常用网络安全技术有些.doc

常用网络平安技术有些 　　互联网流行的如今，在方便群众的同时，也有很多损害群众的东西出现，比方木马病毒、黑客、恶意软件等等，那么，计算机是如何进展防范的呢?其实是运用了网络平安技术。在这里给大家介绍常见的网络平安技术，希望能让大家有所理解。 　　数据加密技术是最根本的网络平安技术，被誉为信息平安的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进展信息的存储或传输，即使加密信息在存储或者传输过程为非受权人员所获得，也可以保证这些信息不为其认知，从而到达保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。 　　计算机网络应用特别是电子商务应用的飞速开展，对数据完好性以及身份鉴定技术提出了新的要求，数字签名、身份认证就是为了适应这种需要在密码学中派生出来的新技术和新应用。数据传输的完好性通常通过数字签名的方式来实现，即数据的发送方在发送数据的同时利用单向的Hash函数或者其它信息文摘算法计算出所传输数据的消息文摘，并将该消息文摘作为数字签名随数据一同发送。接收方在收到数据的同时也收到该数据的数字签名，接收方使用一样的算法计算出接收到的数据的数字签名，并将该数字签名和接收到的数字签名进展比较，假设二者一样，那么说明数据在传输过程中未被修改，数据完好性得到了保证。常用的消息文摘算法包括SHA、MD4和MD5等。 　　根据密钥类型不同可以将现代密码技术分为两类：对称加密算法(私钥密码体系)和非对称加密算法(公钥密码体系)。在对称加密算法中，数据加密和解密采用的都是同一个密钥，因此其平安性依赖于所持有密钥的平安性。对称加密算法的主要优点是加密和解密速度快，加密强度高，且算法公开，但其最大的缺点是实现密钥的机密分发困难，在大量用户的情况下密钥管理复杂，而且无法完成身份认证等功能，不便于应用在网络开放的环境中。目前最著名的对称加密算法有数据加密标准DES和欧洲数据加密标准IDEA等。 　　在公钥密码体系中，数据加密和解密采用不同的密钥，而且用加密密钥加密的数据只有采用相应的解密密钥才能解密，更重要的是从加密密码来求解解密密钥在非常困难。在实际应用中，用户通常将密钥对中的加密密钥公开(称为公钥)，而机密持有解密密钥(称为私钥)。利用公钥体系可以方便地实现对用户的身份认证，也即用户在信息传输前首先用所持有的私钥对传输的信息进展加密，信息接收者在收到这些信息之后利用该用户向外公布的公钥进展解密，假设可以解开，说明信息确实为该用户所发送，这样就方便地实现了对信息发送方身份的鉴别和认证。在实际应用中通常将公钥密码体系和数字签名算法结合使用，在保证数据传输完好性的同时完成对用户的身份认证。 　　目前的公钥密码算法都是基于一些复杂的数学难题，例如目前广泛使用的RSA算法就是基于大整数因子分解这一著名的数学难题。目前常用的非对称加密算法包括整数因子分解(以RSA为代表)、椭园曲线离散对数和离散对数(以DSA为代表)。公钥密码体系的优点是能适应网络的开放性要求，密钥管理简单，并且可方便地实现数字签名和身份认证等功能，是目前电子商务等技术的核心根底。其缺点是算法复杂，加密数据的速度和效率较低。因此在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用DES或者IDEA等对称加密算法来进展大容量数据的加密，而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥，通过这种方法可以有效地进步加密的效率并能简化对密钥的管理。 　　尽管近年来各种网络平安技术在不断涌现，但到目前为止防火墙仍是网络系统平安保护中最常用的技术。据公安部计算机信息平安产品质量监视检验中心对2000年所检测的网络平安产品的统计，在数量方面，防火墙产品占第一位，其次为网络平安扫描和入侵检测产品。 　　防火墙系统是一种网络平安部件，它可以是硬件，也可以是软件，也可能是硬件和软件的结合，这种平安部件处于被保护网络和其它网络的边界，接收进出被保护网络的数据流，并根据防火墙所配置的访问控制策略进展过滤或作出其它操作，防火墙系统不仅可以保护网络资源不受外部的侵入，而且还可以拦截从被保护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Inter之间的隔离，也可用于内部网络不同网段的隔离，后者通常称为Intra防火墙。 　　目前的防火墙系统根据其实现的方式大致可分为两种，即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包，根据防火墙的访问控制策略对数据包进展过滤，只准许受权的数据包通行。防火墙管理员在配置防火墙时根据平安控制策略建立包过滤的准那么，也可以在建立防火墙之后，根据平安策略的变化对这些准那么进展相应的修改、增加或者删除。每条包过滤的准那么包括两个部分：执行动作和选择准那么，执行动作包括回绝和准许，分别表示回绝或者允许数据包通行;选择准那么包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准那么之后，防火墙在接收到一个数据包之后，就根据所建立的准那么，决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的平安访问控制策略。 　　应用层网关位于TCP/IP协议的应用层，实现对用户身份的验证，接收被保护网络和外部之间的数据流并对之进展检查。在防火墙技术中，应用层网关通常由代理效劳器来实现。通过代理效劳器访问Inter网络效劳的内部网络用户时，在访问Inter之前首先应到代理效劳器，代理效劳器对该用户进展身份验证检查，决定其是否允许访问Inter，假设验证通过，用户就可以到Inter上的远程效劳器。同样，从Inter到内部网络的数据流也由代理效劳器代为接收，在检查之后再发送到相应的用户。由于代理效劳器工作于Inter应用层，因此对不同的Inter效劳应有相应的代理效劳器，常见的代理效劳器有Web、Ftp、Tel代理等。除代理效劳器外，Socks效劳器也是一种应用层网关，通过定制客户端软件的方法来提供代理效劳。 　　防火墙通过上述方法，实现内部网络的访问控制及其它平安策略，从而降低内部网络的平安风险，保护内部网络的平安。但防火墙自身的特点，使其无法防止某些平安风险，例如网络内部的攻击，内部网络与Inter的直接连接等。由于防火墙处于被保护网络和外部的交界，网络内部的攻击并不通过防火墙，因此防火墙对这种攻击无能为力;而网络内部和外部的直接连接，如内部用户直接拨号连接到外部网络，也能越过防火墙而使防火墙失效。 　　网络平安扫描技术是为使系统管理员可以及时理解系统中存在的平安破绽，并采取相应防范措施，从而降低系统的平安风险而开展起来的一种平安技术。利用平安扫描技术，可以对局域网络、Web站点、主机、系统效劳以及防火墙系统的平安破绽进展扫描，系统管理员可以理解在运行的网络系统中存在的不平安的网络效劳，在操作系统上存在的可能导致遭受缓冲区溢出攻击或者回绝效劳攻击的平安破绽，还可以检测主机系统中是否被安装了程序，防火墙系统是否存在平安破绽和配置错误。 　　(1) 网络远程平安扫描 　　在早期的共享网络平安扫描软件中，有很多都是针对网络的远程平安扫描，这些扫描软件可以对远程主机的平安破绽进展检测并作一些初步的分析。但事实上，由于这些软件可以对平安破绽进展远程的扫描，因此也是网络攻击者进展攻击的有效工具，网络攻击者利用这些扫描软件对目的主机进展扫描，检测目的主机上可以利用的平安性弱点，并以此为根底施行网络攻击。这也从另一角度说明了网络平安扫描技术的重要性，网络管理员应该利用平安扫描软件这把"双刃剑"，及时发现网络破绽并在网络攻击者扫描和利用之前予以修补，从而进步网络的平安性。 　　(2) 防火墙系统扫描 　　防火墙系统是保证内部网络平安的一个很重要的平安部件，但由于防火墙系统配置复杂，很容易产生错误的配置，从而可能给内部网络留下平安破绽。此外，防火墙系统都是运行于特定的操作系统之上，操作系统潜在的平安破绽也可能给内部网络的平安造成威胁。为解决上述问题，防火墙平安扫描软件提供了对防火墙系统配置及其运行操作系统的平安检测，通常通过源端口、源路由、SOCKS和TCP系列号来猜测攻击等潜在的防火墙平安破绽，进展模拟测试来检查其配置的正确性，并通过模拟强力攻击、回绝效劳攻击等来测试操作系统的平安性。 　　(3) Web网站扫描 　　Web站点上运行的CGI程序的平安性是网络平安的重要威胁之一，此外Web效劳器上运行的其它一些应用程序、Web效劳器配置的错误、效劳器上运行的一些相关效劳以及操作系统存在的破绽都可能是Web站点存在的平安风险。Web站点平安扫描软件就是通过检测操作系统、Web效劳器的相关效劳、CGI等应用程序以及Web效劳器的配置，报告Web站点中的平安破绽并给出修补措施。Web站点管理员可以根据这些报告对站点的平安破绽进展修补从而进步Web站点的平安性。 　　(4) 系统平安扫描 　　系统平安扫描技术通过对目的主机的操作系统的配置进展检测，报告其平安破绽并给出一些建议或修补措施。与远程网络平安软件从外部对目的主机的各个端口进展平安扫描不同，系统平安扫描软件从主机系统内部对操作系统各个方面进展检测，因此很多系统扫描软件都需要其运行者具有超级用户的权限。系统平安扫描软件通常可以检查潜在的操作系统破绽、不正确的文件属性和权限设置、脆弱的用户口令、网络效劳配置错误、操作系统底层非受权的更改以及攻击者攻破系统的迹象等。