一个完整的信息安全体系通常包括:加密技术、防火墙技术、入侵检测技术、身份认证技术、系统容灾技术、安全审计技术及配套的管理策略。以下对加密技术、防火墙技术、入侵检测技术和身份认证进行介绍。
1.加密技术
一个加密系统一般需要包括以下四个组成部分:
(1)未加密的报文,称为明文;
(2)加密后的报文,称为密文;
(3)加密解密设备或算法;
(4)加密解密的密钥。
发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取信息,他只能得到无法理解的密文,由此可知加密技术对信息起到了保密作用。显然,加密系统中最核心的是加密算法。常见的加密算法可以分为对称加密算法、非对称加密算法和Hash算法3类。
2.防火墙技术
防火墙的本义原是指古代人们在房屋之间修建的那道墙,这道墙可以防止火灾发生时火焰蔓延到别的房屋。而防火墙技术是指隔离在内部网络与外界网络之间的一道防御系统的总称。防火墙可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问,它可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又能抵制对内部网络构成威胁的数据。
防火墙按照其形式可以分为软件防火墙(如常见的Windows自带防火墙)、硬件防火墙、芯片级防火墙等。按防火墙技术分类,其又可分为传统的包过滤防火墙和应用防火墙。包过滤防火墙主要是检查网络通信中的IP包,而应用防火墙及下一代防火墙,则可以根据各类状态综合判断某些网络通信是否正常,它比单纯的包过滤防火墙功能更强大。(www.xing528.com)
使用防火墙可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近用户的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此它更适合于相对独立的内部网络,它常部署于内部网络和外部网络接口之间,实际应用中它往往在对外部网络访问内部网络时做严格限制检查,但对于内部网络访问外部网络的限制较少,所以常常会出现防火墙“防外不防内”的现象,这方面需要通过管理手段来补充。
3.入侵检测技术
作为对防火墙技术的补充,入侵检测系统(Intrusion Detection System,IDS)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,它还可以和防火墙及路由器配合工作,用来检查一个内部网络上所有通信,记录和禁止网络活动,还可以通过重新配置来禁止从防火墙外部进入的恶意流量。
4.身份认证技术
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。身份认证往往涉及三个方面:认证、授权和审计。
(1)认证:在做任何动作之前必须要有方法来识别动作执行者的真实身份,认证又称为鉴别、确认。身份认证通过标识和鉴别用户的身份,防止攻击者假冒合法用户来获取访问权限。
(2)授权:授权是在确认用户的身份之后,赋予该用户进行文件和数据等操作的权限。
(3)审计:每一个人都应该为自己的操作负责,所以在做完事情后要留下记录,以便核查。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
