网络信息安全常用技术

3.1.3　网络信息安全常用技术

通常保障网络信息安全的方法有两大类：以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。

（1）防火墙技术

防火墙是非常有效的网络安全模型，是将内部网络与外部网之间的访问进行全面控制的一种机制。防火墙一般是由一组设备构成，这些设备可能包括路由器、计算机等硬件，也可能包含有软件，或者同时包含硬件和软件，这些设备在物理上或逻辑上将内部网和外部隔离开来，使得外网和内网的所有网络通信必须经过防火墙，从而可以进行各种灵活的网络访问控制，对内部网进行尽可能的安全保障，提高内部网的安全性和健壮性。基本的防火墙技术主要包括数据包过滤、应用级代理、地址翻译和安全路由器技术等。根据网络安全需求不同，防火墙可以有多种不同的组成体系结构，比如双宿网关、屏蔽主机和屏蔽子网等。

防火墙技术是当前市场上最为流行的网络安全技术，多数情况下，防火墙已成为网络建设的一个基本配置。

（2）虚拟专用网（VPN）

因为建立局域网之间的专用网络的费用高、周期长，所以利用不可信的公网资源建立可信的虚拟专用网是保证局域网间通信安全的少数可行的方案之一。VPN的实现结构有LAN To LAN、LAN To PC和PC To LAN等几种，其中LAN代表局域网或局域网的网关，PC则表示主机或终端。VPN既可在TCP/IP协议族的链路层实现（比如L2F、PPTP等安全协议），也可在网络层实现（IPSec），其中更多情况下在网络层实现。IPSec是在网络层实现VPN的一组协议，它成了VPN实现的实际标准，许多开放操作系统已内置了IPSec协议。

虚拟专用网技术是最近几年才兴起的网络安全技术，这项技术在国内的应用也就是最近两三年的事情。随着企业网络用户的迅速增加，VPN技术有着广阔的应用前景。

（3）检测、扫描技术

检测和扫描一般是为了对付某种特别的网络安全威胁而提供的技术，但是随着互联网规模的扩大，形形色色网络威胁迅速增多，检测、扫描技术也有了很大的改进和提高，入侵检测系统（IDS）技术是其中较为集中的体现。一个完整的入侵检测系统包括数据源采集、检测策略和响应策略等几个功能模块，其中的数据源可以是系统日志、网络通信的数据包等。一个好的入侵检测系统应该是多种可能检测技术的优化组合。

计算机病毒是危害系统数据安全的一个重要方面，当前的反病毒技术基本上都基于对文件进行病毒特征码扫描，所以在此将反病毒技术归结为一类特殊的扫描技术。

随着网络的发展，技术的进步，网络安全面临的挑战也在增大。一方面，对网络的攻击方式层出不穷，攻击方式的增加意味着对网络威胁的增大；随着硬件技术和并行技术的发展，计算机的计算能力迅速提高，原来认为安全的加密方式有可能失效，如1994年4月26日，人们用计算机破译了RSA发明人17年前提出的数学难题：一个129位数字中包含的一条密语，而在问题提出时预测该问题用计算机需要850万年才能分解成功；针对安全通信措施的攻击也不断取得进展，如1990年6月20日美国科学家找到了155位大数因子的分解方法，使“美国的加密体制受到威胁”。另一方面，网络应用范围的不断扩大，使人们对网络依赖的程度增大，对网络的破坏造成的损失和混乱会比以往任何时候都大。这些网络信息安全保护提出了更高的要求，也使网络信息安全学科的地位越显得重要，网络信息安全必然随着网络应用的发展而不断发展。