浅析计算机网络安全技术

资源的未授权使用，包括防止以未授权方式使用某一资源，访问控制需采取两种措施：一种是识别与确证访问系统的用户，即身份认证；另一种是决定该用户对某一系统资源可进行何种类型的访问（读、写、运行等等）。为了使计算机系统更安全，需要两种不同类型的访问控制，自主访问控制（ｄｉｓｃｒｅｔｉｏｎａｒｙ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ，简称ＤＡＣ）与强制访问控制（ｍａｎｄａｔｏｒｙａｃｃｅｓｓ　ｃｏｎｔｒｏｌ，简称ＭＡＣ）。

２、鉴别和认证

对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证

机制还可以防止合法用户访问他们无权查

看的信息。常用的几种方法是：身份认证、报文认证、访问授权、数字签名。３、加密技术（１）对称加密技术：在对称加密技术中，对信息的加密和解密都使用相同的密钥，也就是说一把钥匙开一把锁。这种加密

方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。（２）非对称加密／公开密钥加密：在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一

把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。最具有代表性是ＲＳＡ公钥密码体制。４、防火墙网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内

部网络资源，保护内部网络操作环境的特殊网络互联设备。％（１）包过滤型：包过滤型产品是防火墙的初级产品，网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、浅析计算机网络安全技术

李冰 牡丹江大学 １５７０１１

一、引言２１世纪是信息社会的时代，随着Ｉｎｔｅｒｎｅｔ的迅速发展，互联网的应用范围越来越广泛。开放的信息系统必然存在众多潜在的安全隐患，网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。网络安全性的含义是计算机安全定义中逻辑安全方面的引申。计算机安全包括物理安全和逻辑安全两方面，其中逻辑安全可理解为信息安全，是指对信息的保密性、完整性和可用性的保护，由此网络安全即是对网络信息保密性、完整性和可用性的保护。现在网络安全主要存在以下几方面问题：一是操作系统的安全问题。目前，被广泛使用的网络操作系统主要是ＵＮＩＸ、ＷＩＮＤＯＷＳ　和Ｌｉｎｕｘ等，这些操作系统都存在各种各样的安全问题，许多新型计算机病毒都是利用操作系统的漏洞进行传染。二是病毒破坏的问题。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响网络安全的主要因素。三是黑客经常采用端口监听、端口扫描、口令入侵、ＪＡＶＡ炸弹等手法入侵。二、计算机网络安全的关键技术可以看出，安全是网络赖以生存的保

障，只有安全得到保障，网络才能实现自

身的价值。针对以上网络安全存在的问

题，本文分别阐述几种常见的网络安全的

关键技术。

１、访问控制

访问控制（ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ）防止对

目标地址、ＴＣＰ／ＵＤＰ源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点。

（２）代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

（３）监测型

监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，它一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。

５、入侵检测系统入侵检测系统（Ｉｎｓｔｕｓｉｏｎ　ＤｅｔｅｃｔｉｏｎＳｙｓｔｅｍ，　简称ＩＤＳ）是进行入侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止、封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。

６、虚拟专用网（ＶＰＮ）技术所谓虚拟专用网（ＶＰＮ）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道”在公共网络中传播。目前ＶＰＮ主要采用了四项技术来保障安全：隧道技术（Ｔｕｎｎｅｌｉｎｇ）、加解密技术（Ｅｎｃｒｙｐｔｉｏｎ　＆　Ｄｅｃｒｙｐｔｉｏｎ）、密匙管理技术（Ｋｅｙ　Ｍａｎａｇｅｍｅｎｔ）和使用者与设备身份认证技术（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ）。

三、结束语

在信息社会，信息这一社会发展的重要战略资源需要网络安全技术的有力保

Ｏｂｊｅｃｔ　Ｍｏｄｅｌ）

业务对象模型主要描述业务活动对象

之间的关系，由业务用例模型中的角色、

用例等演变而来。

（２）分析模型（Ａｎａｌｙｓｉｓ　Ｍｏｄｅｌ）

分析模型主要描述用例的实现，以系

统的用例模型和业务对象模型为基准，把

系统逻辑对象模型向系统实现又推进了一

步，更加接近了系统逻辑对象模型，一个

用例实现一般通过边界类、实体类和控制

类三个分析类变体协同完成，因此在分析

模型中主要创建用例的分析类模型和用例

实现。

（３）设计模型（Ｄｅｓｉｇｎ　Ｍｏｄｅｌ）

设计模型一般情况下是与分析模型一

样为系统的逻辑结构进行建模，但设计模

型比分析模型更加接近于代码的实现，设

计模型以分析模型为基础，是对分析模型

的细化过程。

＜３＞、组件视图

在组件视图中主要创建系统的实现模

型，关注的是系统的实际结构描述和软件

的文件系统构成，组件是与系统相关的文

档文件、源程序文件、库文件和可执行文

件等的集合，组件可以由一个类组成也可

以由多个类组成。

在组件视图中可以使用的图素有组

件、子程序规范、子程序体、主程序、

包规范、包体和任务规范、任务体。

＜４＞、部署视图

在部署视图中主要创建系统的部署模

型，关注的是系统的物理结构描述，即系统

运行的网络结构，部署图由在网络中相互

通信的节点组成，没有运行能力的称为设

备，有运行能力的称为处理机。

３　用例模型的创建过程

３．１　创建用例模型

在Ｒａｔｉｏｎａｌ　Ｒｏｓｅ中选择

【Ｕｓｅ　Ｃａｓｅ　Ｖｉｅｗ】下的

【Ｍａｉｎ】，打开这个用例图，并

在图中创建两个包，分别命名为

“ｂｕｓｉｎｅｓｓ　ｍｏｄｅｌ”和“ｓｙｓｔｅｍ

ｍｏｄｅｌ”，分别设定两个包的构造

型（Ｓｔｅｒｅｏｔｙｐｅ）为

“Ｂｕｓｉｎｅｓｓ　Ｕｓｅ　Ｃａｓｅ

Ｍｏｄｅｌ”、

“Ａｐｐｌｉｃａｔｉｏｎ

Ｓｙｓｔｅｍ”，如图２所示。

＜１＞、业务用例模型

双击“Ｂｕｓｉｎｅｓｓ

Ｍｏｄｅｌ”包打开其用例

图，并在图中创建两个

包，分别命名为

“Ｂｕｓｉｎｅｓｓ　Ａｃｔｏｒ　ａｎｄ

Ｗｏｒｋｅｒ”、“Ｂｕｓｉｎｅｓｓ

Ｕｓｅ　Ｃａｓｅ”，在

“Ｂｕｓｉｎｅｓｓ　Ａｃｔｏｒ　ａｎｄ

Ｗｏｒｋｅｒ”中创建系统的

业务参与者和工作者，如

图３所示。

在“Ｂｕｓｉｎｅｓｓ　Ｕｓｅ

Ｃａｓｅ”包中创建系统的业

务用例模型，如图４所示。

＜２＞、系统用例模型

系统用例模型的创

建过程与业务用例模型的

创建大同小异，请读者

根据对系统用例的详细分

析自己创建系统用例模

型。

４　结束语

使用Ｒａｔｉｏｎａｌ　Ｒｏｓｅ实现软件系统的建

模是一个清晰而统一的过程，遵循着ＲＵＰ

五大工作流的控制并采用统一建模语言进

行建模，每一个模型在软件建模中都具有

特殊而重要的意义，本文重点介绍了软件

系统模型的结构并通过用例模型的创建过

程，简要描述了创建模型的方法。当然，软

件系统的建模过程还包括逻辑模型、实现

模型和部署模型的创建，并且在每一个视

图中模型创建之后都可以完成软件开发过

程中的一部分设计，并最终通过软件的整

个模型完成而完成软件的开发工作。通过

软件模型的指导完成软件的开发工作，会

使得软件在最终实现时具有较高的可靠性、

可移植性、可伸缩性和可维护性。

图４ 业务用例模型

图３ 业务参与者与工作者

图２ 用例模型包结构