【文章內(nèi)容簡介】 ， 利用人體固有的生理特性和行為特征來進行個人身份的鑒定 ， 則進一步增強認(rèn)證的安全性 。 但是對于現(xiàn)有的雙因子認(rèn)證系統(tǒng) ， 引用生物識別技術(shù)作為其檢測因子代價過高 ， 實現(xiàn)起來比較復(fù)雜 。 網(wǎng)絡(luò) 安全措施 5． 防火墻 防火墻 （ firewall） 是指設(shè)置在不同網(wǎng)絡(luò) （ 如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) ） 或網(wǎng)絡(luò)安全域之間的一系列部件的組合 。 它可通過監(jiān)測 、 限制 、 更改跨越防火墻的數(shù)據(jù)流 ， 盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息 、 結(jié)構(gòu)和運行狀況 ， 以此來實現(xiàn)網(wǎng)絡(luò)的安全保護 。 在邏輯上 ， 防火墻是一個分離器 ， 一個限制器 ， 也是一個分析器 ， 它有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter之間的任何活動 ， 保證了內(nèi)部網(wǎng)絡(luò)的安全 。 防火墻啟動后 ， 經(jīng)過它的網(wǎng)絡(luò)信息都必須經(jīng)過掃描 ， 這樣可以濾掉一些攻擊 ， 以免其在目標(biāo)計算機上被執(zhí)行 。 它還可以關(guān)閉不使用的端口 ， 禁止特定端口流出通信 ， 可以鎖定特洛伊木馬 。 除此之外 ， 防火墻還可以禁止來自特殊站點的訪問 ， 從而防止不明者的入侵 。 網(wǎng)絡(luò) 安全措施 5． 防火墻 防火墻有不同類型 ， 從技術(shù)上可分為包過濾型 、 代理服務(wù)器型 、 復(fù)合型以及其他類型 （ 雙宿主主機型 、 主機過濾及加密路由器 ） 防火墻 。 從使用范圍上可分為硬件防火墻 、 專業(yè)級防火墻和個人防火墻 。 硬件級防火墻可以是硬件自身的一部分 ， 可以將網(wǎng)絡(luò)連接和計算機都接入硬件防火墻中 。 專業(yè)級防火墻可以在一個獨立的機器上運行 ， 該機器作為它背后網(wǎng)絡(luò)中所有計算機的代理和防火墻 。 個人防火墻是指可直接在計算機上使用的防火墻軟件 。 網(wǎng)絡(luò) 安全措施 信息 安全產(chǎn)品 信息 安全技術(shù) 信息安全技術(shù) 數(shù)據(jù)加密 及數(shù)據(jù)加密技術(shù) SSL 信息 安全服務(wù) 目前 ， 在市場上比較流行 ， 而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類： 防火墻： 防火墻在某種意義上可以說是一種訪問控制產(chǎn)品 。 它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙 ， 阻止外界對內(nèi)部資源的非法訪問 ， 防止內(nèi)部對外部的不安全訪問 。主要技術(shù)包括：包過濾技術(shù) 、 應(yīng)用網(wǎng)關(guān)技術(shù) 、 代理服務(wù)技術(shù) 。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對內(nèi)部網(wǎng)絡(luò)的攻擊 ， 并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控 、 過濾 、 記錄和報告功能 ， 較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接 。 信息 安全產(chǎn)品 網(wǎng)絡(luò)安全隔離： 網(wǎng)絡(luò)隔離有兩種方式 ， 一種是采用隔離卡來實現(xiàn)的 ， 一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實現(xiàn)的 。 隔離卡主要用于對單臺機器的隔離 ， 網(wǎng)閘主要用于對于整個網(wǎng)絡(luò)的隔離 。 安全路由器： 由于 WAN連接需要專用的路由器設(shè)備 ， 因而可通過路由器來控制網(wǎng)絡(luò)傳輸 。 通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流 。 虛擬專用網(wǎng) （ VPN） ： 虛擬專用網(wǎng) （ VPN） 是在公共數(shù)據(jù)網(wǎng)絡(luò)上 ， 通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù) ， 實現(xiàn)兩個或多個可信內(nèi)部網(wǎng)之間的互連 。 VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻 ， 以實現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞 。 信息 安全產(chǎn)品 安全服務(wù)器： 安全服務(wù)器主要針對一個局域網(wǎng)內(nèi)部信息存儲 、 傳輸?shù)陌踩Ｃ軉栴} ， 其實現(xiàn)功能包括對局域網(wǎng)資源的管理和控制 ， 對局域網(wǎng)內(nèi)用戶的管理 ， 以及局域網(wǎng)中所有安全相關(guān)事件的審計和跟蹤 。 電子簽證機構(gòu) —— CA和 PKI產(chǎn)品： 電子簽證機構(gòu) （ CA）作為通信的第三方 ， 為各種服務(wù)提供可信任的認(rèn)證服務(wù) 。 CA可向用戶發(fā)行電子簽證證書 ， 為用戶提供成員身份驗證和密鑰管理等功能 。 PKI產(chǎn)品可以提供更多的功能和更好的服務(wù) ，其將成為所有應(yīng)用的計算基礎(chǔ)結(jié)構(gòu)的核心部件 。 入侵檢測系統(tǒng) （ IDS） ： 入侵檢測 ， 作為傳統(tǒng)保護機制（ 例如訪問控制 、 身份識別等 ） 的有效補充 ， 形成了信息系統(tǒng)中不可或缺的反饋鏈 。 信息 安全產(chǎn)品 用戶認(rèn)證產(chǎn)品： 由于 IC卡技術(shù)的日益成熟和完善 ， IC卡被更為廣泛地用于用戶認(rèn)證產(chǎn)品中 ， 用來存儲用戶的個人私鑰 ， 并與其他技術(shù)如動態(tài)口令相結(jié)合 ， 對用戶身份進行有效的識別 。 同時 ， 還可利用 IC卡上的個人私鑰與數(shù)字簽名技術(shù)結(jié)合 ， 實現(xiàn)數(shù)字簽名機制 。 隨著模式識別技術(shù)的發(fā)展 ， 諸如指紋 、 視網(wǎng)膜 、 臉部特征等高級的身份識別技術(shù)也將投入應(yīng)用 ， 并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合 ， 必將使得對于用戶身份的認(rèn)證和識別更趨完善 。 安全管理中心： 由于網(wǎng)上的安全產(chǎn)品較多 ， 且分布在不同的位置 ， 這就需要建立一套集中管理的機制和設(shè)備 ， 即安全管理中心 。 它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰 ， 監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運行狀態(tài) ， 負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計信息等 信息 安全產(chǎn)品 信息 安全產(chǎn)品 網(wǎng)絡(luò)信息安全是一個涉及計算機技術(shù) 、 網(wǎng)絡(luò)通信技術(shù) 、密碼技術(shù) 、 信息安全技術(shù)等多種技術(shù)的邊緣性綜合學(xué)科 。 有效的安全策略或方案的制定 ， 是網(wǎng)絡(luò)信息安全的首要目標(biāo) 。網(wǎng)絡(luò)信息安全技術(shù)通常從防止信息竊密和防止信息破壞兩個方面加以考慮 。 防止信息竊密的技術(shù)通常采用防火墻技術(shù) 、密鑰管理 、 通信保密 、 文件保密 、 數(shù)字簽名等 。 防止信息破壞的技術(shù)有防止計算機病毒 、 入侵檢測 、 接入控制等 。 信息安全技術(shù)可以分為 主動的和被動的信息安全技術(shù) 。其中主動意味著特定的信息安全技術(shù)采用主動的措施 ， 試圖在出現(xiàn)安全破壞之前保護數(shù)據(jù)或者資源 。 而被動則意味著一旦檢測到安全破壞 ， 特定的信息安全技術(shù)才會采取保護措施 ，試圖保護數(shù)據(jù)或者資源 。 信息 安全技術(shù) 1． 被動的信息安全技術(shù) 被動的信息安全技術(shù)包括以下幾個方面： 防火墻： 防火墻是抵御入侵者的第一道防線 ， 它的目的是阻止未授權(quán)的通信進入或者流出被保護的機構(gòu)內(nèi)部網(wǎng)絡(luò)或者主機 ， 最大限度地防止網(wǎng)絡(luò)中的黑客更改 、 拷貝 、 毀壞敏感信息 。 Inter防火墻是安裝在特殊配置計算機上的軟件工具 ， 作為機構(gòu)內(nèi)部或者信任網(wǎng)絡(luò)和不信任網(wǎng)絡(luò)或者Inter之間的安全屏障 、 過濾器或者瓶頸 。 個人防火墻是面向個人用戶的防火墻軟件 ， 可以根據(jù)用戶的要求隔斷或連通用戶計算機與 Inter之間的連接 。 防火墻是被動的信息安全技術(shù) ， 因為一旦出現(xiàn)特定的安全事件 ， 才會使用防火墻抵御它們 。 信息 安全技術(shù) 1． 被動的信息安全技術(shù) 接入控制： 接入控制的目的是確保主體有足夠的權(quán)利對系統(tǒng)執(zhí)行特定的動作 。 主體可以是一個用戶 、 一群用戶 、 服務(wù)或者應(yīng)用程序 。 主體對系統(tǒng)中的特定對象有不同的接入級別 。 對象可以是文件 、 目錄 、 打印機或者進程 。 一旦有接入請求 ， 就會使用接入控制技術(shù)允許或者拒絕接入系統(tǒng) ， 所以它是被動的信息安全技術(shù) 。 口令： 口令是某個人必須輸入才能獲得進入或者接入信息 （ 例如文件 、 應(yīng)用程序或者計算機系統(tǒng) ） 的保密字 、 短語或者字符序列 。 口令是被動的信息安全技術(shù) ， 因為一旦有人或者進程想登錄到應(yīng)用程序 、 主機或者網(wǎng)絡(luò) ， 才會使用它們允許或者拒絕接入系統(tǒng) 。 信息 安全技術(shù) 1． 被動的信息安全技術(shù) 生物特征識別： 生物特征識別技術(shù)是指通過計算機利用人類自身的生理或行為特征進行身份認(rèn)定的一種技術(shù) ， 包括指紋 、 虹膜 、掌紋 、 面相 、 聲音 、 視網(wǎng)膜和 DNA等人體的生理特征 ， 以及簽名的動作 、 行走的步態(tài) 、 擊打鍵盤的力度等行為特征 。 生物特征的特點是人各有異 、 終生不變 、 隨身攜帶 。 一旦某個人想使用他 /她人體的一部分的幾何結(jié)構(gòu)登錄到應(yīng)用程序 、 主機或者網(wǎng)絡(luò) ， 就會使用生物特征識別技術(shù)允許或者拒絕他 /她接入系統(tǒng) ， 所以該技術(shù)是被動的信息安全技術(shù) 。 登錄日志： 登錄日志是試圖搜集有關(guān)發(fā)生的特定事件信息的信息安全技術(shù) ， 其目的是提供檢查追蹤記錄 （ 在發(fā)生了安全事件之后 ， 可以追蹤它 ） 。 登錄日志是被動的信息安全技術(shù) ， 因為是在發(fā)生了安全事件之后 ， 才使用它追蹤安全事件 。 信息 安全技術(shù) 1． 被動的信息安全技術(shù) 入侵檢測系統(tǒng)： 入侵檢測是監(jiān)控計算機系統(tǒng)或者網(wǎng)絡(luò)中發(fā)生的事件 ， 并且分析它們的入侵跡象的進程 。 入侵是試圖損害資源的完整性 、 機密性或者可用性的任何一組動作 。 入侵檢測系統(tǒng) （ IDS） 是自動實現(xiàn)這個監(jiān)控和分析進程的軟件或者硬件技術(shù) 。 由于 IDS用于監(jiān)控網(wǎng)絡(luò)上的主機 ， 并且一旦出現(xiàn)入侵 ， 就會對入侵采取行動 ， 所以 IDS是被動的信息安全技術(shù) 。 遠(yuǎn)程接入： 遠(yuǎn)程接入是允許某個人或者進程接入遠(yuǎn)程服務(wù)的信息安全技術(shù) 。 但是 ， 接入遠(yuǎn)程服務(wù)并不總是受控的 ，有可能匿名接入遠(yuǎn)程服務(wù) ， 并造成威脅 。 遠(yuǎn)程接入是被動的信息安全技術(shù) ， 因為它使一個人或者進程能夠根據(jù)他們的接入權(quán)限連接到遠(yuǎn)程服務(wù) 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡(luò)信息安全技術(shù) 主動的網(wǎng)絡(luò)信息安全技術(shù)包括以下幾個方面： 密碼術(shù)： 密碼術(shù)是將明文變成密文和把密文變成明文的技術(shù)或科學(xué) ， 用于保護數(shù)據(jù)機密性和完整性 。 密碼術(shù)包括兩個方面：加密是轉(zhuǎn)換或者擾亂明文消息 ， 使其變成密文消息的進程；解密是重新安排密文 ， 將密文消息轉(zhuǎn)換為明文消息的進程 。 由于密碼術(shù)是通過對數(shù)據(jù)加密 、 在潛在威脅可能出現(xiàn)之前保護數(shù)據(jù) ， 所以它是主動的網(wǎng)絡(luò)信息安全技術(shù) 。 安全 SDK： 安全軟件開發(fā)工具包 （ SDK） 是用于創(chuàng)建安全程序的編程工具 。 由于可以使用安全 SDK開發(fā)各種軟件安全應(yīng)用程序 ， 從而在潛在威脅可能出現(xiàn)之前保護數(shù)據(jù) ， 所以安全 SDK是主動的信息安全技術(shù) 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡(luò)信息安全技術(shù) 數(shù)字簽名： 數(shù)字簽名與手寫簽名是等效的 ， 它們有相同的目的：將只有某個個體才有的標(biāo)記與文本正文相關(guān)聯(lián) 。 與手寫簽名一樣 ，數(shù)字簽名必須是不可偽造的 。 數(shù)字簽名是使用加密算法創(chuàng)建的 ，使用建立在公開密鑰加密技術(shù)基礎(chǔ)上的 “ 數(shù)字簽名 ” 技術(shù) ， 可以在電子事務(wù)中證明用戶的身份 ， 就像兌付支票時要出示有效證件一樣 。 用戶也可以使用數(shù)字簽名來加密郵件以保護個人隱私 。 數(shù)字簽名是主動的信息安全技術(shù) ， 因為是在出現(xiàn)任何懷疑之前 ， 創(chuàng)建數(shù)字簽名 。 安全硬件： 安全硬件指的是用于執(zhí)行安全任務(wù)的物理硬件設(shè)備 ，例如硬件加密模塊或者硬件路由器 。 安全硬件是一個主動的信息安全技術(shù) ， 因為它在潛在威脅可能出現(xiàn)之前保護數(shù)據(jù) （ 例如加密數(shù)據(jù) ） 。 安全硬件是由防止竄改的物理設(shè)備組成的 ， 因此阻止了入侵者更換或者修改硬件設(shè)備 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡(luò)信息安全技術(shù) 數(shù)字證書： 數(shù)字證書試圖解決 Inter上的信任問題 。數(shù)字證書是由信任的第三方 （ 也稱為認(rèn)證機構(gòu) ， CA） 頒發(fā)的 。CA 是擔(dān)保 Web上的人或者機構(gòu)身份的商業(yè)組織 。 因此 ， 在Web用戶之間建立了信任網(wǎng)絡(luò) 。 由于證書用于將通信一方的公鑰發(fā)送給通信的另一方 ， 可以在雙方通信之前建立信任 ，所以數(shù)字證書是主動的信息安全技術(shù) 。 安全協(xié)議： 屬于信息安全技術(shù)的安全協(xié)議包括有 IPSec和Kerberos等 。 這些協(xié)議使用了 “ 規(guī)范計算機或者應(yīng)用程序之間的數(shù)據(jù)傳輸 ， 從而在入侵者能夠截取這類信息之前保護敏感信息 ” 的標(biāo)準(zhǔn)過程 。 安全協(xié)議是主動的信息安全技術(shù) ， 因為它們使用特定的安全協(xié)議 ， 試圖在入侵者能夠截取這類信息之前保護敏感信息 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡(luò)信息安全技術(shù) 虛擬專用網(wǎng)： 虛擬專用網(wǎng) （ VPN） 能夠利用 Inter或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道 ， 并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障 。 VPN支持企業(yè)通過 Inter等公共互聯(lián)網(wǎng)絡(luò)與分支機構(gòu)或其他公司建立連接 ， 進行安全的通信 。 VPN技術(shù)采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸 ，而是首先進行加密以確保安全 ， 然后由 VPN封裝成 IP包的形式 ， 通過隧道在網(wǎng)上傳輸 ， 因此該技術(shù)與密碼術(shù)緊密相關(guān) 。但是 ， 普通加密與 VPN之間在功能上是有區(qū)別的：只有在公共網(wǎng)絡(luò)上傳輸數(shù)據(jù)時 ， 才對數(shù)據(jù)加密 ， 對發(fā)起主機和 VPN主機之間傳輸?shù)臄?shù)據(jù)并不加密 。 VPN是主動的信息安全技術(shù) ，因為它通過加密數(shù)據(jù) ， 在公共網(wǎng)絡(luò)上傳輸數(shù)據(jù)之前保護它 ，因此只有合法個體才能閱讀該信息 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡(luò)信息安全技術(shù) 漏洞掃描： 漏洞掃描 （ VS） 具有使用它們可以標(biāo)識的漏洞的特征 。 因此 ， VS其實是入侵檢測的特例 。 因為漏洞掃描定期而不是連續(xù)掃描網(wǎng)絡(luò)上的主機 ， 所以也將其稱為定期掃描 。 由于 VS試圖在入侵者或者惡意應(yīng)用可以利用漏洞之前標(biāo)識漏洞 ， 所以它是主動的信息安全技術(shù) 。 病毒掃描： 計算機病毒是具有自我復(fù)制能力的并具有破壞性的惡意計算機程序 ， 它會影響和破壞正常程序的執(zhí)行和數(shù)據(jù)的安全 。 它不僅侵入到所運行的計算機系統(tǒng) ，