【文章內(nèi)容簡介】 ， 利用人體固有的生理特性和行為特征來進行個人身份的鑒定 ， 則進一步增強認證的安全性 。 但是對于現(xiàn)有的雙因子認證系統(tǒng) ， 引用生物識別技術(shù)作為其檢測因子代價過高 ， 實現(xiàn)起來比較復雜 。 網(wǎng)絡 安全措施 5． 防火墻 防火墻 （ firewall） 是指設置在不同網(wǎng)絡 （ 如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) ） 或網(wǎng)絡安全域之間的一系列部件的組合 。 它可通過監(jiān)測 、 限制 、 更改跨越防火墻的數(shù)據(jù)流 ， 盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息 、 結(jié)構(gòu)和運行狀況 ， 以此來實現(xiàn)網(wǎng)絡的安全保護 。 在邏輯上 ， 防火墻是一個分離器 ， 一個限制器 ， 也是一個分析器 ， 它有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter之間的任何活動 ， 保證了內(nèi)部網(wǎng)絡的安全 。 防火墻啟動后 ， 經(jīng)過它的網(wǎng)絡信息都必須經(jīng)過掃描 ， 這樣可以濾掉一些攻擊 ， 以免其在目標計算機上被執(zhí)行 。 它還可以關閉不使用的端口 ， 禁止特定端口流出通信 ， 可以鎖定特洛伊木馬 。 除此之外 ， 防火墻還可以禁止來自特殊站點的訪問 ， 從而防止不明者的入侵 。 網(wǎng)絡 安全措施 5． 防火墻 防火墻有不同類型 ， 從技術(shù)上可分為包過濾型 、 代理服務器型 、 復合型以及其他類型 （ 雙宿主主機型 、 主機過濾及加密路由器 ） 防火墻 。 從使用范圍上可分為硬件防火墻 、 專業(yè)級防火墻和個人防火墻 。 硬件級防火墻可以是硬件自身的一部分 ， 可以將網(wǎng)絡連接和計算機都接入硬件防火墻中 。 專業(yè)級防火墻可以在一個獨立的機器上運行 ， 該機器作為它背后網(wǎng)絡中所有計算機的代理和防火墻 。 個人防火墻是指可直接在計算機上使用的防火墻軟件 。 網(wǎng)絡 安全措施 信息 安全產(chǎn)品 信息 安全技術(shù) 信息安全技術(shù) 數(shù)據(jù)加密 及數(shù)據(jù)加密技術(shù) SSL 信息 安全服務 目前 ， 在市場上比較流行 ， 而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類： 防火墻： 防火墻在某種意義上可以說是一種訪問控制產(chǎn)品 。 它在內(nèi)部網(wǎng)絡與不安全的外部網(wǎng)絡之間設置障礙 ， 阻止外界對內(nèi)部資源的非法訪問 ， 防止內(nèi)部對外部的不安全訪問 。主要技術(shù)包括：包過濾技術(shù) 、 應用網(wǎng)關技術(shù) 、 代理服務技術(shù) 。防火墻能夠較為有效地防止黑客利用不安全的服務對內(nèi)部網(wǎng)絡的攻擊 ， 并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控 、 過濾 、 記錄和報告功能 ， 較好地隔斷內(nèi)部網(wǎng)絡與外部網(wǎng)絡的連接 。 信息 安全產(chǎn)品 網(wǎng)絡安全隔離： 網(wǎng)絡隔離有兩種方式 ， 一種是采用隔離卡來實現(xiàn)的 ， 一種是采用網(wǎng)絡安全隔離網(wǎng)閘實現(xiàn)的 。 隔離卡主要用于對單臺機器的隔離 ， 網(wǎng)閘主要用于對于整個網(wǎng)絡的隔離 。 安全路由器： 由于 WAN連接需要專用的路由器設備 ， 因而可通過路由器來控制網(wǎng)絡傳輸 。 通常采用訪問控制列表技術(shù)來控制網(wǎng)絡信息流 。 虛擬專用網(wǎng) （ VPN） ： 虛擬專用網(wǎng) （ VPN） 是在公共數(shù)據(jù)網(wǎng)絡上 ， 通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù) ， 實現(xiàn)兩個或多個可信內(nèi)部網(wǎng)之間的互連 。 VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻 ， 以實現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞 。 信息 安全產(chǎn)品 安全服務器： 安全服務器主要針對一個局域網(wǎng)內(nèi)部信息存儲 、 傳輸?shù)陌踩Ｃ軉栴} ， 其實現(xiàn)功能包括對局域網(wǎng)資源的管理和控制 ， 對局域網(wǎng)內(nèi)用戶的管理 ， 以及局域網(wǎng)中所有安全相關事件的審計和跟蹤 。 電子簽證機構(gòu) —— CA和 PKI產(chǎn)品： 電子簽證機構(gòu) （ CA）作為通信的第三方 ， 為各種服務提供可信任的認證服務 。 CA可向用戶發(fā)行電子簽證證書 ， 為用戶提供成員身份驗證和密鑰管理等功能 。 PKI產(chǎn)品可以提供更多的功能和更好的服務 ，其將成為所有應用的計算基礎結(jié)構(gòu)的核心部件 。 入侵檢測系統(tǒng) （ IDS） ： 入侵檢測 ， 作為傳統(tǒng)保護機制（ 例如訪問控制 、 身份識別等 ） 的有效補充 ， 形成了信息系統(tǒng)中不可或缺的反饋鏈 。 信息 安全產(chǎn)品 用戶認證產(chǎn)品： 由于 IC卡技術(shù)的日益成熟和完善 ， IC卡被更為廣泛地用于用戶認證產(chǎn)品中 ， 用來存儲用戶的個人私鑰 ， 并與其他技術(shù)如動態(tài)口令相結(jié)合 ， 對用戶身份進行有效的識別 。 同時 ， 還可利用 IC卡上的個人私鑰與數(shù)字簽名技術(shù)結(jié)合 ， 實現(xiàn)數(shù)字簽名機制 。 隨著模式識別技術(shù)的發(fā)展 ， 諸如指紋 、 視網(wǎng)膜 、 臉部特征等高級的身份識別技術(shù)也將投入應用 ， 并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合 ， 必將使得對于用戶身份的認證和識別更趨完善 。 安全管理中心： 由于網(wǎng)上的安全產(chǎn)品較多 ， 且分布在不同的位置 ， 這就需要建立一套集中管理的機制和設備 ， 即安全管理中心 。 它用來給各網(wǎng)絡安全設備分發(fā)密鑰 ， 監(jiān)控網(wǎng)絡安全設備的運行狀態(tài) ， 負責收集網(wǎng)絡安全設備的審計信息等 信息 安全產(chǎn)品 信息 安全產(chǎn)品 網(wǎng)絡信息安全是一個涉及計算機技術(shù) 、 網(wǎng)絡通信技術(shù) 、密碼技術(shù) 、 信息安全技術(shù)等多種技術(shù)的邊緣性綜合學科 。 有效的安全策略或方案的制定 ， 是網(wǎng)絡信息安全的首要目標 。網(wǎng)絡信息安全技術(shù)通常從防止信息竊密和防止信息破壞兩個方面加以考慮 。 防止信息竊密的技術(shù)通常采用防火墻技術(shù) 、密鑰管理 、 通信保密 、 文件保密 、 數(shù)字簽名等 。 防止信息破壞的技術(shù)有防止計算機病毒 、 入侵檢測 、 接入控制等 。 信息安全技術(shù)可以分為 主動的和被動的信息安全技術(shù) 。其中主動意味著特定的信息安全技術(shù)采用主動的措施 ， 試圖在出現(xiàn)安全破壞之前保護數(shù)據(jù)或者資源 。 而被動則意味著一旦檢測到安全破壞 ， 特定的信息安全技術(shù)才會采取保護措施 ，試圖保護數(shù)據(jù)或者資源 。 信息 安全技術(shù) 1． 被動的信息安全技術(shù) 被動的信息安全技術(shù)包括以下幾個方面： 防火墻： 防火墻是抵御入侵者的第一道防線 ， 它的目的是阻止未授權(quán)的通信進入或者流出被保護的機構(gòu)內(nèi)部網(wǎng)絡或者主機 ， 最大限度地防止網(wǎng)絡中的黑客更改 、 拷貝 、 毀壞敏感信息 。 Inter防火墻是安裝在特殊配置計算機上的軟件工具 ， 作為機構(gòu)內(nèi)部或者信任網(wǎng)絡和不信任網(wǎng)絡或者Inter之間的安全屏障 、 過濾器或者瓶頸 。 個人防火墻是面向個人用戶的防火墻軟件 ， 可以根據(jù)用戶的要求隔斷或連通用戶計算機與 Inter之間的連接 。 防火墻是被動的信息安全技術(shù) ， 因為一旦出現(xiàn)特定的安全事件 ， 才會使用防火墻抵御它們 。 信息 安全技術(shù) 1． 被動的信息安全技術(shù) 接入控制： 接入控制的目的是確保主體有足夠的權(quán)利對系統(tǒng)執(zhí)行特定的動作 。 主體可以是一個用戶 、 一群用戶 、 服務或者應用程序 。 主體對系統(tǒng)中的特定對象有不同的接入級別 。 對象可以是文件 、 目錄 、 打印機或者進程 。 一旦有接入請求 ， 就會使用接入控制技術(shù)允許或者拒絕接入系統(tǒng) ， 所以它是被動的信息安全技術(shù) 。 口令： 口令是某個人必須輸入才能獲得進入或者接入信息 （ 例如文件 、 應用程序或者計算機系統(tǒng) ） 的保密字 、 短語或者字符序列 。 口令是被動的信息安全技術(shù) ， 因為一旦有人或者進程想登錄到應用程序 、 主機或者網(wǎng)絡 ， 才會使用它們允許或者拒絕接入系統(tǒng) 。 信息 安全技術(shù) 1． 被動的信息安全技術(shù) 生物特征識別： 生物特征識別技術(shù)是指通過計算機利用人類自身的生理或行為特征進行身份認定的一種技術(shù) ， 包括指紋 、 虹膜 、掌紋 、 面相 、 聲音 、 視網(wǎng)膜和 DNA等人體的生理特征 ， 以及簽名的動作 、 行走的步態(tài) 、 擊打鍵盤的力度等行為特征 。 生物特征的特點是人各有異 、 終生不變 、 隨身攜帶 。 一旦某個人想使用他 /她人體的一部分的幾何結(jié)構(gòu)登錄到應用程序 、 主機或者網(wǎng)絡 ， 就會使用生物特征識別技術(shù)允許或者拒絕他 /她接入系統(tǒng) ， 所以該技術(shù)是被動的信息安全技術(shù) 。 登錄日志： 登錄日志是試圖搜集有關發(fā)生的特定事件信息的信息安全技術(shù) ， 其目的是提供檢查追蹤記錄 （ 在發(fā)生了安全事件之后 ， 可以追蹤它 ） 。 登錄日志是被動的信息安全技術(shù) ， 因為是在發(fā)生了安全事件之后 ， 才使用它追蹤安全事件 。 信息 安全技術(shù) 1． 被動的信息安全技術(shù) 入侵檢測系統(tǒng)： 入侵檢測是監(jiān)控計算機系統(tǒng)或者網(wǎng)絡中發(fā)生的事件 ， 并且分析它們的入侵跡象的進程 。 入侵是試圖損害資源的完整性 、 機密性或者可用性的任何一組動作 。 入侵檢測系統(tǒng) （ IDS） 是自動實現(xiàn)這個監(jiān)控和分析進程的軟件或者硬件技術(shù) 。 由于 IDS用于監(jiān)控網(wǎng)絡上的主機 ， 并且一旦出現(xiàn)入侵 ， 就會對入侵采取行動 ， 所以 IDS是被動的信息安全技術(shù) 。 遠程接入： 遠程接入是允許某個人或者進程接入遠程服務的信息安全技術(shù) 。 但是 ， 接入遠程服務并不總是受控的 ，有可能匿名接入遠程服務 ， 并造成威脅 。 遠程接入是被動的信息安全技術(shù) ， 因為它使一個人或者進程能夠根據(jù)他們的接入權(quán)限連接到遠程服務 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡信息安全技術(shù) 主動的網(wǎng)絡信息安全技術(shù)包括以下幾個方面： 密碼術(shù)： 密碼術(shù)是將明文變成密文和把密文變成明文的技術(shù)或科學 ， 用于保護數(shù)據(jù)機密性和完整性 。 密碼術(shù)包括兩個方面：加密是轉(zhuǎn)換或者擾亂明文消息 ， 使其變成密文消息的進程；解密是重新安排密文 ， 將密文消息轉(zhuǎn)換為明文消息的進程 。 由于密碼術(shù)是通過對數(shù)據(jù)加密 、 在潛在威脅可能出現(xiàn)之前保護數(shù)據(jù) ， 所以它是主動的網(wǎng)絡信息安全技術(shù) 。 安全 SDK： 安全軟件開發(fā)工具包 （ SDK） 是用于創(chuàng)建安全程序的編程工具 。 由于可以使用安全 SDK開發(fā)各種軟件安全應用程序 ， 從而在潛在威脅可能出現(xiàn)之前保護數(shù)據(jù) ， 所以安全 SDK是主動的信息安全技術(shù) 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡信息安全技術(shù) 數(shù)字簽名： 數(shù)字簽名與手寫簽名是等效的 ， 它們有相同的目的：將只有某個個體才有的標記與文本正文相關聯(lián) 。 與手寫簽名一樣 ，數(shù)字簽名必須是不可偽造的 。 數(shù)字簽名是使用加密算法創(chuàng)建的 ，使用建立在公開密鑰加密技術(shù)基礎上的 “ 數(shù)字簽名 ” 技術(shù) ， 可以在電子事務中證明用戶的身份 ， 就像兌付支票時要出示有效證件一樣 。 用戶也可以使用數(shù)字簽名來加密郵件以保護個人隱私 。 數(shù)字簽名是主動的信息安全技術(shù) ， 因為是在出現(xiàn)任何懷疑之前 ， 創(chuàng)建數(shù)字簽名 。 安全硬件： 安全硬件指的是用于執(zhí)行安全任務的物理硬件設備 ，例如硬件加密模塊或者硬件路由器 。 安全硬件是一個主動的信息安全技術(shù) ， 因為它在潛在威脅可能出現(xiàn)之前保護數(shù)據(jù) （ 例如加密數(shù)據(jù) ） 。 安全硬件是由防止竄改的物理設備組成的 ， 因此阻止了入侵者更換或者修改硬件設備 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡信息安全技術(shù) 數(shù)字證書： 數(shù)字證書試圖解決 Inter上的信任問題 。數(shù)字證書是由信任的第三方 （ 也稱為認證機構(gòu) ， CA） 頒發(fā)的 。CA 是擔保 Web上的人或者機構(gòu)身份的商業(yè)組織 。 因此 ， 在Web用戶之間建立了信任網(wǎng)絡 。 由于證書用于將通信一方的公鑰發(fā)送給通信的另一方 ， 可以在雙方通信之前建立信任 ，所以數(shù)字證書是主動的信息安全技術(shù) 。 安全協(xié)議： 屬于信息安全技術(shù)的安全協(xié)議包括有 IPSec和Kerberos等 。 這些協(xié)議使用了 “ 規(guī)范計算機或者應用程序之間的數(shù)據(jù)傳輸 ， 從而在入侵者能夠截取這類信息之前保護敏感信息 ” 的標準過程 。 安全協(xié)議是主動的信息安全技術(shù) ， 因為它們使用特定的安全協(xié)議 ， 試圖在入侵者能夠截取這類信息之前保護敏感信息 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡信息安全技術(shù) 虛擬專用網(wǎng)： 虛擬專用網(wǎng) （ VPN） 能夠利用 Inter或其他公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道 ， 并提供與專用網(wǎng)絡一樣的安全和功能保障 。 VPN支持企業(yè)通過 Inter等公共互聯(lián)網(wǎng)絡與分支機構(gòu)或其他公司建立連接 ， 進行安全的通信 。 VPN技術(shù)采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸 ，而是首先進行加密以確保安全 ， 然后由 VPN封裝成 IP包的形式 ， 通過隧道在網(wǎng)上傳輸 ， 因此該技術(shù)與密碼術(shù)緊密相關 。但是 ， 普通加密與 VPN之間在功能上是有區(qū)別的：只有在公共網(wǎng)絡上傳輸數(shù)據(jù)時 ， 才對數(shù)據(jù)加密 ， 對發(fā)起主機和 VPN主機之間傳輸?shù)臄?shù)據(jù)并不加密 。 VPN是主動的信息安全技術(shù) ，因為它通過加密數(shù)據(jù) ， 在公共網(wǎng)絡上傳輸數(shù)據(jù)之前保護它 ，因此只有合法個體才能閱讀該信息 。 信息 安全技術(shù) 2． 主動的網(wǎng)絡信息安全技術(shù) 漏洞掃描： 漏洞掃描 （ VS） 具有使用它們可以標識的漏洞的特征 。 因此 ， VS其實是入侵檢測的特例 。 因為漏洞掃描定期而不是連續(xù)掃描網(wǎng)絡上的主機 ， 所以也將其稱為定期掃描 。 由于 VS試圖在入侵者或者惡意應用可以利用漏洞之前標識漏洞 ， 所以它是主動的信息安全技術(shù) 。 病毒掃描： 計算機病毒是具有自我復制能力的并具有破壞性的惡意計算機程序 ， 它會影響和破壞正常程序的執(zhí)行和數(shù)據(jù)的安全 。 它不僅侵入到所運行的計算機系統(tǒng) ，