淺談網絡安全技術

隨著計算機網絡技術的發展和普及， 尤其是互聯網的應用變得越來越廣泛，網絡安全問題也越來越受到重視，它直接關系到國家安全、企業經營和人們的日常生活。在帶來了前所未有的海量信息的同時，網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性，網絡信息的安全性變得日益重要起來，已被信息社會的各個領域所重視。

計算機網絡安全從技術上來說，主要由防病毒、防火墻等多個安全組件組成，一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有：防火墻技術、加密及數字簽名技術、PKI技術等，以下就此幾項技術分別進行分析。

一、防火墻技術

防火墻是指一個由軟件或和硬件設備組合而成，處于企業或網絡群體計算機與外界通道之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障，配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之后，系統的安全除了考慮計算機病毒、系統的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。

二、加密及數字簽名技術

加密技術的出現為全球電子商務提供了保證，從而使基于Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。

不對稱加密，即“公開密鑰密碼體制，其中加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道，分別稱為“公開密鑰”和“秘密密鑰”。

目前，廣為采用的一種對稱加密方式是數據加密標準（DES），DES對64位二進制數據加密，產生64位密文數據，實際密鑰長度為56位（有8位用于奇偶校驗，解密時的過程和加密時相似，但密鑰的順序正好相反），這個標準由美國國家安全局和國家標準與技術局來管理。DES的成功應用是在銀行業中的電子資金轉賬（EFT）領域中。現在DES也可由硬件實現，ATT首先用LSI芯片實現了DES的全部工作模式，該產品稱為數據加密處理機DEP。另一個系統是國際數據加密算法（IDEA），它比DES的加密性好，而且計算機功能也不需要那么強。在未來，它的應用將被推廣到各個領域。IDEA加密標準由PGP（Pretty Good Privacy）系統使用，PGP是一種可以為普通電子郵件用戶提供加密、解密方案的安全系統。在PGP系統中，使用IDEA（分組長度128bit）、RSA（用于數字簽名、密鑰管理）、MD5（用于數據壓縮）算法，它不但可以對你的郵件保密以防止非授權者閱讀，還能對你的郵件加以數字簽名從而使收信人確信郵件是由你發出。

在電腦網絡系統中使用的數字簽名技術將是未來最通用的個人安全防范技術，其中采用公開密鑰算法的數字簽名會進一步受到網絡建設者的青睞。這種數字簽名的實現過程非常簡單：首先，發送者用其秘密密鑰對郵件進行加密，建立了一個“數字簽名”，然后通過公開的通信途徑將簽名和郵件一起發給接收者，接收者在收到郵件后使用發送者的另一個密匙——公開密鑰對簽名進行解密，如果計算的結果相同他就通過了驗證。數字簽名能夠實現對原始郵件不可抵賴性的鑒別。另外，多種類型的專用數字簽名方案也將在電子貨幣、電子商業和其他的網絡安全通信中得到應用。

三、PKI技術

PKI（Public Key Infrastructure，公開密鑰基礎設施）是一種遵循既定標準的密鑰管理平臺，它是通過使用公開密鑰技術和數字證書來確保系統信息安全并負責驗證數字證書持有者身份。例如，某企業可以建立公鑰基礎設施（PKI）體系來控制對其計算機網絡的訪問。在將來，企業還可以通過公鑰基礎設施（PKI）系統來完成對進入企業大門和建筑物的提貨系統的訪問控制。

PKI讓個人或企業安全地從事其商業行為。企業員工可以在互聯網上安全地發送電子郵件而不必擔心其發送的信息被非法的第三方（競爭對手等）截獲。企業可以建立其內部Web站點，只對其信任的客戶發送信息。

PKI采用各參與方都信任一個同一CA（認證中心），由該CA來核對和驗證各參與方身份的身份這種信任機制。例如，許多個人和企業都信任合法的駕駛證或護照。這是因為他們都信任頒發這些證件的同一機構——政府，因而他們也就信任這些證件。然而，一個學生的學生證只能被核發此證的學校來進行驗證。數字證書也一樣。

在一個典型、完整和有效的PKI系統中，除證書的創建和發布，特別是證書的撤銷，一個可用的PKI產品還必須提供相應的密鑰管理服務，包括密鑰的備份、恢復和更新等。沒有一個好的密鑰管理系統，將極大影響一個PKI系統的規模、可伸縮性和在協同網絡中的運行成本。在一個企業中，PKI系統必須有能力為一個用戶管理多對密鑰和證書；能夠提供安全策略編輯和管理工具，如密鑰周期和密鑰用途。 PKI發展的一個重要方面就是標準化問題，它也是建立互操作性的基礎。目前，PKI標準化主要有兩個方面：一是RSA公司的公鑰加密標準PKCS（Public Key Cryptography Standards），它定義了許多基本PKI部件，包括數字簽名和證書請求格式等；二是由Internet工程任務組IETF（Internet Engineering Task Force）和PKI工作組PKIX（Public Key Infrastructure Working Group）所定義的一組具有互操作性的公鑰基礎設施協議。在今后很長的一段時間內，PKCS和PKIX將會并存，大部分的PKI產品將保持兼容性，這兩種標準都會得到支持。

四、結束語

網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性，為網絡提供強大的安全服務。

參考文獻

[1]王宏偉。《網絡安全威脅與對策》，應用技術，2006（5）。

[2]馮登國。《網絡安全原理與技術》，科技出版社，2007（9）。

[3]李明柱。《網絡安全》，上海交通大學出版社。

（作者單位：河南省理工學校 ）