网络信息安全技术初析.docVIP

网络信息安全技术初析 　　摘要各个社会领域都离不开计算机的应用,但是开放的信息系统必然存在众多潜在的安全隐患。本文就网络信息安全技术展开讨论。 　　关键词物理隔离防火墙数字签名 　　中图分类号:TP393文献标识码:A 　　 　　随着计算机与网络应用的不断普及,各个社会领域都离不开计算机的应用,尤其是网络的应用。然而,开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争不断演绎,甚至到了十分危急的程度。因此,作为计算机应用者,有必要很好地了解有关网络安全方面的知识,更要采取有力措施来保护网络的正常使用和信息的安全。下面就网络信息安全技术做一定的探索。 　　 　　1 物理隔离网络 　　 　　所谓“物理隔离”是指内部网不直接或间接地连接Internet。实现物理隔离的措施有:(1)在电脑内安装1块网络安全隔离卡,根据单位的不同需求,随时在内外网之间切换,尽最大可能减少与互联网的接触,减少黑客攻击的机会。(2)抗攻击网关。将抗攻击网关架设在路由器之前,通过独立的监控系统实时监控和报警。其类型主要有入侵检测、指纹识别、免疫型等。(3)防病毒网关。放置在内网和外网连接处,可隔离大部分病毒与外部,同时具有反垃圾邮件和反间谍软件的能力。管理员需要定期升级,来抵御新病毒的攻击。 　　 　　2 网络防火墙技术 　　 　　网络防火墙技术是一种防止外部网络用户以非法手段访问内部网络,保护内部网络环境,加强网络间访问控制的网络互联设备。它对网络之间传输的数据包用一定的安全策略实施检查,以决定网络之间的传输是否被允许,并监视整个网络运行状态,能有效监控内网和外网之间的活动,保证内网的安全。 　　防火墙处于网络安全体系的最底层,作为内网与公共网络之间的第一道屏障,防火墙最先受到人们的重视。随着网络安全技术的整体发展,现代防火墙技术已经逐步走向网络层之外的其他安全层次。由于硬件技术的快速发展,基于Internet上的新一代防火墙,将更注重发挥全网的效能,安全策略会更加合理与规范化。根据防火墙采用的技术不同,可分为四种基本类型:包过滤型、网络地址转换型、代理型和监测型。 　　 　　2.1 包过滤型 　　包过滤型产品是初级产品,以分包传输技术为特征。数据都以“包”为单位,被分割成一定大小的数据包,每一个数据包中都包含特定的信息。通过读取数据包中的地址信息,防火墙来判断这些“包”是否来自可信任的安全站点。一旦发现来自危险站点的数据包,便将这些数据拒之门外。包过滤技术的优点是简单实用,实现成本较低,能够以较小代价保证系统的安全。包过滤技术的缺点是完全基于网络层,只能根据数据包的来源、目标和端口等网络信息判断,无法识别基于应用层的恶意侵入。所以,容易用障眼法来伪造IP地址,欺骗包过滤型防火墙,以进入内部网络。 　　 　　2.2 网络地址转化型 　　网络地址转换允许私有IP地址的内网访问因特网,允许把IP地址转换成临时的,即用户不必要为网络中的每台机器取得注册的IP地址。系统将外出的源地址和源端口映射为一个伪装的地址和端口,通过伪装的地址和端口与外网连接,这样就隐藏了真实的内网地址。当外网访问内网时,并不知道内网的连接情况,其访问通过一个开放的IP地址和端口来完成。防火墙根据预定义的映射规则来判断这个访问是否安全。符合规则时,则认为访问是安全的,接受访问请求。不符合规则时,则认为访问是不安全的,不被接受,自动屏蔽外部连接请求。整个过程对于用户来说是透明的。 　　 　　2.3 代理型 　　亦称为代理服务器,安全性要高于包过滤型产品。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需使用服务器上的数据时,首先向代理服务器发送数据请求,根据这一请求向服务器索取数据,然后再由代理服务器将数据传送给客户机。由于外系统与内服务器间没有直接的数据通道,来自外部的恶意侵入和攻击就很难伤害到内部网络。优点是安全性较高,可有效对付基于应用层的侵入。缺点是对系统的整体性能影响较大,增加了管理的复杂性。 　　 　　2.4 监测型 　　监测型防火墙能对各层数据主动、实时监测,能有效判断出各层中的非法侵入。一般还带有分布式探测器,不仅能检测外部的攻击,同时对内部的恶意破坏也有极强的防范作用。监测型防火墙在安全性上远远超越了前两代产品。但监测型防火墙技术的实现成本较高,不易管理。 　　 　　3 生物识别技术 　　 　　生物识别技术是依靠人体的身体特征,集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术。由于人体特征不可复制,故其安全系数较有很大的提高。人体的生物特征包括指纹、面孔、声音、视网膜等。自动指纹识别系统AFIS就是一套成功的身份鉴别系统,也是未来生物识别技术的主流之一