淺談計算機(jī)網(wǎng)絡(luò)安全技術(shù)

劉靚麗，張明揚(yáng)

1.沈陽理工大學(xué)信息科學(xué)與工程學(xué)院，遼寧 沈陽 110000

2.鞍山市第三中等職業(yè)技術(shù)專科學(xué)校，遼寧 鞍山 114000

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，特別是互聯(lián)網(wǎng)應(yīng)用變得日趨廣泛，隨之帶來了前所未有的信息量，網(wǎng)絡(luò)信息的安全性已受到信息社會的各個領(lǐng)域前所未有的高度重視。

計算機(jī)網(wǎng)絡(luò)安全從技術(shù)層面來說，主要是由防病毒、防火墻等多個安全組件構(gòu)成的，其中任意一個單一的組件都不能保證網(wǎng)絡(luò)信息的安全。目前被人們廣泛應(yīng)用的，相對完善的網(wǎng)絡(luò)安全技術(shù)有：數(shù)據(jù)加密技術(shù)、防火墻技術(shù)、PKI技術(shù)等，以下針對這幾項技術(shù)分別進(jìn)行比較與分析。

1 防火墻技術(shù)

防火墻就是一個由軟件設(shè)備和硬件設(shè)備組合在一起，連接著內(nèi)網(wǎng)和外網(wǎng)，專用網(wǎng)和公用網(wǎng)之間的保護(hù)屏障。

所謂防火墻技術(shù)，最開始是為了解決 Internet 網(wǎng)絡(luò)不安全因素而采用的一系列保護(hù)措施。換句話說，防火墻就是用于攔截外部的某些不安全因素，不允許外部未經(jīng)授權(quán)的網(wǎng)絡(luò)用戶擅自進(jìn)行訪問，有效保護(hù)網(wǎng)絡(luò)的安全性。當(dāng)一個網(wǎng)絡(luò)與Internet連接以后，對于這個系統(tǒng)的安全性，除了要考慮到計算機(jī)病毒、系統(tǒng)的穩(wěn)定性以外，更重要的是有效防止未經(jīng)授權(quán)的用戶的非法入侵，而當(dāng)前相對有效的攔截措施就是依靠防火墻技術(shù)來實現(xiàn)的。防火墻能夠極大限度地提高一個內(nèi)部網(wǎng)絡(luò)的安全性能，并且通過過濾不安全的服務(wù)這一手段來有效降低風(fēng)險性。通過以防火墻為中心的這種安全方案配置，可以將所有安全的軟件配置在防火墻上。進(jìn)而對網(wǎng)絡(luò)的訪問和存取進(jìn)行實時審核及監(jiān)控。當(dāng)所有對網(wǎng)絡(luò)的訪問都經(jīng)過防火墻時，防火墻將實時記錄下這些訪問并且做出當(dāng)時的日志記錄，與此同時也能提供對網(wǎng)絡(luò)使用情況的相關(guān)統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外防火墻還可以防止網(wǎng)絡(luò)內(nèi)部信息的泄露，主要方法就是利用防火墻對內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，從而實現(xiàn)內(nèi)網(wǎng)中重點網(wǎng)段的分離，并極大地降低了局部重點網(wǎng)段和一些敏感網(wǎng)絡(luò)的安全問題對整個網(wǎng)絡(luò)所造成的一些列影響。

2 數(shù)據(jù)加密技術(shù)

與防火墻相比，數(shù)據(jù)加密技術(shù)相對比較靈活，更符合網(wǎng)絡(luò)的開放性特點。數(shù)據(jù)加密的方法主要用在對動態(tài)信息的管理及保護(hù)上，從對動態(tài)數(shù)據(jù)的攻擊角度進(jìn)行分析，將其分為主動攻擊和被動攻擊兩種。對于主動攻擊，雖無法避免，但卻可以有效地進(jìn)行檢測；而對于被動攻擊，雖無法檢測，但是可以有效地避免，能夠?qū)崿F(xiàn)這一目的的基礎(chǔ)那就是數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)分為對稱加密和非對稱加密兩種。

2.1 對稱加密技術(shù)

這種加密技術(shù)采用的是單鑰密碼系統(tǒng)的加密方法，相同一個密鑰可以用于信息的加密，也可以用于信息的解密，因此這種加密的方法稱為對稱加密，或稱之為單密鑰加密。所謂密鑰其實就是一種算法，通信的發(fā)送一方使用該種算法對數(shù)據(jù)進(jìn)行加密，接收一方也用相同的算法對數(shù)據(jù)進(jìn)行解密。當(dāng)前，廣受大家使用的一種對稱加密方式就是數(shù)據(jù)加密標(biāo)準(zhǔn)DES，DES被銀行業(yè)中的電子資金轉(zhuǎn)賬（EFT）領(lǐng)域成功地應(yīng)用。

2.2 非對稱加密/公開密鑰加密

跟對稱加密技術(shù)有所不同，主要區(qū)別在于算法上的差異。非對稱加密的算法是需要兩個密鑰即公開密鑰和私有密鑰。公開密鑰與私有密鑰是密切聯(lián)系的一對，也就是說如果用公開密鑰對數(shù)據(jù)進(jìn)行了加密處理，那么只有用其對應(yīng)的私有密鑰才能將數(shù)據(jù)進(jìn)行解密；同樣道理如果是用私有密鑰對數(shù)據(jù)進(jìn)行了加密處理，那么只有用其對應(yīng)的公開密鑰才能將數(shù)據(jù)進(jìn)行解密。因為對數(shù)據(jù)加密和解密所使用的密鑰是不同的，因此把這種算法稱之為非對稱加密算法。

3 PKI技術(shù)

PKI（Publie Key Infrastucture）技術(shù)是一種由公開密鑰密碼技術(shù)、證書認(rèn)證中心、數(shù)字證書和關(guān)于公開密鑰的安全策略等等基本成分共同構(gòu)成，對密鑰和證書進(jìn)行管理的系統(tǒng)或平臺。網(wǎng)絡(luò)信息安全技術(shù)的核心內(nèi)容就是PKI技術(shù)，這項技術(shù)也是電子商務(wù)安全性的關(guān)鍵和基礎(chǔ)技術(shù)。因為通過網(wǎng)絡(luò)所進(jìn)行的電子商務(wù)、電子事務(wù)、電子政務(wù)等等一系列活動缺乏物理性的接觸，所以如何運(yùn)用電子方式進(jìn)行信任關(guān)系的驗證就變得尤為重要。PKI這一技術(shù)就恰好是非常適用于電子商務(wù)、電子事務(wù)、電子政務(wù)的一種密碼技術(shù)，這種技術(shù)能夠非常有效地解決電子商務(wù)應(yīng)用中存在的機(jī)密性、完整性、真實性、不可否認(rèn)性和存取控制等一系列的安全問題。一個具有實際意義的PKI系統(tǒng)應(yīng)該是安全的、容易使用的、靈活的并且是經(jīng)濟(jì)的，更重要的是，必須充分考慮到系統(tǒng)的相互操作性和可擴(kuò)展性。

PKI 的核心就是認(rèn)證機(jī)構(gòu)CA（Certification Authorty），CA就是負(fù)責(zé)管理PKI 結(jié)構(gòu)下所有的用戶（也包括各種應(yīng)用程序）的證書，CA把用戶的公鑰和用戶的其他相關(guān)信息捆綁在一起，通過網(wǎng)絡(luò)驗證用戶的身份，并且CA還要負(fù)責(zé)PKI結(jié)構(gòu)下用戶證書的黑名單的登記及發(fā)布。

用戶和CA是通過注冊機(jī)構(gòu)RA（Registration Authorty）進(jìn)行關(guān)聯(lián)的，RA所擁有的用戶標(biāo)識的確切性和完整性是CA頒發(fā)證書的依據(jù)。RA不僅能夠支持面對面的登記，而且還能支持遠(yuǎn)程登記。想要擁有一個安全的、靈活的PKI系統(tǒng)，就必須設(shè)計和實現(xiàn)與之匹配的、安全的、且易操作的RA系統(tǒng)。

為了進(jìn)一步保證數(shù)據(jù)的安全性，應(yīng)該按時更新密鑰，并恢復(fù)因為意外而損壞的密鑰，這一點是非常重要的。設(shè)計并實現(xiàn)一個健全的密鑰管理方案，保證對密鑰進(jìn)行安全的備份、更新和恢復(fù)，這也是關(guān)系到整個PKI系統(tǒng)的健全性、可用性、安全性的重要因素之一。

證書的管理與撤消，證書是用于捆綁證書持有者的身份和其相對應(yīng)的公鑰。一般情況，這種捆綁是在已經(jīng)頒發(fā)證書的整個生命周期中有效。當(dāng)然，有些時候也可能出現(xiàn)一個已頒發(fā)證書，但該證書是無效的這種情況，這時就需要對證書進(jìn)行撤消了。

4 結(jié)論

網(wǎng)絡(luò)安全是一個涵蓋性非常豐富的課題，它所涉及的方面包括技術(shù)、管理、使用等等，不僅包含了信息系統(tǒng)的自身安全性問題，也包含了物理和邏輯等方方面面的技術(shù)性問題。因此只有嚴(yán)謹(jǐn)?shù)谋Ｃ苷摺⒚鞔_的安全策略才能夠時刻保證信息的完整性，從而為網(wǎng)絡(luò)提供非常強(qiáng)大的安全服務(wù)。

[1]馮登國.網(wǎng)絡(luò)安全原理與技術(shù).科技出版社，2007，9.

[2]王宏偉.網(wǎng)絡(luò)安全威脅與對策.應(yīng)用技術(shù)，2006，5.