基于加密技術(shù)的計算機網(wǎng)絡安全結(jié)構(gòu)設計

李仁樂

（山西廣播電視大學長治分校 山西省長治市 046000）

當今社會，計算機網(wǎng)絡得到了高速的發(fā)展?？梢哉f，人們的生活幾乎離不開計算機網(wǎng)絡，但是網(wǎng)絡安全也備受人們的重視。在網(wǎng)絡數(shù)據(jù)傳輸?shù)倪^程中，要保證數(shù)據(jù)傳輸?shù)陌踩裕鸵褂眯畔⒓用芗夹g(shù)，防止信息被獲取和修改。計算機網(wǎng)絡安全結(jié)構(gòu)的建設是關(guān)系網(wǎng)絡安全的重要環(huán)節(jié)，設計好的計算機安全結(jié)構(gòu)能夠保證網(wǎng)絡安全功能的完整性，降低安全管理的開銷，增強網(wǎng)絡安全的功能。計算機網(wǎng)絡具有較高的便利性，利用網(wǎng)絡可以使我們隨時隨地辦公和交換信息。但是，計算機網(wǎng)絡也會受到騷擾和攻擊，影響到信息的正常傳輸，使得網(wǎng)絡安全得不到保證，降低了信息可信度。以此，創(chuàng)建計算機網(wǎng)絡安全結(jié)構(gòu)具有重要意義。

1 計算機網(wǎng)絡安全概述

計算機網(wǎng)絡由兩部分組成通信網(wǎng)絡和信息資源，信息資源在通信網(wǎng)絡中可以傳遞，實現(xiàn)信息的共享和使用。通信網(wǎng)絡如同現(xiàn)實生活中的高速公路。但是二者在傳遞內(nèi)容和形式上有著不同，另外傳輸速度上后者無法與前者相比。

計算機網(wǎng)絡受到的威脅可以分為人為因素和非人為因素兩種。非人為因素的威脅指的是在非人為破壞的情況下，硬件設備和軟件出現(xiàn)問題，導致信息無法正確保存和傳輸。比如由于地震、火山爆發(fā)、雷暴等自然天氣造成的網(wǎng)絡故障或信息傳輸失敗，還有意外斷電導致的信息傳輸?shù)膩G失等。人為因素的威脅指的人為對網(wǎng)絡的破壞，導致的各種網(wǎng)絡安全問題。比如計算機病毒和木馬的攻擊，和數(shù)據(jù)的非法泄露、截取、更改等。

針對計算機網(wǎng)絡受到的威脅，計算機網(wǎng)絡安全可以分為實體安全和信息安全兩個方面。實體安全指的是計算機網(wǎng)絡中的硬件設備、操作系統(tǒng)及軟件的安全。信息安全指的是計算機通信網(wǎng)絡中信息的存儲和傳遞的安全[1]。

2 常用的加密技術(shù)

信息加密是網(wǎng)絡安全的一項重要技術(shù)，信息加密技術(shù)是通過算法保護信息傳輸與存儲數(shù)據(jù)不被泄露和更改的技術(shù)。利用加密算法把數(shù)據(jù)轉(zhuǎn)換成另外的形式，如果沒有密鑰就無法解讀報文。密鑰是加密和解密算法在加密和解密數(shù)據(jù)時的重要參數(shù)。目前已經(jīng)有兩百多種轉(zhuǎn)換算法標準，如IDEA 算法、RSA 算法與DES 算法等，它們主要分為對稱和非對稱密鑰系統(tǒng)兩類。對稱密鑰系統(tǒng)的加密和解密密鑰是相同，發(fā)送方和接收方要把密鑰保存好，一旦泄露，信息安全就得不到保障。非對稱密鑰系統(tǒng)的加密密鑰和解密密鑰是不同的，加密密鑰是公開的，無需保密，而解密密鑰是私有的，不能公開，需保密，一旦泄露，信息安全就得不到保障。

圖1：防火墻的工作原理

圖2：CA 認證模型示意圖

DES 算法為高對稱加密系統(tǒng)，有效密鑰長度為56 位，其具有較快的加密速度。但是其安全性已經(jīng)無法滿足實際需求。RSA 算法是能夠同時實現(xiàn)加密與數(shù)字簽名的算法，方便操作與理解。RSA 算法是目前使用最為廣泛的非對稱密鑰算法。

將密鑰加密技術(shù)應用到數(shù)據(jù)傳輸和存儲中，即便是被黑客入侵，也不易被竊取者得到正確密鑰，有效保證數(shù)據(jù)內(nèi)容的安全。但是密碼總是會被破譯，此也是密碼加密技術(shù)發(fā)展的動力。隨著科學技術(shù)持續(xù)發(fā)展，在此過程中要創(chuàng)造更加可靠的加密算法，才能夠提高計算機網(wǎng)絡的安全性[2]。

3 基于加密技術(shù)的計算機網(wǎng)絡安全結(jié)構(gòu)設計

3.1 網(wǎng)絡防火墻的設計

防火墻為目前使用最經(jīng)濟、普遍的網(wǎng)絡安全技術(shù)。它是由硬件設備和軟件構(gòu)成，在內(nèi)外部網(wǎng)、公用網(wǎng)、專用網(wǎng)中創(chuàng)建的保護屏障。網(wǎng)絡防火墻是對網(wǎng)絡安全保證的第一道城墻，實現(xiàn)網(wǎng)絡的安全就要安裝并開啟防火墻，網(wǎng)絡防火墻將目的地址、源地址、協(xié)議、應用和IP 包端口作為基礎對數(shù)據(jù)包是否通過進行判斷，還能夠?qū)γ織l規(guī)則是否相符進行檢查，與規(guī)則不符，就利用默認規(guī)則丟棄此包?；赨DP 與TCP 數(shù)據(jù)包端口號，網(wǎng)絡防火墻對是否允許創(chuàng)建指定連接進行判斷，比如Telnet 連接。內(nèi)外網(wǎng)之間的訪問都要需經(jīng)過網(wǎng)絡防火墻，進行訪問控制，進而保證內(nèi)部網(wǎng)的安全性[3]。圖1 為防火墻的工作原理。

防火墻也不是萬能的，它不能阻止來自網(wǎng)絡外部所有的威脅，而且也不能阻止內(nèi)部網(wǎng)絡用戶對自身網(wǎng)絡的攻擊。它也不能防范大多數(shù)的病毒[4]。

3.2 認證申請模塊的設計

PKI 公鑰基礎設施，它是一種利用公鑰密碼加密技術(shù)為基礎的網(wǎng)絡安全平臺。核心部件CA 認證機構(gòu)，主要功能是負責電子證書的申請、發(fā)放及認證等工作，使得網(wǎng)絡中的用戶在傳遞數(shù)據(jù)時，都有自己的數(shù)字證書，保證數(shù)據(jù)來源身份的真實性。PKI 主要利用公鑰加密技術(shù)和數(shù)字證書等技術(shù)。CA 認證機構(gòu)為每位經(jīng)過身份確認的申請者分發(fā)數(shù)字證書，數(shù)字證書的內(nèi)容包括認證機構(gòu)的信息、用戶的信息、分配的公鑰、數(shù)字簽名及有效期等。發(fā)送者在發(fā)送信息時，要將加密的信息和數(shù)字簽名捆綁在一起，發(fā)給接受者。接受者通過信息中的數(shù)字簽名來，來驗名發(fā)送者身份的真?zhèn)蝃5]。圖2 為CA 認證模型示意圖。

3.3 網(wǎng)絡安全服務的建設

通過研究單位內(nèi)部網(wǎng)和互聯(lián)網(wǎng)的安全域表示，目前單位內(nèi)部網(wǎng)絡指的是具備業(yè)務性質(zhì)與辦公的網(wǎng)絡，假如不限制網(wǎng)絡行為，就會嚴重威脅到內(nèi)部重要生產(chǎn)業(yè)務系統(tǒng)。網(wǎng)絡安全域的建設重點是為內(nèi)網(wǎng)和互聯(lián)網(wǎng)區(qū)提供安全防護。內(nèi)部網(wǎng)的網(wǎng)絡安全除了應用防火墻技術(shù)、信息加密技術(shù)和認證技術(shù)外，網(wǎng)絡安全還要從以下三個方面進行：

（1）內(nèi)部網(wǎng)區(qū)的建設；

（2）安全防護支撐區(qū)的設置；

（3）網(wǎng)絡安全制度的制定[6]。

3.3.1 內(nèi)部網(wǎng)區(qū)的建設

在計算機的內(nèi)網(wǎng)中，主要承擔著單位生產(chǎn)和辦公等業(yè)務。在內(nèi)網(wǎng)中，每一位用戶都要做好安全認證。只有進過身份認證，才能夠進行下一步。內(nèi)網(wǎng)中的服務器、客戶端和其他設備等，都需要用戶的身份認證。通過了身份認證，接下來面對的是權(quán)限分配的問題，這就需要引進訪問控制技術(shù)，來決定誰能使用那種資源，誰進入那個系統(tǒng)，同時在使用資源時，擁有那種權(quán)限。不同級別的用戶，擁有不同的權(quán)限。這些權(quán)限比如有讀取數(shù)據(jù)、修改數(shù)據(jù)、上傳、下載等。這樣會使信息資源得到合理合法的使用[7]。

還會使用到入侵檢測技術(shù)，它通過對網(wǎng)絡和計算機中的重要信息進行訪問，并進行分析，來判斷是否遭到入侵。訪問的這些信息包括日志文件、流量、文件和程序的違規(guī)操作等。一旦發(fā)現(xiàn)入侵，能夠發(fā)出報警信號。

在內(nèi)網(wǎng)中，日志也是保障計算機安全的重要措施，它可以把計算機的登陸信息及操作信息以文件的形式記錄下來，為以后的查詢提供方便。這個文件與一般文件不同的是，該文件是由系統(tǒng)來管理的，一般的用戶不能修改[8]。

3.3.2 安全防護支撐區(qū)的設置

實現(xiàn)安全防護支撐區(qū)的設置，在此區(qū)域放置安全技術(shù)防護設備，比如防病毒系統(tǒng)、準入控制設備、IDS 設備、桌面安全系統(tǒng)等。在此區(qū)域還可以實現(xiàn)一些安全防護支撐系統(tǒng)相應技術(shù)設備，比如漏掃系統(tǒng)，能夠及時的發(fā)現(xiàn)系統(tǒng)與設備中的安全風險，及時使信息系統(tǒng)隱患打上補??；堡壘機，能夠?qū)崟r監(jiān)控內(nèi)網(wǎng)絡中所有節(jié)點的狀態(tài)和活動軌跡，以便報警和實時處理；日志審計，實現(xiàn)網(wǎng)內(nèi)設備的日志分析、收集，從而使信息安全人員通過綜合日志審計平臺掌握網(wǎng)絡整體的安全狀態(tài)[9]。

3.3.3 網(wǎng)絡安全制度的制定

網(wǎng)絡安全的具體操作者是人，因此要從人的角度去考慮，建立完善的網(wǎng)絡安全管理制度。安全制度是內(nèi)網(wǎng)安全保障的重要環(huán)節(jié)。它的主要內(nèi)容應該包括網(wǎng)絡中各個崗位的職責劃分，每個崗位的實施步驟和注意事項。另外還要提出有效的應急預案，在出現(xiàn)安全問題時，做到有章可循。同時要建立網(wǎng)絡安全知識培訓機制，切實提高全體人員的網(wǎng)絡安全知識和防范意識。操作者規(guī)范了，網(wǎng)絡才會更安全[10]。

4 結(jié)束語

在計算機技術(shù)不斷發(fā)展的過程中，計算機網(wǎng)絡在人類生活中的作用也不斷提高，網(wǎng)絡安全問題也不斷的增加，對網(wǎng)絡安全造成危害的犯罪行為也逐漸出現(xiàn)。所以，就要重視網(wǎng)絡安全問題，并且使用積極有效的應對策略，基于實際網(wǎng)絡情況，創(chuàng)建完整網(wǎng)絡防御系統(tǒng)，相互協(xié)調(diào)，充分發(fā)揮各自的優(yōu)勢，對計算機網(wǎng)絡安全進行保護。以此，本文分析了計算機網(wǎng)絡安全原理，提出了基于加密技術(shù)的計算機網(wǎng)絡安全結(jié)構(gòu)設計。