現(xiàn)行主要網(wǎng)絡(luò)安全技術(shù)介紹
計算機網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)服務(wù)的可用性(Availability)、網(wǎng)絡(luò)信息的保密性(Confidentiality)和網(wǎng)絡(luò)信息的完整性(Intergrity)。下面把與之相關(guān)的幾個重要的網(wǎng)絡(luò)安全技術(shù)做一下介紹。
殺毒軟件
與一般單機的殺毒軟件相比,殺毒軟件的網(wǎng)絡(luò)版市場更多是技術(shù)及服務(wù)的競爭。其特點表現(xiàn)在:
首先,殺病毒技術(shù)的發(fā)展日益國際化。世界上每天有13種到50種新病毒出現(xiàn),并且60%的病毒均通過Internet傳播,病毒發(fā)展有日益跨越疆界的趨勢,殺病毒企業(yè)的競爭也隨之日益國際化。
其次,殺毒軟件面臨多平臺的挑戰(zhàn)。一個好的企業(yè)級殺病毒軟件必須能夠支持所有主流平臺,并實現(xiàn)軟件安裝、升級、配置的中央管理及自動化,要達到這樣的要求需要大量工程師幾年的技術(shù)積累。
第三,殺毒軟件面臨著Internet的挑戰(zhàn)。好的企業(yè)級殺病毒軟件要保護企業(yè)所有的可能病毒入口,也就是說要支持所有企業(yè)可能用到的Internet協(xié)議及郵件系統(tǒng),能適應(yīng)并且及時跟上瞬息萬變的Internet時代步伐。現(xiàn)今60%以上的病毒是通過Internet傳播,可以說Internet的防毒能力成為殺病毒軟件的關(guān)鍵技術(shù),在這方面,國際的殺毒軟件如:Norton、McAfee、熊貓衛(wèi)士走到了前面,它們均可以支持所有的Internet協(xié)議,辨識出其中病毒。
當前國內(nèi)正從殺病毒軟件的單機應(yīng)用逐步過渡到企業(yè)級的防護,企業(yè)防病毒軟件的市場無疑將越來越大。企業(yè)級用戶會更多考慮如何保護自身的數(shù)據(jù)、程序,對技術(shù)、服務(wù)和管理的要求比較高。國內(nèi)大部分的殺毒軟件目前在價格和對本土病毒的查殺能力兩個方面存在著優(yōu)勢,但在企業(yè)級的某些特殊性能上存在差距。例如管理方面,一個企業(yè)要管理1000臺機器,Norton的SRC有一臺管理器就可以處理,它可以自動分發(fā),自動安裝到所有機器里,使管理人員節(jié)省很多時間,減少重復(fù)勞動。另外,企業(yè)級需要更安全的保護,現(xiàn)在政府上網(wǎng)、企業(yè)上網(wǎng)都會遇到很多國際病毒,國內(nèi)部分廠商在這些方面尚待改進。
防火墻
網(wǎng)絡(luò)安全中系統(tǒng)安全產(chǎn)品使用最廣泛的技術(shù)就是防火墻技術(shù),即在Internet和內(nèi)部網(wǎng)絡(luò)之間設(shè)一個防火墻。目前在全球連入Internet的計算機中約有三分之一是處于防火墻保護之下。
對企業(yè)網(wǎng)絡(luò)用戶來說,如果決定設(shè)定防火墻,那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略,即確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過防火墻。防火墻的職責(zé)就是根據(jù)本單位的安全策略,對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進行檢查,符合的予以放行,不符合的拒之門外。
防火墻的技術(shù)實現(xiàn)通常是基于所謂"包過濾"技術(shù),而進行包過濾的標準通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中,包過濾的標準一般是靠網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問控制清單中設(shè)定。訪問控制一般基于的標準有:包的源地址、包的目的地址、連接請求的方向(連入或連出)、數(shù)據(jù)包協(xié)議(如TCP/IP等)以及服務(wù)請求的類型(如ftp、www等)等。
除了基于硬件的包過濾技術(shù),防火墻還可以利用代理服務(wù)器軟件實現(xiàn)。早期的防火墻主要起屏蔽主機和加強訪問控制的作用,現(xiàn)在的防火墻則逐漸集成了信息安全技術(shù)中的最新研究成果,一般都具有加密、解密和壓縮、解壓等功能,這些技術(shù)增加了信息在互聯(lián)網(wǎng)上的安全性。現(xiàn)在,防火墻技術(shù)的研究已經(jīng)成為網(wǎng)絡(luò)信息安全技術(shù)的主導(dǎo)研究方向。
當然,網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性、便利性、靈活性為代價的,對防火墻的設(shè)置也不例外。防火墻的隔斷作用一方面加強了內(nèi)部網(wǎng)絡(luò)的安全,一方面卻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息系統(tǒng)交流受到阻礙,因此必須在防火墻上附加各種信息服務(wù)的代理軟件來代理內(nèi)部網(wǎng)絡(luò)與外部的信息交流,這樣不僅增大了網(wǎng)絡(luò)管理開銷,而且減慢了信息傳遞速率。針對這個問題,近期,美國網(wǎng)屏(NetScreen)技術(shù)公司推出了第三代防火墻,其內(nèi)置的專用ASIC處理器用于提供硬件的防火墻訪問策略和數(shù)據(jù)加密算法的處理,使防火墻的性能大大提高。
需要說明的是,并不是所有網(wǎng)絡(luò)用戶都需要安裝防火墻,一般而言,只有對個體網(wǎng)絡(luò)安全有特別要求,而又需要和Internet聯(lián)網(wǎng)的企業(yè)網(wǎng)、公司網(wǎng),才建議使用防火墻。另外,防火墻只能阻截來自外部網(wǎng)絡(luò)的侵擾,而對于內(nèi)部網(wǎng)絡(luò)的安全還需要通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實現(xiàn)。
加密技術(shù)
網(wǎng)絡(luò)安全的另一個非常重要的手段就是加密技術(shù),它的思想核心就是既然網(wǎng)絡(luò)本身并不安全可靠,那么所有重要信息就全部通過加密處理。加密的技術(shù)主要分兩種:
單匙技術(shù)
這種技術(shù)無論加密還是解密都是用同一把鑰匙(secretkey)。這是比較傳統(tǒng)的一種加密方法。發(fā)信人用某把鑰匙將某重要信息加密,通過網(wǎng)絡(luò)傳給收信人,收信人再用同一把鑰匙將加密后的信息解密。這種方法快捷簡便,即使傳輸信息的網(wǎng)絡(luò)不安全,被別人截走信息,加密后的信息也不易泄露。
但這種方法也存在一個問題,即如果收信者和發(fā)信者不在同一地理位置,那么他們必須確保有一個安全渠道來傳送加密鑰匙。但是如果確實存在這樣一個安全渠道(如通過信差、長途電話等等),他們又何必需要加密呢?后來出現(xiàn)的雙匙技術(shù)解決了這個難題。
雙匙技術(shù)
此技術(shù)使用兩個相關(guān)互補的鑰匙:一個稱為公用鑰匙(publickey),另一個稱為私人鑰匙(secretkey)。公用鑰匙是大家被告知的,而私人鑰匙則只有每個人自己知道。發(fā)信者需用收信人的公用鑰匙將重要信息加密,然后通過網(wǎng)絡(luò)傳給收信人。收信人再用自己的私人鑰匙將其解密。除了私人鑰匙的持有者,沒有人--即使是發(fā)信者--能夠?qū)⑵浣饷堋9描€匙是公開的,可以通過網(wǎng)絡(luò)告知發(fā)信人(即使網(wǎng)絡(luò)不安全)。而只知道公用鑰匙是無法導(dǎo)出私人鑰匙的。現(xiàn)有軟件如Internet免費提供的PGP(PrettyGoodPrivacy)可直接實現(xiàn)這些功能。
加密技術(shù)主要有兩個用途,一是加密信息,正如上面介紹的;另一個是信息數(shù)字署名,即發(fā)信者用自己的私人鑰匙將信息加密,這就相當于在這條消息上署上了名。任何人只有用發(fā)信者的公用鑰匙,才能解開這條消息。這一方面可以證明這條信息確實是此發(fā)信者發(fā)出的,而且事后未經(jīng)過他人的改動(因為只有發(fā)信者才知道自己的私人鑰匙);另一方面也確保發(fā)信者對自己發(fā)出的消息負責(zé),消息一旦發(fā)出并署了名,他就無法再否認這一事實。
如果既需要保密又希望署名,則可以將上面介紹的兩個步驟合并起來。即發(fā)信者先用自己的私人鑰匙署名再用收信者的公用鑰匙加密,再發(fā)給對方。反過來收信者只需用自己的私人鑰匙解密,再用發(fā)信者的公用鑰匙驗證簽名。這個過程說起來有些繁瑣,實際上很多軟件都可以只用一條命令實現(xiàn)這些功能,非常簡便易行。
在網(wǎng)絡(luò)傳輸中,加密技術(shù)是一種效率高而又靈活的安全手段,值得在企業(yè)網(wǎng)絡(luò)中加以推廣。目前,加密算法有多種,大多源于美國,但是大多受到美國出口管制法的限制。現(xiàn)在金融系統(tǒng)和商界普遍使用的算法是美國數(shù)據(jù)加密標準DES。近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。
除了上面介紹的幾種之外,還有一些被廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù),在此做一個簡單介紹。
身份驗證
身份驗證是一致性驗證的一種,驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據(jù)、驗證系統(tǒng)和安全要求。身份驗證技術(shù)是在計算機中最早應(yīng)用的安全技術(shù),現(xiàn)在也仍在廣泛應(yīng)用,它是互聯(lián)網(wǎng)上信息安全的第一道屏障。
存取控制
存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力。存取控制是網(wǎng)絡(luò)安全理論的重要方面,主要包括人員限制、數(shù)據(jù)標識、權(quán)限控制、類型控制和風(fēng)險分析。存取控制也是最早采用的安全技術(shù)之一,它一般與身份驗證技術(shù)一起使用,賦予不同身份的用戶以不同的操作權(quán)限,以實現(xiàn)不同安全級別的信息分級管理。
數(shù)據(jù)完整性
完整性證明是在數(shù)據(jù)傳輸過程中,驗證收到的數(shù)據(jù)和原來數(shù)據(jù)之間保持完全一致的證明手段。檢查是最早采用數(shù)據(jù)完整性驗證的方法,它雖不能保證數(shù)據(jù)的完整性,只起到基本的驗證作用,但由于它的實現(xiàn)非常簡單(一般都由硬件實現(xiàn)),現(xiàn)在仍廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)的傳輸和保護中。近幾年來研究比較多的是數(shù)字簽名等算法,它們雖可以保證數(shù)據(jù)的完整性,但由于實現(xiàn)起來比較復(fù)雜,系統(tǒng)開銷比較大,一般只用于完整性要求較高的領(lǐng)域,特別是商業(yè)、金融業(yè)等領(lǐng)域。
安全協(xié)議
安全協(xié)議的建立和完善是安全保密系統(tǒng)走上規(guī)范化、標準化道路的基本因素。一個較為完善的內(nèi)部網(wǎng)和安全保密系統(tǒng),至少要實現(xiàn)加密機制、驗證機制和保護機制。
需要強調(diào)的是,網(wǎng)絡(luò)安全是一個系統(tǒng)工程,不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因為網(wǎng)絡(luò)安全包含多個層面,既有層次上的劃分、結(jié)構(gòu)上的劃分,也有防范目標上的差別。在層次上涉及到網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等;在結(jié)構(gòu)上,不同節(jié)點考慮的安全是不同的;在目標上,有些系統(tǒng)專注于防范破壞性的攻擊,有些系統(tǒng)是用來檢查系統(tǒng)的安全漏洞,有些系統(tǒng)用來增強基本的安全環(huán)節(jié)(如審計),有些系統(tǒng)解決信息的加密、認證問題,有些系統(tǒng)考慮的是防病毒的問題。任何一個產(chǎn)品不可能解決全部層面的問題,這與系統(tǒng)的復(fù)雜程度、運行的位置和層次都有很大關(guān)系,因而一個完整的安全體系應(yīng)該是一個由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng),既有技術(shù)的因素,也包含人的因素。用戶需要根據(jù)自己的實際情況選擇適合自己需求的技術(shù)和產(chǎn)品。
按照前面提到的計算機網(wǎng)絡(luò)的安全性內(nèi)容,整個網(wǎng)絡(luò)安全產(chǎn)品可劃分為系統(tǒng)安全產(chǎn)品和數(shù)據(jù)安全產(chǎn)品。其中系統(tǒng)安全產(chǎn)品可分為防病毒類產(chǎn)品(殺毒軟件)、防火墻類產(chǎn)品和其他防攻擊類產(chǎn)品等;而數(shù)據(jù)安全產(chǎn)品可分為密碼類產(chǎn)品、CA類產(chǎn)品和訪問控制類產(chǎn)品等。那么,這些產(chǎn)品的市場情況如何?有哪些品牌的產(chǎn)品?用戶如何選擇呢?
【編輯推薦】
