盛国阳

摘 要：计算机网络安全是指利用网络控制和技术措施，保证在一个网络里，数据的保密性、完整性及可使用性受到保护。从技术上来说， 计算机网络安全主要由防火墙技术等安全组件组成，一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、PKI技术等。

关键词：网络安全问题；防火墙技术

一、计算机网络安全技术

（一）防火墙技术。所谓防火墙就是一个或一组网络设备（计算机或路由器等），可用来在两个或多个网络间加强访问控制。 它的实现有好多种形式，有些实现还是很复杂的，但基本原理原理却很简单。 你可以把它想象成一对开关， 一个开关用来阻止传输， 另一个开关用来允许传输。

设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。 通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则是一个外部的网络，该网络是不可信赖的，因为可能有人会从该网络上对我们的网络发起攻击，破坏网络安全。 对网络的保护包括下列工作：拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资源。防火墙是用来实现一个组织机构的网络安全措施的主要设备。 在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。

（二）数据加密技术。当前，由于计算机网络的迅速发展，对网络上的数据的攻击与破坏也日益增强。如何保障网络中数据的安全已成为当前计算机网络的重要研究内容。尤其对数据库系统而言，数据大量集中存放，且为众多用户直接共享，安全性问题更为突出，由此它也成为网络环境下数据安全保护的主要软件。因此，在客观上就需要一种强有力的安全措施来保护机密数据。

数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密，常用的有链路加密、节点加密和端到端加密三种方式。

（1） 链路加密是传输数据仅在物理层上的数据链路层进行加密，不考虑信源和信宿，它用于保护通信节点间的数据。接收方是传送路径上的各台节点机，数据在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。

（2） 与链路加密类似的节点加密方法是在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密节点处易受攻击的缺点。

（3） 端到端加密是为数据从一端到另一端提供的加密方式。数据在发送端被加密，在接收端解密，中间节点处不以明文的形式出现。在端到端加密中，数据传输单位中除报头外的报文均以密文的形式贯穿于全部传输过程，只是在发送端和接收端才有加、解密设备，而在中间任何节点报文均不解密。因此，不需要有密码设备，同链路加密相比，可减少密码设备的数量。另一方面，数据传输单位由报头和报文组成的，报文为要传送的数据集合，报头为路由选择信息等（因为端到端传输中要涉及到路由选择）。在链路加密时，报文和报头两者均须加密。而在端到端加密时，由于通路上的每一个中间节点虽不对报文解密，但为将报文传送到目的地，必须检查路由选择信息。因此，只能加密报文，而不能对报头加密。这样就容易被某些通信分析发觉，而从中获取某些敏感信息。链路加密对用户来说比较容易，使用的密钥较少，而端到端加密比较灵活，对用户可见。在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。

（三）PKI技术。PKI 即公共密钥体系。它利用公共密钥算法的特点，建立一套证书发放、管理和使用的体系，来支持和完成网络系统中的身份认证、信息加密、保证数据完整性和抗抵赖性。PKI 体系可以有多种不同的体系结构、实现方法和通信协议。

公共（非对称）密钥算法使用加密算法和一对密钥：一个公共密钥（公钥，public key）和一个私有密钥（私钥，private key）。其基本原理是：由一个密钥进行加密的信息内容，只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者，私钥则需要十分安全地存放起来。使用中，甲方可以用乙方的公钥对数据进行加密并传送给乙方，乙方可以使用自己的私钥完成解密。公钥通过电子证书与其拥有者的姓名、工作单位、邮箱地址等捆绑在一起，由权威机构（CA， Cer

tificate Authority）认证、发放和管理。把证书交给对方时就把自己的公钥传送给了对方。证书也可以存放在一个公开的地方，让别人能够方便地找到和下载。

公共密钥方法还提供了进行数字签名的办法：签字方对要发送的数据提取摘要并用自己的私钥对其进行加密；接收方验证签字方证书的有效性和身份，用签字方公钥进行解密和验证，确认被签字的信息的完整性和抗抵赖性。

二、计算机网络安全存在的问题

（一）网络的开放性。Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题，这些安全隐患可以归结为以下几个方面。

（1）只要有程序，就可能存在漏洞。几乎每天都有新的漏洞被发现和公布，程序设计者在修改已知漏洞的同时又可能使它产生新的漏洞。此外，系统的漏洞经常被黑客攻击，而且这种攻击通常不会产生日志，几乎无据可查。（2）黑客的攻击手段在不断更新。安全工具的更新速度太慢，绝大多数情况需要人为参与才能发现以前未知的安全问题，这就使得他们对新出现的安全问题总是反应太慢。因此，黑客总是可以找到漏洞进行攻击。（3）传统安全工具难于保护系统的后门。防火墙很难考虑到这类安全问题，大多数情况下，这类入侵行为可以堂而皇之地绕过防火墙而很难被察觉。（4）安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户。（5）每一种安全机制都有一定的应用范围和环境。防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问，但对于内部网络之间的访问往往是无能为力的。

（二）网络的自由性。网络信息自由带来的主要威胁：入侵，即未经授权的访问，试图入侵系统；攻击，如扫描系统漏洞，并加以攻击；来自互联网的病毒，尤其是电子邮件和文件下载，如

CIH 病毒，“爱虫”病毒；恶意代码，即可执行的恶意代码，如特洛伊木马、蠕虫；窃听；欺骗；否认（如否认个人签名等）。

网络安全问题的出现与网络信息自由有密不可分的关系。网络信息自由具有可以被入侵者用来侵入的弱点。通过考察在Internet上发生的黑客攻击事件，发现网络攻击的手段都是在网络信息自由的前提下利用网络中存在的各种漏洞和安全缺陷。计算机系统及网络之所以存在着脆弱性，主要是存在着以下一些不安全因素。

三、结束语

计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强计算机立法和执法的力度，建立备份和恢复机制，制定相应的安全标准。 此外，由于计算机病毒、计算机犯罪等技术是不分国界的，因此必须进行充分的国际合作，来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。

参考文献：

[1]张千里.网络安全新技术[M].北京：人民邮电出版社，2003

[2]龙冬阳.网络安全技术及应用[M].广州：华南理工大学出版社，2006