【文章內(nèi)容簡介】 絡安全的常用防護技術 10 加密技術 加密技術是網(wǎng)絡安全的核心， 現(xiàn)代密碼技術發(fā)展至今二十余年， 其技術已由傳統(tǒng)的只注重保密性轉移到保密性、真實性、完整性和可控性的完美結合。加密技術是解決網(wǎng)絡上信息傳輸安全的主要方法，其核心是加密算法的設計。加密算法按照密鑰的類型 , 可分為非對稱密鑰加密算法和對稱密鑰加密算法。 (1)非對稱密鑰加密 1976 年，美國學者 Dime 和 Henman 為解決信息公開傳送和密鑰管理問題， 提出一種新的密鑰交換協(xié)議， 允許在不安全的媒體上的通訊雙方交換信息， 安全地達成一致的密鑰， 這就是 “ 公開密鑰系統(tǒng) ” 。相對于 “ 對稱加密算法 ”這種方法也叫做 “非對稱加密算法 ” 。與對稱加密算法不同， 非對稱加密算法需要兩個密鑰： 公開密鑰（ publickey和私有密（ privatekey ） 。公開密鑰與私有密鑰是一對， 如果用 公開密鑰對數(shù)據(jù)進行加密， 只有用對應的私有密鑰才能解密； 如果用私有密鑰對數(shù)據(jù)進行加密， 那么只有用 對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰， 所以這種算法叫作非對稱加密算法。 (2)對稱加密技術 對稱加密采用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰， 即加密密鑰也可以用作解密密鑰， 這種方法在密碼學中叫做對稱加密算法， 對稱加密算法使用起來簡單快捷， 密鑰較短， 且破譯困難， 除了數(shù)據(jù)加密標準（ DNS） ， 另一個對稱密鑰加密系統(tǒng)是國際數(shù)據(jù)加密算法（ IDEA），它比 DNS 的加密性好， 而且對計算機功能要求也沒有那么高。 IDEA 加密標準由 PGP （ Pretty GoodPrivacy ）系統(tǒng)使用。 【 5】 防火墻 網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制， 防止外部網(wǎng)絡用戶以非法手段進入內(nèi)部網(wǎng)絡， 訪問內(nèi)部網(wǎng)絡資源， 保護內(nèi)部網(wǎng)絡的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之問傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查， 以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。根據(jù)防火墻所采用的技術不同， 我們可以將它分為 4 種基本類型：包過濾型、網(wǎng)絡地址轉換型，代理型和監(jiān)測型。 (1) 包過濾型 包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術依據(jù)是網(wǎng)絡中的分包傳輸技 術。網(wǎng)絡上的數(shù)據(jù)都是以 “ 包 ” 為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù) 11 包， 每一個數(shù)據(jù)包中都會包含一些特定信息 ， 如數(shù)據(jù)的源地址、目標地址、TCP/UDP 源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “ 包 ” 是否來自可信任的安全站點， 一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包， 防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術的優(yōu)點是簡單實用， 實現(xiàn)成本低。它是一種完全基于網(wǎng)絡層的安全技術， 只能根據(jù)數(shù)據(jù)包的源、目標端口等網(wǎng)絡信息進行判斷， 無法識別基于 應用層的惡意侵入， 有經(jīng)驗的黑客很容易偽造 IP 地址，騙過包過濾型防火墻，達到入侵網(wǎng)絡的目的。 (2) 網(wǎng)絡地址轉換型 網(wǎng)絡地址轉換是一種用于把 IP 地址轉換成臨時的、外部的 IP地址標準。它允許具有私有 IP 地址的內(nèi)網(wǎng)訪問因特網(wǎng)。在內(nèi)網(wǎng)通過安全網(wǎng)卡訪問外網(wǎng)時， 將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址映射為一個偽裝的地址， 讓這個偽裝的地址通過非安全網(wǎng)卡與外網(wǎng)連接， 這樣對外就隱藏了真實的內(nèi)網(wǎng)地址。在外網(wǎng)通過非安全網(wǎng)卡訪問內(nèi)網(wǎng)時， 它并不知道內(nèi)網(wǎng)的連接情況， 而只是通過一個開放的 IP 地址來請求訪問。防火墻 根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為是安全的訪問， 可以接受訪問請求。當不符合規(guī)則時，防火墻認為該訪問是不安全的， 就屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的， 不需要用戶進行設置，用戶只要進行常規(guī)操作即可。 (3) 代理型 代理型防火墻也可以被稱為代理服務器， 它的安全性要高于包過濾型產(chǎn)品， 并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間， 完全阻擋了二者間的數(shù)據(jù)交流。當客戶機需要使用服務器上的數(shù)據(jù)時， 首先將數(shù)據(jù)請求發(fā)給代理服務器， 代理 服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)， 然后由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之問沒有直接的數(shù)據(jù)通道， 外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。 代理型防火墻的優(yōu)點是安全性較高， 可以針對應用層進行偵測和掃描， 對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響， 而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。 (4) 監(jiān)測型 監(jiān)測型防火墻是新一代的產(chǎn)品， 這一技術實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻 能夠對各層的數(shù)據(jù)進行主動、實時的監(jiān)測， 在對這些數(shù)據(jù)加 12 以分析的基礎上， 監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時， 這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器， 這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點中， 不僅能夠檢測來自網(wǎng)絡外部的攻擊， 同時對自內(nèi)部的惡意破壞也有極強的防范作用。雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器防火墻， 但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高， 也不易管理， 所以目前在實用中的防火墻產(chǎn)品仍然以代理型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。 網(wǎng)絡防病毒技術 (1) 病毒預防技術 計算機病毒的預防技術是指通過一定的技術手段防止計算機病毒對系統(tǒng)的破壞。計算機病毒的預防應包括對已知病毒的預防和對未知病毒的預防。預防病毒技術包括 : 磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術、系統(tǒng)監(jiān)控技術等。 (2) 病毒檢測技術 計算機病毒的檢測技術是指通過一定的技術判定出計算機病毒的一種技術。計算機病毒的檢測技術有兩種 : 一種是判斷計算機病毒特征的監(jiān)測技術。病毒特征包括病毒關鍵字、特征程序段內(nèi)容、傳染方式、文件長度的變化等。另一種是文件自身檢測技術 , 這是 一種不針對具體病毒程序的特征進行判斷 , 而只是通過對文件自身特征的檢驗技術 , 如出現(xiàn)差異 , 即表示該文件已感染上了病毒 , 達到了檢測病毒存在的目的。 (3) 病毒消除技術 計算機病毒的消除技術是計算機病毒檢測技術發(fā)展的必然結果 , 是計算機病毒傳染程序的一種逆過程。但由于殺毒軟件的更新是在病毒出現(xiàn)后才能研制 , 有很大的被動性和滯后性 , 而且由于計算機軟件所要求的精確性 , 致使某些變種病毒無法消除 , 因次應經(jīng)常升級殺毒軟件。 (4) 結語 目前，國內(nèi)市場上已經(jīng)出現(xiàn)了防火墻、安全路由器、安全網(wǎng)關、黑客入侵監(jiān)測 、系統(tǒng)脆弱性掃描軟件等網(wǎng)絡安全產(chǎn)品。但是我國的信息網(wǎng)絡安全技術的研究和產(chǎn)品開發(fā)仍處于起步階段 , 仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索 , 以走出有中國特色的產(chǎn)學研聯(lián)合發(fā)展之路 , 趕上或超過發(fā)達國家的水平 , 以此保證我國信息網(wǎng)絡的安全 ,推動我國國民經(jīng)濟的高速發(fā)展。 【 6】 13 第五章 計算機網(wǎng)絡不安全因素分析 隨著計算機網(wǎng)絡的不斷擴張、計算機應用知識和應用技術的普及化，網(wǎng)絡用戶群體日益擴大，但這個群體來自各個階層，其復雜程度也在日益增加，會對網(wǎng)絡造成危害的各類人物有增無減，顯然，網(wǎng)絡中的安全問題已日趨嚴 重。網(wǎng)絡的不安全因素是不法分子入侵的主要方面，因此，對計算機網(wǎng)絡有威脅的不安全因素進行分析由為重要。 網(wǎng)絡硬件方面的不安全因素 (1) 非法終端 偷偷并接在合法終端通信接口上進行通信的終端?；虍敽戏ㄓ脩魪木W(wǎng)上斷開時，非法用戶乘機接入并操縱該計算機通信接口，或由于某種原因使信息傳到非法終端。應選擇符合實際需要的技術先進的端口保護專用設備，使終端不易受破壞。 (2) 搭線竊聽 隨著信息傳遞的不斷增加，傳遞數(shù)據(jù)的密級也在不斷提高，不法分子為了獲取大量經(jīng)濟、政治和軍事等機密情報，往往會在通信線路上安裝監(jiān) 聽設備，非法竊聽他人信息。當竊聽到他們感興趣的密級信息時，就非法接收下來。這種行為，雖然不影響通信線路上所傳信息的傳輸，但該信息已被不法分子所獲取。這種行為具有隱蔽性，通信雙方不易覺察。因此通信線路應盡可能埋在地下，各連接點應放置在受監(jiān)視的地方，以防外連的企圖，并要定期檢查，以檢測是否有被竊聽。 (3) 注入非法信息 通過通信線路有預謀地注入非法信息，截獲所傳信息，再刪除原有信息，或注入非法信息再發(fā)出，使接收者收到錯誤信息。應進行信息流安全控制，防止不法分子通過流量和流向分析手段確定攻擊的目標。 (4) 非法入侵 不法分子通過技術滲透或利用通信線路入侵網(wǎng)絡，非法使用、破壞和獲取數(shù)據(jù)及系統(tǒng)資源。目前的網(wǎng)絡系統(tǒng)大多數(shù)采用口令來防止非法訪問，一旦口令被竊，很容易侵入網(wǎng)絡。 14 (5) 電磁泄漏 網(wǎng)絡端口、傳輸線路和處理機都有可能因屏蔽不良而造成電磁泄漏。傳送的 信息將會被他人有意或無意地接收到，因而造成信息的泄漏。應盡可能采用光纜， 因為光纜不存在因各種電磁輻射引起的電磁泄漏，而且抗干擾性能極好。 (6) 線路干擾 當公共載波轉接設備陳舊和通信線路質量低劣時，會產(chǎn)生線路干擾，導致數(shù) 據(jù)傳輸出錯。調制解調器會隨 著傳輸速率的上升，迅速增加錯誤。 網(wǎng)絡軟件方面的不安全因素 網(wǎng)絡軟件方面經(jīng)常遇到的不安全因素主要有以下幾點 : (1) 所采用的病毒監(jiān)控軟件 所采用的病毒監(jiān)控軟件功能不強或版本未及時升級，使計算機病毒有孔可入，侵入內(nèi)部網(wǎng)絡，不斷繁殖并擴散到網(wǎng)上的各計算機來破壞系統(tǒng)。輕者使系統(tǒng) 出錯或處理能力下降，重者可使整個系統(tǒng)癱瘓或崩潰