（二）網(wǎng)絡(luò)系統(tǒng)安全

   我前面講到信息的安全性，現(xiàn)在講接入網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)的安全。這個(gè)接入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，我要圍繞這幾個(gè)講，一個(gè)是數(shù)字簽名技術(shù)，還有一個(gè)是網(wǎng)絡(luò)隔離技術(shù)，還有一個(gè)講到計(jì)算機(jī)病毒及其防治，另外就是計(jì)算機(jī)網(wǎng)絡(luò)的攻防技術(shù)。

1.數(shù)字簽名

關(guān)于數(shù)字簽名我們舉一個(gè)例子，在一個(gè)安全要求不太高的網(wǎng)站，訪問(wèn)網(wǎng)站時(shí)只需要兩個(gè)信息用戶名和用戶密碼。在前幾年，你們有沒(méi)有發(fā)現(xiàn)假的中國(guó)銀行的網(wǎng)站。這個(gè)中國(guó)銀行的網(wǎng)站干嘛的？它就是用來(lái)獲取你的兩個(gè)信息：用戶名和密碼。獲得你的用戶名和密碼以后，到真正的中國(guó)銀行網(wǎng)站上獲取你的錢(qián)，把你的錢(qián)拿走。現(xiàn)在我們用的U盾實(shí)際上就是數(shù)字簽名的一個(gè)工具在里面，它的重要職能就是完成數(shù)字簽名的。它也是一種加密的技術(shù)，我們稱(chēng)之為簽名。你到銀行拿到的U盾，U盾就是給你的私有密鑰在里面。這個(gè)私有密鑰是唯一的，只有你才有。也就是說(shuō)你要想進(jìn)入銀行網(wǎng)站，如果通過(guò)U盾的話，這是絕對(duì)絕對(duì)安全的，現(xiàn)在沒(méi)有說(shuō)哪個(gè)銀行被挖走了吧？

2.網(wǎng)絡(luò)隔離技術(shù)

防火墻。另外還有網(wǎng)絡(luò)隔離技術(shù)?，F(xiàn)在網(wǎng)絡(luò)隔離技術(shù)主要有兩種：一個(gè)就是防火墻，還有一個(gè)就是虛擬專(zhuān)用計(jì)算機(jī)網(wǎng)絡(luò)。我首先講一講防火墻，防火墻干什么的？它主要是用來(lái)保護(hù)網(wǎng)絡(luò)的，它是在被保護(hù)的網(wǎng)絡(luò)和公用網(wǎng)之間建立一個(gè)墻。就相當(dāng)于我們的農(nóng)村現(xiàn)在造房子，特別像皖南那一帶造的房子那個(gè)墻很高，它主要是用來(lái)預(yù)防一旦一家失火，不可能串到另一家去，這個(gè)墻的目的就是起到這種?，F(xiàn)在可以這么講，任何一個(gè)區(qū)域網(wǎng)絡(luò)，都必須有防火墻，包括我們朝陽(yáng)區(qū)政府的網(wǎng)絡(luò)，肯定有防火墻的，還有入侵檢測(cè)，都是必須要有的，如果沒(méi)有的話，你這個(gè)就很難做到安全了。你看防火墻，實(shí)際上這個(gè)藍(lán)色的就是防火墻，它在內(nèi)部網(wǎng)和外部網(wǎng)之間建立一個(gè)屏障。防火墻有兩種類(lèi)型：一個(gè)叫包過(guò)濾防火墻，還有一個(gè)叫代理防火墻。包過(guò)濾防火墻是干什么的呢？它主要起到一個(gè)過(guò)濾作用，就是你的數(shù)據(jù)包，哪些數(shù)據(jù)包讓它過(guò)來(lái)，哪些數(shù)據(jù)包不讓它過(guò)來(lái)，就是起到數(shù)據(jù)包隔離。但是你要想做一個(gè)特定的功能的話，這個(gè)過(guò)濾防火墻就不行了。一旦防火墻被攻破，內(nèi)部網(wǎng)就全部曝露了，所以現(xiàn)在黑客首先把防火墻攻破了，其次闖到你的網(wǎng)絡(luò)里面來(lái)。代理防火墻，通常是用來(lái)封堵內(nèi)外聯(lián)系之間，為兩臺(tái)的計(jì)算機(jī)做代理服務(wù)請(qǐng)求的，不知道我們朝陽(yáng)區(qū)的網(wǎng)是不是這樣的，我們北工大網(wǎng)，所有的每個(gè)網(wǎng)和服務(wù)器之間，和其他網(wǎng)都建立了一個(gè)代理，用來(lái)干嘛呢？審IP地址的，內(nèi)部做了IP地址的代理，然后出去以后使用是真IP地址，內(nèi)部使用的是假I(mǎi)P地址。這樣的話，因?yàn)槲覀円庥靡粋€(gè)IP地址是浪費(fèi)一點(diǎn)錢(qián)，每年要交一定費(fèi)用的，這樣的話我們就用代理。另外還有一些，比如說(shuō)我們要做一些電子郵件，或者做一些文件傳輸，可以讓代理服務(wù)器去做，我們不直接去做，我們把任務(wù)交給代理服務(wù)器，做完了以后把結(jié)果給返回來(lái)，這就是我們使用的代理防火墻。它主要針對(duì)一些特定的用戶，我們都講過(guò)了。

 虛擬專(zhuān)用網(wǎng)。現(xiàn)在我跟大家講虛擬專(zhuān)用網(wǎng)，我們叫VPN。我們知道，你要想做一個(gè)大的公司，有幾十個(gè)部門(mén)，你要做，就是整個(gè)內(nèi)部的辦公自動(dòng)化與外網(wǎng)隔離，你必須有自己專(zhuān)門(mén)的一個(gè)網(wǎng)來(lái)做，你不能跟互聯(lián)網(wǎng)連在一起。現(xiàn)在金盾工程，叫百城聯(lián)網(wǎng)，就是100個(gè)城市的公安局聯(lián)成網(wǎng)，整個(gè)作為辦公自動(dòng)化來(lái)做的。那么這樣的話，能不能利用因特網(wǎng)，這是肯定不行的。比如說(shuō)一個(gè)跨國(guó)公司，可能有幾百個(gè)部門(mén)在不同的國(guó)家，它的財(cái)務(wù)最終要匯總到總部來(lái)的，你如果通過(guò)因特網(wǎng)傳輸，整個(gè)的數(shù)據(jù)都泄露了，就沒(méi)有辦法了。我們這時(shí)候是不是要組一個(gè)什么？就是要自己鋪設(shè)一個(gè)線路來(lái)組網(wǎng)絡(luò)，做一個(gè)我們自己的專(zhuān)用網(wǎng)，這樣是不是就可以了。但是你要想到，做這樣大的一個(gè)網(wǎng)，對(duì)于跨國(guó)公司來(lái)說(shuō)要多少錢(qián)的投資，幾十個(gè)億、幾百個(gè)億也完成不了的。那么我們就想能不能利用現(xiàn)有的因特網(wǎng)來(lái)實(shí)現(xiàn)呢？人們就想利用現(xiàn)有的因特網(wǎng)，就是利用現(xiàn)有的網(wǎng)絡(luò)，設(shè)置具有本單位自己布設(shè)線路一樣功能的網(wǎng)絡(luò)。我們可以利用互聯(lián)網(wǎng)做我們自己專(zhuān)用的網(wǎng)。相當(dāng)于是什么呢？就相當(dāng)于我們長(zhǎng)安街上開(kāi)一條專(zhuān)用的公交新道，那個(gè)道就是專(zhuān)用車(chē)道。也就是說(shuō)我們跨國(guó)公司可以在因特網(wǎng)上面做一個(gè)專(zhuān)用的我們企業(yè)的網(wǎng)。這個(gè)網(wǎng)絡(luò)它不是我們自己實(shí)際假設(shè)的，而是虛的，它是一個(gè)因特網(wǎng)上面的一個(gè)虛的網(wǎng)，而不是我們自己實(shí)實(shí)在在鋪設(shè)的網(wǎng)。而且這個(gè)虛的網(wǎng)的確能夠起到我們專(zhuān)業(yè)網(wǎng)的作用。這個(gè)網(wǎng)既省錢(qián)又能達(dá)到網(wǎng)絡(luò)自身的效果。那么也就是說(shuō)我們可以在公共網(wǎng)絡(luò)上組建網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)通常就使用一種被稱(chēng)作是隧道技術(shù)的技術(shù)，就是說(shuō)在一個(gè)網(wǎng)絡(luò)上開(kāi)一個(gè)道來(lái)，就相當(dāng)于我們?cè)陂L(zhǎng)安街上開(kāi)出一個(gè)公交車(chē)道來(lái)，這個(gè)公交車(chē)道就相當(dāng)于隧道一樣。其他的人不會(huì)到這個(gè)道上來(lái)，其他的數(shù)據(jù)也進(jìn)不到我這個(gè)道上來(lái)。我的道也不會(huì)出去的，我的數(shù)據(jù)也不會(huì)出去的，保證了數(shù)據(jù)網(wǎng)絡(luò)的安全。隧道是一個(gè)虛擬專(zhuān)用網(wǎng)，一個(gè)隧道有這四個(gè)部分組成的。一個(gè)是隧道起動(dòng)器，還有一個(gè)路由網(wǎng)絡(luò)，因特網(wǎng)就是一個(gè)底層網(wǎng)絡(luò)，還有一個(gè)可選的隧道交換機(jī)，還有一個(gè)隧道終止器?，F(xiàn)在我們學(xué)校就引用了VPN的，我們的內(nèi)部網(wǎng)站，我們就通過(guò)隧道，我們加訪問(wèn)的時(shí)候就通過(guò)VPN訪問(wèn)，打開(kāi)一個(gè)隧道起動(dòng)器，然后訪問(wèn)到內(nèi)部網(wǎng)絡(luò)。我覺(jué)得我們政府機(jī)關(guān)，朝陽(yáng)區(qū)政府也可以做一個(gè)VPN，就是一個(gè)用戶也可以在家訪問(wèn)，通過(guò)VPN訪問(wèn)，整個(gè)網(wǎng)站的信息，包括自動(dòng)化辦公，你可以在家辦公。現(xiàn)在我們一切報(bào)告，包括我們老師報(bào)銷(xiāo)的財(cái)務(wù)，都是在家可以做的，這樣的數(shù)據(jù)是非常安全的。你在公共網(wǎng)上做的數(shù)據(jù)都被人家看到了，我不知道我們朝陽(yáng)區(qū)政府有沒(méi)有這個(gè)VPN，如果沒(méi)有了，我覺(jué)得可以做一下VPN，相當(dāng)于你在政府機(jī)關(guān)辦公是一樣的，可以在家辦公。我覺(jué)得VPN現(xiàn)在用的是最廣泛的一個(gè)東西。它就相當(dāng)于一個(gè)私有網(wǎng)，你在公共網(wǎng)上做一個(gè)私有網(wǎng)，完全一樣的，這個(gè)做起來(lái)對(duì)于我們辦公的靈活性和機(jī)動(dòng)性都有很大的好處。這個(gè)VPN整個(gè)的架構(gòu)就是這樣的，這是一個(gè)撥號(hào)的網(wǎng)，通過(guò)接入服務(wù)器，接入因特網(wǎng)，接入內(nèi)部服務(wù)器了，其中LOS是為網(wǎng)絡(luò)服務(wù)器的。