安全基礎之網路安全的幾項關鍵技術

1. 防火牆技術 「防火牆」是一種形象的說法，其實它是一種由電腦硬體和軟體的組合，使互聯網與內部網之間建立起一個安全閘道( scurity gateway)，而保護內部網免受非法使用者的侵入。 所謂防火牆就是一個把互聯網與內部網隔開的屏障。 防火牆有二類，標準防火牆和雙家閘道。 標準防火牆系統包括一個UNIX工作站，該工作站的兩端各接一個路由器進行緩衝。 其中一個路由器的介面是外部世界，即公用網；另一個則聯接內部網。 標準防火牆使用專門的軟體，並要求較高的管理水準，而且在資訊傳輸上有一定的延遲。 雙家閘道(dual home gateway) 則是標準防火牆的擴充，又稱堡壘主機(bation host) 或應用層閘道(applications layer gateway)，它是一個單個的系統，但卻能同時完成標準防火牆的所有功能。 其優點是能運行更複雜的應用，同時防止在互聯網和內部系統之間建立的任何直接的邊疆，可以確保資料包不能直接從外部網路到達內部網路，反之亦然。 隨著防火牆技術的進步，雙家閘道的基礎上又演化出兩種防火牆配置，一種是隱蔽主機閘道，另一種是隱蔽智慧閘道( 隱蔽子網)。 隱蔽主機閘道是當前一種常見的防火牆配置。 顧名思義，這種配置一方面將路由器進行隱蔽，另一方面在互聯網和內部網之間安裝堡壘主機。 堡壘主機裝在內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯一系統。 目前技術最為複雜而且安全級別最商的防火牆是隱蔽智慧閘道，它將閘道隱藏在公共系統之後使其免遭直接攻擊。 隱蔽智慧閘道提供了對互聯網服務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對私人網路絡的非法訪問。 一般來說，這種防火牆是最不容易被破壞的。 2. 資料加密技術 與防火牆配合使用的安全技術還有資料加密技術是為提高資訊系統及資料的安全性和保密性，防止秘密資料被外部破析所採用的主要技術手段之一。 隨著資訊技術的發展，網路安全與資訊保密日益引起人們的關注。 目前各國除了從法律上、管理上加強資料的安全保護外，從技術上分別在軟體和硬體兩方面採取措施，推動著資料加密技術和物理防範技術的不斷發展。 按作用不同，資料加密技術主要分為資料傳輸、資料存儲、資料完整性的鑒別以及金鑰管理技術四種。 (1)資料傳輸加密技術 目的是對傳輸中的資料流程加密，常用的方針有線路加密和端——端加密兩種。 前者側重線上路上而不考慮信源與信宿，是對保密資訊通過各線路採用不同的加密金鑰提供安全保護。 後者則指資訊由發送者端自動加密，並進入TCP/IP資料包回封，然後作為不可閱讀和不可識別的資料穿過互聯網，當這些資訊一旦到達目的地，被將自動重組、解密，成為可讀資料。 (2)資料存儲加密技術 目是防止在存儲環節上的資料失密，可分為密文存儲和存取控制兩種。 前者一般是通過加密演算法轉換、附加密碼、加密模組等方法實現；後者則是對使用者資格、格限加以審查和限制，防止非法使用者存取資料或合法使用者越權存取資料。 (3)資料完整性鑒別技術 目的是對介入資訊的傳送、存取、處理的人的身份和相關數 據內容進行驗證，達到保密的要求，一般包括口令、金鑰、身份、資料等項的鑒別，系統通過對比驗證物件輸入的特徵值是否符合預先設定的參數， 實現對資料的安全保護。 (4) 金鑰管理技術 為了資料使用的方便，資料加密在許多場合集中表現為金鑰的應用，因此金鑰往往是保密與竊密的主要物件。 金鑰的媒體有：磁卡、磁帶、磁片、半導體儲存體等。 金鑰的管理技術包括金鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。 3. 智慧卡技術 與資料加密技術緊密相關的另一項技術則是智慧卡技術。 所謂智慧卡就是金鑰的一種媒體，一般就像信用卡一樣，由授權使用者所持有並由該使用者賦與它一個口令或密碼字。 該密碼與內部網路伺服器上註冊的密碼一致。 當口令與身份特徵共同使用時，智慧卡的保密性能還是相當有效的。 網路安全和資料保護達些防範措施都有一定的限度，並不是越安全就越可靠。 因而，在看一個內部網是否安全時不僅要考察其手段，而更重要的是對該網路所採取的各種措施，其中不光是物理防範，還有人員的素質等其他「軟」因素，進行綜合評估，從而得出是否安全的結論。 責任編輯: 雪花(TEL:（010）68476636-8008) 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：安全基礎之網路安全的幾項關鍵技術 返回網路安全首頁