互聯網流行的現在,在方便大眾的同時,也有很多損害大眾的東西出現,比如木馬病毒、黑客、惡意軟件等等,那麼,計算機是如何進行防范的呢?其實是運用了網絡安全技術。學習啦小編在這裡給大家介紹常見的網絡安全技術,希望能讓大家有所了解。
1、數據加密技術
數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用於保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然後再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決於所采用的密碼算法和密鑰長度。
計算機網絡應用特別是電子商務應用的飛速發展,對數據完整性以及身份鑒定技術提出了新的要求,數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。數據傳輸的完整性通常通過數字簽名的方式來實現,即數據的發送方在發送數據的同時利用單向的Hash函數或者其它信息文摘算法計算出所傳輸數據的消息文摘,並將該消息文摘作為數字簽名隨數據一同發送。接收方在收到數據的同時也收到該數據的數字簽名,接收方使用相同的算法計算出接收到的數據的數字簽名,並將該數字簽名和接收到的數字簽名進行比較,若二者相同,則說明數據在傳輸過程中未被修改,數據完整性得到了保證。常用的消息文摘算法包括SHA、MD4和MD5等。
根據密鑰類型不同可以將現代密碼技術分為兩類:對稱加密算法(私鑰密碼體系)和非對稱加密算法(公鑰密碼體系)。在對稱加密算法中,數據加密和解密采用的都是同一個密鑰,因而其安全性依賴於所持有密鑰的安全性。對稱加密算法的主要優點是加密和解密速度快,加密強度高,且算法公開,但其最大的缺點是實現密鑰的秘密分發困難,在大量用戶的情況下密鑰管理復雜,而且無法完成身份認證等功能,不便於應用在網絡開放的環境中。目前最著名的對稱加密算法有數據加密標准DES和歐洲數據加密標准IDEA等。
在公鑰密碼體系中,數據加密和解密采用不同的密鑰,而且用加密密鑰加密的數據只有采用相應的解密密鑰才能解密,更重要的是從加密密碼來求解解密密鑰在十分困難。在實際應用中,用戶通常將密鑰對中的加密密鑰公開(稱為公鑰),而秘密持有解密密鑰(稱為私鑰)。利用公鑰體系可以方便地實現對用戶的身份認證,也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密,信息接收者在收到這些信息之後利用該用戶向外公布的公鑰進行解密,如果能夠解開,說明信息確實為該用戶所發送,這樣就方便地實現了對信息發送方身份的鑒別和認證。在實際應用中通常將公鑰密碼體系和數字簽名算法結合使用,在保證數據傳輸完整性的同時完成對用戶的身份認證。
目前的公鑰密碼算法都是基於一些復雜的數學難題,例如目前廣泛使用的RSA算法就是基於大整數因子分解這一著名的數學難題。目前常用的非對稱加密算法包括整數因子分解(以RSA為代表)、橢園曲線離散對數和離散對數(以DSA為代表)。公鑰密碼體系的優點是能適應網絡的開放性要求,密鑰管理簡單,並且可方便地實現數字簽名和身份認證等功能,是目前電子商務等技術的核心基礎。其缺點是算法復雜,加密數據的速度和效率較低。因此在實際應用中,通常將對稱加密算法和非對稱加密算法結合使用,利用DES或者IDEA等對稱加密算法來進行大容量數據的加密,而采用RSA等非對稱加密算法來傳遞對稱加密算法所使用的密鑰,通過這種方法可以有效地提高加密的效率並能簡化對密鑰的管理。
2、防火牆技術
盡管近年來各種網絡安全技術在不斷湧現,但到目前為止防火牆仍是網絡系統安全保護中最常用的技術。據公安部計算機信息安全產品質量監督檢驗中心對2000年所檢測的網絡安全產品的統計,在數量方面,防火牆產品占第一位,其次為網絡安全掃描和入侵檢測產品。
防火牆系統是一種網絡安全部件,它可以是硬件,也可以是軟件,也可能是硬件和軟件的結合,這種安全部件處於被保護網絡和其它網絡的邊界,接收進出被保護網絡的數據流,並根據防火牆所配置的訪問控制策略進行過濾或作出其它操作,防火牆系統不僅能夠保護網絡資源不受外部的侵入,而且還能夠攔截從被保護網絡向外傳送有價值的信息。防火牆系統可以用於內部網絡與Internet之間的隔離,也可用於內部網絡不同網段的隔離,後者通常稱為Intranet防火牆。
目前的防火牆系統根據其實現的方式大致可分為兩種,即包過濾防火牆和應用層網關。包過濾防火牆的主要功能是接收被保護網絡和外部網絡之間的數據包,根據防火牆的訪問控制策略對數據包進行過濾,只准許授權的數據包通行。防火牆管理員在配置防火牆時根據安全控制策略建立包過濾的准則,也可以在建立防火牆之後,根據安全策略的變化對這些准則進行相應的修改、增加或者刪除。每條包過濾的准則包括兩個部分:執行動作和選擇准則,執行動作包括拒絕和准許,分別表示拒絕或者允許數據包通行;選擇准則包括數據包的源地址和目的地址、源端口和目的端口、協議和傳輸方向等。建立包過濾准則之後,防火牆在接收到一個數據包之後,就根據所建立的准則,決定丟棄或者繼續傳送該數據包。這樣就通過包過濾實現了防火牆的安全訪問控制策略。
應用層網關位於TCP/IP協議的應用層,實現對用戶身份的驗證,接收被保護網絡和外部之間的數據流並對之進行檢查。在防火牆技術中,應用層網關通常由代理服務器來實現。通過代理服務器訪問Internet網絡服務的內部網絡用戶時,在訪問Internet之前首先應登錄到代理服務器,代理服務器對該用戶進行身份驗證檢查,決定其是否允許訪問Internet,如果驗證通過,用戶就可以登錄到Internet上的遠程服務器。同樣,從Internet到內部網絡的數據流也由代理服務器代為接收,在檢查之後再發送到相應的用戶。由於代理服務器工作於Internet應用層,因此對不同的Internet服務應有相應的代理服務器,常見的代理服務器有Web、Ftp、Telnet代理等。除代理服務器外,Socks服務器也是一種應用層網關,通過定制客戶端軟件的方法來提供代理服務。
防火牆通過上述方法,實現內部網絡的訪問控制及其它安全策略,從而降低內部網絡的安全風險,保護內部網絡的安全。但防火牆自身的特點,使其無法避免某些安全風險,例如網絡內部的攻擊,內部網絡與Internet的直接連接等。由於防火牆處於被保護網絡和外部的交界,網絡內部的攻擊並不通過防火牆,因而防火牆對這種攻擊無能為力;而網絡內部和外部的直接連接,如內部用戶直接撥號連接到外部網絡,也能越過防火牆而使防火牆失效。
3、網絡安全掃描技術
網絡安全掃描技術是為使系統管理員能夠及時了解系統中存在的安全漏洞,並采取相應防范措施,從而降低系統的安全風險而發展起來的一種安全技術。利用安全掃描技術,可以對局域網絡、Web站點、主機操作系統、系統服務以及防火牆系統的安全漏洞進行掃描,系統管理員可以了解在運行的網絡系統中存在的不安全的網絡服務,在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序,防火牆系統是否存在安全漏洞和配置錯誤。
(1) 網絡遠程安全掃描
在早期的共享網絡安全掃描軟件中,有很多都是針對網絡的遠程安全掃描,這些掃描軟件能夠對遠程主機的安全漏洞進行檢測並作一些初步的分析。但事實上,由於這些軟件能夠對安全漏洞進行遠程的掃描,因而也是網絡攻擊者進行攻擊的有效工具,網絡攻擊者利用這些掃描軟件對目標主機進行掃描,檢測目標主機上可以利用的安全性弱點,並以此為基礎實施網絡攻擊。這也從另一角度說明了網絡安全掃描技術的重要性,網絡管理員應該利用安全掃描軟件這把"雙刃劍",及時發現網絡漏洞並在網絡攻擊者掃描和利用之前予以修補,從而提高網絡的安全性。
(2) 防火牆系統掃描
防火牆系統是保證內部網絡安全的一個很重要的安全部件,但由於防火牆系統配置復雜,很容易產生錯誤的配置,從而可能給內部網絡留下安全漏洞。此外,防火牆系統都是運行於特定的操作系統之上,操作系統潛在的安全漏洞也可能給內部網絡的安全造成威脅。為解決上述問題,防火牆安全掃描軟件提供了對防火牆系統配置及其運行操作系統的安全檢測,通常通過源端口、源路由、SOCKS和TCP系列號來猜測攻擊等潛在的防火牆安全漏洞,進行模擬測試來檢查其配置的正確性,並通過模擬強力攻擊、拒絕服務攻擊等來測試操作系統的安全性。
(3) Web網站掃描
Web站點上運行的CGI程序的安全性是網絡安全的重要威脅之一,此外Web服務器上運行的其它一些應用程序、Web服務器配置的錯誤、服務器上運行的一些相關服務以及操作系統存在的漏洞都可能是Web站點存在的安全風險。Web站點安全掃描軟件就是通過檢測操作系統、Web服務器的相關服務、CGI等應用程序以及Web服務器的配置,報告Web站點中的安全漏洞並給出修補措施。Web站點管理員可以根據這些報告對站點的安全漏洞進行修補從而提高Web站點的安全性。