服務器技術與信息安全技術技術服務和信息技術服務區別

信息安全的相關技術

在市場上比較流行，而又能夠代表未來發展方向的安全產品大致有以下幾類：

成都創新互聯公司從2013年成立，先為洛隆等服務建站，洛隆等地企業，進行企業商務咨詢服務。為洛隆企業網站制作PC+手機+微官網三網同步一站式服務解決您的所有建站問題。

◆ 用戶身份認證：是安全的第一道大門，是各種安全措施可以發揮作用的前提，身份認證技術包括：靜態密碼、動態密碼（短信密碼、動態口令牌、手機令牌）、USB KEY、IC卡、數字證書、指紋虹膜等。

◆防火墻：防火墻在某種意義上可以說是一種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙，阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問。主要技術有：包過濾技術，應用網關技術，代理服務技術。防火墻能夠較為有效地防止黑客利用不安全的服務對內部網絡的攻擊，并且能夠實現數據流的監控、過濾、記錄和報告功能，較好地隔斷內部網絡與外部網絡的連接。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。

◆網絡安全隔離：網絡隔離有兩種方式，一種是采用隔離卡來實現的，一種是采用網絡安全隔離網閘實現的。隔離卡主要用于對單臺機器的隔離，網閘主要用于對于整個網絡的隔離。這兩者的區別可參見參考資料。網絡安全隔離與防火墻的區別可參看參考資料。

◆安全路由器：由于WAN連接需要專用的路由器設備，因而可通過路由器來控制網絡傳輸。通常采用訪問控制列表技術來控制網絡信息流。

◆虛擬專用網(VPN)：虛擬專用網（VPN）是在公共數據網絡上，通過采用數據加密技術和訪問控制技術，實現兩個或多個可信內部網之間的互聯。VPN的構筑通常都要求采用具有加密功能的路由器或防火墻，以實現數據在公共信道上的可信傳遞。

◆ 安全服務器：安全服務器主要針對一個局域網內部信息存儲、傳輸的安全保密問題，其實現功能包括對局域網資源的管理和控制，對局域網內用戶的管理，以及局域網中所有安全相關事件的審計和跟蹤。

◆ 電子簽證機構--CA和PKI產品：電子簽證機構（CA）作為通信的第三方，為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書，為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務，將成為所有應用的計算基礎結構的核心部件。

◆ 安全管理中心：由于網上的安全產品較多，且分布在不同的位置，這就需要建立一套集中管理的機制和設備，即安全管理中心。它用來給各網絡安全設備分發密鑰，監控網絡安全設備的運行狀態，負責收集網絡安全設備的審計信息等。

◆入侵檢測系統（IDS）：入侵檢測，作為傳統保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統中不可或缺的反饋鏈。

◆入侵防御系統（IPS）：入侵防御，入侵防御系統作為IDS很好的補充，是信息安全發展過程中占據重要位置的計算機網絡硬件。

◆安全數據庫：由于大量的信息存儲在計算機數據庫內，有些信息是有價值的，也是敏感的，需要保護。安全數據庫可以確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。

◆ 安全操作系統：給系統中的關鍵服務器提供安全運行平臺，構成安全WWW服務，安全FTP服務，安全SMTP服務等，并作為各類網絡安全產品的堅實底座，確保這些安全產品的自身安全。

◆DG圖文檔加密:能夠智能識別計算機所運行的涉密數據，并自動強制對所有涉密數據進行加密操作，而不需要人的參與。體現了安全面前人人平等。從根源解決信息泄密

信息安全行業中的主流技術如下： 1、病毒檢測與清除技術 2、安全防護技術包含網絡防護技術（防火墻、UTM、入侵檢測防御等）；應用防護技術（如應用程序接口安全技術等）；系統防護技術（如防篡改、系統備份與恢復技術等），防止外部網絡用戶以非法手段進入內部網絡，訪問內部資源，保護內部網絡操作環境的相關技術。 3、安全審計技術包含日志審計和行為審計，通過日志審計協助管理員在受到攻擊后察看網絡日志，從而評估網絡配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，并能為實時防御提供手段。通過對員工或用戶的網絡行為審計，確認行為的合規性，確保信息及網絡使用的合規性。 4、安全檢測與監控技術對信息系統中的流量以及應用內容進行二至七層的檢測并適度監管和控制，避免網絡流量的濫用、垃圾信息和有害信息的傳播。 5、解密、加密技術在信息系統的傳輸過程或存儲過程中進行信息數據的加密和解密。 6、身份認證技術用來確定訪問或介入信息系統用戶或者設備身份的合法性的技術，典型的手段有用戶名口令、身份識別、PKI 證書和生物認證等。

信息安全服務

信息安全服務是指為確保信息和信息系統的完整性、保密性和可用性所提供的信息技術專業服務，包括對信息系統安全的的咨詢、集成、監理、測評、認證、運維、審計、培訓和風險評估、容災備份、應急響應等工作信息安全可以建立、采取有效的技術和管理手段，保護計算機信息系統和網絡內的計算機硬件、軟件、數據及應用等不因偶然或惡意的原因而遭到破壞、更改和泄漏，保障信息系統能夠連續、正常運行。

一個安全有效的計算機信息系統可以同時支持機密性、真實性、可控性、可用性這四個核心安全屬性，而提供信息安全業務的基本目標就是幫助信息系統實現上述全部或大部分內容。電子商務安全從整體上可分為兩大部分：計算機網絡安全和商務交易安全

（一）計算機網絡安全的內容包括：

（1）未進行操作系統相關安全配置

不論采用什么操作系統，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統缺省安裝后，再配上很強的密碼系統就算作安全了。網絡軟件的漏洞和“后門”　是進行網絡攻擊的首選目標。

（2）未進行CGI程序代碼審計

如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網站或軟件供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重后果。

（3）拒絕服務（DoS，Denial　of　Service）攻擊

隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。

（4）安全產品使用不當

雖然不少網站采用了一些網絡安全設備，但由于安全產品本身的問題或使用問題，這些產品并沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

（5）缺少嚴格的網絡安全管理制度

網絡安全最重要的還是要思想上高度重視，網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。

（二）計算機商務交易安全的內容包括：

（1）竊取信息

由于未采用加密措施，數據信息在網絡上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

（2）篡改信息

當入侵者掌握了信息的格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的地。這種方法并不新鮮，在路由器或網關上都可以做此類工作。

（3）假冒

由于掌握了數據的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

（4）惡意破壞

由于攻擊者可以接入網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。電子商務的一個重要技術特征是利用計算機技術來傳輸和處理商業信息。因此，電子商務安全問題的對策從整體上可分為計算機網絡安全措施和商務交易安全措施兩大部分。

1．計算機網絡安全措施

計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。

（一）保護網絡安全。

網絡安全是為保護商務各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下：

（1）全面規劃網絡平臺的安全策略。

（2）制定網絡安全的管理措施。

（3）使用防火墻。

（4）盡可能記錄網絡上的一切活動。

（5）注意對網絡設備的物理保護。

（6）檢驗網絡平臺系統的脆弱性。

（7）建立可靠的識別和鑒別機制。

（二）保護應用安全。

保護應用安全，主要是針對特定應用（如Web服務器、網絡支付專用軟件系統）所建立的安全防護措施，它獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊，如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。

由于電子商務中的應用層對安全的要求最嚴格、最復雜，因此更傾向于在應用層而不是在網絡層采取各種安全措施。

雖然網絡層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。

（三）保護系統安全。

保護系統安全，是指從整體電子商務系統或網絡支付系統的角度進行安全防護，它與網絡系統硬件平臺、操作系統、各種應用軟件等互相關聯。涉及網絡支付結算的系統安全包含下述一些措施：

（1）在安裝的軟件中，如瀏覽器軟件、電子錢包軟件、支付網關軟件等，檢查和確認未知的安全漏洞。

（2）技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對系統用戶進行嚴格安全管理。

（3）建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題，在計算機網絡安全的基礎上，如何保障電子商務過程的順利進行。

各種商務交易安全服務都是通過安全技術來實現的，主要包括加密技術、認證技術和電子商務安全協議等。

（一）加密技術。

加密技術是電子商務采取的基本安全措施，交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。

（1）對稱加密。

對稱加密又稱私鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合于對大數據量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。

（2）非對稱加密。

非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發布（即公鑰），另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密后再發送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。

（二）認證技術。

認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。

（1）數字簽名。

數字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核準和生效的作用。其實現方式是把散列函數和公開密鑰算法結合起來，發送方從報文文本中生成一個散列值，并用自己的私鑰對這個散列值進行加密，形成發送方的數字簽名；然后，將這個數字簽名作為報文的附件和報文一起發送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密；

（2）數字證書。

數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰，加上密鑰所有者的用戶身份標識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構（CA），如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰并得到證書，然后用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，并通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。

（三）電子商務的安全協議。

除上文提到的各種安全技術之外，電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。

（1）安全套接層協議SSL。

SSL協議位于傳輸層和應用層之間，由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與服務器真正傳輸應用層數據之前建立安全機制。當客戶與服務器第一次通信時，雙方通過握手協議在版本號、密鑰交換算法、數據加密算法和Hash算法上達成一致，然后互相驗證對方身份，最后使用協商好的密鑰交換算法產生一個只有雙方知道的秘密信息，客戶和服務器各自根據此秘密信息產生數據加密算法和Hash算法參數。SSL記錄協議根據SSL握手協議協商的參數，對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC，然后經網絡傳輸層發送給對方。SSL警報協議用來在客戶和服務器之間傳遞SSL出錯信息。

（2）安全電子交易協議SET。

SET協議用于劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，給定交易信息傳送流程標準。SET主要由三個文件組成，分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。

SET協議是專為電子商務系統設計的。它位于應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜，交易數據需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外，還有發卡行、收單行、認證中心、支付網關等其它參與者。信息安全工程的監理是在信息安全工程的開發采購階段和交付實施階段為業主單位提供的信息安全保障服務。主要是在項目準備階段、項目實施階段和項目驗收階段通過質量控制、進度控制、合同管理、信息管理和協調，來促使信息安全工程以科學規范的流程，在一定的成本范圍內，按時保質保量地完成，實現項目預期的信息安全目標。

信息安全工程監理的信息安全工程監理模型由三部分組成，即咨詢監理支撐要素（組織結構、設施設備、安全保障知識、質量管理）、監理咨詢階段過程和控制管理措施（“三控制、兩管理、一協調”，即質量控制、進度控制、成本控制、合同管理、信息管理和組織協調）。

信息安全技術有哪些

信息安全技術主要包括以下這些：

信息獲取技術：信息獲取技術分為主動獲取技術和被動獲取技術。主動獲取技術通過向網絡注入數據包后的反饋來獲取信息，這種技術接入方式簡單，能夠獲取廣泛的信息，但會對網絡造成額外負荷。被動獲取技術是在網絡出入口上通過旁路偵聽的方式獲取網絡信息，其特點是接入需要網絡管理者的協作，獲取的內容僅限于進出本地網絡的數據流，不會對網絡造成額外流量，目前大多數網關型內容安全產品都采用被動方式獲取網絡信息。

信息內容分析與識別技術：想要防止非法內容出現在應用中，首先要求內容安全設備能夠識別出非法內容，主要包括文字、聲音、圖像、圖形的識別。識別的準確度和速度是其中的重要指標。文字識別包括關鍵字、特征詞、屬性詞的識別，語法、語義、語用的識別，主題、立場、屬性的識別等。文字識別涉及的技術有串匹配、規則匹配、聚類算法、自然語言處理等。目前的反垃圾郵件、網頁內容過濾產品等基本上都采用基于文字的識別方法。基于內容的音頻和視頻信息檢索是當前多媒體數據庫發展的一個重要研究領域。現在相關的音視、視頻和圖像內容識別分析技術已經部分進入實用階段，主要用于影視盜版監查、廣告監播、色情圖片監查等。

內容分級技術：信息內容分級的主要作用是對國家憲法和其他法律法規中明確的禁載內容，通過過濾、屏蔽等技術手段使其無法在互聯網傳播，對于不違反法律，但是可能對國家、社會、公司、家庭和個人容易造成某些不利影響或傷害的內容，或者只允許特定人群查閱的內容，按明確詳細的規則予以分類處理；方便受眾在接受信息前熟悉該信息的安全級別，保證享有知情權和選擇權；為保護未成年人，可以安裝一些過濾軟件，以隔離對未成年人造成傷害的信息。

信息過濾技術：對于識別出的非法信息內容，需要采取不同的方式進行后續處理，阻止或中斷用戶對其訪問，過濾是常用的阻斷方式。信息過濾技術主要包括基于URL的站點過濾技術、基于內容關鍵字的過濾技術、基于URL內容關鍵字的過濾技術、基于圖像識別的過濾技術、傾向性過濾技術和幾種技術結合的組合過濾技術。目前對傾向性過濾技術的研究和應用還較少。

內容審計技術：內容審計主要指對與安全有關活動的相關信息進行識別、記錄、存儲和分析；審計結果用于檢查網絡上發生了哪些與安全有關的活動。它通過記錄用戶訪問的所有資源和所有訪問過程，實現對網絡的動態實時監控，為用戶事后取證提供手段，也為信息安全的

信息安全技術應用學什么

信息安全技術應用主要學習計算機網絡技術知識、網絡與信息安全基礎、Windows系統的安全防護、網絡攻防技術、Linux服務器配置與管理、網絡安全管理。

信息安全專業作為計算機科學與技術專業下的一級學科，其所包含的知識卻遠不止計算機，還有通信、數學、密碼學、管理等方面的多方面的知識。

信息安全技術應用專業就業方向及前景

網絡信息類企事業單位：網絡信息安全風險檢測和評估、網絡安全系統設計與開發，信息安全管理、網絡系統構建、管理和維護，服務器配置與管理、企業網站及軟件開發與維護。

學生畢業后可在政府機關、國家安全部門、銀行、金融、證券、通信領域從事各類信息安全系統、計算機安全系統的研究、設計、開發和管理工作，也可在IT領域從事計算機應用工作。

以上內容參考：百度百科-信息安全技術應用

信息安全與信息安全技術有什么區別？

什么是信息安全

信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。

信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。

從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。

信息安全的實現目標

◆ 真實性：對信息的來源進行判斷，能對偽造來源的信息予以鑒別。

◆ 保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義。

◆ 完整性：保證數據的一致性，防止數據被非法用戶篡改。

◆ 可用性：保證合法用戶對信息和資源的使用不會被不正當地拒絕。

◆ 不可抵賴性：建立有效的責任機制，防止用戶否認其行為，這一點在電子商務中是極其重要的。

◆ 可控制性：對信息的傳播及內容具有控制能力。

◆ 可審查性：對出現的網絡安全問題提供調查的依據和手段

主要的信息安全威脅

◆ 竊取：非法用戶通過數據竊聽的手段獲得敏感信息。

◆ 截取：非法用戶首先獲得信息，再將此信息發送給真實接收者。

◆ 偽造：將偽造的信息發送給接收者。

◆ 篡改：非法用戶對合法用戶之間的通訊信息進行修改，再發送給接收者。

◆ 拒絕服務攻擊：攻擊服務系統，造成系統癱瘓，阻止合法用戶獲得服務。

◆ 行為否認：合法用戶否認已經發生的行為。

◆ 非授權訪問：未經系統授權而使用網絡或計算機資源。

◆ 傳播病毒：通過網絡傳播計算機病毒，其破壞性非常高，而且用戶很難防范。

信息安全威脅的主要來源

◆ 自然災害、意外事故；

◆ 計算機犯罪；

◆ 人為錯誤，比如使用不當，安全意識差等；

◆ "黑客" 行為；

◆ 內部泄密；

◆ 外部泄密；

◆ 信息丟失；

◆ 電子諜報，比如信息流量分析、信息竊取等；

◆ 信息戰；

◆ 網絡協議自身缺陷缺陷，例如TCP/IP協議的安全問題等等。

信息安全策略

信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。實現信息安全，不但靠先進的技術，而且也得靠嚴格的安全管理，法律約束和安全教育：

◆ 先進的信息安全技術是網絡安全的根本保證。用戶對自身面臨的威脅進行風險評估，決定其所需要的安全服務種類，選擇相應的安全機制，然后集成先進的安全技術，形成一個全方位的安全系統；

◆ 嚴格的安全管理。各計算機網絡使用機構，企業和單位應建立相應的網絡安全管理辦法，加強內部管理，建立合適的網絡安全管理系統，加強用戶管理和授權管理，建立安全審計和跟蹤體系，提高整體網絡安全意識；

◆ 制訂嚴格的法律、法規。計算機網絡是一種新生事物。它的許多行為無法可依，無章可循，導致網絡上計算機犯罪處于無序狀態。面對日趨嚴重的網絡上犯罪，必須建立與網絡安全相關的法律、法規，使非法分子懾于法律，不敢輕舉妄動。

信息安全涉及的主要問題

◆ 網絡攻擊與攻擊檢測、防范問題

◆ 安全漏洞與安全對策問題

◆ 信息安全保密問題

◆ 系統內部安全防范問題

◆ 防病毒問題

◆ 數據備份與恢復問題、災難恢復問題

信息安全技術簡介

目前，在市場上比較流行，而又能夠代表未來發展方向的安全產品大致有以下幾類：

◆ 防火墻：防火墻在某種意義上可以說是一種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙，阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問。主要技術有：包過濾技術，應用網關技術，代理服務技術。防火墻能夠較為有效地防止黑客利用不安全的服務對內部網絡的攻擊，并且能夠實現數據流的監控、過濾、記錄和報告功能，較好地隔斷內部網絡與外部網絡的連接。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。

◆ 安全路由器：由于WAN連接需要專用的路由器設備，因而可通過路由器來控制網絡傳輸。通常采用訪問控制列表技術來控制網絡信息流。

◆ 虛擬專用網(VPN)：虛擬專用網（VPN）是在公共數據網絡上，通過采用數據加密技術和訪問控制技術，實現兩個或多個可信內部網之間的互聯。VPN的構筑通常都要求采用具有加密功能的路由器或防火墻，以實現數據在公共信道上的可信傳遞。

◆ 用戶認證產品：由于IC卡技術的日益成熟和完善，IC卡被更為廣泛地用于用戶認證產品中，用來存儲用戶的個人私鑰，并與其它技術如動態口令相結合，對用戶身份進行有效的識別。同時，還可利用IC卡上的個人私鑰與數字簽名技術結合，實現數字簽名機制。隨著模式識別技術的發展，諸如指紋、視網膜、臉部特征等高級的身份識別技術也將投入應用，并與數字簽名等現有技術結合，必將使得對于用戶身份的認證和識別更趨完善。

◆ 入侵檢測系統（IDS）：入侵檢測，作為傳統保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統中不可或缺的反饋鏈。

◆ 安全數據庫：由于大量的信息存儲在計算機數據庫內，有些信息是有價值的，也是敏感的，需要保護。安全數據庫可以確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。

參考資料：

通過以上你搞懂了信息安全，接下來告訴你網路與信心安全，它是個學科的專業，我的一個朋友的專業就是網絡與信息安全，（你區別以下就行了）我估計網絡與信息安全是信息安全的一個分支。

網路信息安全的關鍵技術（轉）

---- 近幾年來，Internet技術日趨成熟，已經開始了從以提供和保證網絡聯通性為主要目標的第一代Internet技術向以提供網絡數據信息服務為特征的第二代Internet技術的過渡。與此同時，數以萬計的商業公司、政府機構在多年的猶豫、觀望之后，意識到采用Internet技術并使企業數據通信網絡成為Internet的延伸已成為發展趨勢。這使得企業數據網絡正迅速地從以封閉型的專線、專網為特征的第二代技術轉向以Internet互聯技術為基礎的第三代企業信息網絡。所有這些，都促使了計算機網絡互聯技術迅速的大規模使用。

----眾所周知，作為全球使用范圍最大的信息網，Internet自身協議的開放性極大地方便了各種計算機連網，拓寬了共享資源。但是，由于在早期網絡協議設計上對安全問題的忽視，以及在使用和管理上的無政府狀態，逐漸使Internet自身的安全受到嚴重威脅，與它有關的安全事故屢有發生。對網絡安全的威脅主要表現在：非授權訪問、冒充合法用戶、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒、線路竊聽等方面。這就要求我們對與Internet互連所帶來的安全性問題予以足夠重視。

防火墻

----“防火墻”是近年發展起來的一種重要安全技術，其特征是通過在網絡邊界上建立相應的網絡通信監控系統，達到保障網絡安全的目的。防火墻型安全保障技術假設被保護網絡具有明確定義的邊界和服務，并且網絡安全的威脅僅來自外部網絡，進而通過監測、限制、更改跨越“火墻”的數據流，通過盡可能地對外部網絡屏蔽有關被保護網絡的信息、結構，實現對網絡的安全保護。

----“防火墻”技術是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的一種手段。它所保護的對象是網絡中有明確閉合邊界的一個網塊。它的防范對象是來自被保護網塊外部的對網絡安全的威脅。所謂“防火墻”則是綜合采用適當技術在被保護網絡周邊建立的分隔被保護網絡與外部網絡的系統。可見，防火墻技術最適合于在企業專網中使用，特別是在企業專網與公共網絡互連時使用。

----建立“防火墻”是在對網絡的服務功能和拓撲結構仔細分析的基礎上，在被保護網絡周邊通過專用軟件、硬件及管理措施的綜合，對跨越網絡邊界和信息提供監測、控制甚至修改的手段。實現防火墻所用的主要技術有數據包過濾、應用網關(Application Gateway)和代理服務器(Proxy Server)等。在此基礎上合理的網絡拓撲結構及有關技術(在位置和配置上)的適度使用也是保證防火墻有效使用的重要因素。

加密型網絡安全技術

----通常網絡系統安全保障的實現方法可以分為兩大類：以防火墻技術為代表的被動防衛型和建立在數據加密、用戶授權確認機制上的開放型網絡安全保障系統。

----以數據加密和用戶確認為基礎的開放型安全保障技術是普遍適用的，是對網絡服務影響較小的一種途徑，并可望成為網絡安全問題的最終的一體化解決途徑。這一類技術的特征是利用現代的數據加密技術來保護網絡系統中包括用戶數據在內的所有數據流。只有指定的用戶或網絡設備才能夠解譯加密數據，從而在不對網絡環境作特殊要求的前提下從根本上解決網絡安全的兩大要求(網絡服務的可用性和信息的完整性)。這類技術一般不需要特殊的網絡拓撲結構的支持，因而實施代價主要體現在軟件的開發和系統運行維護等方面。這類方法在數據傳輸過程中不對所經過的網絡路徑的安全程度作要求(因而不會受之影響)，從而真正實現網絡通信過程的端到端的安全保障。目前已經有了相當數量的以不同方法實施的這一類安全保障系統。但是由于大部分數據加密算法源于美國，并且受到美國出口管制法的限制而無法在以國際化為特征的 Internet網絡上大規模使用，因而目前以這一途徑實現的系統大多局限在應用軟件層次。在網絡層次上應用和實現的網絡一般相對規模較小，限制了以此作為基礎的全面的網絡安全解決方案的產生。但預計在未來3～5年內，這一類型的網絡安全保障系統有希望成為網絡安全的主要實現方式。

----1. 分類

----數據加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。

----對稱型加密使用單個密鑰對數據進行加密或解密，其特點是計算量小、加密效率高。但是此類算法在分布式系統上使用較為困難，主要是密鑰管理困難，使用成本較高，保安性能也不易保證。這類算法的代表是在計算機專網系統中廣泛使用的DES（Digital Encryption Standard）算法。

----不對稱型加密算法也稱公用密鑰算法，其特點是有二個密鑰（即公用密鑰和私有密鑰），只有二者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有兩個密鑰，它特別適用于分布式系統中的數據加密，在Internet中得到了廣泛應用。其中公用密鑰在網上公布，為數據源對數據加密使用，而用于解密的相應私有密鑰則由數據的收信方妥善保管。

----不對稱加密的另一用法稱為“數字簽名（Digital signature）”，即數據源使用其密鑰對數據的校驗和（Check Sum）或其他與數據內容有關的變量進行加密，而數據接收方則用相應的公用密鑰解讀“數字簽名”，并將解讀結果用于對數據完整性的檢驗。在網絡系統中得到應用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA算法（Digital Signature Algorithm）。不對稱加密法在分布式系統中應用時需注意的問題是如何管理和確認公用密鑰的合法性。

----不可逆加密算法的特征是加密過程不需要密鑰，并且經過加密的數據無法被解密，只有同樣的輸入數據經過同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題，適合在分布式網絡系統上使用，但是其加密計算工作量相當可觀，所以通常用于數據量有限的情形下的加密，如計算機系統中的口令就是利用不可逆算法加密的。近來隨著計算機系統性能的不斷改善，不可逆加密的應用逐漸增加。在計算機網絡中應用較多的有RSA公司發明的MD5算法和由美國國家標準局建議的可靠不可逆加密標準（SHS:Secure Hash Standard）。

----2. 應用

----加密技術用在網絡安全方面通常有兩種形式，即面向網絡或面向應用服務。

----前者通常工作在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息，從而保證網絡的連通性和可用性不受損害。在網絡層上實現的加密技術對于網絡應用層的用戶通常是透明的。此外，通過適當的密鑰管理機制，使用這一方法還可以在公用的互連網絡上建立虛擬專用網絡，并保障虛擬專用網上信息的安全性。SKIP協議即是近來IETF在這一方面努力的結果。

----面向網絡應用服務的加密技術，則是目前較為流行的加密技術的使用方法，例如使用Kerberos服務的Telnet、NFS、Rlogin等，以及用作電子郵件加密的PEM（Privacy Enhanced Mail）和PGP（Pretty Good Privacy）。這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出特殊要求，對電子郵件數據實現了端到端的安全保障。

漏洞掃描技術

----漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術。它查詢TCP/IP端口，并紀錄目標的響應，收集關于某些特定項目的有用信息，如正在進行的服務，擁有這些服務的用戶，是否支持匿名登錄，是否有某些網絡服務需要鑒別等。這項技術的具體實現就是安全掃描程序。

----早期的掃描程序是專門為Unix系統編寫的，隨后情況就發生了變化。現在很多操作系統都支持TCP/IP，因此，幾乎每一種平臺上都出現了掃描程序。掃描程序對提高Internet安全發揮了很大的作用。

----在任何一個現有的平臺上都有幾百個熟知的安全脆弱點。人工測試單臺主機的這些脆弱點要花幾天的時間。在這段時間里，必須不斷進行獲取、編譯或運行代碼的工作。這個過程需要重復幾百次，既慢又費力且容易出錯。而所有這些努力，僅僅是完成了對單臺主機的檢測。更糟糕的是，在完成一臺主機的檢測后，留下了一大堆沒有統一格式的數據。在人工檢測后，又不得不花幾天的時間來分析這些變化的數據。而掃描程序可在在很短的時間內就解決這些問題。掃描程序開發者利用可得到的常用攻擊方法，并把它們集成到整個掃描中。輸出的結果格式統一，容易參考和分析。

----從上述事實可以看出：掃描程序是一個強大的工具，它可以用來為審計收集初步的數據。如同一桿霰彈獵槍，它可以快速而無痛苦地在大范圍內發現已知的脆弱點。

----在掃描程序的發展中，已有的掃描程序大約有幾十種，有的快捷小巧，能夠很好地實現某個單一功能；有的功能完善，界面友好，曾經名噪一時。至今，仍然被廣泛使用的掃描程序有NSS、Strobe、SATAN、Ballista、Jakal、 IdentTCPscan、Ogre、WebTrends Security Scanner、CONNECT、FSPScan、XSCAN、 ISS。

入侵檢測技術

----人們發現只從防御的角度構造安全系統是不夠的。因此，人們開始尋求其他途徑來補充保護網絡的安全，系統脆弱性評估及入侵檢測的研究課題便應運而生。入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程。它不僅檢測來自外部的入侵行為，同時也指內部用戶的未授權活動。入侵檢測應用了以攻為守的策略，它所提供的數據不僅有可能用來發現合法用戶濫用特權，還有可能在一定程度上提供追究入侵者法律責任的有效證據。

----從20世紀80年代初開始，國外就有一些研究機構及學校著手有關系統脆弱性分類的研究，如Information Science Institute、Lawrence Livermore National Laboratories 以及UC Davis Computer Security Lab等。系統脆弱性的研究一方面因為 Internet的迅速膨脹，另一方面因為入侵檢測的興起。對入侵檢測的研究機構也有不少，其中有 Stanford Research Institute 的Computer Science Laboratory（SRI/CSL）， Purdue University 的 COAST （Computer Operations Audit and Security Technology）研究小組，以及美國國家能源部的Lawrence Livermore National Laboratory等機構。系統脆弱性的研究目前仍不很成熟，因為系統脆弱性的涵蓋面很廣，而且還在不斷地增加，對于脆弱性的分類也會因新的漏洞被發現而相應地發展補充，所以它是一個動態的過程。另外，針對不同的目的也要求分類方法有所差別。對于入侵檢測的研究，從早期的審計跟蹤數據分析，到實時入侵檢測系統，到目前應用于大型網絡和分布式系統，基本上已發展成具有一定規模和相應理論的課題。

----(1) 從具體的檢測方法上，將檢測系統分為基于行為的和基于知識的兩類。

----基于行為的檢測指根據使用者的行為或資源使用狀況的正常程度來判斷是否發生入侵，而不依賴于具體行為是否出現來檢測，即建立被檢測系統正常行為的參考庫，并通過與當前行為進行比較來尋找偏離參考庫的異常行為。例如一般在白天使用計算機的用戶，如果他突然在午夜注冊登錄，則被認為是異常行為，有可能是某入侵者在使用。基于行為的檢測也被稱為異常檢測（Anomaly Detection）。

----基于知識的檢測指運用已知攻擊方法，根據已定義好的入侵模式，通過判斷這些入侵模式是否出現來判斷。因為很大一部分入侵是利用了系統的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關系，具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有警戒作用，因為只要部分滿足這些入侵跡象就意味著可能有入侵發生。基于知識的檢測也被稱為誤用檢測（Misuse Detection）。

----(2) 根據檢測系統所分析的原始數據不同，可入侵檢測分為來自系統日志和網絡數據包兩種。

----操作系統的日志文件中包含了詳細的用戶信息和系統調用數據，從中可分析系統是否被侵入以及侵入者留下的痕跡等審計信息。隨著Internet的推廣，網絡數據包逐漸成為有效且直接的檢測數據源，因為數據包中同樣也含有用戶信息。入侵檢測的早期研究主要集中在主機系統的日志文件分析上。因為用戶對象局限于本地用戶，隨著分布式大型網絡的推廣，用戶可隨機地從不同客戶機上登錄，主機間也經常需要交換信息。尤其是Internet的廣泛應用，據統計入侵行為大多數發生在網絡上。這樣就使入侵檢測的對象范圍也擴大至整個網絡。

----在現有的實用系統中，還可根據系統運行特性分為實時檢測和周期性檢測，以及根據檢測到入侵行為后是否采取相應措施而分為主動型和被動型。對于入侵檢測系統的分類可用下圖表示：

----以上僅對網絡信息安全方面的若干技術做了一個簡要的介紹。從中我們可以看到，與計算機黑客的斗爭，是一個“道高一尺，魔高一丈”過程。尤其在最近一年里，黑客的行為表現得更為組織化、規模化，其技術水平普遍都有了很大的提高。如果想要在這場此消彼長的斗爭中保持主動，那么就必須保持一支專業隊伍，不斷跟蹤黑客技術，研究其行為特點，提出自己的反黑客理論及方法，通過深入研究黑客技術，有效地提高系統的管理和應用水平。

網站題目：服務器技術與信息安全技術技術服務和信息技術服務區別
本文網址：http://www.js-pz168.com/article32/dddgspc.html

成都網站建設公司_創新互聯，為您提供靜態網站、、品牌網站建設、軟件開發、網站建設、建站公司

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源：創新互聯

猜你還喜歡下面的內容