的隱私資料是隨機發布在分散式賬本中的，攻擊者無法通過入侵單一節點來收集到使用者的所有資料，能最大限度地防止資料洩露。區塊鏈的可追溯特性使得資料從採集、交易、流通到計算分析的每步記錄都可以留存在區塊鏈上，不容易被篡改。在區塊鏈技術中，各節點之間的資料交換基於地址而非個人身份，交易雙方採取匿名方式就能交易，因此大部分個人隱私資訊都不會暴露。

1.3.7崩潰恢復

區塊鏈上的資料分佈在對等節點之間。不同於傳統資料庫中所有資料都儲存在中心位置，區塊鏈上的每個使用者有權生成並維護資料的完整副本。雖然造成資料冗餘，但大大提高了可靠性，增加了網路的容錯性。如果某些節點受到攻擊，不會對其餘部分網路造成損害，也容易實現崩潰恢復。

1.4小結

運用區塊鏈技術可以解決一些網路與資訊保安領域的問題，例如攻擊防禦、資料保護、隱私保護、身份認證、崩潰恢復等。但其作為新技術，在穩定性、安全性、業務模式、經濟評價等方面尚未成熟，多數的應用仍處於研究和發展階段，執行成本較高。現階段的用途和效果可能存在誇大和炒作的情況，如何實現技術優化和更好的應用仍是需要研究的重要課題。

二、大資料背景下的網路資訊保安控制的研究

2.1大資料

2.1.1大資料的概念

20 世紀 80 年代，美國著名學者阿爾文·托夫勒在《第三次浪潮》中提出了“大資料”（Big Data）的概念。大資料是指以計算機技術為基礎的規模龐大、無法用當前常規資料處理方法實現有效、及時的提取、儲存、分析、搜尋以及處理等操作的資料。大資料的出現也在表明，當今的資訊科技框架和資料處理模式，已經與過去的情形完全不同，當前的資料資訊處理模式要求能夠更加經濟、高效、智慧地從海量資訊以及多樣化型別的資料中找到可利用價值。

2.1.2大資料的特點

（1）Volume 表示大資料規模巨大、資料量多的特性。在描述大資料時，常見的

GB 或者 TB 的資料儲存單位已經無法再適用，而是通過 PB（1024TB）、EB（1024PB）甚至 ZB（1024EB）進行儲存。國際網際網路資料中心 IDC 預測，2020 年全球網際網路資料量將達到 35ZB。因此，大資料的特點之一就是資料規模龐大。

（2）Variety 表示大資料的資料結構多樣化，資料型別複雜多變，不但包括常規的計算機處理的結構型資料，同時也包括大量的視訊、文字、音訊以及圖片等非結構化的資料資訊。網際網路資料分佈具有自身的特點，再加上雲端計算、物聯網等技術平臺的不斷完善，資訊資料的來源逐漸向多樣化趨勢發展，網際網路資料來源逐漸增多。主要的資料來源有以下幾個方面：海量的網際網路終端使用者在多種網際網路應用中傳遞、應用圖片、文字、音訊、視訊等多種型別的資料資訊；各種網際網路裝置以及多種資訊管理系統在運作過程中產生各種資料庫、檔案、操作日誌、審計等等資訊資料；近些年興起的物聯網訊號採集裝置和感測裝置，例如智慧醫療裝置所產生的各種生命特徵資料、天文望遠鏡產生的大量天文觀測相關的資訊資料等。

1. Value 表示大資料具有價值密度低的特性。因為大資料雖然擁有龐大的資料量，但是對決策產生有利作用的資訊和資料是有限的，需要進行有效地挖掘。相對有限的價值量除以巨大的資料基數，就使得大資料形成了價值密度低的又一特點。需要強調的是，價值密度低並不代表沒有價值，而是強調大資料的價值需要利用更精密的演算法進行更進一步的資料探勘才能體現，這對資料處理技術提出了新的要求。
2. Velocity 表示大資料的資料資訊處理速度快的特性。因為大資料數量巨大，從中提取有效資訊成為大資料發揮作用的關鍵，因此對資料傳遞和處理的速度要求也大大提升。並且大資料所催生的資訊產業瞬息萬變，因此要求大資料處理過程能及時快速的響應變化，對資料的分析也要快速，因此資料處理速度快將為大資料時代處理資料的一個最顯著的特點。
3. Complexity 表示大資料複雜性的特徵。資料量的龐大和資料型別的繁多都成為大資料複雜特徵的原因，在當前環境下，大資料的智慧處理和分析成為體現大資料價值的關鍵步驟，大資料的複雜性已經成為其處理與分析過程中必須應對的問題。

2.2大資料背景下網路資訊保安存在的問題及成因分析

2.2.1網路資訊保安面臨的挑戰

1.日益嚴重的計算機病毒的形成

以“震盪波”病毒為例，“震盪波”（Sasser）病毒利用微軟公佈的 Lsass漏洞進行傳播，通過Windows2000/XP 等作業系統，開啟上百個執行緒去攻擊其他網上使用者，造成機器執行緩慢、網路堵塞。利用病毒，木馬技術傳播垃圾郵件和進行網路攻擊、破壞的事件呈上升趨勢。

2.愈發嚴重的網路黑客攻擊

網路黑客（Hacker）是專業進行網路計算機入侵的人員，通過入侵計算機網路竊取機密資料和盜用特權，或進行檔案破壞，或使系統功能得不到充分發揮直至癱瘓。從世界範圍看，黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現。黑客就是利用網路安全的漏洞，嘗試侵入其聚焦的目標。

2.2.2網路資訊保安面臨的問題成因分析

1. 技術層面的問題：網路通訊線路和裝置的缺陷以及軟體存在漏洞和後門。網路通訊線路和裝置缺陷包括電磁洩漏、裝置監聽、終端接入和網路攻擊。軟體存在漏洞和後門包括網路軟體的漏洞被利用、軟體病毒入侵和軟體埠未進行安全限制。
2. 人員層面的問題：網路資訊保安存在的問題離不開人員的控制和影響。從系統使用人員的角度上出發，系統使用人員保密觀念不強，關鍵資訊沒進行加密處理，密碼保護強度低和文件的共享沒有經過必要的許可權控制；從技術人員的角度上出發，技術人員因為業務不熟練或缺少責任心，有意或無意中破壞網路系統和裝置的保密措施；從專業人員的角度上出發，專業人員利用工作之便，用非法手段訪問系統，非法獲取資訊；從不法人員的角度上出發，不法人員利用系統的埠或者傳輸的介質，採用監聽、捕獲、破譯等手段竊取保密資訊。所以，人員層面是嚴重危害和影響網路資訊保安的關鍵主體。
3. 管理層面的問題：網路安全管理可以有效提高網路安全係數，保護使用者的個人資訊及電腦中的重要資料資訊，但由於管理層面上的問題，也導致網路資訊保安的問題的產生。首先，安全管理制度不健全，缺乏完善的制度管理體系，管理人員對網路資訊保安重視不夠；其次，監督機制不完善，技術人員有章不循，對安全麻痺大意，缺乏有效地監管；再次，教育培訓不到位。對使用者缺乏安全知識教育，對技術人員缺乏專業技術培訓。

2.3大資料背景下網路資訊保安控制要素分析

2.3.1人員

1. 網路控制人員：網路使用者構成網路資訊保安管理工作的又一管理物件群體。網路使用者並不是孤立存在的，而是處於相互連線的系統中。網路使用者的資訊行為是影響網路資訊保安的重要因素之一，不安全的操作行為會在不經意間暴露個人隱私資訊，且由於是網路使用者的主觀行為，使得追責工作難以有效取證。
2. 網路安全管理者：首先要明確的是，作為網路資訊保安管理者，必須具備較高的網路資訊保安素養，尤其是在資訊量劇增的大資料時代，海量資料對網路資訊保安工作的影響已見端倪，在資料儲存、資料探勘、資料過濾等方面均面臨挑戰。網路資訊保安管理者的資訊保安素養是指管理工作人員積極適應網路資訊保安管理活動職業所需要的和資訊環境變化（如大資料環境）所要具備的有關資訊保安方面的知識、能力和文化修養。只有具備較高的網路資訊保安意識，才能從根本上明確網路資訊保安工作的重要性，才能為掌握必須的安全工作技能與技術打下堅實的基礎。

2.3.2環境

1. 網路設施：網際網路的正常執行離不開網路設施的正常運轉與維護，在大資料背景下，物聯網、雲端計算、三網融合等 IT 與通訊技術的迅猛發展，對現有 IT 架構的處理和計算能力提出了挑戰，目前大資料的資料處理規模能夠從 TB 級上升到 PB、EB級，因而如何降低資料儲存成本，如何充分地利用計算資源，並且提高系統併發吞吐率，如何支援分散式的非線性迭代演算法的優化，成為升級和維護網路設施的重要難題。大資料背景下，如何構建海量資料的儲存與管理體系，挖掘和計算體系以及網路平臺及其應用是保障網路資訊保安的基礎。
2. 網路文化：在資訊科技高速發展的今天，網路文化由一種草根文化，被逐步引導而向高階文化發展，在社會生活中逐漸起到不可忽視的作用。作為大資料背景下傳播速度最快的文化形式，網路文化與網路資訊保安息息相關。網路文化尤其以社交網路中的形式為典型，社交網路擁有龐大的使用者群，能夠產生巨大的使用者資訊量。社交網路的社會互動性使得使用者的個人資訊很大程度上處於公開透明的狀態，而且，熱點資訊會在短時間內吸引眾多的關注並且以病毒式營銷的方式迅速傳播，因此網路暴力等網路資訊保安問題容易出現。因此，健康的網路文化會促進網路資訊保安工作的進行，相反，不健康的網路文化則會引發相應的網路安全問題。
3. 政策與法規：我國現有的政策制度和法律法規大多存在原則性強、實際執行操作性差的問題，在大資料背景下，無法切實對網路資訊行為進行有效地規範，對網路資訊和資料的保護力度也不夠大。需要明確在網路環境中，政策與法規的強制力作用是保障網路資訊保安的有效外在動力，是網路資訊保安控制機制正常執行的有效保障。

2.3.3技術

1. “防”——防火牆技術：“防火牆”是位於內部網路與外部網路間的網路安全系統，是在兩個網路通訊時執行的一種訪問控制，屬於網路通訊監控系統範疇。“防火牆”被建立在網路邊界上，具有對計算機網路安全進行保障的功能，既可以用軟體產品體現，又可以在某種硬體產品上製作或嵌入。通常防火牆構成為軟體系統和硬體裝置的組合，在內部網路和外部網路間把安全的保護屏障構建起來。立足邏輯視角看防火牆，其作用體現為分隔和限制以及分析；就網路安全策略組成而言，防火牆可以藉助對網路間資訊交換和訪問行為的控制與監測，效管理網路安全。在網路安全保護實施中，防火牆處於核心地位。防火牆是連線所有內部網和外部網的必經之路，檢查和連線在此進行，只通過被授權的通訊。防火牆基於一定條件具備隔離內部網路與外部網路功能，並對非法入侵和對系統資源非法使用具有防止的作用。
2. “密”——資料加密技術： 在不斷髮展和創新的科技背景下，不斷的更新與改進加密技術才能使當下網路資訊保安保障需要得以滿足。對稱加密和非對稱加密是加密技術被劃分的兩種型別。對稱加密就是以相同金鑰進行加密和解密，目前是使用最為廣泛的加密技術，典型的 SessionKey 就是美國政府使用的資料加密標準（DES）。反之，非對稱加密(公開或私有金鑰)技術就是在加密和解密上使用不同密匙，其中能夠對外公佈公鑰，私人持有私鑰，因而資料的安全性具有保障。為了保密傳輸的資料，加密和解密資料環節必不可少。加密就是把明文資料轉化為特定的密碼演算法，使其達到不易辨認的程度，某一明文可依靠不同金鑰和相同演算法進行加密，形成不相同的密文。解密就是把密文資料依靠金鑰進行轉化，形成明文資料過程。
3. “控”——入侵檢測技術與網路監控技術：入侵檢測系統就是識別和處理惡意使用計算機和網路資源行為的系統。外部入侵系統行為和沒有授權的內部使用者行為是其處理的主要內容。入侵檢測系統是能夠對系統中沒有授權現象及時發現並報告的技術，其目的是為計算機系統安全提供保障，入侵檢測系統包括入侵檢測軟體與硬體兩部分。網路監控，是針對區域網內的計算機進行監視和控制。在大資料背景下，網際網路的使用呈現出越來越普遍的情況，網路監控技術的使用也越發頻繁。監控軟體與監控硬體是網路監控產品的主要型別。
4. “審”——安全審計技術：計算機網路安全審計就是以一定的安全策略為指導依據，以記錄的系統活動等資訊為依託，對事件的環境及活動進行檢查和審查以及檢驗等操作，從而把系統漏洞和入侵行為找出，使系統效能改善的技術，也是針對系統安全風險進行審查評估並實施相應措施過程，是系統安全性提高的重要途徑。安全審計的主要作用和目的如下：

• 具有威懾和警示可能存在的潛在攻擊者功能，風險評估是核心。
• 對系統的控制情況進行測試，進而及時調整，達到與安全策略和操作規程實現協調一致目的。
• 評估已經出現的破壞事件，從而為災難恢復和責任追究提供有效依據。
• 評價和反饋系統控制和安全策略以及變更規程，從而為決策和部署的修訂帶來便利。
• 發揮使系統管理員對網路系統入侵或對潛在漏洞及時發現的協助作用。

（歡迎您的意見和建議，感謝支援♥♥♥）