[摘要]本文針對網絡安全的三種技術方式進行說明,比較各種方式的特色以及可能帶來的安全風險或效能損失,並就資訊交換加密技術的分類作以分析,針對PKI技術這一資訊安全核心技術,論述了其安全體系的構成。
[關鍵詞]網絡安全 防火牆 加密技術 PKI技術
隨着計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量資訊的同時,網絡的開放性和自由性也產生了私有資訊和數據被破壞或侵犯的可能性,網絡資訊的安全性變得日益重要起來,已被資訊社會的各個領域所重視。
計算機網絡安全從技術上來說,主要由防病毒、防火牆等多個安全組件組成,一個單獨的組件無法確保網絡資訊的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火牆技術、數據加密技術、PKI技術等,以下就此幾項技術分別進行分析。
一、防火牆技術
防火牆是指一個由軟件或和硬件設備組合而成,處於企業或網絡羣體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火牆是網絡安全的屏障,配置防火牆是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之後,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火牆技術完成。防火牆能極大地提高一個內部網絡的安全性,並透過過濾不安全的服務而降低風險。透過以防火牆爲中心的安全方案配置,能將所有安全軟件配置在防火牆上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並做出日誌記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網絡是否受到監測和攻擊的詳細資訊。再次防止內部資訊的外泄。利用防火牆對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
二、數據加密技術
與防火牆相比,數據加密技術比較靈活,更加適用於開放的網絡。數據加密主要用於對動態資訊的保護,對動態數據的攻擊分爲主動攻擊和被動攻擊。對於主動攻擊,雖無法避免,但卻可以有效地檢測;而對於被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分爲兩類:即對稱加密和非對稱加密。
1.對稱加密技術
對稱加密是常規的以口令爲基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,資訊交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。目前,廣爲採用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解爲一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作爲公開密鑰透過非保密方式向他人公開,而另一把作爲私有密鑰加以儲存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公佈,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等資訊交換領域。
三、PKI技術
PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是資訊安全技術的核心,也是電子商務的關鍵和基礎技術。由於透過網絡進行的`電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關係變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。
1.認證機構