计算机网络信息安全及防护策略研究 　　(2)

　　代理型防火墙也称为代理服务器，位于客户端与服务器之间，完全阻挡了二者间的数据交流。当客户端需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据请求向服务器索取数据，然后再传输给客户端。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内部网络系统。

　　监测型防火墙是新一代防火墙产品，所采用技术已经超越了最初的防火墙的定义。此类型防火墙能够对各层的数据进行主动的、实时的监测，通过分析这些数据，能够有效地判断出各层中的非法侵入。同时，监测型防火墙一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。

　　个人计算机使用的防火墙主要是软件防火墙，通常和杀毒软件配套安装。杀毒软件是我们使用的最多的安全技术这种技术主要针对病毒，可以查杀病毒，且现在的主流杀毒软件还可以防御木马及其他的一些黑客程序的入侵。但要注意，杀毒软件必须及时升级，升级到最新的版本才能有效地防毒。

　　3)及时安装漏洞补丁程序

　　漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当等。美国威斯康星大学的Miller给出一份有关现今流行的操作系统和应用程序的研究报告，指出软件中不可能没有漏洞和缺陷121。如今越来越多的病毒和黑客利用软件漏洞攻击网络用户，比如有名的攻击波病毒就是利用微软的RPC漏洞进行传播，震荡波病毒就是利用Windows的LSASS中存在的一个缓冲区溢出漏洞进行攻击。当我们的系统程序中有漏洞时，就会造成极大的安全隐患。为了纠正这些漏洞，软件厂商发布补丁程序。我们应及时安装漏洞补丁程序，有效解决漏洞程序所带来的安全问题。扫描漏洞可以使用专门的漏洞扫描器，比如COPS、tripwire、tigero等软件，也可使用360安全卫士、瑞星卡卡等防护软件扫描并下载漏洞补丁。

　　4)入侵检测和网络监控技术

　　入侵检测是近年来发展起来的一种防范技术综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法，其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。根据采用的分析技术可以分为签名分析法和统计

　　分析法。签名分析法:用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名，编写到Ds系统的代码里，签名分析实际上是一种模板匹配操作。统计分析法：以统计学为理论基础，以系统正常使用情况下观察到的动作模式为依据来辨别某个动作是否偏离了正常轨道。

　　5)文件加密和数字签名技术

　　文件加密与数字签名技术是为提高信息系统及数据的安全保密性，防止秘密数据被外部窃取、侦听或破坏所采用的主要技术之一。根据作用不同，文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别三种。

　　数据传输加密技术主要用来对传输中的数据流加密，通常有线路加密和端对端加密两种。前者侧重在路线上而不考虑信源与信宿，是对保密信息通过的各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文加密成密文，当这些信息到达目的地时，由收件人运用相应的密钥进行解密，使密文恢复成为可读数据明文。

　　数据存储加密技术的目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方式对本地存储的文件进行加密和数字签名。后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

　　数据完整性鉴别技术主要是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证，达到保密的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

　　数字签名是解决网络通信中特有安全问题的一种有效方法，它能够实现电子文档的辨认和验证，在保证数据的完整性、私有性、不可抵赖性方面有着极其重要的作用。数字签名的算法有很多，其中应用最广泛的是:Hash签名、DSS签名和RSA签名1131。

　　数字签名的实现一般有以下几种形式：1)一般数字签名。发送方A要给接收方B发送消息M,先使用单向散列函数形成信息摘要MD,再进行签名。这样能确认信息的来源和保证信息的完整性。2）用非对称加密算法和单向散列函数进行数字签名。此方法使用两个密钥(公开密钥和私有密钥)分别对数据进行加密和解密。如果用公开密钥对数据进行加密，只有用对应的私有一般数字密钥才能进行解密;如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。这种方法使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。由于发送方私有密钥的保密性，使得接收方既可以根据验证结果来拒收该报文，也能使其无法伪造报文签名及对报文进行修改。3）用对称加密算法进行数字签名。此方法所用的加密密钥和解密密钥通常是相同的，即使不同也可以很容易地由其中的任意一个推导出另一个。在此算法中，加、解密双方所用的密钥都要保守秘密。由于计算速度快而广泛应用于对大量数据库文件的加密过程中，如RD4和DES。4)接收方不可抵赖数字签名。这种方法既可以防止发送方的抵赖，也可以防止接收方的抵赖，适合通信要求比较高的场合。但是这种方法加密和解密次数过多，影响了数据传输的效率。5)基于时间戳的数字签名。该方法引入时间戳的概念，减少了数据加密和解密的次数，也减少了确认信息加密和解密的时间，并且在保证数据传输的可靠性、安全性和发送方、接收方都不可抵赖的情况下提高了数据加密、解密和传输的效率更适合数据传输要求较高的场合。

　　数字签名技术作为信息安全的一项重要技术,其应用领域也日益广泛。伴随着计算机网络的飞速发展,许多领域对数字签名技术提出了新的应用需求。目前应用于一些特殊场合具有特殊用途的数字签名需求正在逐步增长。如防失败签名(Failstop)将防范拥有充足计算资源的攻击者;盲签名

　　(BlindSignature)将更为广泛地用于选举投票和数字货币协议中；而群签名（Group-orientedSignature)在网上大规模的集团采购中会发挥更加重要的作用，将显著降低电子商务交易的成本，大大提高交易的效率[15]。