当前网络主要安全技术简介

　　在网络安全领域，攻击随时可能发生，系统随时可能崩溃，因此必须一年365天、一天24小时地监视网络系统的状态这些工作仅靠人工完成是不可能的,所以，必须借助先进的技术和工具来帮助企业完成如此繁重的劳动,下面给大家介绍一些网络安全方面的内容。

　　计算机网络的安全性主要包括网络服务的可用性(Availability)、网络信息的保密性(Confidentiality)和网络信息的完整性(Intergrity)。下面把与之相关的几个重要的网络安全技术做一下介绍。

　　杀毒软件

　　与一般单机的杀毒软件相比，杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在：

　　首先，杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现，并且60%的病毒均通过Internet传播，病毒发展有日益跨越疆界的趋势，杀病毒企业的竞争也随之日益国际化。

　　其次，杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台，并实现软件安装、升级、配置的中央管理及自动化，要达到这样的要求需要大量工程师几年的技术积累。

　　第三，杀毒软件面临着Internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口，也就是说要支持所有企业可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐。现今60%以上的病毒是通过Internet传播，可以说Internet的防毒能力成为杀病毒软件的关键技术，在这方面，国际的杀毒软件如：Norton、McAfee、熊猫卫士走到了前面，它们均可以支持所有的Internet协议，辨识出其中病毒。

　　当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护，企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序，对技术、服务和管理的要求比较高。国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势，但在企业级的某些特殊性能上存在差距。例如管理方面，一个企业要管理1000台机器，Norton的SRC有一台管理器就可以处理，它可以自动分发，自动安装到所有机器里，使管理人员节省很多时间，减少重复劳动。另外，企业级需要更安全的保护，现在政府上网、企业上网都会遇到很多国际病毒，国内部分厂商在这些方面尚待改进。

　　防火墙

　　网络安全中系统安全产品使用最广泛的技术就是防火墙技术，即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。

　　对企业网络用户来说，如果决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略，即确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络之间交流的数据进行检查，符合的予以放行，不符合的拒之门外。

　　防火墙的技术实现通常是基于所谓"包过滤"技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp、www等)等。

　　除了基于硬件的包过滤技术，防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用，现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。

　　当然，网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的，对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全，一方面却使内部网络与外部网络的信息系统交流受到阻碍，因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流，这样不仅增大了网络管理开销，而且减慢了信息传递速率。针对这个问题，近期，美国网屏(NetScreen)技术公司推出了第三代防火墙，其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理，使防火墙的性能大大提高。

　　需要说明的是，并不是所有网络用户都需要安装防火墙，一般而言，只有对个体网络安全有特别要求，而又需要和Internet联网的企业网、公司网，才建议使用防火墙。另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。

　　加密技术

　　网络安全的另一个非常重要的手段就是加密技术，它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息就全部通过加密处理。加密的技术主要分两种：

　　单匙技术

　　这种技术无论加密还是解密都是用同一把钥匙(secretkey)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密，通过网络传给收信人，收信人再用同一把钥匙将加密后的信息解密。这种方法快捷简便，即使传输信息的网络不安全，被别人截走信息，加密后的信息也不易泄露。

　　但这种方法也存在一个问题，即如果收信者和发信者不在同一地理位置，那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道(如通过信差、长途电话等等)，他们又何必需要加密呢?后来出现的双匙技术解决了这个难题。

　　双匙技术

　　此技术使用两个相关互补的钥匙：一个称为公用钥匙(publickey)，另一个称为私人钥匙(secretkey)。公用钥匙是大家被告知的，而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密，然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者，没有人--即使是发信者--能够将其解密。公用钥匙是公开的，可以通过网络告知发信人(即使网络不安全)。而只知道公用钥匙是无法导出私人钥匙的。现有软件如Internet免费提供的PGP(PrettyGoodPrivacy)可直接实现这些功能。

　　加密技术主要有两个用途，一是加密信息，正如上面介绍的;另一个是信息数字署名，即发信者用自己的私人钥匙将信息加密，这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙，才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的，而且事后未经过他人的改动(因为只有发信者才知道自己的私人钥匙);另一方面也确保发信者对自己发出的消息负责，消息一旦发出并署了名，他就无法再否认这一事实。

原文转自：http://www.ltesting.net