網(wǎng)絡(luò)安全技術(shù)與方案

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用——網(wǎng)絡(luò)安全技術(shù)與方案學(xué)校 學(xué)生 學(xué)院 專 業(yè)_學(xué)號(hào) 網(wǎng)絡(luò)安全技術(shù)與方案學(xué)生：班級(jí)：摘要：隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)不容忽視。網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進(jìn)行介人控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有：數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù)、認(rèn)證與鑒別技術(shù)與防火墻技術(shù)等。本文對(duì)網(wǎng)絡(luò)安全的技術(shù)進(jìn)行了描述與解釋，并對(duì)網(wǎng)絡(luò)存在的安全問題進(jìn)行了分析，并對(duì)這些安全隱患做出了行之有效的解決方案。關(guān)鍵詞：網(wǎng)絡(luò)、安全、防火墻技術(shù)、加密、認(rèn)證技術(shù)NetworksecuritytechnologiesandsolutionsAbstract:WiththerapiddevelopmentofInternet,networksecurityissueshavenotsallowtoignore.Networksecuritytechnologyisdedicatedtosolvingsuchashowtoeffectivelycontroltheintermediatepeople,andhowtoensurethesecurityofdatatransmissiontechnology,extensiveapplicationofnetworksecuritytechnologymainlyinclude:dataencryptionanddatahidingtechnology,authenticationandidentificationtechnologyandfirewalltechnologyetc.Inthispaper,thetechnologyofnetworksecurityaredescribedandexplained,andanalyzesthesecurityproblemofnetwork,andhasmadeaeffectivesolutiontothesecurityhiddendanger.Keywords:network,security,firewalltechnology,encryptionandauthenticationtechniques1緒論隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來說，收效甚微。網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問，這是人們提到的網(wǎng)絡(luò)安全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對(duì)方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊(cè)過的郵件和文件鎖來實(shí)現(xiàn)。一、計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全是指通過采用各種安全技術(shù)和管理上的安全措施，確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性，其目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄漏等。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的應(yīng)用變得越來越寬泛，帶來前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性與自由性也帶來了私有信息和數(shù)據(jù)被破壞或者侵犯的可能性，網(wǎng)絡(luò)信息安全變得日益重要起來，并被各個(gè)領(lǐng)域所重視。從計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)安全上來說，主要有防病毒、防火墻等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件無法確保網(wǎng)絡(luò)信息的安全性。目前，廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有：數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù)、認(rèn)證與鑒別技術(shù)與防火墻技術(shù)等。1、數(shù)據(jù)加密與數(shù)據(jù)隱藏技術(shù)1.1數(shù)據(jù)加密我們經(jīng)常需要一種措施來保護(hù)我們的數(shù)據(jù)，防止被一些懷有不良用心的人所看到或者破壞。在信息時(shí)代，信息可以幫助團(tuán)體或個(gè)人使他們受益，同樣信息也可以用來對(duì)他們構(gòu)成威脅而造成破壞。在競(jìng)爭激烈的大公司中，工業(yè)間諜經(jīng)常會(huì)獲取對(duì)方的情報(bào)。因此，在客觀上就需要一種強(qiáng)有力的安全措施來保護(hù)機(jī)密數(shù)據(jù)不被竊取或篡改。數(shù)據(jù)加密與解密從宏觀上講是非常簡單的，很容易理解。加密與解密的一些方法是非常直接的，很容易掌握，可以很方便的對(duì)機(jī)密數(shù)據(jù)進(jìn)行加密和解密。對(duì)稱密鑰是最古老的，一般說“密電碼”采用的就是對(duì)稱密鑰。由于對(duì)稱密鑰運(yùn)算量小、速度快、安全強(qiáng)度高，因而目前仍廣泛被采用。 DES是一種數(shù)據(jù)分組的加密算法，它將數(shù)據(jù)分成長度為64位的數(shù)據(jù)塊，其中8位用作奇偶校驗(yàn)，剩余的56位作為密碼的長度。第一步將原文進(jìn)行置換，得到64位的雜亂無章的數(shù)據(jù)組；第二步將其分成均等兩段；第三步用加密函數(shù)進(jìn)行變換，并在給定的密鑰參數(shù)條件下，進(jìn)行多次迭代而得到加密密文。公開密鑰，又稱非對(duì)稱密鑰，加密和解密時(shí)使用不同的密鑰，即不同的算法，雖然兩者之間存在一定的關(guān)系，但不可能輕易地從一個(gè)推導(dǎo)出另一個(gè)。有一把公用的加密密鑰，有多把解密密鑰。非對(duì)稱密鑰由于兩個(gè)密鑰各不相同，因而可以將一個(gè)密鑰公開，而將另一個(gè)密鑰保密，同樣可以起到加密的作用。在這種編碼過程中，一個(gè)密碼用來加密消息，而另一個(gè)密碼用來解密消息。在兩個(gè)密鑰中有一種關(guān)系，通常是數(shù)學(xué)關(guān)系。公鑰和私鑰都是一組十分長的、數(shù)字上相關(guān)的素?cái)?shù)。有一個(gè)密鑰不足以翻譯出消息，因?yàn)橛靡粋€(gè)密鑰加密的消息只能用另一個(gè)密鑰才能解密。每個(gè)用戶可以得到唯一的一對(duì)密鑰，一個(gè)是公開的，另一個(gè)是保密的。公共密鑰保存在公共區(qū)域，可在用戶中傳遞。而私鑰必須存放在安全保密的地方。任何人都可以有你的公鑰，但是只有你一個(gè)人能有你的私鑰。所以不必?fù)?dān)心大家都有我的公鑰，因?yàn)樗荒苡脕斫饷芟?。公開密鑰的加密機(jī)制雖提供了良好的保密性，但難以鑒別發(fā)送者，即任何得到公開密鑰的人都可以生成和發(fā)送報(bào)文。數(shù)字簽名機(jī)制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等問題。1.2數(shù)據(jù)隱藏?cái)?shù)據(jù)隱藏技術(shù)是指隱藏?cái)?shù)據(jù)的存在性。通常是將數(shù)據(jù)隱藏在一個(gè)容量更大的數(shù)據(jù)載體之中，形成隱秘載體，使非法者難于觀察其中隱藏有某些數(shù)據(jù)，或難于從中提取被隱藏?cái)?shù)據(jù)。信息隱藏主要是研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中，然后通過信息公開的傳輸來傳遞機(jī)密信息。對(duì)加密通信而言，監(jiān)測(cè)或者非法攔截者可以通過截取密文，并對(duì)其進(jìn)行破譯，或破壞密文后在發(fā)送，從而保證機(jī)密信息安全。但對(duì)信息隱藏而言，監(jiān)測(cè)者或者非法攔截者則難以公開信息中判斷機(jī)密信息是否存在，難以截獲機(jī)密信息，從而能夠保證機(jī)密信息的安全。2、認(rèn)證與鑒別技術(shù)2.1數(shù)字簽名數(shù)字簽名(DigitalSignature)技術(shù)是非對(duì)稱加密算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰對(duì)數(shù)據(jù)校驗(yàn)或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密處理，完成對(duì)數(shù)據(jù)的合法“簽名”，數(shù)據(jù)接收方則利用對(duì)方的公鑰來解讀收到的“數(shù)字簽名”，并將解讀結(jié)果用于對(duì)數(shù)據(jù)完整性的檢驗(yàn)，以確認(rèn)簽名的合法性。數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中確認(rèn)身份的重要技術(shù)，完全可以代替現(xiàn)實(shí)過程中的“親筆簽字”，在技術(shù)和法律上有保證。在數(shù)字簽名應(yīng)用中，發(fā)送者的公鑰可以很方便地得到，但他的私鑰則需要嚴(yán)格保密。數(shù)字簽名是解決網(wǎng)絡(luò)通信中特有安全問題的一種有效方法，它能夠?qū)崿F(xiàn)電子文檔的辨認(rèn)和驗(yàn)證，在保證數(shù)據(jù)的完整性、私有性、不可抵賴性方面起著極其重要的作用。為了實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下的身份鑒別、數(shù)據(jù)完整性認(rèn)證和抗否認(rèn)的功能。數(shù)字簽名原理圖2.2CA認(rèn)證CA中心主要職責(zé)是頒發(fā)和管理數(shù)字證書，其中心任務(wù)是頒發(fā)數(shù)字證書，并履行用戶身份認(rèn)證的責(zé)任。CA中心在安全責(zé)任分散、運(yùn)行安全管理、系統(tǒng)安全、物理安全、數(shù)據(jù)庫安全、人員安全、密鑰管理等方面，需要十分嚴(yán)格的政策和規(guī)程，要有完善的安全機(jī)制，另外要有完善的安全審計(jì)、運(yùn)行監(jiān)控、容災(zāi)備份、事故快速反應(yīng)等實(shí)施措施，對(duì)身份認(rèn)證、訪問控制、防病毒防攻擊等方面也要有強(qiáng)大的工具支撐°CA中心的證書審批業(yè)務(wù)部門則負(fù)責(zé)對(duì)證書申請(qǐng)者進(jìn)行資格審查，并決定是否同意給該申請(qǐng)者發(fā)放證書，并承擔(dān)因?qū)徍隋e(cuò)誤引起的、為不滿足資格的證書申請(qǐng)者發(fā)放證書所引起的一切后果。3、防火墻技術(shù)3.1防火墻防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防止內(nèi)部信息的外泄:通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。3.2防火墻的種類防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。在邏輯上,防火墻是一個(gè)分離器、一個(gè)限制器,也是一個(gè)分析器,它有效地監(jiān)控了所要保護(hù)的內(nèi)部網(wǎng)和外部公共網(wǎng)絡(luò)之間的任何活動(dòng)。從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查,用于確定網(wǎng)絡(luò)哪些內(nèi)部服務(wù)允許外部訪問,以及內(nèi)部網(wǎng)絡(luò)主機(jī)訪問哪些外部服務(wù)等,從而保證了所要保護(hù)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行以及內(nèi)部網(wǎng)絡(luò)上數(shù)據(jù)和信息資源的完整性、可用性和保密性。不同技術(shù)的防火墻實(shí)現(xiàn)的功能的側(cè)重點(diǎn)不同,防火墻實(shí)際上代表了一個(gè)網(wǎng)絡(luò)的訪問控制原則二、網(wǎng)絡(luò)安全解決方案1、常見的網(wǎng)絡(luò)威脅1.1網(wǎng)絡(luò)竊聽在廣域網(wǎng)中，每個(gè)節(jié)點(diǎn)都能讀取網(wǎng)上的數(shù)據(jù)，這是互聯(lián)網(wǎng)的主要脆弱點(diǎn)?；ヂ?lián)網(wǎng)體系結(jié)構(gòu)允許監(jiān)視器接受網(wǎng)上傳輸?shù)乃袛?shù)據(jù)楨而不考慮傳輸目的地址，這種特性使得竊聽網(wǎng)上的數(shù)據(jù)或非授權(quán)訪問很容易且不易被發(fā)現(xiàn)。1.2完整性破壞當(dāng)信息系統(tǒng)被有意或無意的修改或破壞時(shí)，就會(huì)發(fā)生數(shù)據(jù)完整性破壞。1.3數(shù)據(jù)修改數(shù)據(jù)修改是在非授權(quán)和不能監(jiān)測(cè)的方式下對(duì)數(shù)據(jù)的改變。當(dāng)節(jié)點(diǎn)修改加入網(wǎng)中的楨并傳送修改版本時(shí)就發(fā)生了數(shù)據(jù)修改。即使采用某些級(jí)別的認(rèn)證機(jī)制，此種供給也能危及可信節(jié)點(diǎn)的通信。1.4重發(fā)重發(fā)就是重復(fù)一份保文或報(bào)文的一部分，以便產(chǎn)生一個(gè)被授權(quán)效果。當(dāng)節(jié)點(diǎn)考貝發(fā)到其他節(jié)點(diǎn)的報(bào)文并在其后重發(fā)它們時(shí)，如果不能檢測(cè)重發(fā)，節(jié)點(diǎn)依據(jù)此報(bào)文的內(nèi)容接受某些操作。1.5假冒當(dāng)一個(gè)實(shí)體假扮成另一個(gè)實(shí)體時(shí)，就發(fā)生了假冒。很多網(wǎng)絡(luò)適配器都允許網(wǎng)楨的源地址由節(jié)點(diǎn)自己來選取或改變，這就使冒充變得較為容易。1.6服務(wù)否認(rèn)當(dāng)一個(gè)授權(quán)實(shí)體不能獲得對(duì)網(wǎng)絡(luò)資源的訪問或當(dāng)緊急操作被推遲時(shí)，就發(fā)生了服務(wù)否認(rèn)。這可能是由網(wǎng)絡(luò)部件的物理損壞而引起的，也可能由超載而引起。1.7計(jì)算機(jī)病毒這是一種人為編制的隱藏在計(jì)算機(jī)中很難被發(fā)現(xiàn)且具有特定破壞能力的程序或代碼，能夠通過軟盤、硬盤、通信鏈路和其他途徑在計(jì)算機(jī)網(wǎng)絡(luò)能轉(zhuǎn)播和蔓延，具有極大的破壞性。2、計(jì)算機(jī)安全技術(shù)的解決方案2.1物理隔離技術(shù)物理隔離是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)，物理隔離的目的是保護(hù)路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。實(shí)施內(nèi)外網(wǎng)物理隔離，技術(shù)上可以確保：在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)，同時(shí)防止內(nèi)部網(wǎng)信息通過網(wǎng)絡(luò)連接泄露到外部網(wǎng)。物理隔離的指導(dǎo)思想與防火墻有很大的不同：防火墻絕不是物理隔離產(chǎn)品，防火墻的根本起因是不同網(wǎng)絡(luò)間既要保證需要的數(shù)據(jù)交換和相互訪問，又要防御惡意或非法訪問。而無論從包過濾技術(shù)還是從代理技術(shù)來說，其關(guān)鍵的都在于使數(shù)據(jù)有選擇的通過，而不是徹底的把數(shù)據(jù)隔離。物理隔離與防火墻是兩個(gè)不同的安全策略，它們功能互補(bǔ)，但不能互相代替。它們二者的安全策略非常清楚，即：把需要保密的內(nèi)部數(shù)據(jù)，進(jìn)行100%的保護(hù)，實(shí)行物理隔離，而對(duì)可公開的數(shù)據(jù)，則交由防火墻去保護(hù)。2.2網(wǎng)絡(luò)認(rèn)證技術(shù)(1)口令認(rèn)證，當(dāng)被認(rèn)證對(duì)象要求訪問提供服務(wù)的系統(tǒng)時(shí)，提供服務(wù)的認(rèn)證方要求被認(rèn)證對(duì)象提交該對(duì)象的口令，認(rèn)證方收到口令后，將其與系統(tǒng)中存儲(chǔ)的用戶El令進(jìn)行比較，以確認(rèn)被認(rèn)證對(duì)象是否為合法訪問者。但這種明文輸入的□令，很容易泄密，傳輸過程中也可能被截獲，系統(tǒng)中所有用戶的口令以文件形式存儲(chǔ)在認(rèn)證方，攻擊者還可以利用系統(tǒng)中存在的漏洞獲取系統(tǒng)的□令文件。而且這種認(rèn)證只能進(jìn)行單向認(rèn)證，即系統(tǒng)可以認(rèn)證用戶，而用戶無法對(duì)系統(tǒng)進(jìn)行認(rèn)證，這使得攻擊者可能偽裝成系統(tǒng)騙取用戶的□令。(2)又因素認(rèn)證，除□令外，還必須擁有系統(tǒng)頒發(fā)的令牌訪問設(shè)備，當(dāng)用戶向系統(tǒng)登錄時(shí)，用戶除輸人□令外，還必須輸入令牌訪問設(shè)備所顯示的數(shù)字，該數(shù)字與認(rèn)證服務(wù)器同步，不斷變化。這種方法比基于□令的認(rèn)證方法具有更好的安全性，在一定程度上解決了□令認(rèn)證方法中的問題(3Xerberos該認(rèn)證過程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。在以上情況下，Kerberos作為一種可信任的第方認(rèn)證服務(wù)，是通過傳統(tǒng)的密碼技術(shù)(如：共享密鑰)執(zhí)行認(rèn)證服務(wù)的。CHAP，使用3次握手周期性的驗(yàn)證對(duì)端身份。在鏈路建立初始化時(shí)這樣做，也可以在鏈路建立后任何時(shí)間重復(fù)驗(yàn)證。x.509證書及認(rèn)證框架，X.509給出的鑒別框架是一種基于公開密鑰體制的鑒別業(yè)務(wù)密鑰管理。一個(gè)用戶有兩把密鑰：一把是用戶的專用密鑰，另一把是其他用戶都可利用的公共密鑰。用戶可用常規(guī)密鑰(如DES)為信息加密，然后再用接收者的公共密鑰對(duì)DES進(jìn)行加密并將之附于信息之上，這樣接收者可用對(duì)應(yīng)的專用密鑰打開DES密鎖，并對(duì)信息解密。2.3病毒防護(hù)技術(shù)在早期的單機(jī)環(huán)境下，病毒主要有寄生性、隱蔽性、非法性、傳染性、破壞性、潛伏性、可觸發(fā)性等特點(diǎn)，隨著計(jì)算機(jī)網(wǎng)絡(luò)在工作、生活、學(xué)習(xí)中發(fā)揮著越來越重要的作用，各種網(wǎng)絡(luò)安全問題逐漸增多，網(wǎng)絡(luò)病毒越發(fā)趨于復(fù)雜，除具有單機(jī)環(huán)境下的特點(diǎn)外，還呈現(xiàn)出感染速度快、擴(kuò)散面廣、傳播的形式復(fù)雜多樣、難于徹底清除、破壞性大等新的特點(diǎn)。與此同時(shí)，許多防病毒廠商也升級(jí)了一些新的防病毒技術(shù)，主要包括數(shù)字免疫系統(tǒng)、監(jiān)控病毒源技術(shù)、主動(dòng)內(nèi)核技術(shù)、“分布式處理”技術(shù)、安全網(wǎng)管技術(shù)。防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)病毒時(shí),可能已經(jīng)感染了很多計(jì)算機(jī),防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部,同時(shí)具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時(shí),管理員只要將防病毒網(wǎng)關(guān)升級(jí)就可以抵御新病毒的攻擊。目前,代表性的產(chǎn)品有億郵防病毒網(wǎng)關(guān)、中網(wǎng)電子郵件防病毒網(wǎng)關(guān)、北信源防毒網(wǎng)關(guān)等。2.4入侵檢測(cè)系統(tǒng)(Intrusiondetectionsystem,簡稱IDS)IDS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企業(yè)、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。它作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)人侵。與其他安全產(chǎn)品不同的是，人侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得m有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。具體說來，人侵檢測(cè)系統(tǒng)的主要功能有：監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)，.核查系統(tǒng)配置和漏洞..評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，識(shí)別已知的攻