网络安全技术和网络安全产品

网络安全技术主要指加密技术、防火墙技术、身份认证技术等，其涉及的网络安全产品主要为病毒防控产品。

1．密码与加密技术

加密技术是最基本的网络安全技术，被誉为信息安全的核心，而且融合到大部分安全产品中。计算机网络系统安全一般采用防火墙、病毒查杀、安全防范等被动措施，而数据安全则主要采用现代密码技术对数据进行主动防护，通过数据加密、消息摘要、数字签名及密钥交换等技术，实现数据保密性、数据完整性、不可否认性和用户身份真实性等安全机制，从而保证网络环境中信息传输和交换的安全性。

1）密码技术的基本概念

加密系统：加密和解密过程共同组成加密系统；

明文：加密系统中的原始数据称为明文（plaintext）；

密文：经过加密变换后而产生的数据称为密文（ciphertext）；

加密：由明文变为密文的过程称为加密（encryption），通常由加密算法来实现；

解密：将密文还原为原始明文的过程称为解密（decryption），它是加密的反向处理，通常由解密算法来实现。

图4-38所示为数据加密和解密的过程示意。

图4-38　数据加密和解密的过程示意

一个密码系统又由算法和密钥两个基本组件构成。密钥是一组二进制数，由进行密码通信的专人掌握，而算法则是公开的，任何人都可以获取使用。

密码技术包括密码算法设计、密码分析、安全协议、身份认证、消息确认、数字签名等多项技术。密码技术是保护大型传输网络系统上各种信息的唯一实现手段，是保障信息安全的核心技术，它不仅能够保证保密性信息的加密，而且还能够完成数字签名、身份验证、系统安全等功能。

2）常用加密技术

加密实际是对数据进行编码，使人无法看出其本来面目，以保护机密信息，也可以用于协助认证过程。常用的加密方法有对称加密、非对称加密和单项加密三种。

（1）对称加密技术

在对称加密方法中，用于加密和解密的密钥是相同的，接收者和发送者使用相同的密钥。图4-39所示为对称加密技术示意。

（2）非对称加密技术

非对称加密技术采用公开密钥加密体制，传输信息的每一方都有一对密钥，其中一个为公开的，一个为私有的。发送信息时用对方的公开密钥加密，收信者用自己的私用密钥进行解密。公开密钥加密算法的核心是运用一种特殊的数学函数——单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可行的。公开密钥加密技术不仅保证了安全性且易于管理，其不足之处是加密和解密的时间长。图4-40所示为非对称加密技术示意。

图4-39　对称加密技术示意

图4-40　非对称加密技术示意

（3）单项加密技术

单项加密技术也称哈希（Hash）加密，即利用一个含有Hash函数的哈希表，确定用于加密的十六进制数。对信息进行单向加密，在理论上是不可能解密的。哈希加密主要用于不想对信息解读和读取，而只需证实信息的正确性的场合。这种加密方式也适用于签名文件。

2．防火墙技术

防火墙是网络访问的控制设备，位于两个网络之间，通过执行访问策略来达到保证网络安全的目的。

1）防火墙的定义

防火墙是指设置在被保护网络（内联子网或局域网）与公共网络（如因特网）或其他网络之间并位于被保护网络边界的、对进出被保护网络信息实施“通过/阻断/丢失”控制的硬件、软件部件或系统。

图4-41所示为使用防火墙的典型企业网络拓扑。

2）防火墙的特点

（1）从内部到外部或从外部到内部的所有通信都必须通过防火墙；

（2）只有符合本地安全策略的通信才会被允许通过；

（3）防火墙本身是免疫的，不会被穿透。

图4-41　部署防火墙的企业网络拓扑

3）防火墙的功能

在计算机网络中，网络防火墙扮演着防备潜在恶意活动的屏障的角色，并可通过一个“门”来允许人们在安全网络和开放的不安全网络之间通信，其主要功能如下：

（1）强化网络安全策略。防火墙的主要意图是强制执行安全策略。通过以防火墙为中心的安全方案配置，能将所有的安全软件配置在防火墙上。

（2）创建一个阻塞点。防火墙在一个公司的内网和外网之间建立一个检查点，通过强制所有的进出流量都通过这个检查点，网络管理员可以集中在较少的地方来实现安全的目的。检查点的另一个名字是网络边界。

（3）有效记录和审计内、外网络之间的活动。防火墙还能够强制日志记录，并且提供报警功能。通过在防火墙上实现日志服务，安全管理员可以监视所有对外部网和互联网的访问。

（4）隔绝内、外网络。防火墙在网络周围创建了一个保护边界，通过隔离内、外网络，可以防止非法用户进入内部网络，通过认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量实行源检查，限制从外部发动的攻击。

4）防火墙的类型及相关产品

随着网络应用的普及，网络安全问题显得越来越重要，防火墙技术得到了飞速的发展。目前有几十家公司推出了功能不同的防火墙系统产品。

以防火墙的软、硬件形式来分，防火墙可以分为软件防火墙和硬件防火墙。

（1）软件防火墙：软件防火墙运行于特定的计算机上，它需要计算机操作系统的支持。软件防火墙需要先在计算机上安装好并作好配置才可以使用。其一般用于服务器和个人计算机，以防止来自网络的攻击，这种软件又称为“个人防火墙”。有些操作系统集成了简单的防火墙功能，如Windows XP、Windows Server 2003及后续的产品。

（2）硬件防火墙：硬件防火墙是一台简化的计算机与防火墙软件集成在一起的设备，是真正意义上的防火墙设备，目前大部分防火墙设备已经和路由器集成在一起，同时具有计算机、路由器、防火墙的功能，但价格不菲。

图4-42所示为企业级硬件防火墙设备。

3．身份认证与访问控制

身份认证和访问控制技术提供了对用户权限管理的依据，是网络安全的最基本要素，是用户登录网络时保证其使用和交易“门户”安全的首要条件。

图4-42　企业级硬件防火墙

1）身份认证的定义

身份认证（Identity and Authentication Management）是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。

身份认证的作用，就是确保用户身份的真实性、合法性和唯一性，防止非法人员进入系统，防止非法人员通过违法操作获取不正当利益、访问受控信息、恶意破坏系统数据的完整性的情况的发生。

2）身份认证技术方法

现在计算机及网络系统中常用的身份认证方式主要有以下几种：

（1）用户名/密码方式。

用户名/密码是最简单也是最常用的身份认证方法，每个用户的密码是由这个用户自己设定的，因此，只要能够正确输入密码，计算机就认为他就是这个用户。

（2）IC 卡认证。

IC卡是一种内置集成电路的卡片，卡片中存有与用户身份相关的数据，IC卡由专门的厂商通过专门的设备生产，可以认为是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。

（3）动态口令。

动态口令技术让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。它采用一种称为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。

（4）生物特征认证。

生物特征认证是指采用每个人独一无二的生命特征来验证用户身份的技术，常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的生理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。

（5）USB Key 认证。

基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、经济的身份认证技术，它采用软硬件相结合一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。

（6）CA认证。

CA（Certificate Authority）也叫“证书授权中心”，是国际认证授权机构的统称，它是负责发放、管理和取消数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合性检验的责任。

CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用就是证明证书中所列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它保证用户在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性。

3）访问控制技术

访问控制（Access Control）是指对网络中的某些资源访问进行的控制，是在保障授权用户能够获得所需资源的同时拒绝非授权用户的安全机制。访问控制的目的是限制访问主体（用户、进程等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用。它决定用户能做什么，也决定代表一定用户利益的程序能做什么。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问，是实现数据保密性和完整性机制的主要手段。访问控制是对信息资源进行保护的重要措施，也是计算机系统中最重要和最基础的安全机制。

访问控制包括认证、控制策略实现和安全审计3个内容。

（1）认证。认证包括主体对客体的识别认证和客体对主体的检验认证。

（2）控制策略实现。控制策略设定规则集合从而确保正常用户对信息资源的合法使用。既要防止非法用户，也要考虑敏感资源的泄露，对于合法用户而言，更不能越权行使控制策略所赋予其权利以外的功能。

（3）安全审计。安全审计是对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查，它是网络用户对网络系统中的安全设备、网络设备、应用系统及系统运行状况进行全面的监测、分析、评估，以保障网络安全的重要手段。

4．网络病毒防治技术

1）病毒的概念

计算机病毒，英文名字为Computer Viruses，简称CV。

目前对于计算机病毒最流行的定义是：一段附着在其他程序上的可以实现自我繁殖的程序代码。

2）计算机病毒的危害

计算机病毒能将自身传染给其他程序，并能破坏计算机系统的正常工作，如系统不能正常引导，程序不能正常执行，文件莫名其妙地丢失，计算机经常死机、蓝屏等。

计算机病毒一般具有破坏性、隐蔽性、潜伏性

3）计算机病毒的防治

就目前的技术而言，还没有一个万全的方法来防治计算机病毒。除了培养计算机使用者的个人安全意识和良好的用机习惯以外，主要是使用防病毒及杀毒软件来进行计算机病毒的防治。