網(wǎng)絡(luò)安全

　　隨著信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及, 應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。而網(wǎng)絡(luò)所具有的開(kāi)放性、自由性在增加應(yīng)用自由度的同時(shí)，對(duì)網(wǎng)絡(luò)的安全提出了更高的要求。據(jù)統(tǒng)計(jì)，全世界由于信息系統(tǒng)的脆弱性而導(dǎo)致的經(jīng)濟(jì)損失，每年達(dá)數(shù)億美元，并且逐年上升。據(jù)美國(guó)《金融時(shí)報(bào)》報(bào)道，現(xiàn)在平均每20秒就發(fā)生一次入侵計(jì)算機(jī)互聯(lián)網(wǎng)的事件。而我們面臨的這些網(wǎng)絡(luò)安全問(wèn)題的解決，主要還是依賴于現(xiàn)代信息理論與技術(shù)手段；依賴于安全體系結(jié)構(gòu)和網(wǎng)絡(luò)安全通信協(xié)議等技術(shù)；依賴借助于此產(chǎn)生的各種硬件的或軟件的安全產(chǎn)品。 
    
 下面是網(wǎng)絡(luò)安全中的主要技術(shù)以及產(chǎn)品的簡(jiǎn)介：  
 
殺毒軟件技術(shù)
　　殺毒軟件是最為普遍的一種安全技術(shù)方案，因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來(lái)最為簡(jiǎn)單，但我們都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足網(wǎng)絡(luò)安全的需要。國(guó)外殺毒軟件占主導(dǎo)地位的有五大品牌：賽門(mén)鐵克的Norton、NAI的McAfee、趨勢(shì)的PC-Cillin以及Panda和CA的殺毒軟件。國(guó)內(nèi)的產(chǎn)品主要是瑞星、Kill、江民公司的KV3000、金山毒霸等。

防火墻技術(shù)
　　防火墻是一個(gè)系統(tǒng)或一組系統(tǒng)，它在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略。
一個(gè)有效的防火墻應(yīng)該能夠確保：所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都將經(jīng)過(guò)防火墻；所有流經(jīng)防火墻的信息都應(yīng)接受檢查。
防火墻如果從實(shí)現(xiàn)方式上來(lái)分，又分為硬件防火墻和軟件防火墻兩類，我們通常意義上講的硬防火墻為硬件防火墻，它是通過(guò)硬件和軟件的結(jié)合來(lái)達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，它的性能很好。軟件防火墻它是通過(guò)純軟件的方式來(lái)達(dá)到，價(jià)格比較便宜，但這類防火墻只能通過(guò)一定的規(guī)則來(lái)達(dá)到限制一些非法用戶訪問(wèn)內(nèi)部網(wǎng)的目的，并且性能比硬件防火墻差。
　　防火墻市場(chǎng)作為用戶解決網(wǎng)絡(luò)安全隱患的最起碼和最必要的裝備，具有最大的市場(chǎng)容量。目前防火墻在國(guó)內(nèi)市場(chǎng)上的競(jìng)爭(zhēng)十分激烈。一方面，國(guó)外廠商如Cisco Pix、NetScreen、CheckPoint、Gauntlet等紛紛進(jìn)入中國(guó)市場(chǎng)；另一方面由于防火墻市場(chǎng)需求量大，國(guó)內(nèi)許多網(wǎng)絡(luò)安全廠商都生產(chǎn)防火墻作產(chǎn)品。像東大阿爾派、聯(lián)想、紫光、天網(wǎng)、天融信、海信等都有了自己開(kāi)發(fā)的防火墻。
　　與國(guó)內(nèi)產(chǎn)品相比，國(guó)外防火墻產(chǎn)品優(yōu)勢(shì)在于技術(shù)成熟、知名度高，因此在國(guó)內(nèi)高端防火墻市場(chǎng)中，國(guó)外產(chǎn)品始終占據(jù)優(yōu)勢(shì)。金融、電信、大型ISP、除特殊部門(mén)外的大部分行業(yè)用戶一般都選用了國(guó)外防火墻產(chǎn)品。國(guó)內(nèi)自主開(kāi)發(fā)的防火墻主要集中在低端防火墻領(lǐng)域。國(guó)產(chǎn)防火墻在技術(shù)上和國(guó)外的相比還有一定的差距，但也在國(guó)家機(jī)關(guān)、軍隊(duì)、金融、電信等部門(mén)占據(jù)了一定的市場(chǎng)份額。

文件加密和數(shù)字簽名技術(shù)
　　文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。

· 數(shù)據(jù)傳輸加密技術(shù)
　　目的是對(duì)傳輸中的數(shù)據(jù)流加密, 常用的方針有線路加密和端對(duì)端加密兩種。目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)，對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密，非對(duì)稱加密方式就是加密和解密所用的密鑰不一樣，它有一對(duì)密鑰，稱為“公鑰”和“私鑰”兩個(gè)。

· 數(shù)據(jù)存儲(chǔ)加密技術(shù)
　　這種加密技術(shù)的目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密, 可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過(guò)加密法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn);后者則是對(duì)用戶資格、權(quán)限加以審查和限制, 防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)，這種技術(shù)主要應(yīng)用于NT系統(tǒng)和一些網(wǎng)絡(luò)操作系統(tǒng)中，在系統(tǒng)中可以對(duì)不同工作組的用戶賦予相應(yīng)的權(quán)限以達(dá)到保護(hù)重要數(shù)據(jù)不被非正常訪問(wèn)。

· 數(shù)據(jù)完整性鑒別技術(shù)
　　目的是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證, 達(dá)到保密的要求, 一般包括口令、密鑰、身份 、數(shù)據(jù)等項(xiàng)的鑒別, 系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù), 實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。

入侵檢測(cè)技術(shù)
　　入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)：
· 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；
· 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；
· 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；
· 異常行為模式的統(tǒng)計(jì)分析；
· 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；
· 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

　　對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡(jiǎn)單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。
　　入侵檢測(cè)系統(tǒng)根據(jù)其檢測(cè)數(shù)據(jù)來(lái)源分為兩類：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)�；�于主機(jī)的入侵檢測(cè)系統(tǒng)從單個(gè)主機(jī)上提取數(shù)據(jù)（如審計(jì)記錄等）作為入侵分析的數(shù)據(jù)源，而基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)從網(wǎng)絡(luò)上提取數(shù)據(jù)（如網(wǎng)絡(luò)鏈路層的數(shù)據(jù)幀）作為入侵分析的數(shù)據(jù)源。通常來(lái)說(shuō)基于主機(jī)的入侵檢測(cè)系統(tǒng)只能檢測(cè)單個(gè)主機(jī)系統(tǒng)，而基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以對(duì)本網(wǎng)段的多個(gè)主機(jī)系統(tǒng)進(jìn)行檢測(cè)，多個(gè)分布于不同網(wǎng)段上的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以協(xié)同工作以提供更強(qiáng)的入侵檢測(cè)能力。

　　常見(jiàn)的入侵檢測(cè)產(chǎn)品有：eTrust Intrusion Detection (CA)、Security IDS (Cisco) 、NetEye IDS (東軟)、ZYNetEye-Ⅱ(漢邦軟科)。
　　世界領(lǐng)先的電子商務(wù)管理解決方案供應(yīng)商CA公司的CA eTrust產(chǎn)品向企業(yè)提供了保護(hù)其環(huán)境所需的具有主動(dòng)性的全面安全保護(hù)功能，包括虛擬專用網(wǎng)（VPN）、訪問(wèn)控制、用戶管理、加密、防惡意代碼和防病毒保護(hù)、入侵探測(cè)、X.500目錄等。