意入侵破壞��。
防火墻( Firewall )是目前預防黑客人侵最有效的技術(shù)方案���。理論上防火墻概念指的是提供對網(wǎng)絡的存取控制功能����,保護信息資源,避免不正當?shù)拇嫒?���。從物理上解釋,防火墻是項目?nèi)部網(wǎng)和Internet間設置的一種過濾器��、限制器����,如圖2所示[[4]],
采用防火墻技術(shù)保護項目信息網(wǎng),在:%出天通露幣毛芍二個場所集中地監(jiān)視出人信意��,防止不正當侵人����,只允許被授權(quán)的信息通過防火墻作為內(nèi)部網(wǎng)絡安全保障機制,能增強機構(gòu)內(nèi)部的安全性�,決定了哪些內(nèi)部服務可以被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些服務�,以及哪些外部服務可以被內(nèi)部人員訪問,限制了項目網(wǎng)對Internet的暴露程度�,避免Internet的安全性問題對內(nèi)部項目網(wǎng)的傳播�����。
理想的防火墻應該具有高度安全性�、高度透明性及良好的網(wǎng)絡性能��。因為要使一個防火墻有效�����,所有來自和去往Internet的信息都必須經(jīng)過防火墻的過濾�、檢查和存取控制��,如果防火墻本身不能有效地防止?jié)B透�����,那么將無法提供任何有效的保護項目內(nèi)部網(wǎng)的被突破����。
2數(shù)據(jù)傳遞的保密性
項目實施過程中,項目參與各方內(nèi)部之間���,項目信息網(wǎng)內(nèi)部與外部用戶之間時刻存在大量信息流����,防火墻技術(shù)能夠保證信息數(shù)據(jù)在用戶終端存放時的安全�,卻不能保護信息傳遞過程中的安全���,事實上�����,用戶在網(wǎng)絡上相互通信�����,其安全危險主要來自于非法竊聽�,例如人侵者通過搭線竊聽,截收線路上傳遞的信息��。項目信息多多少少都包含一定等級的商業(yè)機密�����,一旦泄露�����,事必影響項目實施���,使工作陷入被動或掉進對方設置的陷阱�����。因此���,需要對網(wǎng)絡傳輸過程中的信息進行數(shù)據(jù)加密�,在網(wǎng)絡信道上傳輸密文����,這樣即使中途被截獲多少密文,密文中也沒有足夠的信息可以使截取者唯一地確定出對應的明文���,無法理解信息內(nèi)容����。
早在幾千年前����,人類就已有了通信保密的思想和方法。1949年����,信息論創(chuàng)始人C.E.Shannon論證了一般經(jīng)加密方法得到的密文幾乎全部可破[(4]。實際應用中���,一個密碼體制只要不能被現(xiàn)有可使用的計算資源破譯或者解密代價高于信息價值本身時,此密碼體制就可稱為計算上安全����。
目前數(shù)據(jù)通信中使用最早和最普通的是分組密碼中的DES算法����。該算法由IBM公司在1975年研制成功��,并于1977年正式確定為美國統(tǒng)一數(shù)據(jù)加密標準DES(Data Encryption Standard )o DES算法的加密思路是輸人64比特明文���,在64比特密鑰控制下�,通過初始換位將T變成TO(TO=TP(T)),再對TO經(jīng)過16層的加密變換����,最后通過逆初始變換得到64比特的密文。近20余年來�����,通過現(xiàn)有解密手段的能力的評價����,人們迄今尚未找到破譯DES的一種行之有效的方法。正因如此�����,雖然不斷有人對DES算法提出批評與議論,但是DES仍以頑強的生命力占據(jù)著加密技術(shù)的重要地位��。
公開密鑰密碼體制是另一種較有影響的分組密碼體制��。與傳統(tǒng)密碼體制不同����,用戶的加密密鑰與解密密鑰并不相同�,而從加密密鑰求解解密密鑰是非常困難的。因此用戶的加密密鑰可以公開�,登記在網(wǎng)絡的密鑰庫中,就象把自己的電話號碼公開在電話號碼本上���,任何人要與該用戶通信����,只要在公開的密鑰庫中查得用戶的加密密鑰�����,用此加密密鑰把明文加密成密文����,將密文傳送給指定用戶,任何人如果沒有解密密鑰都不能恢復出明文�����。用戶可以用僅有自己知道的解密密鑰對收到的密文進行解密��,恢復出明文�����,從而完成保密通信�。公鑰體制從根本上克服了傳統(tǒng)密碼體制的困難,解決了密鑰分配和消息認證等方面的問題�。
3信息身份的認證
身份認證是判明和確認信息傳遞雙方真實身份的重要環(huán)節(jié)��,完整�、有效的認證功能包括:可靠性��、完整性、不可抵賴性����,即信息來源