直 敏

（盤錦職業(yè)技術學院 信息系，遼寧 盤錦 124000）

0 引 言

自從上世紀60年代末互聯(lián)網誕生至今，計算機網絡的發(fā)展速度飛快，幾乎超出了人類的想象。計算機網絡在人類生活中的應用越來越廣泛，全球不計其數(shù)的交友、購物等網站掌握著億萬用戶的個人信息，近年來發(fā)生的諸如“3Q”大戰(zhàn)、安卓APP木馬軟件等，近日更爆出好萊塢艷照門事件，令每個網絡用戶都憂心忡忡，擔心自己的個人信息或隱私被竊。如今人類生活已經離不開網絡，面對如此現(xiàn)狀，計算機網絡安全問題亟待解決。

1 計算機網絡安全體系結構的設計

中國互聯(lián)網網絡安全報告顯示，去年國家互聯(lián)網應急中心（CNCERT）共接收境內網絡安全事件報告30 684起，較2012年增長71.2%［1］。其中感染病毒的比例為83.6%，病毒新增301萬個。應對的手段主要包括有網絡防火墻技術、信息加密技術、身份認證技術等［2］。但只有建立一個系統(tǒng)完整的防范體系，才能有效地維護計算機網絡安全。

1.1 網絡防火墻技術設計

防火墻技術是目前最為普遍也最為經濟的網絡安全技術，所謂防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障［3］。網絡防火墻是保障網絡安全網的第一道“城墻”，創(chuàng)建一個網絡，首先就是要安裝并開啟防火墻，網絡防火墻基于源地址和目的地址、應用、協(xié)議以及每個IP包的端口來判斷是否通過該包，它可以檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符，否則就會使用默認規(guī)則要求丟棄該包。其次，通過定義基于TCP或UDP數(shù)據包的端口號，網絡防火墻能夠判斷是否允許建立特定的連接，如Telnet，F(xiàn)TP連接。內外網的所有連接都必須經過網絡防火墻，實現(xiàn)了內外網的訪問控制和隔離，對內部網絡進行監(jiān)控，對可疑入侵動作進行分析、阻止和記錄，保護了內部網的安全［4］。防火墻工作原理如圖1所示。

圖1 防火墻工作原理

但是網絡防火墻并不是一夫當關，第一，不管各種防火墻開發(fā)者如何吹噓，網絡防火墻不能防病毒；第二，支持實時服務請求要求數(shù)據在網絡防火墻之間的更新不能延遲過大；第三，網絡防火墻采用的濾波技術通常使網絡的性能降低52%以上，一般高速路由器的價格并不經濟。

1.2 信息加密技術設計

圖2 Diffe－Hellman公開密鑰密碼算法過程

作為網絡安全的另一個重要技術，信息加密技術是利用數(shù)學或物理手段，對電子信息在傳輸過程中和存儲體內進行保護，以防止泄漏的技術。通過密碼算術對數(shù)據進行轉化，使其變成沒有正確密鑰就無法讀懂的報文。密鑰是指含有用來以數(shù)學方式轉換報文的雙重密碼。目前，轉換算法標準已經有200多種，世界上最流行的幾種加密體制和加密算法有：RSA算法、CCEP算法、DES算法等。主要分為私鑰加密算法和公鑰加密算法，如圖2所示。

RSA算法是第一個能同時用于加密和數(shù)字簽名的算法，也易于理解和操作。RSA是被研究的最廣泛的公鑰算法，RSA密鑰長度隨著保密級別提高，增加很快。對同一安全級別所對應的密鑰長度，見表1。

表1 RSA算法安全級別密鑰長度對照表

DES算法是比較高對稱加密系統(tǒng)，有效密鑰長度只有56位，加密速度快是它的特色，但是就安全程度而言，已經不能滿足現(xiàn)代計算機的要求，而RSA算法經歷了各種攻擊的考驗，被認為是目前最優(yōu)秀的公鑰方案之一。

密碼技術從古沿用至今，經歷了幾千年的變化，曾在戰(zhàn)爭年代保護軍方信息，如今在和平年代同樣保護著我們的生活。在計算機網絡中采用密碼技術對傳輸和儲存的數(shù)據進行加密，即使路由器、交換機等被未被授權的用戶入侵，傳輸?shù)臄?shù)據被截獲或者儲存的數(shù)據被木馬侵蝕，由于用加密算法進行了轉換，竊取者無法得到正確的密鑰，從而得知數(shù)據內容的可能性微乎其微。但是任何密碼都有被破譯的一天，這也是密碼加密技術不斷發(fā)展的動力，光靠信息加密技術保護計算機網絡安全是不能長久有效的，加密算法在不斷地創(chuàng)新，科技技術也在不斷發(fā)展，在此消彼長的進程中，我們要創(chuàng)造出比加密算法更為可靠的計算機網絡安全的保護措施［5］。

1.3 身份認證技術

計算機網絡中用戶的身份信息都是用特定的數(shù)據來表示，計算機只能識別這組數(shù)據。身份認證技術保證了以數(shù)字身份進行操作的操作者的物理身份與數(shù)字身份相對應，作為防護網絡資產的第一道關口，身份認證有著舉足輕重的作用。常見的認證方式有靜態(tài)密碼、IC卡、短信密碼、動態(tài)口令等。應用最多的當屬靜態(tài)密碼，各大網站和各類客戶端大多采取用戶名和靜態(tài)密碼來進行身份認證，這種身份認證方式保密程度較低，多是在固定終端時使用。IC卡和短信密碼較之靜態(tài)密碼又多了一層保護，不僅要對靜態(tài)密碼進行識別，更要對固定介質進行身份認證，但是仍然不能避免被截取的可能。而動態(tài)口令具有隨機性、一次性、動態(tài)性等特點，較之前幾種認證方式更為優(yōu)越，動態(tài)口令往往每60s變化一次，過期失效，即使被監(jiān)聽也往往因為時效性而保證了數(shù)據安全。但是該密碼這么短的時間里也同樣存在風險，現(xiàn)在已有基于事件同步的雙向認證動態(tài)口令牌，以用戶動作觸發(fā)的同步原則，做到了一個密碼只用一次，把每個用過的密碼寫入日記，并且由于是雙向認證，服務器客戶端相互驗證，從而杜絕被木馬竊取密碼的可能［6］。動態(tài)口令身份認證的方式如圖3所示。

目前87%以上的世界500強企業(yè)都使用動態(tài)口令身份認證方式來保護登錄安全，其被廣泛應用在網上銀行、電子政務、電子商務等領域。

2 計算機網絡安全體系結構的實現(xiàn)

通過全面了解計算機網絡，整個網絡措施應按系統(tǒng)體系建立。具體由物理安全、網絡安全、信息安全等組成安全控制系統(tǒng)。

首先，網絡防火墻實現(xiàn)了內外網的隔離及訪問控制。防火墻設置在內部網與外部網之間，有效地保護內部網安全，也是最經濟的措施，它也是不同網絡之間唯一的信息出入口［7］。網絡防火墻主要的種類是包過濾型，能根據用戶的安全政策來控制出入網絡的信息流，起到允許、拒絕、監(jiān)測的關鍵作用，同時可實現(xiàn)網絡地址轉換與實時告警等功能。由于網絡防火墻安裝內部網絡與外部路由器之間的通道上，也起到隔離內部網絡與外部網絡的作用。在不同的內部網絡之間，防火墻也起到隔離保護的作用。通過在交換機上劃分虛擬局域網，可以將整個網絡劃分為幾個不同的廣播域，實現(xiàn)內部不同網段的物理隔離，能有效防止一個網段的錯誤或者危險傳播整個網絡［8］。有時，一個局域網的某個網段比另一個網段更受信任或者更敏感，將信任網段或者敏感網段與不信任網段或者不敏感網段劃分在不同虛擬局域網段內，可以有效阻止局部網絡安全問題影響全局網絡，造成嚴重后果。

圖3 動態(tài)口令身份認證過程

其次，對數(shù)據信息安全的保護至關重要。隨著計算機網絡的應用越來越廣泛，用戶在網絡上存儲、傳輸?shù)臄?shù)據信息也越來越多，甚至商業(yè)機密、企業(yè)內部資料、個人隱私都在網絡云端存儲，通過內部網絡或者個人組建的局域網進行傳輸。通過加密技術對數(shù)據進行加密，用加密算法將重要的數(shù)據進行轉換，即使數(shù)據在傳輸中被木馬截取，沒有正確的密鑰，也無法知悉其數(shù)據中真實的內容。同樣，被存儲在終端或者云端的數(shù)據也有可能在防火墻被木馬攻破的時候被黑客竊取，只要之前對其進行了加密轉換，黑客所竊取的也只不過是一串數(shù)據而已。

最后，在用戶管理方面，每一個用戶都匹配一個唯一的用戶名和密碼。對于內部網絡而言，每一個用戶都有自己不同的身份，并在操作數(shù)據時要求進行身份認證或者授權。當?shù)卿浀酵獠烤W絡時，對存儲有用戶信息的重要文件都要進行嚴格的身份認證和授權限制，確保了用戶身份的真實性和合法性及訪問權限的控制。因此，當用戶到網站管理員處申請身份口令時，建議用戶使用復雜不易被猜測出的口令、密碼，并且為了加強信息保護的安全性，可以使用比靜態(tài)密碼更有力的身份認證方式，如USB KEY、動態(tài)口令等認證方式［2］。幾種認證方式的結合，改良了密碼的靜態(tài)性、固定性、重復性等缺點，有效地防止了用戶口令、密碼被木馬竊取，使存儲在外部網絡的數(shù)據的安全性得到保障。這種組合認證已經被廣泛應用，網上銀行、支付寶等都提示用戶使用這種更高級的身份認證方式，以保護用戶的財產利益。

3 結 語

隨著計算機技術的不斷發(fā)展和網絡應用的演變，計算機網絡在人類生活中的作用不可估量，伴隨的網絡安全問題也日漸增多，危害網絡安全的犯罪行為已經大量出現(xiàn)，因此，我們要重視網絡安全問題并采取積極有效的應對措施，要從現(xiàn)在網絡實際情況出發(fā)，構建一個完整的網絡安全防御系統(tǒng)，內外結合、相互協(xié)調、相互制約，采用合作的方式但是又發(fā)揮各自的優(yōu)勢，取長補短，經濟、有效、穩(wěn)定地保護計算機網絡的安全。

［1］ 趙中營，徐佩鋒.網絡安全技術及缺陷［J］.計算機光盤軟件與應用，2013（17）：20－22.

［2］ 潘泓宇.計算機網絡安全方案的設計與實現(xiàn)［J］.硅谷，2011（11）：80－81.

［3］ 劉斌.計算機網絡安全方案的設計與實現(xiàn)［J］.淮北職業(yè)技術學院學報，2011（3）：123－124.

［4］ 仇宇.Internet網絡安全與防火墻技術的探討［J］.綿陽師范學院學報，2004（5）：28－30.

［5］ 李學勇，屠全良.網絡安全的現(xiàn)狀及發(fā)展趨勢［J］.太原大學學報，2005，4（2）：35－36.

［6］ 應合理.計算機網絡安全綜述［J］.西北建筑工程學院學報，2002，19（3）：56－58.

［7］ 王秋華，章堅武，駱懿.網絡安全體系結構的設計與實現(xiàn)［J］.杭州電子科技大學學報，2005（10）：43－44.

［8］ 劉棣華，黃春梅，楊子一，等.網絡安全與入侵檢測［J］.長春工業(yè)大學學報：自然科學版，2002，23（S0）：24－25.