浅谈计算机网络信息安全保密技术

　　在“云计算、大数据、物联网”新时期互联网络的发展需求和计算机技术快速更新驱使下，计算机处理业务已从原有的单机文件处理和数学运算，转换到基于内部封闭网络和外部互联网络的全球范围数据处理与信息共享。当前信息交流越来越频繁，人类生活变得越来越便利的同时，有关计算机网络安全的问题也逐渐显现出来，尤其是在计算机网络安全保密方面，对人类的正常生活造成了严重的影响。就计算机网络信息安全保密技术，本文作了浅谈。

　　计算机网络技术已然成为带动经济建设的有效手段和主要途径，其开放性和自由性的特点，在带来使用便利性同时，也使得网络安全面临着严峻的挑战。所以，需要采取有效的电子资源保护措施，对网络系统的安全性进行有效的改善。

　　一、关于计算机网络安全及其主要内容

　　计算机网络安全包括计算机网络的全部内容，有计算机硬件、软件、网络共享资源、网络服务等，网络安全就是要保护硬件、软件及数据资源，使之不受破坏、泄露，网络系统能够正常运行，网络服务不被中断。网络安全的实质是网络信息安全，是指网络信息的完整性、真实性、保密性、可控性的技术与理论。

　　对计算机的网络安全造成威胁的原因很多，主要是软件自身的漏洞，以及人为的操作不当和人为的恶意性侵袭。信息的安全与畅通，局域网的安全防范措施已迫在眉睫。网络安全措施应能胜任、应对不同的威胁和脆弱性，才能实现网络信息的保密性、完整性和可用性。

　　网络通信安全性涉及面很广泛，网络通信安全自身主要关心的是确保其他无关人员不能读取，更无法修改传送给他人的资料。网络通信的安全也对合法消息的截获和重播进行处理与分析，一般来说，网络安全问题的出现往往是由于有人恶意对某种能够获取利用的信息和资料进行截取和拦截而引起的。

　　二、计算机网络安全保密技术应遵循的原则

　　(一)物理隔离与最高防护原则。物理隔离是指一些涉密部门的网络信息要间接接入国际网络，或者只在本部门的局域网内传播，以免信息泄露。程序人员在处理多种密级的网络信息时，要采取最高密级进行保护。

　　(二)动态性与整体性原则。网络保密技术的动态性原则指要不断改进和完善保密技术，实现保密设备的更新换代与技术升级，保密措施要紧跟互联网发展的潮流，要根据网络系统的性能，结构，安全需求与技术的变化而更新，要根据保密需求不断进行调整与升级。

　　一个优良的保密措施取决于多方面的因素，囊括了计算机软件、数据等，只有从整体的角度去考量计算机保密技术的安全性。才能切实有效的保证网络信息的安全。网络信息的保密技术的整体性原则指保密措施要系统、全面，涵盖计算机系统的各个方面。技术人员要及时改进或完善安全保密技术，及时对涉密系统与技术设备进行更新换代。

　　(三)一致性与易操作性原则。计算机网络安全中保密技术的一致性原则指计算机的保密技术要与有关部门规定的整个网络系统的安全保密技术相兼容，以保证在制度层面的可控性与协调性。

　　安全措施应具有易操作性原则，这样会降低管理成本。此外，易操作性原则指安全措施不能影响系统的日常运行与服务。

　　三、计算机网络信息保密技术

　　网络信息保密技术是利用物理或者数学手段，对信息在传输、存储过程中进行保护以防止信息泄露。保密技术又可称为信息保密技术，它主要是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护、防止泄漏的技术。

　　(一)密钥管理技术。口令作为数据安全的基础，为了数据的安全，需要格外重视密码的设置。建议密码的设置由数字和字符共同构成，密码设置长一点可以提高密码的复杂度，并且需要更换密码，以防被破解后泄露信息。此外，在使用数据库时，由于数据库分读写模块和修改模块，在设置密码时，让不同模块之间设置的口令彼此独立，可以增加破解难度，保证不同模块的信息都能安全。

　　网络数据信息的加密主要表现为密钥的管理，密钥是黑客窃取信息的主要对象，密钥有多种媒介，包括存储器、磁卡、磁盘等，密钥的管理主要体现在密钥保存、更换等环节上。密钥技术分为对称密钥与非对称密钥两种，对称密钥是指数据的两端使用同一种密钥，只要双方的密钥不被泄露，数据就能保证安全，这一技术目前主要用在邮件加密过程中，它的特点是数据的加密与解密是一致的，当前主要的对称加密技术有DES、AES等。非对称性密钥是指数据的加密与解密的密钥不通用，分为公开密钥与保密密钥，典型算法是1I SA体制，非对称性密钥有效提高了数据的可靠性与稳定性。

　　(二)数字签名技术。在网络环境下，发送方不承认自己发送过某一报文：接收方自己伪造一份报文，并声称它来自发送方;网络上的某个用户冒充另一个用户接收或发送报文;接收方对收到的信息进行篡改。数字签名技术可以解决上述情况引发的争端。数字签名与公钥密码学紧密相连，公开密钥和私有密钥共同组成了密钥的主要组成部分。数字签名的过程主要包括内容：签名过程使用私有密钥进行：验证过程采用接受方或验证方用公开密钥进行。一般来说，无法从公开密钥得出私有密钥，因此公开密钥对私有密钥的安全不产生影响;即认为无需对公开密钥进行保密。传播自由，但需对私有密钥进行保密。因此，在对消息进行私有密钥加密时，如果可以利用公开密钥进行解密，即可认为该签名的所有者就是加密者本人签名。造成这种现象的原因主要是由于其他人的通过公开密钥不可能对该消息进行解密，也无法获悉消息签名者的私有密钥来进行解密。从技术上来讲，数字签名其实就是通过一个单向函数对要传送的报文(或消息)进行处理产生别人无法识别的一段数字串，这个数字串用来证明报文的来源并核实报文是否发生了变化。在数字签名中，私有密钥是某个人知道的秘密值，与之配对的唯一公开密钥存放在数字证书或公共数据库中，用签名人掌握的秘密值签署文件，用对应的数字证书进行验证。

　　(三)防火墙技术。防火墙是内部网和外部网之间的一道保护屏障。它是由一种计算机硬件和软件共同结合而成，它在Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。防火墙包括网络层防火墙、应用层防火墙、数据防火墙几个类型。防火墙有几个作用：

　　第一，扫描流经内部和外部网之间网络通信，过滤掉一些攻击，以免目标计算机受到攻击遭受损失;

　　第二，防火墙可以关闭后台不使用的端口，让你的系统变为铜墙铁壁，主要应该封闭的端口有：TCP 135、139、445、593、1025端口;UDP 135、137、138、445端口，一些流行病毒的端口TCP 2745、3127、6129端口和远程服务访问端口3389。

　　第三，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信，减少接触非友好因素的几率。

　　(四)接入控制技术。为了保护好数据信息，需要通过相应手段遏制不可信的、非安全终端接入局域网络，以抵御各种安全资源对网络资源的威胁。这就用到接入控制技术，它有安全要求：允许DNS查询;允许Intranet内局域网有权限的访问Internet;限制外部IP与内部主机直接连接;根据黑名单地址，屏蔽可疑连接;负责入侵设计和追踪，记录与安全相关的网络活动。目前，传统网络控制接入技术已经相对成熟，已建局域网可以考虑使用传统网络控制接入技术。

　　作者：李寒阳 来源：世纪之星·交流版 2015年6期