隨著網絡的逐步普及,網絡安全已成為INTERNET路上事實上的焦點,它關系著INTERNET的進一步發展和普及,甚至關系著INTERNET的生存。可喜的是我們那些互聯網專家們并沒有令廣大INTERNET用戶失望,網絡安全技術也不斷出現,使廣大網民和企業有了更多的放心,下面就網絡安全中的主要技術作一簡介,希望能為網民和企業在網絡安全方面提供一個網絡安全方案參考。
一、殺毒軟件技術
殺毒軟件肯定是我們見的最多,也用得最為普遍的安全技術方案,因為這種技術實現起來最為簡單,但我們都知道殺毒軟件的主要功能就是殺毒,功能十分有限,不能完全滿足網絡安全的需要。這種方式對于個人用戶或小企業或許還能滿足需要,但如果個人或企業有電子商務方面的需求,就不能完全滿足了。可喜的是隨著殺毒軟件技術的不斷發展,現在的主流殺毒軟件同時對預防木馬及其它的一些黑客程序的入侵。還有的殺毒軟件開發商同時提供了軟件防火墻,具有了一定防火墻功能,在一定程度上能起到硬件防火墻的功效,如KV300、金山防火墻、Norton防火墻等。
二、 防火墻技術
“防火墻”是一種形象的說法, 其實它是一種由計算機硬件和軟件的組合, 使互聯網與內部網之間建立起一個安全網關( scurity gateway), 從而保護內部網免受非法用戶的侵入,它其實就是一個把互聯網與內部網(通常這局域網或城域網)隔開的屏障。
防火墻如果從實現方式上來分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結合來達到隔離內、外部網絡的目的,價格較貴,但效果較好,一般小型企業和個人很難實現;軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的。現在軟件防火墻主要有天網防火墻個人及企業版,Norton的個人及企業版軟件防火墻,還有許多原來是開發殺病毒軟件的開發商現在也開發了軟件防火墻,如KV系列、KILL系列、金山系列等。
硬件防火墻如果從技術上來分又可分為兩類, 即標準防火墻和雙家網關防火墻。標準防火墻系統包括一個UNIX工作站, 該工作站的兩端各接一個路由器進行緩沖。其中一個路由器的接口是外部世界, 即公用網; 另一個則連接內部網。標準防火墻使用專門的軟件, 并要求較高的管理水平, 而且在信息傳輸上有一定的延遲。雙家網關 (dual home gateway) 則是標準防火墻的擴充, 又稱堡壘主機(bation host) 或應用層網關(applications layer gateway), 它是一個單個的系統, 但卻能同時完成標準防火墻的所有功能。其優點是能運行更復雜的應用, 同時防止在互聯網和內部系統之間建立的任何直接的邊界,可以確保數據包不能直接從外部網絡到達內部網絡, 反之亦然。
隨著防火墻技術的發展, 雙家網關的基礎上又演化出兩種防火墻配置, 一種是隱蔽主機網關方式, 另一種是隱蔽智能網關( 隱蔽子網)。隱蔽主機網關是當前一種常見的防火墻配置。顧名思義, 這種配置一方面將路由器進行隱蔽, 另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上, 通過路由器的配置, 使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的防火墻是隱蔽智能網關, 它將網關隱藏在公共系統之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問對專用網絡的非法訪問。一般來說, 這種防火墻是最不容易被破壞的。
三、 文件加密和數字簽名技術
與防火墻配合使用的安全技術還有文件加密與數字簽名技術,它是為提高信息系統及數據的安全性和保密性, 防止秘密數據被外部竊取、偵聽或破壞所采用的主要技術手段之一。隨著信息技術的發展, 網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外, 從技術上分別在軟件和硬件兩方面采取措施, 推動著數據加密技術和物理防范技術的不斷發展。按作用不同, 文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
1、數據傳輸加密技術
目的是對傳輸中的數據流加密, 常用的方針有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿, 是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端通過專用的加密軟件,采用某種加密技術對所發送文件進行加密,把明文(也即原文)加密成密文(加密后的文件,這些文件內容是一些看不懂的代碼), 然后進入TCP/IP數據包封裝穿過互聯網, 當這些信息一旦到達目的地, 將由收件人運用相應的密鑰進行解密, 使密文恢復成為可讀數據明文。目前最常用的加密技術有對稱加密技術和非對稱加密技術,對稱加密技術是指同時運用一個密鑰進行加密和解密,非對稱加密方式就是加密和解密所用的密鑰不一樣,它有一對密鑰,稱為“公鑰”和“私鑰”兩個,這兩上密鑰必須配對使用,也就是說用公鑰加密的文件必須用相應人的么鑰才能解密,反之亦然。
2、數據存儲加密技術
這種加密技術的目的是防止在存儲環節上的數據失密, 可分為密文存儲和存取控制兩種。前者一般是通過加密法轉換、附加密碼、加密模塊等方法實現;如上面提到的PGP加密軟件,它不光可以為互聯網上通信的文件進行加密和數字簽名,還可以對本地硬盤文件資料進行加密,防止非法訪問。這種加密方式不同于OFFICE文檔中的密碼保護,用加密軟件加密的文件在解密前內容都會作一下代碼轉換,把原來普通的數據轉變成一堆看不懂的代碼,這樣就保護了原文件不被非法閱讀、修改。后者則是對用戶資格、權限加以審查和限制, 防止非法用戶存取數據或合法用戶越權存取數據,這種技術主要應用于NT系統和一些網絡操作系統中,在系統中可以對不同工作組的用戶賦予相應的權限以達到保護重要數據不被子非常訪問。
3、數據完整性鑒別技術
目的是對介入信息的傳送、存取、處理的人的身份和相關數據內容進行驗證, 達到保密的要求, 一般包括口令、密鑰、身份 、數據等項的鑒別, 系統通過對比驗證對象輸入的特征值是否符合預先設定的參數, 實現對數據的安全保護。這種鑒別技術主要應用于大型的數據庫管理系統中,因為一個單位的數據通常是一個單位的命脈,所以保護好公司數據庫的安全通常是一個單位網管、甚至到一把手的最重要的責任。數據庫系統會根據不同用戶設置不同訪問權限,并對其身份及權限的完整性進行嚴格識別。
4、 密鑰管理技術
上面我講到了數據的加密技術通常是運用密鑰對數據進行加密,這就涉及了一個密鑰的管理方面,因為用加密軟件進行加密時所用的密鑰通常不是我們平常所用的密碼那么僅幾位,至多十幾位數字或字母,一般情況這種密鑰達64bit,有的達到128bit,我們一般不可能完全用腦來記住這些密鑰,只能保存在一個安全的地方,所以這就涉及到了密鑰的管理技術。密鑰的保存媒體通常有: 磁卡、磁帶、磁盤、半導體存儲器等,但這些都可能有損壞或丟失的危險,所以現在的主流加密軟件都采取第三方認證(這第三方可以是個人,也可以是公證機關)或采用隨機密鑰來彌補人們記憶上的不足,還是如PGP加密軟件,不過現在的WIN2K系統以及其它一些加密軟件都在慢慢地往這個方向發展。有關這些方面同樣可以參考我的稿件《文件加密與數字簽名》、《加密技術的方方面面》。
四、 加密技術在智能卡上的應用
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體, 一般就像信用卡一樣, 由授權用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內部網絡服務器上注冊的密碼一致。當口令與身份特征共同使用時, 智能卡的保密性能還是相當有效的。這種技術比較常見,也用得較為廣泛,如我們常用的IC卡、銀行取款卡、智能門鎖卡等等。
上面說了這么的目前主流的網絡安全技術,但這一切的“安全”都是相對,我們不可能寄希望有了這種種安全措施之后就能保證你的網絡萬無一失,任何網絡安全和數據保護的防范措施是有一定的限度。其實在看一個內部網是否安全時不僅要考察其手段, 而更重要的是要看對該網絡所采取的各種措施的綜合性, 這就是在所采取的手段中所包含的不僅是物理防范, 還有人員的素質等其它“軟”因素, 進行綜合評估, 從而得出是否安全的結論。
