电子商务师考试：信息安全技术

　　1.6 登录日志

　　登录日志是试图搜集有关发生的特定事件信息的信息安全技术，其目的是提供检查追踪记录(在发生了安全事件之后，可以追踪它)。

　　登录日志是被动的信息安全技术，因为是在发生了安全事件之后，才使用它追踪安全事件。在各个层次上执行登录日志：

　　(l)在应用层：特定的软件应用程序监控其他软件应用程序，并且记录那些软件应用程序引起的事件。

　　(2)在主机层：特定的软件应用程序监控操作系统运行的进程，并且记录那些进程引起的事件。

　　(3)在网络层：特定的硬件或者软件应用程序能够在它经过网络中的特定点上的网络监控器时，监控网络业务。

　　1.7 远程接入

　　远程接入是允许某个人或者进程接入远程服务的信息安全技术。但是，接入远程服务并不总是受控的，有可能匿名接入远程服务，并造成威胁。例如，可能错误地将一些系统配置为默认地允许匿名连接，但是根据机构的安全策略来说，实际上不应该允许匿名连接。

　　远程接入是被动的信息安全技术，因为它使一个人或者进程能够根据他们的接入权限连接到远程服务。在主机层执行远程接入：

　　(l)在主机层：特定的主机运行服务，使远端的人或者进程能够连接到它，并且根据他们的特定接入权限允许接入。

　　2 主动的网络信息安全技术

　　2.1 密码术

　　密码术是将明文变成密文和把密文变成明文的技术或科学，用于保护数据机密性和完整性。密码术包括两个方面：加密是转换或者扰乱明文消息、使其变成密文消息的进程;解密是重新安排密文、将密文消息转换为明文消息的进程。

　　由于密码术是通过对数据加密、在潜在威胁可能出现之前保护数据，所以它是主动的网络信息安全技术。在以下层次上执行密码术：

　　(l)在应用层：特定的应用程序在入侵者能够截取敏感数据之前执行加密进程。

　　(2)在网络层：硬件加密(不是软件加密)可以发生在网络层上放置硬件加密模型的任何地方。

　　2.2 数字签名

　　数字签名与手写签名是等效的，它们有相同的目的：将只有某个个体才有的标记与文本正文相关联。与手写签名一样，数字签名必须是不可伪造的，换句话说，应该只有消息的合法发送方才能创建数字签名。数字签名是使用加密算法创建的，使用建立在公开密钥加密技术基础上的“数字签名”技术，可以在电子事务中证明用户的身份，就像兑付支票时要出示有效证件一样。用户也可以使用数字签名来加密邮件以保护个人隐私。

　　数字签名是主动的信息安全技术，因为是在出现任何怀疑“消息的特定发送方不是真正的预期发送方”之前，创建数字签名。因此，创建数字签名预先指出消息的特定发送方是那个消息的惟一创建者。在应用层上执行数字签名：

　　(l)数字签名是在被发送给特定的接收者之前，由特定的应用程序创建的。

　　2.3 数字证书

　　数字证书试图解决Internet上的信任问题。数字证书是由信任的第三方(也称为认证机构，CA)颁发的。CA 是担保Web上的人或者机构身份的商业组织。因此，在Web用户之间建立了信任网络。用简单的术语来说，“信任”或者“担保”的概念可以叙述为是“我信任的某个人――CA――信任这个另外的人，所以我也将信任他”。

　　由于证书用于将通信一方的公钥发送给通信的另一方，可以在双方通信之前建立信任，所以数字证书是主动的信息安全技术。在应用层执行数字证书：

　　(l)特定的应用程序(例如Web浏览器)在通信开始之前验证它可以信任特定的通信方。

　　2.4 虚拟专用网

　　虚拟专用网(VPN)能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。VPN支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。VPN技术采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输，因此该技术与密码术紧密相关。但是，普通加密与VPN之间在功能上是有区别的：只有在公共网络上传输数据时，才对数据加密――不加密在发起主机和VPN主机之间传输的数据。

　　VPN是主动的信息安全技术，因为它通过加密数据、在公共网络上传输数据之前保护它，因此只有合法个体才能阅读该信息。而且，VPN运行在网络层：

　　(l)在网络上发送加密数据之前，在位于网络入口上的两个VPN主机之间执行加密进程。

　　2.5 漏洞扫描

　　漏洞扫描(VS)使用它们可以标识的漏洞的特征。因此，VS其实是入侵检测的特例。因为漏洞扫描定期而不是连续扫描网络上的主机，所以也将其称为定期扫描。由于VS试图在入侵者或者恶意应用可以利用漏洞之前标识漏洞，所以它是主动的信息安全技术。而且，VS运行在主机层：

　　(l)VS在整个主机上扫描漏洞，试图标识特定主机的所有软件应用程序和硬件中的漏洞。

　　2.6 病毒扫描

　　计算机病毒是具有自我复制能力的并具有破坏性的恶意计算机程序，它会影响和破坏正常程序的执行和数据的安全。它不仅侵入到所运行的计算机系统，而且还能不断地把自己的复制品传播到其他的程序中，以此达到破坏作用。当内部客户上网接收邮件、浏览主页或下载文件时，病毒和一些恶意代码(如ActiveX control 和java applet)能感染客户的主机，对企业内部网络进行攻击，使企业蒙受巨大的损失。目前，病毒已成为黑客对系统进行攻击的一个有效的手段。因此，已经开发了防病毒扫描器来抵制计算机病毒。

　　病毒扫描试图在病毒和函数引起严重的破坏之前扫描它们，和VS非常类似：它们也“知道”特定病毒的具体特征。因此，病毒软件也是主动的信息安全技术。而且，在以下层次上执行病毒扫描：

　　(l)在应用层：特定的应用程序扫描已知病毒的特征，试图在它们引起严重破坏之前检测到它们。应用层上的病毒往往是“静态的”(例如特洛伊木马)。

　　(2)在主机层：病毒(通过使用EMAIL程序，能够复制它们自己)几乎可以在主机的任何地方引起恶意的活动。必须在这类病毒启动它们的恶意活动之前，在整个主机上扫描它们。

　　2.7 安全协议

　　属于信息安全技术的安全协议包括有IPSec和Kerberos等。这些协议使用了“规范计算机或者应用程序之间的数据传输、从而在入侵者能够截取这类信息之前保护敏感信息”的标准过程。

　　安全协议是主动的信息安全技术，因为它们使用特定的安全协议，试图在入侵者能够截取这类信息之前保护敏感信息。安全协议运行在以下层次上：

　　(l)在应用层：安全协议(例如Kerberos)是相互身份验证的协议，在应用层上处理身份验证。

　　(2)在网络层：安全协议还依赖网络基础结构执行它的安全任务，它是加密数据、还是只是封装分组以达到隐藏分组标识的安全目的。

　　2.8 安全硬件

　　安全硬件指的是用于执行安全任务的物理硬件设备，例如硬件加密模块或者硬件路由器。安全硬件是一个主动的信息安全技术，因为它在潜在威胁可能出现之前保护数据(例如加密数据)。安全硬件是由防止窜改的物理设备组成的，因此阻止了入侵者更换或者修改硬件设备。在以下各个层次上实现安全硬件：

　　(l)在主机层：可以将硬件设备附加到特定的主机上，执行它自己的安全功能，例如可以将硬件密钥插到主机的特定端口中，在特定用户能够登录到该主机之前验证用户的身份。

　　(2)在网络层：可以将硬件加密模块放在网络上，这提供了防止窜改的解决办法，并且可以在物理上加以保护。

　　2.9 安全SDK

　　安全软件开发工具包(SDK)是用于创建安全程序的编程工具。由于可以使用安全SDK开发各种软件安全应用程序，从而在潜在威胁可能出现之前保护数据，所以安全SDK是主动的信息安全技术。安全SDK用于开发各个层次上的安全软件：

　　(l)在应用层：通过对磁盘上的数据加密，可以开发特定的软件应用程序保护数据。

　　(2)在主机层：可以开发特定的软件应用程序向主机证明用户或者进程是真实的。

　　(3)在网络层：通过在将数据发送到网络之前对它加密，开发特定的软件应用程序保护数据。

　　3.总结

　　随着Internet的迅速发展，网络信息安全面临着严重威胁，网络和信息的安全问题越来越受到人们的重视，必须采取有效措施才能保证网络信息安全。本文综述并且提出了网络信息安全技术的新分类方法，以利于机构、个人选择可以利用的网络信息安全技术，并且也助于进行新的网络信息安全技术的研究。

　　网络信息安全技术还需要不断的完善和发展，例如入侵检测系统仍然不够智能――仍然需要人类的太多交互才能建立和维护入侵检测系统。另外，漏洞扫描器要花费太多的资源和时间才能足够有效。合并各种信息安全技术从而构成更智能的信息安全技术也是今后的一个研究热点。例如，不久的将来，有可能合并防火墙、入侵检测系统和防病毒扫描器技术以构成更加鲁棒的网络信息安全技术。