計算機網絡安全體系結構研究

直 敏

（盤錦職業技術學院 信息系，遼寧 盤錦 124000）

0 引 言

自從上世紀60年代末互聯網誕生至今，計算機網絡的發展速度飛快，幾乎超出了人類的想象。計算機網絡在人類生活中的應用越來越廣泛，全球不計其數的交友、購物等網站掌握著億萬用戶的個人信息，近年來發生的諸如“3Q”大戰、安卓APP木馬軟件等，近日更爆出好萊塢艷照門事件，令每個網絡用戶都憂心忡忡，擔心自己的個人信息或隱私被竊。如今人類生活已經離不開網絡，面對如此現狀，計算機網絡安全問題亟待解決。

1 計算機網絡安全體系結構的設計

中國互聯網網絡安全報告顯示，去年國家互聯網應急中心（CNCERT）共接收境內網絡安全事件報告30 684起，較2012年增長71.2%［1］。其中感染病毒的比例為83.6%，病毒新增301萬個。應對的手段主要包括有網絡防火墻技術、信息加密技術、身份認證技術等［2］。但只有建立一個系統完整的防范體系，才能有效地維護計算機網絡安全。

1.1 網絡防火墻技術設計

防火墻技術是目前最為普遍也最為經濟的網絡安全技術，所謂防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障［3］。網絡防火墻是保障網絡安全網的第一道“城墻”，創建一個網絡，首先就是要安裝并開啟防火墻，網絡防火墻基于源地址和目的地址、應用、協議以及每個IP包的端口來判斷是否通過該包，它可以檢查每一條規則直至發現包中的信息與某規則相符，否則就會使用默認規則要求丟棄該包。其次，通過定義基于TCP或UDP數據包的端口號，網絡防火墻能夠判斷是否允許建立特定的連接，如Telnet，FTP連接。內外網的所有連接都必須經過網絡防火墻，實現了內外網的訪問控制和隔離，對內部網絡進行監控，對可疑入侵動作進行分析、阻止和記錄，保護了內部網的安全［4］。防火墻工作原理如圖1所示。

圖1 防火墻工作原理

但是網絡防火墻并不是一夫當關，第一，不管各種防火墻開發者如何吹噓，網絡防火墻不能防病毒；第二，支持實時服務請求要求數據在網絡防火墻之間的更新不能延遲過大；第三，網絡防火墻采用的濾波技術通常使網絡的性能降低52%以上，一般高速路由器的價格并不經濟。

1.2 信息加密技術設計

圖2 Diffe－Hellman公開密鑰密碼算法過程

作為網絡安全的另一個重要技術，信息加密技術是利用數學或物理手段，對電子信息在傳輸過程中和存儲體內進行保護，以防止泄漏的技術。通過密碼算術對數據進行轉化，使其變成沒有正確密鑰就無法讀懂的報文。密鑰是指含有用來以數學方式轉換報文的雙重密碼。目前，轉換算法標準已經有200多種，世界上最流行的幾種加密體制和加密算法有：RSA算法、CCEP算法、DES算法等。主要分為私鑰加密算法和公鑰加密算法，如圖2所示。

RSA算法是第一個能同時用于加密和數字簽名的算法，也易于理解和操作。RSA是被研究的最廣泛的公鑰算法，RSA密鑰長度隨著保密級別提高，增加很快。對同一安全級別所對應的密鑰長度，見表1。

表1 RSA算法安全級別密鑰長度對照表

DES算法是比較高對稱加密系統，有效密鑰長度只有56位，加密速度快是它的特色，但是就安全程度而言，已經不能滿足現代計算機的要求，而RSA算法經歷了各種攻擊的考驗，被認為是目前最優秀的公鑰方案之一。

密碼技術從古沿用至今，經歷了幾千年的變化，曾在戰爭年代保護軍方信息，如今在和平年代同樣保護著我們的生活。在計算機網絡中采用密碼技術對傳輸和儲存的數據進行加密，即使路由器、交換機等被未被授權的用戶入侵，傳輸的數據被截獲或者儲存的數據被木馬侵蝕，由于用加密算法進行了轉換，竊取者無法得到正確的密鑰，從而得知數據內容的可能性微乎其微。但是任何密碼都有被破譯的一天，這也是密碼加密技術不斷發展的動力，光靠信息加密技術保護計算機網絡安全是不能長久有效的，加密算法在不斷地創新，科技技術也在不斷發展，在此消彼長的進程中，我們要創造出比加密算法更為可靠的計算機網絡安全的保護措施［5］。

1.3 身份認證技術

計算機網絡中用戶的身份信息都是用特定的數據來表示，計算機只能識別這組數據。身份認證技術保證了以數字身份進行操作的操作者的物理身份與數字身份相對應，作為防護網絡資產的第一道關口，身份認證有著舉足輕重的作用。常見的認證方式有靜態密碼、IC卡、短信密碼、動態口令等。應用最多的當屬靜態密碼，各大網站和各類客戶端大多采取用戶名和靜態密碼來進行身份認證，這種身份認證方式保密程度較低，多是在固定終端時使用。IC卡和短信密碼較之靜態密碼又多了一層保護，不僅要對靜態密碼進行識別，更要對固定介質進行身份認證，但是仍然不能避免被截取的可能。而動態口令具有隨機性、一次性、動態性等特點，較之前幾種認證方式更為優越，動態口令往往每60s變化一次，過期失效，即使被監聽也往往因為時效性而保證了數據安全。但是該密碼這么短的時間里也同樣存在風險，現在已有基于事件同步的雙向認證動態口令牌，以用戶動作觸發的同步原則，做到了一個密碼只用一次，把每個用過的密碼寫入日記，并且由于是雙向認證，服務器客戶端相互驗證，從而杜絕被木馬竊取密碼的可能［6］。動態口令身份認證的方式如圖3所示。

目前87%以上的世界500強企業都使用動態口令身份認證方式來保護登錄安全，其被廣泛應用在網上銀行、電子政務、電子商務等領域。

2 計算機網絡安全體系結構的實現

通過全面了解計算機網絡，整個網絡措施應按系統體系建立。具體由物理安全、網絡安全、信息安全等組成安全控制系統。

首先，網絡防火墻實現了內外網的隔離及訪問控制。防火墻設置在內部網與外部網之間，有效地保護內部網安全，也是最經濟的措施，它也是不同網絡之間唯一的信息出入口［7］。網絡防火墻主要的種類是包過濾型，能根據用戶的安全政策來控制出入網絡的信息流，起到允許、拒絕、監測的關鍵作用，同時可實現網絡地址轉換與實時告警等功能。由于網絡防火墻安裝內部網絡與外部路由器之間的通道上，也起到隔離內部網絡與外部網絡的作用。在不同的內部網絡之間，防火墻也起到隔離保護的作用。通過在交換機上劃分虛擬局域網，可以將整個網絡劃分為幾個不同的廣播域，實現內部不同網段的物理隔離，能有效防止一個網段的錯誤或者危險傳播整個網絡［8］。有時，一個局域網的某個網段比另一個網段更受信任或者更敏感，將信任網段或者敏感網段與不信任網段或者不敏感網段劃分在不同虛擬局域網段內，可以有效阻止局部網絡安全問題影響全局網絡，造成嚴重后果。

圖3 動態口令身份認證過程

其次，對數據信息安全的保護至關重要。隨著計算機網絡的應用越來越廣泛，用戶在網絡上存儲、傳輸的數據信息也越來越多，甚至商業機密、企業內部資料、個人隱私都在網絡云端存儲，通過內部網絡或者個人組建的局域網進行傳輸。通過加密技術對數據進行加密，用加密算法將重要的數據進行轉換，即使數據在傳輸中被木馬截取，沒有正確的密鑰，也無法知悉其數據中真實的內容。同樣，被存儲在終端或者云端的數據也有可能在防火墻被木馬攻破的時候被黑客竊取，只要之前對其進行了加密轉換，黑客所竊取的也只不過是一串數據而已。

最后，在用戶管理方面，每一個用戶都匹配一個唯一的用戶名和密碼。對于內部網絡而言，每一個用戶都有自己不同的身份，并在操作數據時要求進行身份認證或者授權。當登錄到外部網絡時，對存儲有用戶信息的重要文件都要進行嚴格的身份認證和授權限制，確保了用戶身份的真實性和合法性及訪問權限的控制。因此，當用戶到網站管理員處申請身份口令時，建議用戶使用復雜不易被猜測出的口令、密碼，并且為了加強信息保護的安全性，可以使用比靜態密碼更有力的身份認證方式，如USB KEY、動態口令等認證方式［2］。幾種認證方式的結合，改良了密碼的靜態性、固定性、重復性等缺點，有效地防止了用戶口令、密碼被木馬竊取，使存儲在外部網絡的數據的安全性得到保障。這種組合認證已經被廣泛應用，網上銀行、支付寶等都提示用戶使用這種更高級的身份認證方式，以保護用戶的財產利益。

3 結 語

隨著計算機技術的不斷發展和網絡應用的演變，計算機網絡在人類生活中的作用不可估量，伴隨的網絡安全問題也日漸增多，危害網絡安全的犯罪行為已經大量出現，因此，我們要重視網絡安全問題并采取積極有效的應對措施，要從現在網絡實際情況出發，構建一個完整的網絡安全防御系統，內外結合、相互協調、相互制約，采用合作的方式但是又發揮各自的優勢，取長補短，經濟、有效、穩定地保護計算機網絡的安全。

［1］ 趙中營，徐佩鋒.網絡安全技術及缺陷［J］.計算機光盤軟件與應用，2013（17）：20－22.

［2］ 潘泓宇.計算機網絡安全方案的設計與實現［J］.硅谷，2011（11）：80－81.

［3］ 劉斌.計算機網絡安全方案的設計與實現［J］.淮北職業技術學院學報，2011（3）：123－124.

［4］ 仇宇.Internet網絡安全與防火墻技術的探討［J］.綿陽師范學院學報，2004（5）：28－30.

［5］ 李學勇，屠全良.網絡安全的現狀及發展趨勢［J］.太原大學學報，2005，4（2）：35－36.

［6］ 應合理.計算機網絡安全綜述［J］.西北建筑工程學院學報，2002，19（3）：56－58.

［7］ 王秋華，章堅武，駱懿.網絡安全體系結構的設計與實現［J］.杭州電子科技大學學報，2005（10）：43－44.

［8］ 劉棣華，黃春梅，楊子一，等.網絡安全與入侵檢測［J］.長春工業大學學報：自然科學版，2002，23（S0）：24－25.