網路安全技術原理

  計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境裡,資料的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統裝置及相關設施受到物理保護,免於破壞、丟失等。邏輯安全包括資訊的完整性、保密性和可用性。

  網路安全性問題關係到未來網路應用的深入發展,它涉及安全策略、移動程式碼、指令保護、密碼學、作業系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的網際網路的隔離主要使用“防火牆”技 術。

  “防火牆”是一種形象的說法,其實它是一種計算機硬體和軟體的組合,使網際網路與內部網之間建立起 一個安全閘道器,從而保護內部網免受非法使用者的侵入。

  能夠完成“防火牆”工作的可以是簡單的隱蔽路由器,這種“防火牆”如果是一臺普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在網際網路協議埠級上阻止網間或主機間通訊,起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的引數做些修改,因而也有人不把它歸入“防火牆”一級的措施。

  真正意義的“防火牆”有兩類,一類被稱為標準“防火牆”;一類叫雙家閘道器。標準”防火牆”系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩衝。其中一個路由器的介面是外部世界,即公用網;而另一個則聯接內部網。標準“防火牆”使用專門的軟體,並要求較高的管理水平,而且在資訊傳輸上有一定的延遲。而雙家閘道器則是對標準“防火牆”的擴充。雙家閘道器又稱堡壘主機或應用層閘道器,它是一個單個的系統,但卻能同時完成標準“防火牆”的所有功能。其優點是能執行更復雜的應用,同時防止在網際網路和內部系統之間建立的任何直接的連線,可以確保資料包不能直接從外部網路到達內部網路,反之亦然。

  隨著“防火牆”技術的進步,在雙家閘道器的基礎上又演化出兩種“防火牆”配置,一種是隱蔽主機閘道器,另一種是隱蔽智慧閘道器***隱蔽子網***。隱蔽主機閘道器當前也許是一種常見的“防火牆”配置。顧名思義,這種配置一方面將路由器進行隱藏,另一方面在網際網路和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與網際網路進行通訊的唯一系統。目前技術最為複雜而且安全級別最高的”防火牆”當屬隱蔽智慧閘道器。所謂隱蔽智慧閘道器是將閘道器隱藏在公共系統之後,它是網際網路使用者唯一能見到的系統。所有網際網路功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說,這種“防火牆”是最不容易被破壞的。

  與“防火牆”配合使用的安全技術還有資料加密技術。資料加密技術是為提高資訊系統及資料的安全性和保密性,防止祕密資料被外部破壞所採用的主要技術手段之一。隨著資訊科技的發展,網路安全與資訊保密日益引起人們的關注。各國除了從法律上、管理上加強資料的安全保護外,從技術上分別在軟體和硬體兩方面採取措施,推動著資料加密技術和物理防範技術的不斷髮展。按作用不同,資料加密技術主要分為資料傳輸、資料儲存、資料完整性的鑑別以及金鑰管理技術4種。

  與資料加密技術緊密相關的另一項技術則是智慧卡技術。所謂智慧卡就是金鑰的一種媒體,一般就像信用卡一樣,由授權使用者所持有並由該使用者賦予它一個口令或密碼字。該密碼字與內部網路伺服器上註冊的密碼一致。當口令與身份特徵共同使用時,智慧卡的保密效能還是相當有效的。

  這些網路安全和資料保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,看一個內部網是否安全時不僅要考慮其手段,而更重要的是對該網路所採取的各種措施,其中不僅是物理防範,而且還有人員素質等其他“軟”因素,進行綜合評估,從而得出是否安全的結論。