鄭兆鵬　張祥?！罴衍S　劉劍輝　黃清祿

摘要：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)進(jìn)入21世紀(jì)得到了快速發(fā)展。在政治、軍事、商業(yè)等許多領(lǐng)域運(yùn)用廣泛，隨之而來(lái)的是計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題日益突出。因此， 如何確保信息的安全就成為了一個(gè)重要課題， 網(wǎng)絡(luò)的安全性也成為了人們重點(diǎn)研究的領(lǐng)域。該文探討了網(wǎng)絡(luò)安全存在的主要威脅以及幾種目前主要網(wǎng)絡(luò)安全技術(shù)， 并提出了實(shí)現(xiàn)網(wǎng)絡(luò)安全的相應(yīng)對(duì)策。

關(guān)鍵詞：網(wǎng)絡(luò)安全； 防火墻； 入侵檢測(cè)； VPN

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）30-0042-03

Network Security Situation Analysis

ZHENG zhao-peng；ZHANG Xiang-fu；YANG Jia-yue；LIU Jian-hui；HUANG Qing-lu

（The Chinese People's Liberation Army Military Region of Fujian Province，F(xiàn)uzhou 350001， China）

Abstract： The computer network technology has enjoyed a rapid development in the 21st century. With the extensive application of this technology in the politics， military， commerce and other fields， the security issues of computer network information have become increasingly prominent. Therefore， how to guarantee the security of the network has become an important issue to talk. And also， the security of the network has become a significant domain for people to research. In this thesis， some main threats of network security and some security technologies will be discussed. Besides， several solutions will be proposed as well.

Key words：network security； firewall； intrusion detection； VPN

1 引言

網(wǎng)絡(luò)設(shè)計(jì)最初只考慮信息交流的開(kāi)放性與便捷性，并未對(duì)信息的安全問(wèn)題進(jìn)行規(guī)劃，隨著通信技術(shù)和計(jì)算機(jī)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)攻擊手段兩者在“攻防”過(guò)程中交替提升。隨著網(wǎng)絡(luò)信息安全問(wèn)題的日益加劇，網(wǎng)絡(luò)安全成為了網(wǎng)絡(luò)中的一項(xiàng)棘手問(wèn)題，連接到互聯(lián)網(wǎng)中的計(jì)算機(jī)隨時(shí)都有可能遭受到各種網(wǎng)絡(luò)攻擊，從而引發(fā)各類(lèi)安全問(wèn)題[1]。

2 網(wǎng)絡(luò)安全現(xiàn)狀

2.1 網(wǎng)絡(luò)安全的概念

ISO（國(guó)家標(biāo)準(zhǔn)化組織）將“網(wǎng)絡(luò)安全”定義為： “網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷”。網(wǎng)絡(luò)安全包括邏輯安全和物理安全兩方面，邏輯安全是指我們?cè)谌粘Ｉ钪兴岬降男畔踩珕?wèn)題，在具體處理過(guò)程中需要做好相應(yīng)的保護(hù)，確保信息的完整性、保密性、可靠性。物理安全是指計(jì)算機(jī)的軟件、硬件、數(shù)據(jù)都能夠得到全面保護(hù)，不會(huì)因?yàn)樾钜饣蛘吲既磺闆r而遭到外界因素的破壞、泄漏、篡改，從而確保計(jì)算機(jī)系統(tǒng)持續(xù)穩(wěn)定運(yùn)行。

2.2 網(wǎng)絡(luò)安全面臨的威脅

（1）黑客攻擊

計(jì)算機(jī)的快速發(fā)展，“培養(yǎng)”了大批的黑客，并且出現(xiàn)了大量的黑客網(wǎng)站，據(jù)不完全統(tǒng)計(jì)，目前世界上的黑客網(wǎng)站已經(jīng)超過(guò)20萬(wàn)個(gè)，這些網(wǎng)站主要介紹系統(tǒng)存在的一些漏洞，以及一些攻擊軟件的使用方法，這使站點(diǎn)和系統(tǒng)在運(yùn)行過(guò)程中容易遭受攻擊。尤其是在現(xiàn)階段，還缺少有效的跟蹤手段對(duì)網(wǎng)絡(luò)犯罪進(jìn)行抓捕，致使部分黑客在對(duì)網(wǎng)絡(luò)進(jìn)行攻擊后還能“全身而退”，黑客攻擊是目前對(duì)網(wǎng)絡(luò)安全的最大威脅。報(bào)統(tǒng)計(jì)，從2015年1月到12月，共有各類(lèi)網(wǎng)站安全漏洞37943個(gè)，涉及網(wǎng)站26370個(gè)。其中高危漏洞占比就達(dá)70%[2]。

（2）管理欠缺

用戶(hù)、企業(yè)、機(jī)構(gòu)在應(yīng)用網(wǎng)絡(luò)系統(tǒng)過(guò)程中，要想少受攻擊，不受攻擊，就必要加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理。而從實(shí)際情況來(lái)看，許多用戶(hù)、企業(yè)、機(jī)構(gòu)都疏忽了對(duì)系統(tǒng)或網(wǎng)站的管理。相關(guān)統(tǒng)計(jì)結(jié)果顯示，在美國(guó)超過(guò)90%以上的IT企業(yè)在正常運(yùn)營(yíng)過(guò)程中都沒(méi)有針對(duì)有可能遭受的黑客攻擊進(jìn)行的準(zhǔn)備工作，而且超過(guò)75%的網(wǎng)站在運(yùn)行過(guò)程中一旦遭遇黑客攻擊，將會(huì)處于癱瘓狀態(tài)，企業(yè)網(wǎng)上的各種信息都會(huì)在黑客的攻擊下丟失，這將會(huì)導(dǎo)致企業(yè)遭受巨大的經(jīng)濟(jì)損失。

（3）網(wǎng)絡(luò)缺陷

互聯(lián)網(wǎng)信息開(kāi)放性和共享性導(dǎo)致網(wǎng)上信息的安全性較差，而在TCP / IP協(xié)議族中缺少安全機(jī)制，在最初設(shè)計(jì)互聯(lián)網(wǎng)時(shí)，不會(huì)因?yàn)榫植砍霈F(xiàn)故障，而終止信息傳遞，對(duì)安全問(wèn)題的考慮基本為零，因此，設(shè)計(jì)TCP / IP協(xié)議族最初就存在安全隱患。

2.3 軟件漏洞或“后門(mén)”[3][4]

計(jì)算機(jī)技術(shù)的快速發(fā)展，使軟件系統(tǒng)規(guī)模得到了進(jìn)一步擴(kuò)大，這必然導(dǎo)致系統(tǒng)中存在漏洞或“后門(mén)”的情況。例如，我們常用的UNIX或者Windows操作系統(tǒng)，雖然系統(tǒng)已經(jīng)比較成熟，但是還是會(huì)存在安全漏洞，眾多的軟件、瀏覽器、服務(wù)器等在長(zhǎng)期的使用過(guò)程中都被發(fā)現(xiàn)了存在漏洞。因此利用軟件的漏洞攻擊也是網(wǎng)絡(luò)安全的主要威脅之一。

3 網(wǎng)絡(luò)安全的主要技術(shù)

3.1 認(rèn)證服務(wù)

目前常用的認(rèn)證方式有以下兩種：第一種單方認(rèn)證，對(duì)一方的標(biāo)識(shí)進(jìn)行檢查。第二種相互認(rèn)證，通信雙方對(duì)對(duì)方的身份進(jìn)行相互檢查。從認(rèn)證情形上劃分，又可將認(rèn)證分為數(shù)據(jù)起源認(rèn)證和實(shí)體認(rèn)證。在具體認(rèn)證過(guò)程中，通過(guò)對(duì)合法用戶(hù)的認(rèn)證，可以有效避免非法用戶(hù)對(duì)內(nèi)部信息的訪(fǎng)問(wèn)與盜取，同時(shí)通過(guò)對(duì)認(rèn)證機(jī)制的應(yīng)用，還可以有效的避免合法用戶(hù)查看其無(wú)權(quán)訪(fǎng)問(wèn)的信息，主要包括以下幾種方式：

（1）身份認(rèn)證

用戶(hù)請(qǐng)求對(duì)系統(tǒng)資源提出訪(fǎng)問(wèn)請(qǐng)求時(shí)，需要對(duì)用戶(hù)的合法身份進(jìn)行訪(fǎng)問(wèn)，這也就是人們常說(shuō)的身份認(rèn)證。目前，在身份認(rèn)證上常用的方式為用戶(hù)名和密碼，該方式是一種較為簡(jiǎn)單的認(rèn)證識(shí)別，但可以有效地阻止不具有權(quán)限的人對(duì)系統(tǒng)資源的非法訪(fǎng)問(wèn)。

（2）報(bào)文認(rèn)證

報(bào)文認(rèn)證主要通過(guò)驗(yàn)證通信內(nèi)容，從而確保報(bào)文能夠依據(jù)正確的方式進(jìn)行發(fā)送，報(bào)文通過(guò)正確的方式傳遞給接收方，并且在傳遞過(guò)程中不會(huì)被非法修改。

（3）訪(fǎng)問(wèn)授權(quán)

根據(jù)在各種預(yù)定義的組中用戶(hù)的身份標(biāo)識(shí)及其成員身份來(lái)限制訪(fǎng)問(wèn)某些信息項(xiàng)或某些控制的機(jī)制，并且通常通過(guò)向用戶(hù)和組授予訪(fǎng)問(wèn)特定對(duì)象的權(quán)限來(lái)實(shí)現(xiàn)。

（4）數(shù)字簽名

數(shù)字簽名是一種使用加密認(rèn)證信息的方法， 其安全性和有用性主要取決于用戶(hù)私匙的保護(hù)和安全的函數(shù)。數(shù)字簽名技術(shù)是基于加密技術(shù)的基礎(chǔ)上發(fā)展而來(lái)的， 主要有ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir、Des/DSA，橢圓曲線(xiàn)數(shù)字簽名算法和有限自動(dòng)機(jī)數(shù)字簽名算法等。

3.2 數(shù)據(jù)加密

加密就是通過(guò)一種方式使信息轉(zhuǎn)化成偽代碼， 從而使未被授權(quán)的人理解不了其中的信息。主要存在兩種主要的加密類(lèi)型： 私匙加密和公匙加密。

（1）私匙加密

私匙加密又稱(chēng)對(duì)稱(chēng)密匙加密， 因?yàn)橛脕?lái)加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進(jìn)一步的緊密性， 它不提供認(rèn)證。這種加密方法的優(yōu)點(diǎn)是速度很快， 很容易在硬件和軟件中實(shí)現(xiàn)。

（2）公匙加密

公匙加密使用兩個(gè)密匙， 一個(gè)用于加密信息， 另一個(gè)用于解密信息。公匙加密系統(tǒng)存在計(jì)算密集的缺點(diǎn)， 因而比私匙加密系統(tǒng)的速度慢得多， 不過(guò)若將兩者結(jié)合起來(lái)， 就可以得到一個(gè)更復(fù)雜的系統(tǒng)。

以非對(duì)稱(chēng)加密為例，其加密過(guò)程如下：明文——加密（公開(kāi)鑰匙）——密文——解密（秘密鑰匙）——明文。非對(duì)稱(chēng)加密的代表性算法有：背包算法：D-H、RSA算法等。

3.3 防火墻技術(shù)[5][6]

防火墻是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶(hù)未經(jīng)授權(quán)的訪(fǎng)問(wèn)。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Internet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入的一項(xiàng)技術(shù)手段。主要包括以下幾種類(lèi)型的防火墻技術(shù)：

（1）包過(guò)濾型

該類(lèi)型的產(chǎn)品是防火墻中最初級(jí)的一種，包過(guò)濾技術(shù)在具體應(yīng)用中體現(xiàn)出的主要優(yōu)點(diǎn)就是簡(jiǎn)單實(shí)用，并且具有不錯(cuò)的經(jīng)濟(jì)效益。如果將該技術(shù)應(yīng)用簡(jiǎn)單的環(huán)境中，可以通過(guò)較小的代價(jià)，確保系統(tǒng)運(yùn)行的安全性和可靠性。

（2）網(wǎng)絡(luò)地址轉(zhuǎn)化—— NAT

該方式是對(duì)IP地址進(jìn)行處理，使IP地址發(fā)生轉(zhuǎn)變，這一轉(zhuǎn)變過(guò)程對(duì)于用戶(hù)來(lái)說(shuō)是透明的，自動(dòng)的，用戶(hù)不需要自行設(shè)置，只需要通過(guò)常規(guī)操作便可實(shí)現(xiàn)。

（3）代理型

代理型防火墻位于客戶(hù)和服務(wù)器兩者之間，可以有效地阻擋客戶(hù)與服務(wù)器發(fā)生的交流。該類(lèi)型的防火墻在具體應(yīng)用中的主要優(yōu)點(diǎn)是其安全性較高，并且能夠?qū)Σ煌膽?yīng)用層進(jìn)行掃面與偵測(cè)，對(duì)防止病毒的入侵起到的效果十分明顯，但是其也存在明顯的缺點(diǎn)，即會(huì)影響系統(tǒng)的整體性，并且會(huì)使系統(tǒng)管理變得復(fù)雜。

3.4 入侵檢測(cè)系統(tǒng)[7][8]

入侵檢測(cè)系統(tǒng)（intrusion detection system，簡(jiǎn)稱(chēng)“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。入侵檢測(cè)技術(shù)未來(lái)的發(fā)展趨勢(shì)主要有分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的安全防御三個(gè)方向。

3.5 虛擬專(zhuān)用網(wǎng)技術(shù)（VPN）

VPN是解決信息安全問(wèn)題的一項(xiàng)成功技術(shù)課題，VPN技術(shù)就是將專(zhuān)用網(wǎng)絡(luò)搭建在公共網(wǎng)絡(luò)上，通過(guò)“加密通道”使數(shù)據(jù)能夠在公共網(wǎng)絡(luò)中傳播。VPN的構(gòu)建目前有兩種機(jī)制，這兩種機(jī)制分別為隧道技術(shù)和路由過(guò)濾技術(shù)。現(xiàn)階段，VPN在保障安全上主要通過(guò)隧道技術(shù)（Tunneling）、加解密技術(shù)（Encrypt ion & Decryption）、密匙管理技術(shù)（KeyManagement） 和使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）實(shí)現(xiàn)。通過(guò)大量的實(shí)際使用經(jīng)驗(yàn)可以發(fā)現(xiàn)，VPN隧道機(jī)制能夠合理應(yīng)對(duì)不同層次的安全服務(wù)，這些安全服務(wù)主要包括對(duì)不同強(qiáng)度的源進(jìn)行鑒別，確保數(shù)據(jù)的完整性以及數(shù)據(jù)加密等。

3.6 其他網(wǎng)絡(luò)安全技術(shù)[9]

（1）智能卡技術(shù)和加密技術(shù)兩者十分相近，智能卡實(shí)際就是一種在密鑰中應(yīng)用的媒體，其由授權(quán)用戶(hù)持有，并且用戶(hù)賦予其一個(gè)密碼，該密碼的內(nèi)容與網(wǎng)絡(luò)服務(wù)器上所注冊(cè)的密碼內(nèi)容完全一致。需要注意的是，智能卡技術(shù)需要與身份驗(yàn)證聯(lián)合使用。

（2）安全脆弱性?huà)呙杓夹g(shù)， 針對(duì)網(wǎng)絡(luò)分析目前系統(tǒng)采用的防御手段和系統(tǒng)設(shè)置，準(zhǔn)確指出系統(tǒng)存在或者隱藏的漏洞，對(duì)系統(tǒng)進(jìn)行合理改進(jìn)，提升系統(tǒng)預(yù)防網(wǎng)絡(luò)入侵的一種技術(shù)。

（3）網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、備份及容災(zāi)規(guī)劃技術(shù)， 針對(duì)系統(tǒng)在運(yùn)行過(guò)程中一旦遭遇入侵或破壞，系統(tǒng)中的資料可能會(huì)發(fā)生丟失，此時(shí)通過(guò)合理的規(guī)劃快速恢復(fù)丟失的數(shù)據(jù)，在短時(shí)間內(nèi)使系統(tǒng)能夠得以恢復(fù)，重新運(yùn)行。

4 提高網(wǎng)絡(luò)安全的措施[10][11]

4.1 物理安全層面

從安全的物理環(huán)境入手，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性，主要包括機(jī)房以及其他設(shè)施的合理選擇與重點(diǎn)防護(hù)。在選擇機(jī)房場(chǎng)地環(huán)境上，需要考慮外部環(huán)境的安全性和可靠性，抗電磁干擾等多項(xiàng)內(nèi)容，并且需要加強(qiáng)對(duì)入口的管理。在保護(hù)機(jī)房安全方面，需要確保區(qū)域的安全性，在具體操作過(guò)程中，主要通過(guò)控制物理訪(fǎng)問(wèn)的方式對(duì)用戶(hù)是否具有使用權(quán)限進(jìn)行驗(yàn)證，對(duì)其活動(dòng)范圍進(jìn)行合理限定，同時(shí)需要在計(jì)算機(jī)系統(tǒng)中心設(shè)備外，設(shè)置多層安全防護(hù)圈。

4.2 技術(shù)安全層面

近幾年，計(jì)算機(jī)技術(shù)得到了快速發(fā)展，安全技術(shù)也變得更加成熟，確保了網(wǎng)絡(luò)安全技術(shù)在保證整個(gè)網(wǎng)絡(luò)安全上起到良好作用。在技術(shù)層面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行保護(hù)主要包括數(shù)據(jù)加密技術(shù)、數(shù)據(jù)冗余備份技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)等（具體內(nèi)容在本文第三部分已詳述，此處略）。

4.3 管理安全層面

在有物理安全和技術(shù)安全保證的基礎(chǔ)下，還必須加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的科學(xué)管理，不斷提升計(jì)算機(jī)安全保護(hù)相關(guān)法律的執(zhí)行力度，只有將物理安全、技術(shù)安全、管理安全三方面合理的結(jié)合在一起，才能確保計(jì)算機(jī)網(wǎng)絡(luò)安全能夠達(dá)到一個(gè)理想的狀態(tài)。管理安全層面的主要內(nèi)容包括加強(qiáng)對(duì)計(jì)算機(jī)用戶(hù)的安全教育、構(gòu)建安全管理機(jī)構(gòu)、提高立法與執(zhí)行力度等。目前，我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全的法律法規(guī)主要有計(jì)算機(jī)犯罪法、計(jì)算機(jī)安全法、數(shù)據(jù)保護(hù)法、保密法等多項(xiàng)內(nèi)容，各項(xiàng)法律對(duì)計(jì)算機(jī)用戶(hù)和系統(tǒng)管理人員的義務(wù)和權(quán)利進(jìn)行了明確規(guī)定。與計(jì)算機(jī)使用相關(guān)的人員，自覺(jué)抵制一切與網(wǎng)絡(luò)安全相關(guān)的違法行為。

參考文獻(xiàn)：

[1] 王寶會(huì)， 王大印， 范開(kāi)菊. 計(jì)算機(jī)信息安全[M]. 北京： 電子工業(yè)出版社， 2011（2）.

[2] http：//j.news.163.com/docs/10/2015122408/BBJ9MB17042400 J9.html？101

[3] 張繼山， 房丙午. 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M]. 北京： 中國(guó)鐵道出版社. 2015： 199-200.

[4] 劉敏. 網(wǎng)絡(luò)安全技術(shù)綜述[J]. 科技創(chuàng)新導(dǎo)報(bào)， 2014， 20（25）.

[5] 曾勍煒， 付愛(ài)英. 防火墻技術(shù)標(biāo)準(zhǔn)教材程[M]. 北京： 北京理工大學(xué)出版社， 2013.

[6] 孫厚釗. 網(wǎng)絡(luò)信息資源的信息安全[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)， 2012（9）.

[7] 胡朝清. 計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問(wèn)題及對(duì)策[J]. 德宏師范高等專(zhuān)科學(xué)校學(xué)報(bào)，2011，20（2）：95-96.

[8] 劉從軍， 馬駿. 入侵檢測(cè)系統(tǒng)研究與探討[D]. 微計(jì)算機(jī)信息， 2009（24）.

[9] 徐小梅. 基于馬爾可夫鏈模型的異常入侵檢測(cè)方法研究[D]. 蘭州交通大學(xué)， 2013.

[10] 穆楊. 淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全的影響因素與應(yīng)對(duì)措施[J].黑龍江科技信息，2011，30：98.

[11] 朱彤. 計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及對(duì)策[J].硅谷，2011，24：184.