网络安全对策：分布式计算机控制

1.加密与认证

1）加密技术

信息交换加密技术分为两类： 对称加密技术；非对称加密技术。

（1）对称加密技术。

在对称加密技术中，对信息的加密和解密都使用相同的私有密钥。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未泄露，那么机密性和报文完整性就能得以保证。对称加密技术也存在一些不足，如果交换一方有N 个交换对象，则其要维护N 个私有密钥。对称加密技术存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都要通过这把密钥加密后才能传送给对方。

（2）非对称加密技术。

在非对称加密体系中，密钥被分解为一对，即公开密钥和私有密钥。在这对密钥中，任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密钥）加以保存。公开密钥用于加密；私有密钥用于解密。私有密钥只能由生成密钥的交换方掌握；公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密技术可以使通信双方无须事先交换密钥就能建立安全通信，因此广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般建立在某些已知的数学难题上，是计算机复杂性理论发展的必然结果。

2）PKI 技术

PKI （Public Key Infrastructure）技术是利用公钥理论和技术建立的提供安全服务的基础，PKI 技术是信息安全技术的核心，也是电子商务的关键和基础技术。它能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。它是认证机构（Certification Authority，CA）、注册机构（Registration Authority，RA）、策略管理、密钥（Key）备份与恢复、证书（Certificate）管理与撤销系统等功能模块的有机结合。

（1）认证机构。

认证机构（CA）是一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。CA 签发网络用户的电子身份证明——证书。任何相信该CA 的用户，按照第三方信任原则，也都应当相信持有该证明的用户。CA 也采取一系列相应的措施来防止证书被伪造或窜改。

（2）注册机构。

注册机构（RA）是用户和CA 的接口，它所获得的用户标识的准确性是CA 颁发证书的基础。RA 不仅要支持面对面的登记，还必须支持远程登记。要确保整个PKI 系统的安全灵活，就必须设计和实现网络化安全且易于操作的RA 系统。

（3）策略管理。

在PKI 系统中，制定并实现科学的安全策略管理是非常重要的。这些安全策略必须能适应不同的需求，并且能通过CA 和RA 技术融入CA 和RA 的系统实现。同时，这些策略应符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。

（4）密钥备份与恢复。

为了保证数据的安全性，定期更新密钥和恢复意外损坏的密钥是非常重要的。设计和实现健全的密钥管理方案，保证安全的密钥备份、更新及恢复，也是关系到整个PKI 系统强健性、安全性、可用性的重要因素。

（5）证书管理与撤销系统。

证书是用于证明证书持有者身份的电子介质，它用于绑定证书持有者身份和其相应公钥。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况，这就需要进行证书撤销。证书撤销的理由各种各样，可能包括工作变动、对密钥怀疑等原因。证书撤销系统的实现可利用周期性地发布机制来撤销证书，或采用在线查询机制来随时查询被撤销的证书。

2.防火墙

防火墙技术是访问控制技术的一种具体体现。在网络中，防火墙是指一种将内部网络和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许“同意”的人和数据进入网络，同时将“不同意”的人和数据拒之门外，最大限度地阻止网络中的攻击者访问网络。

1）防火墙的功能

（1）防火墙是网络安全的屏障。一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务来降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。(www.xing528.com)

（2）防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证及审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

（3）对网络存取和访问进行监控审计。如果所有访问都经过防火墙，那么防火墙就能记录下这些访问并进行日志记录，同时能提供网络使用情况的统计数据。一旦发生可疑动作，防火墙就能进行适当报警，并提供网络是否受到监测和攻击的详细信息。另外，收集网络的使用和误用情况也是非常重要的。

（4）防止内部信息的外泄。利用防火墙来对内部网络划分，可实现内部网络重点网段的隔离，从而限制局部重点（或敏感）网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含有关安全的线索而引起外部攻击者的兴趣，甚至因此暴露内部网络的某些安全漏洞，使用防火墙就可以隐蔽那些透露内部细节的服务（如Finger、DNS 等）。除了起到安全作用，防火墙还支持具有Internet 服务特性的企业内部网络技术体系VPN （虚拟专用网）。

2）防火墙的分类

根据防火墙的分类标准不同，可将防火墙分为多种类型。根据网络体系结构来进行分类，防火墙可分为以下几种类型。

（1）网络级防火墙。

网络级防火墙一般基于源地址和目的地址应用（或协议）及每个IP 数据包的端口来做出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数路由器都能通过检查这些信息来决定是否将所收到的数据包转发，但它不能判断出一个IP 数据包来自何方、去向何处。先进的网络级防火墙可以提供内部信息，以说明所通过的连接状态和一些数据流的内容，把判断的信息与规则表进行比较。在规则表中，定义了各种规则来表明是否同意（或拒绝）数据包的通过。

（2）应用级网关。

应用级网关就是“代理服务器”，它能够检查进出的数据包，通过网关复制传递数据来防止在受信任服务器和客户机与不受信任的主机之间直接建立联系。应用级网关能够理解应用层上的协议，能够做较复杂的访问控制，并做精细的注册和审核。但是每种协议需要相应的代理软件，使用时工作量大，其效率不如网络级防火墙。

应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙来访问Internet 时，经常发现存在延迟且必须进行多次登录（login）才能访问。

（3）电路级网关。

电路级网关用于监控受信任的客户端（或服务器）与不受信任的主机间的TCP 握手信息，以决定该会话是否合法。电路级网关是在OSI 模型中的会话层上过滤数据包，这比包过滤防火墙要高两层。

（4）规则检查防火墙。

规则检查防火墙结合了包过滤防火墙、电路级网关、应用级网关的特点。它与包过滤防火墙一样，能够在OSI 网络层上通过IP 地址和端口号来过滤进出的数据包。它也像电路级网关一样能够检查SYN、ACK 标记和序列数字是否逻辑有序。它还能像应用级网关那样在OSI 应用层上检查数据包的内容，查看这些内容是否符合公司网络的安全规则。

在趋势上，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能识别通过的信息，而应用级防火墙在目前的功能上则向“透明”“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在结点间传送数据。

3.网闸

面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念——安全隔离技术应运而生。它的目标是： 在确保把有害攻击隔离在可信网络之外，并在保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换。

隔离概念的出现，是为了保护高安全度的网络环境。网闸的全称是安全隔离网闸。安全隔离网闸是一种由带有多种控制功能的专用硬件在电路上切断网络之间的链路层连接，并能在网络间进行安全适度的应用数据交换的网络安全设备。

安全隔离网闸的硬件设备由三部分组成，即外部处理单元、内部处理单元、隔离硬件。

安全隔离网闸在网络间进行的安全、适度的信息交换，是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据，利用存储转发的方法进行应用数据的交换，在交换的同时，对应用数据进行各种安全检查。路由器、交换机则保持链路各层道在链路层之上进行IP 数据包等网络层数据的直接转发，没有考虑网络安全和数据安全的问题，防火墙一般在进行IP 数据包转发的同时，通过对IP 数据包的处理来实现对TCP 会话的控制，但是对应用数据的内容不进行检查。这种工作方式既无法防止泄密，也无法防止病毒和黑客程序的攻击。

无论从功能还是实现原理上讲，安全隔离网闸和防火墙是完全不同的两种产品，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸的目标重点是保护内部网络的安全。由于这两种产品的定位不同，因此不能相互取代。

网络的安全威胁和风险主要存在于三方面： 物理层；协议层；应用层。网络线路被恶意切断或过高电压导致通信中断，属于物理层的威胁；网络地址伪装、Teardrop、SYN Flood 等攻击则属于协议层的威胁；非法URL 提交、网页恶意代码及邮件病毒等均属于应用层的威胁。从安全风险来看，基于物理层的攻击较少，基于网络层的攻击较多，而基于应用层的攻击最多，并且复杂多样，难以防范。