意入侵破壞。
防火墻( Firewall )是目前預(yù)防黑客人侵最有效的技術(shù)方案�����。理論上防火墻概念指的是提供對(duì)網(wǎng)絡(luò)的存取控制功能�����,保護(hù)信息資源,避免不正當(dāng)?shù)拇嫒?��。從物理上解釋���,防火墻是?xiàng)目內(nèi)部網(wǎng)和Internet間設(shè)置的一種過濾器、限制器��,如圖2所示[[4]]�,
采用防火墻技術(shù)保護(hù)項(xiàng)目信息網(wǎng),在:%出天通露幣毛芍二個(gè)場(chǎng)所集中地監(jiān)視出人信意���,防止不正當(dāng)侵人����,只允許被授權(quán)的信息通過防火墻作為內(nèi)部網(wǎng)絡(luò)安全保障機(jī)制���,能增強(qiáng)機(jī)構(gòu)內(nèi)部的安全性�,決定了哪些內(nèi)部服務(wù)可以被外界訪問��,外界的哪些人可以訪問內(nèi)部的哪些服務(wù)��,以及哪些外部服務(wù)可以被內(nèi)部人員訪問,限制了項(xiàng)目網(wǎng)對(duì)Internet的暴露程度�����,避免Internet的安全性問題對(duì)內(nèi)部項(xiàng)目網(wǎng)的傳播���。
理想的防火墻應(yīng)該具有高度安全性、高度透明性及良好的網(wǎng)絡(luò)性能�。因?yàn)橐挂粋€(gè)防火墻有效,所有來自和去往Internet的信息都必須經(jīng)過防火墻的過濾��、檢查和存取控制�,如果防火墻本身不能有效地防止?jié)B透,那么將無法提供任何有效的保護(hù)項(xiàng)目內(nèi)部網(wǎng)的被突破���。
2數(shù)據(jù)傳遞的保密性
項(xiàng)目實(shí)施過程中���,項(xiàng)目參與各方內(nèi)部之間,項(xiàng)目信息網(wǎng)內(nèi)部與外部用戶之間時(shí)刻存在大量信息流���,防火墻技術(shù)能夠保證信息數(shù)據(jù)在用戶終端存放時(shí)的安全����,卻不能保護(hù)信息傳遞過程中的安全,事實(shí)上��,用戶在網(wǎng)絡(luò)上相互通信���,其安全危險(xiǎn)主要來自于非法竊聽�,例如人侵者通過搭線竊聽���,截收線路上傳遞的信息�����。項(xiàng)目信息多多少少都包含一定等級(jí)的商業(yè)機(jī)密�����,一旦泄露�����,事必影響項(xiàng)目實(shí)施���,使工作陷入被動(dòng)或掉進(jìn)對(duì)方設(shè)置的陷阱。因此�,需要對(duì)網(wǎng)絡(luò)傳輸過程中的信息進(jìn)行數(shù)據(jù)加密���,在網(wǎng)絡(luò)信道上傳輸密文,這樣即使中途被截獲多少密文���,密文中也沒有足夠的信息可以使截取者唯一地確定出對(duì)應(yīng)的明文��,無法理解信息內(nèi)容。
早在幾千年前����,人類就已有了通信保密的思想和方法。1949年�,信息論創(chuàng)始人C.E.Shannon論證了一般經(jīng)加密方法得到的密文幾乎全部可破[(4]。實(shí)際應(yīng)用中�,一個(gè)密碼體制只要不能被現(xiàn)有可使用的計(jì)算資源破譯或者解密代價(jià)高于信息價(jià)值本身時(shí),此密碼體制就可稱為計(jì)算上安全�。
目前數(shù)據(jù)通信中使用最早和最普通的是分組密碼中的DES算法。該算法由IBM公司在1975年研制成功����,并于1977年正式確定為美國統(tǒng)一數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard )o DES算法的加密思路是輸人64比特明文,在64比特密鑰控制下�,通過初始換位將T變成TO(TO=TP(T)),再對(duì)TO經(jīng)過16層的加密變換�����,最后通過逆初始變換得到64比特的密文。近20余年來�����,通過現(xiàn)有解密手段的能力的評(píng)價(jià)�����,人們迄今尚未找到破譯DES的一種行之有效的方法����。正因如此,雖然不斷有人對(duì)DES算法提出批評(píng)與議論��,但是DES仍以頑強(qiáng)的生命力占據(jù)著加密技術(shù)的重要地位��。
公開密鑰密碼體制是另一種較有影響的分組密碼體制�。與傳統(tǒng)密碼體制不同,用戶的加密密鑰與解密密鑰并不相同����,而從加密密鑰求解解密密鑰是非常困難的。因此用戶的加密密鑰可以公開����,登記在網(wǎng)絡(luò)的密鑰庫中�����,就象把自己的電話號(hào)碼公開在電話號(hào)碼本上��,任何人要與該用戶通信�����,只要在公開的密鑰庫中查得用戶的加密密鑰,用此加密密鑰把明文加密成密文����,將密文傳送給指定用戶,任何人如果沒有解密密鑰都不能恢復(fù)出明文����。用戶可以用僅有自己知道的解密密鑰對(duì)收到的密文進(jìn)行解密,恢復(fù)出明文����,從而完成保密通信。公鑰體制從根本上克服了傳統(tǒng)密碼體制的困難�����,解決了密鑰分配和消息認(rèn)證等方面的問題。
3信息身份的認(rèn)證
身份認(rèn)證是判明和確認(rèn)信息傳遞雙方真實(shí)身份的重要環(huán)節(jié)��,完整�����、有效的認(rèn)證功能包括:可靠性���、完整性�、不可抵賴性���,即信息來源