淺談計算機網絡安全技術

劉靚麗，張明揚

1.沈陽理工大學信息科學與工程學院，遼寧 沈陽 110000

2.鞍山市第三中等職業技術專科學校，遼寧 鞍山 114000

隨著計算機網絡技術的迅猛發展，特別是互聯網應用變得日趨廣泛，隨之帶來了前所未有的信息量，網絡信息的安全性已受到信息社會的各個領域前所未有的高度重視。

計算機網絡安全從技術層面來說，主要是由防病毒、防火墻等多個安全組件構成的，其中任意一個單一的組件都不能保證網絡信息的安全。目前被人們廣泛應用的，相對完善的網絡安全技術有：數據加密技術、防火墻技術、PKI技術等，以下針對這幾項技術分別進行比較與分析。

1 防火墻技術

防火墻就是一個由軟件設備和硬件設備組合在一起，連接著內網和外網，專用網和公用網之間的保護屏障。

所謂防火墻技術，最開始是為了解決 Internet 網絡不安全因素而采用的一系列保護措施。換句話說，防火墻就是用于攔截外部的某些不安全因素，不允許外部未經授權的網絡用戶擅自進行訪問，有效保護網絡的安全性。當一個網絡與Internet連接以后，對于這個系統的安全性，除了要考慮到計算機病毒、系統的穩定性以外，更重要的是有效防止未經授權的用戶的非法入侵，而當前相對有效的攔截措施就是依靠防火墻技術來實現的。防火墻能夠極大限度地提高一個內部網絡的安全性能，并且通過過濾不安全的服務這一手段來有效降低風險性。通過以防火墻為中心的這種安全方案配置，可以將所有安全的軟件配置在防火墻上。進而對網絡的訪問和存取進行實時審核及監控。當所有對網絡的訪問都經過防火墻時，防火墻將實時記錄下這些訪問并且做出當時的日志記錄，與此同時也能提供對網絡使用情況的相關統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外防火墻還可以防止網絡內部信息的泄露，主要方法就是利用防火墻對內部網絡進行劃分，從而實現內網中重點網段的分離，并極大地降低了局部重點網段和一些敏感網絡的安全問題對整個網絡所造成的一些列影響。

2 數據加密技術

與防火墻相比，數據加密技術相對比較靈活，更符合網絡的開放性特點。數據加密的方法主要用在對動態信息的管理及保護上，從對動態數據的攻擊角度進行分析，將其分為主動攻擊和被動攻擊兩種。對于主動攻擊，雖無法避免，但卻可以有效地進行檢測；而對于被動攻擊，雖無法檢測，但是可以有效地避免，能夠實現這一目的的基礎那就是數據加密技術。數據加密技術分為對稱加密和非對稱加密兩種。

2.1 對稱加密技術

這種加密技術采用的是單鑰密碼系統的加密方法，相同一個密鑰可以用于信息的加密，也可以用于信息的解密，因此這種加密的方法稱為對稱加密，或稱之為單密鑰加密。所謂密鑰其實就是一種算法，通信的發送一方使用該種算法對數據進行加密，接收一方也用相同的算法對數據進行解密。當前，廣受大家使用的一種對稱加密方式就是數據加密標準DES，DES被銀行業中的電子資金轉賬（EFT）領域成功地應用。

2.2 非對稱加密/公開密鑰加密

跟對稱加密技術有所不同，主要區別在于算法上的差異。非對稱加密的算法是需要兩個密鑰即公開密鑰和私有密鑰。公開密鑰與私有密鑰是密切聯系的一對，也就是說如果用公開密鑰對數據進行了加密處理，那么只有用其對應的私有密鑰才能將數據進行解密；同樣道理如果是用私有密鑰對數據進行了加密處理，那么只有用其對應的公開密鑰才能將數據進行解密。因為對數據加密和解密所使用的密鑰是不同的，因此把這種算法稱之為非對稱加密算法。

3 PKI技術

PKI（Publie Key Infrastucture）技術是一種由公開密鑰密碼技術、證書認證中心、數字證書和關于公開密鑰的安全策略等等基本成分共同構成，對密鑰和證書進行管理的系統或平臺。網絡信息安全技術的核心內容就是PKI技術，這項技術也是電子商務安全性的關鍵和基礎技術。因為通過網絡所進行的電子商務、電子事務、電子政務等等一系列活動缺乏物理性的接觸，所以如何運用電子方式進行信任關系的驗證就變得尤為重要。PKI這一技術就恰好是非常適用于電子商務、電子事務、電子政務的一種密碼技術，這種技術能夠非常有效地解決電子商務應用中存在的機密性、完整性、真實性、不可否認性和存取控制等一系列的安全問題。一個具有實際意義的PKI系統應該是安全的、容易使用的、靈活的并且是經濟的，更重要的是，必須充分考慮到系統的相互操作性和可擴展性。

PKI 的核心就是認證機構CA（Certification Authorty），CA就是負責管理PKI 結構下所有的用戶（也包括各種應用程序）的證書，CA把用戶的公鑰和用戶的其他相關信息捆綁在一起，通過網絡驗證用戶的身份，并且CA還要負責PKI結構下用戶證書的黑名單的登記及發布。

用戶和CA是通過注冊機構RA（Registration Authorty）進行關聯的，RA所擁有的用戶標識的確切性和完整性是CA頒發證書的依據。RA不僅能夠支持面對面的登記，而且還能支持遠程登記。想要擁有一個安全的、靈活的PKI系統，就必須設計和實現與之匹配的、安全的、且易操作的RA系統。

為了進一步保證數據的安全性，應該按時更新密鑰，并恢復因為意外而損壞的密鑰，這一點是非常重要的。設計并實現一個健全的密鑰管理方案，保證對密鑰進行安全的備份、更新和恢復，這也是關系到整個PKI系統的健全性、可用性、安全性的重要因素之一。

證書的管理與撤消，證書是用于捆綁證書持有者的身份和其相對應的公鑰。一般情況，這種捆綁是在已經頒發證書的整個生命周期中有效。當然，有些時候也可能出現一個已頒發證書，但該證書是無效的這種情況，這時就需要對證書進行撤消了。

4 結論

網絡安全是一個涵蓋性非常豐富的課題，它所涉及的方面包括技術、管理、使用等等，不僅包含了信息系統的自身安全性問題，也包含了物理和邏輯等方方面面的技術性問題。因此只有嚴謹的保密政策、明確的安全策略才能夠時刻保證信息的完整性，從而為網絡提供非常強大的安全服務。

[1]馮登國.網絡安全原理與技術.科技出版社，2007，9.

[2]王宏偉.網絡安全威脅與對策.應用技術，2006，5.