引論：我們為您整理了1篇網絡信息安全技術探討范文，供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源，期望它們能夠激發您的創作靈感，讓您的文章更具深度。

網絡信息安全技術探討:網絡信息安全技術及其應用的分析

一、計算機網絡信息所面臨的安全威脅分析

(一)網絡本身弱點

信息網絡具有開放性的顯著特點,既為網絡用戶提供了便捷高速的服務方式,也成為網絡信息需要面臨的一項安全威脅。同時,運用于信息網絡的相關通信協議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數據截取等安全問題。

(二)人為惡意攻擊

人為惡意攻擊是網絡信息中,用戶所面臨的較大安全威脅。人為惡意攻擊具有較強的針對性,是有目的地進行網絡信息數據完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對網路信息數據的竊取、破譯、篡改等,主要威脅到用戶的經濟利益。

(三)計算機病毒

計算機病毒存在隱蔽性、傳染性、破壞性等特點,往往隱藏或偽裝為正常程序,隨著計算機程序的啟動而被運行。計算機病毒通過破壞、竊聽等方式,實現對網絡信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統的運行效率,重則破壞用戶的整體系統數據,且難以被恢復,形成不可挽回的損失。

二、網絡信息技術安全現狀分析

目前,國內絕大部分企業、單位都已建立了相關的信息系統,實現了對各類豐富信息資源的充分利用。但隨著各行各業信息網絡系統的逐步成型,網絡信息所面臨的黑客、惡意軟件與其他攻擊等安全問題越來越多,雖已研發、改進了許多信息安全技術,用于網絡信息安全防護,但仍舊存在許多問題,究其原因,主要表現在以下三方面:

及時,未建立健全的安全技術保障體系。當前大部分企業、單位,在信息安全設備上投入較多資金,以確保網絡信息系統的安全。但是,沒有建立健全相應的技術保障體系,預期目標難以被實現。

第二,缺乏制度化與常規化的應急反應體系。現階段,許多行業領域內,在網絡信息技術安全方面,還未建立健全相應的應急反應系統,而對已有應急反應系統,沒有進行制度化、常規化改進。

第三,企業、單位的信息安全標準與制度滯后。在網絡信息安全的標準與制度建設方面,企業與單位都為進行及時的調整與改進。同時,用戶缺乏信息安全意識,網絡信息安全管理員為經歷科學、系統的安全技術培訓,安全管理水平不高。而用于信息安全的經費投入較少,難以達到信息安全標準與要求。

三、現行主要信息安全技術及應用分析

(一)通信協議安全

作為下一代互聯網通信協議,IPv6安全性較高,強制實施Internet安全協議IPSec,由認證協議、封裝安全載荷、Internet密鑰交換協議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務得到有效實現。

(二)密碼技術

確保網絡信息安全的核心與關鍵為信息安全技術中的密碼技術,其密碼體質包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對稱密碼;雙鑰為不對稱密碼;混亂密碼為單雙鑰的混合實現。在網絡系統中,采用加密技術能避免使用特殊網絡拓撲結構,便于數據傳輸的同時,確保網絡路徑的安全,為網絡通信過程提供真正的保障。現階段,在網絡信息中,所采用的密碼技術主要為雙鑰與混合密碼。

1、公鑰密碼

為了加強公鑰密碼的安全性能,公鑰的長度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運算模式,通過乘法與模減運算的同時進行,大程度提升了運算速度,被廣泛使用。同時,部分廠商已成功研制出與IEEEPl363標準相符合的橢圓曲線公鑰密碼,并成功運用于電子政務中,具備較強的保密性與較高的運行速度。

2、Hash函數

關于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計算量,在很大程度上影響了Hash函數安全現狀的評估及其今后設計。同時,由于MD5和SHA-1的破解,讓數字簽名的現有理論根基遭到質疑,給正在使用中的數字簽名方法帶來巨大威脅。

3、量子密碼

量子加密技術采用量子力學定律,讓用戶雙方產生私有隨機數字字符串,以代表數字字符串的單個量子序列傳遞信息,并通過比特值進行信息接收,確保通信不被竊聽。一旦竊聽現象發生,通信就會結束,并生成新的密鑰。

(三)防火墻技術

防護墻技術是一組軟硬件的有機組合,為控制內部與外部網絡訪問的有效手段,能確保內部網安全穩定運行。防火墻技術為用戶提供存取控制與信息保密服務,具有操作簡單、透明度高的優點,在保持原有網絡應用系統功能的基礎上,較大限度滿足用戶的網絡信息安全要求,受到用戶的廣泛推崇。防火墻技術的應用,讓外部與內部網絡必須通過防火墻實現相互通信。企業、單位在關于防火墻技術的應用上,需制定合理、科學的安全策略,在此基礎上設置防火墻,隔絕其它類型信息。目前,防火墻技術主要分為以下三類:

及時,包過濾技術(Packet filtering)。其技術主要作用于網絡層,結合不同數據包源IP地址、目的IP地址、TCP/UDP源端口號與目的端口號等進行區分、判斷,分析數據包是否符合安全策略,予以通行,其設計為過濾算法。

第二,(Proxy)服務技術。其技術主要作用于應用層,通過轉接外部網絡對內部網絡的申請服務,有效控制應用層服務。內部網絡無法接受外部網絡其它節點申請的直接請求,其接受的服務請求只能為模式。應用網關即為服務運行的主機,具備較強的數據流監控、過濾、記錄等相關功能。

第三,狀態監控(State Inspection)技術。其技術主要作用于網絡層,通過網絡層實現包過濾與網絡服務。現階段,較為可行的為虛擬機方式(即:Inspect Virtual Machine)。

防護墻技術作為網絡信息安全技術之一,操作簡單且實用性較強,被廣泛應用。但受其特點限制,缺乏對動態化與復雜化攻擊手段的主動響應,只能進行靜態安全防御,無法保障對所有外部攻擊都能進行有效阻擋。一些計算機水平較高的黑客便能翻過防火墻,達到攻擊目的。同時,防火墻無法阻擋內部攻擊。因此,為實現網絡安全,需進行數據的加密處理,加強內部網絡控制與管理。

網絡信息安全技術探討:網絡信息安全技術優化和防范

當今社會在計算機網絡技術廣泛應用于人們的日常與工作中的同時,信息安全問題也越發突顯化,人們對于信息保護的重視度正在逐漸增強,如果始終無法采取科學有效的防范措施對網絡信息實行保障,那么則會帶來極為嚴重的后果。由此可見,加強對網絡信息的安全技術優化及科學防范措施相關問題的分析探究,具有極為重要的意義。

1網絡信息安全技術優化措施

1.1防病毒入侵技術首先需做的是,加強對網絡信息存取的控制度,以此幫助避免違法用戶在進入網絡系統之后,采用篡改口令的方式來實現身份認證。與此同時,還需注意針對用戶類型的不同,對其設置相應的信息存取權限,以免出現越權問題。其次,需注意采用一套安全的殺毒和防木馬軟件,以此實現對網絡病毒和木馬的清除,且還可對網絡用戶的具體操作進行監控,從而確保網絡進行安全。需做的是,針對局域網入口,需進一步加強監控,因為網絡病毒進入計算機系統的主要渠道為局域網。所以需盡可能地采用云終端,盡量減少超級用戶設置,對系統中的重要程序采用只讀設置,以此幫助避免病毒入侵。

1.2信息加密技術此項技術主要是指對網絡中的傳輸信息做加密處理,在達到防范目的之后,再對其做解密處理,將其還原為原始信息的一種信息安全技術。在此項技術應用中,可確保傳輸文件、信息、口令及數據的安全。此項技術主要的加密方式有:節點加密、鏈路加密及端點加密。其中節點加密主要的保障安全對象為:源節點至目的節點信息。而端點加密主要的保障安全對象為:源端用戶至目的端的信息。鏈路加密主要的保障安全對象為:網絡各節點間的鏈路信息。整個信息加密技術的設計核心主要為加密算法,可被分為對稱及非對稱的密鑰加密法。

1.3防火墻技術在用戶正式連接至Internet網絡中后,防火墻技術內部會出現一個安全保護屏障,對網絡用戶的所處環境安全性進行檢測及提升,對來源不詳的信息做過濾篩選處理,以此幫助更好地減小網絡運行風險。只有一些符合防火墻策略的網絡信息方可通過防火墻檢驗,以此確保用戶連接網絡時,整個網絡環境的安全性。將防火墻作為重點安全配置,還可對整個網絡系統之內的安全軟件做身份驗證、審查核對處理。整體而言,防火墻技術的應用可以說是計算機系統自帶的有效防護屏障。

1.4訪問控制技術此項技術的應用可對信息系統資源實行保護,其主要組成部分為:主體、客體及授權訪問。其中主體是指主動實體,可對客體實行訪問,可為用戶、終端、主機等。而客體即為一個被動實體,客體會受到一定程度上的限制,客體可為字段、記錄、程序、文件等。授權訪問則是指:主體訪問客體的允許。無論是對主體還是客體而言,授權訪問均為給定。訪問控制技術主要分為三種,自主訪問、強制訪問、基于角色訪問。

1.5報文鑒別在面對被動信息安全攻擊時,可采用前文所述的加密技術。而對于主動信息安全攻擊,則需要運用報文鑒別技術。此技術的應用主要是為了對信息數據傳輸中的截獲篡改問題予以妥善解決,科學判定報文完整性。報文鑒別技術的應用全程是:報文發送方在發送報文信息之間,對其做哈希函數計算處理,進而得到一個定長報文摘要,對此摘要做加密處理,并放置于報文尾端,將其與報文一同發送。而接收方在接收到報文之后,對加密摘要做解密處理,并對報文運用哈希函數做運算處理,將所得到的摘要與接收到的解密摘要進行對比。如果兩者信息一致,那么則表明,在報文信息傳輸中,未受到篡改,反之亦然。

2網絡信息安全防范措施

2.1增強管理人員網絡用戶安全意識網絡信息管理人員在日常工作中需注意加強自身的責任與安全意識,積極構建起一個完善化的安全管理體系,對網絡操作做嚴格規范處理,加強安全建設,確保網絡安全運行。與此同時,網絡用戶還需注意加強安全意識,依照網絡設置權限,運用正確口令,避免違法入侵者竊取用戶的賬號、密碼信息,進一步加強網絡信息安全設置。

2.2加強網絡監控評估,建立專業管理團隊對于計算機網絡的安全管理,首先需做的便是采用先進化的網絡安全技術,另外需做的便是積極建立起專業化的網絡管理、評估人員。專業網絡信息管理團隊的建立,可幫助有效防范黑客攻擊,監控網絡運行全程,評估是否存在非法攻擊行為,對網絡運行機制做科學健全完善化處理,提升網絡安全穩定性。

2.3安全檢查網絡設備網絡管理人員,需注意在日常工作中對各網絡設備做安全檢查,積極運用多種新興現代化的軟件工具對計算機網絡端口實行檢查,查看是否存在異常狀況。一旦發現存在任何問題,便需對網絡實行掃描殺毒處理。情況嚴重時,還需對網絡端口做隔離處理。只有逐漸提升網絡設備的安全性,才可有效避免計算機網絡受到外在攻擊,保障用戶安全。

2.4積極更新軟件對計算機軟件做積極更新處理,可幫助保障計算機不會受到來自外界網絡的惡意侵襲,信息安全得以受到保護。另外,對計算機軟件做更新處理,則可幫助保障軟件抵抗病毒能力能夠與病毒的日益變化相互適應。與此同時,還需注意的是,需對整個網絡操作系統做實時的更新處理,從而促使計算機軟件始終處于一個近期的操作系統之中,為網絡信息安全提供保障。

3結語

在網絡信息技術發展之中,加強對網絡安全問題的關注,才可幫助實現對網絡信息的安全防范,更好地保障個體、集體的信息資源,促使網絡信息社會得以健康發展。所以,在今后的網絡安全防范工作中,還需實行更進一步的探索研究,從采用多種安全技術;增強管理人員網絡用戶安全意識;加強網絡監控評估,建立專業管理團隊;安全檢查網絡設備;積極更新軟件等多方面入手,保障網絡信息的安全性。

網絡信息安全技術探討:淺論計算機網絡信息安全技術

[論文關鍵詞]Web　Services　網絡　技術

[論文摘要]為了滿足日益增長的需求，人們提出了基于XML的Web服務。它的主要目標是在現有的各種異構平臺的基礎上構建一個通用的與平臺無關、語言無關的技術層，各種平臺上的應用依靠這個技術層來實現彼此的連接和集成，Web Services的核心技術主要是XML技術、SOAP技術、WSDL及UDDI等。本文對此進行了探討。

1　XML技術

近年來，XML已成為數據表示和數據交換的一種新標準。其基本思想是數據的語義通過數據元素的標記來表達，數據元素之間關系通過簡單的嵌套和引用來表示。若所有web服務器和應用程序將它們的數據以XML編碼并到Internet，則信息可以很快地以一種簡單、可用的格式獲得，信息提供者之間也易于互操作。XML一推出就被廣泛地采用，并且得到越來越多的數據庫及軟件開發商的支持。總體講來，XML具有自描述性、獨立于平臺和應用、半結構化、機器可處理的、可擴展性和廣泛的支持等特點。因此，XML可被廣泛應用于電子商務、不同數據源的集成、數據的多樣顯示等各個方面。XML描述了一個用來定義標記集的方法用于規定一個標記集，填入文本內容后，這些標記和純文本一起構成了一個XML文檔。一個良好的XML文檔必須滿足以下幾條規則：(1)有一致良好定義的結構(2)屬性需用引號引起來：(3)空白區域不能忽略：(4)每個開始標簽必須要有一個與之對應的結束標簽：(5)有且只有一個根元素包含其他所有的結點：(6)元素不能交叉重疊但可以包含：(7)注釋和處理指令不能出現在標簽中：(8)大小寫敏感：(9)關鍵詞“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大寫。為了說明特定的語法規則，XMLDTD(DocumentTypeDefination)采用了一系列正則式。語法分析器(或稱解析器)將這些正則式與XML文件內部的數據模式相匹配，以判別文件是否是有效。一個DTD描述了標記語言的語法和詞匯表，定義了文件的整體結構以及文件的語法。在Internet中，一個最重要的問題是如何實現數據的交互，即客戶端和服務器端雙向數據交流。當前所面對的是一個物理上分散的、異源、異構的數據環境，能方便地從這些數據中取得所需要的信息極為重要。XML滿足這一要求，它可以將各種類型的數據轉換成XML文檔，然后對XML文檔進行處理，之后，再將XML數據轉換為某種方式存儲的數據。XML的數據源多種多樣，但主要分為三種：及時種為本身是純文本的XML文檔、TXT文件、DAT文件等第二種來自于數據庫，如關系數據庫、對象數據庫等：第三種是其它的帶有一定格式的應用數據，如郵件、圖表、清單等。針對不同的數據源可以采用不同的技術進行轉換。純文本文檔是最基本也是最簡單的，它將數據存儲于文本文件中，可以直接方便地讀取數據。另外，XML文檔也可以加上CSS、XSL等樣式信息在瀏覽器中顯示，或者通過DOM、SAX編程接口同其它應用相關聯。第二種來源主要利用現有的比較成功的數據庫資源，是對及時種資源的擴展，可以利用數據庫管理系統對數據進行管理，并用服務器編程語言對數據進行動態存取，來實現各種動態應用。第三種數據源的轉換可以利用微軟提出的基于OLEDB的解決方案，從數據源直接導出XML文檔。

2　SOAP技術

SOAP(simple ObjectAcCess PrOtOCO1，簡單對象訪問協議)是由Microsoft、IBM等共同提出的規范，目的是實現大量異構程序和平臺之間的互操作，從而使存在的應用程序能夠被用戶訪問。W3C的SOAP規范主要由SOAP封裝、SOAP編碼規則、SOAPRPC表示及SOAP綁定四方面的內容組成：(1)SOAP封裝(SOAPEnvelop)：構造了一個整體的SOAP消息表示框架，可用于表示消息的內容是什么、誰發送的、誰應當接收并處理它，以及處理操作是可選的還是必須的。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)。消息體部分總是用于最終接收的消息，頭部可以確定執行中間處理的目標節點。附件、二進制數字及其他項目均可以附加到消息體上。(2)SOAP編碼規則(SOAPEncodingRules)：定義了一個數據編碼機制，通過這樣一個編碼機制來定義應用程序中需要使用的數據類型，并可用于交換由這些應用程序定義的數據類型所衍生的實例。(3)S0AP RPC表示(S0AP RPcRepresentation)：定義了一個用于表示遠程過程調用和響應的約定與HTTP相似，RPC使用請求／響應模型交換信息。使用SOAP調用遠程方法的主要工作就是構造SOAP消息。SOAP請求消息代表方法調用，被發送給遠程服務器，5OAP響應消息代表調用結果，返回給方法的調用者。(4)SOAP綁定(sOAPBinding)：定義了一個使用底層協議來完成在節點間交換SOAP消息的機制。SOAP消息的傳輸依靠底層的傳輸協議，與傳輸層的協議都能進行綁定。SOAP采用了已經廣泛使用的兩個協議：HTTP和XML。HTTP用于實現SOAP的RPC風格的傳輸，而XML是它的編碼模式。SOAP通訊協議使用HTTP來發送x扎格式的消息。HTTP與RPC的協議很相似，它簡單、配置廣泛，并且對防火墻比其它協議更容易發揮作用。HTTP請求一般由Web服務器來處理，但越來越多的應用服務器產品正在支持HTTP XML作為一個更好的網絡數據表達方式，SOAP把XML的使用代碼轉化為請求／響應參數編碼模式，并用HTTP作傳輸。具體的講，一個SOAP方法可以簡單地看作遵循SOAP編碼規則的HTTP請求和響應。一個SOAP終端則可以看作一個基于HTTP的URL，它用來識別方法調用的目標。SOAP不需要將具體的對象綁定到一個給定的終端，而是由具體實現程序來決定怎樣把對象終端標識符映像到服務器端的對象。

3　WSDL與UDDI技術

WSDL(WebServicesDescriptionLanguage，web服務描述語言)基于Ⅺ旺，將Web服務描述為一組對消息進行操作的服務訪問點它抽象描述了操作和消息，并綁定到一個具體的網絡協議和消息格式，定義了具體實施的服務訪問點。WSDL包含服務接口定義和服務實現定義，服務接口是Web服務的抽象定義，包括類型、消息和端口類型等。服務實現定義描述了服務提供者如何實現特定的服務接口，包括服務定義和端口定義幾乎所有在因特網上的Web服務都配有相關的WSDL文檔，其中列舉了該服務的功能，說明了服務在Web上的位置，并提供了使用它的命令。WSDL文檔定義了Web服務功能發送和接收的消息種類，并規定了調用程序必須提供給Web服務的數據，以便該服務能夠執行其任務。WSDL文檔還提供了一些特定的技術信息，告訴應用程序如何通過HTTP或其他通信協議與Web服務進行連接和通信。用戶想使用服務提供者所提供的服務，必須首先找到這個服務。UDDI(UniversalDescrip—ti012DiseoveryIntegration，統一描述發現集成)提供了一種、查找服務的方法，使得服務請求者可以在Internet巨大的信息空間中快速、方便地發現要調用的服務，并完成服務間的集成。UDDI是一個基于SOAP協議的、為Web服務提供信息注冊中心的實現標準。同時也包含一組提供Web服務注冊、發現和調用的訪問協議。UDDI通過XML格式的目錄條目將Web服務注冊在UDDI中心的公共注冊表內供其它用戶查詢和使用。UDDI目錄條目包括三個部分：白頁、黃頁和綠頁。白頁提供一般信息，即Web服務的URL和提供者的名稱、地址、聯系方式等基本信息：黃頁提供基于標準分類法的相關產業、產品或提供服務類型以及地域等的分類信息：綠頁提供技術信息，它詳細介紹了訪問服務的接口，以便用戶能夠編寫應用程序以使用Web服務，這是發現潛在Web服務的關鍵。同時，UDDI提供了基于XML的輕量級的數據描述和存儲方式，服務的定義是通過一個稱為類型模型的UDDI文檔來完成的。UDDI本身就是一個Web服務，它通過一組基于SOAP的UDDI的API函數進行訪問。其中查詢API用來查詢定位商業實體、服務、綁定等信息。API被用來在注冊中心或者取消服務。

網絡信息安全技術探討:網絡環境中信息安全技術討論

摘要：隨著全球信息化進程的不斷加速，國內外信息產業領域對信息安全的關注與日俱增，尤其在信息網絡化如此普及的年代，網絡安全與信息產業息息相關。基于網絡環境中的信息安全討論，已成為了網絡安全中的一個重要研究課題。文章就信息安全的研究背景、概念及相關的技術作了全局的分析及討論。

關鍵詞：網絡與信息安全；信息安全認識；信息安全技術

隨著internet的接人，網絡已成為我們生活中必不可少的一部分。隨著計算機網絡的發展，其開放性、共享性、互聯程度擴大，網絡的重要性和對社會的影響也越來越大，但是另一方面病毒、黑客程序、郵件炸彈、遠程偵聽等安全問題逐漸成為當今網絡社會的焦點。下面筆者就幾個方面對網絡環境中信息安全問題作一簡單討論。

1 網絡環境下信息安全研究意義

眾所周知，internet是當今世界上較大的計算機網絡通迅系統，它所提供的信息包括文字、數據、圖像、聲音等形式，它的應用范圍已經涉及到政治、經濟、科學、教育、法律、軍事、物理、體育和醫學等社會生活的各個領域。但是，隨著微電子、光電子、計算機、通信和信息服務業的發展，尤其是以internet為支撐平臺的信息產業的發展，使得網絡安全的重要性日益凸現。信息隨時都可能受到非授權的訪問、篡改或破壞，也可能被阻截、替換而導致無法正確讀取，給網絡的正常運行帶來巨大的威脅，甚至造成網絡癱瘓。

根據美國“世界日報”1993年10月報道：由于高科技犯罪，利用偵讀器攔截衛星通訊用戶號碼，再轉手拷貝出售，1992年美國就有20億美元的國際電話費轉賬混亂造成有關公司嚴重的損失。目前，僅僅銀行的密碼遭他人竊取，美國銀行界每年損失就達數10億美元之巨。在1996年初，美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計顯示，有53％的企業受到過計算機病毒的侵害，42％的企業的計算機系統在過去的12個月被非法使用過，而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。

中國的網絡安全雖然還比較落后，但黑客們卻已經和國際“接軌”。據公安部的資料，1998年中國共破獲電腦黑客案件近百起。利用計算機網絡進行的各類違法行為在中國以每年30％的速度遞增。黑客的攻擊方法已超過計算機病毒的種類，總數達近千種。在中國，針對銀行、證券等金融領域的黑客犯罪案件總涉案金額已高達數億元，針對其他行業的黑客犯罪案件也時有發生。

計算機網絡安全性研究始于20世紀60年代末期。但由于當時計算機的速度和性能較為落后，使用的范圍也不廣，因此有關計算機安全的研究一直局限在較小的范圍。進入20世紀80年代后，計算機的性能得到了極大的提高，應用范圍也在不斷擴大，計算機已遍及世界各個角落。尤其是進入20世紀90年代，計算機網絡出現了爆炸式的發展，這種發展把人們帶到了一個全新的時空，在人們幾乎多方位地依賴計算機網絡的同時，網絡環境下的信息安全問題再次出現在人們面前。

2　信息安全的初步認識

2.1　定義

信息安全是研究在特定的應用環境下，依據特定的安全策略，對信息及其系統實施防護、檢測和恢復的科學。

2.2　研究內容

信息安全的研究涉及數學、計算機、通信、法律等諸多學科，大致可分為基礎理論與應用研究、應用技術研究以及安全管理研究3個領域。其中，基礎理論與應用研究主要包括密碼體制理論、身份識別、訪問控制與授權、安全協議等方面的研究。

2.3　安全目標

信息安全從防護、檢測和恢復體系上看，主要有6個安全目標：機密性、完整性、可用性、真實性、不可抵賴性、可控性。它們的含義解釋如下：

機密性(confidentiality)：指信息不被泄露或暴露給未授權的個人、組織或系統。或者說，只有經授權的用戶才能獲知信息的真實內容，而任何未授權者即使截獲信息也無法讀取信息的真實內容或使用信息。

完整性(integrity)：指信息是完整的、一致的。即信息在生成、存儲、傳輸或使用過程中未受到非授權的篡改或破壞。

不可抵賴性(non-repudiation)：指合法用戶事后無法否認曾發送或接收到信息，或廣義地對其行為不可抵賴。

真實性(authenticity)：指在信息交互過程中想過關的用戶或主體是真實而非假冒或偽裝的。

可控性(controllability)：指主體對系統或數據的訪問是按照一定規則控制的，避免出現非授權操作或使用。

可用性(availability)：分為數據的可用性和系統的可用性。數據的可用性是指授權用戶可根據需要隨時訪問其權限所允許的信息，不會受到干擾或阻礙。系統的可用性是指承載信息的系統按照其預定的規則運行，不會轉移到非暢通狀態，系統可用性與數據可用性具有密切的聯系。

3　信息安全技術

3.1　加密技術

3.1.1　加密技術概述

加密技術能為數據或通信信息流提供機密性。同時，對其他安全機制的實現起主導作用或輔助作用。

加密算法是對消息的一種編碼規則，這種規則的編碼與譯碼依賴于稱為密鑰的參數。用戶使用編碼規則在密鑰控制下把明文消息變為密文，也可以使用譯碼規則在密鑰控制下把密文還原成明文消息。沒有正確的密鑰無法實現加密解密操作，從而使非授權用戶無法還原機密信息。

根據密鑰的特點，目前，加密技術分為兩種：對稱密碼體制和非對稱密碼體制。對稱密碼算法有：des(數據加密標準)及其各種變形、idea算法及aes、rc5等。比較著名的非對稱密碼算法有：rsa、背包密碼、ditter-heuman、圓曲線算法等。

3.1.2　密碼體制

(1)對稱密碼。在對稱密鑰體制中，使用的密鑰必須保密，且加密密鑰與解密密鑰相同，或從加密密鑰可推出解密密鑰，反之亦可。常見加密標準為des等，當使用des時，用戶和接受方采用64位密鑰對報文加密和解密。des主要采用替換和移位的方法加密。它用56位密鑰對64位二進制數據塊進行加密，每次加密可對64位的輸入數據進行16輪編碼，經一系列替換和移位后，輸入的64位原始數據轉換成不同的64位輸出數據。des算法僅使用較大為64位的標準算術和邏輯運算，運算速度快，密鑰生產容易，適合于在當前大多數計算機上用軟件方法實現，同時也適合于在專用芯片上實現。

(2)非對稱密碼。在非對稱密碼體制中，每個使用密碼體制的主體(個人、團體或某系統)均有一對密鑰：一個密鑰可以公開，稱為公鑰；另一個密鑰則必須保密，稱為私鑰，且不能從公鑰推出私鑰。在internet中使用更多的是非對稱密碼系統，即公鑰系統。常用的公鑰加密算法是lisa算法，加密強度很高。發送方在發送數據時，用自己的私鑰加密一段與發送數據相關的數據作為數字簽名，然后與發送數據一起用接收方密鑰加密。當這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名，然后，用發送方公布的公鑰對數字簽名進行解密，如果成功，則確定是由發送方發出的。數字簽名每次還與被傳送的數據和時間等因素有關。由于加密強度高，而且并不要求通信雙方事先要建立某種信任關系或共享某種秘密，因此十分適合intemet網上使用。

3.2　數字簽名

數字簽名也稱電子簽名，在信息安全中包括身份認證、數據完整性、不可否認性以及匿名性等方面有重要應用。數字簽名包括兩個過程：簽名者以給定的數據單元進行簽名，接收者驗證該簽名。

數字簽名的主要工作方式為：報文發送方從報文文本中生成一個128 bit的散列值(或報文摘要)，并用自己的專用密鑰對這個散列值進行加密，形成發送方的數字簽名；然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方；報文接收方首先從接收到的原始報文中計算出128 bit位的散列值(或報文摘要)，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的，通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。

數字簽名技術應用十分廣泛。如電子印章、商務合同等應用中主要采用數字簽名技術，還有虛擬專用網(vpn)協議族、電子郵件安全協議族、web安全協議、安全電子支付協議等密鑰分發都采用了數字簽名技術。

3.3　身份認證

身份認證又稱為鑒別或確認，它通過驗證被認證對象的一個或多個參數的真實性與有效性，來證實被認證對象是否符合或是否有效的一種過程，用來確保數據的真實性。

身份認證在當今社會如金融、醫療、保險、海關、電信、公安等領域起到了舉足輕重的作用。隨著信息技術的飛速發展，電子商務、電子銀行、網絡安全等應用領域亟需高效的自動身份認證技術。分析現有的各種身份認證技術，一般意義上可以分為兩大類。

3.3.1　傳統身份認證技術 傳統的身份證技術可以分為3類： (1)所知：你知道什么，這是基于秘密消息的認證方式。即認證方根據被認證方提供的信息來認證身份，典型的信息如口令、密碼、暗語等。

(2)所有：你有什么，即令牌認證方式。認證方根據被認證方提供的某一實物或憑證來認證身份，典型的如令牌、證件、證書等。

(3)特征：你是什么，即生物特征認證方式。認證方根據提取被認證方的某些特征來認證身份，典型的特征如指紋、虹膜、dna等。

總體來說，這3種認證方式都各有利弊，選擇哪種認證方式要根據自己的情況而定。

3.3.2　雙因素身份認證技術

人們對于網絡安全和信息安全的研究和了解，已經有相當長的一段時間了，因此基于動態密碼技術的雙因素身份認證技術得到了迅速發展，在網絡環境下的身份認證系統中，使用動態密碼卡作為身份確認依據是理想的，每一個動態密碼卡是的裝置，能有效地代表使用者的身份，可以保障被認證對象與需要驗證的身份依據之間嚴格的一一對應關系。通過技術分析，使用密碼卡具有安全性高、保密性強、抗抵賴性、抗重放性、抗暴露性、方便性等優點。所以，現在使用這種雙因素身份認證技術可以為我們的一些網絡使用帶來一定的保障。

3.4　訪問控制

訪問控制機制使用實體的標識、類別或能力，確定權限，并授予訪問權。實體如果試圖進行非授權訪問。將被拒絕。

除了計算機網絡硬設備之外，網絡操作系統是確保計算機網絡安全的最基本部件。它是計算機網絡資源的管理者，必須具備安全的控制策略和保護機制，防止非法入侵者攻破設防而非法獲取資源。網絡操作系統安全保密的核心是訪問控制，即確保主體對客體的訪問只能是授權的，未經授權的訪問是不允許的，其操作是無效的。

3.5　通信量填充——信息隱藏

通信量通填充就是指為了防止敵手對通信量的分析，需要在空閑的信道上發送一些無用的信息，以便蒙蔽對手。在專用通信線路上這種機制非常重要，但在公用信道貌岸然中則要依據環境而定。

信息隱藏則是把一則信息隱藏到看似與之無關的消息中，以便蒙蔽敵手，通常也要和密碼結合才能保障不被敵手發現。

3.6　路由控制

路由控制是對于信息的流經路徑的選擇，為一些重要信息指定路徑。例如通過特定的安全子網、中繼站或連接設備，也可能是要繞開某些不安全的子網、中繼或連接設備。這種路由的安排可以預先安排也可作為恢復的一種方式而由端系統動態指定。恰當的路由控制可以提升環境安全性，從而可以簡化其他安全機制實施的復雜性。

3.7　公證

在兩方或多方通信中，公證機制可以提供數據的完整性，發方、收方的身份識別和時間同步等服務。通信各方共同信賴的公證機構，稱為可信第三方，它保存通信方的必要信息，并以一種可驗證的方式提供上述服務。

3.8　安全標記

安全標記是為數據源所附加的指明其安全屬性的標記。安全標記常常在通信中與數據一起傳送，它可能是與被傳送的數據相連的附加數據，也可能是隱含的信息。

4　結束語

信息安全問題涉及到國家安全和社會公共安全。隨著計算機技術和通信技術的發展，計算機網絡將日益成為信息交換的重要手段，并且已經滲透到社會生活的各個領域。因此，發展信息安全技術是目前面臨的迫切要求，我們要清醒認識網絡的脆弱性和潛在威脅，積極采取有力的安全策略，對于保障網絡的安全非常重要。當然，我們還應看到，像其他技術一樣，入侵者的手段也在不斷提高。在安全防范方面沒有一個一勞永逸的措施，只有通過不斷改進和完善安全手段，才能保障不出現漏洞，保障網絡的正常運轉。

網絡信息安全技術探討:關于計算機網絡信息安全技術初探

[論文關鍵詞]計算機網絡　信息安全　探討

[論文摘要]計算機網絡日益成為重要信息交換手段，認清網絡的脆弱性和潛在威脅以及現實客觀存在的各種安全問題，采取強有力的安全策略，保障網絡信息的安全，是每一個國家和社會以及個人必須正視的事情。本文針對計算機網絡應用相關的基本信息安全問題和解決方案進行了探討。

隨著計算機網絡技術的不斷發展，全球信息化己成為人類發展的大趨勢，計算機網絡已經在同防軍事領域、金融、電信、證券、商業、教育以及日常生活巾得到了大量的應用。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網上信息的安全和保密是一個至關重要的問題。因此，網絡必須有足夠強的安全措施，否則網絡將是尤用的，相反會給使用者帶來各方面危害，嚴重的甚至會危及周家安全。

一、信息加密技術

網絡信息發展的關鍵問題是其安全性，因此，必須建立一套有效的包括信息加密技術、安全認證技術、安全交易議等內容的信息安全機制作為保障，來實現電子信息數據的機密性、完整性、不可否認性和交易者身份認證忡，防止信息被一些懷有不良用心的人看到、破壞，甚至出現虛假信息。

信息加密技術是保障網絡、信息安全的核心技術，是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成不可直接讀取的秘文，阻止非法用戶扶取和理解原始數據，從而確保數據的保密忭。ⅱ月文變成秘文的過程稱為加密，南秘文還原成明文的過程稱為解密，加密、解密使用的町變參數叫做密鑰。

傳統上，幾種方法町以用來加密數據流，所有這些方法都町以用軟件很容易的實現，當只知道密文的時候，是不容易破譯這些加密算法的。好的加密算法塒系統性能幾乎沒有影響，并且還可以帶來其他內在的優點。例如，大家郜知道的pkzip，它既壓縮數據義加密數據。義如，dbms的一些軟件包包含一些加密方法使復制文件這一功能對一些敏感數據是尢效的，或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。

二、防火墻技術

“防火墻”是一個通用術i五，是指在兩個網絡之間執行控制策略的系統，是在網絡邊界上建立的網絡通信監控系統，用來保障計算機網絡的安全，它是一種控制技術，既可以是一種軟件產品，又可以制作或嵌入到某種硬什產品中。防火墻通常是巾軟什系統和硬什設備組合而成，在內部網和外部網之間構建起安全的保護屏障。

從邏輯上講，防火墻是起分隔、限制、分析的作用。實際上，防火墻是加強intranet(內部網)之間安全防御的一個或一組系統，它南一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自intemet的傳輸信息或發出的信息都必須經過防火墻。這樣，防火墻就起到了保護諸如電子郵件傳輸、遠程登錄、布特定的系統問進行信息交換等安全的作用。

防火墻可以被看成是阻塞點。所有內部網和外部網之間的連接郝必須經過該阻塞點，在此進行檢查和連接，只有被授權的通信才能通過該阻塞點。防火墻使內部網絡與外部網絡在一定條件下隔離，從而防止非法入侵及非法使用系統資源。同時，防火墻還日，以執行安全管制措施，記錄所以可疑的事件，其基本準則有以下兩點：

(1)一切未被允許的就是禁止的。基于該準則，防火墑應封鎖所有信息流，然后對希單提供的服務逐項丌放。這是一種非常災用的方法，可以造成一種十分安全的環境，為只有經過仔細挑選的服務才被允許使用。其弊端是，安全件高于片j戶使片j的方便件，用戶所能使用的服務范同受到限制。

(2)一切未被禁止的就是允許的。基于該準則，防火埔轉發所有信息流，然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境，可為用戶提供更多的服務。其弊端是，在口益增多的網絡服務面前，網管人員疲于奔命，特別是受保護的網絡范嗣增大時，很難提供町靠的安全防護。

較傳統的防火墻來說，新一代防火墻具有先進的過濾和體系，能從數據鏈路層到應用層進行多方位安全處理，協議和的直接相互配合，提供透明模式，使本系統的防欺騙能力和運行的健壯件都大大提高；除了訪問控制功能外，新一代的防火墻還集成了其它許多安全技術，如nat和vpn、病毒防護等、使防火墻的安全性提升到義一高度。

三、網絡入侵檢測與安全審計系統設計

在網絡層使用了防火墻技術，經過嚴格的策略配置，通常能夠在內外網之問提供安全的網絡保護，降低了網絡安全風險。但是，儀儀使用防火墻、網絡安全還遠遠不夠。因為日前許多入侵手段如icmp重定向、盯p反射掃描、隧道技術等能夠穿透防火墑進入網絡內部；防火墻無法防護不通過它的鏈接(如入侵者通過撥號入侵)；不能防范惡意的知情者、不能防范來自于網絡內部的攻擊；無法有效地防范病毒；無法防范新的安全威脅；南于性能的限制，防火墻通常不能提供實時動態的保護等。

因此，需要更為完善的安全防護系統來解決以上這些問題。網絡入侵監測與安全審計系統是一種實時的網絡監測包括系統，能夠彌補防火墑等其他系統的不足，進一步完善整個網絡的安全防御能力。網絡中部署網絡入侵檢測與安全審計系統，可以在網絡巾建立完善的安全預警和安全應急反應體系，為信息系統的安全運行提供保障。

在計算機網絡信息安全綜合防御體系巾，審計系統采用多agent的結構的網絡入侵檢測與安全審計系統來構建。整個審計系統包括審計agent，審計管理中心，審計管理控制臺。審計agent有軟什和硬什的形式直接和受保護網絡的設備和系統連接，對網絡的各個層次(網絡，操作系統，應用軟件)進行審計，受審計巾心的統一管理，并將信息上報到各個巾心。審計巾心實現對各種審計agent的數據收集和管理。審計控制會是一套管理軟件，主要實現管理員對于審計系統的數據瀏覽，數據管理，規則沒置功能。管理員即使不在審計中心現場也能夠使用審計控制臺通過遠程連接審計中心進行管理，而且多個管理員可以同時進行管理，根據權限的不同完成不同的職責和任務。

四、結論

當前信息安全技術發展迅速，但沒有任一種解決方案可以防御所有危及信息安全的攻擊，這是“矛”與“盾”的問題，需要不斷吸取新的技術，取眾家所長，才能使“盾”更堅，以防御不斷鋒利的“矛”，因此，要不斷跟蹤新技術，對所采用的信息安全技術進行升級完善，以確保相關利益不受侵犯。

我同信息網絡安全技術的研究和產品開發尚處于起步階段，就更需要我們去研究、丌發和探索，以走m有中國特色的產學研聯合發展之路，趕上或超過發達國家的水平，以此保障我國網絡信息的安全，推動我國圍民經濟的高速發展。