杜 濤

（晉中學(xué)院遠程教育學(xué)院 山西 030600 )

0 引言

隨著科技的發(fā)展，計算機技術(shù)逐漸影響人們生活與工作，但是各種網(wǎng)絡(luò)安全問題的出現(xiàn)直接危害國家和社會，所以如何在計算機網(wǎng)絡(luò)中，采用合適的措施及技術(shù)對網(wǎng)絡(luò)進行安全防范尤為重要。

1 網(wǎng)絡(luò)安全定義及特征

網(wǎng)絡(luò)安全的定義有很多種，歸納是為了保障系統(tǒng)安全和信息安全，通過各種安全技術(shù)和防范措施，使得信息暢通的前提下，不被任意的篡改、破壞，確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸、交換、存儲的完整性、可靠性和保密性等。網(wǎng)絡(luò)安全一般有下面一些特征：（1）保密性，即防護信息不被非授權(quán)地泄露和利用；（2）完整性，即確保信息不可修改、丟失等；（3）可靠性，即利用密碼技術(shù)實現(xiàn)信息的真實性、可信可靠性；（4）可控性，即利用防火墻等技術(shù)控制信息的傳輸方式及內(nèi)容。

2 強化網(wǎng)絡(luò)安全防范技術(shù)

2.1 密碼技術(shù)

密碼技術(shù)通過身份驗證、個性簽名、系統(tǒng)加密、密鑰管理等現(xiàn)代密碼技術(shù)實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)信息在傳輸、處理中的數(shù)據(jù)完整性、數(shù)據(jù)機密性。密碼技術(shù)的理論基礎(chǔ)是密碼學(xué)，其包括密碼編碼學(xué)（研究實現(xiàn)對信息編碼）和密碼分析學(xué)（研究破譯加密或偽碼信息），這兩種技術(shù)相輔相成，缺一不可。密碼系統(tǒng)包含算法（加碼算法E和解碼算法D）和明文空間（P）、密文空間（C）和密鑰空間（K)。如圖1，我們先給出密碼系統(tǒng)的Shannon模型，圖中明文P表示沒有加密的信息集，密鑰K表示所有可能密鑰集，發(fā)送者A為信源，接收者B為信宿。密碼技術(shù)把明文變成密文進行信息的保護，如果密碼被非法破譯，竊聽者就會竊取網(wǎng)絡(luò)傳輸?shù)男畔?，說明實施的密碼技術(shù)失敗。

圖1 密碼系統(tǒng)的Shannon模型

在實際信息網(wǎng)絡(luò)中，適當?shù)厥褂妹艽a技術(shù)實現(xiàn)主動防范措施，來提高通信中信息的安全性。

2.2 認證技術(shù)

認證技術(shù)是網(wǎng)絡(luò)信息安全通信的重要技術(shù)，其目的是保證信息發(fā)送者及其發(fā)送信息的真實性，并驗證信息的完整性和可靠性。該實現(xiàn)認證技術(shù)主要有下面六種方式。

（1）數(shù)字信封。數(shù)字信封是指具有處理的加密密碼，而數(shù)字信封實現(xiàn)功能是有權(quán)閱讀的接收者才能接收網(wǎng)絡(luò)中傳輸?shù)男畔?。采用上述的密碼技術(shù)對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行加密，接收者持有特殊的解密數(shù)字信封，得到對的密碼，從能獲取完整正確的信息。

（2）數(shù)字摘要。數(shù)字摘要是把明文摘要通過單向散列函數(shù)加密成密文。通過驗證摘要確保網(wǎng)絡(luò)通信傳輸信息保密準確。

（3）數(shù)字簽名。數(shù)字簽名采用數(shù)字摘要（形成128bit散列值）和密鑰技術(shù)。發(fā)送信息者把報文及加密數(shù)字簽名的附件一起發(fā)送給接收者，如果接收者能用公開密鑰對數(shù)字簽名解碼，信息就可完整傳輸給接收者。通過數(shù)字簽名鑒別接收者的身份，進而保證傳輸信息文件的完整性和不可抵賴性。

（4）數(shù)字證書。該技術(shù)結(jié)合數(shù)字信封、數(shù)字簽名等技術(shù)，在網(wǎng)絡(luò)交往中用于安全信息確認。中心簽發(fā)機構(gòu)把經(jīng)授予的數(shù)字簽名包含的公開密鑰文件和該文件擁有者信息綁定，有效地驗證使用給定密碼的權(quán)利。在保證網(wǎng)絡(luò)安全技術(shù)中，數(shù)字證書應(yīng)用廣泛。

（5）智能卡。智能卡是身份驗證的首選技術(shù)。智能卡不僅可以讀寫數(shù)據(jù)、存儲數(shù)據(jù)，而且可以對數(shù)據(jù)信息進行數(shù)字信封、數(shù)字簽名、對簽名鑒證等處理措施。利用智能卡技術(shù)，網(wǎng)絡(luò)通信中信息的安全又得到一層保護。

（6）生物識別。利用人體各個特有的生物特征進行識別，如人眼、指紋、聲音、臉廓等。該技術(shù)結(jié)合計算機技術(shù)、聲學(xué)、光學(xué)、生物傳感及統(tǒng)計數(shù)等技術(shù)，可實現(xiàn)實時、在線對網(wǎng)絡(luò)安全保護。

2.3 防火墻技術(shù)

防火墻建立在內(nèi)網(wǎng)和外網(wǎng)之間的安全防范設(shè)備，主要防止非法網(wǎng)絡(luò)的入侵，對保護網(wǎng)絡(luò)提供唯一的數(shù)據(jù)通道，本身具有抗攻擊性，加強網(wǎng)絡(luò)訪問安全限制。防火墻主要功能為提高網(wǎng)絡(luò)安全性、強化網(wǎng)絡(luò)安全策略、監(jiān)控和統(tǒng)計內(nèi)部存取和訪問信息、防止內(nèi)部信息泄露[1]。

防火墻技術(shù)根據(jù)原理及工作模式，可分為多種，一般總結(jié)為下面四種。

（1）包過濾防火墻技術(shù)。數(shù)據(jù)包過濾是通過事先規(guī)定好的過濾規(guī)則，把接收到的數(shù)據(jù)進行判斷是否轉(zhuǎn)發(fā)，來確定是允許包還是堵塞包。該技術(shù)應(yīng)用在網(wǎng)絡(luò)層和傳輸層，不能改變數(shù)據(jù)包，只是對數(shù)據(jù)包進行過濾處理，而對于應(yīng)用層的侵犯就無法阻止。數(shù)據(jù)包過濾流程是包檢查模塊以分析報頭字段IP、TCP和UDP驗證包過濾規(guī)則，如符合包過濾規(guī)則就轉(zhuǎn)發(fā)數(shù)據(jù)包，不符合就應(yīng)用下一個規(guī)則，來判斷包是否被允許轉(zhuǎn)發(fā)，若是就成允許包，若否就接著判斷包是否被阻塞，若是就是阻塞包，若否就判斷是否是最后規(guī)則，若是就成為阻塞包，若否就重新判斷規(guī)則。

（2）代理防火墻技術(shù)。使用在應(yīng)用層中，安全性比上述包過濾技術(shù)高。由代理服務(wù)軟件對網(wǎng)絡(luò)中請求進行安全檢證，如果滿足就分配到具體服務(wù)中。代理防火墻應(yīng)用在因特網(wǎng)和用戶之間，直接對數(shù)據(jù)流進行安全檢驗。代理技術(shù)具有很高的靈活性，可以在中轉(zhuǎn)過程中，對用戶的行為進行安全判定，決定是否中轉(zhuǎn)。代理技術(shù)安全性較高，可對應(yīng)用層進行安全掃描和監(jiān)控。

（3）狀態(tài)監(jiān)測防火墻技術(shù)。該技術(shù)只對幾個IP等參數(shù)進行檢查，并制作狀態(tài)表，與規(guī)則表進行配合，跟蹤激活的連接點，實時監(jiān)測連接點會話的狀態(tài)，對傳輸信息時端口能準確的判斷狀態(tài)是否打開，及檢測通信信息的狀態(tài)。

（4）智能防火墻技術(shù)。該技術(shù)是新一代防火墻技術(shù)，具有傳統(tǒng)防火墻所有的優(yōu)點，也增強了一些防范攻擊的新技術(shù)，如防攻擊技術(shù)、防掃描技術(shù)、防欺騙技術(shù)、入侵防御技術(shù)、包擦洗和協(xié)議正?；夹g(shù)和AAA技術(shù)。

2.4 入侵檢測技術(shù)

為了彌補防火墻技術(shù)的不足，入侵檢測技術(shù)能迅速發(fā)現(xiàn)攻擊并幫助提高管理員的安全管理能力。國家標準中《信息技術(shù)安全性評估準則》有對入侵檢測系統(tǒng)的描述。即“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。[2]”

入侵檢測技術(shù)主要功能有監(jiān)視、分析用戶及系統(tǒng)活動，系統(tǒng)構(gòu)造和弱點的審計，識別反映已知進攻的活動模式并向網(wǎng)絡(luò)管理員報警，異常行為模式的統(tǒng)計分析，評估重要系統(tǒng)和數(shù)據(jù)文件的完整性，操作系統(tǒng)的審計跟蹤管理。

入侵檢測技術(shù)包括異常入侵檢測技術(shù)和誤用入侵檢測技術(shù)。異常入侵檢測技術(shù)首先建立系統(tǒng)正常的行為模型，其次對運行的行為與預(yù)定的正常行為比較，來判斷該行為是否是異常入侵行為。誤用入侵檢測技術(shù)首先對系統(tǒng)非法行為進行攻擊簽名（表示特有的攻擊模式），之后通過判斷攻擊簽名來決定是否是入侵行為。

3 結(jié)語

安全是網(wǎng)絡(luò)賴以生存的前提，所以網(wǎng)絡(luò)安全問題成為亟需解決的難題，需要建立完善的網(wǎng)絡(luò)安全防范體系，才能保證網(wǎng)絡(luò)通信中信息不被惡意篡改、攻擊甚至泄露。除了本文介紹的技術(shù)，還有入侵檢測系統(tǒng)與防火墻的聯(lián)動技術(shù)、病毒漏洞掃描技術(shù)、訪問控制技術(shù)等都可提高網(wǎng)絡(luò)安全防范技術(shù)水平，進而有效地保障網(wǎng)絡(luò)安全。

[1]劉立鋒.信息化環(huán)境下計算機網(wǎng)絡(luò)安全技術(shù)與防范措施研究[J].科技資訊,2012(1):20.

[2]國標GB/T 18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》2008.