□ 河 南 平新春

隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)是現(xiàn)代企業(yè)的重要組成部分，企業(yè)對外的信息交流主要依靠網(wǎng)絡(luò)，網(wǎng)絡(luò)已應(yīng)用于企業(yè)的各個部門和工作流程之中，網(wǎng)絡(luò)管理和網(wǎng)絡(luò)辦公在現(xiàn)代企業(yè)中占據(jù)越來越重要的地位，因此網(wǎng)絡(luò)安全特別是網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是尤其受到人們重視的網(wǎng)絡(luò)安全技術(shù)，那么我們究竟應(yīng)該在企業(yè)的哪些地方部署防火墻呢？首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個VLAN之間設(shè)置防火墻；再其次，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

一、企業(yè)網(wǎng)絡(luò)安全中防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條：

1.總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以公司一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論。

2.防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設(shè)計是否合理，這類問題一般用戶根本無從入手，只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對企業(yè)用戶來說，保守的方法是選擇一個通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻不十分熟悉，就有可能在配置過程中遺留大量的安全漏洞。

3.管理與培訓(xùn)。管理和培訓(xùn)是評價一個防火墻好壞的重要方面。我們已經(jīng)談到，在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會占據(jù)較大的比例。一個優(yōu)秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

4.可擴(kuò)充性。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)的風(fēng)險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性，或擴(kuò)充成本極高，這便是對投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提高，用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資，對提供防火墻產(chǎn)品的廠商來說，也擴(kuò)大了產(chǎn)品覆蓋面。

5.防火墻的安全性。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險的，所以用戶在選擇防火墻產(chǎn)品時，應(yīng)該盡量選擇占市場份額較大同時又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測試的產(chǎn)品。

二、加密技術(shù)的應(yīng)用

信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。

1.對稱加密技術(shù)。在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰匙，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有N個交換對象，那么他就要維護(hù)N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨(dú)立的56為密鑰對信息進(jìn)行3次加密，從而使有效密鑰長度達(dá)到112位。

2.非對稱加密/公開密鑰加密。在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

3.RSA算法。RSA算法是1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。利用目前已經(jīng)掌握的知識和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機(jī)的運(yùn)算能力，因此在目前和預(yù)見的將來，它是足夠安全的。

三、P K I技術(shù)在網(wǎng)絡(luò)安全中的作用

PKI（Publie Key Infrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸，因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實性、完整性、不可否認(rèn)性和存取控制等安全問題。一個實用的PKI體系應(yīng)該是安全的、易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操 作性和可擴(kuò)展性。它是認(rèn)證機(jī)構(gòu) （CA）、注冊機(jī)構(gòu)（RA）構(gòu)、策略管 理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復(fù)、撤消系 統(tǒng)等功能模塊的有機(jī)結(jié)合。

1.認(rèn)證機(jī)構(gòu)。CA（Certification Authorty）就是這樣一個確保信任度的權(quán)威 實體，它的主要職責(zé)是頒發(fā)證書、驗證 用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò) 用戶電子身份證明-證書，任何相信該CA的人，按照第三方信任原則，也都 應(yīng)當(dāng)相信持有證明的該用戶。CA也要 采取一系列相應(yīng)的措施來防止電子證 書被偽造或篡改。構(gòu)建一個具有較強(qiáng) 安全性的CA是至關(guān)重要的，這不僅與 密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的 構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場認(rèn)同的一個關(guān)鍵，它 不需支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容。

2.注冊機(jī)構(gòu)。RA（Registration Authorty）是用戶和CA的接口，它所獲得的 用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基 礎(chǔ)。RA不僅要支持面對面的登記，也 必須支持遠(yuǎn)程登記。要確保整個PKI系 統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn) 網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

3.策略管理。在PKI系統(tǒng)中，制定 并實現(xiàn)科學(xué)的安全策略管理是非常重 要的，這些安全策略必須適應(yīng)不同的 需求，并且能通過CA和RA技術(shù)融入到CA和RA的系統(tǒng)實現(xiàn)中。同時，這些策 略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要 求，科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論，并且具有良好的擴(kuò)展性和互用性。

4.密鑰備份和恢復(fù)。為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

5.證書管理與撤消系統(tǒng)。證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況，這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制，隨時查詢被撤消的證書。

現(xiàn)代企業(yè)的發(fā)展不僅要注重內(nèi)部管理，提高內(nèi)部網(wǎng)絡(luò)的安全性，隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，電子商務(wù)將成為新的基于計算機(jī)網(wǎng)絡(luò)的商業(yè)形式，企業(yè)和用戶在享受網(wǎng)絡(luò)的便捷和高效的同時，其安全性也將是人們普遍關(guān)注的焦點(diǎn)，目前正處于研究開發(fā)和發(fā)展階段，由于計算機(jī)運(yùn)算速度的不斷提高，各種密碼算法面臨著新的密碼體制，如量子密碼、DNA網(wǎng)絡(luò)密碼、混沌理論等密碼新技術(shù)正處于探索之中。因此網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀(jì)人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會發(fā)展的推動力。我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，作為國有現(xiàn)代企業(yè)以實踐和聯(lián)合研究走出網(wǎng)絡(luò)安全技術(shù)有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，達(dá)到和趕超發(fā)達(dá)國家的水平，提高我國信息網(wǎng)絡(luò)的安全性，推動我國國民經(jīng)濟(jì)的高速發(fā)展是現(xiàn)代企業(yè)的崇高使命和義不容辭的責(zé)任。