計算機網路安全技術簡稱網路安全技術,指致力於解決諸如如何有效進行介入控制,以及如何保證資料傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。
技術分類
虛擬網技術
虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連線的技術。因此,網管系統有能力限制區域網通訊的範圍而無需透過開銷很大的路由器。
防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路使用者以非法手段透過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯裝置.它對兩個或多個網路之間傳輸的資料包如連結方式按照一定的安全策略來實施檢查,以決定網路之間的通訊是否被允許,並監視網路執行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層閘道器(代理伺服器)以及電路層閘道器,遮蔽主機防火牆,雙宿主機等型別.
病毒防護技術
病毒歷來是資訊系統安全的主要問題之一。由於網路的廣泛互聯,病毒的傳播途徑和速度大大加快。
將病毒的途徑分為:
(1)透過FTP,電子郵件傳播。
(2)透過軟盤、光碟、磁帶傳播。
(3)透過Web遊覽傳播,主要是惡意的Java控制元件網站。
(4)透過群件系統傳播。
病毒防護的主要技術如下:
(1)阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2)檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3)病毒資料庫的升級。
病毒資料庫應不斷更新,並下發到桌面系統。
(4)在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體,禁止未經許可的控制元件下載和安裝。
入侵檢測技術
利用防火牆技術,經過仔細的配置,通常能夠在內網路之間提供安全的網路保護,降低了網路安全風險。但是,僅僅使用防火牆、網路安全還遠遠不夠:
(1)入侵者可尋找防火牆背後可能敞開的後門。
(2)入侵者可能就在防火牆內。
(3)由於效能的限制,防火牆通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術,目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連線等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊,其次它能夠縮短hacker入侵的時間。
入侵檢測系統可分為兩類:基於主機和基於網路的入侵檢測系統。
安全掃描技術
網路安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
認證和數字簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通訊過程中的不可抵賴要求的實現。
VPN技術
1、企業對VPN技術的需求
企業總部和各分支機構之間採用internet網路進行連線,由於internet是公用網路,因此,必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。
2、數字簽名
數字簽名作為驗證傳送者身份和訊息完整性的根據。公共金鑰系統(如RSA)基於私有/公共金鑰對,作為驗證傳送者身份和訊息完整性的根據。CA使用私有金鑰計算其數字簽名,利用CA提供的公共金鑰,任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。
3、IPSEC
IPSec作為在IPv4及IPv6上的加密通訊框架,已為大多數廠商所支援,預計在1998年將確定為IETF標準,是VPN實現的Internet標準。
IPSec主要提供IP網路層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式,AuthenticationHeader(AH)及encapsualtingsecuritypayload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行金鑰交換、管理及加密通訊協商(SecurityAssociation)。
計算機網路安全技術簡稱網路安全技術,指致力於解決諸如如何有效進行介入控制,以及如何保證資料傳輸的安全性的技術手段,主要包括物理安全分析技術,網路結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。
技術分類
虛擬網技術
虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連線的技術。因此,網管系統有能力限制區域網通訊的範圍而無需透過開銷很大的路由器。
防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路使用者以非法手段透過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯裝置.它對兩個或多個網路之間傳輸的資料包如連結方式按照一定的安全策略來實施檢查,以決定網路之間的通訊是否被允許,並監視網路執行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層閘道器(代理伺服器)以及電路層閘道器,遮蔽主機防火牆,雙宿主機等型別.
病毒防護技術
病毒歷來是資訊系統安全的主要問題之一。由於網路的廣泛互聯,病毒的傳播途徑和速度大大加快。
將病毒的途徑分為:
(1)透過FTP,電子郵件傳播。
(2)透過軟盤、光碟、磁帶傳播。
(3)透過Web遊覽傳播,主要是惡意的Java控制元件網站。
(4)透過群件系統傳播。
病毒防護的主要技術如下:
(1)阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2)檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3)病毒資料庫的升級。
病毒資料庫應不斷更新,並下發到桌面系統。
(4)在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體,禁止未經許可的控制元件下載和安裝。
入侵檢測技術
利用防火牆技術,經過仔細的配置,通常能夠在內網路之間提供安全的網路保護,降低了網路安全風險。但是,僅僅使用防火牆、網路安全還遠遠不夠:
(1)入侵者可尋找防火牆背後可能敞開的後門。
(2)入侵者可能就在防火牆內。
(3)由於效能的限制,防火牆通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術,目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連線等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊,其次它能夠縮短hacker入侵的時間。
入侵檢測系統可分為兩類:基於主機和基於網路的入侵檢測系統。
安全掃描技術
網路安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
認證和數字簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通訊過程中的不可抵賴要求的實現。
VPN技術
1、企業對VPN技術的需求
企業總部和各分支機構之間採用internet網路進行連線,由於internet是公用網路,因此,必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。
2、數字簽名
數字簽名作為驗證傳送者身份和訊息完整性的根據。公共金鑰系統(如RSA)基於私有/公共金鑰對,作為驗證傳送者身份和訊息完整性的根據。CA使用私有金鑰計算其數字簽名,利用CA提供的公共金鑰,任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。
3、IPSEC
IPSec作為在IPv4及IPv6上的加密通訊框架,已為大多數廠商所支援,預計在1998年將確定為IETF標準,是VPN實現的Internet標準。
IPSec主要提供IP網路層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式,AuthenticationHeader(AH)及encapsualtingsecuritypayload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行金鑰交換、管理及加密通訊協商(SecurityAssociation)。