計(jì)算機(jī)互聯(lián)網(wǎng)信息安全的防御技術(shù)

李瑩

摘 要

自從計(jì)算機(jī)網(wǎng)絡(luò)誕生以來(lái)，網(wǎng)絡(luò)安全是一個(gè)受到人們普遍關(guān)注的課題。網(wǎng)絡(luò)安全極其重要，網(wǎng)絡(luò)只有安全才可以保證網(wǎng)絡(luò)生活能夠有序進(jìn)行、網(wǎng)絡(luò)系統(tǒng)不遭破壞、信息不被竊取、網(wǎng)絡(luò)服務(wù)不被非法中斷等。隨著人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)依賴(lài)程度的提高，信息系統(tǒng)的安全性顯得愈加重要，如何保證網(wǎng)絡(luò)通信的安全性成為人們必須面對(duì)的問(wèn)題。因此，有必要制定并實(shí)施計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)策略，以維護(hù)計(jì)算機(jī)通信網(wǎng)絡(luò)正常工作秩序，防范計(jì)算機(jī)犯罪，預(yù)防計(jì)算機(jī)安全事故，有效保證計(jì)算機(jī)通信網(wǎng)絡(luò)的安全。

【關(guān)鍵詞】計(jì)算機(jī)互聯(lián)網(wǎng) 信息安全 防御技術(shù)

1 計(jì)算機(jī)通信網(wǎng)絡(luò)安全威脅

在計(jì)算機(jī)通信網(wǎng)絡(luò)環(huán)境中，可能經(jīng)常存在以下幾種攻擊：

（1）泄密：將消息內(nèi)容泄漏給沒(méi)有合法權(quán)利的其他人或程序。

（2）傳輸分析：通過(guò)分析通信雙方的通信模式，確定連接的頻率和持續(xù)時(shí)間，或者是確定通信的消息數(shù)量和長(zhǎng)度。

（3）偽裝：攻擊者產(chǎn)生一條消息并聲稱(chēng)該消息來(lái)自某一合法實(shí)體，或者攻擊者發(fā)送有關(guān)收到或未收到消息的欺詐應(yīng)答。

（4）內(nèi)容修改：對(duì)消息的內(nèi)容進(jìn)行修改，包括插入、刪除、轉(zhuǎn)換和替代等。

（5）發(fā)送方否認(rèn)：發(fā)送方否認(rèn)未發(fā)送某條消息。

（6）接收方否認(rèn)：接收方否認(rèn)收到某條消息。

2 安全認(rèn)證技術(shù)

信息的安全傳輸是由加密技術(shù)來(lái)保證的，而對(duì)通信雙方實(shí)體身份的確認(rèn)是通過(guò)認(rèn)證技術(shù)來(lái)實(shí)現(xiàn)的。安全認(rèn)證是最重要的安全服務(wù)之一，因?yàn)樗衅渌陌踩?wù)都依賴(lài)于該服務(wù)。認(rèn)證技術(shù)可以抵抗假冒攻擊的危險(xiǎn)，也可用來(lái)確保身份，它是用來(lái)獲得對(duì)誰(shuí)或?qū)κ裁词虑樾湃蔚囊环N方法。一個(gè)身份的合法擁有者被稱(chēng)作一個(gè)實(shí)體。各種物理形式的主體也需要認(rèn)證，例如人、設(shè)備或計(jì)算機(jī)系統(tǒng)中運(yùn)行的應(yīng)用等。對(duì)密碼系統(tǒng)的攻擊有兩種：一種是被動(dòng)攻擊，攻擊者只是對(duì)截獲的密文進(jìn)行分析而已。另一種是主動(dòng)攻擊，攻擊者通過(guò)采取刪除、增添、重放、偽造等手段主動(dòng)向系統(tǒng)注入假消息。為了保證信息的可認(rèn)證性，抵抗主動(dòng)攻擊，一個(gè)安全的認(rèn)證體制至少應(yīng)該滿足以下幾個(gè)要求：（1）假定的接受者能夠檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性。

（2）消息的發(fā)送者對(duì)所發(fā)的消息不能抵賴(lài)，有時(shí)也要求消息的接受者不能否認(rèn)所收到的消息。

（3）除了合法的消息發(fā)送者外，其他人不能偽造合法的消息。認(rèn)證體制中通常存在一個(gè)可信中心或可信第三方，用于仲裁、頒發(fā)證書(shū)或管理某些信息。

3 防火墻技術(shù)

防火墻技術(shù)是現(xiàn)在市場(chǎng)上應(yīng)用范圍最廣、最容易被用戶(hù)接受的網(wǎng)絡(luò)安全產(chǎn)品之一。防火墻將內(nèi)部可信區(qū)域與外部威脅區(qū)域有效隔離，將網(wǎng)絡(luò)的安全策略制定和信息流集中管理控制，為網(wǎng)絡(luò)邊界提供保護(hù)。使用防火墻，可以防止非法用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。防火墻是使用過(guò)濾器來(lái)阻斷一定類(lèi)型的通信傳輸。網(wǎng)關(guān)是一臺(tái)機(jī)器或一組機(jī)器，它提供中繼服務(wù)，以補(bǔ)償過(guò)濾器的影響。一般情況下，兩個(gè)網(wǎng)關(guān)通過(guò)內(nèi)部過(guò)濾器到內(nèi)部的連接比外部網(wǎng)關(guān)到其他內(nèi)部主機(jī)的連接更為開(kāi)放。就網(wǎng)絡(luò)通信而言，兩個(gè)過(guò)濾器或網(wǎng)關(guān)本身，都是可以省去的，具體情況隨防火墻的變化而變化。防火墻按照事先規(guī)定好的配置和規(guī)則，監(jiān)測(cè)并過(guò)濾所有通向外部網(wǎng)和從外部網(wǎng)傳來(lái)的信息，只允許授權(quán)的數(shù)據(jù)通過(guò)。防火墻還應(yīng)該能夠記錄有關(guān)的連接來(lái)源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖，以方便系統(tǒng)管理員的監(jiān)測(cè)和跟蹤，并且防火墻本身也必須能夠免于滲透。

4 加密技術(shù)

加密技術(shù)通常分為兩大類(lèi)：對(duì)稱(chēng)式和非對(duì)稱(chēng)式。

4.1 對(duì)稱(chēng)式加密概念

對(duì)稱(chēng)式加密就是加密和解密所使用的密鑰是相同的，或者可以從一個(gè)密鑰推算出另一個(gè)密鑰。

4.2 非對(duì)稱(chēng)式加密

非對(duì)稱(chēng)式加密就是加密和解密所使用的不是同一個(gè)密鑰，通常有兩個(gè)密鑰，稱(chēng)為公鑰和私鑰，它們兩個(gè)必需配對(duì)使用，否則不能打開(kāi)加密文件。

這里的公鑰是指可以對(duì)外公布的；而“私鑰”則不能，只能由持有人一個(gè)人知道。它的優(yōu)越性就在這里，因?yàn)閷?duì)稱(chēng)式的加密方法如果是在網(wǎng)絡(luò)上傳輸加密文件就很難把密鑰告訴對(duì)方，不管用什么方法都有可能被別竊聽(tīng)到。而非對(duì)稱(chēng)式的加密方法有兩個(gè)密鑰，且其中的公鑰是可以公開(kāi)的，也就不怕別人知道，收件人解密時(shí)只能用自己的私鑰解密，這樣就很好地避免了密鑰的傳輸安全性問(wèn)題。公鑰密碼的提出，開(kāi)創(chuàng)了現(xiàn)代密碼發(fā)展的新紀(jì)元。如果沒(méi)有公鑰密碼，那么在大型、開(kāi)放的電子網(wǎng)絡(luò)環(huán)境中建設(shè)具有普適性的信息安全基礎(chǔ)設(shè)施則是一件不可想象、無(wú)法實(shí)現(xiàn)的事。

公鑰密碼體制的概念是在解決單鑰密碼體制中最難解決的兩個(gè)問(wèn)題時(shí)提出的，這兩個(gè)問(wèn)題分別是密鑰分配和數(shù)字簽名。單鑰密碼體制在進(jìn)行密鑰分配時(shí)，要求通信雙方或者已經(jīng)有一個(gè)共享的密鑰，或者可以借助一個(gè)密鑰分配中心來(lái)分配密鑰。對(duì)前者的要求，常常可用人工方式傳送雙方最初共享的密鑰，但是這種方法成本很高，而且還要依賴(lài)于通信過(guò)程的可靠性，這同樣是一個(gè)安全問(wèn)題的隱患。對(duì)于第2個(gè)要求則完全依賴(lài)于密鑰分配中心的可靠性，同時(shí)密鑰分配中心往往需要很大的內(nèi)存容量來(lái)處理大量的密鑰。公鑰密碼技術(shù)和對(duì)稱(chēng)密碼技術(shù)的比較可以從算法和密鑰兩個(gè)方面來(lái)進(jìn)行。在算法方面，公鑰密碼體制的算法容易用精確的數(shù)學(xué)術(shù)語(yǔ)描述，它建立在特定的已知數(shù)學(xué)問(wèn)題上，安全性依賴(lài)于這種數(shù)學(xué)問(wèn)題的求解是計(jì)算上不可能的。與此相對(duì)，傳統(tǒng)密碼體制的算法以復(fù)雜紊亂的數(shù)學(xué)方程為基礎(chǔ)。雖然求解單個(gè)方程并不困難，但由于它被多次迭代和攪亂，以至無(wú)法用解析法求解。在密鑰方面，這兩種密碼體制的密鑰產(chǎn)生方式也不同。在對(duì)稱(chēng)密碼體制中，加密密鑰和解密密鑰可以簡(jiǎn)單地互相推導(dǎo)，因此它們是以簡(jiǎn)單的方法隨機(jī)選擇的。在公開(kāi)密鑰密碼體制中，由公開(kāi)密鑰不能簡(jiǎn)單地推出秘密密鑰。秘密密鑰是按照特定的要求選擇的，而公開(kāi)密鑰又是由秘密密鑰利用確定的步驟有效地計(jì)公鑰密碼體制作為一種加密技術(shù)，它也是易受窮舉攻擊的，其解決方法也是使用較長(zhǎng)的密鑰。由于公鑰密碼體制使用的是某種可逆的數(shù)學(xué)函數(shù)，計(jì)算函數(shù)值的復(fù)雜性可能不是密鑰長(zhǎng)度的線性函數(shù)，而是比線性函數(shù)增長(zhǎng)更快的函數(shù)，所以一方面為了抗窮舉攻擊，密鑰長(zhǎng)度要足夠長(zhǎng)；另一方面為了便于實(shí)現(xiàn)，解決公鑰密碼加解密速度較慢的問(wèn)題，要求密鑰長(zhǎng)度盡可能短。在實(shí)際實(shí)現(xiàn)中，一般用公鑰密碼來(lái)進(jìn)行密鑰的管理和數(shù)字簽名。

5 結(jié)束語(yǔ)

尚需說(shuō)明的是，單一的技術(shù)或產(chǎn)品是無(wú)法滿足通信網(wǎng)絡(luò)對(duì)安全的要求。只有將技術(shù)和管理有機(jī)結(jié)合起來(lái)，從控制整個(gè)通信網(wǎng)絡(luò)安全建設(shè)、運(yùn)行和維護(hù)的全過(guò)程入手，才能提高網(wǎng)絡(luò)的整體安全水平。恰當(dāng)?shù)墓芾砘顒?dòng)、規(guī)范的各項(xiàng)組織業(yè)務(wù)活動(dòng)，是通信網(wǎng)絡(luò)有序運(yùn)行、獲取安全的重要保障。

作者單位

大慶油田信息技術(shù)公司增值業(yè)務(wù)分公司 黑龍江省大慶市 163000endprint