鄭玉洲 中山職業(yè)技術學院網(wǎng)絡現(xiàn)教中心 ，廣東 中山 528404

網(wǎng)絡安全現(xiàn)狀分析與應用技術

鄭玉洲 中山職業(yè)技術學院網(wǎng)絡現(xiàn)教中心 ，廣東 中山 528404

眾所周知，Internet是開放的，而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞與防護的斗爭仍將繼續(xù)。在這樣的斗爭中，安全技術作為一個獨特的防護領域越來越受到全球網(wǎng)絡建設者的關注。

網(wǎng)絡安全;防火墻;虛擬專用網(wǎng)(VPN)

1 網(wǎng)絡的開放性帶來的安全問題

隨著計算機網(wǎng)絡的發(fā)展，在信息處理能力提高的同時,系統(tǒng)的連接能力也在不斷地提高。但在聯(lián)結信息能力、流通能力提高的同時,基于網(wǎng)絡連接的安全問題也日益突出，不論是外部網(wǎng)還是內部網(wǎng)都會安全問題。 Internet的開放性以及其他方面因素導致了網(wǎng)絡環(huán)境下的計算機系統(tǒng)存在很多安全問題，為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現(xiàn)有的安全工具和機制的情況下，網(wǎng)絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

(1)每一種安全機制都有一定的應用范圍和應用環(huán)境。

(2)安全工具的使用受到人為因素的影響。

(3)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。

(4)只要有程序，就可能存在BUG。

(5)黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。

2 網(wǎng)絡安全的主要技術

2.1 安全認證

網(wǎng)絡賴以生存的保障，只有安全得到保障，網(wǎng)絡才能實現(xiàn)自身的價值。網(wǎng)絡安全技術隨著人們網(wǎng)絡實踐的發(fā)展而發(fā)展，其涉及的技術面非常廣，主要的技術如認證、加密、防火墻及入侵檢測是網(wǎng)絡安全的重要防線。對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。

2.2 數(shù)據(jù)加密

在計算機網(wǎng)絡中，加密技術是信息安全技術的核心，是一種主動的信息安全防范措施。信息加密技術是其他安全技術的基礎，加密技術是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復雜錯亂的不可理解的密文形式(即加密)。對電子信息在傳輸過程中或存儲體內進行保護，以阻止信息泄露或盜取，從而確保信息的安全性，數(shù)據(jù)加密的方法很多,常用的是加密算法，它是信息加密技術的核心部分，目前世界上最流行的加密算法有DES算法、RSA算法和CCEP算法等。同時隨著技術的進步，加密技術正結合芯片技術和量子技術逐步形成密碼專用芯片和量子加密技術。

2.3 防火墻技術

防火墻是網(wǎng)絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡信息傳輸方向的簡單路由器，而是在網(wǎng)絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結合的形式來保護自己的網(wǎng)絡不受惡意傳輸?shù)墓?，其中最流行的技術有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和代理服務器技術，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網(wǎng)絡連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內外提供一致的安全策略；而且防火墻只實現(xiàn)了粗粒度的訪問控制，也不能與企業(yè)內部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統(tǒng)（路由器、過濾器、代理服務器、網(wǎng)關、堡壘主機）組成的防火墻，防火墻系統(tǒng)是一種網(wǎng)絡安全部件，它可以是軟件，也可以是硬件，還可以是芯片防火墻。這種安全部件處于被保護網(wǎng)絡和其他網(wǎng)絡的邊界，接收進出于被保護網(wǎng)絡的數(shù)據(jù)流，并根據(jù)防火墻所配置的訪問控制策略進行過濾或作出其他操作，防火墻系統(tǒng)不僅能夠保護網(wǎng)絡資源不受外部的侵入，而且能夠攔截被保護網(wǎng)絡向外傳送有價值的信息。

2.4 入侵檢測系統(tǒng)

網(wǎng)絡入侵檢測技術也叫網(wǎng)絡實時監(jiān)控技術，它通過硬件或軟件對網(wǎng)絡上的數(shù)據(jù)進行實時檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫等比較。一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動作做出反應，如切斷網(wǎng)絡連接，或立刻通知防火墻系統(tǒng)對訪問控制策略進行調整，將入侵的數(shù)據(jù)包過濾掉等。因此入侵檢測是對防火墻極其有益的補充， 可在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)聽，從而提供對內部攻擊，外部攻擊和誤操作的實時保護，大大提高了網(wǎng)絡的安全性。

2.5 虛擬專用網(wǎng)（VPN）技術

VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一，所謂虛擬專用網(wǎng)（VPN）技術就是在公共網(wǎng)絡上建立專用網(wǎng)絡，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡中傳播。用以在公共通信網(wǎng)絡上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。目前V P N 主要采用了如下四項技術來保障安全：隧道技術（Tunneling)、加解密技術（Encryption & Decryption)、密匙管理技術（Key Management)和使用者與設備身份認證技術（Authentication)。VPN隧道機制應能技術不同層次的安全服務，這些安全服務包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成專線V P N和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務器發(fā)起的。

2.6 其他網(wǎng)絡安全技術

（1）IP盜用問題的解決，在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時發(fā)出這個IP廣播包的工作站返回一個警告信息。

（2）Web，Email，BBS的安全監(jiān)測系統(tǒng)，在網(wǎng)絡的www服務器、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡， 截獲Internet網(wǎng)上傳輸?shù)膬热荩⑵溥€原成完整的www、Email、FTP、Telnet應用的內容，建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋热?，及時向上級安全網(wǎng)管中心報告。

結束語

網(wǎng)絡安全是一個綜合性的課題,未來的網(wǎng)絡安全面臨著更大的挑戰(zhàn)和機遇。信息社會的發(fā)展需要網(wǎng)絡安全技術的有力保障,網(wǎng)絡安全技術的研究仍處于起步階段,網(wǎng)絡應用范圍的不斷擴大,使人們對網(wǎng)絡依賴的程度增大,也對網(wǎng)絡信息安全保護提出了更高的要求,網(wǎng)絡信息安全必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。

[1]袁津生,吳硯農(nóng). 計算機網(wǎng)絡安全基礎.北京：人民郵電出版社.2004

[2]相明科.計算機網(wǎng)絡及應用. 北京：中國水利水電出版社. 2003

[3]丁建立.網(wǎng)絡安全. 武漢：武漢大學出版社. 2007

10.3969/j.issn.1001-8972.2011.11.056

鄭玉洲，性別：男，職稱 助理工程師，工作單位：中山職業(yè)技術學院，部門：網(wǎng)絡現(xiàn)教中心，職務機房管理員。