信息安全技术简述

总第226期2008年第8期

计算机与数字工程

C om puter&

D igital Engineering

V ol.36N o.8

100

信息安全技术简述3

文　卉1)　胡剑波2)

(武汉数字工程研究所1)　武汉　430074)(武汉市武昌区长虹桥37-1号2)　武汉　430064)

摘　要　介绍信息安全模型、信息系统组成,对防火墙、虚拟专用网络、入侵检测系统等信息安全技术的原理及应用进行了阐述。

关键词　信息安全技术　防火墙　虚拟专用网络　入侵检测系统

中图分类号　TP391

D iscussion of Inform ation Security Technique

W en H ui1)　H u J ianbo2)

(W uhan D igital Engineering Institute1),W uhan　430074)(NO.37-1Changhong B rige,W uchang D istrict2),W uhan　430064)

A b s t ra c t　This paper describes the infor m ation security m odel and structure,introduces the p rinci p le and app lication of in2 for m ation security technique w hich is often used in area of infor m ation security.

Ke y w o rd s　infor m ation security technique,firew all,virtual p rivate net w ork,intrusion-detection system s

C la s s N um b e r　TP391

1　引言

按照美国国家安全委员会(CN SS)公布的标准,信息安全定义为保护信息及其重要元素,包括使用、存储和传输这些信息的系统和硬件。信息安全不是绝对的,它不是一个目标,而是一个过程,信息安全应在保护与可用之间保持平衡。面对高速发展的网络科技,如何在不影响工作效率的情况下,做好自身的信息安全防护,保护好自己的核心机密,是当前面临的一项重要的课题。

本文从信息系统组成出发,介绍了当前常用的防火墙技术、虚拟专用网络技术、入侵检测技术、认证技术等信息安全技术。

2　信息系统组成

信息系统组成为信息系统安全的防护提供了方向。信息系统是软件、硬件、数据、人员、过程和网络的完整集合,这6个组件是使用信息作为机构内资源所必需的,每个组件都有自己的安全需求。

软件程序是最容易无意或蓄意攻击的目标;硬件安全主要是防受危害或窃取;数据通常是最有价值的资产,也是蓄意攻击的主要目标,如果能正确使用数据库管理系统,将能提高数据和应用程序的安全性;人员总是信息安全的一个威胁,但在计算机安全中常常被忽视;过程是完成一个特定任务的指令,是另一个常被忽视的组件,如果未授权用户获得一个机构的过程,就会对信息的完整性构成威胁;网络导致了计算机数量的增长,并由此出现了信息安全的需求,当计算机系统相互连接时,应用物理安全的传统工具,如锁和钥匙来限制与信息系统硬件部分的访问和交互已经不够了,还必须实现警告和入侵系统,让系统拥有者知道发生了什么情况。信息及其系统的安全必须使所有的组件得到保护,使其免受潜在的误用和未授权用户的滥用。

3　信息安全技术

了解并掌握好信息安全技术能有效提高对信息系统安全的防护。

3收稿日期:2008年4月8日,修回日期:2008年5月8日

作者简介:文卉,女,助理工程师,研究方向:信息安全。胡剑波,男,工程师,研究方向:数据库。

第36卷(2008)第8期 计算机与数字工程

3.1　防火墙

防火墙类似于建筑防火墙,它防止指定类型的信息在外部世界(不信任网络)和内部世界(信任网络)之间流动。防火墙的发展经历了五个阶段。第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter )技术。1989年,贝尔实验室推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙-应用层防火墙(代理防火墙)的初步结构。第四代防火墙是1992年,U SC 信息科学院开发出了基于动态包过滤(D ynam ic packet filter )技术的第四代防火墙,后来演变为目前所说的状态监视(S tateful inspection )技术。第五代防火墙是1998年,NA I 公司推出了一种自适应代理(A dap tive p roxy )技术,给代理类型的防火墙赋予了全新的意义。

尽管防火墙的发展经过了上述的几代,但是按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防火墙)。3.1.1　包过滤防火墙

第一代:静态包过滤。这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP 源地址、IP 目标地址、传输协议(TC P 、UD P 、ICM P 等等)、TC P /UD P 目标端口、I CM P 消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”,即明确允许那些管理员希望通过的数据包,禁止其他的数据包

。

图1　简单包过滤防火墙

第二代:动态包过滤。这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所

具有的问题。这种技术后来发展成为所谓包状态监测(S tatefu l Inspection )技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中增加或更新条目。3.1.2　代理防火墙

第一代:代理防火墙。代理防火墙也叫应用层网关(A pp lication G atew ay )防火墙

。这种防火墙

图2　动态包过滤防火墙

通过一种代理(Pr oxy )技术参与到一个TCP 连接

的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术

。

图3　传统代理型防火墙

第二代:自适应代理防火墙。自适应代理技术

(A dap tive p roxy )是在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两

个:自适应代理服务器(A dap tive Proxy Server )与动态包过滤器(D ynam ic Packet filter )

。

图4　自适应代理防火墙

3.2　虚拟专用网络(V PN )

是加密技术的一种实现方式,是在不安全的公

共网络上使用数据通信功能的系统之间建立私人的安全网络连接。V PN 常用于安全地把机构的内部网络连接扩展到信任网络之外的远程位置上。虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。能够利用In ternet 或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。

101