網絡安全的幾項關鍵技術

    商用網絡在互聯網上得以運行, 首先應建立或使原有的網絡升級為內部網, 而專用的內部網與公用的互聯網的隔離則有賴于防火墻技術。有了防火墻, 商家們便可以比較安全地在互聯網上
進行相應的商業活動。
1. 防火墻技術
“    防火墻”是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯網與內部網之間建立起一個安全網關( scurity gateway), 從而保護內部網免受非法用戶的侵入。工作原理如圖1所示。
    據圖1 可以看出, 所謂防火墻就是一個把互聯網與內部網隔開的屏障。
    防火墻有二類, 標準防火墻和雙家網關。標準防火墻系統包括一個UNIX工作站, 該工作站的兩端各接一個路由器進行緩沖。其中一個路由器的接口是外部世界, 即公用網; 另一個則聯接內部網。標準防火墻使用專門的軟件, 并要求較高的管理水平, 而且在信息傳輸上有一定的延遲。雙家網關 (dual home gateway)則是標準防火墻的擴充, 又稱堡壘主機(bation host) 或應用層網關(applications layer gateway), 它是一個單個的系統, 但卻能同時完成標準防火墻的所有功能。其優點是能運行更復雜的應用, 同時防止在互聯網和內部系統之間建立的任何直接的邊疆,可以確保數據包不能直接從外部網絡到達內部網絡, 反之亦然。
    隨著防火墻技術的進步, 雙家網關的基礎上又演化出兩種防火墻配置, 一種是隱蔽主機網關, 另一種是隱蔽智能網關( 隱蔽子網)。隱蔽主機網關是當前一種常見的防火墻配置。顧名思義,這種配置一方面將路由器進行隱蔽, 另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上, 通過路由器的配置,使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最商的防火墻是隱蔽智能網關, 它將網關隱藏在公共系統之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問者對專用網絡的非法訪問。一般來說, 這種防火墻是最不容易被破壞的。
2. 數據加密技術
    與防火墻配合使用的安全技術還有數據加密技術是為提高信息系統及數據的安全性和保密性, 防止秘密數據被外部破析所采用的主要技術手段之一。隨著信息技術的發展, 網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外, 從技術上分別在軟件和硬件兩方面采取措施,推動著數據加密技術和物理防范技術的不斷發展。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
(1)數據傳輸加密技術。
   目的是對傳輸中的數據流加密, 常用的方針有線路加密和端——端加密兩種。前者側重在線路上而不考慮信源與信宿, 是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端自動加密, 并進入TCP/IP數據包回封, 然后作為不可閱讀和不可識別的數據穿過互聯網, 當這些信息一旦到達目的地, 被將自動重組、解密, 成為可讀數據。
(2)數據存儲加密技術。
    目是防止在存儲環節上的數據失密, 可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉換、附加密碼、加密模塊等方法實現; 后者則是對用戶資格、格限加以審查和限制, 防止非法用戶存取數據或合法用戶越權存取數據。
(3)數據完整性鑒別技術。
    目的是對介入信息的傳送、存取、處理的人的身份和相關數據內容進行驗證, 達到保密的要求, 一般包括口令、密鑰、身份、數據等項的鑒別, 系統通過對比驗證對象輸入的特征值是否符合預先設定的參數, 實現對數據的安全保護。
(4)密鑰管理技術。
    為了數據使用的方便, 數據加密在許多場合集中表現為密鑰的應用, 因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有: 磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。
3. 智能卡技術
    與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體, 一般就像信用卡一樣, 由授權用戶所持有并由該用戶賦與它一個口令或密碼字。該密碼與內部網絡服務器上注冊的密碼一致。當口令與身份特征共同使用時, 智能卡的保密性能還是相當有效的。
    網絡安全和數據保護達些防范措施都有一定的限度, 并不是越安全就越可靠。因而, 在看一個內部網是否安全時不僅要考察其手段, 而更重要的是對該網絡所采取的各種措施, 其中不光是物理防范, 還有人員的素質等其他“軟”因素, 進行綜合評估,從而得出是否安全的結論。

原文轉自：http://www.kjueaiud.com