基于加密技術的計算機網絡安全結構設計

李仁樂

（山西廣播電視大學長治分校 山西省長治市 046000）

當今社會，計算機網絡得到了高速的發展。可以說，人們的生活幾乎離不開計算機網絡，但是網絡安全也備受人們的重視。在網絡數據傳輸的過程中，要保證數據傳輸的安全性，就要使用信息加密技術，防止信息被獲取和修改。計算機網絡安全結構的建設是關系網絡安全的重要環節，設計好的計算機安全結構能夠保證網絡安全功能的完整性，降低安全管理的開銷，增強網絡安全的功能。計算機網絡具有較高的便利性，利用網絡可以使我們隨時隨地辦公和交換信息。但是，計算機網絡也會受到騷擾和攻擊，影響到信息的正常傳輸，使得網絡安全得不到保證，降低了信息可信度。以此，創建計算機網絡安全結構具有重要意義。

1 計算機網絡安全概述

計算機網絡由兩部分組成通信網絡和信息資源，信息資源在通信網絡中可以傳遞，實現信息的共享和使用。通信網絡如同現實生活中的高速公路。但是二者在傳遞內容和形式上有著不同，另外傳輸速度上后者無法與前者相比。

計算機網絡受到的威脅可以分為人為因素和非人為因素兩種。非人為因素的威脅指的是在非人為破壞的情況下，硬件設備和軟件出現問題，導致信息無法正確保存和傳輸。比如由于地震、火山爆發、雷暴等自然天氣造成的網絡故障或信息傳輸失敗，還有意外斷電導致的信息傳輸的丟失等。人為因素的威脅指的人為對網絡的破壞，導致的各種網絡安全問題。比如計算機病毒和木馬的攻擊，和數據的非法泄露、截取、更改等。

針對計算機網絡受到的威脅，計算機網絡安全可以分為實體安全和信息安全兩個方面。實體安全指的是計算機網絡中的硬件設備、操作系統及軟件的安全。信息安全指的是計算機通信網絡中信息的存儲和傳遞的安全[1]。

2 常用的加密技術

信息加密是網絡安全的一項重要技術，信息加密技術是通過算法保護信息傳輸與存儲數據不被泄露和更改的技術。利用加密算法把數據轉換成另外的形式，如果沒有密鑰就無法解讀報文。密鑰是加密和解密算法在加密和解密數據時的重要參數。目前已經有兩百多種轉換算法標準，如IDEA 算法、RSA 算法與DES 算法等，它們主要分為對稱和非對稱密鑰系統兩類。對稱密鑰系統的加密和解密密鑰是相同，發送方和接收方要把密鑰保存好，一旦泄露，信息安全就得不到保障。非對稱密鑰系統的加密密鑰和解密密鑰是不同的，加密密鑰是公開的，無需保密，而解密密鑰是私有的，不能公開，需保密，一旦泄露，信息安全就得不到保障。

圖1：防火墻的工作原理

圖2：CA 認證模型示意圖

DES 算法為高對稱加密系統，有效密鑰長度為56 位，其具有較快的加密速度。但是其安全性已經無法滿足實際需求。RSA 算法是能夠同時實現加密與數字簽名的算法，方便操作與理解。RSA 算法是目前使用最為廣泛的非對稱密鑰算法。

將密鑰加密技術應用到數據傳輸和存儲中，即便是被黑客入侵，也不易被竊取者得到正確密鑰，有效保證數據內容的安全。但是密碼總是會被破譯，此也是密碼加密技術發展的動力。隨著科學技術持續發展，在此過程中要創造更加可靠的加密算法，才能夠提高計算機網絡的安全性[2]。

3 基于加密技術的計算機網絡安全結構設計

3.1 網絡防火墻的設計

防火墻為目前使用最經濟、普遍的網絡安全技術。它是由硬件設備和軟件構成，在內外部網、公用網、專用網中創建的保護屏障。網絡防火墻是對網絡安全保證的第一道城墻，實現網絡的安全就要安裝并開啟防火墻，網絡防火墻將目的地址、源地址、協議、應用和IP 包端口作為基礎對數據包是否通過進行判斷，還能夠對每條規則是否相符進行檢查，與規則不符，就利用默認規則丟棄此包。基于UDP 與TCP 數據包端口號，網絡防火墻對是否允許創建指定連接進行判斷，比如Telnet 連接。內外網之間的訪問都要需經過網絡防火墻，進行訪問控制，進而保證內部網的安全性[3]。圖1 為防火墻的工作原理。

防火墻也不是萬能的，它不能阻止來自網絡外部所有的威脅，而且也不能阻止內部網絡用戶對自身網絡的攻擊。它也不能防范大多數的病毒[4]。

3.2 認證申請模塊的設計

PKI 公鑰基礎設施，它是一種利用公鑰密碼加密技術為基礎的網絡安全平臺。核心部件CA 認證機構，主要功能是負責電子證書的申請、發放及認證等工作，使得網絡中的用戶在傳遞數據時，都有自己的數字證書，保證數據來源身份的真實性。PKI 主要利用公鑰加密技術和數字證書等技術。CA 認證機構為每位經過身份確認的申請者分發數字證書，數字證書的內容包括認證機構的信息、用戶的信息、分配的公鑰、數字簽名及有效期等。發送者在發送信息時，要將加密的信息和數字簽名捆綁在一起，發給接受者。接受者通過信息中的數字簽名來，來驗名發送者身份的真偽[5]。圖2 為CA 認證模型示意圖。

3.3 網絡安全服務的建設

通過研究單位內部網和互聯網的安全域表示，目前單位內部網絡指的是具備業務性質與辦公的網絡，假如不限制網絡行為，就會嚴重威脅到內部重要生產業務系統。網絡安全域的建設重點是為內網和互聯網區提供安全防護。內部網的網絡安全除了應用防火墻技術、信息加密技術和認證技術外，網絡安全還要從以下三個方面進行：

（1）內部網區的建設；

（2）安全防護支撐區的設置；

（3）網絡安全制度的制定[6]。

3.3.1 內部網區的建設

在計算機的內網中，主要承擔著單位生產和辦公等業務。在內網中，每一位用戶都要做好安全認證。只有進過身份認證，才能夠進行下一步。內網中的服務器、客戶端和其他設備等，都需要用戶的身份認證。通過了身份認證，接下來面對的是權限分配的問題，這就需要引進訪問控制技術，來決定誰能使用那種資源，誰進入那個系統，同時在使用資源時，擁有那種權限。不同級別的用戶，擁有不同的權限。這些權限比如有讀取數據、修改數據、上傳、下載等。這樣會使信息資源得到合理合法的使用[7]。

還會使用到入侵檢測技術，它通過對網絡和計算機中的重要信息進行訪問，并進行分析，來判斷是否遭到入侵。訪問的這些信息包括日志文件、流量、文件和程序的違規操作等。一旦發現入侵，能夠發出報警信號。

在內網中，日志也是保障計算機安全的重要措施，它可以把計算機的登陸信息及操作信息以文件的形式記錄下來，為以后的查詢提供方便。這個文件與一般文件不同的是，該文件是由系統來管理的，一般的用戶不能修改[8]。

3.3.2 安全防護支撐區的設置

實現安全防護支撐區的設置，在此區域放置安全技術防護設備，比如防病毒系統、準入控制設備、IDS 設備、桌面安全系統等。在此區域還可以實現一些安全防護支撐系統相應技術設備，比如漏掃系統，能夠及時的發現系統與設備中的安全風險，及時使信息系統隱患打上補丁；堡壘機，能夠實時監控內網絡中所有節點的狀態和活動軌跡，以便報警和實時處理；日志審計，實現網內設備的日志分析、收集，從而使信息安全人員通過綜合日志審計平臺掌握網絡整體的安全狀態[9]。

3.3.3 網絡安全制度的制定

網絡安全的具體操作者是人，因此要從人的角度去考慮，建立完善的網絡安全管理制度。安全制度是內網安全保障的重要環節。它的主要內容應該包括網絡中各個崗位的職責劃分，每個崗位的實施步驟和注意事項。另外還要提出有效的應急預案，在出現安全問題時，做到有章可循。同時要建立網絡安全知識培訓機制，切實提高全體人員的網絡安全知識和防范意識。操作者規范了，網絡才會更安全[10]。

4 結束語

在計算機技術不斷發展的過程中，計算機網絡在人類生活中的作用也不斷提高，網絡安全問題也不斷的增加，對網絡安全造成危害的犯罪行為也逐漸出現。所以，就要重視網絡安全問題，并且使用積極有效的應對策略，基于實際網絡情況，創建完整網絡防御系統，相互協調，充分發揮各自的優勢，對計算機網絡安全進行保護。以此，本文分析了計算機網絡安全原理，提出了基于加密技術的計算機網絡安全結構設計。