湯祖軍

（江蘇國(guó)瑞信安科技有限公司，江蘇南京 210009）

0 引言

計(jì)算機(jī)的廣泛應(yīng)用把人類帶入了一個(gè)全新的時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)的普及化已經(jīng)成為了信息時(shí)代的主要推動(dòng)力。網(wǎng)絡(luò)的開放性導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊來(lái)自多方面，例如：對(duì)物理傳輸線路的攻擊，對(duì)電磁泄漏的攻擊，對(duì)網(wǎng)絡(luò)通信協(xié)議實(shí)施的攻擊，對(duì)系統(tǒng)軟件漏洞實(shí)施的攻擊等。在諸多不安全因素存在的背景下，安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。

21世紀(jì)以來(lái)，網(wǎng)絡(luò)安全的重點(diǎn)放在了保護(hù)信息，確保信息在存儲(chǔ)、處理、傳輸過(guò)程中信息系統(tǒng)不被破壞，確保對(duì)合法用戶的服務(wù)，限制非授權(quán)用戶的服務(wù)以及必要的防御攻擊措施上。因此確保信息的保密性、完整性、可用性、可控性就成了關(guān)鍵因素。為了解決這些安全問(wèn)題，各種安全機(jī)制、安全策略和安全工具被廣泛開發(fā)和應(yīng)用。

1 網(wǎng)絡(luò)安全

早期網(wǎng)絡(luò)協(xié)議對(duì)安全問(wèn)題的忽視，以及在平時(shí)運(yùn)用和管理上的不重視，導(dǎo)致網(wǎng)絡(luò)安全存在巨大風(fēng)險(xiǎn)，安全事故頻頻發(fā)生。網(wǎng)絡(luò)安全是指對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)進(jìn)行保護(hù)，不因偶然或者惡意的因素而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行。目前影響網(wǎng)絡(luò)安全的因素主要包括病毒軟件、蠕蟲病毒、木馬軟件和間諜軟件等。

病毒軟件：可執(zhí)行代碼，它們可以破壞計(jì)算機(jī)系統(tǒng)，通常偽裝成合法附件，通過(guò)電子郵件發(fā)送，有的還通過(guò)即時(shí)信息網(wǎng)絡(luò)發(fā)送。

蠕蟲病毒：與病毒軟件類似，但比病毒更為普遍，蠕蟲經(jīng)常利用受感染系統(tǒng)的文件傳輸功能自動(dòng)進(jìn)行傳播，從而導(dǎo)致網(wǎng)絡(luò)流量大幅增加。

木馬程序：可以捕捉密碼和其它個(gè)人信息，使未授權(quán)遠(yuǎn)程用戶能夠訪問(wèn)安裝了特洛伊木馬的系統(tǒng)。

間諜軟件：惡意病毒代碼，它們可以監(jiān)控系統(tǒng)性能，并將用戶數(shù)據(jù)發(fā)送給間諜軟件開發(fā)者。

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全2個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件。運(yùn)行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。目前，操作系統(tǒng)和應(yīng)用軟件中通常都會(huì)存在一些BUG，別有心計(jì)的員工或客戶都可能利用這些漏洞向網(wǎng)絡(luò)發(fā)起進(jìn)攻，導(dǎo)致某個(gè)程序或網(wǎng)絡(luò)喪失功能。有甚者會(huì)盜竊機(jī)密數(shù)據(jù)，直接威脅網(wǎng)絡(luò)和數(shù)據(jù)的安全，即便是安全防范設(shè)備也會(huì)存在這樣的問(wèn)題。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布，程序員在修改已知BUG的同時(shí)還可能產(chǎn)生新的BUG。系統(tǒng)BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，也無(wú)據(jù)可查?，F(xiàn)有的軟件和工具對(duì)BUG的攻擊幾乎無(wú)法主動(dòng)防范。

2 網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素

計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅主要來(lái)自于以下幾個(gè)方面：

2.1 軟件漏洞

每一版本的操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能完美無(wú)缺。大多數(shù)IT安全事件（如補(bǔ)丁程序或網(wǎng)絡(luò)攻擊等）都與軟件漏洞有關(guān)，黑客利用編程中的細(xì)微錯(cuò)誤或者上下文依賴關(guān)系，讓它做任何他們想讓它做的事情。緩沖區(qū)溢出是一種常見的軟件漏洞，也是一種牽扯到復(fù)雜因素的錯(cuò)誤。開發(fā)人員經(jīng)常預(yù)先分配一定量的臨時(shí)內(nèi)存空間，稱為一個(gè)緩沖區(qū)，用以保存特殊信息。如果代碼沒(méi)有仔細(xì)地把要存放的數(shù)據(jù)大小同應(yīng)該保存它的空間大小進(jìn)行對(duì)照檢查，那么靠近該分配空間的內(nèi)存就有被覆蓋的風(fēng)險(xiǎn)。熟練的黑客輸入仔細(xì)組織過(guò)的數(shù)據(jù)就能導(dǎo)致程序崩潰、數(shù)據(jù)丟失。

2.2 黑客的威脅和攻擊

由于用戶越來(lái)越多地依賴計(jì)算機(jī)網(wǎng)絡(luò)提供各種服務(wù)，完成日常業(yè)務(wù)，計(jì)算機(jī)網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，造成的破壞越來(lái)越大。由于攻擊技術(shù)的進(jìn)步，攻擊者可以較容易地利用分布式攻擊工具，有效地發(fā)動(dòng)拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。

黑客攻擊的技術(shù)根源是軟件和系統(tǒng)的安全漏洞。正是一些別有用心的人利用了這些漏洞，才造成了網(wǎng)絡(luò)安全問(wèn)題。因?yàn)椴僮飨到y(tǒng)、應(yīng)用軟件等安全漏洞每年都會(huì)被發(fā)現(xiàn)，網(wǎng)絡(luò)管理員必須不斷用最新的軟件補(bǔ)丁修復(fù)這些漏洞。然而黑客經(jīng)常能夠搶在廠商修補(bǔ)這些漏洞之前發(fā)現(xiàn)這些漏洞并發(fā)起攻擊，非法侵入重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的敏感性信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給社會(huì)造成巨大的經(jīng)濟(jì)損失。

2.3 計(jì)算機(jī)病毒

它是一種在人為或非人為的情況下產(chǎn)生、在用戶不知情或未批準(zhǔn)下，能自我復(fù)制或運(yùn)行的計(jì)算機(jī)程序。計(jì)算機(jī)病毒往往會(huì)影響受感染計(jì)算機(jī)的正常運(yùn)作。病毒一般會(huì)自動(dòng)利用電子郵件傳播，利用對(duì)象為某個(gè)漏洞，將病毒自動(dòng)復(fù)制并群發(fā)給存儲(chǔ)的通訊錄名單成員。

計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)工作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。

2.4 垃圾郵件和間諜軟件

一些有心人會(huì)從網(wǎng)上多個(gè)BBS論壇、新聞組等收集網(wǎng)民的計(jì)算機(jī)地址，再售予廣告商，從而把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受賺錢信息、商業(yè)或個(gè)人網(wǎng)站廣告、電子雜志、連環(huán)信息等。垃圾郵件可以分為良性和惡性。良性垃圾郵件是如宣傳廣告等對(duì)收件人影響不大的信息郵件。惡性垃圾郵件是指具有破壞性的電子郵件，例如具有攻擊性的廣告情色網(wǎng)站、釣魚網(wǎng)站。

間諜軟件是一種能夠在用戶不知情或未經(jīng)用戶準(zhǔn)許的情況下收集用戶個(gè)人數(shù)據(jù)的軟件。間諜軟件采用一系列技術(shù)來(lái)紀(jì)錄用戶的個(gè)人信息，例如鍵盤錄制用戶訪問(wèn)Internet的行為，以及掃描用戶計(jì)算機(jī)上的文件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計(jì)算機(jī)安全，并盡可能小地影響系統(tǒng)性能，以免被發(fā)現(xiàn)。

2.5 配置不當(dāng)

安全產(chǎn)品防護(hù)策略配置不當(dāng)造成安全隱患。例如，防火墻設(shè)備的訪問(wèn)控制策略配置不正確，那么它根本起不到安全防護(hù)作用；再如有些特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)運(yùn)行時(shí)，就同步會(huì)打開一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被同時(shí)啟用，這樣就會(huì)在不知情的情況下給不法分子留下“后門”或漏洞。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則安全隱患無(wú)法避免。

2.6 安全意識(shí)不強(qiáng)

人為的無(wú)意失誤是造成網(wǎng)絡(luò)不安全的重要原因之一。網(wǎng)絡(luò)管理員在這方面不但肩負(fù)重任，還面臨越來(lái)越大的壓力。稍有考慮不周，安全配置不當(dāng)，就會(huì)造成安全漏洞。另外，用戶安全意識(shí)不強(qiáng)，不按照安全規(guī)定操作，如口令選擇不慎，將自己的賬戶隨意轉(zhuǎn)借他人或與別人共享，都會(huì)給網(wǎng)絡(luò)安全帶來(lái)威脅。

3 網(wǎng)絡(luò)安全防范技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來(lái)說(shuō)，主要由防病毒、VPN網(wǎng)關(guān)、防火墻、入侵檢測(cè)等多個(gè)安全產(chǎn)品組件組成，一個(gè)單獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)等。以下就針對(duì)此幾項(xiàng)技術(shù)分別進(jìn)行簡(jiǎn)要分析：

3.1 防火墻技術(shù)

防火墻技術(shù)是指網(wǎng)絡(luò)之間通過(guò)預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制的安全應(yīng)用措施。它對(duì)2個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。根據(jù)環(huán)境不同，主要接入部署方式分3類：（1）核心數(shù)據(jù)區(qū)安全防護(hù)；（2）網(wǎng)絡(luò)邊界安全防護(hù)；（3）網(wǎng)絡(luò)出口安全防護(hù)。防火墻部署位置如圖1所示。

圖1 防火墻部署位置

防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行；可以關(guān)閉不使用的端口；可以禁止特定端口的流出通信，封鎖特洛伊木馬；可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

防火墻技術(shù)可以起到如下防護(hù)作用：

網(wǎng)絡(luò)安全的屏障：防火墻在1個(gè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立1個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視、過(guò)濾和檢查所有進(jìn)來(lái)和出去的流量。通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的地方來(lái)實(shí)現(xiàn)安全目的。

監(jiān)控審計(jì)：防火墻可以對(duì)內(nèi)、外部網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么防火墻就能記錄下這些訪問(wèn)并進(jìn)行日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

防止內(nèi)部信息的外泄：通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。企業(yè)秘密是大家普遍關(guān)心的問(wèn)題，1個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索。這會(huì)引起外部攻擊者的興趣，甚至因此而暴漏內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)的如Finger、DNS等服務(wù)。

數(shù)據(jù)包過(guò)濾：包過(guò)濾是防火墻所要實(shí)現(xiàn)的最基本功能。現(xiàn)在的防火墻已經(jīng)由最初的地址、端口判定控制，發(fā)展到判斷通信報(bào)文協(xié)議頭的各部分，以及通信協(xié)議的應(yīng)用層命令、內(nèi)容、用戶認(rèn)證、用戶規(guī)則甚至狀態(tài)檢測(cè)等。網(wǎng)絡(luò)上的數(shù)據(jù)都以包為單位進(jìn)行傳輸，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定的信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口號(hào)和目標(biāo)端口號(hào)等。

地址轉(zhuǎn)換：通過(guò)此項(xiàng)功能可以很好地屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，對(duì)內(nèi)部網(wǎng)絡(luò)用戶起到保護(hù)作用。NAT又分“SNAT”和“DNAT”。SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換。對(duì)外部網(wǎng)絡(luò)屏蔽，使得外部用戶對(duì)內(nèi)部主機(jī)的攻擊更加困難，同時(shí)可以節(jié)省有限的公網(wǎng)IP資源，僅通過(guò)少數(shù)1個(gè)或幾個(gè)公網(wǎng)IP地址共享上網(wǎng)。而DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址，外部網(wǎng)絡(luò)主機(jī)向內(nèi)部網(wǎng)絡(luò)主機(jī)發(fā)出通信連接時(shí)，防火墻首先把目的地址轉(zhuǎn)換為自己的地址，然后再轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)的通信連接，這樣實(shí)際上外部網(wǎng)絡(luò)主機(jī)與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信變成了防火墻與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信。

3.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System簡(jiǎn)稱IDS）是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。惡意使用行為包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為。IDS是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)手段。

部署的方法有很多種，如基于專家系統(tǒng)入侵的檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。入侵檢測(cè)攻防示意圖如圖2所示。入侵檢測(cè)通過(guò)執(zhí)行如下任務(wù)來(lái)實(shí)現(xiàn)：

圖2 入侵檢測(cè)攻防示意圖

（1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；

（2）審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；

（3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；

（4）統(tǒng)計(jì)分析異常行為模式；

（5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

（6）審計(jì)跟蹤管理操作系統(tǒng)，并識(shí)別用戶違反安全策略的行為。

入侵檢測(cè)技術(shù)的主要功能：監(jiān)視分析用戶及系統(tǒng)活動(dòng)；查找非法用戶和合法用戶的越權(quán)操作；檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；對(duì)異常行為模式的統(tǒng)計(jì)分析；能夠?qū)崟r(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；發(fā)現(xiàn)新的攻擊模式。

入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為誤用檢測(cè)模型與異常檢測(cè)模型2種。

誤用檢測(cè)模型（Misuse detection）：檢測(cè)與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會(huì)引起報(bào)警。收集非正常操作的行為特征，監(jiān)理相關(guān)的特征庫(kù)。當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。

異常檢測(cè)模型（Anomaly detection）：檢測(cè)與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的行為，那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)，即被認(rèn)為是入侵。

3.3 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密就是將數(shù)據(jù)通過(guò)一定的加密技術(shù)轉(zhuǎn)換成為表面上雜亂無(wú)章，只有合法的使用者才能恢復(fù)原來(lái)面目的技術(shù)。而對(duì)于非法竊取使用者來(lái)說(shuō)，轉(zhuǎn)換后的數(shù)據(jù)是一些毫無(wú)意義的數(shù)據(jù)。我們把原始數(shù)據(jù)稱為明文，將經(jīng)過(guò)加密的數(shù)據(jù)稱為密文，把從明文變成密文的過(guò)程叫做加密，而把密文還原成明文的過(guò)程叫做解密。加密過(guò)程和解密過(guò)程都需要有密鑰和相對(duì)應(yīng)的算法，一般密鑰是一串?dāng)?shù)字，加解密算法是作用于明文或密文以及相對(duì)應(yīng)密鑰的一個(gè)數(shù)學(xué)函數(shù)。數(shù)據(jù)加密與解密技術(shù)的工作流程圖如圖3所示。

圖3 數(shù)據(jù)加密與解密技術(shù)的工作流程圖

密碼算法是作用于加密和解密的數(shù)學(xué)函數(shù)，一般情況下有2個(gè)相關(guān)的函數(shù)：一個(gè)用于加密，另一個(gè)用于解密。這些算法的安全性都基于密鑰的安全性，而不是基于算法細(xì)節(jié)的安全性。這就意味著算法可以公開，可以被分析，也可以大量生產(chǎn)使用算法的產(chǎn)品，即使竊聽者知道算法也沒(méi)有關(guān)系。只要他不知道你使用的具體密鑰，就不可能閱讀你的數(shù)據(jù)?；诿荑€的算法通常有2類：對(duì)稱密碼算法和非對(duì)稱密碼算法。

圖4 對(duì)稱密碼算法

對(duì)稱密碼算法：又叫傳統(tǒng)密碼算法，是指加密和解密使用相同的密鑰。即使不同，也可以由一個(gè)經(jīng)過(guò)計(jì)算推導(dǎo)出另一個(gè)來(lái)，反過(guò)來(lái)也成立。但在大多數(shù)對(duì)稱算法中，加密解密密鑰是相同的。這些算法也叫單密鑰算法或秘密密鑰算法。它要求發(fā)送者和接收者在安全通信之前，確定一個(gè)密鑰。當(dāng)需給對(duì)方發(fā)送信息時(shí)，用自己的加密密鑰進(jìn)行加密得到密文，而在接受方收到數(shù)據(jù)后，用對(duì)方所給的密鑰進(jìn)行解密得到明文。對(duì)稱密碼算法如圖4所示。非對(duì)稱密碼算法：也被稱之為公開密碼體制。是由公開密鑰和私有密鑰2部分組成的密鑰對(duì)，分別用于對(duì)數(shù)據(jù)的加密工作和解密工作。即如果使用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用相對(duì)應(yīng)的公開密鑰才能夠解密；反之，使用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用相對(duì)應(yīng)的私有密鑰才能夠進(jìn)行解密，如圖5所示。公開密鑰無(wú)須保密，可以公開，因?yàn)橛晒_密鑰是無(wú)法推算出私有密鑰，所以公開的密鑰并不會(huì)損害私有密鑰的安全性。但私有密鑰就必須進(jìn)行保密。

3.4 防病毒技術(shù)

圖5 非對(duì)稱密碼算法

防病毒技術(shù)就是通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)傳染和破壞的技術(shù)。但是Internet技術(shù)的發(fā)展，以及E-mail和一批網(wǎng)絡(luò)工具的出現(xiàn)，在改變?nèi)祟愋畔鞑シ绞降耐瑫r(shí)也使計(jì)算機(jī)病毒的種類迅速增加，擴(kuò)散速度也大大加快。計(jì)算機(jī)病毒的傳播方式迅速突破地域限制，由以往的單機(jī)之間的介質(zhì)傳染轉(zhuǎn)換為網(wǎng)絡(luò)系統(tǒng)間的傳播。現(xiàn)在，計(jì)算機(jī)病毒已經(jīng)可以通過(guò)移動(dòng)磁盤、光盤、局域網(wǎng)、WWW瀏覽、E-Mail、FTP下載等多種方式傳播。

只有通過(guò)將病毒檢測(cè)產(chǎn)品部署在網(wǎng)絡(luò)的入口或整個(gè)網(wǎng)絡(luò)中，才能真正將病毒抵御于網(wǎng)絡(luò)之外，保證數(shù)據(jù)的真正安全。常見的病毒檢測(cè)產(chǎn)品有防毒墻、網(wǎng)絡(luò)防病毒軟件等。

防毒墻：通過(guò)防毒墻對(duì)數(shù)據(jù)包進(jìn)行狀態(tài)檢測(cè)過(guò)濾，不但能夠根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)接口等數(shù)據(jù)包進(jìn)行控制，而且能夠記錄通過(guò)防毒墻的連接狀態(tài)，直接對(duì)分組里的數(shù)據(jù)進(jìn)行處理。防毒墻具有完備的狀態(tài)檢測(cè)表追蹤連接會(huì)話狀態(tài)，并且結(jié)合前后分組里的關(guān)系進(jìn)行綜合判斷決定是否允許該數(shù)據(jù)包通過(guò)，它可通過(guò)連接狀態(tài)進(jìn)行更迅速更安全的過(guò)濾。

同時(shí)防毒墻能攔截攻擊操作系統(tǒng)和應(yīng)用軟件安全漏洞的新型蠕蟲，而傳統(tǒng)的防火墻集成的防病毒功能是無(wú)法檢測(cè)和清除該類蠕蟲的。在新病毒的傳播事件中，病毒檢測(cè)產(chǎn)品能夠有效防止網(wǎng)絡(luò)攻擊，不會(huì)消耗資源用于攔截病毒。

防病毒軟件：防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除，可有效地保障內(nèi)部網(wǎng)絡(luò)不受病毒侵?jǐn)_。產(chǎn)品由以下幾部分組成：

>系統(tǒng)中心

>管理員控制臺(tái)

>殺毒軟件服務(wù)器端

>殺毒軟件客戶端

系統(tǒng)中心可以很容易地在整個(gè)網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)遠(yuǎn)程管理、智能升級(jí)、自動(dòng)分發(fā)、遠(yuǎn)程報(bào)警等多種功能，有效管理、嚴(yán)密保護(hù)、杜絕病毒的入侵。

管理員控制臺(tái)：管理員可以在網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī)上對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中控制管理，清楚地掌握整個(gè)網(wǎng)絡(luò)環(huán)境中各個(gè)節(jié)點(diǎn)的病毒監(jiān)測(cè)狀態(tài)。這既方便了管理員，又最大程度地減少了整個(gè)網(wǎng)絡(luò)中的安全漏洞，有效保障了整個(gè)網(wǎng)絡(luò)的系統(tǒng)安全?？刂婆_(tái)部署結(jié)構(gòu)如圖6所示。

圖6 分布式部署結(jié)構(gòu)

3.5 漏洞掃描技術(shù)

每年都有數(shù)以千計(jì)的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，加上攻擊者手段的不斷變化，網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴(yán)峻。尋根溯源，絕大多數(shù)用戶缺乏一套完整、有效的漏洞管理工作流程來(lái)落實(shí)定期評(píng)估與漏洞修補(bǔ)工作。只有比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好預(yù)防工作，才能夠有效地避免攻擊所造成的損失。

漏洞掃描就是通過(guò)針對(duì)常見黑客攻擊手法的檢查策略，定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，及時(shí)發(fā)現(xiàn)問(wèn)題、給出相關(guān)安全措施和建議并進(jìn)行相應(yīng)的修補(bǔ)和配置。示意圖如圖7所示。

這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序，幫助在很短的時(shí)間內(nèi)查出現(xiàn)存的安全脆弱點(diǎn)。

智能識(shí)別：能夠?qū)呙杞Y(jié)果數(shù)據(jù)進(jìn)行在線分析，能夠根據(jù)端口、漏洞、BANNER信息、IP地址等關(guān)鍵字對(duì)主機(jī)信息進(jìn)行查詢并能將查詢結(jié)果保存。

高效快捷：支持高級(jí)數(shù)據(jù)分析，能夠進(jìn)行歷史數(shù)據(jù)查詢、匯總查看、對(duì)比分析等，方便進(jìn)行多個(gè)掃描任務(wù)或多個(gè)IP風(fēng)險(xiǎn)對(duì)比，能夠在多個(gè)歷史任務(wù)中，很快地檢索到需要關(guān)注的資產(chǎn)IP點(diǎn)。

腳本依賴：掃描模塊會(huì)自動(dòng)根據(jù)其邏輯依賴關(guān)系執(zhí)行而不是無(wú)目的地盲目執(zhí)行，從而提高了掃描準(zhǔn)確性。

信息輸出：漏洞分析報(bào)告應(yīng)提供在線瀏覽報(bào)告和離線打印報(bào)告。離線報(bào)表提供針對(duì)不同角色的默認(rèn)模板，允許用戶定制報(bào)告的內(nèi)容、報(bào)告的格式等。

斷點(diǎn)恢復(fù)：在掃描程序運(yùn)行到一半的時(shí)候如果系統(tǒng)意外掉電等，可以通過(guò)查看掃描狀態(tài)進(jìn)行重新掃描或者繼續(xù)掃描。如果選擇繼續(xù)掃描的話，前面掃描到的結(jié)果會(huì)保留下來(lái)和后面的結(jié)果一起合并生成結(jié)果文件。

圖7 漏洞掃描技術(shù)示意圖

4 結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越受到大家的關(guān)注，文章簡(jiǎn)要分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾點(diǎn)常見的安全隱患，并探討了計(jì)算機(jī)網(wǎng)絡(luò)的幾種安全防范技術(shù)。總得來(lái)說(shuō)，網(wǎng)絡(luò)安全不僅是技術(shù)問(wèn)題，同時(shí)也是一個(gè)安全管理問(wèn)題。我們必須綜合考慮各種安全因素，制定合理的建設(shè)目標(biāo)、設(shè)計(jì)方案、管理制度和相關(guān)的配套法規(guī)文獻(xiàn)等。

計(jì)算機(jī)網(wǎng)絡(luò)安全是個(gè)綜合性和復(fù)雜性的問(wèn)題。面對(duì)網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個(gè)社會(huì)越來(lái)越快的信息化進(jìn)程，各種新技術(shù)將會(huì)不斷出現(xiàn)和應(yīng)用。

網(wǎng)絡(luò)安全孕育著無(wú)限的機(jī)遇和挑戰(zhàn)，作為一個(gè)熱門的研究領(lǐng)域，其擁有重要的戰(zhàn)略意義，相信未來(lái)網(wǎng)絡(luò)安全技術(shù)將會(huì)取得更加長(zhǎng)足的發(fā)展。

［1］孫健敏.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用［M］.西安：西安電子科技大學(xué)出版社，2010.

［2］蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)［M］.北京:中國(guó)水利水電出版社，2005.

［3］陳斌.計(jì)算機(jī)網(wǎng)絡(luò)安全于防御［J］.信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006（4）.

［4］閻慧.防火墻原理與技術(shù)［M］.北京：機(jī)械工業(yè)出版社，2004.

［5］梅杰，許榕生.Internet防火墻技術(shù)新發(fā)展［J］.微電腦世界，1996（6）.

［6］王宏偉.網(wǎng)絡(luò)安全威脅與對(duì)策［J］.應(yīng)用技術(shù)，2006（5）.