當前網絡主要安全技術簡介(2)

　　如果既需要保密又希望署名，則可以將上面介紹的兩個步驟合并起來。即發信者先用自己的私人鑰匙署名再用收信者的公用鑰匙加密，再發給對方。反過來收信者只需用自己的私人鑰匙解密，再用發信者的公用鑰匙驗證簽名。這個過程說起來有些繁瑣，實際上很多軟件都可以只用一條命令實現這些功能，非常簡便易行。

　　在網絡傳輸中，加密技術是一種效率高而又靈活的安全手段，值得在企業網絡中加以推廣。目前，加密算法有多種，大多源于美國，但是大多受到美國出口管制法的限制?，F在金融系統和商界普遍使用的算法是美國數據加密標準DES。近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。

　　除了上面介紹的幾種之外，還有一些被廣泛應用的網絡安全技術，在此做一個簡單介紹。

　　身份驗證

　　身份驗證是一致性驗證的一種,驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據、驗證系統和安全要求。身份驗證技術是在計算機中最早應用的安全技術，現在也仍在廣泛應用，它是互聯網上信息安全的第一道屏障。

　　存取控制

　　存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網絡安全理論的重要方面,主要包括人員限制、數據標識、權限控制、類型控制和風險分析。存取控制也是最早采用的安全技術之一，它一般與身份驗證技術一起使用，賦予不同身份的用戶以不同的操作權限，以實現不同安全級別的信息分級管理。

　　數據完整性

　　完整性證明是在數據傳輸過程中，驗證收到的數據和原來數據之間保持完全一致的證明手段。檢查是最早采用數據完整性驗證的方法，它雖不能保證數據的完整性，只起到基本的驗證作用，但由于它的實現非常簡單(一般都由硬件實現)，現在仍廣泛應用于網絡數據的傳輸和保護中。近幾年來研究比較多的是數字簽名等算法，它們雖可以保證數據的完整性，但由于實現起來比較復雜，系統開銷比較大，一般只用于完整性要求較高的領域，特別是商業、金融業等領域。

　　安全協議

　　安全協議的建立和完善是安全保密系統走上規范化、標準化道路的基本因素。一個較為完善的內部網和安全保密系統,至少要實現加密機制、驗證機制和保護機制。

　　需要強調的是，網絡安全是一個系統工程，不是單一的產品或技術可以完全解決的。這是因為網絡安全包含多個層面，既有層次上的劃分、結構上的劃分，也有防范目標上的差別。在層次上涉及到網絡層的安全、傳輸層的安全、應用層的安全等;在結構上，不同節點考慮的安全是不同的;在目標上，有些系統專注于防范破壞性的攻擊，有些系統是用來檢查系統的安全漏洞，有些系統用來增強基本的安全環節(如審計)，有些系統解決信息的加密、認證問題，有些系統考慮的是防病毒的問題。任何一個產品不可能解決全部層面的問題，這與系統的復雜程度、運行的位置和層次都有很大關系，因而一個完整的安全體系應該是一個由具有分布性的多種安全技術或產品構成的復雜系統，既有技術的因素，也包含人的因素。用戶需要根據自己的實際情況選擇適合自己需求的技術和產品。

　　按照前面提到的計算機網絡的安全性內容，整個網絡安全產品可劃分為系統安全產品和數據安全產品。其中系統安全產品可分為防病毒類產品(殺毒軟件)、防火墻類產品和其他防攻擊類產品等;而數據安全產品可分為密碼類產品、CA類產品和訪問控制類產品等。那么，這些產品的市場情況如何?有哪些品牌的產品?用戶如何選擇呢?

原文轉自：http://www.anti-gravitydesign.com