（二）網(wǎng)絡(luò)系統(tǒng)安全

   我前面講到信息的安全性，現(xiàn)在講接入網(wǎng)絡(luò)計算機(jī)系統(tǒng)的安全。這個接入計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，我要圍繞這幾個講，一個是數(shù)字簽名技術(shù)，還有一個是網(wǎng)絡(luò)隔離技術(shù)，還有一個講到計算機(jī)病毒及其防治，另外就是計算機(jī)網(wǎng)絡(luò)的攻防技術(shù)。

1.數(shù)字簽名

關(guān)于數(shù)字簽名我們舉一個例子，在一個安全要求不太高的網(wǎng)站，訪問網(wǎng)站時只需要兩個信息用戶名和用戶密碼。在前幾年，你們有沒有發(fā)現(xiàn)假的中國銀行的網(wǎng)站。這個中國銀行的網(wǎng)站干嘛的？它就是用來獲取你的兩個信息：用戶名和密碼。獲得你的用戶名和密碼以后，到真正的中國銀行網(wǎng)站上獲取你的錢，把你的錢拿走?，F(xiàn)在我們用的U盾實際上就是數(shù)字簽名的一個工具在里面，它的重要職能就是完成數(shù)字簽名的。它也是一種加密的技術(shù)，我們稱之為簽名。你到銀行拿到的U盾，U盾就是給你的私有密鑰在里面。這個私有密鑰是唯一的，只有你才有。也就是說你要想進(jìn)入銀行網(wǎng)站，如果通過U盾的話，這是絕對絕對安全的，現(xiàn)在沒有說哪個銀行被挖走了吧？

2.網(wǎng)絡(luò)隔離技術(shù)

防火墻。另外還有網(wǎng)絡(luò)隔離技術(shù)。現(xiàn)在網(wǎng)絡(luò)隔離技術(shù)主要有兩種：一個就是防火墻，還有一個就是虛擬專用計算機(jī)網(wǎng)絡(luò)。我首先講一講防火墻，防火墻干什么的？它主要是用來保護(hù)網(wǎng)絡(luò)的，它是在被保護(hù)的網(wǎng)絡(luò)和公用網(wǎng)之間建立一個墻。就相當(dāng)于我們的農(nóng)村現(xiàn)在造房子，特別像皖南那一帶造的房子那個墻很高，它主要是用來預(yù)防一旦一家失火，不可能串到另一家去，這個墻的目的就是起到這種?，F(xiàn)在可以這么講，任何一個區(qū)域網(wǎng)絡(luò)，都必須有防火墻，包括我們朝陽區(qū)政府的網(wǎng)絡(luò)，肯定有防火墻的，還有入侵檢測，都是必須要有的，如果沒有的話，你這個就很難做到安全了。你看防火墻，實際上這個藍(lán)色的就是防火墻，它在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個屏障。防火墻有兩種類型：一個叫包過濾防火墻，還有一個叫代理防火墻。包過濾防火墻是干什么的呢？它主要起到一個過濾作用，就是你的數(shù)據(jù)包，哪些數(shù)據(jù)包讓它過來，哪些數(shù)據(jù)包不讓它過來，就是起到數(shù)據(jù)包隔離。但是你要想做一個特定的功能的話，這個過濾防火墻就不行了。一旦防火墻被攻破，內(nèi)部網(wǎng)就全部曝露了，所以現(xiàn)在黑客首先把防火墻攻破了，其次闖到你的網(wǎng)絡(luò)里面來。代理防火墻，通常是用來封堵內(nèi)外聯(lián)系之間，為兩臺的計算機(jī)做代理服務(wù)請求的，不知道我們朝陽區(qū)的網(wǎng)是不是這樣的，我們北工大網(wǎng)，所有的每個網(wǎng)和服務(wù)器之間，和其他網(wǎng)都建立了一個代理，用來干嘛呢？審IP地址的，內(nèi)部做了IP地址的代理，然后出去以后使用是真IP地址，內(nèi)部使用的是假IP地址。這樣的話，因為我們要租用一個IP地址是浪費(fèi)一點錢，每年要交一定費(fèi)用的，這樣的話我們就用代理。另外還有一些，比如說我們要做一些電子郵件，或者做一些文件傳輸，可以讓代理服務(wù)器去做，我們不直接去做，我們把任務(wù)交給代理服務(wù)器，做完了以后把結(jié)果給返回來，這就是我們使用的代理防火墻。它主要針對一些特定的用戶，我們都講過了。

 虛擬專用網(wǎng)。現(xiàn)在我跟大家講虛擬專用網(wǎng)，我們叫VPN。我們知道，你要想做一個大的公司，有幾十個部門，你要做，就是整個內(nèi)部的辦公自動化與外網(wǎng)隔離，你必須有自己專門的一個網(wǎng)來做，你不能跟互聯(lián)網(wǎng)連在一起。現(xiàn)在金盾工程，叫百城聯(lián)網(wǎng)，就是100個城市的公安局聯(lián)成網(wǎng)，整個作為辦公自動化來做的。那么這樣的話，能不能利用因特網(wǎng)，這是肯定不行的。比如說一個跨國公司，可能有幾百個部門在不同的國家，它的財務(wù)最終要匯總到總部來的，你如果通過因特網(wǎng)傳輸，整個的數(shù)據(jù)都泄露了，就沒有辦法了。我們這時候是不是要組一個什么？就是要自己鋪設(shè)一個線路來組網(wǎng)絡(luò)，做一個我們自己的專用網(wǎng)，這樣是不是就可以了。但是你要想到，做這樣大的一個網(wǎng)，對于跨國公司來說要多少錢的投資，幾十個億、幾百個億也完成不了的。那么我們就想能不能利用現(xiàn)有的因特網(wǎng)來實現(xiàn)呢？人們就想利用現(xiàn)有的因特網(wǎng)，就是利用現(xiàn)有的網(wǎng)絡(luò)，設(shè)置具有本單位自己布設(shè)線路一樣功能的網(wǎng)絡(luò)。我們可以利用互聯(lián)網(wǎng)做我們自己專用的網(wǎng)。相當(dāng)于是什么呢？就相當(dāng)于我們長安街上開一條專用的公交新道，那個道就是專用車道。也就是說我們跨國公司可以在因特網(wǎng)上面做一個專用的我們企業(yè)的網(wǎng)。這個網(wǎng)絡(luò)它不是我們自己實際假設(shè)的，而是虛的，它是一個因特網(wǎng)上面的一個虛的網(wǎng)，而不是我們自己實實在在鋪設(shè)的網(wǎng)。而且這個虛的網(wǎng)的確能夠起到我們專業(yè)網(wǎng)的作用。這個網(wǎng)既省錢又能達(dá)到網(wǎng)絡(luò)自身的效果。那么也就是說我們可以在公共網(wǎng)絡(luò)上組建網(wǎng)絡(luò)。這個網(wǎng)絡(luò)通常就使用一種被稱作是隧道技術(shù)的技術(shù)，就是說在一個網(wǎng)絡(luò)上開一個道來，就相當(dāng)于我們在長安街上開出一個公交車道來，這個公交車道就相當(dāng)于隧道一樣。其他的人不會到這個道上來，其他的數(shù)據(jù)也進(jìn)不到我這個道上來。我的道也不會出去的，我的數(shù)據(jù)也不會出去的，保證了數(shù)據(jù)網(wǎng)絡(luò)的安全。隧道是一個虛擬專用網(wǎng)，一個隧道有這四個部分組成的。一個是隧道起動器，還有一個路由網(wǎng)絡(luò)，因特網(wǎng)就是一個底層網(wǎng)絡(luò)，還有一個可選的隧道交換機(jī)，還有一個隧道終止器?，F(xiàn)在我們學(xué)校就引用了VPN的，我們的內(nèi)部網(wǎng)站，我們就通過隧道，我們加訪問的時候就通過VPN訪問，打開一個隧道起動器，然后訪問到內(nèi)部網(wǎng)絡(luò)。我覺得我們政府機(jī)關(guān)，朝陽區(qū)政府也可以做一個VPN，就是一個用戶也可以在家訪問，通過VPN訪問，整個網(wǎng)站的信息，包括自動化辦公，你可以在家辦公?，F(xiàn)在我們一切報告，包括我們老師報銷的財務(wù)，都是在家可以做的，這樣的數(shù)據(jù)是非常安全的。你在公共網(wǎng)上做的數(shù)據(jù)都被人家看到了，我不知道我們朝陽區(qū)政府有沒有這個VPN，如果沒有了，我覺得可以做一下VPN，相當(dāng)于你在政府機(jī)關(guān)辦公是一樣的，可以在家辦公。我覺得VPN現(xiàn)在用的是最廣泛的一個東西。它就相當(dāng)于一個私有網(wǎng)，你在公共網(wǎng)上做一個私有網(wǎng)，完全一樣的，這個做起來對于我們辦公的靈活性和機(jī)動性都有很大的好處。這個VPN整個的架構(gòu)就是這樣的，這是一個撥號的網(wǎng)，通過接入服務(wù)器，接入因特網(wǎng)，接入內(nèi)部服務(wù)器了，其中LOS是為網(wǎng)絡(luò)服務(wù)器的。