網絡安全技術與防范

杜 濤

（晉中學院遠程教育學院 山西 030600 )

0 引言

隨著科技的發展，計算機技術逐漸影響人們生活與工作，但是各種網絡安全問題的出現直接危害國家和社會，所以如何在計算機網絡中，采用合適的措施及技術對網絡進行安全防范尤為重要。

1 網絡安全定義及特征

網絡安全的定義有很多種，歸納是為了保障系統安全和信息安全，通過各種安全技術和防范措施，使得信息暢通的前提下，不被任意的篡改、破壞，確保數據在網絡中傳輸、交換、存儲的完整性、可靠性和保密性等。網絡安全一般有下面一些特征：（1）保密性，即防護信息不被非授權地泄露和利用；（2）完整性，即確保信息不可修改、丟失等；（3）可靠性，即利用密碼技術實現信息的真實性、可信可靠性；（4）可控性，即利用防火墻等技術控制信息的傳輸方式及內容。

2 強化網絡安全防范技術

2.1 密碼技術

密碼技術通過身份驗證、個性簽名、系統加密、密鑰管理等現代密碼技術實現網絡數據信息在傳輸、處理中的數據完整性、數據機密性。密碼技術的理論基礎是密碼學，其包括密碼編碼學（研究實現對信息編碼）和密碼分析學（研究破譯加密或偽碼信息），這兩種技術相輔相成，缺一不可。密碼系統包含算法（加碼算法E和解碼算法D）和明文空間（P）、密文空間（C）和密鑰空間（K)。如圖1，我們先給出密碼系統的Shannon模型，圖中明文P表示沒有加密的信息集，密鑰K表示所有可能密鑰集，發送者A為信源，接收者B為信宿。密碼技術把明文變成密文進行信息的保護，如果密碼被非法破譯，竊聽者就會竊取網絡傳輸的信息，說明實施的密碼技術失敗。

圖1 密碼系統的Shannon模型

在實際信息網絡中，適當地使用密碼技術實現主動防范措施，來提高通信中信息的安全性。

2.2 認證技術

認證技術是網絡信息安全通信的重要技術，其目的是保證信息發送者及其發送信息的真實性，并驗證信息的完整性和可靠性。該實現認證技術主要有下面六種方式。

（1）數字信封。數字信封是指具有處理的加密密碼，而數字信封實現功能是有權閱讀的接收者才能接收網絡中傳輸的信息。采用上述的密碼技術對網絡中傳輸的信息進行加密，接收者持有特殊的解密數字信封，得到對的密碼，從能獲取完整正確的信息。

（2）數字摘要。數字摘要是把明文摘要通過單向散列函數加密成密文。通過驗證摘要確保網絡通信傳輸信息保密準確。

（3）數字簽名。數字簽名采用數字摘要（形成128bit散列值）和密鑰技術。發送信息者把報文及加密數字簽名的附件一起發送給接收者，如果接收者能用公開密鑰對數字簽名解碼，信息就可完整傳輸給接收者。通過數字簽名鑒別接收者的身份，進而保證傳輸信息文件的完整性和不可抵賴性。

（4）數字證書。該技術結合數字信封、數字簽名等技術，在網絡交往中用于安全信息確認。中心簽發機構把經授予的數字簽名包含的公開密鑰文件和該文件擁有者信息綁定，有效地驗證使用給定密碼的權利。在保證網絡安全技術中，數字證書應用廣泛。

（5）智能卡。智能卡是身份驗證的首選技術。智能卡不僅可以讀寫數據、存儲數據，而且可以對數據信息進行數字信封、數字簽名、對簽名鑒證等處理措施。利用智能卡技術，網絡通信中信息的安全又得到一層保護。

（6）生物識別。利用人體各個特有的生物特征進行識別，如人眼、指紋、聲音、臉廓等。該技術結合計算機技術、聲學、光學、生物傳感及統計數等技術，可實現實時、在線對網絡安全保護。

2.3 防火墻技術

防火墻建立在內網和外網之間的安全防范設備，主要防止非法網絡的入侵，對保護網絡提供唯一的數據通道，本身具有抗攻擊性，加強網絡訪問安全限制。防火墻主要功能為提高網絡安全性、強化網絡安全策略、監控和統計內部存取和訪問信息、防止內部信息泄露[1]。

防火墻技術根據原理及工作模式，可分為多種，一般總結為下面四種。

（1）包過濾防火墻技術。數據包過濾是通過事先規定好的過濾規則，把接收到的數據進行判斷是否轉發，來確定是允許包還是堵塞包。該技術應用在網絡層和傳輸層，不能改變數據包，只是對數據包進行過濾處理，而對于應用層的侵犯就無法阻止。數據包過濾流程是包檢查模塊以分析報頭字段IP、TCP和UDP驗證包過濾規則，如符合包過濾規則就轉發數據包，不符合就應用下一個規則，來判斷包是否被允許轉發，若是就成允許包，若否就接著判斷包是否被阻塞，若是就是阻塞包，若否就判斷是否是最后規則，若是就成為阻塞包，若否就重新判斷規則。

（2）代理防火墻技術。使用在應用層中，安全性比上述包過濾技術高。由代理服務軟件對網絡中請求進行安全檢證，如果滿足就分配到具體服務中。代理防火墻應用在因特網和用戶之間，直接對數據流進行安全檢驗。代理技術具有很高的靈活性，可以在中轉過程中，對用戶的行為進行安全判定，決定是否中轉。代理技術安全性較高，可對應用層進行安全掃描和監控。

（3）狀態監測防火墻技術。該技術只對幾個IP等參數進行檢查，并制作狀態表，與規則表進行配合，跟蹤激活的連接點，實時監測連接點會話的狀態，對傳輸信息時端口能準確的判斷狀態是否打開，及檢測通信信息的狀態。

（4）智能防火墻技術。該技術是新一代防火墻技術，具有傳統防火墻所有的優點，也增強了一些防范攻擊的新技術，如防攻擊技術、防掃描技術、防欺騙技術、入侵防御技術、包擦洗和協議正常化技術和AAA技術。

2.4 入侵檢測技術

為了彌補防火墻技術的不足，入侵檢測技術能迅速發現攻擊并幫助提高管理員的安全管理能力。國家標準中《信息技術安全性評估準則》有對入侵檢測系統的描述。即“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖。[2]”

入侵檢測技術主要功能有監視、分析用戶及系統活動，系統構造和弱點的審計，識別反映已知進攻的活動模式并向網絡管理員報警，異常行為模式的統計分析，評估重要系統和數據文件的完整性，操作系統的審計跟蹤管理。

入侵檢測技術包括異常入侵檢測技術和誤用入侵檢測技術。異常入侵檢測技術首先建立系統正常的行為模型，其次對運行的行為與預定的正常行為比較，來判斷該行為是否是異常入侵行為。誤用入侵檢測技術首先對系統非法行為進行攻擊簽名（表示特有的攻擊模式），之后通過判斷攻擊簽名來決定是否是入侵行為。

3 結語

安全是網絡賴以生存的前提，所以網絡安全問題成為亟需解決的難題，需要建立完善的網絡安全防范體系，才能保證網絡通信中信息不被惡意篡改、攻擊甚至泄露。除了本文介紹的技術，還有入侵檢測系統與防火墻的聯動技術、病毒漏洞掃描技術、訪問控制技術等都可提高網絡安全防范技術水平，進而有效地保障網絡安全。

[1]劉立鋒.信息化環境下計算機網絡安全技術與防范措施研究[J].科技資訊,2012(1):20.

[2]國標GB/T 18336《信息技術 安全技術 信息技術安全性評估準則》2008.