高楊

（曲阜師范大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院，山東 日照276826）

1 網(wǎng)絡(luò)安全技術(shù)概述

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證，網(wǎng)絡(luò)信息安全問(wèn)題也隨著全球信息化步伐的加快而變得尤為重要。由于計(jì)算機(jī)網(wǎng)絡(luò)具有連接形式多樣性，終端分配不均勻性以及網(wǎng)絡(luò)的開(kāi)放性，互聯(lián)性等特征，致使網(wǎng)絡(luò)易受黑客，怪客，惡意軟件及其它不軌行為的攻擊，網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。網(wǎng)絡(luò)安全技術(shù)指網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機(jī)制策略。

2 網(wǎng)絡(luò)安全技術(shù)影響因素

2.1 安全策略

站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪(fǎng)問(wèn)權(quán)限,忽視了這些權(quán)限可能會(huì)被其他人員濫用。網(wǎng)絡(luò)入侵的目的主要是取得使用系統(tǒng)的存儲(chǔ)權(quán)限、寫(xiě)權(quán)限以及訪(fǎng)問(wèn)其他存儲(chǔ)內(nèi)容的權(quán)限,或者是作為進(jìn)一步進(jìn)入其他系統(tǒng)的跳板,或者惡意破壞這個(gè)系統(tǒng),使其毀壞而喪失服務(wù)能力。

2.2 應(yīng)用系統(tǒng)安全漏洞

WEB服務(wù)器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁(yè)活起來(lái),然而很多人在編CGI程序時(shí)對(duì)軟件包并不十分了解,多數(shù)人不是新編程序,而是對(duì)程序加以適當(dāng)?shù)男薷?這樣一來(lái),很多CGI程序就難免具有相同安全漏洞。

2.3 后門(mén)和木馬程序

后門(mén)主要使管理員無(wú)法阻止種植者再次進(jìn)入系統(tǒng)，使種植者在系統(tǒng)中不易被發(fā)現(xiàn)。木馬是一類(lèi)特殊的后門(mén)程序,具有隱蔽性和非授權(quán)性的特點(diǎn)。木馬里一般有兩個(gè)程序,一個(gè)是服務(wù)器程序,一個(gè)是控制器程序，它通過(guò)命令服務(wù)器程序達(dá)到控制電腦的目的。

2.4 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能和數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。現(xiàn)在，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)相結(jié)合述，蔓延的速度更加迅速。

2.5 硬件的配置不協(xié)調(diào)

一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞,其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒(méi)有引起足夠的重視,設(shè)計(jì)和選型考慮欠周密,從而使網(wǎng)絡(luò)功能發(fā)揮受阻,影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

3 網(wǎng)絡(luò)安全的防護(hù)措施

3.1 物理安全管理

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。物理安全包括通信線(xiàn)路的安全、物理設(shè)備的安全、機(jī)房的安全等。主要體現(xiàn)在通信線(xiàn)路的可靠性,設(shè)備安全性,設(shè)備的備份，防災(zāi)害能力、抗干擾能力,設(shè)備的運(yùn)行環(huán)境等。為保證網(wǎng)絡(luò)的正常運(yùn)行,在物理安全方面應(yīng)采取如下措施:

（1）產(chǎn)品保障:主要指產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全措施。

（2）運(yùn)行安全:網(wǎng)絡(luò)中的設(shè)備,特別是安全類(lèi)產(chǎn)品在使用過(guò)程中,必須能夠從生產(chǎn)廠(chǎng)家或供貨單位得到強(qiáng)有力的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng),應(yīng)設(shè)置備份系統(tǒng)。

（3）防電磁輻射面:所有重要的涉密設(shè)備都需安裝防電磁輻射產(chǎn)品。

（4）保安面:主要是防盜、防火等,還包括網(wǎng)絡(luò)系統(tǒng)所有計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全防護(hù)。

3.2 各種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

3.2.1 防火墻技術(shù)

所謂防火墻指的一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.用于對(duì)網(wǎng)絡(luò)進(jìn)行防護(hù)和通信控制。

防火墻技術(shù)有包過(guò)濾技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)、狀態(tài)檢測(cè)防火墻、電路級(jí)網(wǎng)關(guān)及代理服務(wù)器技術(shù)。

3.2.2 VPN技術(shù)

虛擬專(zhuān)用網(wǎng) (Virtual private Network,VPN)是通過(guò)一個(gè)公用網(wǎng)絡(luò)建立起一個(gè)臨時(shí)的、安全的連接。通常,VPN可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸?？蓪?shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源間的相互連接,利用Internet或其他公共互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施為用戶(hù)創(chuàng)建隧道,并提供與專(zhuān)用網(wǎng)絡(luò)一樣的安全和功能保障。

目前VPN主要采用隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)身份認(rèn)證技術(shù)這四項(xiàng)技術(shù)來(lái)保證它的安全。

3.2.3 網(wǎng)絡(luò)加密技術(shù)

網(wǎng)絡(luò)加密技術(shù)是對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?。它可以解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問(wèn)題,也可以解決遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)的安全問(wèn)題。

數(shù)據(jù)鏈路層的安全需要保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被且聽(tīng)和修改，在鏈路層通常采用數(shù)據(jù)加密技術(shù)，使攻擊者不能了解、修改傳輸?shù)男畔?，從而保證通信的安全。 鏈路層加密模式如圖1所示。

圖1 鏈路層加密模式

網(wǎng)絡(luò)層安全保密的目的是將源端發(fā)出的分組數(shù)據(jù)經(jīng)各種途徑安全地送到目的端。網(wǎng)絡(luò)層保密模式是將處理位于網(wǎng)絡(luò)層和傳輸層之間，加密設(shè)備配置于網(wǎng)絡(luò)的兩端，必須根據(jù)低三層的協(xié)議理解數(shù)據(jù)，并且只加密傳輸層的數(shù)據(jù)單元。這些加密的數(shù)據(jù)單元與未加密的路由信息重新結(jié)合后送到下一層傳輸。網(wǎng)絡(luò)層加密模式如圖2，網(wǎng)絡(luò)層加密減少了網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)部的明文信息泄露帶來(lái)的威脅。

圖2 網(wǎng)絡(luò)層加密模式

3.2.4 身份認(rèn)證技術(shù)

身份認(rèn)證是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身傷的過(guò)程。在一個(gè)更為開(kāi)放的環(huán)境中,支持通過(guò)網(wǎng)絡(luò)與其他系統(tǒng)相連,就需要采用“調(diào)用每項(xiàng)服務(wù)時(shí)需要用戶(hù)證明身份,也需要這些服務(wù)器向客戶(hù)證明他們自己的身份”的策略來(lái)保護(hù)位于服務(wù)器中用戶(hù)的信息和資源。

3.2.5 多層次多級(jí)別的企業(yè)級(jí)防病毒系統(tǒng)

防病毒系統(tǒng)對(duì)計(jì)算機(jī)病毒有實(shí)時(shí)防范功能,它可以在每個(gè)入口點(diǎn)抵御病毒和惡意程序的入侵,保護(hù)網(wǎng)絡(luò)中的PC機(jī)、服務(wù)器和Internet網(wǎng)關(guān)。它有一個(gè)功能強(qiáng)大的管理工具,可以自動(dòng)進(jìn)行文件更新,使管理和服務(wù)作業(yè)合理化,并可用來(lái)從控制中心管理企業(yè)范圍的反病毒安全機(jī)制,保護(hù)企業(yè)免受病毒的攻擊和侵害。

3.2.6 網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)搜集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭受襲擊的跡象，保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中授權(quán)或異?，F(xiàn)象。它作為一種積極主動(dòng)的安全防護(hù)技術(shù),可以在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

入侵檢測(cè)的步驟有：收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為的信息。根據(jù)收集到的信息進(jìn)行分析常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。

3.3 建立分層管理和各級(jí)安全管理中心

系統(tǒng)管理是由系統(tǒng)管理員完成的一項(xiàng)復(fù)雜工作，包括啟動(dòng)系統(tǒng)、停止系統(tǒng)運(yùn)行、安裝新軟件、增加新用戶(hù)、刪除老用戶(hù)、端口服務(wù)管理、打印服務(wù)管理、文件系統(tǒng)維護(hù)、數(shù)據(jù)備份與恢復(fù)、網(wǎng)絡(luò)系統(tǒng)管理、系統(tǒng)性能維護(hù)以及完成、保持系統(tǒng)發(fā)展和運(yùn)行的日常事務(wù)工作。主要內(nèi)容有防止未授權(quán)存取，防止泄密，防止用戶(hù)拒絕系統(tǒng)的管理，防止丟失系統(tǒng)的完整性。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)安全技術(shù)涉及計(jì)算機(jī)網(wǎng)絡(luò)各個(gè)層次，網(wǎng)絡(luò)安全不僅是技術(shù)問(wèn)題，也是一個(gè)安全管理問(wèn)題。必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的法規(guī)等。防范措施在一定程度上能夠加強(qiáng)網(wǎng)絡(luò)安全，伴隨著IT技術(shù)不斷迅猛發(fā)展，需適時(shí)改進(jìn)防范策略，以便營(yíng)造一個(gè)安全高效的網(wǎng)絡(luò)環(huán)境。

［1］胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.

［2］李煥洲.網(wǎng)絡(luò)安全和入侵檢測(cè)技術(shù)[J].四川師范大學(xué)學(xué)報(bào)：自然科學(xué)版,2001 (04).

［3］謝勍.計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)探討[J].科學(xué)技術(shù)與工程,2008(01).

［4］朱理森,張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專(zhuān)利文獻(xiàn)出版社,2001.

［5］段海波.網(wǎng)絡(luò)安全從網(wǎng)絡(luò)開(kāi)始[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì),2005(01).

［6］戴紅,王海泉,黃堅(jiān).計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2004.