三种。
链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。
用户可根据网络情况选择上述三种加密方式。
信息加密过程是由形形色色的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。
在多数情况下,信息加密是保证信息机密性的唯一方法。
据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。
如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用 DES 或者 IDEA 来加密信息,而采用 RSA 来传递会话密钥。
如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特。
4.2.2 防火墙技术。
防火墙技术是设置在被保护网络和外界之间的一道屏障,是通过计算机硬件和软件的组合来建立起一个安全网关,从而保护内部网络免受非法用户的入侵,它可以通过鉴别、限制,更改跨越防火墙的数据流,来实何保证通信网络的安全对今后计算机通信网络的发展尤为重要。
现对网络的安全保护。
防火墙的组成可以表示为:防火墙 过滤器 安全策略 网关, 在 它是一种非常有效的网络安全技术。
Internet上,通过它来隔离风险区域与安全区域的连接,但不防碍人们对风险区域的访问。
防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。
根据防火墙所采用的技术不同我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和状态监测型。
包过滤型产品是防火墙的初级产品其技术依据是网络中的分包传输技术,工作在网络层。
网络上的数据都是以“包”为单位进行传输的数据被分割成为一定大小的数据包每一个数据包中都会包含一些特定信息如数据的源地址、目标地址、源端口和目标端口等。
防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点一旦发现来自危险站点的数据包防火墙便会将这些数据拒之门外。
但包过滤防火墙的缺点有三:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及 IP 的端口号都在数据包的头部,很有可能被窃听或假冒;三是无法执行某些安全策略。
网络地址转化—NAT。
“你不能攻击你看不见的东西”是网络地址转换的理论基础。
网络地址转换是一种用于把 IP 地址转换成临时的、外部的、注册的 IP 地址标准。
它允许具有私有 IP 地址的内部网络访问因特网。
当数据包流经网络时,NAT 将从发送端的数据包中移去专用的 IP 地址,并用一个伪 IP 地址代替。
NAT 软件保留专用 IP 地址和伪 IP 地址的一张地址映射表。
当一个数据包返回到 NAT 系统,这一过程将被逆转。
当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。
当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
如果黑客在网上捕获到这个数据包,他们也不能确定发送端的真实 IP 地址,从而无法攻击内部网络中的计算机。
NAT 技术也存在一些缺点,例如:木马程序可以通过 NAT 进行外部连接,穿透防火墙。
代理型防火墙也可以被称为代理服务器它的安全性要高于包过滤型产品 它分为应用层网关和电路层网关。
代理服务器位于客户机与服务器之间完全阻挡了二者间的数据交流。
从客户机来看代理服务器相当于一台真正的服务器而从服务器来看代理服务器又是一台真正的客户机。
当客户机需要使用服务器上的数据时首先将数据请求发给代理服务器代理服务器再根据这一请求向服务器索取数据 然后再由代理服务器将数据传输给客户机。
从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部结构的作用,这种防火墙是网络专家公的最安全的防火墙。
缺点是速度相对较慢。
监测型防火墙是新一代的产品这一技术实际已经超越了最初的防火墙定义。
它是由Check Point 软件技术有限公司率先提出的,也称为动态包过滤防火墙。
总的来说,具有:高安全性,高效性,可伸缩性和易扩展性。
实际上作为当前防火墙产品的主流趋势大多数代理服务器也集成了包过滤技术这两种技术的混合显然比单独使用具有更大的优势。
总的来说,网络的安全性通常是以网络服务的开放性和灵活性为代价的,防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。
除了使用了防火墙后技术,我们还使用了其他技术来加强安全保护,数据加密技术是保障信息安全的基石。
所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。
目前最常用的加密技术有对称加密技术和非对称加密技术。
对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样。
4.2.3 操作系统安全内核技术。
操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。
操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。
美国国防部技术标准把操作系统的安全等级分成了 D1、C1、C2、B1、B2、B3、A 级,其安全等级由低到高。
目前主要的操作系统的安全等级都是 C2 级其特征包括:①用户必须通过用户注册名和口令让系统识别;②系统可以根据用户注册名决定用户访问资源的权限;③系统可以对系统中发生的每一件事进行审核和记录;④可以创建其他具有系统管理权限的用户。
4.2.5 身份验证技术身份验证技术。
身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。
身份认证是系统查核用户身份证明的过程。
这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。
从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
为了使网络具有是否允许用户存取数据的判别能力,避免出现非法传送、复制或篡改数据等不安全现象,网络需要采用的识别技术。
常用的识别方法有口令、唯一标识符、标记识别等。
口令是最常用的识别用户的方法,通常是由计算机系统随机产生,不易猜测、保密性强,必要时,还可以随时更改,实行固定或不固定使用有效期制度,进一步提高网络使用的安全性;唯一标识符一般用于高度安全的网络系统,采用对存取控制和网络管理实行精确而唯一的标识用户的方法,每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字,且该数字在系统周期内不会被别的用户再度使用;标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式,一个标记是一个口令的物理实现,用它来代替系统打入一个口令。
一个用户必须具有一个卡片,但为了提高安全性,可以用于多个口令的使用。
4.2.6 网络防病毒技术。
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。
CIH 病毒及爱虫病毒就足以证明如
上一篇:
计算机本科毕业论文
下一篇:
商业银行发展绿色信贷业务的对策探讨