【文章內(nèi)容簡(jiǎn)介】 ， 利用人體固有的生理特性和行為特征來進(jìn)行個(gè)人身份的鑒定 ， 則進(jìn)一步增強(qiáng)認(rèn)證的安全性 。 但是對(duì)于現(xiàn)有的雙因子認(rèn)證系統(tǒng) ， 引用生物識(shí)別技術(shù)作為其檢測(cè)因子代價(jià)過高 ， 實(shí)現(xiàn)起來比較復(fù)雜 。 網(wǎng)絡(luò) 安全措施 5． 防火墻 防火墻 （ firewall） 是指設(shè)置在不同網(wǎng)絡(luò) （ 如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) ） 或網(wǎng)絡(luò)安全域之間的一系列部件的組合 。 它可通過監(jiān)測(cè) 、 限制 、 更改跨越防火墻的數(shù)據(jù)流 ， 盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息 、 結(jié)構(gòu)和運(yùn)行狀況 ， 以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù) 。 在邏輯上 ， 防火墻是一個(gè)分離器 ， 一個(gè)限制器 ， 也是一個(gè)分析器 ， 它有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter之間的任何活動(dòng) ， 保證了內(nèi)部網(wǎng)絡(luò)的安全 。 防火墻啟動(dòng)后 ， 經(jīng)過它的網(wǎng)絡(luò)信息都必須經(jīng)過掃描 ， 這樣可以濾掉一些攻擊 ， 以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行 。 它還可以關(guān)閉不使用的端口 ， 禁止特定端口流出通信 ， 可以鎖定特洛伊木馬 。 除此之外 ， 防火墻還可以禁止來自特殊站點(diǎn)的訪問 ， 從而防止不明者的入侵 。 網(wǎng)絡(luò) 安全措施 5． 防火墻 防火墻有不同類型 ， 從技術(shù)上可分為包過濾型 、 代理服務(wù)器型 、 復(fù)合型以及其他類型 （ 雙宿主主機(jī)型 、 主機(jī)過濾及加密路由器 ） 防火墻 。 從使用范圍上可分為硬件防火墻 、 專業(yè)級(jí)防火墻和個(gè)人防火墻 。 硬件級(jí)防火墻可以是硬件自身的一部分 ， 可以將網(wǎng)絡(luò)連接和計(jì)算機(jī)都接入硬件防火墻中 。 專業(yè)級(jí)防火墻可以在一個(gè)獨(dú)立的機(jī)器上運(yùn)行 ， 該機(jī)器作為它背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻 。 個(gè)人防火墻是指可直接在計(jì)算機(jī)上使用的防火墻軟件 。 網(wǎng)絡(luò) 安全措施 信息 安全產(chǎn)品 信息 安全技術(shù) 信息安全技術(shù) 數(shù)據(jù)加密 及數(shù)據(jù)加密技術(shù) SSL 信息 安全服務(wù) 目前 ， 在市場(chǎng)上比較流行 ， 而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類： 防火墻： 防火墻在某種意義上可以說是一種訪問控制產(chǎn)品 。 它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙 ， 阻止外界對(duì)內(nèi)部資源的非法訪問 ， 防止內(nèi)部對(duì)外部的不安全訪問 。主要技術(shù)包括：包過濾技術(shù) 、 應(yīng)用網(wǎng)關(guān)技術(shù) 、 代理服務(wù)技術(shù) 。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊 ， 并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控 、 過濾 、 記錄和報(bào)告功能 ， 較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接 。 信息 安全產(chǎn)品 網(wǎng)絡(luò)安全隔離： 網(wǎng)絡(luò)隔離有兩種方式 ， 一種是采用隔離卡來實(shí)現(xiàn)的 ， 一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的 。 隔離卡主要用于對(duì)單臺(tái)機(jī)器的隔離 ， 網(wǎng)閘主要用于對(duì)于整個(gè)網(wǎng)絡(luò)的隔離 。 安全路由器： 由于 WAN連接需要專用的路由器設(shè)備 ， 因而可通過路由器來控制網(wǎng)絡(luò)傳輸 。 通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流 。 虛擬專用網(wǎng) （ VPN） ： 虛擬專用網(wǎng) （ VPN） 是在公共數(shù)據(jù)網(wǎng)絡(luò)上 ， 通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù) ， 實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互連 。 VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻 ， 以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞 。 信息 安全產(chǎn)品 安全服務(wù)器： 安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ) 、 傳輸?shù)陌踩Ｃ軉栴} ， 其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制 ， 對(duì)局域網(wǎng)內(nèi)用戶的管理 ， 以及局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤 。 電子簽證機(jī)構(gòu) —— CA和 PKI產(chǎn)品： 電子簽證機(jī)構(gòu) （ CA）作為通信的第三方 ， 為各種服務(wù)提供可信任的認(rèn)證服務(wù) 。 CA可向用戶發(fā)行電子簽證證書 ， 為用戶提供成員身份驗(yàn)證和密鑰管理等功能 。 PKI產(chǎn)品可以提供更多的功能和更好的服務(wù) ，其將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件 。 入侵檢測(cè)系統(tǒng) （ IDS） ： 入侵檢測(cè) ， 作為傳統(tǒng)保護(hù)機(jī)制（ 例如訪問控制 、 身份識(shí)別等 ） 的有效補(bǔ)充 ， 形成了信息系統(tǒng)中不可或缺的反饋鏈 。 信息 安全產(chǎn)品 用戶認(rèn)證產(chǎn)品： 由于 IC卡技術(shù)的日益成熟和完善 ， IC卡被更為廣泛地用于用戶認(rèn)證產(chǎn)品中 ， 用來存儲(chǔ)用戶的個(gè)人私鑰 ， 并與其他技術(shù)如動(dòng)態(tài)口令相結(jié)合 ， 對(duì)用戶身份進(jìn)行有效的識(shí)別 。 同時(shí) ， 還可利用 IC卡上的個(gè)人私鑰與數(shù)字簽名技術(shù)結(jié)合 ， 實(shí)現(xiàn)數(shù)字簽名機(jī)制 。 隨著模式識(shí)別技術(shù)的發(fā)展 ， 諸如指紋 、 視網(wǎng)膜 、 臉部特征等高級(jí)的身份識(shí)別技術(shù)也將投入應(yīng)用 ， 并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合 ， 必將使得對(duì)于用戶身份的認(rèn)證和識(shí)別更趨完善 。 安全管理中心： 由于網(wǎng)上的安全產(chǎn)品較多 ， 且分布在不同的位置 ， 這就需要建立一套集中管理的機(jī)制和設(shè)備 ， 即安全管理中心 。 它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰 ， 監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài) ， 負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等 信息 安全產(chǎn)品 信息 安全產(chǎn)品 網(wǎng)絡(luò)信息安全是一個(gè)涉及計(jì)算機(jī)技術(shù) 、 網(wǎng)絡(luò)通信技術(shù) 、密碼技術(shù) 、 信息安全技術(shù)等多種技術(shù)的邊緣性綜合學(xué)科 。 有效的安全策略或方案的制定 ， 是網(wǎng)絡(luò)信息安全的首要目標(biāo) 。網(wǎng)絡(luò)信息安全技術(shù)通常從防止信息竊密和防止信息破壞兩個(gè)方面加以考慮 。 防止信息竊密的技術(shù)通常采用防火墻技術(shù) 、密鑰管理 、 通信保密 、 文件保密 、 數(shù)字簽名等 。 防止信息破壞的技術(shù)有防止計(jì)算機(jī)病毒 、 入侵檢測(cè) 、 接入控制等 。 信息安全技術(shù)可以分為 主動(dòng)的和被動(dòng)的信息安全技術(shù) 。其中主動(dòng)意味著特定的信息安全技術(shù)采用主動(dòng)的措施 ， 試圖在出現(xiàn)安全破壞之前保護(hù)數(shù)據(jù)或者資源 。 而被動(dòng)則意味著一旦檢測(cè)到安全破壞 ， 特定的信息安全技術(shù)才會(huì)采取保護(hù)措施 ，試圖保護(hù)數(shù)據(jù)或者資源 。 信息 安全技術(shù) 1． 被動(dòng)的信息安全技術(shù) 被動(dòng)的信息安全技術(shù)包括以下幾個(gè)方面： 防火墻： 防火墻是抵御入侵者的第一道防線 ， 它的目的是阻止未授權(quán)的通信進(jìn)入或者流出被保護(hù)的機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)或者主機(jī) ， 最大限度地防止網(wǎng)絡(luò)中的黑客更改 、 拷貝 、 毀壞敏感信息 。 Inter防火墻是安裝在特殊配置計(jì)算機(jī)上的軟件工具 ， 作為機(jī)構(gòu)內(nèi)部或者信任網(wǎng)絡(luò)和不信任網(wǎng)絡(luò)或者Inter之間的安全屏障 、 過濾器或者瓶頸 。 個(gè)人防火墻是面向個(gè)人用戶的防火墻軟件 ， 可以根據(jù)用戶的要求隔斷或連通用戶計(jì)算機(jī)與 Inter之間的連接 。 防火墻是被動(dòng)的信息安全技術(shù) ， 因?yàn)橐坏┏霈F(xiàn)特定的安全事件 ， 才會(huì)使用防火墻抵御它們 。 信息 安全技術(shù) 1． 被動(dòng)的信息安全技術(shù) 接入控制： 接入控制的目的是確保主體有足夠的權(quán)利對(duì)系統(tǒng)執(zhí)行特定的動(dòng)作 。 主體可以是一個(gè)用戶 、 一群用戶 、 服務(wù)或者應(yīng)用程序 。 主體對(duì)系統(tǒng)中的特定對(duì)象有不同的接入級(jí)別 。 對(duì)象可以是文件 、 目錄 、 打印機(jī)或者進(jìn)程 。 一旦有接入請(qǐng)求 ， 就會(huì)使用接入控制技術(shù)允許或者拒絕接入系統(tǒng) ， 所以它是被動(dòng)的信息安全技術(shù) 。 口令： 口令是某個(gè)人必須輸入才能獲得進(jìn)入或者接入信息 （ 例如文件 、 應(yīng)用程序或者計(jì)算機(jī)系統(tǒng) ） 的保密字 、 短語或者字符序列 。 口令是被動(dòng)的信息安全技術(shù) ， 因?yàn)橐坏┯腥嘶蛘哌M(jìn)程想登錄到應(yīng)用程序 、 主機(jī)或者網(wǎng)絡(luò) ， 才會(huì)使用它們?cè)试S或者拒絕接入系統(tǒng) 。 信息 安全技術(shù) 1． 被動(dòng)的信息安全技術(shù) 生物特征識(shí)別： 生物特征識(shí)別技術(shù)是指通過計(jì)算機(jī)利用人類自身的生理或行為特征進(jìn)行身份認(rèn)定的一種技術(shù) ， 包括指紋 、 虹膜 、掌紋 、 面相 、 聲音 、 視網(wǎng)膜和 DNA等人體的生理特征 ， 以及簽名的動(dòng)作 、 行走的步態(tài) 、 擊打鍵盤的力度等行為特征 。 生物特征的特點(diǎn)是人各有異 、 終生不變 、 隨身攜帶 。 一旦某個(gè)人想使用他 /她人體的一部分的幾何結(jié)構(gòu)登錄到應(yīng)用程序 、 主機(jī)或者網(wǎng)絡(luò) ， 就會(huì)使用生物特征識(shí)別技術(shù)允許或者拒絕他 /她接入系統(tǒng) ， 所以該技術(shù)是被動(dòng)的信息安全技術(shù) 。 登錄日志： 登錄日志是試圖搜集有關(guān)發(fā)生的特定事件信息的信息安全技術(shù) ， 其目的是提供檢查追蹤記錄 （ 在發(fā)生了安全事件之后 ， 可以追蹤它 ） 。 登錄日志是被動(dòng)的信息安全技術(shù) ， 因?yàn)槭窃诎l(fā)生了安全事件之后 ， 才使用它追蹤安全事件 。 信息 安全技術(shù) 1． 被動(dòng)的信息安全技術(shù) 入侵檢測(cè)系統(tǒng)： 入侵檢測(cè)是監(jiān)控計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中發(fā)生的事件 ， 并且分析它們的入侵跡象的進(jìn)程 。 入侵是試圖損害資源的完整性 、 機(jī)密性或者可用性的任何一組動(dòng)作 。 入侵檢測(cè)系統(tǒng) （ IDS） 是自動(dòng)實(shí)現(xiàn)這個(gè)監(jiān)控和分析進(jìn)程的軟件或者硬件技術(shù) 。 由于 IDS用于監(jiān)控網(wǎng)絡(luò)上的主機(jī) ， 并且一旦出現(xiàn)入侵 ， 就會(huì)對(duì)入侵采取行動(dòng) ， 所以 IDS是被動(dòng)的信息安全技術(shù) 。 遠(yuǎn)程接入： 遠(yuǎn)程接入是允許某個(gè)人或者進(jìn)程接入遠(yuǎn)程服務(wù)的信息安全技術(shù) 。 但是 ， 接入遠(yuǎn)程服務(wù)并不總是受控的 ，有可能匿名接入遠(yuǎn)程服務(wù) ， 并造成威脅 。 遠(yuǎn)程接入是被動(dòng)的信息安全技術(shù) ， 因?yàn)樗挂粋€(gè)人或者進(jìn)程能夠根據(jù)他們的接入權(quán)限連接到遠(yuǎn)程服務(wù) 。 信息 安全技術(shù) 2． 主動(dòng)的網(wǎng)絡(luò)信息安全技術(shù) 主動(dòng)的網(wǎng)絡(luò)信息安全技術(shù)包括以下幾個(gè)方面： 密碼術(shù)： 密碼術(shù)是將明文變成密文和把密文變成明文的技術(shù)或科學(xué) ， 用于保護(hù)數(shù)據(jù)機(jī)密性和完整性 。 密碼術(shù)包括兩個(gè)方面：加密是轉(zhuǎn)換或者擾亂明文消息 ， 使其變成密文消息的進(jìn)程；解密是重新安排密文 ， 將密文消息轉(zhuǎn)換為明文消息的進(jìn)程 。 由于密碼術(shù)是通過對(duì)數(shù)據(jù)加密 、 在潛在威脅可能出現(xiàn)之前保護(hù)數(shù)據(jù) ， 所以它是主動(dòng)的網(wǎng)絡(luò)信息安全技術(shù) 。 安全 SDK： 安全軟件開發(fā)工具包 （ SDK） 是用于創(chuàng)建安全程序的編程工具 。 由于可以使用安全 SDK開發(fā)各種軟件安全應(yīng)用程序 ， 從而在潛在威脅可能出現(xiàn)之前保護(hù)數(shù)據(jù) ， 所以安全 SDK是主動(dòng)的信息安全技術(shù) 。 信息 安全技術(shù) 2． 主動(dòng)的網(wǎng)絡(luò)信息安全技術(shù) 數(shù)字簽名： 數(shù)字簽名與手寫簽名是等效的 ， 它們有相同的目的：將只有某個(gè)個(gè)體才有的標(biāo)記與文本正文相關(guān)聯(lián) 。 與手寫簽名一樣 ，數(shù)字簽名必須是不可偽造的 。 數(shù)字簽名是使用加密算法創(chuàng)建的 ，使用建立在公開密鑰加密技術(shù)基礎(chǔ)上的 “ 數(shù)字簽名 ” 技術(shù) ， 可以在電子事務(wù)中證明用戶的身份 ， 就像兌付支票時(shí)要出示有效證件一樣 。 用戶也可以使用數(shù)字簽名來加密郵件以保護(hù)個(gè)人隱私 。 數(shù)字簽名是主動(dòng)的信息安全技術(shù) ， 因?yàn)槭窃诔霈F(xiàn)任何懷疑之前 ， 創(chuàng)建數(shù)字簽名 。 安全硬件： 安全硬件指的是用于執(zhí)行安全任務(wù)的物理硬件設(shè)備 ，例如硬件加密模塊或者硬件路由器 。 安全硬件是一個(gè)主動(dòng)的信息安全技術(shù) ， 因?yàn)樗跐撛谕{可能出現(xiàn)之前保護(hù)數(shù)據(jù) （ 例如加密數(shù)據(jù) ） 。 安全硬件是由防止竄改的物理設(shè)備組成的 ， 因此阻止了入侵者更換或者修改硬件設(shè)備 。 信息 安全技術(shù) 2． 主動(dòng)的網(wǎng)絡(luò)信息安全技術(shù) 數(shù)字證書： 數(shù)字證書試圖解決 Inter上的信任問題 。數(shù)字證書是由信任的第三方 （ 也稱為認(rèn)證機(jī)構(gòu) ， CA） 頒發(fā)的 。CA 是擔(dān)保 Web上的人或者機(jī)構(gòu)身份的商業(yè)組織 。 因此 ， 在Web用戶之間建立了信任網(wǎng)絡(luò) 。 由于證書用于將通信一方的公鑰發(fā)送給通信的另一方 ， 可以在雙方通信之前建立信任 ，所以數(shù)字證書是主動(dòng)的信息安全技術(shù) 。 安全協(xié)議： 屬于信息安全技術(shù)的安全協(xié)議包括有 IPSec和Kerberos等 。 這些協(xié)議使用了 “ 規(guī)范計(jì)算機(jī)或者應(yīng)用程序之間的數(shù)據(jù)傳輸 ， 從而在入侵者能夠截取這類信息之前保護(hù)敏感信息 ” 的標(biāo)準(zhǔn)過程 。 安全協(xié)議是主動(dòng)的信息安全技術(shù) ， 因?yàn)樗鼈兪褂锰囟ǖ陌踩珔f(xié)議 ， 試圖在入侵者能夠截取這類信息之前保護(hù)敏感信息 。 信息 安全技術(shù) 2． 主動(dòng)的網(wǎng)絡(luò)信息安全技術(shù) 虛擬專用網(wǎng)： 虛擬專用網(wǎng) （ VPN） 能夠利用 Inter或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道 ， 并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障 。 VPN支持企業(yè)通過 Inter等公共互聯(lián)網(wǎng)絡(luò)與分支機(jī)構(gòu)或其他公司建立連接 ， 進(jìn)行安全的通信 。 VPN技術(shù)采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸 ，而是首先進(jìn)行加密以確保安全 ， 然后由 VPN封裝成 IP包的形式 ， 通過隧道在網(wǎng)上傳輸 ， 因此該技術(shù)與密碼術(shù)緊密相關(guān) 。但是 ， 普通加密與 VPN之間在功能上是有區(qū)別的：只有在公共網(wǎng)絡(luò)上傳輸數(shù)據(jù)時(shí) ， 才對(duì)數(shù)據(jù)加密 ， 對(duì)發(fā)起主機(jī)和 VPN主機(jī)之間傳輸?shù)臄?shù)據(jù)并不加密 。 VPN是主動(dòng)的信息安全技術(shù) ，因?yàn)樗ㄟ^加密數(shù)據(jù) ， 在公共網(wǎng)絡(luò)上傳輸數(shù)據(jù)之前保護(hù)它 ，因此只有合法個(gè)體才能閱讀該信息 。 信息 安全技術(shù) 2． 主動(dòng)的網(wǎng)絡(luò)信息安全技術(shù) 漏洞掃描： 漏洞掃描 （ VS） 具有使用它們可以標(biāo)識(shí)的漏洞的特征 。 因此 ， VS其實(shí)是入侵檢測(cè)的特例 。 因?yàn)槁┒磼呙瓒ㄆ诙皇沁B續(xù)掃描網(wǎng)絡(luò)上的主機(jī) ， 所以也將其稱為定期掃描 。 由于 VS試圖在入侵者或者惡意應(yīng)用可以利用漏洞之前標(biāo)識(shí)漏洞 ， 所以它是主動(dòng)的信息安全技術(shù) 。 病毒掃描： 計(jì)算機(jī)病毒是具有自我復(fù)制能力的并具有破壞性的惡意計(jì)算機(jī)程序 ， 它會(huì)影響和破壞正常程序的執(zhí)行和數(shù)據(jù)的安全 。 它不僅侵入到所運(yùn)行的計(jì)算機(jī)系統(tǒng) ，