網(wǎng)絡(luò)信息安全技術(shù)初探

尤曉晴

摘要各個社會領(lǐng)域都離不開計算機的應(yīng)用,但是開放的信息系統(tǒng)必然存在眾多潛在的安全隱患。本文就網(wǎng)絡(luò)信息安全技術(shù)展開討論。

關(guān)鍵詞物理隔離防火墻數(shù)字簽名

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A

隨著計算機與網(wǎng)絡(luò)應(yīng)用的不斷普及,各個社會領(lǐng)域都離不開計算機的應(yīng)用,尤其是網(wǎng)絡(luò)的應(yīng)用。然而,開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭不斷演繹,甚至到了十分危急的程度。因此,作為計算機應(yīng)用者,有必要很好地了解有關(guān)網(wǎng)絡(luò)安全方面的知識,更要采取有力措施來保護(hù)網(wǎng)絡(luò)的正常使用和信息的安全。下面就網(wǎng)絡(luò)信息安全技術(shù)做一定的探索。

1 物理隔離網(wǎng)絡(luò)

所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接Internet。實現(xiàn)物理隔離的措施有:(1)在電腦內(nèi)安裝1塊網(wǎng)絡(luò)安全隔離卡,根據(jù)單位的不同需求,隨時在內(nèi)外網(wǎng)之間切換,盡最大可能減少與互聯(lián)網(wǎng)的接觸,減少黑客攻擊的機會。(2)抗攻擊網(wǎng)關(guān)。將抗攻擊網(wǎng)關(guān)架設(shè)在路由器之前,通過獨立的監(jiān)控系統(tǒng)實時監(jiān)控和報警。其類型主要有入侵檢測、指紋識別、免疫型等。(3)防病毒網(wǎng)關(guān)。放置在內(nèi)網(wǎng)和外網(wǎng)連接處,可隔離大部分病毒與外部,同時具有反垃圾郵件和反間諜軟件的能力。管理員需要定期升級,來抵御新病毒的攻擊。

2 網(wǎng)絡(luò)防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種防止外部網(wǎng)絡(luò)用戶以非法手段訪問內(nèi)部網(wǎng)絡(luò),保護(hù)內(nèi)部網(wǎng)絡(luò)環(huán)境,加強網(wǎng)絡(luò)間訪問控制的網(wǎng)絡(luò)互聯(lián)設(shè)備。它對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包用一定的安全策略實施檢查,以決定網(wǎng)絡(luò)之間的傳輸是否被允許,并監(jiān)視整個網(wǎng)絡(luò)運行狀態(tài),能有效監(jiān)控內(nèi)網(wǎng)和外網(wǎng)之間的活動,保證內(nèi)網(wǎng)的安全。

防火墻處于網(wǎng)絡(luò)安全體系的最底層,作為內(nèi)網(wǎng)與公共網(wǎng)絡(luò)之間的第一道屏障,防火墻最先受到人們的重視。隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次。由于硬件技術(shù)的快速發(fā)展,基于Internet上的新一代防火墻,將更注重發(fā)揮全網(wǎng)的效能,安全策略會更加合理與規(guī)范化。根據(jù)防火墻采用的技術(shù)不同,可分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換型、代理型和監(jiān)測型。

2.1 包過濾型

包過濾型產(chǎn)品是初級產(chǎn)品,以分包傳輸技術(shù)為特征。數(shù)據(jù)都以“包”為單位,被分割成一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都包含特定的信息。通過讀取數(shù)據(jù)包中的地址信息,防火墻來判斷這些“包”是否來自可信任的安全站點。一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,便將這些數(shù)據(jù)拒之門外。包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,能夠以較小代價保證系統(tǒng)的安全。包過濾技術(shù)的缺點是完全基于網(wǎng)絡(luò)層,只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息判斷,無法識別基于應(yīng)用層的惡意侵入。所以,容易用障眼法來偽造IP地址,欺騙包過濾型防火墻,以進(jìn)入內(nèi)部網(wǎng)絡(luò)。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化型

網(wǎng)絡(luò)地址轉(zhuǎn)換允許私有IP地址的內(nèi)網(wǎng)訪問因特網(wǎng),允許把IP地址轉(zhuǎn)換成臨時的,即用戶不必要為網(wǎng)絡(luò)中的每臺機器取得注冊的IP地址。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,通過偽裝的地址和端口與外網(wǎng)連接,這樣就隱藏了真實的內(nèi)網(wǎng)地址。當(dāng)外網(wǎng)訪問內(nèi)網(wǎng)時,并不知道內(nèi)網(wǎng)的連接情況,其訪問通過一個開放的IP地址和端口來完成。防火墻根據(jù)預(yù)定義的映射規(guī)則來判斷這個訪問是否安全。符合規(guī)則時,則認(rèn)為訪問是安全的,接受訪問請求。不符合規(guī)則時,則認(rèn)為訪問是不安全的,不被接受,自動屏蔽外部連接請求。整個過程對于用戶來說是透明的。

2.3 代理型

亦稱為代理服務(wù)器,安全性要高于包過濾型產(chǎn)品。代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)客戶機需使用服務(wù)器上的數(shù)據(jù)時,首先向代理服務(wù)器發(fā)送數(shù)據(jù)請求,根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳送給客戶機。由于外系統(tǒng)與內(nèi)服務(wù)器間沒有直接的數(shù)據(jù)通道,來自外部的惡意侵入和攻擊就很難傷害到內(nèi)部網(wǎng)絡(luò)。優(yōu)點是安全性較高,可有效對付基于應(yīng)用層的侵入。缺點是對系統(tǒng)的整體性能影響較大,增加了管理的復(fù)雜性。

2.4 監(jiān)測型

監(jiān)測型防火墻能對各層數(shù)據(jù)主動、實時監(jiān)測,能有效判斷出各層中的非法侵入。一般還帶有分布式探測器,不僅能檢測外部的攻擊,同時對內(nèi)部的惡意破壞也有極強的防范作用。監(jiān)測型防火墻在安全性上遠(yuǎn)遠(yuǎn)超越了前兩代產(chǎn)品。但監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,不易管理。

3 生物識別技術(shù)

生物識別技術(shù)是依靠人體的身體特征,集光學(xué)、傳感技術(shù)、超聲波掃描和計算機技術(shù)于一身的第三代身份驗證技術(shù)。由于人體特征不可復(fù)制,故其安全系數(shù)較有很大的提高。人體的生物特征包括指紋、面孔、聲音、視網(wǎng)膜等。自動指紋識別系統(tǒng)AFIS就是一套成功的身份鑒別系統(tǒng),也是未來生物識別技術(shù)的主流之一。近年視網(wǎng)膜識別技術(shù)的研究也取得了很大進(jìn)步,突破了許多技術(shù)難題。

4 加密及數(shù)字簽名技術(shù)(下轉(zhuǎn)第138頁)(上接第132頁)

加密技術(shù)的出現(xiàn)為全球電子商務(wù)交易提供了安全保障。加密技術(shù)主要有:對稱加密和非對稱加密技術(shù)。對稱加密是以口令為基礎(chǔ),加密與解密使用同樣的密鑰。不對稱加密,即“公開密鑰密碼體制”,加密密鑰公之于眾,解密密鑰只有解密人有,分別稱為“公開密鑰”和“秘密密鑰”。

數(shù)字簽名技術(shù)將是未來最流行的個人安全防范技術(shù)。其實現(xiàn)過程為:發(fā)送者用密鑰對郵件加密,建立一個“數(shù)字簽名”,然后通過公開的通信途徑將簽名和郵件一起發(fā)給接收者,接收者收到郵件后,使用公開密鑰對簽名解密,如果計算結(jié)果相同就通過了驗證。數(shù)字簽名技術(shù)具有抗抵賴性。

總之,網(wǎng)絡(luò)信息安全是一個綜合性的課題,也是國家發(fā)展所面臨的一個重要課題。信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,也是國家信息安全系統(tǒng)的重要組成部分,將對我國電子商務(wù)的發(fā)展起到非常重要的保障和促進(jìn)作用。所以,一種技術(shù)的應(yīng)用只能解決某一方面的問題,應(yīng)通過全盤的解決方案。希望廣大的網(wǎng)絡(luò)應(yīng)用者一起努力,為網(wǎng)絡(luò)信息安全作出自己應(yīng)有的貢獻(xiàn)。