9.2 常用信息安全技术

        目前信息安全问题备受社会关注，无论是企业、组织还是个人，都可能受到病毒等的攻击，了解常用的信息安全技术可以在一定程度上保护我们的信息安全，此处介绍几种常见的信息安全技术。

9.2.1 数据加密技术

        在信息技术飞速发展的时代，数据加密技术备受关注，它可以保证信息的保密性。我们通常将未加密的信息称为明文，加密之后的信息称为密文；明文变换成密文的过程称为加密，密文变换成明文的过程称为解密，在变换过程中使用到的算法分别称为加密算法和解密算法，算法使用的关键参数称为密钥。

        加密过程和解密过程所使用的密钥可能是不一样的，按照加密和解密过程所使用的密钥相同与否，可以把加密方法分为对称密钥加密和公开密钥加密两大类。对称密钥加密方法中信息发送者使用的加密密钥与信息接收者使用的解密密钥相同，如图9-7所示，信息发送者与信息接收者的加密密钥和解密密钥都为K_S，信息接收者要想对信息发送者加密的密文进行解密，就必须知道信息发送者使用了什么密钥和加密算法。在这里，我们用m表示明文，那么信息接收者解密密文的公式可以表示为m=K_S（K_S（m））。

图9-7 对称密钥加密的加密机制

        公开密钥加密方法中信息发送者使用的加密密钥与信息接收者使用的解密密钥不同，在这种密钥体系下每个人、每个通信实体都要有两个密钥，即公开密钥和私有密钥。公开密钥是公之于众的，私有密钥只有自己知道。信息发送者给信息接收者发送信息的过程如图9-8所示，信息发送者需要用信息接收者的公开密钥对明文进行加密，得到密文K_B⁺（m），信息接收者收到密文K_B⁺（m）后，使用私有密钥K_B-进行解密便可得到明文。在这里，信息接收者解密密文的公式可以表示为m=K_B^-（K_B⁺（m））。使用这一方法加密得到的密文不同于对称密钥加密得到的密文，信息发送者可以对明文加密得到密文，但他无法对密文进行解密，同样的道理，第三方入侵者也没有办法解开密文，只有信息接收者通过私有密钥才可以解开密文。

图9-8　公开密钥加密的加密机制

9.2.2 认证技术

1.数字签名技术

        数字签名技术是公钥加密技术与数字摘要技术的综合运用，数字签名过程中，只有信息的发送者才能产生一段用于验证的数字串，他人无法伪造。数字签名技术可以确定信息发送者的身份并保证信息的完整性。 数字签名技术的签名过程是：信息发送者在发送信息之前，使用某种算法产生信息摘要，并用自己的私有密钥对这个摘要进行加密，加密好的摘要和原信息会被一起发送给信息接收者，信息接受者先用信息发送者的公开密钥解密收到的加密摘要，再用同一算法对收到的原信息产生信息摘要，对比两摘要，若相同则说明信息是完整的且在传递过程中没有被他人修改，若不相同则说明信息被人修改过。

2.身份认证技术

        身份认证技术可以在信息系统中确认操作者的身份，在我们的生活中经常会使用到身份认证技术，此处列举几个常见的身份认证形式。

（1）静态密码与动态密码

        用户的各种账号密码都是自己设定的，在网络登录时输入正确的密码，计算机就认为操作者是合法用户，反之则视为非法用户。例如用户登录电子邮箱，若用户输入的密码与存在服务器中的密码相同，那么就可以登录邮箱，反之则无法登陆。密码有静态和动态之分，简单来说静态密码就是一个“固定”的密码，不会轻易发生变化，例如银行卡密码，在用户不修改的情况下不会发生变化；动态密码是由某种算法产生的变化的随机数字组合，有效提高交易和登录的安全性，目前动态密码被广泛运用在网银、网游、电子政务等领域。

（2）磁条卡和智能卡

        磁条卡是通过磁性材料来记录用户的身份信息，智能卡则是一种内置集成电路的芯片，芯片中存储着与用户身份相关的数据。相比于磁条卡，智能卡的存储容量更大，使用寿命较长，复制或破译的难度更大，目前智能卡已逐步代替磁条卡。

（3）生物识别

        生物识别是通过可测量生物特征进行身份认证的一种技术，生物特征可以分为身体特征和行为特征，身体特征包括指纹、视网膜、人脸、DNA等；行为特征包括语音、签名等。随着科技的发展，生物识别的应用越来越广泛，例如我们经常接触的指纹识别技术就被广泛应用于门禁系统、支付等领域。

3.PKI/CA

        公钥基础设施（Public Key Infrastructure，简称PKI）为网络通信安全提供了全面的安全服务，例如不可否认性、身份认证、密钥管理等。认证中心（Certificate Authority，简称CA）是一个权威的第三方机构，负责管理PKI下所有用户的证书，可以从管理、法律、运营、规范等多个角度来解决网络信任问题，由此，人们统称为PKI/CA。

        PKI/CA通过发放并维护数字证书建立了一套信任网络，数字证书就像现实生活中的身份证，可以表明用户的真实身份。在进行网络交易时，通过检查对方的数字证书便可判别对方是否可信。

9.2.3 防火墙技术

        防火墙是一种由硬件和软件组成的重要网络防护设备，位于内部网络与外部网络之间的，如图9-9所示。防火墙的目的是在网络之间建立一个安全控制点，内外网络通信的数据流都要经过防火墙，但只有符合安全策略的数据流才可以通过，这可以有效阻止外部网络的入侵。

图9-9 防火墙在网络中的位置

        个人防火墙是运行在单台计算机上的防火墙软件，用户可以用它阻止来源不明的访问，从而有效保护计算机的安全。防火墙有不同的保护级别，用户可以选择防火墙的级别，越高级别的防火墙，安全性能相对越高，但同时也可能会阻止一些用户需要的服务。

9.2.4 VPN技术

        虚拟专用网络（Virtual Private Network，简称VPN）属于远程访问技术，是指在公用网络上架设的专用网络，如图9-10所示。例如某公司的员工身处外地时需要访问公司内网的服务器资源，那么就可以利用互联网连接VPN服务器，然后通过VPN服务器进入公司内网，同时为保证数据安全，VPN服务器与客户机之间的通信会进行加密处理。

        VPN可以帮助远方的员工、合作伙伴等连接到企业内网，方便可靠，但企业不能直接控制基于互联网的VPN的安全，且用户使用无线设备时，VPN存在一定的安全风险。常用的VPN技术主要有MPLS VPN、SSL VPN、IPSec VPN等，MPLS VPN是一种基于MPLS技术的IP VPN，在解决IP网络的重大问题时表现较好，例如服务分类、流量工程等问题；SSL VPN是一种以HTTPS为基础的技术，无需客户端软件，使用较为方便；IPSec VPN是基于IPSec协议的VPN技术，通常公司会采用IPSec VPN来构建分公司之间稳定的VPN。

图9-10 VPN示意图

9.2.5 计算机病毒防范技术

        随着计算机技术的快速发展，计算机病毒也在不断地发生变化，遭受计算机感染的网络进行恢复时比较麻烦，甚至很难恢复成功，这给计算机的安全带来了巨大的挑战。防范计算机病毒是保障计算机安全的重要措置，计算机病毒防范技术可以分为病毒预防技术、病毒检测技术及病毒清除技术。计算机病毒预防技术是利用一些技术手段防止计算机系统被病毒传染；计算机病毒检测技术是用来判定计算机病毒是否存在的一种技术；计算机病毒清除技术是计算机病毒防范技术发展的必然趋势，通过分析研究病毒从而研发出清除病毒的软件。

        个人计算机上的杀毒软件是应用较为广泛的杀毒工具，但它在病毒新种类较少、传播速度较慢、利益危害相对较小的情况下，可有效识别并清除病毒，防止病毒进行破坏。目前，以网络为载体的新病毒，例如游戏木马、邮件病毒等，传播速度剧增，攻击途径多样化，造成的损失和危害巨大，在这种情况下，传统杀毒软件的应用效果便不再理想。个人用户预防计算机病毒时应注意不要打开来历不明的邮件，不要浏览不规范的网站，定期对计算机进行全盘扫描，安装杀毒软件和防火墙，定期备份重要文件等。