Internet上的信息安全保护技术

    Internet自身协议的开放性极大地方便了各种计算机人网，拓宽资源共享的范围但是，由于早期网络协议设计对Internet安全问题的忽视，以及Internet在使用和管理的无政府状态，使Internet在保障信息的安全性方面受到严重威胁。各国在Internet上的信息安全问题方面，制定和实施了相应的法律和规范，采取了一定的管理措施。但控制网络信息的法律措施和管理措施需要技术手段的支持。如果没有检侧、识别、过滤、判断各类信息的技术，弄不清有害信息的来源和流向，无法对其进行监控，法律规定和管理制度就找不到处理对象，处理就缺乏可操作性，因此，为了较安全地使用Internet网上信息资源，研究、开发监控网络信息的技术是十分重要的。

    l、lnternet上的防火墙

    网络防火墙firewall是近年来发展的重要安全技术，它的主要功能是加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进人内部网络(被保护的网络)它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查来决定网络之间的通信是否被允许，并监视网络运行状态。简单的防火墙技术可以在路由器仁直接实现，而专用防火墙提供更加可靠的网络安全控制方法。

    1.1 防火墙技术的类型

    防火墙技术主要分为三大类

    (1)包过滤技术〔Packet filtcring):它一般作用在网络层(IP层)。主要根据防火墙系统所收到的每个数据包的源IP地址。目的IP地址。TCP/UDP源端口号，TCP/UDP目的端口号，及数据包头中的各种标志位来进行判定根据系统设定的安全策略来决定是否让数据包通过，其核心就是安全策略，即过比算法的设计。

    (2)代理(Proxy)服务技术它作用在应用层。它用来提供应用层服务的控制起到外部网络向内部网络申请服务时中问转接作用.内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求.运行代理服务的主机被称为应用网关。代理服务还可以用于实施较强的数据流监控、过迪、记录等功胎

    (3)状态监控(Statc Inspection)技术：它是一种新的防火墙技术，在网络层完成所有必耍的防火墙功能--包过滤和网络服务代理。目前最有效的实现方法一般采用Check Point提出的虚拟机方式〔Inspect Virtual Machine)

    1.2防火墙的优缺点

    防火墙具有以下优点:防火墙通过过滤不安全的服务可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访间控制，如允许从外部访间某些主机，同时禁止访间另外的主机;阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS;防火墙可以记录和统计通过它的网络通讯，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测节防火坡提供制定和执行网络安全策略的手段，它可对企业内部网实现集中的安全管理它定义的安全规则可运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。

    但是防火墙不能提供完全的网络安全性，它不能阻止所有的外部人侵;它不能防病毒;有经验的黑客也会破“墙”而入;防火墙对内部袭击毫无防范作用，需要有特殊的相对较为封闭的网络拓扑结构支持。因此，认为在Internet的人口处布置防火墙，系统就足够安全的想法是不切实际的

    2、数据加密

    数据加密被认为是最可靠的安全保障形式，它从根本上可以满足信息完整性的需要是一种主动安全防御策略。

    数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时，可使用密钥将密文数据还原成明文数据，称为解密

    2.1密码算法的类型

    密码算法分为两类:对称密码算法，非对称密码算法

    (1)对称密码算法

    对称密码算法又称为常规密钥算法。它在加密和解密过程中使用相同的密钥加以控制它的保密度主耍取决于对密钥的保密.它的特点是数字运算量小.加密速度快，其主耍弱点在于密钥管理困难而巨一旦密钥泄露则直接影响到信息的安全性.

    算法中最具代表性的是IBM公司提出的DES(Data Encryption Standard)算法.DES综合运用了代替、置换代数各种密码技术，把消息分成64位大小的块，便用56位密钥，迭代轮数为16轮的加密算法。它设计精巧，实现容易、便用方便。

    (2)非对称密码算法

    非对称密码算法又称对称公开密钥密码算法。它在加密和解密的过程中使用不同的密钥加以控制，其中加密密钥是公开的，解密密钥是保密的.它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。它不仅保证了安全性又易于管理.

    最著名的非对称密码算法是RSA，其安全性是建立在“大数分解和素性检测”这一已知的著名数论难题的基础上。RSA被应用于保护电子邮件安全的PEM(privacy Enchanced Mail)和PGP(Frctty Good Privacy)

    采用公开密钥体制，还可以实现数字签名，从而完成对用户的身份认证。利用数字签名，可以证实报文数据的真实性及获得收发信息，数字签名是防止诈骗、抵赖、作伪证，达到保护数据合法身份的重要手段。

    2.2数据加密技术类型

    数据加密技术主要有链路加密技术和节点加密技术两种

    (1)链路加密技术

    链路加密是对通信线路上任何两个节点之间的通信链路上的数据进行加密。链路加密发生在OSI模型的第一层(物理层)或第二层(数据链路层)，对用户来说是不可见的，实际上是由低级网络协议层实现的传输服务。链路加密要求在每条链路上都要安装硬件加密设备，费用较高

    (2)节点加密技术

    节点加密是指对存储在节点内的文件和数据库桔息进行的加密保护。利用节点加密使通过节点的数据是密文而不是明文，增强了节点数据的保密性。节点加密中的端一端加密对网络两端用户之间传送的信息提供连续的加密保护是在用户之间进行的加密，在途经任何节点时都不解密。端端加密可在OSI棋型的第六层〔表示层)或第七层(应用层)，可减小信息在中间节点泄密的可能性。端一端加密要求发送节点和最终目标节点具有加密。解密设备。

    3、病毒防治

    病毒防治可由防、杀毒的软件完成。目前的防病毒软件主要采用以下三大技术:实时监视技术、自动解压缩技术、全平台反病毒技术其它防病毒的策略是在病毒传播前采取有效的快速救护措施。病毒主要破坏数据，因此需要用户经常备份重要文件。

    一些公司的电脑感染病毒的来源有超过20%是通过网络下载感染，另外有26%是经电子邮件的附加文档所感染，因此，用户应在下载及打开邮件前安装反病毒系统。

    另外，大量的病毒针对网上资源的应用程序进行攻击，这样的病毒存在于信息共享的网络介质上，囚此.要在网关上设防，在网络前端实时杀毒口对于企业来说，为了防止财产不受损头，应需选择多层的病毒防卫体系。多层病毒防卫体系是指在企业的每个台式机上要安装台式机的反病毒软件在服务器上要安装基于服务器的反病毒软件。在Internet网关要上安装基于Interlet网关的反病毒软件。同时，还要注意到大量病毒是通过软盘进人企业网络的因此每个员工都要做到个人使用的台式机不受病毒的感染，从而保证整个企业网不受病毒的感染。

    当代病毒技术的发展，已使病毒能很紧密地嵌人到操作系统的深层，甚至内核之中，这就给我们彻底杀病毒造成厂极大的困难，我们无法保证在病毒被杀时不破坏操作系统本身，CIH病毒就是很好的例子因此，我们一方面要提高警惕，一方面争取研究出从系统底层进行的全面反病毒方案。

    4、难入浸检测技术

    人侵检测技术是近年出现的新型网络安全技术，作用是提供实时的人侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复。断开网络的连接等，即它能够发现危险攻击的特征，迸而探测出攻击行为并发出誓报，同时采取保护措施它可以对付来自内部网络的玫击，还能够阻止黑客的人侵。

    人侵检测系统可分为基于主机和基于网络两类:基于主机的入侵检测系统用于保护关键应用的服务器。实时监视可疑的连接，系统日志检查、非法访问的闯人等，并月提供对典型应用的监视如Web服务器应用:基于网络的人侵检测系统用于实时监控网络关键路径的信息。

    人侵检测系统的基本模式为：passive PrococoI Analyzer网络数据包协议分析器将结果送给模式匹配部分并根据需要保存;Pattern-Matching Signature Analysis根据协议分析器的结果匹配人侵的特征结果传送给部分;Storage执行规定的动作，保存分析结果及相关数据。

    5、IC卡技术

    Ic卡技术应用于网络系统的安全控制，是保证交易数据在网络传输过程中的完整性的一个有效方法。为保证交易数据或其它数据在网络传输过程中的完整性，首先需要对所需传送的数据进行某种数学运算，以产生数字签名。IC卡在网络安全系统控制中的应用主要有两方面一是存储密钥一是对由MDS、SHA等算法产生的数字签名数据在传输过程中进行加密或解密。

    IC卡的安全性主要体现在两点:一是密钥保存在IC卡内二是数据的加密解密均在IC卡内进行，整个加密解密过程不存在密钥的传递。IC卡技术应用于网络安全控制，在国内外均有不少成功的例子，虽然在国内的应用还不广泛，但它无疑是一项值得推行的技术。

    6、结语

    所谓Internet信息安全是一个相对的安全，并没有绝对的安全信息安全系数越高，付出的代价越高，埔加网络信息安全的措施不可避免地要消耗网络资源或者限制资源的使用，这对网络服务的高效、灵活是一种抑制，也加大了应用成本。同时，我们应该意识到，Internet上信息安全是个非常复杂的间题，光采取某种或某几种技术就认为无后顾之忧是不对的，并且除了采取技术方面的措施之外，还应该采取管理、法律等方面的措施;同时，公众应该加强信息安全意识，防患于未然。Tnternet上信息安全是个全球性间题，它需要全球范围的共同合作，只有在大家的共问努力下，才可能实现真正的Tnternet信息资源共享。

    参考文献

    1、陈 炎.Tnternet改变中国.北京大学出版社.1999.(1).424-437

    2、尼古拉斯.巴任,透视信息高速公路.海南出版杜.1998，(l0).190-204

    3、刘 渊等.因特网防火墙技术.机械工业出版社.1998.(8)，10-15

    4、刘春平.小心:计算机病毒.中国计算机用户.1998.10.5.33-34

    5、言舞. 我们的Internet网络漫游引导.内蒙古出版杜，1998，(10).2-8