摘要：互連網(wǎng)的開放性和匿名性給計(jì)算機(jī)黑客、病毒等提供契機(jī)，利用起網(wǎng)絡(luò)來犯罪，嚴(yán)重威脅網(wǎng)絡(luò)信息的安全。如何杜絕網(wǎng)絡(luò)信息犯罪，已經(jīng)成為人們首當(dāng)其沖的問題。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；威脅；防火墻

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)30-0549-02

Network Information Security and Protection

CHEN Li

(Chinese Medicine Hospital in Wenzhou City，Wenzhou 325000，China)

Abstract: Internet's openness and anonymity to the computer hackers， viruses and provide an opportunity to use the network from the crime， serious threat to the security of information networks. How to put an end to crime network information has become a people bear the brunt of the problem.

Key words: network information security; threat; firewall

互聯(lián)網(wǎng)正以驚人的速度改變著人們的生活方式和工作效率。從商業(yè)機(jī)構(gòu)到個(gè)人都將越來越多地通過互連網(wǎng)處理銀行事務(wù)、發(fā)送電子郵件、購物、炒股和辦公。這無疑給社會(huì)、企業(yè)乃至個(gè)人帶來了前所未有的便利，所有這一切都得益于互連網(wǎng)的開放性和匿名性特征。然而，正是這些特征也決定了互連網(wǎng)不可避免地存在著信息安全隱患。網(wǎng)絡(luò)安全所包含的范圍很廣：我們?nèi)粘Ｉ暇W(wǎng)時(shí)碰到的郵件病毒，qq密碼被盜，大一點(diǎn)的比如一個(gè)企業(yè)或政府的網(wǎng)站被黑，數(shù)據(jù)內(nèi)容被篡改，更大的乃至一個(gè)國(guó)家的國(guó)防，軍事信息泄漏，被截獲。所有這些都屬于網(wǎng)絡(luò)安全所研究討論的范疇。

1 網(wǎng)絡(luò)安全的基本概念

1) 網(wǎng)絡(luò)安全威脅的類型

網(wǎng)絡(luò)威脅是對(duì)網(wǎng)絡(luò)安全缺陷的潛在利用，這些缺陷可能導(dǎo)致非授權(quán)訪問、信息泄露、資源耗盡、資源被盜或者被破壞等。網(wǎng)絡(luò)安全所面臨的威脅可以來自很多方面，并且隨著時(shí)間的變化而變化。網(wǎng)絡(luò)安全威脅的種類有：竊聽、假冒、重放、流量分析、數(shù)據(jù)完整性破壞、拒絕服務(wù)、資源的非授權(quán)使用等。

2) 網(wǎng)絡(luò)安全機(jī)制應(yīng)具有的功能

采取措施對(duì)網(wǎng)絡(luò)信息加以保護(hù)，以使受到攻擊的威脅減到最小是必須的。一個(gè)網(wǎng)絡(luò)安全系統(tǒng)應(yīng)有如下的功能：身份識(shí)別、存取權(quán)限控制、數(shù)字簽名、保護(hù)數(shù)據(jù)完整性、審計(jì)追蹤、密鑰管理等。

2 網(wǎng)絡(luò)信息安全常用技術(shù)

通常保障網(wǎng)絡(luò)信息安全的方法有兩大類：以“防火墻”技術(shù)為代表的被動(dòng)防衛(wèi)型和建立在數(shù)據(jù)加密、用戶授權(quán)確認(rèn)機(jī)制上的開放型網(wǎng)絡(luò)安全保障技術(shù)。

2.1 防火墻技術(shù)

“防火墻”（Firewall）安全保障技術(shù)主要是為了保護(hù)與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨(dú)節(jié)點(diǎn)。它具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。防火墻一方面通過檢查、分析、過濾從內(nèi)部網(wǎng)流出的IP包，盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽被保護(hù)網(wǎng)絡(luò)或節(jié)點(diǎn)的信息、結(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部某些危險(xiǎn)地址，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。

實(shí)現(xiàn)防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級(jí)防火墻（也叫包過濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。

1) 網(wǎng)絡(luò)級(jí)防火墻

一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來作出通過與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè)IP包來自何方，去向何處。

先進(jìn)的網(wǎng)絡(luò)級(jí)防火墻可以判斷這一點(diǎn)，它可以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2) 應(yīng)用級(jí)網(wǎng)關(guān)

應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊(cè)和稽核。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。

應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)， 經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問Internet或Intranet。

3) 電路級(jí)網(wǎng)關(guān)

電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，這樣來決定該會(huì)話(Session)是否合法，電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包，這樣比包過濾防火墻要高二層。

實(shí)際上電路級(jí)網(wǎng)關(guān)并非作為一個(gè)獨(dú)立的產(chǎn)品存在，它與其他的應(yīng)用級(jí)網(wǎng)關(guān)結(jié)合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等產(chǎn)品。另外，電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：代理服務(wù)器（ProxyServer） ，代理服務(wù)器是個(gè)防火墻，在其上運(yùn)行一個(gè)叫做“地址轉(zhuǎn)移”的進(jìn)程，來將所有你公司內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址，這個(gè)地址是由防火墻使用的。但是，作為電路級(jí)網(wǎng)關(guān)也存在著一些缺陷，因?yàn)樵摼W(wǎng)關(guān)是在會(huì)話層工作的，它就無法檢查應(yīng)用層級(jí)的數(shù)據(jù)包。

4) 規(guī)則檢查防火墻

該防火墻結(jié)合了包過濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣， 規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號(hào)，過濾進(jìn)出的數(shù)據(jù)包。它也象電路級(jí)網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級(jí)網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。

2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對(duì)靜態(tài)信息的保護(hù)，需要系統(tǒng)級(jí)別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。

數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù)。對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊，雖無法避免，但卻可以有效地檢測(cè);而對(duì)于被動(dòng)攻擊，雖無法檢測(cè)，但卻可以避免，實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對(duì)以符號(hào)為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法，這種變換是受“密鑰”控制的。在傳統(tǒng)的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個(gè)推知另一個(gè)，稱為“對(duì)稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對(duì)稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰，構(gòu)成加密/解密的密鑰對(duì)，則稱這種加密算法為“非對(duì)稱加密算法”或稱為“公鑰加密算法”，相應(yīng)的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。

2.3 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)(Intrusion Detection System簡(jiǎn)稱IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失;在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

2.4 防病毒技術(shù)

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒變得越來越復(fù)雜和高級(jí)，對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺(tái)PC上，即對(duì)本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè)、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除。

2.5 安全管理隊(duì)伍的建設(shè)

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時(shí)，要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對(duì)本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對(duì)于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。

3 對(duì)網(wǎng)絡(luò)信息安全的前景的展望

隨著網(wǎng)絡(luò)的發(fā)展，技術(shù)的進(jìn)步，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也在增大。一方面，對(duì)網(wǎng)絡(luò)的攻擊方式層出不窮，攻擊方式的增加意味著對(duì)網(wǎng)絡(luò)威脅的增大；隨著硬件技術(shù)和并行技術(shù)的發(fā)展，計(jì)算機(jī)的計(jì)算能力迅速提高。另一方面，網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大，使人們對(duì)網(wǎng)絡(luò)依賴的程度增大，對(duì)網(wǎng)絡(luò)的破壞造成的損失和混亂會(huì)比以往任何時(shí)候都大。這些網(wǎng)絡(luò)信息安全保護(hù)提出了更高的要求，也使網(wǎng)絡(luò)信息安全學(xué)科的地位越顯得重要，網(wǎng)絡(luò)信息安全必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻(xiàn)：

[1] 陳月波.網(wǎng)絡(luò)信息安全[M].武漢：武漢理工大學(xué)出版社，2005 .

[2] 鐘樂海，王朝斌，李艷梅.網(wǎng)絡(luò)安全技術(shù)[M].北京：電子工業(yè)出版社，2003.

[3] 張千里.網(wǎng)絡(luò)安全基礎(chǔ)與應(yīng)用[M].北京：人民郵電出版社，2007.

[4] 吳金龍，蔡燦輝，王晉隆.網(wǎng)絡(luò)安全[M].北京：高等教育出版社，2004.