鄭玉洲 中山職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)現(xiàn)教中心 ，廣東 中山 528404

網(wǎng)絡(luò)安全現(xiàn)狀分析與應(yīng)用技術(shù)

鄭玉洲 中山職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)現(xiàn)教中心 ，廣東 中山 528404

眾所周知，Internet是開放的，而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞與防護(hù)的斗爭仍將繼續(xù)。在這樣的斗爭中，安全技術(shù)作為一個(gè)獨(dú)特的防護(hù)領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。

網(wǎng)絡(luò)安全;防火墻;虛擬專用網(wǎng)(VPN)

1 網(wǎng)絡(luò)的開放性帶來的安全問題

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，在信息處理能力提高的同時(shí),系統(tǒng)的連接能力也在不斷地提高。但在聯(lián)結(jié)信息能力、流通能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問題也日益突出，不論是外部網(wǎng)還是內(nèi)部網(wǎng)都會(huì)安全問題。 Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問題，為了解決這些安全問題，各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以歸結(jié)為以下幾點(diǎn)：

(1)每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境。

(2)安全工具的使用受到人為因素的影響。

(3)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。

(4)只要有程序，就可能存在BUG。

(5)黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。

2 網(wǎng)絡(luò)安全的主要技術(shù)

2.1 安全認(rèn)證

網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展，其涉及的技術(shù)面非常廣，主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線。對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。

2.2 數(shù)據(jù)加密

在計(jì)算機(jī)網(wǎng)絡(luò)中，加密技術(shù)是信息安全技術(shù)的核心，是一種主動(dòng)的信息安全防范措施。信息加密技術(shù)是其他安全技術(shù)的基礎(chǔ)，加密技術(shù)是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個(gè)可以理解的明文形式變換成一種復(fù)雜錯(cuò)亂的不可理解的密文形式(即加密)。對電子信息在傳輸過程中或存儲(chǔ)體內(nèi)進(jìn)行保護(hù)，以阻止信息泄露或盜取，從而確保信息的安全性，數(shù)據(jù)加密的方法很多,常用的是加密算法，它是信息加密技術(shù)的核心部分，目前世界上最流行的加密算法有DES算法、RSA算法和CCEP算法等。同時(shí)隨著技術(shù)的進(jìn)步，加密技術(shù)正結(jié)合芯片技術(shù)和量子技術(shù)逐步形成密碼專用芯片和量子加密技術(shù)。

2.3 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點(diǎn)時(shí)對其實(shí)施一整套訪問策略的一個(gè)或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、動(dòng)態(tài)分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它們的安全級別依次升高，但具體實(shí)踐中既要考慮體系的性價(jià)比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實(shí)現(xiàn)了粗粒度的訪問控制，也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個(gè)系統(tǒng)（路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機(jī)）組成的防火墻，防火墻系統(tǒng)是一種網(wǎng)絡(luò)安全部件，它可以是軟件，也可以是硬件，還可以是芯片防火墻。這種安全部件處于被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的邊界，接收進(jìn)出于被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流，并根據(jù)防火墻所配置的訪問控制策略進(jìn)行過濾或作出其他操作，防火墻系統(tǒng)不僅能夠保護(hù)網(wǎng)絡(luò)資源不受外部的侵入，而且能夠攔截被保護(hù)網(wǎng)絡(luò)向外傳送有價(jià)值的信息。

2.4 入侵檢測系統(tǒng)

網(wǎng)絡(luò)入侵檢測技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)，它通過硬件或軟件對網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行實(shí)時(shí)檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫等比較。一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動(dòng)作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或立刻通知防火墻系統(tǒng)對訪問控制策略進(jìn)行調(diào)整，將入侵的數(shù)據(jù)包過濾掉等。因此入侵檢測是對防火墻極其有益的補(bǔ)充， 可在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對內(nèi)部攻擊，外部攻擊和誤操作的實(shí)時(shí)保護(hù)，大大提高了網(wǎng)絡(luò)的安全性。

2.5 虛擬專用網(wǎng)（VPN）技術(shù)

VPN是目前解決信息安全問題的一個(gè)最新、最成功的技術(shù)課題之一，所謂虛擬專用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制，這兩種機(jī)制為路由過濾技術(shù)和隧道技術(shù)。目前V P N 主要采用了如下四項(xiàng)技術(shù)來保障安全：隧道技術(shù)（Tunneling)、加解密技術(shù)（Encryption & Decryption)、密匙管理技術(shù)（Key Management)和使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication)。VPN隧道機(jī)制應(yīng)能技術(shù)不同層次的安全服務(wù)，這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成專線V P N和撥號(hào)VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。

2.6 其他網(wǎng)絡(luò)安全技術(shù)

（1）IP盜用問題的解決，在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時(shí)發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

（2）Web，Email，BBS的安全監(jiān)測系統(tǒng)，在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)， 截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級安全網(wǎng)管中心報(bào)告。

結(jié)束語

網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,未來的網(wǎng)絡(luò)安全面臨著更大的挑戰(zhàn)和機(jī)遇。信息社會(huì)的發(fā)展需要網(wǎng)絡(luò)安全技術(shù)的有力保障,網(wǎng)絡(luò)安全技術(shù)的研究仍處于起步階段,網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大,使人們對網(wǎng)絡(luò)依賴的程度增大,也對網(wǎng)絡(luò)信息安全保護(hù)提出了更高的要求,網(wǎng)絡(luò)信息安全必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

[1]袁津生,吳硯農(nóng). 計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ).北京：人民郵電出版社.2004

[2]相明科.計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用. 北京：中國水利水電出版社. 2003

[3]丁建立.網(wǎng)絡(luò)安全. 武漢：武漢大學(xué)出版社. 2007

10.3969/j.issn.1001-8972.2011.11.056

鄭玉洲，性別：男，職稱 助理工程師，工作單位：中山職業(yè)技術(shù)學(xué)院，部門：網(wǎng)絡(luò)現(xiàn)教中心，職務(wù)機(jī)房管理員。