網(wǎng)絡信息安全技術綜述

網(wǎng)絡信息安全技術綜述網(wǎng)絡信息安全技術綜述摘要：在網(wǎng)絡高速發(fā)展的信息化時代，網(wǎng)絡信息的安全成了我們比較關心的問題，闡述研究網(wǎng)絡安全技術的重要性，具體分析在實際應用中網(wǎng)絡安全的技術手段。最后探討網(wǎng)絡安全與安全產(chǎn)品研究現(xiàn)狀及發(fā)展趨勢。關鍵詞：信息安全；防火墻；加密；數(shù)字簽名1概述隨著網(wǎng)絡信息技術的迅猛發(fā)展，我們已進入信息化時代，互聯(lián)網(wǎng)給我們的生活帶來了極大的方便，改變了我們感知世界了解世界的渠道，同時，由于互聯(lián)網(wǎng)連接方式多樣性、終端分布廣泛性和網(wǎng)絡的開放性等也對我們的信息安全構成威脅。網(wǎng)絡信息安全是一個包含計算機應用技術、網(wǎng)絡通信技術、密碼信息技術、信息安全技術、應用工程數(shù)學、數(shù)論、信息方法論等技術的綜合學科。要想能夠提出完整的、系統(tǒng)的、協(xié)同的處理方案來，我們就要在平時對上述學科進行知識積累，只有這樣我們才能保證信息的有效共享和相對安全。一般情況下，網(wǎng)絡信息安全可簡單的歸納為以下三方面。1.1網(wǎng)絡服務的可用性網(wǎng)絡信息安全技術綜述全文共9頁，當前為第1頁。網(wǎng)絡服務的可用性是指所有資源在適當?shù)臅r候可以被授權方訪問，防止由于計算機病毒或其它人為因素而造成網(wǎng)絡系統(tǒng)的“拒絕服務”，簡稱DoS，其目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的DoS攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第1頁。加大對網(wǎng)絡信息訪問的控制，可以有效防止“拒絕服務”的發(fā)生。“防火墻”是近近幾年網(wǎng)絡安全技術的重要技術之一，它是網(wǎng)絡信息通信的咽喉，只有通過安全策略的相關信息才允許通過防火墻，如果網(wǎng)絡中加入防火墻，我們的網(wǎng)絡環(huán)境就會變得相對安全。然而，網(wǎng)絡環(huán)境的安全常常是和互聯(lián)網(wǎng)的靈活性、開放性和便利性相矛盾的。雖然防火墻的阻斷功能在加強內部局域網(wǎng)絡安全方面起到積極作用，可是也阻礙了內部網(wǎng)絡信息與外界網(wǎng)絡信息的有效交流。1.2網(wǎng)絡信息的保密性網(wǎng)絡信息的保密性是指信息按指定要求不透露給未經(jīng)授權的個人、實體或過程，或提供其利用的特性。應用訪問控制技術，能有效地防止網(wǎng)絡信息資源不被非法使用和訪問。訪問控制技術包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、服務器控制等。入網(wǎng)訪問控制是網(wǎng)絡訪問的首層訪問控制，通過用戶身份判斷來獲取相關網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們入網(wǎng)地點；網(wǎng)絡的權限控制通過對不同身份的用戶或用戶組賦予不同的權限，對不同權限的用戶或用戶組對信息資源的操作進行有效的限制；網(wǎng)絡服務器的安全控制包括：可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。1.3網(wǎng)絡信息的完整性網(wǎng)絡信息安全技術綜述全文共9頁，當前為第2頁。網(wǎng)絡信息的完整性是指所有資源只能由授權方或以授權的方式進行修改，完整性具有三個特殊方面：被授權行為；資源分離和保護；以及錯誤的檢測和糾正。其目的在于防止信息被未經(jīng)授權的用戶篡改。由于公用網(wǎng)絡的開放性，信息在網(wǎng)絡傳送過程中會遭遇類似黑客的截取、中斷、篡改和偽造等方法的破壞，造成數(shù)據(jù)的失真、丟失和不可用。采用加密的手段可以增強重要信息的安全性，即使信息在傳輸過程中被非法用戶攻擊，加密后的信息也不易泄漏，加密技術解決了數(shù)據(jù)的機密性要求，同時也可以用來保護數(shù)據(jù)完整性。但也不能過高估計加密的重要性，加密不能解決所有的安全問題。不當加密可能對安全毫無作用甚至降低整個系統(tǒng)的性能。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第2頁。2目前主要網(wǎng)絡安全技術2.1病毒防護技術計算機病毒是一種能夠在計算機運行過程中實現(xiàn)損壞本機或者傳染給其他計算機系統(tǒng)，導致計算機工作異常的一種程序。比如向計算機系統(tǒng)中侵入病毒、蛀蟲、特洛伊木馬、陷門、邏輯炸彈；或通過竊聽、冒充等方式來破壞系統(tǒng)正常工作?，F(xiàn)在，成熟的反病毒技術已經(jīng)能夠做到對已知病毒的徹底預防和殺除，這主要涉及以下三大技術[12]。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第3頁。1）實時監(jiān)控技術。這種技術可為計算機系統(tǒng)構建一道動態(tài)、實時的反病毒體系，通過修改系統(tǒng)程序，使其本身具備防范病毒入侵的能力，拒病毒于計算機系統(tǒng)之外。2）自動解壓縮技術。目前在因特網(wǎng)、光盤以及Windows系統(tǒng)中接觸到的大多數(shù)文件都以壓縮狀態(tài)存放，以便節(jié)省傳輸時間或節(jié)約存放空間，這就使得各類壓縮文件成為計算機病毒傳播的溫床。3）全平臺防范病毒技術。目前我們常用的操作系統(tǒng)有：WindowsXP、Windows7、Windowsserve、LINUX、UNIX等。為了提高反病毒軟件查殺病毒的有效性，做到與系統(tǒng)的底層無縫連接，必須在不同的操作系統(tǒng)上使用相應的殺毒軟件。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第3頁。2.2防火墻技術防火墻是介于兩或多個網(wǎng)絡之間，實現(xiàn)網(wǎng)絡訪問控制的組件集合體，它的主要功能是過濾。防火墻甚至可以檢查一個包的所有內容，包括數(shù)據(jù)部分。從實現(xiàn)原理上分，防火墻的技術大致包括四大類：網(wǎng)絡級防火墻、應用級網(wǎng)關、電路級網(wǎng)關和規(guī)則檢查防火墻[3]。2.2.1網(wǎng)絡級防火墻。數(shù)據(jù)包過濾技術是防火墻為系統(tǒng)提供安全保障的主要技術，它通過設備對進出網(wǎng)絡的數(shù)據(jù)流進行有選擇地控制與操作[4]。包是網(wǎng)絡上信息流動的其本單位，它由數(shù)據(jù)負載和協(xié)議頭兩個部分組成。包過濾操作一般都是在選擇路由的同時對網(wǎng)絡層數(shù)據(jù)包進行挑選或過濾。選擇是根據(jù)系統(tǒng)內設置的過濾邏輯進行的，被稱為訪問控制表或規(guī)則表。規(guī)則表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內部網(wǎng)絡。2.2.2應用級防火墻。應用級網(wǎng)關可對進出的數(shù)據(jù)包進行檢查，由網(wǎng)關通過復制傳送信息，阻斷在安全服務器、終端機機與非法的主機間建立直接聯(lián)系。應用級網(wǎng)關能夠解析應用層上的協(xié)議，可以設置復雜的訪問控制，能夠實現(xiàn)精密的注冊和稽核。它針對數(shù)據(jù)過濾協(xié)議，能夠對數(shù)據(jù)包進行分析并形成相應的分析的報告。應用級網(wǎng)關對有些不安全登錄和控制所有進出的通信的環(huán)境進行嚴密監(jiān)控，防止有價值的信息或程序被盜取。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第4頁。2.2.3電路級網(wǎng)關。電路級網(wǎng)關主要功能是監(jiān)控可信的服務器或客戶機與不安全的主機間的TCP握手信息，通過這種方法來確定此次會話的合法性，它在會話層上進行數(shù)據(jù)包過濾，它比網(wǎng)絡級防火墻高出二層。另外它還提供理服務器功能。這種代理服務指派管理人員批準或拒絕特定的應用程序或一個應用的特定功能。2.2.4規(guī)則檢查防火墻。該防火墻結合了以上幾種防火墻的特點。其不同之處在于，它并不打破客戶機和服務器模式來分析應用層的數(shù)據(jù)，它允許安全的客戶機和非法的主機直接建立連接。規(guī)則檢查防火墻不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第4頁。2.3網(wǎng)絡加密技術加密技術的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數(shù)據(jù)不被非法竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉化為其原來數(shù)據(jù)的過程。按加密密鑰與解密密鑰的對稱性，加密技術可分為對稱型加密、不對稱型加密、不可逆加密。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第5頁。1）對稱型加密：是一種相對傳統(tǒng)的加密方法，其原理是使用單一得密鑰對數(shù)據(jù)進行加密和解密。信息發(fā)送方利用用密鑰將信息加密，然后通過網(wǎng)絡傳給信息接收方，接收方再利用同一密鑰將信息進行解密。其特點是計算量比較小、加密效率相對較高，即便傳輸網(wǎng)絡不安全，信息被截取，由于信息進行了加密，信息也是安全的。然而這種算法應用在分布式系統(tǒng)上比較困難，主要是由于在于分布式的系統(tǒng)中密鑰管理很困難，使用比較復雜。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第5頁。2）不對稱型加密：其特點是有兩個密鑰：一個是公共密鑰，一個是私有密鑰，公共密鑰是公開的，是用來對元數(shù)據(jù)進行加密的，私有密鑰是個人單獨擁有的。要想完成整個加密和解密過程，必須把兩者結合起來使用。在使用這種加密方法的時后我們要注意有效的管理和如何確認公共密鑰的真實性、合法性。3）不可逆加密：其特點是整個加密過程不用密鑰，數(shù)據(jù)一旦被加密將無法解密，只有采用相同的輸入數(shù)據(jù)經(jīng)過相同的不可逆加密算法才能得到相同的加密數(shù)據(jù)。這種加密算法不存在密鑰分發(fā)和管理的問題，可是它的加密計算工作異常復雜，只適合對數(shù)據(jù)量較小的情況經(jīng)行加密。2.4入侵檢測技術[5]入侵檢測系統(tǒng)是一種安置在受保護網(wǎng)絡內部的設備，用來監(jiān)視網(wǎng)絡中發(fā)生了什么事情。可以在攻擊的開始、進行過程中或者攻擊發(fā)生以后對攻擊進行檢測。入侵檢測可分為如下若干類：1）基于主機的入侵檢測（也稱HIDS）：將其安裝在要保護的服務器上用于保護單臺主機不受網(wǎng)絡入侵。它通過檢測系統(tǒng)文件、進程記錄等信息，幫助系統(tǒng)管理人員記錄或發(fā)現(xiàn)攻擊行為或攻擊企圖，以便制定相應策略。HIDS檢測的準確度較高，能夠檢測到無明顯行為特征的攻擊，可對各種操作系統(tǒng)進行有針對性的檢測，適合用于加密和交換環(huán)境，成本低，不受網(wǎng)絡環(huán)境影響。主要缺點是它檢測時效性較差，占主機資源大，能夠檢測的攻擊類型少，檢測效果取決于日志系統(tǒng)制約，并且隱蔽性較差。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第6頁。2）基于網(wǎng)絡的入侵檢測（NIDS）：主要用于防止對某個網(wǎng)絡的攻擊，結合防火墻使用，利用原始的網(wǎng)絡分組數(shù)據(jù)包來作為進行攻擊分析的數(shù)據(jù)源，通過網(wǎng)絡適配器來實時監(jiān)控和分析所有通過網(wǎng)絡進行傳輸?shù)耐ㄐ?。當檢測到入侵行為時，入侵檢測系統(tǒng)通過報警、中斷連接等方式做出回應。NIDS可對網(wǎng)絡上的端口進行掃描、IP欺騙等常見的攻擊行為進行監(jiān)控，在保護多臺主機的同時不影響被保護對象的性能，具有很好的隱蔽性，對入侵證據(jù)起到保護作用。缺點是防入侵欺騙能力較差，檢測受硬件條件限制較大，不能對加密后的數(shù)據(jù)進行處理等。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第6頁。3）分布式入侵檢測：其模式是采用分布式智能代理結構，由一個中央智能代理和多個分布在各地網(wǎng)絡的地方代理組成。其中每個地方代理都負責監(jiān)控網(wǎng)絡信息流的某一方面，多個地方代理互相協(xié)作、分布檢測來共同完成一項監(jiān)測任務；中央代理負責調控各個地方代理的工作，從整體上完成對網(wǎng)絡事件進行綜合分析的任務。3網(wǎng)絡信息安全與安全產(chǎn)品研究現(xiàn)狀及發(fā)展趨勢網(wǎng)絡信息安全是信息安全中的研究重點之一，也是當前信息安全領域中的研究熱點。研究內容包括：網(wǎng)絡信息安全的主要技術和解決方案、網(wǎng)絡安全產(chǎn)品的研發(fā)等。網(wǎng)絡信息安全包括物理安全和邏輯安全。物理安全指網(wǎng)絡信息在通信、計算機設備及相關設施的物理保護，免于破壞、丟失等。邏輯安全包含信息完整性、保密性、非否認性和可用性等，它是一個涉及網(wǎng)絡安全、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、人為因素等方方面面的事情，必須綜合考慮。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第7頁。目前，在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：防火墻、安全路由器、虛擬專用網(wǎng)（VPN）、安全服務器、電子簽證機構-用戶認證產(chǎn)品、入侵-CA和PKI產(chǎn)品、安全管理中心、檢測系統(tǒng)（IDS）、安全數(shù)據(jù)庫和安全操作系統(tǒng)。在上述所有主要的發(fā)展方向和產(chǎn)品種類上，都包含了密碼技術的應用，并且是非常基礎性的應用。目前密碼技術與通信技術、計算機技術以及芯片技術的融合正日益緊密，其產(chǎn)品的分界線越來越模糊，彼此也越來越不能分割。網(wǎng)絡安全的解決是一個綜合性問題，涉及諸多因素，包括技術、產(chǎn)品和管理等[6]。網(wǎng)絡信息安全技術綜述全文共9頁，當前為第7頁。網(wǎng)絡信息安全問題已成為世界性的問題。它不但應用于普通的電子商務，而且應用于政府和軍方，關系到整個國家的經(jīng)濟安全和國防安全。信息技術已經(jīng)成為整個社會經(jīng)濟發(fā)展的重要基礎，在國計民生占有不可估量的地位；另外，政府主管機構、國防建設對信息技術的安全性、穩(wěn)定性、可維護性和可發(fā)展性提出了越來越迫切的要求，因此，從社會經(jīng)濟發(fā)展和國家安全角度來講，加大發(fā)展信息安全技術是我們今后一項長期而艱巨的任務。參考文獻：[1]白碩，網(wǎng)絡條件下計算機病毒的防范[J].網(wǎng)絡安全技術與應用，2002.[2]張震國，構建完善的病毒防護體系[J].網(wǎng)絡安全技術與應用，2002.[3]吳海燕、石磊、李清玲，網(wǎng)絡信息安全技術綜述[J].電腦知識與技術，2005，12：55-57.網(wǎng)絡信息安全技術綜述全文共9頁，當前為第8頁。[4]劉宏月，訪問控制技術研究進展[J].小型微型計算機系統(tǒng)，2004，25（1）