尤曉晴

摘要各個社會領域都離不開計算機的應用,但是開放的信息系統(tǒng)必然存在眾多潛在的安全隱患。本文就網絡信息安全技術展開討論。

關鍵詞物理隔離防火墻數字簽名

中圖分類號:TP393文獻標識碼:A

隨著計算機與網絡應用的不斷普及,各個社會領域都離不開計算機的應用,尤其是網絡的應用。然而,開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭不斷演繹,甚至到了十分危急的程度。因此,作為計算機應用者,有必要很好地了解有關網絡安全方面的知識,更要采取有力措施來保護網絡的正常使用和信息的安全。下面就網絡信息安全技術做一定的探索。

1 物理隔離網絡

所謂“物理隔離”是指內部網不直接或間接地連接Internet。實現物理隔離的措施有:(1)在電腦內安裝1塊網絡安全隔離卡,根據單位的不同需求,隨時在內外網之間切換,盡最大可能減少與互聯網的接觸,減少黑客攻擊的機會。(2)抗攻擊網關。將抗攻擊網關架設在路由器之前,通過獨立的監(jiān)控系統(tǒng)實時監(jiān)控和報警。其類型主要有入侵檢測、指紋識別、免疫型等。(3)防病毒網關。放置在內網和外網連接處,可隔離大部分病毒與外部,同時具有反垃圾郵件和反間諜軟件的能力。管理員需要定期升級,來抵御新病毒的攻擊。

2 網絡防火墻技術

網絡防火墻技術是一種防止外部網絡用戶以非法手段訪問內部網絡,保護內部網絡環(huán)境,加強網絡間訪問控制的網絡互聯設備。它對網絡之間傳輸的數據包用一定的安全策略實施檢查,以決定網絡之間的傳輸是否被允許,并監(jiān)視整個網絡運行狀態(tài),能有效監(jiān)控內網和外網之間的活動,保證內網的安全。

防火墻處于網絡安全體系的最底層,作為內網與公共網絡之間的第一道屏障,防火墻最先受到人們的重視。隨著網絡安全技術的整體發(fā)展,現代防火墻技術已經逐步走向網絡層之外的其他安全層次。由于硬件技術的快速發(fā)展,基于Internet上的新一代防火墻,將更注重發(fā)揮全網的效能,安全策略會更加合理與規(guī)范化。根據防火墻采用的技術不同,可分為四種基本類型:包過濾型、網絡地址轉換型、代理型和監(jiān)測型。

2.1 包過濾型

包過濾型產品是初級產品,以分包傳輸技術為特征。數據都以“包”為單位,被分割成一定大小的數據包,每一個數據包中都包含特定的信息。通過讀取數據包中的地址信息,防火墻來判斷這些“包”是否來自可信任的安全站點。一旦發(fā)現來自危險站點的數據包,便將這些數據拒之門外。包過濾技術的優(yōu)點是簡單實用,實現成本較低,能夠以較小代價保證系統(tǒng)的安全。包過濾技術的缺點是完全基于網絡層,只能根據數據包的來源、目標和端口等網絡信息判斷,無法識別基于應用層的惡意侵入。所以,容易用障眼法來偽造IP地址,欺騙包過濾型防火墻,以進入內部網絡。

2.2 網絡地址轉化型

網絡地址轉換允許私有IP地址的內網訪問因特網,允許把IP地址轉換成臨時的,即用戶不必要為網絡中的每臺機器取得注冊的IP地址。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,通過偽裝的地址和端口與外網連接,這樣就隱藏了真實的內網地址。當外網訪問內網時,并不知道內網的連接情況,其訪問通過一個開放的IP地址和端口來完成。防火墻根據預定義的映射規(guī)則來判斷這個訪問是否安全。符合規(guī)則時,則認為訪問是安全的,接受訪問請求。不符合規(guī)則時,則認為訪問是不安全的,不被接受,自動屏蔽外部連接請求。整個過程對于用戶來說是透明的。

2.3 代理型

亦稱為代理服務器,安全性要高于包過濾型產品。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。當客戶機需使用服務器上的數據時,首先向代理服務器發(fā)送數據請求,根據這一請求向服務器索取數據,然后再由代理服務器將數據傳送給客戶機。由于外系統(tǒng)與內服務器間沒有直接的數據通道,來自外部的惡意侵入和攻擊就很難傷害到內部網絡。優(yōu)點是安全性較高,可有效對付基于應用層的侵入。缺點是對系統(tǒng)的整體性能影響較大,增加了管理的復雜性。

2.4 監(jiān)測型

監(jiān)測型防火墻能對各層數據主動、實時監(jiān)測,能有效判斷出各層中的非法侵入。一般還帶有分布式探測器,不僅能檢測外部的攻擊,同時對內部的惡意破壞也有極強的防范作用。監(jiān)測型防火墻在安全性上遠遠超越了前兩代產品。但監(jiān)測型防火墻技術的實現成本較高,不易管理。

3 生物識別技術

生物識別技術是依靠人體的身體特征,集光學、傳感技術、超聲波掃描和計算機技術于一身的第三代身份驗證技術。由于人體特征不可復制,故其安全系數較有很大的提高。人體的生物特征包括指紋、面孔、聲音、視網膜等。自動指紋識別系統(tǒng)AFIS就是一套成功的身份鑒別系統(tǒng),也是未來生物識別技術的主流之一。近年視網膜識別技術的研究也取得了很大進步,突破了許多技術難題。

4 加密及數字簽名技術(下轉第138頁)(上接第132頁)

加密技術的出現為全球電子商務交易提供了安全保障。加密技術主要有:對稱加密和非對稱加密技術。對稱加密是以口令為基礎,加密與解密使用同樣的密鑰。不對稱加密,即“公開密鑰密碼體制”,加密密鑰公之于眾,解密密鑰只有解密人有,分別稱為“公開密鑰”和“秘密密鑰”。

數字簽名技術將是未來最流行的個人安全防范技術。其實現過程為:發(fā)送者用密鑰對郵件加密,建立一個“數字簽名”,然后通過公開的通信途徑將簽名和郵件一起發(fā)給接收者,接收者收到郵件后,使用公開密鑰對簽名解密,如果計算結果相同就通過了驗證。數字簽名技術具有抗抵賴性。

總之,網絡信息安全是一個綜合性的課題,也是國家發(fā)展所面臨的一個重要課題。信息安全的發(fā)展是我國高科技產業(yè)的一部分,也是國家信息安全系統(tǒng)的重要組成部分,將對我國電子商務的發(fā)展起到非常重要的保障和促進作用。所以,一種技術的應用只能解決某一方面的問題,應通過全盤的解決方案。希望廣大的網絡應用者一起努力,為網絡信息安全作出自己應有的貢獻。