網絡信息安全技術初探

摘要各個社會領域都離不開計算機的應用，但是開放的信息系統必然存在眾多潛在的安全隱患。本文就網絡信息安全技術展開討論。

關鍵詞物理隔離防火墻數字簽名

中圖分類號:TP393文獻標識碼:A

隨著計算機與網絡應用的不斷普及，各個社會領域都離不開計算機的應用，尤其是網絡的應用。然而，開放的信息系統必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭不斷演繹，甚至到了十分危急的程度。因此，作為計算機應用者，有必要很好地了解有關網絡安全方面的知識，更要采取有力措施來保護網絡的正常使用和信息的安全。下面就網絡信息安全技術做一定的探索。

1 物理隔離網絡

所謂“物理隔離”是指內部網不直接或間接地連接Internet。實現物理隔離的措施有:(1)在電腦內安裝1塊網絡安全隔離卡，根據單位的不同需求，隨時在內外網之間切換，盡最大可能減少與互聯網的接觸，減少黑客攻擊的機會。(2)抗攻擊網關。將抗攻擊網關架設在路由器之前，通過獨立的監控系統實時監控和報警。其類型主要有入侵檢測、指紋識別、免疫型等。(3)防病毒網關。放置在內網和外網連接處，可隔離大部分病毒與外部，同時具有反垃圾郵件和反間諜軟件的能力。管理員需要定期升級，來抵御新病毒的攻擊。

2 網絡防火墻技術

網絡防火墻技術是一種防止外部網絡用戶以非法手段訪問內部網絡，保護內部網絡環境，加強網絡間訪問控制的網絡互聯設備。它對網絡之間傳輸的數據包用一定的安全策略實施檢查，以決定網絡之間的傳輸是否被允許，并監視整個網絡運行狀態，能有效監控內網和外網之間的活動，保證內網的安全。

防火墻處于網絡安全體系的最底層，作為內網與公共網絡之間的第一道屏障，防火墻最先受到人們的重視。隨著網絡安全技術的整體發展，現代防火墻技術已經逐步走向網絡層之外的其他安全層次。由于硬件技術的快速發展，基于Internet上的新一代防火墻，將更注重發揮全網的效能，安全策略會更加合理與規范化。根據防火墻采用的技術不同，可分為四種基本類型:包過濾型、網絡地址轉換型、代理型和監測型。

2.1 包過濾型

包過濾型產品是初級產品，以分包傳輸技術為特征。數據都以“包”為單位，被分割成一定大小的數據包，每一個數據包中都包含特定的信息。通過讀取數據包中的地址信息，防火墻來判斷這些“包”是否來自可信任的安全站點。一旦發現來自危險站點的數據包，便將這些數據拒之門外。包過濾技術的優點是簡單實用，實現成本較低，能夠以較小代價保證系統的安全。包過濾技術的缺點是完全基于網絡層，只能根據數據包的來源、目標和端口等網絡信息判斷，無法識別基于應用層的惡意侵入。所以，容易用障眼法來偽造IP地址，欺騙包過濾型防火墻，以進入內部網絡。

2.2 網絡地址轉化型

網絡地址轉換允許私有IP地址的內網訪問因特網，允許把IP地址轉換成臨時的，即用戶不必要為網絡中的每臺機器取得注冊的IP地址。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，通過偽裝的地址和端口與外網連接，這樣就隱藏了真實的內網地址。當外網訪問內網時，并不知道內網的連接情況，其訪問通過一個開放的IP地址和端口來完成。防火墻根據預定義的映射規則來判斷這個訪問是否安全。符合規則時，則認為訪問是安全的，接受訪問請求。不符合規則時，則認為訪問是不安全的，不被接受，自動屏蔽外部連接請求。整個過程對于用戶來說是透明的。

2.3 代理型

亦稱為代理服務器，安全性要高于包過濾型產品。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。當客戶機需使用服務器上的數據時，首先向代理服務器發送數據請求，根據這一請求向服務器索取數據，然后再由代理服務器將數據傳送給客戶機。由于外系統與內服務器間沒有直接的數據通道，來自外部的惡意侵入和攻擊就很難傷害到內部網絡。優點是安全性較高，可有效對付基于應用層的侵入。缺點是對系統的整體性能影響較大，增加了管理的復雜性。

2.4 監測型

監測型防火墻能對各層數據主動、實時監測，能有效判斷出各層中的非法侵入。一般還帶有分布式探測器，不僅能檢測外部的攻擊，同時對內部的惡意破壞也有極強的防范作用。監測型防火墻在安全性上遠遠超越了前兩代產品。但監測型防火墻技術的實現成本較高，不易管理。

3 生物識別技術

生物識別技術是依靠人體的身體特征，集光學、傳感技術、超聲波掃描和計算機技術于一身的第三代身份驗證技術。由于人體特征不可復制，故其安全系數較有很大的提高。人體的生物特征包括指紋、面孔、聲音、視網膜等。自動指紋識別系統AFIS就是一套成功的身份鑒別系統，也是未來生物識別技術的主流之一。近年視網膜識別技術的研究也取得了很大進步，突破了許多技術難題。

4 加密及數字簽名技術(下轉第138頁)(上接第132頁)

加密技術的出現為全球電子商務交易提供了安全保障。加密技術主要有:對稱加密和非對稱加密技術。對稱加密是以口令為基礎，加密與解密使用同樣的密鑰。不對稱加密，即“公開密鑰密碼體制”，加密密鑰公之于眾，解密密鑰只有解密人有，分別稱為“公開密鑰”和“秘密密鑰”。

數字簽名技術將是未來最流行的個人安全防范技術。其實現過程為:發送者用密鑰對郵件加密，建立一個“數字簽名”，然后通過公開的通信途徑將簽名和郵件一起發給接收者，接收者收到郵件后，使用公開密鑰對簽名解密，如果計算結果相同就通過了驗證。數字簽名技術具有抗抵賴性。

總之，網絡信息安全是一個綜合性的課題，也是國家發展所面臨的一個重要課題。信息安全的發展是我國高科技產業的一部分，也是國家信息安全系統的重要組成部分，將對我國電子商務的發展起到非常重要的保障和促進作用。所以，一種技術的應用只能解決某一方面的問題，應通過全盤的解決方案。希望廣大的網絡應用者一起努力，為網絡信息安全作出自己應有的貢獻。