計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)對(duì)策略

胡艷

摘要：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用給當(dāng)今社會(huì)帶來(lái)巨大變化，同時(shí)也引發(fā)日益突出的網(wǎng)絡(luò)安全問(wèn)題。本文首先介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全的背景，包括其定義、特性和網(wǎng)絡(luò)安全模型。在此基礎(chǔ)上，文章具體列出了網(wǎng)絡(luò)安全常用的幾種技術(shù)：數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和數(shù)字簽名、防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、VPN技術(shù)、防病毒技術(shù)。最終，本文預(yù)測(cè)了網(wǎng)絡(luò)安全領(lǐng)域未來(lái)的研究重點(diǎn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全 數(shù)字加密 認(rèn)證技術(shù) 防火墻

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）12-0180-02

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，因特網(wǎng)以其開放性、共享性和方便性在全球范圍內(nèi)得到廣泛的應(yīng)用，任何用戶可以在地球的任一端自由地接入因特網(wǎng)。在方便用戶使用的同時(shí)，金錢和財(cái)富的利誘也引發(fā)和刺激了“黑客”們以身試法，采用各種攻擊手段進(jìn)行破壞等犯罪活動(dòng)。此外，網(wǎng)絡(luò)實(shí)體還面臨著自然災(zāi)害的風(fēng)險(xiǎn)，如地震、火災(zāi)、水災(zāi)等等。

人為攻擊和自然災(zāi)害都會(huì)給系統(tǒng)帶來(lái)不可估量的損失，因此，網(wǎng)絡(luò)安全對(duì)于每個(gè)用戶、甚至一個(gè)國(guó)家的政治、經(jīng)濟(jì)和國(guó)防安全都有著重要的意義。當(dāng)前日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)也為網(wǎng)絡(luò)安全研究提出了更高的要求，計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)與安全措施應(yīng)該能夠全方位地針對(duì)各種不同的威脅和脆弱性進(jìn)行防范[1]。

1 網(wǎng)絡(luò)安全定義與模型

1.1 網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全從本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全，包括保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)中的硬件、軟件及系統(tǒng)數(shù)據(jù)不受到偶然或惡意的泄露、更改和破壞，從而保證網(wǎng)絡(luò)系統(tǒng)的連續(xù)、可靠與安全運(yùn)行[2]。

ITU-TX.800標(biāo)準(zhǔn)將“網(wǎng)絡(luò)安全”從安全攻擊、安全機(jī)制和安全服務(wù)三個(gè)方面進(jìn)行了定義：

安全攻擊：指損害機(jī)構(gòu)所擁有的信息的安全的任何行為，主要包括信息拒絕服務(wù)、更改消息、重放消息、偽裝、流量分析、釋放消息內(nèi)容等手段。

安全機(jī)制：指用于檢測(cè)、預(yù)防網(wǎng)絡(luò)攻擊并在受到攻擊后恢復(fù)系統(tǒng)的機(jī)制。針對(duì)安全攻擊，常用的安全機(jī)制包括加密技術(shù)、數(shù)字簽名、公證、訪問(wèn)控制、路由控制等。

安全服務(wù)：指采用一種或多種安全機(jī)制來(lái)抵御網(wǎng)絡(luò)攻擊，從而提高網(wǎng)絡(luò)系統(tǒng)的信息傳輸安全和數(shù)據(jù)處理安全的服務(wù)。常用的安全服務(wù)主要包含對(duì)等實(shí)體認(rèn)證、數(shù)據(jù)源認(rèn)證、訪問(wèn)控制、機(jī)密性、流量機(jī)密性、數(shù)據(jù)完整性、非否認(rèn)服務(wù)和可用性等。

1.2 網(wǎng)絡(luò)安全模型

圖1所示的是網(wǎng)絡(luò)安全的基本模型。眾所周知，通信雙方在網(wǎng)絡(luò)上傳輸信息，須先在收發(fā)方之間建立一條邏輯通道。這就要先確定從發(fā)送到接收端的路由，再選擇該路由上使用的通信協(xié)議，如TCP/IP。

為了在開放式的網(wǎng)絡(luò)環(huán)境中安全地傳輸信息，須對(duì)信息提供安全機(jī)制和安全服務(wù)。信息的安全傳輸包括兩個(gè)基本部分：一是對(duì)發(fā)送信息進(jìn)行安全轉(zhuǎn)換，如信息加密，以便實(shí)現(xiàn)信息的保密性，如附加一些特征碼，以便進(jìn)行發(fā)送方身份驗(yàn)證等；二是發(fā)收方共享的某些秘密信息，如加密密鑰，除了對(duì)可信任的第三方，對(duì)其他用戶保密。

為了使信息安全傳輸，通常需要一個(gè)可信任的第三方，其作用是負(fù)責(zé)向通信雙方分發(fā)秘密信息，以及在雙方發(fā)生爭(zhēng)議時(shí)進(jìn)行仲裁[3]。

2 網(wǎng)絡(luò)安全技術(shù)

2.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是一種最基本的網(wǎng)絡(luò)安全技術(shù)，它在對(duì)信息進(jìn)行數(shù)據(jù)加密后才進(jìn)行網(wǎng)絡(luò)傳輸，從而保障信息在傳輸過(guò)程中的安全性，是一種主動(dòng)的安全防御策略[4]。

現(xiàn)代密碼學(xué)加密技術(shù)主要基于數(shù)學(xué)知識(shí)，通過(guò)一定的數(shù)學(xué)計(jì)算操作改變?cè)夹畔ⅲ@種使用某種方法偽裝并隱藏原始信息的內(nèi)容的方法即“加密”。與“加密”過(guò)程相反，把偽裝和隱藏后的內(nèi)容轉(zhuǎn)變成原始信息的過(guò)程稱為“解密”。如圖2是一個(gè)簡(jiǎn)單的加密解密模型，由發(fā)送方發(fā)出的待加密的消息為被稱作“明文”，所有明文的集合構(gòu)成明文空間；被加密以后的消息稱為“密文”，所有密文的集合構(gòu)成密文空間；“密文”被解密后送往接收方，加密體制中的加密和解密運(yùn)算由一個(gè)算法類組成。

2.2 認(rèn)證技術(shù)和數(shù)字簽名

認(rèn)證技術(shù)主要用于防止對(duì)手對(duì)系統(tǒng)進(jìn)行的主動(dòng)攻擊，如偽裝、竄擾等，這對(duì)于開放環(huán)境中各種信息系統(tǒng)的安全尤為重要。認(rèn)證的目的有兩個(gè)方面：一是驗(yàn)證信息的發(fā)送者合法而非假冒，即身份認(rèn)證，包括信源、信宿的認(rèn)證和鑒別；二是驗(yàn)證消息的完整性和真實(shí)性，即報(bào)文鑒別，包括驗(yàn)證數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中是否被篡改、重放或延遲等[5]。

數(shù)字簽名是網(wǎng)絡(luò)中進(jìn)行安全交易的基礎(chǔ)，目前正逐漸得到世界各國(guó)和地區(qū)在法律上的認(rèn)可。數(shù)字簽名有三個(gè)主要功能：

報(bào)文鑒別：指接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名，即接收者能夠確信該報(bào)文的確是發(fā)送者發(fā)送的，其他人無(wú)法偽造發(fā)送者對(duì)報(bào)文的簽名。

報(bào)文的完整性：指接收者能夠確信所收到的數(shù)據(jù)與發(fā)送者發(fā)送的數(shù)據(jù)完全一樣，信息沒有被篡改過(guò)。

不可否認(rèn)性：指發(fā)送者在事后不能抵賴自己對(duì)報(bào)文的簽名。

2.3 防火墻技術(shù)

防火墻是抵制網(wǎng)絡(luò)攻擊的一種最重要的網(wǎng)絡(luò)安全技術(shù)，防火墻產(chǎn)品是目前應(yīng)用最廣的網(wǎng)絡(luò)安全產(chǎn)品之一。許多企業(yè)利用其防火墻系統(tǒng)作為保存有關(guān)企業(yè)產(chǎn)品和服務(wù)的公開信息、下載文件、錯(cuò)誤修補(bǔ)以及其他一些文件的場(chǎng)所。防火墻能夠?qū)⒕W(wǎng)絡(luò)從物理上分割為不同的子網(wǎng)，限制可能的網(wǎng)絡(luò)攻擊從一個(gè)子網(wǎng)擴(kuò)散到另一個(gè)子網(wǎng)，如同傳統(tǒng)意義的防火墻能夠防止火勢(shì)從防火墻的一側(cè)蔓延到另一側(cè)一樣。

圖3為一個(gè)典型的防火墻邏輯位置結(jié)構(gòu)示意圖，防火墻通常設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，以防止可能發(fā)生的不可預(yù)測(cè)的、潛在破壞性的入侵。具體來(lái)說(shuō)，防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一些部件的組合，形成不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，從而根據(jù)具體的安全控制策略允許、拒絕或監(jiān)測(cè)進(jìn)出網(wǎng)絡(luò)的信息流，在此過(guò)程中，防火墻盡可能對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)[6]。endprint

2.4 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)首先收集并分析計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)，進(jìn)而從中發(fā)現(xiàn)可能的違反安全策略的行為或被攻擊的跡象。完成入侵檢測(cè)操作的軟硬件組合即稱為入侵檢測(cè)系統(tǒng)。

作為防火墻技術(shù)的合理補(bǔ)充，入侵檢測(cè)技術(shù)有效地?cái)U(kuò)展了系統(tǒng)管理員的安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別、響應(yīng)等管理能力，并將所有的安全事件和審計(jì)事件的信息記錄在數(shù)據(jù)庫(kù)中，提供對(duì)這些信息的統(tǒng)計(jì)分析功能，從中整理出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)。綜上所述，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)不僅能夠及時(shí)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的漏洞或攻擊，還能夠針對(duì)這些安全事件提出相應(yīng)的安全解決方案[7]。

2.5 VPN技術(shù)

利用公共網(wǎng)絡(luò)實(shí)現(xiàn)的私有網(wǎng)絡(luò)稱為虛擬私有網(wǎng)VPN。VPN技術(shù)將原來(lái)在公共網(wǎng)絡(luò)中直接傳輸?shù)臄?shù)據(jù)轉(zhuǎn)變?yōu)樵诮⒑玫奶摂M安全通道中傳輸，從而解決了內(nèi)部網(wǎng)信息在公共網(wǎng)絡(luò)上傳輸?shù)陌踩珕?wèn)題。VPN技術(shù)能夠有效地節(jié)省私有網(wǎng)絡(luò)建設(shè)成本，并提供了遠(yuǎn)程訪問(wèn)功能，便于管理，能夠?qū)崿F(xiàn)全面控制，同時(shí)，系統(tǒng)擴(kuò)展性較強(qiáng)，將是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的主要趨勢(shì)[8]。

2.6 防病毒技術(shù)

一直以來(lái)，計(jì)算機(jī)病毒都是危害網(wǎng)絡(luò)信息系統(tǒng)安全的主要因素，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》將計(jì)算機(jī)病毒定義為“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。

計(jì)算機(jī)病毒常見的傳播途徑有三種：通過(guò)軟盤、U盤等移動(dòng)存儲(chǔ)介質(zhì)，通過(guò)光盤和通過(guò)網(wǎng)絡(luò)傳播。因此，對(duì)病毒的預(yù)防要從思想上重視，以預(yù)防為主，凡是從移動(dòng)存儲(chǔ)介質(zhì)往機(jī)器中復(fù)制信息時(shí)，都應(yīng)該先對(duì)它們進(jìn)行查毒，若有病毒必須清楚，這樣可以保證計(jì)算機(jī)病毒不被新的病毒傳染。另外，我們還應(yīng)在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過(guò)濾軟件，在桌面安裝病毒監(jiān)控軟件來(lái)阻止病毒的傳播。在日常使用中，要及時(shí)更新病毒庫(kù)，經(jīng)常對(duì)磁盤進(jìn)行檢查，若發(fā)現(xiàn)病毒就及時(shí)殺除。預(yù)防與殺除病毒也是一項(xiàng)長(zhǎng)期的工作任務(wù)，用戶應(yīng)時(shí)刻提高警惕，堅(jiān)持不懈做好計(jì)算機(jī)病毒的查殺工作[9]。

3 結(jié)語(yǔ)

我們應(yīng)該全面辯證地看待計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題：一方面，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)全球化的實(shí)現(xiàn)為互聯(lián)網(wǎng)用戶共享資源帶來(lái)了極大的便利，提高了用戶搜索信息的便利性和準(zhǔn)確性，有效地提高了人們的生活質(zhì)量；另一方面，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的全球性、開放性等特點(diǎn)同樣將其置于很多不安全的隱患中，任何惡意的攻擊都有可能導(dǎo)致大面積的網(wǎng)絡(luò)系統(tǒng)或信息受損。因此，網(wǎng)絡(luò)安全問(wèn)題是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域面臨的一項(xiàng)新的挑戰(zhàn)，并也將成為未來(lái)幾年該領(lǐng)域的重點(diǎn)研究方向之一。

參考文獻(xiàn)

[1]肖德琴，周權(quán)，周敏，潘春華，張明武.計(jì)算機(jī)網(wǎng)絡(luò)原理與應(yīng)用[R].國(guó)防工業(yè)出版社，2011（2）.

[2]金雷，謝立.南京大學(xué)，江蘇南京210093.網(wǎng)絡(luò)安全綜述[J].計(jì)算機(jī)工程與設(shè)計(jì)，2003，24（2）：19-22.DOI：10.3969/j.issn.1000-7024.2003.02.006.

[3]程莉，劉建毅，王樅.計(jì)算機(jī)網(wǎng)絡(luò)[R].科學(xué)出版社，2012，（4）.

[4]孫全尚，孫書雙.淺談數(shù)據(jù)加密技術(shù)[J].智能計(jì)算機(jī)與應(yīng)用，2007（6）：52-53.DOI：10.3969/j.issn.2095-2163.2007.06.032.

[5]李金晶.關(guān)于網(wǎng)絡(luò)安全中身份認(rèn)證技術(shù)的探討[J].科技進(jìn)步與對(duì)策，2002，19（8）：158-160.DOI：10.3969/j.issn.1001-7348.2002.08.064.

[6]宿潔，袁軍鵬.防火墻技術(shù)及其進(jìn)展[J].計(jì)算機(jī)工程與應(yīng)用，2004，40（9）：147-149.DOI：10.3321/j.issn：1002-8331.2004.09.048.

[7]王紅濤，何欣，劉惠文等.網(wǎng)絡(luò)入侵檢測(cè)概述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2002，（5）：13-16.DOI：10.3969/j.issn.1009-6833.2002.05.004.

[8]陳震.VPN技術(shù)及其應(yīng)用的研究[J].電腦知識(shí)與技術(shù)，2009，5（2）：798-799.DOI：10.3969/j.issn.1009-3044.2009.04.012.

[9]孫健，王韜，李東強(qiáng).病毒防護(hù)技術(shù)的研究[J].科學(xué)技術(shù)與工程，2005（21）：1648-1650.endprint