浅析现代网络安全技术

    二十一世纪是信息化的时代，由于科学技术高速发展，互联网已经成为人们生活，工作中不可缺少的东西。网络在世界范围内迅速普及，信息传递主要通过网络来实现，其安全受到了极大的挑战，如盗取用户的帐户、密码和资料，入侵数据库，篡改数据库内容，伪造用户身份，制造计算机病毒牟取利益，网络用户的利益受到了严重的威胁和损害．网络安全问题日益受到世界范围内的关注。信息安全，是指对信息的保密性、完整性和可用性的保护。安全是网络赖以生存的基础，只有安全得到保障，网络的各种功能才能得以不断发展和进步。影响安全要素很多，有主动的也有被动的，本文主要介绍网络安全的几种主要常用技术。

    1 加密技术

    加密技术，它是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。加密就是通过一种方式使信息变得混乱。加密类型主要有两种：私钥加密和公钥加密。私钥加密又称对称密钥加密，因为用来加密信息的密钥就是解密信息所使用的密钥。私钥加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密钥的任何人都可以创建、加密和发送一条有效的消息。这种加密方法的速度很快，很容易在硬件和软件件中实现，DES是一种对二元数据进行加密的算法，DES算法的弱点是不能提供足够的安全性，因为其密钥容量只有56位。由于这个原因，后来又提出了三重DES或3DES系统，使用3个不同的密钥对数据块进行两次或)三次加密，该方法比进行普通加密的三次块。其强度大约和l12比特的密钥强度相当；公钥加密使用两个密钥，一个用于加密信息，另一个用于解密信息。

    例如RSA算法既能用于数据加密，也能用于数字签名，RSA的理论依据为：寻找两个大素数比较简单，而将它们的乘积分解开则异常困难。在RSA算法中，包含两个密钥，加密密钥PK，和解密密钥SK，加密密钥是公开的。RSA算法的优点是密钥空间大，缺点是加密速度慢，如果RSA和DES结合使用，则正好弥补RSA的缺点。即DES用于明文加密，RSA用于DES密钥的加密。数据的加密技术通常是运用密钥对数据进行加密，这就涉及了一个密钥的管理方面，因为用加密软件进行加密时所用的密钥通常不是我们平常所用的密码那么仅几位，至多十几位数字或字母，一般情况这种密钥达64bit，有的达128bit，我们一般不可能完全用脑来记住这些密钥，只能保存在一个安全的地方。密钥的保存媒体通常有：磁卡、磁带、磁盘、半导体存储器等，但这些都可能有损坏或丢失的危险，所以现在的主流加密软件都采取第三方认证或采用随机密钥来弥补人们记忆上的不足，还是如PGP加密软件，不过现在的WIN2K系统以及其它一些加密软件都在慢慢地往这个方向发展。

    2 防火墙技术

    防火墙是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵人，它其实就是一个把互联网与内部网隔开的屏障。防火墙如果从实现方式上来分，又分为硬件防火墙和软件防火墙两类，硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好；软件防火墙它是通过纯软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型、NAT(网络地址转换)、应用程序代理型和状态，动态检测防火墙。包过滤防火墙。

    第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。包过滤防火墙检查每一个传人包，查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后，将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传人Web连接，而目的端口为80，则包就会被放行。多个复杂规则的组合也是可行的。如果允许web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。应用程序代理防火墙。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。代理防火墙通常支持的一些常见的应用程序有：HTTP、HTTPS／SSL、SMTP、POP3、IMAP、NNTP、TELNET、FrP、IRC等。NAT．网络地址转换。讨论到防火墙的主题，就一定要提到有一种路由器，尽管从技术上讲它根本不是防火墙。

    网络地址转换(NAT)协议将内部网络的多个 地址转换到一个公共地址发到Intemet上。NAT经常用于小型办公室、家庭等网络，多个用户分享单一的IP地址，并为Intenet连接提供一些安全机制。当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址，然后再打开连接。一旦建立了连接，在内部计算机和web站点之间来回流动的通信就都是透明的了。当从公共网络传来一个未经请求的传人连接时，NAT有一套规则来决定如何处理它。如果没有事先定义好的规则，NAT只是简单的丢弃所有未经请求的传人连接，就像包过滤防火墙所做的那样。状态，动态检测防火墙。状态，动态检测防火墙是新一代的产品，它能够对各层的数据进行主动地、实时的检测，在对这些数据加以分析的基础上，它能够有效的判断出各层中的非法侵入。同时，这种防火墙还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够监测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。

    3 智能卡技术

    智能卡技术就是与数据加密技术紧密相关的另一项技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。这种技术比较常见，也用得较为广泛，如我们常用的IC卡、银行取款卡、智能门锁卡等等。

    4 结论

    现有的安全技术都所提供的安全保护都是相对的，我们不可能寄希望有了这种种安全措施之后就能保证网络万无一失，任何网络安全和数据保护的防范措施是有一定的限度。一个内部网是否安全，不仅要考察其手段，更重要的是要看对该网络所采取的各种措施的综合性，这就是在所采取的手段中所包含的不仅是物理防范，还有人员的素质等其它“软”因素，进行综合评估，从而得出是否安全的结论。在了解了网络的安全隐患后，我们必须提高安全意识。主动防御是安全领域技术发展的趋势。网络安全主动防御技术就是在增强和保本地网络安全性的同时，及时发现正在进行的网络攻击，预测和识别未知攻击。
 
    (文/陕西城市经济学校，任智鹏)