一、信息安全隔离技术

在大规模使用互联网的网络环境中 , 内部的业务专用服务器以各种形态运营。这些服务器包含了企业内部的财务信息、人事信息、 生产信息、产品成本等重要资料。 若这些资料落入他人之手,会带来严重的损失。

当这些服务器与互联网连接时 , 为防止外部的非法入侵行为破坏内部资源, 企业通常采用防火墙等安全防范措施。 但是, 至今为止防火墙只能从逻辑上隔离外部网. 所以入侵行为随时可能发生。

通过增加物理隔离方式 , 可有效的保护内部网络资源, 阻止外部入侵行为。

二、加密认证策略

信息加密是网络安全的有效策略之一。一个加密的网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

信息加密的目的是保护计算机网络内的数据、文件，以及用户自身的敏感信息。网络加密常用的方法有链路加密、端到端加密和节点加密三种。链路加密的目的是保护链路两端网络设备间的通信安全；节点加密的目的是对源节点计算机到目的节点计算机之间的信息传输提供保护；端到端加密的目的是对源端用户到目的端用户的应用系统通信提供保护。用户可以根据需求酌情选择上述加密方式。

信息加密过程是通过各种加密算法实现的，目的是以尽量小的代价提供尽量高的安全保护。在大多数情况下，信息加密是保证信息在传输中的机密性的惟一方法。据不完全统计，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密钥算法和公开密钥算法。

采用常规密钥方案加密时，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的，其优点是保密强度高，能够经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，密钥管理成为系统安全的重要因素。采用公开密钥方案加密时，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。公开密钥加密方案的优点是可以适应网络的开放性要求，密钥管理较为简单，尤其可方便地实现数字签名和验证。

加密策略虽然能够保证信息在网络传输的过程中不被非法读取，但是不能够解决在网络上通信的双方相互确认彼此身份的真实性问题。这需要采用认证策略解决。所谓认证，是指对用户的身份“验明正身”。目前的网络安全解决方案中，多采用两种认证形式，一种是第三方认证，另一种是直接认证。基于公开密钥框架结构的交换认证和认证的管理，是将网络用于电子政务、电子业务和电子商务的基本安全保障。它通过对受信用户颁发数字证书并且联网相互验证的方式，实现了对用户身份真实性的确认。

除了用户数字证书方案外，网络上的用户身份认证，还有针对用户账户名+静态密码在使用过程中的脆弱性推出的动态密码认证系统，以及近年来正在迅速发展的各种利用人体生理特征研制的生物电子认证方法。另外，为了解决网络通信中信息的完整性和不可否认性，人们还使用了数字签名技术。

三、信息认证加密的解决方案

认证加密(AE)是指在通信中同时提供保密性和认证(完整性)的加密系统。许多应用和协议中都同时需要这两种形式的安全性保证。对于消息M有四种同时提供认证和加密的通用方案。

先Hash再加密(H→E)。对于M首先使用密码学Hash函数计算h=H(M),然后将消息和Hash值一起加密:E(K,(M‖h))

先认证再加密(A→E)。使用两个密钥。首先通过计算MAC值T=MAC(K1,M)对明文进行认证,然后将消息和MAC一起加密:E(K2,[M‖T])。

先加密再认证(E→A)。使用两个密钥。首先加密消息得到密文C=E(K2,M),然后通过计算MAC值T=MAC(K1,C)并考查(C,T)对明文进行认证。

独立进行加密和认证(E+A)。使用两个密钥。加密消息得到密文C=E(K2,M);通过计算MAC值T=MAC(K1,M)并考查(C,T)对明文进行认证。这两个步骤的先后顺序可以交换。

对于每种方案,可直接进行解密和验证。对于H→E、A→E和E+A,要先解密,后验证。对于E→A,要先验证,后解密。这些方案都存在有安全缺陷。H→E方案在无线加密协议中用于保护WiFi网络,该方案存在根本性的缺陷以至于WEP协议被取代。设计恰当的话,这些方案都能够提供高强度的安全性。