盛國(guó)陽(yáng)

摘 要：計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。從技術(shù)上來(lái)說(shuō)， 計(jì)算機(jī)網(wǎng)絡(luò)安全主要由防火墻技術(shù)等安全組件組成，一個(gè)單獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)等。

關(guān)鍵詞：網(wǎng)絡(luò)安全問(wèn)題；防火墻技術(shù)

一、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

（一）防火墻技術(shù)。所謂防火墻就是一個(gè)或一組網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)或路由器等），可用來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制。 它的實(shí)現(xiàn)有好多種形式，有些實(shí)現(xiàn)還是很復(fù)雜的，但基本原理原理卻很簡(jiǎn)單。 你可以把它想象成一對(duì)開關(guān)， 一個(gè)開關(guān)用來(lái)阻止傳輸， 另一個(gè)開關(guān)用來(lái)允許傳輸。

設(shè)立防火墻的主要目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊。 通常，被保護(hù)的網(wǎng)絡(luò)屬于我們自己，或者是我們負(fù)責(zé)管理的，而所要防備的網(wǎng)絡(luò)則是一個(gè)外部的網(wǎng)絡(luò)，該網(wǎng)絡(luò)是不可信賴的，因?yàn)榭赡苡腥藭?huì)從該網(wǎng)絡(luò)上對(duì)我們的網(wǎng)絡(luò)發(fā)起攻擊，破壞網(wǎng)絡(luò)安全。 對(duì)網(wǎng)絡(luò)的保護(hù)包括下列工作：拒絕未經(jīng)授權(quán)的用戶訪問(wèn)，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙地訪問(wèn)網(wǎng)絡(luò)資源。防火墻是用來(lái)實(shí)現(xiàn)一個(gè)組織機(jī)構(gòu)的網(wǎng)絡(luò)安全措施的主要設(shè)備。 在許多情況下需要采用驗(yàn)證安全和增強(qiáng)私有性技術(shù)來(lái)加強(qiáng)網(wǎng)絡(luò)的安全或?qū)崿F(xiàn)網(wǎng)絡(luò)方面的安全措施。

（二）數(shù)據(jù)加密技術(shù)。當(dāng)前，由于計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)的攻擊與破壞也日益增強(qiáng)。如何保障網(wǎng)絡(luò)中數(shù)據(jù)的安全已成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的重要研究?jī)?nèi)容。尤其對(duì)數(shù)據(jù)庫(kù)系統(tǒng)而言，數(shù)據(jù)大量集中存放，且為眾多用戶直接共享，安全性問(wèn)題更為突出，由此它也成為網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)安全保護(hù)的主要軟件。因此，在客觀上就需要一種強(qiáng)有力的安全措施來(lái)保護(hù)機(jī)密數(shù)據(jù)。

數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有鏈路加密、節(jié)點(diǎn)加密和端到端加密三種方式。

（1） 鏈路加密是傳輸數(shù)據(jù)僅在物理層上的數(shù)據(jù)鏈路層進(jìn)行加密，不考慮信源和信宿，它用于保護(hù)通信節(jié)點(diǎn)間的數(shù)據(jù)。接收方是傳送路徑上的各臺(tái)節(jié)點(diǎn)機(jī)，數(shù)據(jù)在每臺(tái)節(jié)點(diǎn)機(jī)內(nèi)都要被解密和再加密，依次進(jìn)行，直至到達(dá)目的地。

（2） 與鏈路加密類似的節(jié)點(diǎn)加密方法是在節(jié)點(diǎn)處采用一個(gè)與節(jié)點(diǎn)機(jī)相連的密碼裝置，密文在該裝置中被解密并被重新加密，明文不通過(guò)節(jié)點(diǎn)機(jī)，避免了鏈路加密節(jié)點(diǎn)處易受攻擊的缺點(diǎn)。

（3） 端到端加密是為數(shù)據(jù)從一端到另一端提供的加密方式。數(shù)據(jù)在發(fā)送端被加密，在接收端解密，中間節(jié)點(diǎn)處不以明文的形式出現(xiàn)。在端到端加密中，數(shù)據(jù)傳輸單位中除報(bào)頭外的報(bào)文均以密文的形式貫穿于全部傳輸過(guò)程，只是在發(fā)送端和接收端才有加、解密設(shè)備，而在中間任何節(jié)點(diǎn)報(bào)文均不解密。因此，不需要有密碼設(shè)備，同鏈路加密相比，可減少密碼設(shè)備的數(shù)量。另一方面，數(shù)據(jù)傳輸單位由報(bào)頭和報(bào)文組成的，報(bào)文為要傳送的數(shù)據(jù)集合，報(bào)頭為路由選擇信息等（因?yàn)槎说蕉藗鬏斨幸婕暗铰酚蛇x擇）。在鏈路加密時(shí)，報(bào)文和報(bào)頭兩者均須加密。而在端到端加密時(shí)，由于通路上的每一個(gè)中間節(jié)點(diǎn)雖不對(duì)報(bào)文解密，但為將報(bào)文傳送到目的地，必須檢查路由選擇信息。因此，只能加密報(bào)文，而不能對(duì)報(bào)頭加密。這樣就容易被某些通信分析發(fā)覺(jué)，而從中獲取某些敏感信息。鏈路加密對(duì)用戶來(lái)說(shuō)比較容易，使用的密鑰較少，而端到端加密比較靈活，對(duì)用戶可見。在對(duì)鏈路加密中各節(jié)點(diǎn)安全狀況不放心的情況下也可使用端到端加密方式。

（三）PKI技術(shù)。PKI 即公共密鑰體系。它利用公共密鑰算法的特點(diǎn)，建立一套證書發(fā)放、管理和使用的體系，來(lái)支持和完成網(wǎng)絡(luò)系統(tǒng)中的身份認(rèn)證、信息加密、保證數(shù)據(jù)完整性和抗抵賴性。PKI 體系可以有多種不同的體系結(jié)構(gòu)、實(shí)現(xiàn)方法和通信協(xié)議。

公共（非對(duì)稱）密鑰算法使用加密算法和一對(duì)密鑰：一個(gè)公共密鑰（公鑰，public key）和一個(gè)私有密鑰（私鑰，private key）。其基本原理是：由一個(gè)密鑰進(jìn)行加密的信息內(nèi)容，只能由與之配對(duì)的另一個(gè)密鑰才能進(jìn)行解密。公鑰可以廣泛地發(fā)給與自己有關(guān)的通信者，私鑰則需要十分安全地存放起來(lái)。使用中，甲方可以用乙方的公鑰對(duì)數(shù)據(jù)進(jìn)行加密并傳送給乙方，乙方可以使用自己的私鑰完成解密。公鑰通過(guò)電子證書與其擁有者的姓名、工作單位、郵箱地址等捆綁在一起，由權(quán)威機(jī)構(gòu)（CA， Cer

tificate Authority）認(rèn)證、發(fā)放和管理。把證書交給對(duì)方時(shí)就把自己的公鑰傳送給了對(duì)方。證書也可以存放在一個(gè)公開的地方，讓別人能夠方便地找到和下載。

公共密鑰方法還提供了進(jìn)行數(shù)字簽名的辦法：簽字方對(duì)要發(fā)送的數(shù)據(jù)提取摘要并用自己的私鑰對(duì)其進(jìn)行加密；接收方驗(yàn)證簽字方證書的有效性和身份，用簽字方公鑰進(jìn)行解密和驗(yàn)證，確認(rèn)被簽字的信息的完整性和抗抵賴性。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題

（一）網(wǎng)絡(luò)的開放性。Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問(wèn)題，這些安全隱患可以歸結(jié)為以下幾個(gè)方面。

（1）只要有程序，就可能存在漏洞。幾乎每天都有新的漏洞被發(fā)現(xiàn)和公布，程序設(shè)計(jì)者在修改已知漏洞的同時(shí)又可能使它產(chǎn)生新的漏洞。此外，系統(tǒng)的漏洞經(jīng)常被黑客攻擊，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無(wú)據(jù)可查。（2）黑客的攻擊手段在不斷更新。安全工具的更新速度太慢，絕大多數(shù)情況需要人為參與才能發(fā)現(xiàn)以前未知的安全問(wèn)題，這就使得他們對(duì)新出現(xiàn)的安全問(wèn)題總是反應(yīng)太慢。因此，黑客總是可以找到漏洞進(jìn)行攻擊。（3）傳統(tǒng)安全工具難于保護(hù)系統(tǒng)的后門。防火墻很難考慮到這類安全問(wèn)題，大多數(shù)情況下，這類入侵行為可以堂而皇之地繞過(guò)防火墻而很難被察覺(jué)。（4）安全工具的使用受到人為因素的影響。一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶。（5）每一種安全機(jī)制都有一定的應(yīng)用范圍和環(huán)境。防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，但對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)往往是無(wú)能為力的。

（二）網(wǎng)絡(luò)的自由性。網(wǎng)絡(luò)信息自由帶來(lái)的主要威脅：入侵，即未經(jīng)授權(quán)的訪問(wèn)，試圖入侵系統(tǒng)；攻擊，如掃描系統(tǒng)漏洞，并加以攻擊；來(lái)自互聯(lián)網(wǎng)的病毒，尤其是電子郵件和文件下載，如

CIH 病毒，“愛(ài)蟲”病毒；惡意代碼，即可執(zhí)行的惡意代碼，如特洛伊木馬、蠕蟲；竊聽；欺騙；否認(rèn)（如否認(rèn)個(gè)人簽名等）。

網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)與網(wǎng)絡(luò)信息自由有密不可分的關(guān)系。網(wǎng)絡(luò)信息自由具有可以被入侵者用來(lái)侵入的弱點(diǎn)。通過(guò)考察在Internet上發(fā)生的黑客攻擊事件，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的手段都是在網(wǎng)絡(luò)信息自由的前提下利用網(wǎng)絡(luò)中存在的各種漏洞和安全缺陷。計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)之所以存在著脆弱性，主要是存在著以下一些不安全因素。

三、結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進(jìn)行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)等綜合起來(lái)，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護(hù)體系。我們必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強(qiáng)計(jì)算機(jī)立法和執(zhí)法的力度，建立備份和恢復(fù)機(jī)制，制定相應(yīng)的安全標(biāo)準(zhǔn)。 此外，由于計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪等技術(shù)是不分國(guó)界的，因此必須進(jìn)行充分的國(guó)際合作，來(lái)共同對(duì)付日益猖獗的計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒等問(wèn)題。

參考文獻(xiàn)：

[1]張千里.網(wǎng)絡(luò)安全新技術(shù)[M].北京：人民郵電出版社，2003

[2]龍冬陽(yáng).網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州：華南理工大學(xué)出版社，2006