[摘要] 隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全日顯重要，本文從網(wǎng)絡(luò)不安全因素入手，探討了網(wǎng)絡(luò)安全防范理論技術(shù)、主流網(wǎng)絡(luò)常用安全防范技術(shù)、專用網(wǎng)絡(luò)常用安全防范技術(shù)及目前廣泛應用的網(wǎng)絡(luò)安全系統(tǒng)等。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全協(xié)議防范技術(shù)

隨著計算機網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。近幾年來，互聯(lián)網(wǎng)漸漸走進了老百姓的生活，人們的生活已離不開網(wǎng)絡(luò)；同時網(wǎng)絡(luò)給政府機構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌等的攻擊，所以網(wǎng)絡(luò)信息的安全和保密是一個至關(guān)重要的問題。為了確保信息的安全與暢通，研究計算機網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文結(jié)合實際工作經(jīng)驗，談談網(wǎng)絡(luò)安全防范技術(shù)。

一、網(wǎng)絡(luò)的不安全因素

現(xiàn)今的網(wǎng)絡(luò)，存在不少的不安全因素，主要有：

1.網(wǎng)絡(luò)協(xié)議的弱點。TCP/IP協(xié)議是如今最流行的網(wǎng)絡(luò)協(xié)議，它最初是在封閉的環(huán)境下使用，并且它的用戶都是可靠的科研工作者，因而它的設(shè)計本身并沒有較多地考慮安全方面的需求，導致TCP/IP協(xié)議存在各種弱點，這些弱點帶來許多直接的安全威脅。

2.網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和服務得以實現(xiàn)的最終載體之一，它不僅負責網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務的程序?qū)崿F(xiàn)。一般情況，操作系統(tǒng)規(guī)模都很大，其中的網(wǎng)絡(luò)協(xié)議實現(xiàn)尤其復雜，這點已經(jīng)決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞，而某些商用操作系統(tǒng)的源代碼封閉性更是加劇了這一現(xiàn)象，從而成為網(wǎng)絡(luò)所面臨的重要安全威脅之一。

3.應用系統(tǒng)設(shè)計的漏洞。與操作系統(tǒng)情況類似，應用程序的設(shè)計過程中也會帶來很多由于人的局限性所導致的缺陷或漏洞。軟件和硬件設(shè)計都存在這種問題，而其中軟件的問題為我們所直接面對。由于在硬件設(shè)計方面，特別是芯片技術(shù)還比較落后，所以這方面的漏洞我們還很難具體化，這實際上說明，硬件的設(shè)計與漏洞是我們網(wǎng)絡(luò)所面臨的最為深刻的威脅之一。

4.網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計專指某個地區(qū)、系統(tǒng)或者一個單位的內(nèi)聯(lián)網(wǎng)或外聯(lián)網(wǎng)的設(shè)計，包括拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患，由這些設(shè)備組建一個應用系統(tǒng)的過程也可能帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性，不合理的網(wǎng)絡(luò)設(shè)計則成為網(wǎng)絡(luò)的安全威脅。

5.惡意攻擊，就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響也是越來越大 。

6.來自合法用戶的攻擊。這是最容易被管理者忽視的安全威脅之一。事實上，80%的網(wǎng)絡(luò)安全事件與內(nèi)部人員的參與相關(guān)。網(wǎng)絡(luò)管理的漏洞往往是導致這種威脅的直接原因。

7.互聯(lián)網(wǎng)的開放性。事實上，以上所列的網(wǎng)絡(luò)安全威脅多數(shù)都是由于互聯(lián)網(wǎng)是一個完全開放的網(wǎng)絡(luò)環(huán)境，其中通信幾乎都是不受到任何制約，互聯(lián)網(wǎng)的開放性是導致網(wǎng)絡(luò)安全威脅最根本的原因。

8.就是物理威脅，如電磁干擾、電磁泄漏等。

還有就是管理方面的安全了，如制度的制定是否全理有效，制度的執(zhí)行是否到位等。

二、網(wǎng)絡(luò)安全防范理論

要做到網(wǎng)絡(luò)安全，必要的防范措施是不可少的。當前的一些網(wǎng)絡(luò)安全所依賴的技術(shù)主要有以下幾種：

1.密碼技術(shù)，它是密碼認證、數(shù)字簽名和其他各種密碼協(xié)議的統(tǒng)稱。數(shù)據(jù)加密算法標準的提出和應用、公鑰加密思想的提出是密碼技術(shù)發(fā)展的重要標志，認證、數(shù)字簽名和各種密碼協(xié)議則從不同的需求角度將密碼技術(shù)進行延伸。認證技術(shù)包括消息認證和身份鑒別。數(shù)字簽名技術(shù)可以理解為手寫簽名在信息電子化的替代技術(shù)，主要用以保證數(shù)據(jù)的完整性、有效性和不可抵賴性等。

2.訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要技術(shù)，它的主要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制技術(shù)規(guī)定何種主體對何種客體具有何種操作權(quán)力。訪問控制是網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標識、權(quán)限控制、類型控制和風險分析。訪問控制技術(shù)一般與身份驗證技術(shù)一起使用，賦予不同身份的用戶以不同的操作權(quán)限，以實現(xiàn)不同安全級別的信息分級管理。

3.PKI技術(shù)。PKI是一種遵循既定標準的密鑰管理平臺，它能夠為所有網(wǎng)絡(luò)應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系。簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務的關(guān)鍵技術(shù)。

三、常用主流網(wǎng)絡(luò)安全防范技術(shù)

現(xiàn)在的網(wǎng)絡(luò)根據(jù)用途可分為主流網(wǎng)絡(luò)和專用網(wǎng)絡(luò)，針對這兩種不同的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全措施又分為主流網(wǎng)絡(luò)安全措施和專業(yè)網(wǎng)絡(luò)安全措施。下面針對主流網(wǎng)絡(luò)安全做一個簡單的介紹：

1.防火墻技術(shù)是將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)之間的訪問進行全面控制的一種機制，一般可能包括路由器、計算機等硬件，也可能包含有軟件，或者同時包含硬件和軟件。這些設(shè)備在物理上或邏輯上將內(nèi)部網(wǎng)和外部網(wǎng)隔離開來，使得外網(wǎng)和內(nèi)網(wǎng)的所有網(wǎng)絡(luò)通信必須經(jīng)過防火墻，從而可以進行各種的靈活的網(wǎng)絡(luò)訪問控制，對內(nèi)部網(wǎng)進行盡可能的安全保障，提高內(nèi)部網(wǎng)的安全性和健壯性，防火墻技術(shù)是當前市場上最為流行的網(wǎng)絡(luò)安全技術(shù)，它已成為網(wǎng)絡(luò)建設(shè)的一個基本配置。

2.VPN技術(shù)是利用不可信的公網(wǎng)資源建立可信的虛擬專用網(wǎng)，是保證局域網(wǎng)間通信安全的少數(shù)可行的方案之一。VPN既可在TCP/IP協(xié)議族的鏈路層實現(xiàn)（比如L2F、PPTP等安全協(xié)議），也可在網(wǎng)絡(luò)層實現(xiàn)（IP Sec），其中更多情況下在網(wǎng)絡(luò)層實現(xiàn)。作為最近幾年才興起的網(wǎng)絡(luò)安全技術(shù)，VPN在國內(nèi)的應用也就是最近幾年的事情，但隨著企業(yè)網(wǎng)絡(luò)用戶的迅速增加，VPN技術(shù)有著廣闊的應用前景。

3.入侵檢測技術(shù)是一種主動保護自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計算機系統(tǒng)或者網(wǎng)絡(luò)中收集、分析信息，檢測任何企圖破壞計算機資源的完整性、機密性和可用性的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應的反應。

4.反病毒技術(shù)是查找和清除計算機病毒的主要技術(shù)，其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎，然后根據(jù)病毒特征碼數(shù)據(jù)庫來進行對比式查殺。這種方法簡單、有效，但只適用于已知病毒，并且病毒特征庫需要不斷升級。

5.網(wǎng)絡(luò)隔離技術(shù)通過特殊硬件實現(xiàn)鏈路層的斷開，使得各種網(wǎng)絡(luò)攻擊與入侵失去了物理通路的基礎(chǔ)，從而避免了內(nèi)部網(wǎng)絡(luò)遭受外部攻擊的可能性。

四、常用專用網(wǎng)絡(luò)安全防范技術(shù)

專用網(wǎng)絡(luò)由于要求更高的安全性，其防范也必更加重視，現(xiàn)就其主要的防范技術(shù)介紹如下：

1.系統(tǒng)和網(wǎng)絡(luò)的掃描和評估。通過掃描和評估，可預知主體受攻擊的可能性、將要發(fā)生的行為和產(chǎn)生的后果，因而這種方法受到網(wǎng)絡(luò)安全業(yè)界的重視。這一技術(shù)的應用可幫助識別檢測對象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評估所有存在的安全風險。一些非常重要的專業(yè)應用網(wǎng)絡(luò)，例如，銀行，不能承受一次入侵帶來的損失，對掃描和評估技術(shù)有強烈的需求。

2.監(jiān)控和審計。監(jiān)控和審計是與網(wǎng)絡(luò)管理直接掛鉤的技術(shù)。監(jiān)控和審計是通過對網(wǎng)絡(luò)通信過程中可疑、有害信息或行為進行記錄以為事后處理提供依據(jù)，從而對計算機網(wǎng)絡(luò)犯罪人員形成一個強有力的威懾，最終達到提高網(wǎng)絡(luò)整體安全性的目的。局域網(wǎng)監(jiān)控系統(tǒng)是網(wǎng)絡(luò)監(jiān)控系統(tǒng)中的一大類。局域網(wǎng)監(jiān)控能夠提供一套較好的內(nèi)部網(wǎng)行為監(jiān)控的機制，可以有效阻止來自內(nèi)網(wǎng)的安全威脅。

3.全套接層協(xié)議（SSL，Secure Socket Layer）。這是由Netscape公司1994年設(shè)計開發(fā)的安全協(xié)議，主要在傳輸層提高應用程序之間的數(shù)據(jù)安全性。SSL采用了公開密鑰和對稱密鑰兩種加密：在建立連接過程中采用公開密鑰；在會話過程中使用對稱密鑰。加密的類型和強度則在兩端之間建立連接的過程中協(xié)商決定，保證了客戶和服務器間事務的安全性。

4.HTTPS協(xié)議，SHTTP協(xié)議及SMIME協(xié)議等。HTTPS協(xié)議是建立于SSL上的HTTP安全協(xié)議，它利用SSL協(xié)議來加強HTTP協(xié)議的安全性，已經(jīng)成功應用于電子商務。SHTTP（安全超文本傳輸協(xié)議）是一種結(jié)合HTTP而設(shè)計的消息的安全通信協(xié)議。SHTTP的設(shè)計基于與HTTP信息樣板共存并易于與HTTP應用程序相整合。SHTTP協(xié)議為HTTP客戶機和服務器提供了多種安全機制，這些安全服務選項是適用于萬維網(wǎng)上各類用戶的。SHTTP還為客戶機和服務器提供了對稱能力（及時處理請求和恢復，及兩者的參數(shù)選擇），同時維持HTTP的通信模型和實施特征。SMIME(Secure/Multipurpose Internet Mail Extensions)是MIME的安全版本，設(shè)計用來支持郵件的加密?；贛IME標準，SMIME為電子消息應用程序提供如下加密安全服務：認證、完整性保護、鑒定及數(shù)據(jù)保密等。傳統(tǒng)的郵件用戶代理（MUA）可以使用SMIME來加密發(fā)送郵件及解密接收郵件。然而，SMIME并不僅限于郵件的使用，它也能應用于任何可以傳送MIME數(shù)據(jù)的傳輸機制，例如HTTP。同樣，SMIME利用MIME的面向?qū)ο筇卣髟试S在混合傳輸系統(tǒng)中交換安全消息。

網(wǎng)絡(luò)的安全是一個很大的系統(tǒng)工程，要從防范技術(shù)和管理上去探討和研究，建立一套整體安全解決方案的網(wǎng)絡(luò)系統(tǒng)對網(wǎng)絡(luò)來說是尤其重要的。希望本文能拋磚引玉，能讓更多的人來關(guān)心和研究網(wǎng)絡(luò)的安全問題，為網(wǎng)絡(luò)的安全出謀劃策!

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。