郑玉洲 中山职业技术学院网络现教中心 ，广东 中山 528404

网络安全现状分析与应用技术

郑玉洲 中山职业技术学院网络现教中心 ，广东 中山 528404

众所周知，Internet是开放的，而开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏与防护的斗争仍将继续。在这样的斗争中，安全技术作为一个独特的防护领域越来越受到全球网络建设者的关注。

网络安全;防火墙;虚拟专用网(VPN)

1 网络的开放性带来的安全问题

随着计算机网络的发展，在信息处理能力提高的同时,系统的连接能力也在不断地提高。但在联结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出，不论是外部网还是内部网都会安全问题。 Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题，为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全仍然存在很大隐患，这些安全隐患主要可以归结为以下几点：

(1)每一种安全机制都有一定的应用范围和应用环境。

(2)安全工具的使用受到人为因素的影响。

(3)系统的后门是传统安全工具难于考虑到的地方。

(4)只要有程序，就可能存在BUG。

(5)黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。

2 网络安全的主要技术

2.1 安全认证

网络赖以生存的保障，只有安全得到保障，网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广，主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。

2.2 数据加密

在计算机网络中，加密技术是信息安全技术的核心，是一种主动的信息安全防范措施。信息加密技术是其他安全技术的基础，加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的不可理解的密文形式(即加密)。对电子信息在传输过程中或存储体内进行保护，以阻止信息泄露或盗取，从而确保信息的安全性，数据加密的方法很多,常用的是加密算法，它是信息加密技术的核心部分，目前世界上最流行的加密算法有DES算法、RSA算法和CCEP算法等。同时随着技术的进步，加密技术正结合芯片技术和量子技术逐步形成密码专用芯片和量子加密技术。

2.3 防火墙技术

防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、检视和入侵检测技术。

防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他安全机制（如访问控制）集成使用；另外，防火墙难于管理和配置，由多个系统（路由器、过滤器、代理服务器、网关、堡垒主机）组成的防火墙，防火墙系统是一种网络安全部件，它可以是软件，也可以是硬件，还可以是芯片防火墙。这种安全部件处于被保护网络和其他网络的边界，接收进出于被保护网络的数据流，并根据防火墙所配置的访问控制策略进行过滤或作出其他操作，防火墙系统不仅能够保护网络资源不受外部的侵入，而且能够拦截被保护网络向外传送有价值的信息。

2.4 入侵检测系统

网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据进行实时检查，并与系统中的入侵特征数据库等比较。一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或立刻通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等。因此入侵检测是对防火墙极其有益的补充， 可在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击，外部攻击和误操作的实时保护，大大提高了网络的安全性。

2.5 虚拟专用网（VPN）技术

VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一，所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制，这两种机制为路由过滤技术和隧道技术。目前V P N 主要采用了如下四项技术来保障安全：隧道技术（Tunneling)、加解密技术（Encryption & Decryption)、密匙管理技术（Key Management)和使用者与设备身份认证技术（Authentication)。VPN隧道机制应能技术不同层次的安全服务，这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法，如按接入方式分成专线V P N和拨号VPN；按隧道协议可分为第二层和第三层的；按发起方式可分成客户发起的和服务器发起的。

2.6 其他网络安全技术

（1）IP盗用问题的解决，在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时发出这个IP广播包的工作站返回一个警告信息。

（2）Web，Email，BBS的安全监测系统，在网络的www服务器、Email服务器等中使用网络安全监测系统，实时跟踪、监视网络， 截获Internet网上传输的内容，并将其还原成完整的www、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网管中心报告。

结束语

网络安全是一个综合性的课题,未来的网络安全面临着更大的挑战和机遇。信息社会的发展需要网络安全技术的有力保障,网络安全技术的研究仍处于起步阶段,网络应用范围的不断扩大,使人们对网络依赖的程度增大,也对网络信息安全保护提出了更高的要求,网络信息安全必然随着网络应用的发展而不断发展。

[1]袁津生,吴砚农. 计算机网络安全基础.北京：人民邮电出版社.2004

[2]相明科.计算机网络及应用. 北京：中国水利水电出版社. 2003

[3]丁建立.网络安全. 武汉：武汉大学出版社. 2007

10.3969/j.issn.1001-8972.2011.11.056

郑玉洲，性别：男，职称 助理工程师，工作单位：中山职业技术学院，部门：网络现教中心，职务机房管理员。