當前網絡主要安全技術簡介

　　在網絡安全領域，攻擊隨時可能發生，系統隨時可能崩潰，因此必須一年365天、一天24小時地監視網絡系統的狀態這些工作僅靠人工完成是不可能的,所以，必須借助先進的技術和工具來幫助企業完成如此繁重的勞動,下面給大家介紹一些網絡安全方面的內容。

　　計算機網絡的安全性主要包括網絡服務的可用性(Availability)、網絡信息的保密性(Confidentiality)和網絡信息的完整性(Intergrity)。下面把與之相關的幾個重要的網絡安全技術做一下介紹。

　　殺毒軟件

　　與一般單機的殺毒軟件相比，殺毒軟件的網絡版市場更多是技術及服務的競爭。其特點表現在：

　　首先，殺病毒技術的發展日益國際化。世界上每天有13種到50種新病毒出現，并且60%的病毒均通過Internet傳播，病毒發展有日益跨越疆界的趨勢，殺病毒企業的競爭也隨之日益國際化。

　　其次，殺毒軟件面臨多平臺的挑戰。一個好的企業級殺病毒軟件必須能夠支持所有主流平臺，并實現軟件安裝、升級、配置的中央管理及自動化，要達到這樣的要求需要大量工程師幾年的技術積累。

　　第三，殺毒軟件面臨著Internet的挑戰。好的企業級殺病毒軟件要保護企業所有的可能病毒入口，也就是說要支持所有企業可能用到的Internet協議及郵件系統，能適應并且及時跟上瞬息萬變的Internet時代步伐?，F今60%以上的病毒是通過Internet傳播，可以說Internet的防毒能力成為殺病毒軟件的關鍵技術，在這方面，國際的殺毒軟件如：Norton、McAfee、熊貓衛士走到了前面，它們均可以支持所有的Internet協議，辨識出其中病毒。

　　當前國內正從殺病毒軟件的單機應用逐步過渡到企業級的防護，企業防病毒軟件的市場無疑將越來越大。企業級用戶會更多考慮如何保護自身的數據、程序，對技術、服務和管理的要求比較高。國內大部分的殺毒軟件目前在價格和對本土病毒的查殺能力兩個方面存在著優勢，但在企業級的某些特殊性能上存在差距。例如管理方面，一個企業要管理1000臺機器，Norton的SRC有一臺管理器就可以處理，它可以自動分發，自動安裝到所有機器里，使管理人員節省很多時間，減少重復勞動。另外，企業級需要更安全的保護，現在政府上網、企業上網都會遇到很多國際病毒，國內部分廠商在這些方面尚待改進。

　　防火墻

　　網絡安全中系統安全產品使用最廣泛的技術就是防火墻技術，即在Internet和內部網絡之間設一個防火墻。目前在全球連入Internet的計算機中約有三分之一是處于防火墻保護之下。

　　對企業網絡用戶來說，如果決定設定防火墻，那么首先需要由網絡決策人員及網絡專家共同決定本網絡的安全策略，即確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過防火墻。防火墻的職責就是根據本單位的安全策略，對外部網絡與內部網絡之間交流的數據進行檢查，符合的予以放行，不符合的拒之門外。

　　防火墻的技術實現通常是基于所謂"包過濾"技術，而進行包過濾的標準通常就是根據安全策略制定的。在防火墻產品中，包過濾的標準一般是靠網絡管理員在防火墻設備的訪問控制清單中設定。訪問控制一般基于的標準有：包的源地址、包的目的地址、連接請求的方向(連入或連出)、數據包協議(如TCP/IP等)以及服務請求的類型(如ftp、www等)等。

　　除了基于硬件的包過濾技術，防火墻還可以利用代理服務器軟件實現。早期的防火墻主要起屏蔽主機和加強訪問控制的作用，現在的防火墻則逐漸集成了信息安全技術中的最新研究成果，一般都具有加密、解密和壓縮、解壓等功能，這些技術增加了信息在互聯網上的安全性?，F在，防火墻技術的研究已經成為網絡信息安全技術的主導研究方向。

　　當然，網絡的安全性通常是以網絡服務的開放性、便利性、靈活性為代價的，對防火墻的設置也不例外。防火墻的隔斷作用一方面加強了內部網絡的安全，一方面卻使內部網絡與外部網絡的信息系統交流受到阻礙，因此必須在防火墻上附加各種信息服務的代理軟件來代理內部網絡與外部的信息交流，這樣不僅增大了網絡管理開銷，而且減慢了信息傳遞速率。針對這個問題，近期，美國網屏(NetScreen)技術公司推出了第三代防火墻，其內置的專用ASIC處理器用于提供硬件的防火墻訪問策略和數據加密算法的處理，使防火墻的性能大大提高。

　　需要說明的是，并不是所有網絡用戶都需要安裝防火墻，一般而言，只有對個體網絡安全有特別要求，而又需要和Internet聯網的企業網、公司網，才建議使用防火墻。另外，防火墻只能阻截來自外部網絡的侵擾，而對于內部網絡的安全還需要通過對內部網絡的有效控制和管理來實現。

　　加密技術

　　網絡安全的另一個非常重要的手段就是加密技術，它的思想核心就是既然網絡本身并不安全可靠，那么所有重要信息就全部通過加密處理。加密的技術主要分兩種：

　　單匙技術

　　這種技術無論加密還是解密都是用同一把鑰匙(secretkey)。這是比較傳統的一種加密方法。發信人用某把鑰匙將某重要信息加密，通過網絡傳給收信人，收信人再用同一把鑰匙將加密后的信息解密。這種方法快捷簡便，即使傳輸信息的網絡不安全，被別人截走信息，加密后的信息也不易泄露。

　　但這種方法也存在一個問題，即如果收信者和發信者不在同一地理位置，那么他們必須確保有一個安全渠道來傳送加密鑰匙。但是如果確實存在這樣一個安全渠道(如通過信差、長途電話等等)，他們又何必需要加密呢?后來出現的雙匙技術解決了這個難題。

　　雙匙技術

　　此技術使用兩個相關互補的鑰匙：一個稱為公用鑰匙(publickey)，另一個稱為私人鑰匙(secretkey)。公用鑰匙是大家被告知的，而私人鑰匙則只有每個人自己知道。發信者需用收信人的公用鑰匙將重要信息加密，然后通過網絡傳給收信人。收信人再用自己的私人鑰匙將其解密。除了私人鑰匙的持有者，沒有人--即使是發信者--能夠將其解密。公用鑰匙是公開的，可以通過網絡告知發信人(即使網絡不安全)。而只知道公用鑰匙是無法導出私人鑰匙的?，F有軟件如Internet免費提供的PGP(PrettyGoodPrivacy)可直接實現這些功能。

　　加密技術主要有兩個用途，一是加密信息，正如上面介紹的;另一個是信息數字署名，即發信者用自己的私人鑰匙將信息加密，這就相當于在這條消息上署上了名。任何人只有用發信者的公用鑰匙，才能解開這條消息。這一方面可以證明這條信息確實是此發信者發出的，而且事后未經過他人的改動(因為只有發信者才知道自己的私人鑰匙);另一方面也確保發信者對自己發出的消息負責，消息一旦發出并署了名，他就無法再否認這一事實。

原文轉自：http://www.anti-gravitydesign.com