http://qingxin.mine.nu/articles/wenzhang/wlaqjs.htm 網路安全中的主要技術簡介 隨著網路的逐步普及，網路安全已成爲INTERNET路上事實上的焦點，它關係著INTERNET的進一步發展和普及，甚至關係著INTERNET的生存。可喜的是我們那些互聯網專家們並沒有令廣大INTERNET用戶失望，網路安全技術也不斷出現，使廣大網民和企業有了更多的放心，下面就網路安全中的主要技術作一簡介，希望能爲網民和企業在網路安全方面提供一個網路安全方案參考。 一、殺毒軟體技術 殺毒軟體肯定是我們見的最多，也用得最爲普遍的安全技術方案，因爲這種技術實現起來最爲簡單，但我們都知道殺毒軟體的主要功能就是殺毒，功能十分有限，不能完全滿足網路安全的需要。這種方式對於個人用戶或小企業或許還能滿足需要，但如果個人或企業有電子商務方面的需求，就不能完全滿足了。可喜的是隨著殺毒軟體技術的不斷發展，現在的主流殺毒軟體同時對預防木馬及其它的一些黑客程式的入侵。還有的殺毒軟體發展商同時提供了軟體防火牆，具有了一定防火牆功能，在一定程度上能起到硬體防火牆的功效，如KV300、金山防火牆、Norton防火牆等。 二、 防火牆技術 “防火牆”是一種形象的說法, 其實它是一種由電腦硬體和軟體的組合, 使互聯網與內部網之間建立起一個安全閘道( scurity gateway), 從而保護內部網免受非法用戶的侵入，它其實就是一個把互聯網與內部網（通常這局域網或城域網）隔開的屏障。 防火牆如果從實現方式上來分，又分爲硬體防火牆和軟體防火牆兩類，我們通常意義上講的硬防火牆爲硬體防火牆，它是通過硬體和軟體的結合來達到隔離內、外部網路的目的，價格較貴，但效果較好，一般小型企業和個人很難實現；軟體防火牆它是通過純軟體的方式來達到，價格很便宜，但這類防火牆只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的。現在軟體防火牆主要有天網防火牆個人及企業版，Norton的個人及企業版軟體防火牆，還有許多原來是開發殺病毒軟體的開發商現在也開發了軟體防火牆，如KV系列、KILL系列、金山系列等。 硬體防火牆如果從技術上來分又可分爲兩類, 即標準防火牆和雙家網關防火牆。標準防火牆系統包括一個UNIX工作站, 該工作站的兩端各接一個路由器進行緩衝。其中一個路由器的介面是外部世界, 即公用網; 另一個則連接內部網。標準防火牆使用專門的軟體, 並要求較高的管理水平, 而且在資訊傳輸上有一定的延遲。雙家閘道 (dual home gateway) 則是標準防火牆的擴充, 又稱堡壘主機(bation host) 或應用層閘道(applications layer gateway), 它是一個單個的系統, 但卻能同時完成標準防火牆的所有功能。其優點是能運行更複雜的應用, 同時防止在互聯網和內部系統之間建立的任何直接的邊界,可以確保資料包不能直接從外部網路到達內部網路, 反之亦然。 隨著防火牆技術的發展, 雙家閘道的基礎上又演化出兩種防火牆配置, 一種是隱蔽主機閘道方式, 另一種是隱蔽智慧閘道( 隱蔽子網)。隱蔽主機閘道是當前一種常見的防火牆配置。顧名思義, 這種配置一方面將路由器進行隱蔽, 另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上, 通過路由器的配置, 使該堡壘主機成爲內部網與互聯網進行通信的唯一系統。目前技術最爲複雜而且安全級別最高的防火牆是隱蔽智慧閘道, 它將閘道隱藏在公共系統之後使其免遭直接攻擊。隱蔽智慧閘道提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問對專用網路的非法訪問。一般來說, 這種防火牆是最不容易被破壞的。 三、 文件加密和數位簽名技術 與防火牆配合使用的安全技術還有文件加密與數位簽名技術，它是爲提高資訊系統及資料的安全性和保密性, 防止秘密資料被外部竊取、偵聽或破壞所採用的主要技術手段之一。隨著資訊技術的發展, 網路安全與資訊保密日益引起人們的關注。目前各國除了從法律上、管理上加強資料的安全保護外, 從技術上分別在軟體和硬體兩方面採取措施, 推動著資料加密技術和物理防範技術的不斷發展。按作用不同, 文件加密和數位簽名技術主要分爲資料傳輸、資料存儲、資料完整性的鑒別以及密鑰管理技術四種。 1、資料傳輸加密技術 目的是對傳輸中的資料流程加密, 常用的方針有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿, 是對保密資訊通過各線路採用不同的加密密鑰提供安全保護。後者則指資訊由發送者端通過專用的加密軟體，採用某種加密技術對所發送文件進行加密,把明文（也即原文）加密成密文（加密後的文件，這些文件內容是一些看不懂的代碼），然後進入TCP/IP資料包封裝穿過互聯網, 當這些資訊一旦到達目的地, 將由收件人運用相應的密鑰進行解密, 使密文恢復成爲可讀數據明文。目前最常用的加密技術有對稱加密技術和非對稱加密技術，對稱加密技術是指同時運用一個密鑰進行加密和解密，非對稱加密方式就是加密和解密所用的密鑰不一樣，它有一對密鑰，稱爲“公鑰”和“私鑰”兩個，這兩上密鑰必須配對使用，也就是說用公鑰加密的文件必須用相應人的麽鑰才能解密，反之亦然。用非對稱加密方式進行加密的軟體目前最流行的是PGP。 2、資料存儲加密技術 這種加密技術的目的是防止在存儲環節上的資料失密, 可分爲密文存儲和存取控制兩種。前者一般是通過加密法轉換、附加密碼、加密模組等方法實現;如上面提到的PGP加密軟體，它不光可以爲互聯網上通信的文件進行加密和數位簽名，還可以對本地硬碟文件資料進行加密，防止非法訪問。這種加密方式不同于OFFICE文檔中的密碼保護，用加密軟體加密的文件在解密前內容都會作一下代碼轉換，把原來普通的資料轉變成一堆看不懂的代碼，這樣就保護了原文件不被非法閱讀、修改。後者則是對用戶資格、許可權加以審查和限制, 防止非法用戶存取資料或合法用戶越權存取資料，這種技術主要應用於NT系統和一些網路作業系統中，在系統中可以對不同工作組的用戶賦予相應的許可權以達到保護重要資料不被子非常訪問。 3、資料完整性鑒別技術 目的是對介入資訊的傳送、存取、處理的人的身份和相關資料內容進行驗證, 達到保密的要求, 一般包括口令、密鑰、身份 、資料等項的鑒別, 系統通過對比驗證物件輸入的特徵值是否符合預先設定的參數, 實現對資料的安全保護。這種鑒別技術主要應用於大型的資料庫管理系統中，因爲一個單位的資料通常是一個單位的命脈，所以保護好公司資料庫的安全通常是一個單位網管、甚至到一把手的最重要的責任。資料庫系統會根據不同用戶設置不同訪問許可權，並對其身份及許可權的完整性進行嚴格識別。 4、 密鑰管理技術 上面我講到了資料的加密技術通常是運用密鑰對資料進行加密，這就涉及了一個密鑰的管理方面，因爲用加密軟體進行加密時所用的密鑰通常不是我們平常所用的密碼那麽僅幾位元，至多十幾位元數位或字母，一般情況這種密鑰達64bit，有的達到128bit，我們一般不可能完全用腦來記住這些密鑰，只能保存在一個安全的地方，所以這就涉及到了密鑰的管理技術。密鑰的保存媒體通常有: 磁卡、磁帶、磁片、半導體記憶體等，但這些都可能有損壞或丟失的危險，所以現在的主流加密軟體都採取第三方認證（這第三方可以是個人，也可以是公證機關）或採用隨機密鑰來彌補人們記憶上的不足，還是如PGP加密軟體，不過現在的WIN2K系統以及其他一些加密軟體都在慢慢地往這個方向發展。 四、 加密技術在智慧卡上的應用 與資料加密技術緊密相關的另一項技術則是智慧卡技術。所謂智慧卡就是密鑰的一種媒體, 一般就像信用卡一樣, 由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼與內部網路服務器上註冊的密碼一致。當口令與身份特徵共同使用時, 智慧卡的保密性能還是相當有效的。這種技術比較常見，也用得較爲廣泛，如我們常用的IC卡、銀行取款卡、智慧門鎖卡等等。 上面說了這麽的目前主流的網路安全技術，但這一切的“安全”都是相對，我們不可能寄希望有了這種種安全措施之後就能保證你的網路萬無一失，任何網路安全和資料保護的防範措施是有一定的限度。其實在看一個內部網是否安全時不僅要考察其手段, 而更重要的是要看對該網路所採取的各種措施的綜合性, 這就是在所採取的手段中所包含的不僅是物理防範, 還有人員的素質等其他“軟”因素, 進行綜合評估, 從而得出是否安全的結論。 ********************************************************* 哈哈&兵燹 最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好 Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知 K.表Knowlege 知識,就是本站的標語:Open our mind to make knowledge together! 希望能大家敞開心胸,將知識寶庫結合一起

------
**********************************************************
哈哈&兵燹
最會的2大絕招 這個不會與那個也不會 哈哈哈 粉好

Delphi K.Top的K.Top分兩個字解釋Top代表尖端的意思,希望本討論區能提供Delphi的尖端新知
K.表Knowlege 知識,就是本站的標語:Open our mind