泛談保障網絡安全的三項核心關鍵性技術

【賽迪網-IT技術報道】【社區整理】網絡安全的幾項關鍵技術

商用網絡在互聯網上得以運行，首先應建立或使原有的網絡升級為內部網，而專用的內部網與公用的互聯網的隔離則有賴於防火牆技術。有了防火牆，商家們便可以比較安全地在互聯網上進行相應的商業活動。

1. 防火牆技術

「防火牆」是一種形象的說法，其實它是一種由計算機硬體和軟體的組合，使互聯網與內部網之間建立起一個安全網關(scurity gateway)，從而保護內部網免受非法用戶的侵入。所謂防火牆就是一個把互聯網與內部網隔開的屏障。 防火牆有二類，標準防火牆和雙家網關。標準防火牆系統包 括一個UNIX工作站，該工作站的兩端各接一個路由器進行緩衝。其中一個路由器的接口是外部世界，即公用網；另一個則聯接內部網。標準防火牆使用專門的軟體，並要求較高的，又稱堡壘主機(bation host) 或應用層網關(applications layer gateway)，它是一個單個的系統，但卻能同時完成標準防火牆的所有功能。其優點是能運行更複雜的應用，同時防止在互聯網和內部系統之間建立的任何直接的邊疆，可以確保資料包不能直接從外部網絡到達內部網絡，反之亦然。隨著防火牆技術的進步，雙家網關的基礎上又演化出兩種防火牆配置，一種是隱蔽主機網關，另一種是隱蔽智能網關( 隱蔽子網)。隱蔽主機網關是當前一種常見的防火牆配置。顧名思義，這種配置一方面將路由器進行隱蔽，另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為複雜而且安全級別最商的防火牆是隱蔽智能網關，它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對專用網絡的非法訪問。一般來說，這種防火牆是最不容易被破壞的。

2. 資料加密技術

與防火牆配合使用的安全技術還有資料加密技術是為提高信息系統及資料的安全性和保密性，防止秘密資料被外部破析所採用的主要技術手段之一。隨著信息技術的發展，網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強資料的安全保護外，從技術上分別在軟體和硬體兩方面採取措施，動著資料加密技術和物理防範技術的不斷發展。按作用不同，資料加密技術主要分為資料傳輸、資料儲存、資料完整性的鑒別以及密鑰管理技術四種。

(1)資料傳輸加密技術。

目的是對傳輸中的資料流加密，常用的方針有線路加密和端－－端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路採用不同的加密密鑰提供安全保護。後者則指信息由發送者端自動加密，並進入TCP/IP資料包回封，然後作為不可閱讀和不可識別的資料穿過互聯網，當這些信息一旦到達，目的地，被將自動重組、解密，成為可讀資料。

(2)資料儲存加密技術。

目是防止在儲存環節上的資料失密，可分為密文儲存和存取控制兩種。前者一般是通過加密算法轉換、附加密碼、加密模塊等方法實現; 後者則是對用戶資格、格限加以審查和限制，防止非法用戶存取資料或合法用戶越權存取資料。

(3)資料完整性鑒別技術。

目的是對介入信息的傳送、存取、處理的人的身份和相關資料內容進行驗證，達到保密的要求，一般包括口令、密鑰、身份、資料等項的鑒別，系統通過對比驗證對像輸入的特徵值是否符合預先設定的參數，實現對資料的安全保護。

(4) 密鑰管理技術。為了資料使用的方便，資料加密在許多場合集中表現為密鑰的應用，因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有: 磁卡、磁帶、硬碟、半導體儲存器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。

3. 智能卡技術

與資料加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有並由該用戶賦與它一個口令或密碼字。該密碼與內部網絡伺服器上註冊的密碼一致。當口令與身份特徵共同使用時，智能卡的保密性能還是相當有效的。網絡安全和資料保護達些防範措施都有一定的限度，並不是越安全就越可靠。因而，在看一個內部網是否安全時不僅要考察其手段，而更重要的是對該網絡所採取的各種措施，其中不光是物理防範，還有人員的素質等其他「軟」因素，進行綜合評估，從而得出是否安全的結論。

（