計(jì)算機(jī)網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)服務(wù)的可用性（Availability）、網(wǎng)絡(luò)信息的保密性（Confidentiality）和網(wǎng)絡(luò)信息的完整性（Intergrity）。下面把與之相關(guān)的幾個(gè)重要的網(wǎng)絡(luò)安全技術(shù)做一下介紹。

殺毒軟件

與一般單機(jī)的殺毒軟件相比，殺毒軟件的網(wǎng)絡(luò)版市場(chǎng)更多是技術(shù)及服務(wù)的競(jìng)爭(zhēng)。其特點(diǎn)表現(xiàn)在：

首先，殺病毒技術(shù)的發(fā)展日益國(guó)際化。世界上每天有13種到50種新病毒出現(xiàn)，并且60%的病毒均通過(guò)Internet傳播，病毒發(fā)展有日益跨越疆界的趨勢(shì)，殺病毒企業(yè)的競(jìng)爭(zhēng)也隨之日益國(guó)際化。

其次，殺毒軟件面臨多平臺(tái)的挑戰(zhàn)。一個(gè)好的企業(yè)級(jí)殺病毒軟件必須能夠支持所有主流平臺(tái)，并實(shí)現(xiàn)軟件安裝、升級(jí)、配置的中央管理及自動(dòng)化，要達(dá)到這樣的要求需要大量工程師幾年的技術(shù)積累。

第三，殺毒軟件面臨著Internet的挑戰(zhàn)。好的企業(yè)級(jí)殺病毒軟件要保護(hù)企業(yè)所有的可能病毒入口，也就是說(shuō)要支持所有企業(yè)可能用到的Internet協(xié)議及郵件系統(tǒng)，能適應(yīng)并且及時(shí)跟上瞬息萬(wàn)變的Internet時(shí)代步伐?，F(xiàn)今60%以上的病毒是通過(guò)Internet傳播，可以說(shuō)Internet的防毒能力成為殺病毒軟件的關(guān)鍵技術(shù)，在這方面，國(guó)際的殺毒軟件如：Norton、McAfee、熊貓衛(wèi)士走到了前面，它們均可以支持所有的Internet協(xié)議，辨識(shí)出其中病毒。

當(dāng)前國(guó)內(nèi)正從殺病毒軟件的單機(jī)應(yīng)用逐步過(guò)渡到企業(yè)級(jí)的防護(hù)，企業(yè)防病毒軟件的市場(chǎng)無(wú)疑將越來(lái)越大。企業(yè)級(jí)用戶會(huì)更多考慮如何保護(hù)自身的數(shù)據(jù)、程序，對(duì)技術(shù)、服務(wù)和管理的要求比較高。國(guó)內(nèi)大部分的殺毒軟件目前在價(jià)格和對(duì)本土病毒的查殺能力兩個(gè)方面存在著優(yōu)勢(shì)，但在企業(yè)級(jí)的某些特殊性能上存在差距。例如管理方面，一個(gè)企業(yè)要管理1000臺(tái)機(jī)器，Norton的SRC有一臺(tái)管理器就可以處理，它可以自動(dòng)分發(fā)，自動(dòng)安裝到所有機(jī)器里，使管理人員節(jié)省很多時(shí)間，減少重復(fù)勞動(dòng)。另外，企業(yè)級(jí)需要更安全的保護(hù)，現(xiàn)在政府上網(wǎng)、企業(yè)上網(wǎng)都會(huì)遇到很多國(guó)際病毒，國(guó)內(nèi)部分廠商在這些方面尚待改進(jìn)。

防火墻

網(wǎng)絡(luò)安全中系統(tǒng)安全產(chǎn)品使用最廣泛的技術(shù)就是防火墻技術(shù)，即在Internet和內(nèi)部網(wǎng)絡(luò)之間設(shè)一個(gè)防火墻。目前在全球連入Internet的計(jì)算機(jī)中約有三分之一是處于防火墻保護(hù)之下。

對(duì)企業(yè)網(wǎng)絡(luò)用戶來(lái)說(shuō)，如果決定設(shè)定防火墻，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略，即確定什么類型的信息允許通過(guò)防火墻，什么類型的信息不允許通過(guò)防火墻。防火墻的職責(zé)就是根據(jù)本單位的安全策略，對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。

防火墻的技術(shù)實(shí)現(xiàn)通常是基于所謂"包過(guò)濾"技術(shù)，而進(jìn)行包過(guò)濾的標(biāo)準(zhǔn)通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中，包過(guò)濾的標(biāo)準(zhǔn)一般是靠網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問(wèn)控制清單中設(shè)定。訪問(wèn)控制一般基于的標(biāo)準(zhǔn)有：包的源地址、包的目的地址、連接請(qǐng)求的方向（連入或連出）、數(shù)據(jù)包協(xié)議（如TCP/IP等）以及服務(wù)請(qǐng)求的類型（如ftp、www等）等。

除了基于硬件的包過(guò)濾技術(shù)，防火墻還可以利用代理服務(wù)器軟件實(shí)現(xiàn)。早期的防火墻主要起屏蔽主機(jī)和加強(qiáng)訪問(wèn)控制的作用，現(xiàn)在的防火墻則逐漸集成了信息安全技術(shù)中的最新研究成果，一般都具有加密、解密和壓縮、解壓等功能，這些技術(shù)增加了信息在互聯(lián)網(wǎng)上的安全性。現(xiàn)在，防火墻技術(shù)的研究已經(jīng)成為網(wǎng)絡(luò)信息安全技術(shù)的主導(dǎo)研究方向。

當(dāng)然，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性、便利性、靈活性為代價(jià)的，對(duì)防火墻的設(shè)置也不例外。防火墻的隔斷作用一方面加強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全，一方面卻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息系統(tǒng)交流受到阻礙，因此必須在防火墻上附加各種信息服務(wù)的代理軟件來(lái)代理內(nèi)部網(wǎng)絡(luò)與外部的信息交流，這樣不僅增大了網(wǎng)絡(luò)管理開銷，而且減慢了信息傳遞速率。針對(duì)這個(gè)問(wèn)題，近期，美國(guó)網(wǎng)屏（NetScreen）技術(shù)公司推出了第三代防火墻，其內(nèi)置的專用ASIC處理器用于提供硬件的防火墻訪問(wèn)策略和數(shù)據(jù)加密算法的處理，使防火墻的性能大大提高。

需要說(shuō)明的是，并不是所有網(wǎng)絡(luò)用戶都需要安裝防火墻，一般而言，只有對(duì)個(gè)體網(wǎng)絡(luò)安全有特別要求，而又需要和Internet聯(lián)網(wǎng)的企業(yè)網(wǎng)、公司網(wǎng)，才建議使用防火墻。另外，防火墻只能阻截來(lái)自外部網(wǎng)絡(luò)的侵?jǐn)_，而對(duì)于內(nèi)部網(wǎng)絡(luò)的安全還需要通過(guò)對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和管理來(lái)實(shí)現(xiàn)。

加密技術(shù)

網(wǎng)絡(luò)安全的另一個(gè)非常重要的手段就是加密技術(shù)，它的思想核心就是既然網(wǎng)絡(luò)本身并不安全可靠，那么所有重要信息就全部通過(guò)加密處理。加密的技術(shù)主要分兩種：

單匙技術(shù)

這種技術(shù)無(wú)論加密還是解密都是用同一把鑰匙（secretkey）。這是比較傳統(tǒng)的一種加密方法。發(fā)信人用某把鑰匙將某重要信息加密，通過(guò)網(wǎng)絡(luò)傳給收信人，收信人再用同一把鑰匙將加密后的信息解密。這種方法快捷簡(jiǎn)便，即使傳輸信息的網(wǎng)絡(luò)不安全，被別人截走信息，加密后的信息也不易泄露。

但這種方法也存在一個(gè)問(wèn)題，即如果收信者和發(fā)信者不在同一地理位置，那么他們必須確保有一個(gè)安全渠道來(lái)傳送加密鑰匙。但是如果確實(shí)存在這樣一個(gè)安全渠道（如通過(guò)信差、長(zhǎng)途電話等等），他們又何必需要加密呢？后來(lái)出現(xiàn)的雙匙技術(shù)解決了這個(gè)難題。

雙匙技術(shù)

此技術(shù)使用兩個(gè)相關(guān)互補(bǔ)的鑰匙：一個(gè)稱為公用鑰匙（publickey），另一個(gè)稱為私人鑰匙（secretkey）。公用鑰匙是大家被告知的，而私人鑰匙則只有每個(gè)人自己知道。發(fā)信者需用收信人的公用鑰匙將重要信息加密，然后通過(guò)網(wǎng)絡(luò)傳給收信人。收信人再用自己的私人鑰匙將其解密。除了私人鑰匙的持有者，沒有人--即使是發(fā)信者--能夠?qū)⑵浣饷?。公用鑰匙是公開的，可以通過(guò)網(wǎng)絡(luò)告知發(fā)信人（即使網(wǎng)絡(luò)不安全）。而只知道公用鑰匙是無(wú)法導(dǎo)出私人鑰匙的?，F(xiàn)有軟件如Internet免費(fèi)提供的PGP（PrettyGoodPrivacy）可直接實(shí)現(xiàn)這些功能。

加密技術(shù)主要有兩個(gè)用途，一是加密信息，正如上面介紹的；另一個(gè)是信息數(shù)字署名，即發(fā)信者用自己的私人鑰匙將信息加密，這就相當(dāng)于在這條消息上署上了名。任何人只有用發(fā)信者的公用鑰匙，才能解開這條消息。這一方面可以證明這條信息確實(shí)是此發(fā)信者發(fā)出的，而且事后未經(jīng)過(guò)他人的改動(dòng)（因?yàn)橹挥邪l(fā)信者才知道自己的私人鑰匙）；另一方面也確保發(fā)信者對(duì)自己發(fā)出的消息負(fù)責(zé)，消息一旦發(fā)出并署了名，他就無(wú)法再否認(rèn)這一事實(shí)。

如果既需要保密又希望署名，則可以將上面介紹的兩個(gè)步驟合并起來(lái)。即發(fā)信者先用自己的私人鑰匙署名再用收信者的公用鑰匙加密，再發(fā)給對(duì)方。反過(guò)來(lái)收信者只需用自己的私人鑰匙解密，再用發(fā)信者的公用鑰匙驗(yàn)證簽名。這個(gè)過(guò)程說(shuō)起來(lái)有些繁瑣，實(shí)際上很多軟件都可以只用一條命令實(shí)現(xiàn)這些功能，非常簡(jiǎn)便易行。

在網(wǎng)絡(luò)傳輸中，加密技術(shù)是一種效率高而又靈活的安全手段，值得在企業(yè)網(wǎng)絡(luò)中加以推廣。目前，加密算法有多種，大多源于美國(guó)，但是大多受到美國(guó)出口管制法的限制?，F(xiàn)在金融系統(tǒng)和商界普遍使用的算法是美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)DES。近幾年來(lái)我國(guó)對(duì)加密算法的研究主要集中在密碼強(qiáng)度分析和實(shí)用化研究上。

除了上面介紹的幾種之外，還有一些被廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)，在此做一個(gè)簡(jiǎn)單介紹。

身份驗(yàn)證

身份驗(yàn)證是一致性驗(yàn)證的一種,驗(yàn)證是建立一致性證明的一種手段。身份驗(yàn)證主要包括驗(yàn)證依據(jù)、驗(yàn)證系統(tǒng)和安全要求。身份驗(yàn)證技術(shù)是在計(jì)算機(jī)中最早應(yīng)用的安全技術(shù)，現(xiàn)在也仍在廣泛應(yīng)用，它是互聯(lián)網(wǎng)上信息安全的第一道屏障。

存取控制

存取控制規(guī)定何種主體對(duì)何種客體具有何種操作權(quán)力。存取控制是網(wǎng)絡(luò)安全理論的重要方面,主要包括人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、類型控制和風(fēng)險(xiǎn)分析。存取控制也是最早采用的安全技術(shù)之一，它一般與身份驗(yàn)證技術(shù)一起使用，賦予不同身份的用戶以不同的操作權(quán)限，以實(shí)現(xiàn)不同安全級(jí)別的信息分級(jí)管理。

數(shù)據(jù)完整性

完整性證明是在數(shù)據(jù)傳輸過(guò)程中，驗(yàn)證收到的數(shù)據(jù)和原來(lái)數(shù)據(jù)之間保持完全一致的證明手段。檢查是最早采用數(shù)據(jù)完整性驗(yàn)證的方法，它雖不能保證數(shù)據(jù)的完整性，只起到基本的驗(yàn)證作用，但由于它的實(shí)現(xiàn)非常簡(jiǎn)單（一般都由硬件實(shí)現(xiàn)），現(xiàn)在仍廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)的傳輸和保護(hù)中。近幾年來(lái)研究比較多的是數(shù)字簽名等算法，它們雖可以保證數(shù)據(jù)的完整性，但由于實(shí)現(xiàn)起來(lái)比較復(fù)雜，系統(tǒng)開銷比較大，一般只用于完整性要求較高的領(lǐng)域，特別是商業(yè)、金融業(yè)等領(lǐng)域。

安全協(xié)議

安全協(xié)議的建立和完善是安全保密系統(tǒng)走上規(guī)范化、標(biāo)準(zhǔn)化道路的基本因素。一個(gè)較為完善的內(nèi)部網(wǎng)和安全保密系統(tǒng),至少要實(shí)現(xiàn)加密機(jī)制、驗(yàn)證機(jī)制和保護(hù)機(jī)制。

需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因?yàn)榫W(wǎng)絡(luò)安全包含多個(gè)層面，既有層次上的劃分、結(jié)構(gòu)上的劃分，也有防范目標(biāo)上的差別。在層次上涉及到網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等；在結(jié)構(gòu)上，不同節(jié)點(diǎn)考慮的安全是不同的；在目標(biāo)上，有些系統(tǒng)專注于防范破壞性的攻擊，有些系統(tǒng)是用來(lái)檢查系統(tǒng)的安全漏洞，有些系統(tǒng)用來(lái)增強(qiáng)基本的安全環(huán)節(jié)（如審計(jì)），有些系統(tǒng)解決信息的加密、認(rèn)證問(wèn)題，有些系統(tǒng)考慮的是防病毒的問(wèn)題。任何一個(gè)產(chǎn)品不可能解決全部層面的問(wèn)題，這與系統(tǒng)的復(fù)雜程度、運(yùn)行的位置和層次都有很大關(guān)系，因而一個(gè)完整的安全體系應(yīng)該是一個(gè)由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng)，既有技術(shù)的因素，也包含人的因素。用戶需要根據(jù)自己的實(shí)際情況選擇適合自己需求的技術(shù)和產(chǎn)品。

按照前面提到的計(jì)算機(jī)網(wǎng)絡(luò)的安全性內(nèi)容，整個(gè)網(wǎng)絡(luò)安全產(chǎn)品可劃分為系統(tǒng)安全產(chǎn)品和數(shù)據(jù)安全產(chǎn)品。其中系統(tǒng)安全產(chǎn)品可分為防病毒類產(chǎn)品（殺毒軟件）、防火墻類產(chǎn)品和其他防攻擊類產(chǎn)品等；而數(shù)據(jù)安全產(chǎn)品可分為密碼類產(chǎn)品、CA類產(chǎn)品和訪問(wèn)控制類產(chǎn)品等。那么，這些產(chǎn)品的市場(chǎng)情況如何？有哪些品牌的產(chǎn)品？用戶如何選擇呢？

【編輯推薦】

1. MPLS VPN的網(wǎng)絡(luò)安全
2. 網(wǎng)絡(luò)安全之密碼抵御網(wǎng)絡(luò)犯罪的第一道防線
3. 如何選擇可信的網(wǎng)絡(luò)安全培訓(xùn)認(rèn)證機(jī)構(gòu)
4. 網(wǎng)絡(luò)安全新威脅：高級(jí)持續(xù)攻擊時(shí)代披露