網絡安全是在攻擊與防御的技術和力量此消彼長中的一個動態過程����。綜上分析����,當前的網絡安全具有很多新的特點���,網絡安全的整體狀況不容樂觀��,網絡安全需要尋找更好的解決之道���。
1.加密機制
數據加密技術就是對信息進行重新編碼����,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段�����。數據加密技術是為提高信息系統及數據的安全性和保密性����,防止秘密數據被外部破析所采用的主要手段之一。數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄露�。加密算法一般分為單密鑰系統和公開密鑰系統���。
2.VPN技術
利用公共網絡實現的專用網絡稱為虛擬專用網(VPN)���。IPSec主要提供IP網絡層上的加密通信能力���。如為每個IP包增加了新的包頭格式,AuthenticationHeader(AH)及EncapsualtingSecurityPayload(ESP)„IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換����。
3.認證與數字簽名機制
認證技術主要解決網絡通信過程中通信雙方的身份認可.數字簽名作為身份認證技術中的一種具體技術�,同時數字簽名還可用于通信過程中的不可抵賴要求的實現��。數字簽名機制由兩個過程組成:對信息進行簽字的過程和對已簽字的信息進行證實的過程���。前者要使用簽字者的私有信息(如私有密鑰)���;后者使用公開的信息(如公開密鑰)和過程�,以鑒定簽字是否由簽字者的私有信息產生�����。數字簽名機制必須保證簽字只能由簽字者的私有信息產生���。
4.訪問控制機制
訪問控制機制根據實體的身份及其有關信息��,來決定該實體的訪問權限。訪問控制機制的實現?;诓捎靡韵履骋换蚰硯讉€措施:訪問控制信息庫�、認證信息(如口令)����、安全標簽等。
5.防火墻(FireWall)技術
防火墻技術是指網絡之間通過預定義的安全策略����,對內外網通信實施訪問控制的安全應用措施��。它的職責就是根據本單位的安全策略.對外部網絡與內部網絡交流的數據進行
檢查.符合的通過,不符合的拒絕����。由于它簡單實用且透明度高���,可以在不修改原有網絡應用系統的情況下�,達到一定的安全要求��,所以被廣泛使用。防火墻技術有包過濾技術(網絡層)和代理服務技術(應用層)。
需要說明的是��,防火墻只能抵御來自外部網絡的侵擾.而對企業內部網絡的安全卻無能為力�,不能防止來自內部變節者和不經心的用戶們帶來的威脅。要保證企業內部網的安全,還需通過對內部網絡的有效控制和管理來實現。雖然防火墻是保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其他途徑的攻擊,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊�����。目前多種防火墻產品正朝著數據安全與用戶認證��、防止病毒與黑客侵入等方向發展����。
6.入侵檢測與安全審計
系統入侵檢測系統是近年出現的新型網絡安全技術�����,目的是提供實時的入侵檢測及采取相應的防護手段����。入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊�����,擴展了系統管理員的安全管理能力(包括安全審計�����、監視�����、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息�,并分析這些信息�����,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門��,在不影響網絡性能的情況下能對網絡進行監測�����,入侵檢測作為一種積極主動的安全防護技術��,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵�。
信息安全審計的主要依據為信息安全管理相關的標準�����。基于這些控制體系可以有效地控制信息安全風險,從而達到信息安全審計的目的����,提高信息系統的安全性���。目前通過推進1SO27001安全標準來降低信息安全風險����。例如���,對相對松散的IT管理流程轉化為集中管理模式����,由IT部門統一控制����。再如,在客戶端的管理上��,采用了“瘦客戶端”理念一員工對自己的電腦只有使用權����,沒有管理權。
