网络信息安全技术探讨:网络信息安全技术及其应用的分析

一、计算机网络信息所面临的安全威胁分析

(一)网络本身弱点

信息网络具有开放性的显着特点,既为网络用户提供了便捷高速的服务方式,也成为网络信息需要面临的一项安全威胁。同时,运用于信息网络的相关通信协议,不具备较高的安全性能,极易让用户遭受欺骗攻击、信息篡改、数据截取等安全问题。

(二)人为恶意攻击

人为恶意攻击是网络信息中,用户所面临的较大安全威胁。人为恶意攻击具有较强的针对性,是有目的地进行网络信息数据完整性、有效性等方面的破坏,其攻击方式较为隐蔽,包括对网路信息数据的窃取、破译、篡改等,主要威胁到用户的经济利益。

(三)计算机病毒

计算机病毒存在隐蔽性、传染性、破坏性等特点,往往隐藏或伪装为正常程序,随着计算机程序的启动而被运行。计算机病毒通过破坏、窃听等方式,实现对网络信息的操作。相比于其他安全威胁而言,其整体威胁程度较大,轻则影响操作系统的运行效率,重则破坏用户的整体系统数据,且难以被恢复,形成不可挽回的损失。

二、网络信息技术安全现状分析

目前,国内绝大部分企业、单位都已建立了相关的信息系统,实现了对各类丰富信息资源的充分利用。但随着各行各业信息网络系统的逐步成型,网络信息所面临的黑客、恶意软件与其他攻击等安全问题越来越多,虽已研发、改进了许多信息安全技术,用于网络信息安全防护,但仍旧存在许多问题,究其原因,主要表现在以下三方面:

及时,未建立健全的安全技术保障体系。当前大部分企业、单位,在信息安全设备上投入较多资金,以确保网络信息系统的安全。但是,没有建立健全相应的技术保障体系,预期目标难以被实现。

第二,缺乏制度化与常规化的应急反应体系。现阶段,许多行业领域内,在网络信息技术安全方面,还未建立健全相应的应急反应系统,而对已有应急反应系统,没有进行制度化、常规化改进。

第三,企业、单位的信息安全标准与制度滞后。在网络信息安全的标准与制度建设方面,企业与单位都为进行及时的调整与改进。同时,用户缺乏信息安全意识,网络信息安全管理员为经历科学、系统的安全技术培训,安全管理水平不高。而用于信息安全的经费投入较少,难以达到信息安全标准与要求。

三、现行主要信息安全技术及应用分析

(一)通信协议安全

作为下一代互联网通信协议,IPv6安全性较高,强制实施Internet安全协议IPSec,由认证协议、封装安全载荷、Internet密钥交换协议三部分组成,即AH、ESP、IKE。IPSec确保IPv6拥有较高的互操作能力与安全性能,让IP层多种安全服务得到有效实现。

(二)密码技术

确保网络信息安全的核心与关键为信息安全技术中的密码技术,其密码体质包括单钥、双钥、混合密码三种。其中,单钥为对称密码;双钥为不对称密码;混乱密码为单双钥的混合实现。在网络系统中,采用加密技术能避免使用特殊网络拓扑结构,便于数据传输的同时,确保网络路径的安全,为网络通信过程提供真正的保障。现阶段,在网络信息中,所采用的密码技术主要为双钥与混合密码。

1、公钥密码

为了加强公钥密码的安全性能,公钥的长度均≥600bit。目前,基于Montgomery算法的RSA公钥密码,排出了已有的除法运算模式,通过乘法与模减运算的同时进行,大程度提升了运算速度,被广泛使用。同时,部分厂商已成功研制出与IEEEPl363标准相符合的椭圆曲线公钥密码,并成功运用于电子政务中,具备较强的保密性与较高的运行速度。

2、Hash函数

关于SHA-0碰撞与SHA-1理论破解的提出,降低了SHA-1破解的计算量,在很大程度上影响了Hash函数安全现状的评估及其今后设计。同时,由于MD5和SHA-1的破解,让数字签名的现有理论根基遭到质疑,给正在使用中的数字签名方法带来巨大威胁。

3、量子密码

量子加密技术采用量子力学定律,让用户双方产生私有随机数字字符串,以代表数字字符串的单个量子序列传递信息,并通过比特值进行信息接收,确保通信不被窃听。一旦窃听现象发生,通信就会结束,并生成新的密钥。

(三)防火墙技术

防护墙技术是一组软硬件的有机组合,为控制内部与外部网络访问的有效手段,能确保内部网安全稳定运行。防火墙技术为用户提供存取控制与信息保密服务,具有操作简单、透明度高的优点,在保持原有网络应用系统功能的基础上,较大限度满足用户的网络信息安全要求,受到用户的广泛推崇。防火墙技术的应用,让外部与内部网络必须通过防火墙实现相互通信。企业、单位在关于防火墙技术的应用上,需制定合理、科学的安全策略,在此基础上设置防火墙,隔绝其它类型信息。目前,防火墙技术主要分为以下三类:

及时,包过滤技术(Packet filtering)。其技术主要作用于网络层,结合不同数据包源IP地址、目的IP地址、TCP/UDP源端口号与目的端口号等进行区分、判断,分析数据包是否符合安全策略,予以通行,其设计为过滤算法。

第二,(Proxy)服务技术。其技术主要作用于应用层,通过转接外部网络对内部网络的申请服务,有效控制应用层服务。内部网络无法接受外部网络其它节点申请的直接请求,其接受的服务请求只能为模式。应用网关即为服务运行的主机,具备较强的数据流监控、过滤、记录等相关功能。

第三,状态监控(State Inspection)技术。其技术主要作用于网络层,通过网络层实现包过滤与网络服务。现阶段,较为可行的为虚拟机方式(即:Inspect Virtual Machine)。

防护墙技术作为网络信息安全技术之一,操作简单且实用性较强,被广泛应用。但受其特点限制,缺乏对动态化与复杂化攻击手段的主动响应,只能进行静态安全防御,无法保障对所有外部攻击都能进行有效阻挡。一些计算机水平较高的黑客便能翻过防火墙,达到攻击目的。同时,防火墙无法阻挡内部攻击。因此,为实现网络安全,需进行数据的加密处理,加强内部网络控制与管理。

网络信息安全技术探讨:网络信息安全技术优化和防范

当今社会在计算机网络技术广泛应用于人们的日常与工作中的同时,信息安全问题也越发突显化,人们对于信息保护的重视度正在逐渐增强,如果始终无法采取科学有效的防范措施对网络信息实行保障,那么则会带来极为严重的后果。由此可见,加强对网络信息的安全技术优化及科学防范措施相关问题的分析探究,具有极为重要的意义。

1网络信息安全技术优化措施

1.1防病毒入侵技术首先需做的是,加强对网络信息存取的控制度,以此帮助避免违法用户在进入网络系统之后,采用篡改口令的方式来实现身份认证。与此同时,还需注意针对用户类型的不同,对其设置相应的信息存取权限,以免出现越权问题。其次,需注意采用一套安全的杀毒和防木马软件,以此实现对网络病毒和木马的清除,且还可对网络用户的具体操作进行监控,从而确保网络进行安全。需做的是,针对局域网入口,需进一步加强监控,因为网络病毒进入计算机系统的主要渠道为局域网。所以需尽可能地采用云终端,尽量减少超级用户设置,对系统中的重要程序采用只读设置,以此帮助避免病毒入侵。

1.2信息加密技术此项技术主要是指对网络中的传输信息做加密处理,在达到防范目的之后,再对其做解密处理,将其还原为原始信息的一种信息安全技术。在此项技术应用中,可确保传输文件、信息、口令及数据的安全。此项技术主要的加密方式有:节点加密、链路加密及端点加密。其中节点加密主要的保障安全对象为:源节点至目的节点信息。而端点加密主要的保障安全对象为:源端用户至目的端的信息。链路加密主要的保障安全对象为:网络各节点间的链路信息。整个信息加密技术的设计核心主要为加密算法,可被分为对称及非对称的密钥加密法。

1.3防火墙技术在用户正式连接至Internet网络中后,防火墙技术内部会出现一个安全保护屏障,对网络用户的所处环境安全性进行检测及提升,对来源不详的信息做过滤筛选处理,以此帮助更好地减小网络运行风险。只有一些符合防火墙策略的网络信息方可通过防火墙检验,以此确保用户连接网络时,整个网络环境的安全性。将防火墙作为重点安全配置,还可对整个网络系统之内的安全软件做身份验证、审查核对处理。整体而言,防火墙技术的应用可以说是计算机系统自带的有效防护屏障。

1.4访问控制技术此项技术的应用可对信息系统资源实行保护,其主要组成部分为:主体、客体及授权访问。其中主体是指主动实体,可对客体实行访问,可为用户、终端、主机等。而客体即为一个被动实体,客体会受到一定程度上的限制,客体可为字段、记录、程序、文件等。授权访问则是指:主体访问客体的允许。无论是对主体还是客体而言,授权访问均为给定。访问控制技术主要分为三种,自主访问、强制访问、基于角色访问。

1.5报文鉴别在面对被动信息安全攻击时,可采用前文所述的加密技术。而对于主动信息安全攻击,则需要运用报文鉴别技术。此技术的应用主要是为了对信息数据传输中的截获篡改问题予以妥善解决,科学判定报文完整性。报文鉴别技术的应用全程是:报文发送方在发送报文信息之间,对其做哈希函数计算处理,进而得到一个定长报文摘要,对此摘要做加密处理,并放置于报文尾端,将其与报文一同发送。而接收方在接收到报文之后,对加密摘要做解密处理,并对报文运用哈希函数做运算处理,将所得到的摘要与接收到的解密摘要进行对比。如果两者信息一致,那么则表明,在报文信息传输中,未受到篡改,反之亦然。

2网络信息安全防范措施

2.1增强管理人员网络用户安全意识网络信息管理人员在日常工作中需注意加强自身的责任与安全意识,积极构建起一个完善化的安全管理体系,对网络操作做严格规范处理,加强安全建设,确保网络安全运行。与此同时,网络用户还需注意加强安全意识,依照网络设置权限,运用正确口令,避免违法入侵者窃取用户的账号、密码信息,进一步加强网络信息安全设置。

2.2加强网络监控评估,建立专业管理团队对于计算机网络的安全管理,首先需做的便是采用先进化的网络安全技术,另外需做的便是积极建立起专业化的网络管理、评估人员。专业网络信息管理团队的建立,可帮助有效防范黑客攻击,监控网络运行全程,评估是否存在非法攻击行为,对网络运行机制做科学健全完善化处理,提升网络安全稳定性。

2.3安全检查网络设备网络管理人员,需注意在日常工作中对各网络设备做安全检查,积极运用多种新兴现代化的软件工具对计算机网络端口实行检查,查看是否存在异常状况。一旦发现存在任何问题,便需对网络实行扫描杀毒处理。情况严重时,还需对网络端口做隔离处理。只有逐渐提升网络设备的安全性,才可有效避免计算机网络受到外在攻击,保障用户安全。

2.4积极更新软件对计算机软件做积极更新处理,可帮助保障计算机不会受到来自外界网络的恶意侵袭,信息安全得以受到保护。另外,对计算机软件做更新处理,则可帮助保障软件抵抗病毒能力能够与病毒的日益变化相互适应。与此同时,还需注意的是,需对整个网络操作系统做实时的更新处理,从而促使计算机软件始终处于一个近期的操作系统之中,为网络信息安全提供保障。

3结语

在网络信息技术发展之中,加强对网络安全问题的关注,才可帮助实现对网络信息的安全防范,更好地保障个体、集体的信息资源,促使网络信息社会得以健康发展。所以,在今后的网络安全防范工作中,还需实行更进一步的探索研究,从采用多种安全技术;增强管理人员网络用户安全意识;加强网络监控评估,建立专业管理团队;安全检查网络设备;积极更新软件等多方面入手,保障网络信息的安全性。

网络信息安全技术探讨:浅论计算机网络信息安全技术

[论文关键词]Web　Services　网络　技术

[论文摘要]为了满足日益增长的需求，人们提出了基于XML的Web服务。它的主要目标是在现有的各种异构平台的基础上构建一个通用的与平台无关、语言无关的技术层，各种平台上的应用依靠这个技术层来实现彼此的连接和集成，Web Services的核心技术主要是XML技术、SOAP技术、WSDL及UDDI等。本文对此进行了探讨。

1　XML技术

近年来，XML已成为数据表示和数据交换的一种新标准。其基本思想是数据的语义通过数据元素的标记来表达，数据元素之间关系通过简单的嵌套和引用来表示。若所有web服务器和应用程序将它们的数据以XML编码并到Internet，则信息可以很快地以一种简单、可用的格式获得，信息提供者之间也易于互操作。XML一推出就被广泛地采用，并且得到越来越多的数据库及软件开发商的支持。总体讲来，XML具有自描述性、独立于平台和应用、半结构化、机器可处理的、可扩展性和广泛的支持等特点。因此，XML可被广泛应用于电子商务、不同数据源的集成、数据的多样显示等各个方面。XML描述了一个用来定义标记集的方法用于规定一个标记集，填入文本内容后，这些标记和纯文本一起构成了一个XML文档。一个良好的XML文档必须满足以下几条规则：(1)有一致良好定义的结构(2)属性需用引号引起来：(3)空白区域不能忽略：(4)每个开始标签必须要有一个与之对应的结束标签：(5)有且只有一个根元素包含其他所有的结点：(6)元素不能交叉重叠但可以包含：(7)注释和处理指令不能出现在标签中：(8)大小写敏感：(9)关键词“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大写。为了说明特定的语法规则，XMLDTD(DocumentTypeDefination)采用了一系列正则式。语法分析器(或称解析器)将这些正则式与XML文件内部的数据模式相匹配，以判别文件是否是有效。一个DTD描述了标记语言的语法和词汇表，定义了文件的整体结构以及文件的语法。在Internet中，一个最重要的问题是如何实现数据的交互，即客户端和服务器端双向数据交流。当前所面对的是一个物理上分散的、异源、异构的数据环境，能方便地从这些数据中取得所需要的信息极为重要。XML满足这一要求，它可以将各种类型的数据转换成XML文档，然后对XML文档进行处理，之后，再将XML数据转换为某种方式存储的数据。XML的数据源多种多样，但主要分为三种：及时种为本身是纯文本的XML文档、TXT文件、DAT文件等第二种来自于数据库，如关系数据库、对象数据库等：第三种是其它的带有一定格式的应用数据，如邮件、图表、清单等。针对不同的数据源可以采用不同的技术进行转换。纯文本文档是最基本也是最简单的，它将数据存储于文本文件中，可以直接方便地读取数据。另外，XML文档也可以加上CSS、XSL等样式信息在浏览器中显示，或者通过DOM、SAX编程接口同其它应用相关联。第二种来源主要利用现有的比较成功的数据库资源，是对及时种资源的扩展，可以利用数据库管理系统对数据进行管理，并用服务器编程语言对数据进行动态存取，来实现各种动态应用。第三种数据源的转换可以利用微软提出的基于OLEDB的解决方案，从数据源直接导出XML文档。

2　SOAP技术

SOAP(simple ObjectAcCess PrOtOCO1，简单对象访问协议)是由Microsoft、IBM等共同提出的规范，目的是实现大量异构程序和平台之间的互操作，从而使存在的应用程序能够被用户访问。W3C的SOAP规范主要由SOAP封装、SOAP编码规则、SOAPRPC表示及SOAP绑定四方面的内容组成：(1)SOAP封装(SOAPEnvelop)：构造了一个整体的SOAP消息表示框架，可用于表示消息的内容是什么、谁发送的、谁应当接收并处理它，以及处理操作是可选的还是必须的。信封包含了S0AP消息头部(可选)和SOAP消息体(必须)。消息体部分总是用于最终接收的消息，头部可以确定执行中间处理的目标节点。附件、二进制数字及其他项目均可以附加到消息体上。(2)SOAP编码规则(SOAPEncodingRules)：定义了一个数据编码机制，通过这样一个编码机制来定义应用程序中需要使用的数据类型，并可用于交换由这些应用程序定义的数据类型所衍生的实例。(3)S0AP RPC表示(S0AP RPcRepresentation)：定义了一个用于表示远程过程调用和响应的约定与HTTP相似，RPC使用请求／响应模型交换信息。使用SOAP调用远程方法的主要工作就是构造SOAP消息。SOAP请求消息代表方法调用，被发送给远程服务器，5OAP响应消息代表调用结果，返回给方法的调用者。(4)SOAP绑定(sOAPBinding)：定义了一个使用底层协议来完成在节点间交换SOAP消息的机制。SOAP消息的传输依靠底层的传输协议，与传输层的协议都能进行绑定。SOAP采用了已经广泛使用的两个协议：HTTP和XML。HTTP用于实现SOAP的RPC风格的传输，而XML是它的编码模式。SOAP通讯协议使用HTTP来发送x扎格式的消息。HTTP与RPC的协议很相似，它简单、配置广泛，并且对防火墙比其它协议更容易发挥作用。HTTP请求一般由Web服务器来处理，但越来越多的应用服务器产品正在支持HTTP XML作为一个更好的网络数据表达方式，SOAP把XML的使用代码转化为请求／响应参数编码模式，并用HTTP作传输。具体的讲，一个SOAP方法可以简单地看作遵循SOAP编码规则的HTTP请求和响应。一个SOAP终端则可以看作一个基于HTTP的URL，它用来识别方法调用的目标。SOAP不需要将具体的对象绑定到一个给定的终端，而是由具体实现程序来决定怎样把对象终端标识符映像到服务器端的对象。

3　WSDL与UDDI技术

WSDL(WebServicesDescriptionLanguage，web服务描述语言)基于Ⅺ旺，将Web服务描述为一组对消息进行操作的服务访问点它抽象描述了操作和消息，并绑定到一个具体的网络协议和消息格式，定义了具体实施的服务访问点。WSDL包含服务接口定义和服务实现定义，服务接口是Web服务的抽象定义，包括类型、消息和端口类型等。服务实现定义描述了服务提供者如何实现特定的服务接口，包括服务定义和端口定义几乎所有在因特网上的Web服务都配有相关的WSDL文档，其中列举了该服务的功能，说明了服务在Web上的位置，并提供了使用它的命令。WSDL文档定义了Web服务功能发送和接收的消息种类，并规定了调用程序必须提供给Web服务的数据，以便该服务能够执行其任务。WSDL文档还提供了一些特定的技术信息，告诉应用程序如何通过HTTP或其他通信协议与Web服务进行连接和通信。用户想使用服务提供者所提供的服务，必须首先找到这个服务。UDDI(UniversalDescrip—ti012DiseoveryIntegration，统一描述发现集成)提供了一种、查找服务的方法，使得服务请求者可以在Internet巨大的信息空间中快速、方便地发现要调用的服务，并完成服务间的集成。UDDI是一个基于SOAP协议的、为Web服务提供信息注册中心的实现标准。同时也包含一组提供Web服务注册、发现和调用的访问协议。UDDI通过XML格式的目录条目将Web服务注册在UDDI中心的公共注册表内供其它用户查询和使用。UDDI目录条目包括三个部分：白页、黄页和绿页。白页提供一般信息，即Web服务的URL和提供者的名称、地址、联系方式等基本信息：黄页提供基于标准分类法的相关产业、产品或提供服务类型以及地域等的分类信息：绿页提供技术信息，它详细介绍了访问服务的接口，以便用户能够编写应用程序以使用Web服务，这是发现潜在Web服务的关键。同时，UDDI提供了基于XML的轻量级的数据描述和存储方式，服务的定义是通过一个称为类型模型的UDDI文档来完成的。UDDI本身就是一个Web服务，它通过一组基于SOAP的UDDI的API函数进行访问。其中查询API用来查询定位商业实体、服务、绑定等信息。API被用来在注册中心或者取消服务。

网络信息安全技术探讨:网络环境中信息安全技术讨论

摘要：随着全球信息化进程的不断加速，国内外信息产业领域对信息安全的关注与日俱增，尤其在信息网络化如此普及的年代，网络安全与信息产业息息相关。基于网络环境中的信息安全讨论，已成为了网络安全中的一个重要研究课题。文章就信息安全的研究背景、概念及相关的技术作了全局的分析及讨论。

关键词：网络与信息安全；信息安全认识；信息安全技术

随着internet的接人，网络已成为我们生活中必不可少的一部分。随着计算机网络的发展，其开放性、共享性、互联程度扩大，网络的重要性和对社会的影响也越来越大，但是另一方面病毒、黑客程序、邮件炸弹、远程侦听等安全问题逐渐成为当今网络社会的焦点。下面笔者就几个方面对网络环境中信息安全问题作一简单讨论。

1 网络环境下信息安全研究意义

众所周知，internet是当今世界上较大的计算机网络通迅系统，它所提供的信息包括文字、数据、图像、声音等形式，它的应用范围已经涉及到政治、经济、科学、教育、法律、军事、物理、体育和医学等社会生活的各个领域。但是，随着微电子、光电子、计算机、通信和信息服务业的发展，尤其是以internet为支撑平台的信息产业的发展，使得网络安全的重要性日益凸现。信息随时都可能受到非授权的访问、篡改或破坏，也可能被阻截、替换而导致无法正确读取，给网络的正常运行带来巨大的威胁，甚至造成网络瘫痪。

根据美国“世界日报”1993年10月报道：由于高科技犯罪，利用侦读器拦截卫星通讯用户号码，再转手拷贝出售，1992年美国就有20亿美元的国际电话费转账混乱造成有关公司严重的损失。目前，仅仅银行的密码遭他人窃取，美国银行界每年损失就达数10亿美元之巨。在1996年初，美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计显示，有53％的企业受到过计算机病毒的侵害，42％的企业的计算机系统在过去的12个月被非法使用过，而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。

中国的网络安全虽然还比较落后，但黑客们却已经和国际“接轨”。据公安部的资料，1998年中国共破获电脑黑客案件近百起。利用计算机网络进行的各类违法行为在中国以每年30％的速度递增。黑客的攻击方法已超过计算机病毒的种类，总数达近千种。在中国，针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元，针对其他行业的黑客犯罪案件也时有发生。

计算机网络安全性研究始于20世纪60年代末期。但由于当时计算机的速度和性能较为落后，使用的范围也不广，因此有关计算机安全的研究一直局限在较小的范围。进入20世纪80年代后，计算机的性能得到了极大的提高，应用范围也在不断扩大，计算机已遍及世界各个角落。尤其是进入20世纪90年代，计算机网络出现了爆炸式的发展，这种发展把人们带到了一个全新的时空，在人们几乎多方位地依赖计算机网络的同时，网络环境下的信息安全问题再次出现在人们面前。

2　信息安全的初步认识

2.1　定义

信息安全是研究在特定的应用环境下，依据特定的安全策略，对信息及其系统实施防护、检测和恢复的科学。

2.2　研究内容

信息安全的研究涉及数学、计算机、通信、法律等诸多学科，大致可分为基础理论与应用研究、应用技术研究以及安全管理研究3个领域。其中，基础理论与应用研究主要包括密码体制理论、身份识别、访问控制与授权、安全协议等方面的研究。

2.3　安全目标

信息安全从防护、检测和恢复体系上看，主要有6个安全目标：机密性、完整性、可用性、真实性、不可抵赖性、可控性。它们的含义解释如下：

机密性(confidentiality)：指信息不被泄露或暴露给未授权的个人、组织或系统。或者说，只有经授权的用户才能获知信息的真实内容，而任何未授权者即使截获信息也无法读取信息的真实内容或使用信息。

完整性(integrity)：指信息是完整的、一致的。即信息在生成、存储、传输或使用过程中未受到非授权的篡改或破坏。

不可抵赖性(non-repudiation)：指合法用户事后无法否认曾发送或接收到信息，或广义地对其行为不可抵赖。

真实性(authenticity)：指在信息交互过程中想过关的用户或主体是真实而非假冒或伪装的。

可控性(controllability)：指主体对系统或数据的访问是按照一定规则控制的，避免出现非授权操作或使用。

可用性(availability)：分为数据的可用性和系统的可用性。数据的可用性是指授权用户可根据需要随时访问其权限所允许的信息，不会受到干扰或阻碍。系统的可用性是指承载信息的系统按照其预定的规则运行，不会转移到非畅通状态，系统可用性与数据可用性具有密切的联系。

3　信息安全技术

3.1　加密技术

3.1.1　加密技术概述

加密技术能为数据或通信信息流提供机密性。同时，对其他安全机制的实现起主导作用或辅助作用。

加密算法是对消息的一种编码规则，这种规则的编码与译码依赖于称为密钥的参数。用户使用编码规则在密钥控制下把明文消息变为密文，也可以使用译码规则在密钥控制下把密文还原成明文消息。没有正确的密钥无法实现加密解密操作，从而使非授权用户无法还原机密信息。

根据密钥的特点，目前，加密技术分为两种：对称密码体制和非对称密码体制。对称密码算法有：des(数据加密标准)及其各种变形、idea算法及aes、rc5等。比较著名的非对称密码算法有：rsa、背包密码、ditter-heuman、圆曲线算法等。

3.1.2　密码体制

(1)对称密码。在对称密钥体制中，使用的密钥必须保密，且加密密钥与解密密钥相同，或从加密密钥可推出解密密钥，反之亦可。常见加密标准为des等，当使用des时，用户和接受方采用64位密钥对报文加密和解密。des主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密，每次加密可对64位的输入数据进行16轮编码，经一系列替换和移位后，输入的64位原始数据转换成不同的64位输出数据。des算法仅使用较大为64位的标准算术和逻辑运算，运算速度快，密钥生产容易，适合于在当前大多数计算机上用软件方法实现，同时也适合于在专用芯片上实现。

(2)非对称密码。在非对称密码体制中，每个使用密码体制的主体(个人、团体或某系统)均有一对密钥：一个密钥可以公开，称为公钥；另一个密钥则必须保密，称为私钥，且不能从公钥推出私钥。在internet中使用更多的是非对称密码系统，即公钥系统。常用的公钥加密算法是lisa算法，加密强度很高。发送方在发送数据时，用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后，用发送方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高，而且并不要求通信双方事先要建立某种信任关系或共享某种秘密，因此十分适合intemet网上使用。

3.2　数字签名

数字签名也称电子签名，在信息安全中包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名包括两个过程：签名者以给定的数据单元进行签名，接收者验证该签名。

数字签名的主要工作方式为：报文发送方从报文文本中生成一个128 bit的散列值(或报文摘要)，并用自己的专用密钥对这个散列值进行加密，形成发送方的数字签名；然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方；报文接收方首先从接收到的原始报文中计算出128 bit位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

数字签名技术应用十分广泛。如电子印章、商务合同等应用中主要采用数字签名技术，还有虚拟专用网(vpn)协议族、电子邮件安全协议族、web安全协议、安全电子支付协议等密钥分发都采用了数字签名技术。

3.3　身份认证

身份认证又称为鉴别或确认，它通过验证被认证对象的一个或多个参数的真实性与有效性，来证实被认证对象是否符合或是否有效的一种过程，用来确保数据的真实性。

身份认证在当今社会如金融、医疗、保险、海关、电信、公安等领域起到了举足轻重的作用。随着信息技术的飞速发展，电子商务、电子银行、网络安全等应用领域亟需高效的自动身份认证技术。分析现有的各种身份认证技术，一般意义上可以分为两大类。

3.3.1　传统身份认证技术 传统的身份证技术可以分为3类： (1)所知：你知道什么，这是基于秘密消息的认证方式。即认证方根据被认证方提供的信息来认证身份，典型的信息如口令、密码、暗语等。

(2)所有：你有什么，即令牌认证方式。认证方根据被认证方提供的某一实物或凭证来认证身份，典型的如令牌、证件、证书等。

(3)特征：你是什么，即生物特征认证方式。认证方根据提取被认证方的某些特征来认证身份，典型的特征如指纹、虹膜、dna等。

总体来说，这3种认证方式都各有利弊，选择哪种认证方式要根据自己的情况而定。

3.3.2　双因素身份认证技术

人们对于网络安全和信息安全的研究和了解，已经有相当长的一段时间了，因此基于动态密码技术的双因素身份认证技术得到了迅速发展，在网络环境下的身份认证系统中，使用动态密码卡作为身份确认依据是理想的，每一个动态密码卡是的装置，能有效地代表使用者的身份，可以保障被认证对象与需要验证的身份依据之间严格的一一对应关系。通过技术分析，使用密码卡具有安全性高、保密性强、抗抵赖性、抗重放性、抗暴露性、方便性等优点。所以，现在使用这种双因素身份认证技术可以为我们的一些网络使用带来一定的保障。

3.4　访问控制

访问控制机制使用实体的标识、类别或能力，确定权限，并授予访问权。实体如果试图进行非授权访问。将被拒绝。

除了计算机网络硬设备之外，网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者，必须具备安全的控制策略和保护机制，防止非法入侵者攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制，即确保主体对客体的访问只能是授权的，未经授权的访问是不允许的，其操作是无效的。

3.5　通信量填充——信息隐藏

通信量通填充就是指为了防止敌手对通信量的分析，需要在空闲的信道上发送一些无用的信息，以便蒙蔽对手。在专用通信线路上这种机制非常重要，但在公用信道貌岸然中则要依据环境而定。

信息隐藏则是把一则信息隐藏到看似与之无关的消息中，以便蒙蔽敌手，通常也要和密码结合才能保障不被敌手发现。

3.6　路由控制

路由控制是对于信息的流经路径的选择，为一些重要信息指定路径。例如通过特定的安全子网、中继站或连接设备，也可能是要绕开某些不安全的子网、中继或连接设备。这种路由的安排可以预先安排也可作为恢复的一种方式而由端系统动态指定。恰当的路由控制可以提升环境安全性，从而可以简化其他安全机制实施的复杂性。

3.7　公证

在两方或多方通信中，公证机制可以提供数据的完整性，发方、收方的身份识别和时间同步等服务。通信各方共同信赖的公证机构，称为可信第三方，它保存通信方的必要信息，并以一种可验证的方式提供上述服务。

3.8　安全标记

安全标记是为数据源所附加的指明其安全属性的标记。安全标记常常在通信中与数据一起传送，它可能是与被传送的数据相连的附加数据，也可能是隐含的信息。

4　结束语

信息安全问题涉及到国家安全和社会公共安全。随着计算机技术和通信技术的发展，计算机网络将日益成为信息交换的重要手段，并且已经渗透到社会生活的各个领域。因此，发展信息安全技术是目前面临的迫切要求，我们要清醒认识网络的脆弱性和潜在威胁，积极采取有力的安全策略，对于保障网络的安全非常重要。当然，我们还应看到，像其他技术一样，入侵者的手段也在不断提高。在安全防范方面没有一个一劳永逸的措施，只有通过不断改进和完善安全手段，才能保障不出现漏洞，保障网络的正常运转。

网络信息安全技术探讨:关于计算机网络信息安全技术初探

[论文关键词]计算机网络　信息安全　探讨

[论文摘要]计算机网络日益成为重要信息交换手段，认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题，采取强有力的安全策略，保障网络信息的安全，是每一个国家和社会以及个人必须正视的事情。本文针对计算机网络应用相关的基本信息安全问题和解决方案进行了探讨。

随着计算机网络技术的不断发展，全球信息化己成为人类发展的大趋势，计算机网络已经在同防军事领域、金融、电信、证券、商业、教育以及日常生活巾得到了大量的应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。所以网上信息的安全和保密是一个至关重要的问题。因此，网络必须有足够强的安全措施，否则网络将是尤用的，相反会给使用者带来各方面危害，严重的甚至会危及周家安全。

一、信息加密技术

网络信息发展的关键问题是其安全性，因此，必须建立一套有效的包括信息加密技术、安全认证技术、安全交易议等内容的信息安全机制作为保障，来实现电子信息数据的机密性、完整性、不可否认性和交易者身份认证忡，防止信息被一些怀有不良用心的人看到、破坏，甚至出现虚假信息。

信息加密技术是保障网络、信息安全的核心技术，是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成不可直接读取的秘文，阻止非法用户扶取和理解原始数据，从而确保数据的保密忭。ⅱ月文变成秘文的过程称为加密，南秘文还原成明文的过程称为解密，加密、解密使用的町变参数叫做密钥。

传统上，几种方法町以用来加密数据流，所有这些方法都町以用软件很容易的实现，当只知道密文的时候，是不容易破译这些加密算法的。好的加密算法埘系统性能几乎没有影响，并且还可以带来其他内在的优点。例如，大家郜知道的pkzip，它既压缩数据义加密数据。义如，dbms的一些软件包包含一些加密方法使复制文件这一功能对一些敏感数据是尢效的，或者需要用户的密码。所有这些加密算法都要有高效的加密和解密能力。

二、防火墙技术

“防火墙”是一个通用术i五，是指在两个网络之间执行控制策略的系统，是在网络边界上建立的网络通信监控系统，用来保障计算机网络的安全，它是一种控制技术，既可以是一种软件产品，又可以制作或嵌入到某种硬什产品中。防火墙通常是巾软什系统和硬什设备组合而成，在内部网和外部网之间构建起安全的保护屏障。

从逻辑上讲，防火墙是起分隔、限制、分析的作用。实际上，防火墙是加强intranet(内部网)之间安全防御的一个或一组系统，它南一组硬件设备(包括路由器、服务器)及相应软件构成。所有来自intemet的传输信息或发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件传输、远程登录、布特定的系统问进行信息交换等安全的作用。

防火墙可以被看成是阻塞点。所有内部网和外部网之间的连接郝必须经过该阻塞点，在此进行检查和连接，只有被授权的通信才能通过该阻塞点。防火墙使内部网络与外部网络在一定条件下隔离，从而防止非法入侵及非法使用系统资源。同时，防火墙还日，以执行安全管制措施，记录所以可疑的事件，其基本准则有以下两点：

(1)一切未被允许的就是禁止的。基于该准则，防火墒应封锁所有信息流，然后对希单提供的服务逐项丌放。这是一种非常灾用的方法，可以造成一种十分安全的环境，为只有经过仔细挑选的服务才被允许使用。其弊端是，安全件高于片j户使片j的方便件，用户所能使用的服务范同受到限制。

(2)一切未被禁止的就是允许的。基于该准则，防火埔转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为用户提供更多的服务。其弊端是，在口益增多的网络服务面前，网管人员疲于奔命，特别是受保护的网络范嗣增大时，很难提供町靠的安全防护。

较传统的防火墙来说，新一代防火墙具有先进的过滤和体系，能从数据链路层到应用层进行多方位安全处理，协议和的直接相互配合，提供透明模式，使本系统的防欺骗能力和运行的健壮件都大大提高；除了访问控制功能外，新一代的防火墙还集成了其它许多安全技术，如nat和vpn、病毒防护等、使防火墙的安全性提升到义一高度。

三、网络入侵检测与安全审计系统设计

在网络层使用了防火墙技术，经过严格的策略配置，通常能够在内外网之问提供安全的网络保护，降低了网络安全风险。但是，仪仪使用防火墙、网络安全还远远不够。因为日前许多入侵手段如icmp重定向、盯p反射扫描、隧道技术等能够穿透防火墒进入网络内部；防火墙无法防护不通过它的链接(如入侵者通过拨号入侵)；不能防范恶意的知情者、不能防范来自于网络内部的攻击；无法有效地防范病毒；无法防范新的安全威胁；南于性能的限制，防火墙通常不能提供实时动态的保护等。

因此，需要更为完善的安全防护系统来解决以上这些问题。网络入侵监测与安全审计系统是一种实时的网络监测包括系统，能够弥补防火墒等其他系统的不足，进一步完善整个网络的安全防御能力。网络中部署网络入侵检测与安全审计系统，可以在网络巾建立完善的安全预警和安全应急反应体系，为信息系统的安全运行提供保障。

在计算机网络信息安全综合防御体系巾，审计系统采用多agent的结构的网络入侵检测与安全审计系统来构建。整个审计系统包括审计agent，审计管理中心，审计管理控制台。审计agent有软什和硬什的形式直接和受保护网络的设备和系统连接，对网络的各个层次(网络，操作系统，应用软件)进行审计，受审计巾心的统一管理，并将信息上报到各个巾心。审计巾心实现对各种审计agent的数据收集和管理。审计控制会是一套管理软件，主要实现管理员对于审计系统的数据浏览，数据管理，规则没置功能。管理员即使不在审计中心现场也能够使用审计控制台通过远程连接审计中心进行管理，而且多个管理员可以同时进行管理，根据权限的不同完成不同的职责和任务。

四、结论

当前信息安全技术发展迅速，但没有任一种解决方案可以防御所有危及信息安全的攻击，这是“矛”与“盾”的问题，需要不断吸取新的技术，取众家所长，才能使“盾”更坚，以防御不断锋利的“矛”，因此，要不断跟踪新技术，对所采用的信息安全技术进行升级完善，以确保相关利益不受侵犯。

我同信息网络安全技术的研究和产品开发尚处于起步阶段，就更需要我们去研究、丌发和探索，以走m有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保障我国网络信息的安全，推动我国围民经济的高速发展。