构建安全网络的基本技术

网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段及其他的安全服务和安全机制策略。目前主要有以下几种安全技术。

1.数据加密技术

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。所谓数据加密技术是指将一个信息（或称明文）经过加密密钥及加密函数转换，变成无意义的密文。而接收方则将此密文经过解密函数、解密密钥还原成明文。在信息传输过程中，发送方先用加密密钥，通过加密设备或算法，将信息加密后发送出去，接收方在收到密文后，用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，也只能得到无法理解的密文，从而对信息起到保密作用。

数据加密技术实现的根基是密码算法。密码算法的安全强度决定了加密技术使用的安全性。目前密码算法主要分为对称密钥体制和非对称密码体制，著名的密码算法有DES、RSA等。

2.数字认证技术

数字认证证书是以数字证书为核心的加密技术，可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的安全性、完整性。使用了数字证书，即使用户发送的信息在网上被他人截获，甚至丢失了个人的账户、密码等信息，仍可以保证账户、资金安全。数字认证技术解决了保密性、认证性、完整性和不可抵赖性等几个关键安全问题。

1）PKI。PKI（Public Key Infrastructure，公钥基础设施）是一种基于加密技术的安全认证机制。PKI能够解决安全隐私系统和数据的问题，可以用于网络安全和保护数据。它基于一种非对称密钥的密码理论。用户利用PKI平台提供的安全服务进行安全通信，网上进行的任何需要安全服务的通信都建立在公钥的基础之上，而与公钥相对的私钥只掌握在他们与之通信的另一方，通过数字签名和电子（数字）证书的使用，确保传输的电子文件的完整性、真实性和不可抵赖性。

2）身份认证技术。身份认证是通过建立身份认证系统可实现网络用户的集中统一授权，防止未经授权的非法用户使用网络资源。在网络环境中，信息传至接收方后，接收方首先要确认信息发送方的合法身份，然后才能与之建立一条通信链路。身份认证技术主要包括数字签名和身份验证。

3）数字签名技术。数字签名实际上是附加在数据单元上的一些数据或是对数据单元所做的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，并保护数据，防止被人（如接收者）伪造。签名机制的本质特征是该签名只有通过签名者的私有信息才能产生，也就是说，一个签名者的签名只能唯一地由他自己产生。当收发双方发生争议时，第三方（仲裁机构）就能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出，从而实现抗抵赖服务。另外，数字签名应是所发送数据的函数，即签名与消息相关，从而防止数字签名的伪造和重用。

4）CA证书。CA是证书的签发机构，它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

3.网络病毒防范技术

计算机病毒实际上是一种恶意程序，防病毒技术就是识别出这种程序并消除其影响的一种技术。从防病毒产品对计算机病毒的作用来讲，防病毒技术可以直观地分为病毒预防技术、病毒检测技术和病毒清除技术。

1）病毒预防技术。计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。病毒预防技术包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。(www.xing528.com)

2）病毒检测技术。病毒检测技术主要包含两种，一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；另一种是不针对具体病毒程序的自身校验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段完整性己遭到破坏，感染上了病毒，从而检测到病毒的存在。

3）病毒清除技术。计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一个逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的，带有滞后性。而且由于计算机软件所要求的精确性，杀毒软件有其局限性，对有些变种病毒的清除无能为力。

4.漏洞扫描技术

漏洞扫描就是对系统中重要的数据、文件等进行检查，发现其中可被黑客所利用的漏洞。漏洞检测技术就是通过对网络信息系统进行检查，查找系统安全漏洞的一种技术。它能够预先评估和分析系统中存在的各种安全隐患随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷，预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要任务。漏洞扫描的结果实际上就是系统安全性能的评估报告，它指出了哪些攻击是可能的，因此成为网络安全解决方案中的一个重要组成部分。漏洞扫描技术主要分为被动式和主动式两种。

1）被动式、基于主机的检测：对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查。

2）主动式、基于对网络的主动检测：通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。

5.防火墙技术

防火墙是指设置在不同网络（如可信任的企业内部网络和不可信的公共网络）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业部门的安全策略控制（允许、拒绝、监测）出人网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是个分离器，是个限制器，也是个分析器，有效地监控了内部网络和Internet之间的任何活动，保证了内部网络的安全。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

6.入侵检测技术

入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术，也是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统所采用的技术可分为特征检测与异常检测两种。

1）特征检测的假设是入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

2）异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。