網絡安全技術探析

[摘要] 隨著網絡的普及，網絡安全日顯重要，本文從網絡不安全因素入手，探討了網絡安全防范理論技術、主流網絡常用安全防范技術、專用網絡常用安全防范技術及目前廣泛應用的網絡安全系統等。

[關鍵詞] 網絡安全協議防范技術

隨著計算機網絡的不斷發展，全球信息化已成為人類發展的大趨勢。近幾年來，互聯網漸漸走進了老百姓的生活，人們的生活已離不開網絡；同時網絡給政府機構、企事業單位帶來了革命性的改革。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、病毒、惡意軟件和其他不軌等的攻擊，所以網絡信息的安全和保密是一個至關重要的問題。為了確保信息的安全與暢通，研究計算機網絡的安全以及防范措施已迫在眉睫。本文結合實際工作經驗，談談網絡安全防范技術。

一、網絡的不安全因素

現今的網絡，存在不少的不安全因素，主要有：

1.網絡協議的弱點。TCP/IP協議是如今最流行的網絡協議，它最初是在封閉的環境下使用，并且它的用戶都是可靠的科研工作者，因而它的設計本身并沒有較多地考慮安全方面的需求，導致TCP/IP協議存在各種弱點，這些弱點帶來許多直接的安全威脅。

2.網絡操作系統的漏洞。操作系統是網絡協議和服務得以實現的最終載體之一，它不僅負責網絡硬件設備的接口封裝，同時還提供網絡通信所需要的各種協議和服務的程序實現。一般情況，操作系統規模都很大，其中的網絡協議實現尤其復雜，這點已經決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞，而某些商用操作系統的源代碼封閉性更是加劇了這一現象，從而成為網絡所面臨的重要安全威脅之一。

3.應用系統設計的漏洞。與操作系統情況類似，應用程序的設計過程中也會帶來很多由于人的局限性所導致的缺陷或漏洞。軟件和硬件設計都存在這種問題，而其中軟件的問題為我們所直接面對。由于在硬件設計方面，特別是芯片技術還比較落后，所以這方面的漏洞我們還很難具體化，這實際上說明，硬件的設計與漏洞是我們網絡所面臨的最為深刻的威脅之一。

4.網絡系統設計的缺陷。網絡設計專指某個地區、系統或者一個單位的內聯網或外聯網的設計，包括拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患，由這些設備組建一個應用系統的過程也可能帶來安全隱患。合理的網絡設計在節約資源的情況下，還可以提供較好的安全性，不合理的網絡設計則成為網絡的安全威脅。

5.惡意攻擊，就是人們常見的黑客攻擊及網絡病毒，是最難防范的網絡安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響也是越來越大 。

6.來自合法用戶的攻擊。這是最容易被管理者忽視的安全威脅之一。事實上，80%的網絡安全事件與內部人員的參與相關。網絡管理的漏洞往往是導致這種威脅的直接原因。

7.互聯網的開放性。事實上，以上所列的網絡安全威脅多數都是由于互聯網是一個完全開放的網絡環境，其中通信幾乎都是不受到任何制約，互聯網的開放性是導致網絡安全威脅最根本的原因。

8.就是物理威脅，如電磁干擾、電磁泄漏等。

還有就是管理方面的安全了，如制度的制定是否全理有效，制度的執行是否到位等。

二、網絡安全防范理論

要做到網絡安全，必要的防范措施是不可少的。當前的一些網絡安全所依賴的技術主要有以下幾種：

1.密碼技術，它是密碼認證、數字簽名和其他各種密碼協議的統稱。數據加密算法標準的提出和應用、公鑰加密思想的提出是密碼技術發展的重要標志，認證、數字簽名和各種密碼協議則從不同的需求角度將密碼技術進行延伸。認證技術包括消息認證和身份鑒別。數字簽名技術可以理解為手寫簽名在信息電子化的替代技術，主要用以保證數據的完整性、有效性和不可抵賴性等。

2.訪問控制。訪問控制是網絡安全防范和保護的主要技術，它的主要目的是保證網絡資源不被非法使用和訪問。訪問控制技術規定何種主體對何種客體具有何種操作權力。訪問控制是網絡安全理論的重要方面，主要包括人員限制、數據標識、權限控制、類型控制和風險分析。訪問控制技術一般與身份驗證技術一起使用，賦予不同身份的用戶以不同的操作權限，以實現不同安全級別的信息分級管理。

3.PKI技術。PKI是一種遵循既定標準的密鑰管理平臺，它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵技術。

三、常用主流網絡安全防范技術

現在的網絡根據用途可分為主流網絡和專用網絡，針對這兩種不同的網絡，網絡安全措施又分為主流網絡安全措施和專業網絡安全措施。下面針對主流網絡安全做一個簡單的介紹：

1.防火墻技術是將內部網絡與外部網之間的訪問進行全面控制的一種機制，一般可能包括路由器、計算機等硬件，也可能包含有軟件，或者同時包含硬件和軟件。這些設備在物理上或邏輯上將內部網和外部網隔離開來，使得外網和內網的所有網絡通信必須經過防火墻，從而可以進行各種的靈活的網絡訪問控制，對內部網進行盡可能的安全保障，提高內部網的安全性和健壯性，防火墻技術是當前市場上最為流行的網絡安全技術，它已成為網絡建設的一個基本配置。

2.VPN技術是利用不可信的公網資源建立可信的虛擬專用網，是保證局域網間通信安全的少數可行的方案之一。VPN既可在TCP/IP協議族的鏈路層實現（比如L2F、PPTP等安全協議），也可在網絡層實現（IP Sec），其中更多情況下在網絡層實現。作為最近幾年才興起的網絡安全技術，VPN在國內的應用也就是最近幾年的事情，但隨著企業網絡用戶的迅速增加，VPN技術有著廣闊的應用前景。

3.入侵檢測技術是一種主動保護自己的網絡和系統免遭非法攻擊的網絡安全技術。它從計算機系統或者網絡中收集、分析信息，檢測任何企圖破壞計算機資源的完整性、機密性和可用性的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應的反應。

4.反病毒技術是查找和清除計算機病毒的主要技術，其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎，然后根據病毒特征碼數據庫來進行對比式查殺。這種方法簡單、有效，但只適用于已知病毒，并且病毒特征庫需要不斷升級。

5.網絡隔離技術通過特殊硬件實現鏈路層的斷開，使得各種網絡攻擊與入侵失去了物理通路的基礎，從而避免了內部網絡遭受外部攻擊的可能性。

四、常用專用網絡安全防范技術

專用網絡由于要求更高的安全性，其防范也必更加重視，現就其主要的防范技術介紹如下：

1.系統和網絡的掃描和評估。通過掃描和評估，可預知主體受攻擊的可能性、將要發生的行為和產生的后果，因而這種方法受到網絡安全業界的重視。這一技術的應用可幫助識別檢測對象的系統資源，分析這一資源被攻擊的可能指數，了解支撐系統本身的脆弱性，評估所有存在的安全風險。一些非常重要的專業應用網絡，例如，銀行，不能承受一次入侵帶來的損失，對掃描和評估技術有強烈的需求。

2.監控和審計。監控和審計是與網絡管理直接掛鉤的技術。監控和審計是通過對網絡通信過程中可疑、有害信息或行為進行記錄以為事后處理提供依據，從而對計算機網絡犯罪人員形成一個強有力的威懾，最終達到提高網絡整體安全性的目的。局域網監控系統是網絡監控系統中的一大類。局域網監控能夠提供一套較好的內部網行為監控的機制，可以有效阻止來自內網的安全威脅。

3.全套接層協議（SSL，Secure Socket Layer）。這是由Netscape公司1994年設計開發的安全協議，主要在傳輸層提高應用程序之間的數據安全性。SSL采用了公開密鑰和對稱密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用對稱密鑰。加密的類型和強度則在兩端之間建立連接的過程中協商決定，保證了客戶和服務器間事務的安全性。

4.HTTPS協議，SHTTP協議及SMIME協議等。HTTPS協議是建立于SSL上的HTTP安全協議，它利用SSL協議來加強HTTP協議的安全性，已經成功應用于電子商務。SHTTP（安全超文本傳輸協議）是一種結合HTTP而設計的消息的安全通信協議。SHTTP的設計基于與HTTP信息樣板共存并易于與HTTP應用程序相整合。SHTTP協議為HTTP客戶機和服務器提供了多種安全機制，這些安全服務選項是適用于萬維網上各類用戶的。SHTTP還為客戶機和服務器提供了對稱能力（及時處理請求和恢復，及兩者的參數選擇），同時維持HTTP的通信模型和實施特征。SMIME(Secure/Multipurpose Internet Mail Extensions)是MIME的安全版本，設計用來支持郵件的加密。基于MIME標準，SMIME為電子消息應用程序提供如下加密安全服務：認證、完整性保護、鑒定及數據保密等。傳統的郵件用戶代理（MUA）可以使用SMIME來加密發送郵件及解密接收郵件。然而，SMIME并不僅限于郵件的使用，它也能應用于任何可以傳送MIME數據的傳輸機制，例如HTTP。同樣，SMIME利用MIME的面向對象特征允許在混合傳輸系統中交換安全消息。

網絡的安全是一個很大的系統工程，要從防范技術和管理上去探討和研究，建立一套整體安全解決方案的網絡系統對網絡來說是尤其重要的。希望本文能拋磚引玉，能讓更多的人來關心和研究網絡的安全問題，為網絡的安全出謀劃策!

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。