網(wǎng)絡(luò)安全技術(shù)

張士敏

華北電力大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河北保定071003

摘要 隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步、電子商務(wù)的發(fā)展，網(wǎng)絡(luò)已深入到生活的方方面面，隨之出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)竣。如何保障網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行，維護(hù)人們的合法網(wǎng)絡(luò)權(quán)益成為了一個(gè)急需解決的問(wèn)題。本文從目標(biāo)、需求及方案三方面淺述了如何維護(hù)網(wǎng)絡(luò)的安全。

關(guān)鍵詞 防火墻；VPN；網(wǎng)絡(luò)加密；身份認(rèn)證

中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2012）61-0195-02

0 引言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)在給人們帶來(lái)便利提高效益的同時(shí)，它的安全性逐漸成為一個(gè)越來(lái)越現(xiàn)實(shí)的嚴(yán)峻問(wèn)題。各種網(wǎng)絡(luò)安全事件頻發(fā)，影響著企業(yè)或組織的正常運(yùn)行，因此研究如何解決網(wǎng)絡(luò)安全問(wèn)題，維持網(wǎng)絡(luò)的正常運(yùn)行具有十分現(xiàn)實(shí)的意義。

1 方案目標(biāo)

本方案的目標(biāo)是將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)用戶或用戶群的安全網(wǎng)絡(luò)。具體來(lái)說(shuō)，安全目標(biāo)有以下幾點(diǎn)：

1）采取多層防護(hù)手段，將受到入侵和破壞的概率降到最低；2）提供迅速檢測(cè)非法使用和非法入侵的手段，核查并跟蹤入侵者的活動(dòng)；3）提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失。

2 安全需求

根據(jù)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析及需要解決的問(wèn)題，我們需要制定合理的方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。機(jī)密性即信息不泄露給未授權(quán)實(shí)體或進(jìn)程；完整性保證了數(shù)據(jù)不被未授權(quán)的人或?qū)嶓w更改；可用性即授權(quán)實(shí)體能夠訪問(wèn)數(shù)據(jù)；可控性保證能控制授權(quán)范圍內(nèi)的信息流向及操作方式；可審查性是對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段。

3 解決方案

3.1 設(shè)計(jì)原則

根據(jù)網(wǎng)絡(luò)的實(shí)際情況，解決安全保密問(wèn)題是當(dāng)務(wù)之急，并且考慮技術(shù)難度及經(jīng)費(fèi)等，設(shè)計(jì)時(shí)遵循如下原則：

1）大幅度地提高系統(tǒng)的保密性；2）易于操作維護(hù)，便于自動(dòng)化管理；3）盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)擴(kuò)展；4）安全系統(tǒng)有較高的性價(jià)比。

3.2 安全策略

1）采用漏洞掃描技術(shù)，對(duì)核心交換機(jī)等重要設(shè)備進(jìn)行掃描防護(hù)；

2）采用多種技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)、虛擬專用網(wǎng)（VPN)、網(wǎng)絡(luò)加密、身份認(rèn)證等。

3.3 防御系統(tǒng)

3.3.1 物理安全

物理安全是保護(hù)計(jì)算機(jī)及各種網(wǎng)絡(luò)設(shè)備免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為失誤或錯(cuò)誤。為保證系統(tǒng)正常運(yùn)行，應(yīng)采取如下措施：

1）產(chǎn)品保障方面：指網(wǎng)絡(luò)設(shè)備采購(gòu)、運(yùn)輸、安裝等方面的安全措施；

2）運(yùn)行安全方面：各種設(shè)備，特別是安全類產(chǎn)品在使用過(guò)程中，必須能從廠家或供貨商得到迅速的技術(shù)支持；

3）保安方面：主要指防盜、防火等。

3.3.2 防火墻技術(shù)

防火墻實(shí)質(zhì)是對(duì)通信的網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制,其目標(biāo)是通過(guò)控制信息進(jìn)出網(wǎng)絡(luò)的權(quán)限,使所有連接都經(jīng)過(guò)檢查,防止被保護(hù)的網(wǎng)絡(luò)遭外界的干擾和破壞。防火墻根據(jù)事先定義的規(guī)則來(lái)檢測(cè)要進(jìn)入被保護(hù)網(wǎng)絡(luò)的信息是否能夠進(jìn)入。

根據(jù)采用的技術(shù)可將防火墻分為3類：包過(guò)濾型、代理型和監(jiān)測(cè)型。

1）包過(guò)濾型

包過(guò)濾型依據(jù)是網(wǎng)絡(luò)信息的分包傳輸。要傳輸?shù)臄?shù)據(jù)被分成一定大小的包,每個(gè)包中都含有特定信息,如源地址、目標(biāo)地址等。防火墻通過(guò)讀取數(shù)據(jù)包中的特定信息來(lái)判斷數(shù)據(jù)是否來(lái)自可信站點(diǎn) ,若發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn),防火墻則會(huì)拒絕這些數(shù)據(jù)進(jìn)入。此技術(shù)優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,成本低。 其缺點(diǎn)是只能根據(jù)數(shù)據(jù)包的特定信息判斷數(shù)據(jù)是否安全,無(wú)法識(shí)別惡意入侵。

2）代理型

代理型防火墻也叫代理服務(wù)器,其安全性高于包過(guò)濾產(chǎn)品。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,當(dāng)客戶機(jī)要與服務(wù)器通信時(shí),先把請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)其請(qǐng)求向服務(wù)器索取數(shù)據(jù),再由代理服務(wù)器將數(shù)據(jù)傳給客戶機(jī)。代理服務(wù)器就是客戶機(jī)與服務(wù)器間的“傳話筒”。此種防火墻優(yōu)點(diǎn)是安全性高,缺點(diǎn)是設(shè)置復(fù)雜，對(duì)整體性能有很大影響。

3）監(jiān)測(cè)型

監(jiān)測(cè)型防火墻能夠?qū)Ω鲗訑?shù)據(jù)實(shí)時(shí)主動(dòng)地監(jiān)控,再分析,最后判斷出各層中是否有攻擊行為。同時(shí),這種產(chǎn)品一般還帶有探測(cè)器,這些探測(cè)器安裝在應(yīng)用服務(wù)器和網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)中,不僅能檢測(cè)來(lái)自外部的攻擊,還能對(duì)內(nèi)部的惡意破壞進(jìn)行防范。但此類產(chǎn)品成本高,所以應(yīng)用較少。

3.3.3 VPN技術(shù)

VPN通過(guò)防火墻、隧道技術(shù)、加密解密等實(shí)現(xiàn)，是在公共網(wǎng)絡(luò)中建一道專線。它主要有3種：

1）遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（Access VPN）。Access VPN通過(guò)擁有相同策略的共享設(shè)施，來(lái)提供遠(yuǎn)程訪問(wèn)。適用于企業(yè)內(nèi)部常有流動(dòng)人員遠(yuǎn)程辦公的情況；

2）企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)。越來(lái)越多的企業(yè)需要在各地建立辦事處、分公司等，傳統(tǒng)的通信方式是使用花銷大的租用專線方式。而使用Intranet VPN可以保證分公司安全地傳輸信息；

3）Extranet VPN。此方式使用專用連接的共享設(shè)施，將合作伙伴連接到企業(yè)內(nèi)部網(wǎng)。

3.3.4加密技術(shù)

加密可以保證信息的機(jī)密性。它是把要傳輸?shù)男畔⒂媚撤N算法和參數(shù)通過(guò)某種運(yùn)算形成無(wú)意義信息。要傳輸?shù)男畔槊魑模撤N算法為加密算法，無(wú)意義的信息為密文，參數(shù)為密鑰。加密技術(shù)可分為對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)加密和解密密鑰相同。代表算法有DES,IDEA等。非對(duì)稱加密技術(shù)也叫公開(kāi)密鑰技術(shù)，其加解密密鑰不同。加密密鑰公開(kāi)，解密密鑰私有，不公開(kāi)。非對(duì)稱加密廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等領(lǐng)域。代表算法是RSA。目前新的加密技術(shù)有密碼專業(yè)芯片、量子加密等。

3.3.5 身份認(rèn)證

現(xiàn)在越來(lái)越多的人通過(guò)虛擬的網(wǎng)絡(luò)通信，進(jìn)行電子商務(wù)等活動(dòng)，怎樣保證對(duì)方的合法身份呢？這就需要身份認(rèn)證。身份認(rèn)證的目的是驗(yàn)證信息收發(fā)方是否有合法的身份證明。身份認(rèn)證主要有3個(gè)機(jī)構(gòu)組成。

1）認(rèn)證機(jī)構(gòu)CA

CA是一個(gè)權(quán)威實(shí)體，主要職責(zé)是頒發(fā)證書(shū)、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)網(wǎng)絡(luò)用戶身份證明——證書(shū)，任何相信該CA的人，也應(yīng)當(dāng)相信由CA頒發(fā)證書(shū)的用戶。

2）注冊(cè)機(jī)構(gòu)RA

RA是用戶和CA的接口，它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書(shū)的基礎(chǔ)。RA不僅可以面對(duì)面登記，也可以遠(yuǎn)程登記。

3）證書(shū)管理與撤消系統(tǒng)

隨著電子商務(wù)等活動(dòng)的發(fā)展，越來(lái)越多的證書(shū)就需要證書(shū)管理系統(tǒng)。當(dāng)已頒發(fā)證書(shū)不再有效時(shí)就需要撤消。證書(shū)撤消系統(tǒng)利用周期性發(fā)布機(jī)制發(fā)布撤消的證書(shū)，也有在線查詢可隨時(shí)查詢已撤消的證書(shū)。

4 結(jié)論

本文主要介紹了一個(gè)多層次的網(wǎng)絡(luò)安全解決方案，來(lái)為用戶提供信息的保密性、完整性和身份的認(rèn)證，使網(wǎng)絡(luò)服務(wù)更安全可靠。

參考文獻(xiàn)

[1]石志國(guó)，等.計(jì)算機(jī)網(wǎng)絡(luò)安全教程.北京：清華大學(xué)出版社，2009.

[1]侯麗波，等.網(wǎng)絡(luò)安全實(shí)用技術(shù).北京：清華大學(xué)出版社，2011.

[1]商新娜，等.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù).北京：清華大學(xué)出版社，2011.