杜 涛

（晋中学院远程教育学院 山西 030600 )

0 引言

随着科技的发展，计算机技术逐渐影响人们生活与工作，但是各种网络安全问题的出现直接危害国家和社会，所以如何在计算机网络中，采用合适的措施及技术对网络进行安全防范尤为重要。

1 网络安全定义及特征

网络安全的定义有很多种，归纳是为了保障系统安全和信息安全，通过各种安全技术和防范措施，使得信息畅通的前提下，不被任意的篡改、破坏，确保数据在网络中传输、交换、存储的完整性、可靠性和保密性等。网络安全一般有下面一些特征：（1）保密性，即防护信息不被非授权地泄露和利用；（2）完整性，即确保信息不可修改、丢失等；（3）可靠性，即利用密码技术实现信息的真实性、可信可靠性；（4）可控性，即利用防火墙等技术控制信息的传输方式及内容。

2 强化网络安全防范技术

2.1 密码技术

密码技术通过身份验证、个性签名、系统加密、密钥管理等现代密码技术实现网络数据信息在传输、处理中的数据完整性、数据机密性。密码技术的理论基础是密码学，其包括密码编码学（研究实现对信息编码）和密码分析学（研究破译加密或伪码信息），这两种技术相辅相成，缺一不可。密码系统包含算法（加码算法E和解码算法D）和明文空间（P）、密文空间（C）和密钥空间（K)。如图1，我们先给出密码系统的Shannon模型，图中明文P表示没有加密的信息集，密钥K表示所有可能密钥集，发送者A为信源，接收者B为信宿。密码技术把明文变成密文进行信息的保护，如果密码被非法破译，窃听者就会窃取网络传输的信息，说明实施的密码技术失败。

图1 密码系统的Shannon模型

在实际信息网络中，适当地使用密码技术实现主动防范措施，来提高通信中信息的安全性。

2.2 认证技术

认证技术是网络信息安全通信的重要技术，其目的是保证信息发送者及其发送信息的真实性，并验证信息的完整性和可靠性。该实现认证技术主要有下面六种方式。

（1）数字信封。数字信封是指具有处理的加密密码，而数字信封实现功能是有权阅读的接收者才能接收网络中传输的信息。采用上述的密码技术对网络中传输的信息进行加密，接收者持有特殊的解密数字信封，得到对的密码，从能获取完整正确的信息。

（2）数字摘要。数字摘要是把明文摘要通过单向散列函数加密成密文。通过验证摘要确保网络通信传输信息保密准确。

（3）数字签名。数字签名采用数字摘要（形成128bit散列值）和密钥技术。发送信息者把报文及加密数字签名的附件一起发送给接收者，如果接收者能用公开密钥对数字签名解码，信息就可完整传输给接收者。通过数字签名鉴别接收者的身份，进而保证传输信息文件的完整性和不可抵赖性。

（4）数字证书。该技术结合数字信封、数字签名等技术，在网络交往中用于安全信息确认。中心签发机构把经授予的数字签名包含的公开密钥文件和该文件拥有者信息绑定，有效地验证使用给定密码的权利。在保证网络安全技术中，数字证书应用广泛。

（5）智能卡。智能卡是身份验证的首选技术。智能卡不仅可以读写数据、存储数据，而且可以对数据信息进行数字信封、数字签名、对签名鉴证等处理措施。利用智能卡技术，网络通信中信息的安全又得到一层保护。

（6）生物识别。利用人体各个特有的生物特征进行识别，如人眼、指纹、声音、脸廓等。该技术结合计算机技术、声学、光学、生物传感及统计数等技术，可实现实时、在线对网络安全保护。

2.3 防火墙技术

防火墙建立在内网和外网之间的安全防范设备，主要防止非法网络的入侵，对保护网络提供唯一的数据通道，本身具有抗攻击性，加强网络访问安全限制。防火墙主要功能为提高网络安全性、强化网络安全策略、监控和统计内部存取和访问信息、防止内部信息泄露[1]。

防火墙技术根据原理及工作模式，可分为多种，一般总结为下面四种。

（1）包过滤防火墙技术。数据包过滤是通过事先规定好的过滤规则，把接收到的数据进行判断是否转发，来确定是允许包还是堵塞包。该技术应用在网络层和传输层，不能改变数据包，只是对数据包进行过滤处理，而对于应用层的侵犯就无法阻止。数据包过滤流程是包检查模块以分析报头字段IP、TCP和UDP验证包过滤规则，如符合包过滤规则就转发数据包，不符合就应用下一个规则，来判断包是否被允许转发，若是就成允许包，若否就接着判断包是否被阻塞，若是就是阻塞包，若否就判断是否是最后规则，若是就成为阻塞包，若否就重新判断规则。

（2）代理防火墙技术。使用在应用层中，安全性比上述包过滤技术高。由代理服务软件对网络中请求进行安全检证，如果满足就分配到具体服务中。代理防火墙应用在因特网和用户之间，直接对数据流进行安全检验。代理技术具有很高的灵活性，可以在中转过程中，对用户的行为进行安全判定，决定是否中转。代理技术安全性较高，可对应用层进行安全扫描和监控。

（3）状态监测防火墙技术。该技术只对几个IP等参数进行检查，并制作状态表，与规则表进行配合，跟踪激活的连接点，实时监测连接点会话的状态，对传输信息时端口能准确的判断状态是否打开，及检测通信信息的状态。

（4）智能防火墙技术。该技术是新一代防火墙技术，具有传统防火墙所有的优点，也增强了一些防范攻击的新技术，如防攻击技术、防扫描技术、防欺骗技术、入侵防御技术、包擦洗和协议正常化技术和AAA技术。

2.4 入侵检测技术

为了弥补防火墙技术的不足，入侵检测技术能迅速发现攻击并帮助提高管理员的安全管理能力。国家标准中《信息技术安全性评估准则》有对入侵检测系统的描述。即“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。[2]”

入侵检测技术主要功能有监视、分析用户及系统活动，系统构造和弱点的审计，识别反映已知进攻的活动模式并向网络管理员报警，异常行为模式的统计分析，评估重要系统和数据文件的完整性，操作系统的审计跟踪管理。

入侵检测技术包括异常入侵检测技术和误用入侵检测技术。异常入侵检测技术首先建立系统正常的行为模型，其次对运行的行为与预定的正常行为比较，来判断该行为是否是异常入侵行为。误用入侵检测技术首先对系统非法行为进行攻击签名（表示特有的攻击模式），之后通过判断攻击签名来决定是否是入侵行为。

3 结语

安全是网络赖以生存的前提，所以网络安全问题成为亟需解决的难题，需要建立完善的网络安全防范体系，才能保证网络通信中信息不被恶意篡改、攻击甚至泄露。除了本文介绍的技术，还有入侵检测系统与防火墙的联动技术、病毒漏洞扫描技术、访问控制技术等都可提高网络安全防范技术水平，进而有效地保障网络安全。

[1]刘立锋.信息化环境下计算机网络安全技术与防范措施研究[J].科技资讯,2012(1):20.

[2]国标GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》2008.