互联网安全保护技术措施时间

2024-04-03 14:32

互联网安全保护技术措施

一、防火墙技术

1.1 防火墙定义

防火墙是指一种将内部网和公众访问网(如Iere)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。

1.2 防火墙功能

防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。防火墙主要是在网络使用者和网络之间设立一个屏障。在考虑安全性问题时,我们并不是完全依赖于防火墙就可以了,整个信息网络的安全使用有赖于我们采用综合性的安全措施,各司其职,各负其责。

1.3 防火墙类型

按软、硬件形式分:软件防火墙和硬件防火墙。按防火墙的部署位置分:边界防火墙、入侵检测防火墙、内部防火墙。从实现技术分:包过滤型和应用代理型两大类。

二、加密技术

2.1 加密方法

数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后显示原来的内容,这其实就是在计算机网络中传送的“密文”,而如果有人非法截获也只能看得到密文,从而保证信息传输的安全。目前最常用的三种加密技术是对称密钥加密技术、非对称密钥加密技术和不可逆加密体制。其中“不可逆”加密算法是指经过加密处理后,使得其反向解密操作成为不可能或者是无法实现,这种加密算法一旦被破解,那么加密的数据也就相当于不存在了。现在一种更先进的加密技术正在备受推崇那就是公钥加密算法。它运用两个密钥:一个用于加密信息,另一个用于解密信息。这种加密算法最大的优点就是即使别人拿到解密密钥也无法解密信息。

2.2 加密强度

影响加密算法的因素有很多,其中最重要的是加密强度。根据美国密码学会(IACR)制定的9种防卫强度等级划分方法,可以将其分为无防卫、弱防卫、强防卫三个等级。从解密困难程度依次是:能够被暴力破解的密码属于无防卫;能够通过简单的密码破解方法打开的密码属于弱防卫;只有掌握了正确的密钥或者拥有足够的运算能力才能够打开的密码属于强防卫。对于信息来说最有效的保护方法就是采用强防卫级别的非对称密钥加密技术和公钥加密算法相结合的方法。当信息被非对称密钥加密技术处理后使得其破解变得不可能(除用私钥),然后再用公钥进行一次加密处理使得即使别人拥有公钥也只能使信息解密变得困难(除拥有私钥者),这样就可以达到保证信息传输的安全性。

2.3 加密应用

随着电子商务的不断发展,越来越多的企业运用电子商务来降低成本、提高商务活动效率,保障商务信息安全是至关重要的。这就要求我们利用各种加密手段保证电子商务活动中信息的机密性、完整性和不可否认性,同时利用安全认证技术保障参与交易的各方的身份信息的合法性和唯一性,这是建立电子商务中值得首先考虑的问题。现在常用的电子商务安全认证体系是SET和SSL协议。SET(SecureElecroicTrasacio安全电子交易)协议保证了电子交易的机密性、身份认证的有效凭据、并且能够保证交易信息的完整,排除了被篡改的可能,使得商家和消费者都能够在网上进行安全的交易,大大降低了电子商务交易的风险性。目前SET协议得到了Microsof、IBM等许多大公司的支持,不过仍然没有得到广大商户的普遍认可。SSL(SecureSockesLayer安全套接字层)协议则能够提供品质优良而且合理的安全性保证措施。SSL协议目前版本是

3.0已经是事实上的工业标准,许多厂商都使用此协议开发自己的安全套接字层扩展。SSL协议主要提供三方面的服务:信息保密、信息完整性以及实体身份鉴别。

三、身份认证技术

3.1 用户名密码认证

用户名和密码是最简单最常用的身份认证有效凭据,用户只要输入正确的用户名和密码就可以进入系统了。当然这种方式的保密性很低,可以尝试通过猜测或者试探的方法获取正确的用户名和密码进入系统。不过现在许多系统要求用户不仅要输入用户名和密码,还要输入自己事先设定的口令来进一步验证用户身份,以增加用户名和密码被破解的困难程度保证安全性稍微强一点。有些身份认证系统要求用户不仅要输入用户名和密码而且要输入系统随机给出的十道题目的正确答案才能进入系统等等,这种方法可以增加暴力破解的难度并且可以防止黑客通过穷举法破解密码。但这种方法也有缺点:如果用户忘记了密码或口令,或者密码和口令被盗,那么身份认证系统就无法识别合法用户了。因此这种身份认证技术不是最安全的。

3.2 基于令牌的认证

基于令牌的身份认证技术是指系统通过某种方式给每个合法用户一个唯一标识用户身份的令牌,然后每个用户利用该令牌进行身份认证。该令牌可以像智能卡一样存储在用户的智能卡或者PC卡上,也可以通过网络传输到客户端。基于令牌的身份认证技术可以防止黑客通过窃取合法的用户名和密码来冒充合法用户,因为黑客没有令牌就无法通过身份认证。但这种技术也不是最安全的,如果令牌丢失或者被盗,非法用户仍然可以获得合法的身份进入系统。

3.3 基于生物特征的认证

基于生物特征的身份认证技术是指系统通过某种方式获取用户的生物特征(如指纹、虹膜、声音、笔迹等),然后将用户的生物特征存储在系统中,当用户需要进入系统时,系统会要求用户输入自己的生物特征,然后系统会验证用户的生物特征是否与存储的生物特征相匹配,如果匹配则允许用户进入系统否则拒绝进入。基于生物特征的身份认证技术具有很高的安全性,因为生物特征是唯一的、不可复制的,所以无法被别人冒充。但这种技术也有缺点:生物特征的获取和存储需要高精度的设备和技术支持,成本较高。

四、入侵检测技术

4.1 入侵检测定义

入侵检测是指通过对计算机网络中的关键点收集信息并分析,以发现网络中是否有违反安全策略的行为或者遭到攻击的迹象的一种安全技术。入侵检测是一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时防护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统(IDS)就是执行入侵检测任务的管理机和其所需规则的集合体。IDS能够检测出那些来自外部的非法访问行为以及内部用户的非法操作,并且对那些可能对系统构成威胁的行为进行告警和记录。

4.2 入侵检测类型

根据信息来源可以分为基于主机入侵检测系统(HIDS)和基于网络的入侵检测系统(IDS)。HIDS通常安装在被监控的主机上,其检测的信息来源主要是该主机的网络实时传输信息,HIDS主要的功能是保护单台机器的安全性。而IDS则通常部署在网络中的关键位置上,其检测的信息来源主要是网络中的所有通信数据流,IDS主要的功能是保护整个网络的安全性。

五、结论

综上所述互联网安全保护不仅仅需要技术措施,还需要其他措施(如法律措施、行政措施等)的配合才能实现真正的安全。技术措施只是其中的一部分,它需要和其他措施配合才能发挥更大的作用。同时我们也应该认识到互联网安全保护是一个动态的过程,需要不断地更新和完善才能适应新的威胁和挑战。