網絡安全技術

張士敏

華北電力大學計算機科學與技術學院，河北保定071003

摘要 隨著網絡技術的進步、電子商務的發展，網絡已深入到生活的方方面面，隨之出現的網絡安全問題日益嚴竣。如何保障網絡的穩定正常運行，維護人們的合法網絡權益成為了一個急需解決的問題。本文從目標、需求及方案三方面淺述了如何維護網絡的安全。

關鍵詞 防火墻；VPN；網絡加密；身份認證

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）61-0195-02

0 引言

隨著互聯網的迅猛發展和廣泛應用，網絡在給人們帶來便利提高效益的同時，它的安全性逐漸成為一個越來越現實的嚴峻問題。各種網絡安全事件頻發，影響著企業或組織的正常運行，因此研究如何解決網絡安全問題，維持網絡的正常運行具有十分現實的意義。

1 方案目標

本方案的目標是將網絡系統設計成一個支持各級用戶或用戶群的安全網絡。具體來說，安全目標有以下幾點：

1）采取多層防護手段，將受到入侵和破壞的概率降到最低；2）提供迅速檢測非法使用和非法入侵的手段，核查并跟蹤入侵者的活動；3）提供恢復被破壞的數據和系統的手段，盡量降低損失。

2 安全需求

根據網絡安全的風險分析及需要解決的問題，我們需要制定合理的方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。機密性即信息不泄露給未授權實體或進程；完整性保證了數據不被未授權的人或實體更改；可用性即授權實體能夠訪問數據；可控性保證能控制授權范圍內的信息流向及操作方式；可審查性是對出現的安全問題提供依據與手段。

3 解決方案

3.1 設計原則

根據網絡的實際情況，解決安全保密問題是當務之急，并且考慮技術難度及經費等，設計時遵循如下原則：

1）大幅度地提高系統的保密性；2）易于操作維護，便于自動化管理；3）盡量不影響原網絡拓撲結構，同時便于系統擴展；4）安全系統有較高的性價比。

3.2 安全策略

1）采用漏洞掃描技術，對核心交換機等重要設備進行掃描防護；

2）采用多種技術，構筑防御系統，主要有：防火墻技術、虛擬專用網（VPN)、網絡加密、身份認證等。

3.3 防御系統

3.3.1 物理安全

物理安全是保護計算機及各種網絡設備免遭地震、水災、火災等環境事故以及人為失誤或錯誤。為保證系統正常運行，應采取如下措施：

1）產品保障方面：指網絡設備采購、運輸、安裝等方面的安全措施；

2）運行安全方面：各種設備，特別是安全類產品在使用過程中，必須能從廠家或供貨商得到迅速的技術支持；

3）保安方面：主要指防盜、防火等。

3.3.2 防火墻技術

防火墻實質是對通信的網絡進行訪問控制,其目標是通過控制信息進出網絡的權限,使所有連接都經過檢查,防止被保護的網絡遭外界的干擾和破壞。防火墻根據事先定義的規則來檢測要進入被保護網絡的信息是否能夠進入。

根據采用的技術可將防火墻分為3類：包過濾型、代理型和監測型。

1）包過濾型

包過濾型依據是網絡信息的分包傳輸。要傳輸的數據被分成一定大小的包,每個包中都含有特定信息,如源地址、目標地址等。防火墻通過讀取數據包中的特定信息來判斷數據是否來自可信站點 ,若發現來自危險站點,防火墻則會拒絕這些數據進入。此技術優點是簡單實用,成本低。 其缺點是只能根據數據包的特定信息判斷數據是否安全,無法識別惡意入侵。

2）代理型

代理型防火墻也叫代理服務器,其安全性高于包過濾產品。代理服務器位于客戶機與服務器之間,當客戶機要與服務器通信時,先把請求發給代理服務器,代理服務器再根據其請求向服務器索取數據,再由代理服務器將數據傳給客戶機。代理服務器就是客戶機與服務器間的“傳話筒”。此種防火墻優點是安全性高,缺點是設置復雜，對整體性能有很大影響。

3）監測型

監測型防火墻能夠對各層數據實時主動地監控,再分析,最后判斷出各層中是否有攻擊行為。同時,這種產品一般還帶有探測器,這些探測器安裝在應用服務器和網絡的關鍵節點中,不僅能檢測來自外部的攻擊,還能對內部的惡意破壞進行防范。但此類產品成本高,所以應用較少。

3.3.3 VPN技術

VPN通過防火墻、隧道技術、加密解密等實現，是在公共網絡中建一道專線。它主要有3種：

1）遠程訪問虛擬網（Access VPN）。Access VPN通過擁有相同策略的共享設施，來提供遠程訪問。適用于企業內部常有流動人員遠程辦公的情況；

2）企業內部虛擬網(Intranet VPN)。越來越多的企業需要在各地建立辦事處、分公司等，傳統的通信方式是使用花銷大的租用專線方式。而使用Intranet VPN可以保證分公司安全地傳輸信息；

3）Extranet VPN。此方式使用專用連接的共享設施，將合作伙伴連接到企業內部網。

3.3.4加密技術

加密可以保證信息的機密性。它是把要傳輸的信息用某種算法和參數通過某種運算形成無意義信息。要傳輸的信息為明文，某種算法為加密算法，無意義的信息為密文，參數為密鑰。加密技術可分為對稱加密技術和非對稱加密技術。對稱加密技術加密和解密密鑰相同。代表算法有DES,IDEA等。非對稱加密技術也叫公開密鑰技術，其加解密密鑰不同。加密密鑰公開，解密密鑰私有，不公開。非對稱加密廣泛應用于身份認證、數字簽名等領域。代表算法是RSA。目前新的加密技術有密碼專業芯片、量子加密等。

3.3.5 身份認證

現在越來越多的人通過虛擬的網絡通信，進行電子商務等活動，怎樣保證對方的合法身份呢？這就需要身份認證。身份認證的目的是驗證信息收發方是否有合法的身份證明。身份認證主要有3個機構組成。

1）認證機構CA

CA是一個權威實體，主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發網絡用戶身份證明——證書，任何相信該CA的人，也應當相信由CA頒發證書的用戶。

2）注冊機構RA

RA是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅可以面對面登記，也可以遠程登記。

3）證書管理與撤消系統

隨著電子商務等活動的發展，越來越多的證書就需要證書管理系統。當已頒發證書不再有效時就需要撤消。證書撤消系統利用周期性發布機制發布撤消的證書，也有在線查詢可隨時查詢已撤消的證書。

4 結論

本文主要介紹了一個多層次的網絡安全解決方案，來為用戶提供信息的保密性、完整性和身份的認證，使網絡服務更安全可靠。

參考文獻

[1]石志國，等.計算機網絡安全教程.北京：清華大學出版社，2009.

[1]侯麗波，等.網絡安全實用技術.北京：清華大學出版社，2011.

[1]商新娜，等.計算機網絡安全與應用技術.北京：清華大學出版社，2011.