淺談網絡安全技術

摘 要:Internet是一種開放和標準的面向所有用戶的技術，其資源通過網絡共享，因此，資源共享和信息安全就成了一對矛盾。

關鍵詞:防火墻 加密 網絡安全

中圖分類號:TP3文獻標識碼:A文章編號:1674-098X(2011)04(c)-0012-01

隨著Internet的迅速發展，電子商務已成為潮流，人們可以通過互聯網進行網上購物、銀行轉賬等許多商業活動。現在商業貿易、金融財務和其他經濟行為中，不少已經以數字化信息的方式在網上流動著。所以網絡的安全性顯得非常重要，然而，網絡作為開放的信息系統必然存在眾多潛在的安全隱患，因此，網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。

1 防火墻技術

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統，提出了防火墻概念后，防火墻技術得到了飛速的發展。國內外已有數十家公司推出了功能各不相同的防火墻產品系列。

防火墻處于5層網絡安全體系中的最底層，屬于網絡層安全技術范疇。在這一層上，企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統?如果答案是“是”，則說明企業內部網還沒有在網絡層采取相應的防范措施。

作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次，不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

2 生物識別技術

生物識別技術就是通過計算機與光學、聲學、生物傳感器和生物統計學原理等高科技手段密切結合，利用人體固有的生理特性，(如指紋、臉象、紅膜等)和行為特征(如筆跡、聲音、步態等)來進行個人身份的鑒定。 傳統的身份鑒定方法包括身份標識物品(如鑰匙、證件、ATM卡等)和身份標識知識(如用戶名和密碼)但由于主要借助體外物，一旦證明身份的標識物品和標識知識被盜或遺忘，其身份就容易被他人冒充或取代。

生物識別技術比傳統的身份鑒定方法更具安全、保密和方便性。生物特征識別技術具不易遺忘、防偽性能好、不易偽造或被盜、隨身“攜帶”和隨時隨地可用等優點。

由于人體特征具有人體所固有的不可復制的唯一性，這一生物密鑰無法復制，失竊或被遺忘，利用生物識別技術進行身份認定，安全、可靠、準確。而常見的口令、IC卡、條紋碼、磁卡或鑰匙則存在著丟失、遺忘、復制及被盜用諸多不利因素。因此采用生物\"鑰匙\"，您可以不必攜帶大串的鑰匙，也不用費心去記或更換密碼。而系統管理員更不必因忘記密碼而束手無策。生物識別技術產品均借助于現代計算機技術實現，很容易配合電腦和安全、監控、管理系統整合，實現自動化管理。

20世紀60年代，計算機可以有效地處理圖形，人們開始著手研究用計算機來處理指紋，自動指紋識別系統AFIS由此發展開來。AFIS是當今數字生活中一套成功的身份鑒別系統，也是未來生物識別技術的主流之一，它通過外設來獲取指紋的數字圖像并存貯在計算機系統中，再運用先進的濾波、圖像二值化、細化手段對數字圖像提取特征，最后使用復雜的匹配算法對指紋特征進行匹配。時下，有關指紋自動識別的研究已進入了成熟的階段。隨著指紋識別產品的不斷開發和生產，未來該項技術的應用將進入民用市場，服務大眾。到時在ATM提款機加裝指紋識別功能，持卡人可以取消密碼(避免老人和孩子記憶密碼的困難)，通過指紋直接操作。

除了指紋識別技術外，近年來視網膜識別技術和簽名識別技術的研究也取得了驕人的成績。視網膜識別技術分為兩個不同的領域:虹膜識別技術和角膜識別技術。虹膜識別系統使用一臺攝像機來捕捉樣本，而角膜掃描的進行則是用低密度的紅外線去捕捉角膜的獨特特征。由于該項技術具有高度的準確性，它將被應用在未來軍事安全機構和其他保密機關中。簽名識別，也被稱為簽名力學識別(Danamic Signature Verification——DSV)，它是建立在簽名時的力度上的，分析筆的移動，例如加速度、壓力、方向以及筆劃的長度，而非簽名的圖像本身。

3 加密及數字簽名技術

加密技術是電子商務采取的主要安全保密措施，是最常用的安全保密手段，利用技術手段把重要的數據變為亂碼(加密)傳送，到達目的地后再用相同或不同的手段還原(解密)。加密技術包括兩個元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一竄數字(密鑰)的結合，產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標準(DNS，Data Encryption Standard)算法為典型代表，非對稱加密通常以RSA(Rivest Shamir Ad1eman)算法為代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公開而解密密鑰需要保密。

在電腦網絡系統中使用的數字簽名技術將是未來最通用的個人安全防范技術，其中采用公開密鑰算法的數字簽名會進一步受到網絡建設者的親睞。這種數字簽名的實現過程非常簡單:首先，發送者用其秘密密鑰對郵件進行加密，建立了一個“數字簽名”，然后通過公開的通信途徑將簽名和郵件一起發給接收者，接收者在收到郵件后使用發送者的另一個密匙——公開密鑰對簽名進行解密，如果計算的結果相同他就通過了驗證。數字簽名能夠實現對原始郵件不可抵賴性的鑒別。另外，多種類型的專用數字簽名方案也將在電子貨幣、電子商業和其他的網絡安全通信中得到應用。

總之，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才才能完好、實時地保證信息的完整性和確證性，為網絡提供強大的安全服務——這也是21世紀網絡安全領域的迫切需要。