意入侵破坏。
防火墙( Firewall )是目前预防黑客人侵最有效的技术方案。理论上防火墙概念指的是提供对网络的存取控制功能,保护信息资源,避免不正当的存取。从物理上解释,防火墙是项目内部网和Internet间设置的一种过滤器、限制器,如图2所示[[4]],
采用防火墙技术保护项目信息网,在:%出天通露币毛芍二个场所集中地监视出人信意,防止不正当侵人,只允许被授权的信息通过防火墙作为内部网络安全保障机制,能增强机构内部的安全性,决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问,限制了项目网对Internet的暴露程度,避免Internet的安全性问题对内部项目网的传播。
理想的防火墙应该具有高度安全性、高度透明性及良好的网络性能。因为要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙的过滤、检查和存取控制,如果防火墙本身不能有效地防止渗透,那么将无法提供任何有效的保护项目内部网的被突破。
2数据传递的保密性
项目实施过程中,项目参与各方内部之间,项目信息网内部与外部用户之间时刻存在大量信息流,防火墙技术能够保证信息数据在用户终端存放时的安全,却不能保护信息传递过程中的安全,事实上,用户在网络上相互通信,其安全危险主要来自于非法窃听,例如人侵者通过搭线窃听,截收线路上传递的信息。项目信息多多少少都包含一定等级的商业机密,一旦泄露,事必影响项目实施,使工作陷入被动或掉进对方设置的陷阱。因此,需要对网络传输过程中的信息进行数据加密,在网络信道上传输密文,这样即使中途被截获多少密文,密文中也没有足够的信息可以使截取者唯一地确定出对应的明文,无法理解信息内容。
早在几千年前,人类就已有了通信保密的思想和方法。1949年,信息论创始人C.E.Shannon论证了一般经加密方法得到的密文几乎全部可破[(4]。实际应用中,一个密码体制只要不能被现有可使用的计算资源破译或者解密代价高于信息价值本身时,此密码体制就可称为计算上安全。
目前数据通信中使用最早和最普通的是分组密码中的DES算法。该算法由IBM公司在1975年研制成功,并于1977年正式确定为美国统一数据加密标准DES(Data Encryption Standard )o DES算法的加密思路是输人64比特明文,在64比特密钥控制下,通过初始换位将T变成TO(TO=TP(T)),再对TO经过16层的加密变换,最后通过逆初始变换得到64比特的密文。近20余年来,通过现有解密手段的能力的评价,人们迄今尚未找到破译DES的一种行之有效的方法。正因如此,虽然不断有人对DES算法提出批评与议论,但是DES仍以顽强的生命力占据着加密技术的重要地位。
公开密钥密码体制是另一种较有影响的分组密码体制。与传统密码体制不同,用户的加密密钥与解密密钥并不相同,而从加密密钥求解解密密钥是非常困难的。因此用户的加密密钥可以公开,登记在网络的密钥库中,就象把自己的电话号码公开在电话号码本上,任何人要与该用户通信,只要在公开的密钥库中查得用户的加密密钥,用此加密密钥把明文加密成密文,将密文传送给指定用户,任何人如果没有解密密钥都不能恢复出明文。用户可以用仅有自己知道的解密密钥对收到的密文进行解密,恢复出明文,从而完成保密通信。公钥体制从根本上克服了传统密码体制的困难,解决了密钥分配和消息认证等方面的问题。
3信息身份的认证
身份认证是判明和确认信息传递双方真实身份的重要环节,完整、有效的认证功能包括:可靠性、完整性、不可抵赖性,即信息来源