杜 濤

（晉中學(xué)院遠(yuǎn)程教育學(xué)院 山西 030600 )

0 引言

隨著科技的發(fā)展，計(jì)算機(jī)技術(shù)逐漸影響人們生活與工作，但是各種網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)直接危害國(guó)家和社會(huì)，所以如何在計(jì)算機(jī)網(wǎng)絡(luò)中，采用合適的措施及技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行安全防范尤為重要。

1 網(wǎng)絡(luò)安全定義及特征

網(wǎng)絡(luò)安全的定義有很多種，歸納是為了保障系統(tǒng)安全和信息安全，通過(guò)各種安全技術(shù)和防范措施，使得信息暢通的前提下，不被任意的篡改、破壞，確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸、交換、存儲(chǔ)的完整性、可靠性和保密性等。網(wǎng)絡(luò)安全一般有下面一些特征：（1）保密性，即防護(hù)信息不被非授權(quán)地泄露和利用；（2）完整性，即確保信息不可修改、丟失等；（3）可靠性，即利用密碼技術(shù)實(shí)現(xiàn)信息的真實(shí)性、可信可靠性；（4）可控性，即利用防火墻等技術(shù)控制信息的傳輸方式及內(nèi)容。

2 強(qiáng)化網(wǎng)絡(luò)安全防范技術(shù)

2.1 密碼技術(shù)

密碼技術(shù)通過(guò)身份驗(yàn)證、個(gè)性簽名、系統(tǒng)加密、密鑰管理等現(xiàn)代密碼技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)信息在傳輸、處理中的數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性。密碼技術(shù)的理論基礎(chǔ)是密碼學(xué)，其包括密碼編碼學(xué)（研究實(shí)現(xiàn)對(duì)信息編碼）和密碼分析學(xué)（研究破譯加密或偽碼信息），這兩種技術(shù)相輔相成，缺一不可。密碼系統(tǒng)包含算法（加碼算法E和解碼算法D）和明文空間（P）、密文空間（C）和密鑰空間（K)。如圖1，我們先給出密碼系統(tǒng)的Shannon模型，圖中明文P表示沒有加密的信息集，密鑰K表示所有可能密鑰集，發(fā)送者A為信源，接收者B為信宿。密碼技術(shù)把明文變成密文進(jìn)行信息的保護(hù)，如果密碼被非法破譯，竊聽者就會(huì)竊取網(wǎng)絡(luò)傳輸?shù)男畔?，說(shuō)明實(shí)施的密碼技術(shù)失敗。

圖1 密碼系統(tǒng)的Shannon模型

在實(shí)際信息網(wǎng)絡(luò)中，適當(dāng)?shù)厥褂妹艽a技術(shù)實(shí)現(xiàn)主動(dòng)防范措施，來(lái)提高通信中信息的安全性。

2.2 認(rèn)證技術(shù)

認(rèn)證技術(shù)是網(wǎng)絡(luò)信息安全通信的重要技術(shù)，其目的是保證信息發(fā)送者及其發(fā)送信息的真實(shí)性，并驗(yàn)證信息的完整性和可靠性。該實(shí)現(xiàn)認(rèn)證技術(shù)主要有下面六種方式。

（1）數(shù)字信封。數(shù)字信封是指具有處理的加密密碼，而數(shù)字信封實(shí)現(xiàn)功能是有權(quán)閱讀的接收者才能接收網(wǎng)絡(luò)中傳輸?shù)男畔?。采用上述的密碼技術(shù)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行加密，接收者持有特殊的解密數(shù)字信封，得到對(duì)的密碼，從能獲取完整正確的信息。

（2）數(shù)字摘要。數(shù)字摘要是把明文摘要通過(guò)單向散列函數(shù)加密成密文。通過(guò)驗(yàn)證摘要確保網(wǎng)絡(luò)通信傳輸信息保密準(zhǔn)確。

（3）數(shù)字簽名。數(shù)字簽名采用數(shù)字摘要（形成128bit散列值）和密鑰技術(shù)。發(fā)送信息者把報(bào)文及加密數(shù)字簽名的附件一起發(fā)送給接收者，如果接收者能用公開密鑰對(duì)數(shù)字簽名解碼，信息就可完整傳輸給接收者。通過(guò)數(shù)字簽名鑒別接收者的身份，進(jìn)而保證傳輸信息文件的完整性和不可抵賴性。

（4）數(shù)字證書。該技術(shù)結(jié)合數(shù)字信封、數(shù)字簽名等技術(shù)，在網(wǎng)絡(luò)交往中用于安全信息確認(rèn)。中心簽發(fā)機(jī)構(gòu)把經(jīng)授予的數(shù)字簽名包含的公開密鑰文件和該文件擁有者信息綁定，有效地驗(yàn)證使用給定密碼的權(quán)利。在保證網(wǎng)絡(luò)安全技術(shù)中，數(shù)字證書應(yīng)用廣泛。

（5）智能卡。智能卡是身份驗(yàn)證的首選技術(shù)。智能卡不僅可以讀寫數(shù)據(jù)、存儲(chǔ)數(shù)據(jù)，而且可以對(duì)數(shù)據(jù)信息進(jìn)行數(shù)字信封、數(shù)字簽名、對(duì)簽名鑒證等處理措施。利用智能卡技術(shù)，網(wǎng)絡(luò)通信中信息的安全又得到一層保護(hù)。

（6）生物識(shí)別。利用人體各個(gè)特有的生物特征進(jìn)行識(shí)別，如人眼、指紋、聲音、臉廓等。該技術(shù)結(jié)合計(jì)算機(jī)技術(shù)、聲學(xué)、光學(xué)、生物傳感及統(tǒng)計(jì)數(shù)等技術(shù)，可實(shí)現(xiàn)實(shí)時(shí)、在線對(duì)網(wǎng)絡(luò)安全保護(hù)。

2.3 防火墻技術(shù)

防火墻建立在內(nèi)網(wǎng)和外網(wǎng)之間的安全防范設(shè)備，主要防止非法網(wǎng)絡(luò)的入侵，對(duì)保護(hù)網(wǎng)絡(luò)提供唯一的數(shù)據(jù)通道，本身具有抗攻擊性，加強(qiáng)網(wǎng)絡(luò)訪問(wèn)安全限制。防火墻主要功能為提高網(wǎng)絡(luò)安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、監(jiān)控和統(tǒng)計(jì)內(nèi)部存取和訪問(wèn)信息、防止內(nèi)部信息泄露[1]。

防火墻技術(shù)根據(jù)原理及工作模式，可分為多種，一般總結(jié)為下面四種。

（1）包過(guò)濾防火墻技術(shù)。數(shù)據(jù)包過(guò)濾是通過(guò)事先規(guī)定好的過(guò)濾規(guī)則，把接收到的數(shù)據(jù)進(jìn)行判斷是否轉(zhuǎn)發(fā)，來(lái)確定是允許包還是堵塞包。該技術(shù)應(yīng)用在網(wǎng)絡(luò)層和傳輸層，不能改變數(shù)據(jù)包，只是對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾處理，而對(duì)于應(yīng)用層的侵犯就無(wú)法阻止。數(shù)據(jù)包過(guò)濾流程是包檢查模塊以分析報(bào)頭字段IP、TCP和UDP驗(yàn)證包過(guò)濾規(guī)則，如符合包過(guò)濾規(guī)則就轉(zhuǎn)發(fā)數(shù)據(jù)包，不符合就應(yīng)用下一個(gè)規(guī)則，來(lái)判斷包是否被允許轉(zhuǎn)發(fā)，若是就成允許包，若否就接著判斷包是否被阻塞，若是就是阻塞包，若否就判斷是否是最后規(guī)則，若是就成為阻塞包，若否就重新判斷規(guī)則。

（2）代理防火墻技術(shù)。使用在應(yīng)用層中，安全性比上述包過(guò)濾技術(shù)高。由代理服務(wù)軟件對(duì)網(wǎng)絡(luò)中請(qǐng)求進(jìn)行安全檢證，如果滿足就分配到具體服務(wù)中。代理防火墻應(yīng)用在因特網(wǎng)和用戶之間，直接對(duì)數(shù)據(jù)流進(jìn)行安全檢驗(yàn)。代理技術(shù)具有很高的靈活性，可以在中轉(zhuǎn)過(guò)程中，對(duì)用戶的行為進(jìn)行安全判定，決定是否中轉(zhuǎn)。代理技術(shù)安全性較高，可對(duì)應(yīng)用層進(jìn)行安全掃描和監(jiān)控。

（3）狀態(tài)監(jiān)測(cè)防火墻技術(shù)。該技術(shù)只對(duì)幾個(gè)IP等參數(shù)進(jìn)行檢查，并制作狀態(tài)表，與規(guī)則表進(jìn)行配合，跟蹤激活的連接點(diǎn)，實(shí)時(shí)監(jiān)測(cè)連接點(diǎn)會(huì)話的狀態(tài)，對(duì)傳輸信息時(shí)端口能準(zhǔn)確的判斷狀態(tài)是否打開，及檢測(cè)通信信息的狀態(tài)。

（4）智能防火墻技術(shù)。該技術(shù)是新一代防火墻技術(shù)，具有傳統(tǒng)防火墻所有的優(yōu)點(diǎn)，也增強(qiáng)了一些防范攻擊的新技術(shù)，如防攻擊技術(shù)、防掃描技術(shù)、防欺騙技術(shù)、入侵防御技術(shù)、包擦洗和協(xié)議正?；夹g(shù)和AAA技術(shù)。

2.4 入侵檢測(cè)技術(shù)

為了彌補(bǔ)防火墻技術(shù)的不足，入侵檢測(cè)技術(shù)能迅速發(fā)現(xiàn)攻擊并幫助提高管理員的安全管理能力。國(guó)家標(biāo)準(zhǔn)中《信息技術(shù)安全性評(píng)估準(zhǔn)則》有對(duì)入侵檢測(cè)系統(tǒng)的描述。即“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。[2]”

入侵檢測(cè)技術(shù)主要功能有監(jiān)視、分析用戶及系統(tǒng)活動(dòng)，系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)，識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向網(wǎng)絡(luò)管理員報(bào)警，異常行為模式的統(tǒng)計(jì)分析，評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性，操作系統(tǒng)的審計(jì)跟蹤管理。

入侵檢測(cè)技術(shù)包括異常入侵檢測(cè)技術(shù)和誤用入侵檢測(cè)技術(shù)。異常入侵檢測(cè)技術(shù)首先建立系統(tǒng)正常的行為模型，其次對(duì)運(yùn)行的行為與預(yù)定的正常行為比較，來(lái)判斷該行為是否是異常入侵行為。誤用入侵檢測(cè)技術(shù)首先對(duì)系統(tǒng)非法行為進(jìn)行攻擊簽名（表示特有的攻擊模式），之后通過(guò)判斷攻擊簽名來(lái)決定是否是入侵行為。

3 結(jié)語(yǔ)

安全是網(wǎng)絡(luò)賴以生存的前提，所以網(wǎng)絡(luò)安全問(wèn)題成為亟需解決的難題，需要建立完善的網(wǎng)絡(luò)安全防范體系，才能保證網(wǎng)絡(luò)通信中信息不被惡意篡改、攻擊甚至泄露。除了本文介紹的技術(shù)，還有入侵檢測(cè)系統(tǒng)與防火墻的聯(lián)動(dòng)技術(shù)、病毒漏洞掃描技術(shù)、訪問(wèn)控制技術(shù)等都可提高網(wǎng)絡(luò)安全防范技術(shù)水平，進(jìn)而有效地保障網(wǎng)絡(luò)安全。

[1]劉立鋒.信息化環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范措施研究[J].科技資訊,2012(1):20.

[2]國(guó)標(biāo)GB/T 18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》2008.