從20世紀(jì)90年代初期開始，信息技術(shù)持續(xù)高速發(fā)展，引起了全球范圍內(nèi)的信息革命。隨著國家信息化建設(shè)和電子政務(wù)的發(fā)展，我國電子文件數(shù)量激增，在此推動下，順應(yīng)電子文件保管和利用的需要，電子文件中心被建立起來。電子文件中心是對傳統(tǒng)載體檔案館功能的繼承、延伸和發(fā)展，是建設(shè)數(shù)字檔案館的基礎(chǔ)和核心。在電子文件中心系統(tǒng)網(wǎng)絡(luò)中存儲著海量的信息，而且時刻都進(jìn)行著傳輸、交流和更新。信息技術(shù)的廣泛應(yīng)用，為檔案管理和利用提供了高效便捷的手段和方法。但是如果它的安全得不到保障，那損失將是無法估量的，這就給檔案信息安全帶來了新的挑戰(zhàn)。因此，信息安全問題已經(jīng)成為制約電子文件中心發(fā)展的關(guān)鍵因素之一。

一、電子文件中心網(wǎng)絡(luò)系統(tǒng)的安全威脅和防范策略

    1．影響電子文件中心網(wǎng)絡(luò)系統(tǒng)的安全威脅。網(wǎng)絡(luò)、計算機(jī)、服務(wù)器、存儲設(shè)備、系統(tǒng)軟件和檔案管理信息系統(tǒng)，是電子文件檔案信息賴以生存的IT基礎(chǔ)環(huán)境，也是引發(fā)檔案信息安全的風(fēng)險因素。其中，由于互聯(lián)網(wǎng)的開放性和各種操作系統(tǒng)、軟件的缺少安裝配置存在很多安全漏洞和缺陷。例如，目前采用的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，操作系統(tǒng)的安全性并不完美；防火墻產(chǎn)品自身的安全、設(shè)置是否錯誤都需要認(rèn)真檢驗(yàn)，來確保防火墻的安全性。系統(tǒng)內(nèi)部網(wǎng)的安全威脅，以及缺少有效的手段監(jiān)視網(wǎng)絡(luò)系統(tǒng)，很容易造成網(wǎng)絡(luò)系統(tǒng)癱瘓，信息被竊取，數(shù)據(jù)被篡改，造成非法訪問，傳輸盜竊、數(shù)據(jù)截獲，界面截取等潛在危害。

    2．目前電子文件中心網(wǎng)絡(luò)系統(tǒng)的主要防范策略及不足。目前電子文件中心網(wǎng)絡(luò)系統(tǒng)的主要防范策略有防火墻技術(shù)和入侵檢測技術(shù)，但這兩項技術(shù)都存在不同程度的不足。

    (1)防火墻技術(shù)。防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的由路由器或計算機(jī)組成的一系列部件的組合。防火墻具有很強(qiáng)的抗攻擊能力，它是不同的網(wǎng)絡(luò)之間信息的唯一出入口，設(shè)置的目的是防止未授權(quán)的通信進(jìn)入被保護(hù)的網(wǎng)絡(luò)，對網(wǎng)絡(luò)實(shí)施有效的訪問、監(jiān)督和控制，阻止黑客的進(jìn)入和攻擊。但防火墻也存在著各種漏洞，黑客仍有可能利用系統(tǒng)的缺陷繞過防火墻進(jìn)行攻擊。同時，防火墻也不能保護(hù)來自于網(wǎng)絡(luò)內(nèi)部和病毒的攻擊。因此，防火墻對網(wǎng)絡(luò)的防護(hù)是被動的，受攻擊的網(wǎng)絡(luò)并不知道是誰對網(wǎng)絡(luò)發(fā)動了攻擊，采取了什么樣的方法，達(dá)到了攻擊目的，甚至不知道采取什么措施來保護(hù)網(wǎng)絡(luò)，防御措施比較被動。這就迫使單位要強(qiáng)化自己的網(wǎng)絡(luò)安全策略。

    (2)入侵檢測技術(shù)。入侵檢測是防火墻的合力(包括安全審計、監(jiān)視計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)遭到襲擊的跡象)。包括系統(tǒng)外部的入侵和內(nèi)部的非授權(quán)入侵，是用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)在識別時具有一定的智能功能，對網(wǎng)絡(luò)進(jìn)行檢測，能對入侵特征進(jìn)行提取和匯總，幫助系統(tǒng)對付網(wǎng)絡(luò)的攻擊、識別和響應(yīng)，提供內(nèi)部和外部攻擊的日志，這樣就擴(kuò)展了系統(tǒng)網(wǎng)絡(luò)管理人員的安全管理能力。盡管人侵檢測技術(shù)會及時匯報監(jiān)聽和攻擊，但是，黑客的攻擊方法是多種多樣、日新月異的，入侵檢測技術(shù)在使用中也存在著難以檢測到的時候，因此可能發(fā)生漏報或誤報的情況。

    因此，從上面的分析可以看出，目前的網(wǎng)絡(luò)安全技術(shù)采用的都是被動防御的方法，以防火墻和入侵檢測系統(tǒng)為主要的網(wǎng)絡(luò)防御技術(shù)通常滯后于現(xiàn)在的各種復(fù)雜多變的黑客攻擊技術(shù)。這要求我們把被動防御變成主動防御，而蜜罐技術(shù)通過觀察和記錄黑客在蜜罐上的活動，幫助系統(tǒng)網(wǎng)絡(luò)管理人員了解黑客的動向和使用的攻擊方法，作為一種主動的防御技術(shù)會使這些網(wǎng)絡(luò)安全問題得到解決。

二、蜜罐技術(shù)

    1．蜜罐的定義。關(guān)于蜜罐，到目前為止還沒有一個完整的定義。“蜜網(wǎng)項目組”的創(chuàng)始人Lance Spitzner對蜜罐給出了一個比較權(quán)威的定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并沒有其他的實(shí)際作用，所有流人和流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示著掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進(jìn)行監(jiān)視、檢測和分析。實(shí)際上，蜜罐中只有一些虛假的敏感數(shù)據(jù)，不用于對外的正常服務(wù)。所以，它可以是一個網(wǎng)絡(luò)、一臺主機(jī)、一項服務(wù)，也可以是數(shù)據(jù)庫中的某些無用的數(shù)據(jù)或者偽裝的用戶名及其弱口令等，因此任何與它交互的行為都可以被認(rèn)為是攻擊行為，這樣就簡化了檢測過程，它可以部署在各個內(nèi)部子網(wǎng)或關(guān)鍵主機(jī)上，檢測來自網(wǎng)絡(luò)系統(tǒng)外部和內(nèi)部的各種攻擊，用一種以檢測、監(jiān)視和捕獲攻擊行為和保護(hù)真實(shí)主機(jī)為目標(biāo)的誘騙技術(shù)。

    2．蜜罐的基本原理。蜜罐系統(tǒng)是一個陷阱系統(tǒng)，它通過設(shè)置一個具有很多漏洞的系統(tǒng)吸引黑客入侵，收集入侵者信息，為其他安全技術(shù)提供更多的知識。蜜罐采用監(jiān)視器和事件日志兩個工具對訪問蜜罐系統(tǒng)的行為進(jìn)行監(jiān)控。由于蜜罐是一個很具有誘惑力的系統(tǒng)，能夠分散黑客的注意力和精力，所以對真正的網(wǎng)絡(luò)資源起到保護(hù)作用。

    3．蜜罐的主要技術(shù)。蜜罐系統(tǒng)主要涉及網(wǎng)絡(luò)欺騙技術(shù)、數(shù)據(jù)捕獲技術(shù)、數(shù)據(jù)控制技術(shù)p湍1：3重定向)、攻擊分析與特征提取等主要技術(shù)。(1)網(wǎng)絡(luò)欺騙技術(shù)：是蜜罐的核心技術(shù)，利用各種欺騙手段和安全弱點(diǎn)和系統(tǒng)漏洞，引誘黑客的攻擊。(2)數(shù)據(jù)捕獲技術(shù)：主要目的是盡可能多的捕獲攻擊信息，而不被黑客發(fā)現(xiàn)，包括輸入、輸出及鍵盤和屏幕的捕獲。(3)數(shù)據(jù)控制技術(shù)：主要目的是防止黑客將蜜罐作為跳板去攻擊其他系統(tǒng)或危害別的主機(jī)，因此必須控制進(jìn)出系統(tǒng)的數(shù)據(jù)流量而不被黑客懷疑。(4)攻擊分析與特征提取：蜜罐系統(tǒng)設(shè)置一個數(shù)據(jù)分析模塊，在同一控制臺對收集到的所有信息進(jìn)行分析、綜合和關(guān)聯(lián)，完成對蜜罐攻擊信息的分析。

三、電子文件中心網(wǎng)絡(luò)系統(tǒng)蜜罐技術(shù)的部署

    1．如何部署蜜罐。蜜罐的部署十分簡單，不需要特殊的環(huán)境，可以根據(jù)需要的服務(wù)來定。只要在外部因特網(wǎng)上安裝一臺計算機(jī)運(yùn)行沒有打上補(bǔ)丁的微軟Windows或者Red Hat Linux系統(tǒng)就可以。放置位置同服務(wù)器的放置位置相同。可以用在防火墻之內(nèi)，確保網(wǎng)絡(luò)內(nèi)部主機(jī)的安全性。也可以安置在防火墻之外，確保WEB、FTP、DNS等服務(wù)器的信息安全。將蜜罐設(shè)置在防火墻之內(nèi)的一個優(yōu)點(diǎn)是它可以探測出來自組織內(nèi)部的攻擊和未授權(quán)活動，但這可能會對內(nèi)部網(wǎng)絡(luò)產(chǎn)生新危險。防火墻必須能夠區(qū)分來自互聯(lián)網(wǎng)的信息，并且決定哪些信息進(jìn)入蜜罐，哪些信息要被阻攔。如要允許來自互聯(lián)網(wǎng)的訪問，需要調(diào)整防火墻的設(shè)置規(guī)則。蜜罐放置在防火墻之外的優(yōu)點(diǎn)是很容易被攻擊者識別，被攻破的風(fēng)險很大。防火墻、人侵檢測系統(tǒng)等設(shè)備不需要作任何調(diào)整就能監(jiān)視外部的網(wǎng)絡(luò)攻擊。防火墻之后的系統(tǒng)被攻陷的危害也大為減少。蜜罐還會產(chǎn)生大量的信息，由于數(shù)據(jù)量過大，有時會難以處理。

    2．電子文件中心使用蜜罐后的技術(shù)優(yōu)勢。當(dāng)電子文件中心的網(wǎng)絡(luò)系統(tǒng)建立起蜜罐后，蜜罐會悄悄記錄進(jìn)出計算機(jī)的所有流量，電子文件中心網(wǎng)絡(luò)系統(tǒng)管理人員就可以等待攻擊者自投羅網(wǎng)。相對于其他的網(wǎng)絡(luò)安全機(jī)制，蜜罐使用簡單，配置靈活，占用資源少，可以在復(fù)雜的環(huán)境下有效地工作，并且所收集到的數(shù)據(jù)和信息都有很好的針對性和研究價值，因此大大減少了電子文件中心網(wǎng)絡(luò)系統(tǒng)管理人員所要分析的數(shù)據(jù)和f苦息。另外，蜜罐系統(tǒng)具有分析電子文件運(yùn)刮軌跡的功能，保證電子文件從創(chuàng)建、使用到銷毀的整個文件生命周期處于安全狀態(tài)，保證電子文件的機(jī)密、完整和真實(shí)。蜜罐技術(shù)是一種新型的針對網(wǎng)絡(luò)安全的主動防御技術(shù)，是對現(xiàn)有的安全體系的重要補(bǔ)充。它可以作為獨(dú)立的安全信息工具，也可以和其他類型的安全機(jī)制協(xié)作使用，取長補(bǔ)短地對入侵進(jìn)行檢測，查找并發(fā)現(xiàn)新型的攻擊工具。

四、法律問題

    蜜罐技術(shù)可能涉及的相關(guān)法律問題。首先，作為蜜罐防御方法之一的誘捕行動是否會觸犯法律?誘捕行為不是攻擊行為，只是一種防御方法，因此不對蜜罐進(jìn)行宣傳，誘捕行為就不會觸犯到法律。第二，是否會侵犯隱私權(quán)?盡管各個國家都制定了保護(hù)個人隱私權(quán)的法律，但是目前還沒有直接針對蜜罐的保護(hù)個人網(wǎng)絡(luò)通信的隱私權(quán)的法律。因此，不會涉及隱私權(quán)的侵犯。第三，蜜罐的部署方和被黑客攻擊后的第三方網(wǎng)絡(luò)的訴訟問題。如果第三方網(wǎng)絡(luò)被黑客利用蜜罐造成破壞后，第三方可能會對蜜罐的部署方提出訴訟。對此，需要采取強(qiáng)有力的控制措施，必要時切斷蜜罐的網(wǎng)絡(luò)連接，盡量減少這種風(fēng)險。因?yàn)�，保護(hù)第三方和保護(hù)自己的資源同樣重要。

    目前，蜜罐技術(shù)的發(fā)展已經(jīng)趨于成熟，對于不熟練的入侵者和新型的攻擊工具，都能很好地捕獲和發(fā)現(xiàn)，越來越成為對付黑客的有效工具之一，受到了網(wǎng)絡(luò)信息安全專家的青睞。電子文件中心網(wǎng)絡(luò)系統(tǒng)構(gòu)筑蜜罐系統(tǒng)后，會使其安全性躍升一個大的臺階。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：基于密罐技術(shù)的電子文件中心信息安全研究

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/1083959811.html