网络信息安全防范技术分析与比较.doc

网络信息安全防范技术分析与比较孙海梦 贾靓 张英丽摘 要计算机网络已成为人们获取和交流信息的最重要的手段。本文对现有网络安全的防范技术做了分析与比较，特别对为加强安全应采取的应对措施做了较深入讨论，并描述了本研究领域的未来发展走向。关健词 安全性；信息管理；网络技术1 引言计算机技术和网络技术的广泛应用正深刻影响着人类社会的发展，改变了政治及经济运行模式和人们的工作、学习、生活方式。但是由于早期网络协议设计上对安全问题的忽视，以及管理和使用上的无政府状态和网络系统的开放性，信息资源的共享性，通讯通道的公用性连接形式的多样性等特点，使网络极易遭受到不断产生和传播的计算机病毒和网络黑客的袭击，使Internet自身安全受到严重威胁。网络与信息的安全成为网络应用与服务进一步发展所亟待解决的问题。网络安全从其本质上来讲就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，确保网络上的信息和资源不被非授权用户所使用，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，网络和系统连续可靠正常地运行。 2 物理安全物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。产品保障方面：主要指产品采购、运输、安装等方面的安全措施。 运行安全方面：网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。 防电磁辐射方面：所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。 3 网络安全网络安全性可以被粗略地分为4个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。31 防火墙技术防火墙是一种网络安全保障手段，是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间的任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统，也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构：(1) 屏蔽路由器：又称包过滤防火墙。_*基金项目：江苏省高校自然科学基金项目（06KJB520022）江苏省教改研究项目（2005-27171）*为联系人(2) 双穴主机：双穴主机是包过滤网关的一种替代。(3) 主机过滤结构：这种结构实际上是包过滤和代理的结合。(4) 屏蔽子网结构：这种防火墙是双穴主机和被屏蔽主机的变形。32 认证技术在一个更为开放的环境中，支持通过网络与其他系统相连，就需要“调用每项服务时需要用户证明身份，也需要这些服务器向客户证明他们自己的身份。”的策略来保护位于服务器中的用户信息和资源。对合法身份进行认证可以防止非法用户获得对信息系统的访问，使用认证机制还可以防止合法用户访问他们无权检看的消息，例如：身份认证 当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证常采用用户名和口令等最简易的方法进行用户身份的认证识别。报文认证 主要是通信双方对通信的内容进行验证，以保证报文以确认的发送方产生、报文传到了要发送的接受方，传送中报文没被修改过。访问授权 主要是确认用户对某资源的访问权限。数字签名数字签名是一种使用加密认证电子信息的方法，其安全性和有效性主要取决于用户私匙的保护和安全的哈希函数，数字签名技术是基于加密技术的，可用对称加密算法、非对称加密算法和混合加密算法来实现。33数字加密技术数字加密是通过一种方式使信息变得混乱。从而使未被授权的人看不懂它，主要存在两种主要的加密类型：私匙加密和公匙加密。私匙加密又称对称密匙加密。因为用来加密的密匙就是解密信息所使用的密匙。私匙加密为信息提供了更进一步的紧密性。他不提供认证，因为使用该密匙的任何人都可以创建，加密和平共处一条有效的消息。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙进行加密和解密，而公匙加密使用两个密匙，一个用于加密信息，另一个用于解密信息。公匙加密系统加密的缺点是它们通常是计算密集的，因而比私匙加密加密系统的加密速度慢得多，不过若将两者结合起来，就可以得到一个更复杂的系统。34入侵检测技术入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。35 虚拟专用网的安全技术(Virtual Private Network，VPN)近年来虚拟专用网技术是随着Internet的发展而迅速发展起来的一种技术。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。虚拟专用网实际上就是将Internet看作一种公有数据网，这种公有网和PSTN网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。隧道技术是指包括数据封装，传输和解包在内的全过程。加解密技术对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。使用者与设备身份认证技术 VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。身份认证技术最常用的是使用名称与密码或卡片式认证等方式。 4 安全技术走向我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交错的学科领域，它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果，提出系统的、完整的和协同的解决信息网络安全的方案，目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究，各部分相互协同形成有机整体。 由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。因此网络安全技术在21世纪将成为信息网络发展的关键技术。5 结束语本文从多方面描述了网络安全的解决方案，目的在于为用户提供信息的保密、认证和完整性保护机制，使网络中的数据以及系统免受侵扰和破坏。在我国，信息网络安全技术的研究