剖析計算機網絡信息安全技術探究

唐昶 貴州省機械電子產品質量監督檢驗院

剖析計算機網絡信息安全技術探究

唐昶 貴州省機械電子產品質量監督檢驗院

計算機網絡已經成為了人們的一種生活方式，因此加強對其安全研究非常必要。本文從計算機網絡安全方面最常用的信息加密技術與防火墻技術出發，分別從不同角度對這兩種技術進行闡釋，希望對相關研究和實務工作提供參考。

網絡安全 加密技術 防火墻

信息社會給全球帶來了千載難逢的發展機遇，使人們的思想觀念、生活生產方式發生了深刻改變，促進了人類社會和文明的進步，將人們帶入一個全新時代。然而由于計算機網絡多樣的連接形式、不均勻的終端分布以及開放性等特征，容易使網絡遭受黑客、惡意軟件等不軌攻擊，在這種情況下計算機網絡安全技術是一個重要問題，網絡安全措施必須是全方位的和有針對性的，這樣才能確保計算機網絡的保密性、完整性和可用性。

1 信息加密技術

1.1 概述

保障網絡信息安全的核心技術是加密技術，信息加密技術運用相應的加密算法，將明文轉化為密文，阻止原始數據被非法獲取。加密的過程即明文向密文轉化的過程，解密即相反的過程，密鑰即解密與加密過程中運用的可變參數。信息加密模型如圖1所示。

圖1 一般數據加密模型

1.2 對稱加密技術

對稱加密技術也被稱為私鑰加密技術，從解密秘鑰中推算出加密密鑰，反之亦然。美國IBM公司提出，國美國家標準局上世紀七十年代末公布的DES（Data Encryption）是一種迭代分組密碼。DES是所有算法中最經典的一種，盡管之后又出現了許多算法。

DES算法將明文輸入塊轉化為密文輸入塊（64位），所用密鑰也為64位，將輸入的數據塊重新排列組合，輸出分為兩部分（LO、RO），分別長為32位。DES算法安全性極佳，除了運用搜索法對其能夠進行攻擊之外，沒有更加有效的方法。計算機運行速度提高之后，對DES秘鑰長度可適當增加，使之保密性能更佳。然而，DES算法也存在明顯缺陷：首先傳輸過程中秘鑰的安全無法保障。其次，交易方所使用秘鑰不盡相同，X對交易方就需要X*（X-1）/2個秘鑰，管理難度很大。再次，DES算法對于信息數據的完整性不能有效鑒別。

1.3 非對稱加密技術

非對稱加密技術要求密碼成對出現，一個為Ke（加密秘鑰），另一個為Kd（解密秘鑰）。在非對稱加密技術中，密鑰被分解為公開和私有密鑰，其中任何一把均可以以非保密形式對外公開，另一把以解密密鑰的形式保存。非對稱加密技術最具代表性的是RSA算法。RSA密鑰的產生過程為：隨機選取一大一小素數x、y，x*y 結果為 m，Φ（n）=（x-1）（y-1），n（整數）選為公開密鑰，使n＜φ（m），且二者互為素數，求出秘鑰d，m．d=1mod φ(m),即 d=m[φ(φ(m))]求得 KU={m,e}，私有密鑰 KR={d，m}。

2 防火墻技術

2.1 概念

防火墻是一種控制系統，在兩個網絡之間執行控制工作，是一種建立在網絡邊界的監控手段，可以使軟件產品也可以是控制技術，同時也可嵌入相應硬件當中，軟件和硬件共同構成防火墻技術，防火墻在內網和外網間筑起安全防護屏障。

從理論上來說，防火墻的功能是分隔、限制和分析，實際上，它是加強內網安全防護的組系統，所有來自互聯網或者由互聯網發出的信息均要通過防火墻。由此起到了保護郵件發送、文件安全等作用。目前防火墻基本類型有：包過濾型（Packet Filter）防火墻、網絡地址轉化型（NAT）防火墻、應用層防火墻、代理服務型防火墻與監測型防火墻。防火墻體系結構由屏蔽路由器、雙穴主機網關、被屏蔽主機網關、被屏蔽子網。

2.2 防火墻功能

單個或者一組防火墻能夠作為阻塞點極大提高內網安全性，將不安全服務過濾清除出去使得網絡環境更加安全，因此防火墻是網絡安全的有效屏障，除此之外，防火墻還可以監控審計網絡存取和訪問，對網絡安全策略加以強化，以及防止內網信息數據的外泄。

防火墻除了上述安全防護作用還支持VPN，通過VPN將分布與世界各地的LAN有機聯系起來，節省了通信線路，在技術方面為信息數據共享提供了保障。

2.3 混合型防火墻技術

企業對外要和上級部門互聯互通，對內要進行高效管理和資源共享，在這個過程中大量數據信息通過互聯網傳送，如果網絡安全遇到問題，會造成巨大損失。常規防火墻不能有效應對這個問題，混合型防火墻應運而生，可以有針對性地解決問題。混合型防火墻組成結構如圖3所示。

圖3 混合型防火墻結構

混合型防火墻可進行過濾（級別不同），經過認證的互聯網主機和內部子網經過屏蔽子網的允許接入基站主機，阻塞調那些試圖繞過屏蔽子網的流量。通過安全通道和基站主機服務器，應用過濾程序可以進行雙向保密通信。通過保密通信，基站主機服務器可以修改過濾規則。混合型防火墻包括外部和內部防火墻、堡壘和基站主機、其他公用服務器。以下是實現混合型防火墻功能設計的配置文件：企業運用PIX系列連接到互聯網，ISP分配地址給企業（44．45．102．3-10），在非軍事區中放置 Web、Mail、AppServer等服務器，分配IP地址，使內網可以訪問非軍事區，將地址發布到互聯網，非軍事區網段：192．168．10．1/24(包含內部四個子網段)，VLAN地址為5/20/30/40，TELNET ID為192．168．20．16。

3 結束語

通過上述分析可以看出，混合型防火墻技術可以按照實際情況自動實現內外主機直接通信，可改變數據信息的過濾模式，智能設置過濾策略并且生成日記，可有效抵御來自各方威脅，保障網絡安全。由于我國在網絡信息安全方面尚處于初級階段，這種現狀就更需要我們積極探索、開發和研究，結合中國實際情況走出有中國特色的網絡安全防護道路，趕超世界先進水平，保障我國網絡信息安全，為社會經濟發展保駕護航。

[1]王磊.關于計算機網絡信息安全及防護策略探究[J].電腦知識與技術,2014,05:20-25+10

[2]張海,張炎.計算機網絡與信息安全系統的建立與技術探究[J].煤炭技術,2014,03:123-128

[3]孟雪琪.關于計算機網絡與信息安全系統的建立與技術探究[J].網絡安全技術與應用,2011,02:109-113