蔡永泉：计算机网络安全攻防战（2）

三、计算机网络安全

（一）网络信息安全

网络信息安全。我现在要进入计算机网络安全，我首先讲接入网络的信息安全。网络信息安全是指我们在网络里面传输跑的数据，比如说我发一个邮件，我从中国发一个邮件到美国，或者从哪个网站下载一个数据，这个就是信息安全。那么接入信息安全，一般有两个安全的部分，一个是传输的安全，还有一个是存入在计算机网络静态信息的安全。你们有没有做购车摇号的，有没有做过这个，你们有没有摇中的，摇中的有一个表下来，它是不是要做MD5完整性检查。我就摇到一个车号，结果下载摇的表，有一个MD的，就是用来做信息传输的安全，就是你不能在传输的过程当中叫停，传错了，本来是你摇的号，不是你的号，那就不行了。这个就是信息安全，接入计算机信息安全。还有一个网络系统安全。如果你信息安全，网络系统不安全，就不行。这个系统就相当于我们的戏台，信息安全就相当于我们在上面唱戏一样。你要想唱好一个戏的话，你那个台首先必须好，否则你在那儿一跳一跳的，戏台都跳塌了，什么样的好戏也跳不好，是不是这个概念。我讲的计算机网络，就围绕这两点，一个是接入网络信息的安全，还有一个接入网络计算机系统的安全。网络信息安全主要讲传输的安全。静态的信息安全，只要把网络安全好了，静态信息就不会处于不安全的状态了。

传输的安全。传输的安全，我们只要保证这三点，我相信就能够实现了。一要保障传输是机密的。这个信息在传输过程当中一定是机密的，也就是说在传输过程当中，你不管任何人获取这样的信息，拿去了以后，他什么也看不懂。拿去了也算白拿，他也看不懂。二要保证完整性。你不让黑客拿去看不懂，这个时候黑客把你破坏了一点，我看不懂，我也不让你合法的用户也来看得懂，给你破坏了一点，他就做了这种。那么有了这两条机密性和完整性，我想可用性就不存在问题了。传输的安全性，这也是ISO国际标准组织给我们定的，就是信息的安全性。那么有同志可能会问我们怎么样做到机密性呢？无非是把我们的数据加密，把它加上密，就相当于用锁把它锁上了，这样是不是就安全了呢？我想是的。加密，你看我们怎么做，这个信息是密文信息，然后通过密钥，通过一个密钥，通过加密，加密完了以后，把它传输，就是解密，然后就得到这个密文信息了。我们平常使用的加密要有一个加密密钥，我们通常密文经过密钥进行加密，这样黑客如果拿不到这个密钥的话，你拿去的，解密文的时候也得不到任何的信息。他也读不懂，那么就是这个过程。怎么加密呢？目前有两个加密方法。一个叫对称密钥加密，还有一个是不对称加密。所谓对称加密，就是加密和解密都用相同的密钥。也就是说你加完密以后，用这个钥匙可以把锁打开，你以后锁上的话，还可以用同样的一把钥匙来开这个锁。我们是不是有的锁必须要用钥匙才能锁的吧，然后你要开这个锁，再要用相同的钥匙，我们就称为对称密钥加密。对称密钥加密，有一个美国数据加密标准，它是怎么加密呢？它是64个密文，然后经过数据加密，就得到了这个密文了。另外还有一个不对称加密标准，现在我们全球都在用它，称之为常用的2RS数据加密标准。银行用的U盾，就有一个2RS在上面显示，它主要产生密钥，还有一个加密和解密，加密它有一个密钥叫公开密钥，这个密钥可以向任何人公开的，这个密钥任何人都能加密，但是解密，我有一个私有密钥，其他的密钥都解不开。这存在什么安全呢？比如我要传送一个文件给美国，用加密传送。怎么传？你不能到美国把那个密钥拿来，加完密再传，是不是多此一举？他就可以用美国的公开密钥加完了以后，发给他，美国有一个本身的私有密钥，可以把它解开。你看我们刚才讲的，你只通过加密，就是机密性的话，是不是不够？机密性不够，如果光有机密的话，我们怎么能够保证数据的完整性。我还举一个例子，我们在银行，从ATM机上取款的话，你取完钱要把数据发给银行的数据库，如果取100块钱，到银行数据库里面减去100，把银行数据库里面存到银行帐号的数据减去100，如果你的100传到ATM机上传递到数据库，不是100，要么就是减多了，要么就是减少了。减少了，你想想看，银行是不会干的；减多了，银行也不会干，用户不会干的。那么也就是说你划在ATM机上，你想取走多少钱，你一定到数据库里面减到一定是多少钱，也就是说你的数据，传输的数据一定是原来数据不会改变的。

（二）网络系统安全

   我前面讲到信息的安全性，现在讲接入网络计算机系统的安全。这个接入计算机网络系统的安全，我要围绕这几个讲，一个是数字签名技术，还有一个是网络隔离技术，还有一个讲到计算机病毒及其防治，另外就是计算机网络的攻防技术。

1.数字签名

关于数字签名我们举一个例子，在一个安全要求不太高的网站，访问网站时只需要两个信息用户名和用户密码。在前几年，你们有没有发现假的中国银行的网站。这个中国银行的网站干嘛的？它就是用来获取你的两个信息：用户名和密码。获得你的用户名和密码以后，到真正的中国银行网站上获取你的钱，把你的钱拿走。现在我们用的U盾实际上就是数字签名的一个工具在里面，它的重要职能就是完成数字签名的。它也是一种加密的技术，我们称之为签名。你到银行拿到的U盾，U盾就是给你的私有密钥在里面。这个私有密钥是唯一的，只有你才有。也就是说你要想进入银行网站，如果通过U盾的话，这是绝对绝对安全的，现在没有说哪个银行被挖走了吧？

2.网络隔离技术

防火墙。另外还有网络隔离技术。现在网络隔离技术主要有两种：一个就是防火墙，还有一个就是虚拟专用计算机网络。我首先讲一讲防火墙，防火墙干什么的？它主要是用来保护网络的，它是在被保护的网络和公用网之间建立一个墙。就相当于我们的农村现在造房子，特别像皖南那一带造的房子那个墙很高，它主要是用来预防一旦一家失火，不可能串到另一家去，这个墙的目的就是起到这种。现在可以这么讲，任何一个区域网络，都必须有防火墙，包括我们朝阳区政府的网络，肯定有防火墙的，还有入侵检测，都是必须要有的，如果没有的话，你这个就很难做到安全了。你看防火墙，实际上这个蓝色的就是防火墙，它在内部网和外部网之间建立一个屏障。防火墙有两种类型：一个叫包过滤防火墙，还有一个叫代理防火墙。包过滤防火墙是干什么的呢？它主要起到一个过滤作用，就是你的数据包，哪些数据包让它过来，哪些数据包不让它过来，就是起到数据包隔离。但是你要想做一个特定的功能的话，这个过滤防火墙就不行了。一旦防火墙被攻破，内部网就全部曝露了，所以现在黑客首先把防火墙攻破了，其次闯到你的网络里面来。代理防火墙，通常是用来封堵内外联系之间，为两台的计算机做代理服务请求的，不知道我们朝阳区的网是不是这样的，我们北工大网，所有的每个网和服务器之间，和其他网都建立了一个代理，用来干嘛呢？审IP地址的，内部做了IP地址的代理，然后出去以后使用是真IP地址，内部使用的是假IP地址。这样的话，因为我们要租用一个IP地址是浪费一点钱，每年要交一定费用的，这样的话我们就用代理。另外还有一些，比如说我们要做一些电子邮件，或者做一些文件传输，可以让代理服务器去做，我们不直接去做，我们把任务交给代理服务器，做完了以后把结果给返回来，这就是我们使用的代理防火墙。它主要针对一些特定的用户，我们都讲过了。

 虚拟专用网。现在我跟大家讲虚拟专用网，我们叫VPN。我们知道，你要想做一个大的公司，有几十个部门，你要做，就是整个内部的办公自动化与外网隔离，你必须有自己专门的一个网来做，你不能跟互联网连在一起。现在金盾工程，叫百城联网，就是100个城市的公安局联成网，整个作为办公自动化来做的。那么这样的话，能不能利用因特网，这是肯定不行的。比如说一个跨国公司，可能有几百个部门在不同的国家，它的财务最终要汇总到总部来的，你如果通过因特网传输，整个的数据都泄露了，就没有办法了。我们这时候是不是要组一个什么？就是要自己铺设一个线路来组网络，做一个我们自己的专用网，这样是不是就可以了。但是你要想到，做这样大的一个网，对于跨国公司来说要多少钱的投资，几十个亿、几百个亿也完成不了的。那么我们就想能不能利用现有的因特网来实现呢？人们就想利用现有的因特网，就是利用现有的网络，设置具有本单位自己布设线路一样功能的网络。我们可以利用互联网做我们自己专用的网。相当于是什么呢？就相当于我们长安街上开一条专用的公交新道，那个道就是专用车道。也就是说我们跨国公司可以在因特网上面做一个专用的我们企业的网。这个网络它不是我们自己实际假设的，而是虚的，它是一个因特网上面的一个虚的网，而不是我们自己实实在在铺设的网。而且这个虚的网的确能够起到我们专业网的作用。这个网既省钱又能达到网络自身的效果。那么也就是说我们可以在公共网络上组建网络。这个网络通常就使用一种被称作是隧道技术的技术，就是说在一个网络上开一个道来，就相当于我们在长安街上开出一个公交车道来，这个公交车道就相当于隧道一样。其他的人不会到这个道上来，其他的数据也进不到我这个道上来。我的道也不会出去的，我的数据也不会出去的，保证了数据网络的安全。隧道是一个虚拟专用网，一个隧道有这四个部分组成的。一个是隧道起动器，还有一个路由网络，因特网就是一个底层网络，还有一个可选的隧道交换机，还有一个隧道终止器。现在我们学校就引用了VPN的，我们的内部网站，我们就通过隧道，我们加访问的时候就通过VPN访问，打开一个隧道起动器，然后访问到内部网络。我觉得我们政府机关，朝阳区政府也可以做一个VPN，就是一个用户也可以在家访问，通过VPN访问，整个网站的信息，包括自动化办公，你可以在家办公。现在我们一切报告，包括我们老师报销的财务，都是在家可以做的，这样的数据是非常安全的。你在公共网上做的数据都被人家看到了，我不知道我们朝阳区政府有没有这个VPN，如果没有了，我觉得可以做一下VPN，相当于你在政府机关办公是一样的，可以在家办公。我觉得VPN现在用的是最广泛的一个东西。它就相当于一个私有网，你在公共网上做一个私有网，完全一样的，这个做起来对于我们办公的灵活性和机动性都有很大的好处。这个VPN整个的架构就是这样的，这是一个拨号的网，通过接入服务器，接入因特网，接入内部服务器了，其中LOS是为网络服务器的。