探讨信息社会网络信息安全技术

摘 要：信息社会网络环境下的信息安全技术，对网络破坏者的意图和可能采取的手段进行了说明，重点对网络安全策略和常用的网络信息安全技术进行了讨论。关键词：计算机网络；信息安全技术；防火墙；加密；解密

Abstract:under the environment of network information security technology in the information society, on Internet predators of intent and describes the possible means, focusing on network security policies and common network information security technology was discussed.

Key words: computer networks; information security technology; firewall; encryption; decrypt

[中图分类号] G202[文献标识码A[文章编号]

随着社会信息化程度的不断提高，计算机网络技术得到迅猛发展，网络已经影响到社会生活的各个方面，给现化人类生活带来了深远的影响。当网络为整个社会带来了巨大的推动与冲击的同时，也给信息安全工作带来了极大的挑战。计算机网络犯罪事件已层出不穷。随着网络上电子商务、电子现金和网络银行等业务的兴起以及各种专用网（如金融网）的建设，网络和信息系统的安全与保密工作也就显得越来越重要。

一、威胁计算机网络信息的手段

计算机网络安全是保证网络正常运行、维护网上正常秩序、提高网络效率的基本前提。网络信息安全主要包括信息的保密性和完整性。网络信息面临被窃密和破坏的威胁。

网络信息被窃密可通过通信侦察、电磁截获和介入浏览等手段实施。

通信侦察指在信息传输过程中，网络破坏者采用通信侦察设备对无线电信号进行侦收（侦听）、对有线电信号进行窃听，获得有用信息。电磁截获指电子设备在工作过程中，电磁波会向四周辐射，如果被网络破坏者截获，就会造成信息泄密；近来的研究已发展到可在1000 m以外接受计算机显示器上辐射的电磁波信息并用普通电视复现这些信息。介入浏览指网络破坏者对存贮在计算机网络中的数据进行检索和查看，以窃取有用信息。网络信息被破坏可通过通信干扰、病毒介入、黑客侵袭和实体破坏等手段来实施。通信干扰指在信息传输过程中，网络破坏者将在通信侦察的基础上，采用无用信号对网络系统中有用信号进行干扰压制；特别是无线电信号容易受通信干扰设备的干扰，无法接受到有用信号而造成信息的中断破坏。病毒介入指计算机病毒侵入网络系统后，影响网络系统的正常运行，造成网络信息的破坏。轻者占用存储空间，影响系统的工作效率，重者毁掉重要数据，甚至删除所有数据，导致整个系统瘫痪。黑客侵袭指网络破坏者对计算机的数据进行修改、删除或安插假信息、假命令，可以很容易地造成信息破坏。

实体破坏指网络破坏者采用暴力手段摧毁网络系统实体，造成网络信息的彻底破坏；实体的破坏还可能由于可靠性、人为操作、自然灾害（如雷电、火险、水灾、地震等）对系统构成严重威胁；雷电是电子时代的一大公害，他产生的强电磁脉冲能烧毁电子设备元器件。

二、网络安全策略

计算机网络安全策略是关于网络安全问题的总的原则、对安全使用的要求及怎样保障网络的安全运行。在制定安全策略时，首先需要确定的原则为：准许访问除明确拒绝以外的全部服务还是拒绝访问明确准许以外的所有服务。前者由于用户可能使用不安全的服务而危及网络安全，只有在网络的实验阶段才可采用，后者一般被选择作为总的原则，总的原则确定后还应考虑的问题有：

(1)将系统资源分类，确定需保护的资源及其保护的级别。规定可以访问资源的实体和能够执行的动作。

(2)根据网络使用单位的实际需要确定内部网的服务类型，规定内部用户和外部用户能够使用的服务种类。

(3)规定审计功能，记录用户的活动及资源使用情况。

三、网络环境下信息安全的常用技术

网络安全性与每一层都有关系。在物理层，可通过把传输线封装在包含压氩气的封装管中来挫败偷听。任何钻管的尝试都会导致漏气、减压，并能触发警报装置。一些军用系统就采用了它。在数据链路层，点点线上的分组在离开一台机器时被编上密码，到达另一台时再解码。在网络层，可以安装防火墙来限制分组的进出。在传输层，整个连接都能被加密（端端，即过程到过程）。在应用层可想办法采用一种通用的方法有效地解决身份认证或反拒认问题。

网络信息安全技术通常从防止信息窃密和防止信息破坏两方面来考虑。

防止信息窃密的技术通常采用通信反侦察、防电磁泄露、防火墙技术、密钥管理、通信保密、文件保密、报文鉴别、数字签名、存储加密等。

(1) 通信反侦察

网络在传输信息过程中很容易被网络破坏者侦收，为了防止这一点，有线电通信常采用光缆和可防窃听的保密电缆线路等；无线电通信则通常采用扩频技术、悴发传输技术、毫米波和激光通信技术等，这几种通信手段都具有强的抗截获能力和抗干扰能力。

(2) 防电磁泄露

计算机系统电磁辐射泄露也会使信息失密，因此，通常采用机房屏蔽和设备屏蔽技术来抑制和防护电磁辐射泄漏。机房屏蔽是用屏蔽室对计算机系统实施屏蔽。屏蔽性能最好的是采用实体的钢和钢板的双层屏蔽以及双层间绝缘的屏蔽室。设备屏蔽，比如为防止视频显示器电磁辐射，在其玻璃上喷涂一层导电薄膜，在玻璃周围用导电条将导电薄膜与机壳相连接地，达到屏蔽电磁场的效果。另外，还要从设备的研制和生产上加以考虑（如改善电路布局、搞好电源线路和信号线路滤波等）电子设备电磁辐射的防护和抑制。

(3) 防火墙技术

防火墙是目前所有保护网络的方法中最能普遍接受的方法，而且防火墙技术还属于新兴技术，95%的入侵者无法突破防火墙。防火墙的主要功能是控制对受保护网络的非法往返访问，他通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用来防范内外部的非法访问。

(4) 密钥管理

网络安全系统运行效率的高低与密钥管理密切相关，若对于DES和RSA密码体制丢失了密钥，则整个网络安全系统变成为虚有。密钥管理由密钥的产生、分配和安装3个部分组成。

(5) 通信保密

在计算机网络中，通信保密分为链路加密、结点加密和端对端加密。在这3种方式中，端端加密从成本、灵活性和保密性方面看是优于其他两种方式的。端端加密指的是在发送结点加密数据，在中间结点传送加密数据（数据不以明文出现），而在接受结点解密数据。

(6) 文件保密

网络中的重要资源是文件，网络安全系统一般采用口令、访问控制等安全措施，但这些措施抗渗透性不强，容易被伪造、假冒，从而使非法用户侵入文件系统，针对这种攻击，必须采用文件加密来保护。这样，即使非法用户获得了文件，也无法看懂，只有文件的合法使用者用自己的秘密密钥，才能看到文件的真实原文。

(7) 报文鉴别

报文鉴别能提供对传输报文数据的有效性及完整性的验证，他是数据保密的一部分。他允许每一个通信者验证收报文的来源、内容、时间性和规定的目的地址。

(8) 数字签名

在网络环境中，签署决定和文件是各部门负责人经常要做的事，因此在网络中要解决与书写签名有对等功能的数字签名问题。数字签名可以采用DES体制或RES体制，对于DES体制需要复杂的协议，并需要第三方仲裁服务。而公开密钥算法得到的数字签名是通用的、一般的签名，因为他能为任何存取发送方公开密钥的人所证实，因此RES体制常被采用。为达到只有合法发送方才能通过所持有的密钥对数据解密，人们通常把数据保密通信和数字签名合为一体。

(9) 存储加密

网络信息不仅在传输过程中需要加密，而且存储时也要加密，这是为了防止非法拷贝和查询。存储加密能较彻底地防止信息窃密。依据存储方式，存储加密有文件加密和数据库加密2种形式。由于文件加密以文件为单位进行加密，而数据库加密以数据库记录甚至以字段为单位进行加密，所以文件加密比数据库加密容易实现。

四、结语

网络信息面临严重威胁，只要我们采取有效措施，就能保证网络信息安全。采用不同的网络信息安全技术直接影响到网络的使用性和网络的速度。例如网络中采用防火墙技术会影响网络的使用性，使用数据加密技术（不同的数据加密标准对网络的运行速度的影响不同）会显著地影响网络的运行效率。不同的网络环境影响数据加密技术的选择。

作者简介：丁高虎（1979.1）男，汉族，籍贯：四川遂宁，工作单位：四川职业技术学院。