網(wǎng)絡(luò)安全是在攻擊與防御的技術(shù)和力量此消彼長中的一個動態(tài)過程����。綜上分析,當(dāng)前的網(wǎng)絡(luò)安全具有很多新的特點(diǎn)�,網(wǎng)絡(luò)安全的整體狀況不容樂觀,網(wǎng)絡(luò)安全需要尋找更好的解決之道��。
1.加密機(jī)制
數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼����,從而隱藏信息內(nèi)容,使非法用戶無法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段����。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一�。數(shù)據(jù)加密技術(shù)主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性,能夠有效地防止機(jī)密信息的泄露。加密算法一般分為單密鑰系統(tǒng)和公開密鑰系統(tǒng)����。
2.VPN技術(shù)
利用公共網(wǎng)絡(luò)實(shí)現(xiàn)的專用網(wǎng)絡(luò)稱為虛擬專用網(wǎng)(VPN)。IPSec主要提供IP網(wǎng)絡(luò)層上的加密通信能力��。如為每個IP包增加了新的包頭格式,AuthenticationHeader(AH)及EncapsualtingSecurityPayload(ESP)„IPsec使用ISAKMP/Oakley及SKIP進(jìn)行密鑰交換�����。
3.認(rèn)證與數(shù)字簽名機(jī)制
認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通信過程中通信雙方的身份認(rèn)可.數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)�����,同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實(shí)現(xiàn)�。數(shù)字簽名機(jī)制由兩個過程組成:對信息進(jìn)行簽字的過程和對已簽字的信息進(jìn)行證實(shí)的過程。前者要使用簽字者的私有信息(如私有密鑰)�;后者使用公開的信息(如公開密鑰)和過程,以鑒定簽字是否由簽字者的私有信息產(chǎn)生�。數(shù)字簽名機(jī)制必須保證簽字只能由簽字者的私有信息產(chǎn)生���。
4.訪問控制機(jī)制
訪問控制機(jī)制根據(jù)實(shí)體的身份及其有關(guān)信息�,來決定該實(shí)體的訪問權(quán)限�。訪問控制機(jī)制的實(shí)現(xiàn)常基于采用以下某一或某幾個措施:訪問控制信息庫、認(rèn)證信息(如口令)����、安全標(biāo)簽等。
5.防火墻(FireWall)技術(shù)
防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略���,對內(nèi)外網(wǎng)通信實(shí)施訪問控制的安全應(yīng)用措施�����。它的職責(zé)就是根據(jù)本單位的安全策略.對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行
檢查.符合的通過�,不符合的拒絕�。由于它簡單實(shí)用且透明度高,可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下��,達(dá)到一定的安全要求��,所以被廣泛使用����。防火墻技術(shù)有包過濾技術(shù)(網(wǎng)絡(luò)層)和代理服務(wù)技術(shù)(應(yīng)用層)。
需要說明的是�,防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_.而對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅����。要保證企業(yè)內(nèi)部網(wǎng)的安全,還需通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實(shí)現(xiàn)�。雖然防火墻是保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段�,但也有明顯不足:無法防范通過防火墻以外的其他途徑的攻擊,也不能完全防止傳送已感染病毒的軟件或文件�����,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊���。目前多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證�、防止病毒與黑客侵入等方向發(fā)展��。
6.入侵檢測與安全審計
系統(tǒng)入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)��,目的是提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段��。入侵檢測是防火墻的合理補(bǔ)充�,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計���、監(jiān)視����、進(jìn)攻識別和響應(yīng))����,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息�,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象��。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門��,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測��,入侵檢測作為一種積極主動的安全防護(hù)技術(shù)���,提供了對內(nèi)部攻擊����、外部攻擊和誤操作的實(shí)時保護(hù)���,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵����。
信息安全審計的主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn)�����。基于這些控制體系可以有效地控制信息安全風(fēng)險���,從而達(dá)到信息安全審計的目的�����,提高信息系統(tǒng)的安全性�����。目前通過推進(jìn)1SO27001安全標(biāo)準(zhǔn)來降低信息安全風(fēng)險����。例如��,對相對松散的IT管理流程轉(zhuǎn)化為集中管理模式���,由IT部門統(tǒng)一控制����。再如��,在客戶端的管理上,采用了“瘦客戶端”理念一員工對自己的電腦只有使用權(quán)�,沒有管理權(quán)�。
