網(wǎng)絡(luò)信息安全技術(shù)初探

摘要各個(gè)社會(huì)領(lǐng)域都離不開(kāi)計(jì)算機(jī)的應(yīng)用，但是開(kāi)放的信息系統(tǒng)必然存在眾多潛在的安全隱患。本文就網(wǎng)絡(luò)信息安全技術(shù)展開(kāi)討論。

關(guān)鍵詞物理隔離防火墻數(shù)字簽名

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A

隨著計(jì)算機(jī)與網(wǎng)絡(luò)應(yīng)用的不斷普及，各個(gè)社會(huì)領(lǐng)域都離不開(kāi)計(jì)算機(jī)的應(yīng)用，尤其是網(wǎng)絡(luò)的應(yīng)用。然而，開(kāi)放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭(zhēng)不斷演繹，甚至到了十分危急的程度。因此，作為計(jì)算機(jī)應(yīng)用者，有必要很好地了解有關(guān)網(wǎng)絡(luò)安全方面的知識(shí)，更要采取有力措施來(lái)保護(hù)網(wǎng)絡(luò)的正常使用和信息的安全。下面就網(wǎng)絡(luò)信息安全技術(shù)做一定的探索。

1 物理隔離網(wǎng)絡(luò)

所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接Internet。實(shí)現(xiàn)物理隔離的措施有:(1)在電腦內(nèi)安裝1塊網(wǎng)絡(luò)安全隔離卡，根據(jù)單位的不同需求，隨時(shí)在內(nèi)外網(wǎng)之間切換，盡最大可能減少與互聯(lián)網(wǎng)的接觸，減少黑客攻擊的機(jī)會(huì)。(2)抗攻擊網(wǎng)關(guān)。將抗攻擊網(wǎng)關(guān)架設(shè)在路由器之前，通過(guò)獨(dú)立的監(jiān)控系統(tǒng)實(shí)時(shí)監(jiān)控和報(bào)警。其類(lèi)型主要有入侵檢測(cè)、指紋識(shí)別、免疫型等。(3)防病毒網(wǎng)關(guān)。放置在內(nèi)網(wǎng)和外網(wǎng)連接處，可隔離大部分病毒與外部，同時(shí)具有反垃圾郵件和反間諜軟件的能力。管理員需要定期升級(jí)，來(lái)抵御新病毒的攻擊。

2 網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種防止外部網(wǎng)絡(luò)用戶(hù)以非法手段訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)，保護(hù)內(nèi)部網(wǎng)絡(luò)環(huán)境，加強(qiáng)網(wǎng)絡(luò)間訪(fǎng)問(wèn)控制的網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包用一定的安全策略實(shí)施檢查，以決定網(wǎng)絡(luò)之間的傳輸是否被允許，并監(jiān)視整個(gè)網(wǎng)絡(luò)運(yùn)行狀態(tài)，能有效監(jiān)控內(nèi)網(wǎng)和外網(wǎng)之間的活動(dòng)，保證內(nèi)網(wǎng)的安全。

防火墻處于網(wǎng)絡(luò)安全體系的最底層，作為內(nèi)網(wǎng)與公共網(wǎng)絡(luò)之間的第一道屏障，防火墻最先受到人們的重視。隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次。由于硬件技術(shù)的快速發(fā)展，基于Internet上的新一代防火墻，將更注重發(fā)揮全網(wǎng)的效能，安全策略會(huì)更加合理與規(guī)范化。根據(jù)防火墻采用的技術(shù)不同，可分為四種基本類(lèi)型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換型、代理型和監(jiān)測(cè)型。

2.1 包過(guò)濾型

包過(guò)濾型產(chǎn)品是初級(jí)產(chǎn)品，以分包傳輸技術(shù)為特征。數(shù)據(jù)都以“包”為單位，被分割成一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都包含特定的信息。通過(guò)讀取數(shù)據(jù)包中的地址信息，防火墻來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn)。一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，便將這些數(shù)據(jù)拒之門(mén)外。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，能夠以較小代價(jià)保證系統(tǒng)的安全。包過(guò)濾技術(shù)的缺點(diǎn)是完全基于網(wǎng)絡(luò)層，只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息判斷，無(wú)法識(shí)別基于應(yīng)用層的惡意侵入。所以，容易用障眼法來(lái)偽造IP地址，欺騙包過(guò)濾型防火墻，以進(jìn)入內(nèi)部網(wǎng)絡(luò)。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化型

網(wǎng)絡(luò)地址轉(zhuǎn)換允許私有IP地址的內(nèi)網(wǎng)訪(fǎng)問(wèn)因特網(wǎng)，允許把IP地址轉(zhuǎn)換成臨時(shí)的，即用戶(hù)不必要為網(wǎng)絡(luò)中的每臺(tái)機(jī)器取得注冊(cè)的IP地址。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，通過(guò)偽裝的地址和端口與外網(wǎng)連接，這樣就隱藏了真實(shí)的內(nèi)網(wǎng)地址。當(dāng)外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)時(shí)，并不知道內(nèi)網(wǎng)的連接情況，其訪(fǎng)問(wèn)通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)完成。防火墻根據(jù)預(yù)定義的映射規(guī)則來(lái)判斷這個(gè)訪(fǎng)問(wèn)是否安全。符合規(guī)則時(shí)，則認(rèn)為訪(fǎng)問(wèn)是安全的，接受訪(fǎng)問(wèn)請(qǐng)求。不符合規(guī)則時(shí)，則認(rèn)為訪(fǎng)問(wèn)是不安全的，不被接受，自動(dòng)屏蔽外部連接請(qǐng)求。整個(gè)過(guò)程對(duì)于用戶(hù)來(lái)說(shuō)是透明的。

2.3 代理型

亦稱(chēng)為代理服務(wù)器，安全性要高于包過(guò)濾型產(chǎn)品。代理服務(wù)器位于客戶(hù)機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)客戶(hù)機(jī)需使用服務(wù)器上的數(shù)據(jù)時(shí)，首先向代理服務(wù)器發(fā)送數(shù)據(jù)請(qǐng)求，根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳送給客戶(hù)機(jī)。由于外系統(tǒng)與內(nèi)服務(wù)器間沒(méi)有直接的數(shù)據(jù)通道，來(lái)自外部的惡意侵入和攻擊就很難傷害到內(nèi)部網(wǎng)絡(luò)。優(yōu)點(diǎn)是安全性較高，可有效對(duì)付基于應(yīng)用層的侵入。缺點(diǎn)是對(duì)系統(tǒng)的整體性能影響較大，增加了管理的復(fù)雜性。

2.4 監(jiān)測(cè)型

監(jiān)測(cè)型防火墻能對(duì)各層數(shù)據(jù)主動(dòng)、實(shí)時(shí)監(jiān)測(cè)，能有效判斷出各層中的非法侵入。一般還帶有分布式探測(cè)器，不僅能檢測(cè)外部的攻擊，同時(shí)對(duì)內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。監(jiān)測(cè)型防火墻在安全性上遠(yuǎn)遠(yuǎn)超越了前兩代產(chǎn)品。但監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，不易管理。

3 生物識(shí)別技術(shù)

生物識(shí)別技術(shù)是依靠人體的身體特征，集光學(xué)、傳感技術(shù)、超聲波掃描和計(jì)算機(jī)技術(shù)于一身的第三代身份驗(yàn)證技術(shù)。由于人體特征不可復(fù)制，故其安全系數(shù)較有很大的提高。人體的生物特征包括指紋、面孔、聲音、視網(wǎng)膜等。自動(dòng)指紋識(shí)別系統(tǒng)AFIS就是一套成功的身份鑒別系統(tǒng)，也是未來(lái)生物識(shí)別技術(shù)的主流之一。近年視網(wǎng)膜識(shí)別技術(shù)的研究也取得了很大進(jìn)步，突破了許多技術(shù)難題。

4 加密及數(shù)字簽名技術(shù)(下轉(zhuǎn)第138頁(yè))(上接第132頁(yè))

加密技術(shù)的出現(xiàn)為全球電子商務(wù)交易提供了安全保障。加密技術(shù)主要有:對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密技術(shù)。對(duì)稱(chēng)加密是以口令為基礎(chǔ)，加密與解密使用同樣的密鑰。不對(duì)稱(chēng)加密，即“公開(kāi)密鑰密碼體制”，加密密鑰公之于眾，解密密鑰只有解密人有，分別稱(chēng)為“公開(kāi)密鑰”和“秘密密鑰”。

數(shù)字簽名技術(shù)將是未來(lái)最流行的個(gè)人安全防范技術(shù)。其實(shí)現(xiàn)過(guò)程為:發(fā)送者用密鑰對(duì)郵件加密，建立一個(gè)“數(shù)字簽名”，然后通過(guò)公開(kāi)的通信途徑將簽名和郵件一起發(fā)給接收者，接收者收到郵件后，使用公開(kāi)密鑰對(duì)簽名解密，如果計(jì)算結(jié)果相同就通過(guò)了驗(yàn)證。數(shù)字簽名技術(shù)具有抗抵賴(lài)性。

總之，網(wǎng)絡(luò)信息安全是一個(gè)綜合性的課題，也是國(guó)家發(fā)展所面臨的一個(gè)重要課題。信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分，也是國(guó)家信息安全系統(tǒng)的重要組成部分，將對(duì)我國(guó)電子商務(wù)的發(fā)展起到非常重要的保障和促進(jìn)作用。所以，一種技術(shù)的應(yīng)用只能解決某一方面的問(wèn)題，應(yīng)通過(guò)全盤(pán)的解決方案。希望廣大的網(wǎng)絡(luò)應(yīng)用者一起努力，為網(wǎng)絡(luò)信息安全作出自己應(yīng)有的貢獻(xiàn)。