計算機終端信息安全的解決方案

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了計算機終端信息安全的解決方案范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：現階段，隨著科技的發展，各種形式、類型的信息安全問題呈現日漸增加的趨勢，表明了操作系統與信息安全管理已難以滿足當前信息完整性、私密性的需求，人們逐漸認知到終端信息安全的緊迫性與重要性?；诖?，結合當前實際情況，總結了兩種解決方案，一是以可信平臺模塊為基礎終端的信息安全體系結構，二是設計操作系統安全信息防護體系。

關鍵詞：計算機終端；信息安全；信息防護

1信息安全面臨的威脅分析

對于信息安全系統，其主要包含服務器安全、終端安全、網絡傳輸。目前，人們關注最多的是網絡傳輸，因為信息通過外部公共設備傳輸，采取多層次的VPN、數字簽名、加密措施等，能得到比較理想的效果。對終端信息安全來講，始終未能解決安全問題，終端成為造成各種安全事件的根源，導致各種信息泄露。從公安部最新數據統計得知，所有泄密犯罪中，超過70%來自各單位內部。從軍隊層面來講，近期通報的一些重大泄密事件，均與機密文件未能妥當處理有關。對信息安全而言，其不僅與國防安全息息相關，而且與經濟發展、社會穩定緊密關聯。近年來，無論是國內還是國外，常出現各種泄密時間，究其原因，主要在于終端信息安全問題，防御能力比較薄弱。對個人或單位而言，在構建計算機終端安全防護機制方面仍處于空白狀態，在缺乏安全性的終端上處理數據，往往存在較大安全隱患。

2終端安全分析

隨著個人在信息私密性方面要求的日漸提升，操作系統漏洞問題越來越突出，比如身份驗證薄弱、計算機軟硬件結構簡單、資源可隨意使用、儲存與處理敏感數據方面缺乏安全措施以及用戶權限無嚴格化訪問控制等，均會造成各種使用與操作風險。需要指出的是，除了上述問題外，還存在如下突出問題，比如存在比較滯后的安全管理機制、具體移動儲存設備方面存在比較嚴重的公私混用情況、與互聯網相連接的終端的機密數據處理。因此，要想有效解決信息安全問題，需做好終端安全工作。制定高效解決終端信息安全問題的方案，通?？蓜澐譃閮纱箢?，以可信平臺模塊為基礎的可信計算技術和建立更加完善且實用的操作系統安全軟件防護體系[1-2]。對這兩種解決方案而言，能夠根據安全級別及具體需求的不同進行多樣化選擇?；陂L遠發展層面考量，第一種方案能滿足信息安全方面的各項需求，將硬件作為基本支撐，從根源處解決安全問題，保護信息的私密性與完整性。對第二種方案來講，其主要利用軟件技術保護操作系統，應用方便，成本低。

3操作系統信息安全防護體系

3.1高強度的身份認證

借助強制性登錄機制，軟件與硬件相結合，利用Windows操作系統配套的圖形化認證接口，連接操作系統，支持多種方式的身份認證，如指紋、USBKey等。另外，基于身份認證，與合適的授權體系相結合，為終端構建一個堅固的盾牌。

3.2安全文件系統研究

對Windows應用程序來講，對某種服務提出請求時，會調用Win32API，而對此時的Win32子系統而言，通過使用系統服務接口[3-4]，I/O管理器會及時創建IRP請求，向設備驅動程序實時傳送，以此調用硬件抽象層，使硬件處于工作狀態。根據實際需要，設置若干個驅動程序，實現上下鏈接，構建更加高效、實用的驅動程序堆棧，共同服務于此設備。對IRP而言，借助各種類型的過濾驅動程序，直至某個驅動程序完成IRP請求。需要指出的是，針對文件系統過濾驅動程序，當其截獲IRP后，在向原文件系統驅動程序轉發前，依據用戶的具體需求執行加密或解密操作，保證所有問卷均以加密形式儲存，并確保加密操作與解密操作的透明性。

3.3計算機設備及接口監控

從根本上來講，主要監控計算機端口接入的設備或者外設接口，包含通信類設備、接口、打印設備的監控。需要指出的是，針對接口監控，可以詳細、準確記錄計算機外設端口的實際設備接入情況。

4構建可信計算平臺，確保終端安全

第一，對可信計算平臺而言，其思想根基是將一塊TPM芯片嵌入計算機主板，與安全芯片軟件協議棧（TSS）等軟件接口相結合，建立全新、高質量的安全體系結構[5]。此安全體系結構能夠高質量完成各項功能，比如私密數據隔離存儲、文件加密、平臺軟硬件可信度量和遠程平臺認證等。對TPM芯片來講，其功能為明確平臺配置可信與否、證明存儲核心數據。針對前者，借助一套平臺配置寄存器（PCR），儲存平臺完整性度量后的度量報告。對度量報告來講，實際是把硬件、硬件當前所處狀態的完整性度量值與PCR中的當前值相連接，計算SHA-1Hash函數值，把最終結果存儲到PCR。平臺證明時，通常情況下，需要重新度量平臺信息，對比PCR中的各種數據，以此明確平臺的可信性。對于加密存儲數據，從根本上分析，即擴張復雜密碼加速器、可執行HMAC鑒別、保護密鑰以及RSA操作。解密時，平臺會把數據提交給TPM，只有經過指定的PCR，方能擁有相同于數據封裝的具體值，且調用者給出正確的認證碼，這樣方能解密。第二，將RTM視為可信根，建立一個可信環境。平臺借助一個以度量為基礎的可信根，經可信引導，完成每一步的度量，僅用一條可信鏈即可構造具體的可信環境。平臺度量完成后，將BIOS對應的Hash值與度量報告共同寫入PCR，用于現階段BIOS系統配置記錄。若此步驟能夠正確執行，BIOS便會把下一步需要執行的代碼（可信引導）傳送至TPM，TPM接收到代碼后，采用相同方式實施度量，實時更新PCR值，同時，分別加載OS應用程序、OS內核代碼等，逐一度量，更新PCR值。TCG把BIOS作為度量的信任根（RTM）。需要強調的是，不能忽視度量與檢查內存，入侵者能夠借助直接內存訪問（DMA），繞開TPM檢查。因此，可將加密公鑰儲存在內存中，若無TPM的私鑰，則無法訪問內存?？尚哦攘啃枰獧z測軟件、硬件系統環境是否改變、有無危機。TPM需綁定指定平臺，若平臺出現變化，TPM會要求平臺重新認證。

5結語

終端安全信息防護體系可以在較短時間內根據操作系統強化終端安全防護，相關技術更容易實現。但是，此軟件系統存在一定漏洞，不能長久使用。對可信計算技術而言，技術相對創新，但相關理論需更新完善，需要加大研發與技術投入，提升技術能力與水平。

參考文獻

[1]季燕.計算機辦公終端的安全管理方案研究[J].無線互聯科技,2013(4):123.

[2]葉定松.從信息源頭構建核心安全平臺——局域網“一KEY通”安全解決方案[J].信息安全與通信保密,2004(7):69-72.

[3]黨小燕.電網信息終端安全問題及解決方案[J].數字技術與應用,2014(10):162.

[4]董晶晶,霍珊珊,袁泉,等.移動辦公終端信息安全技術研究[J].計算機技術與發展,2018,28(1):155-158.

作者：黃馨漪 單位：玉溪供電局