趙　秦

摘要:確保網(wǎng)絡(luò)安全己經(jīng)是一件刻不容緩的大事,解決網(wǎng)絡(luò)安全課題具有十分重要的理論意義和現(xiàn)實背景。本文分析了常用網(wǎng)絡(luò)安全策略和安全技術(shù),以及網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢。

關(guān)鍵詞:計算機網(wǎng)絡(luò);信息安全技術(shù);發(fā)展趨勢

隨著 Internet 在全球的普及和發(fā)展,越來越多的計算機用戶可以通過網(wǎng)絡(luò)足不出戶地享受豐富的信息資源、方便快捷地收發(fā)信息。計算機網(wǎng)絡(luò)已經(jīng)和人們的學習、工作緊密的聯(lián)系在一起,成為許多人生活中不可或缺的重要部分。人們在享受網(wǎng)絡(luò)帶來的巨大便利的同時,網(wǎng)絡(luò)安全也正受到前所未有的考驗。網(wǎng)絡(luò)安全是個百說不厭的話題。諸如系統(tǒng)被破壞、數(shù)據(jù)丟失、機密被盜和直接、間接的經(jīng)濟損失等[1,2]。本文分析了常用網(wǎng)絡(luò)安全策略和安全技術(shù),以及網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢。

1 常用網(wǎng)絡(luò)安全技術(shù)

1.1 網(wǎng)絡(luò)安全策略

主要從政策制度及物理保護兩方面討論。(1)政策制度。有效的政策制度環(huán)境,是保障網(wǎng)絡(luò)安全、促進互聯(lián)網(wǎng)健康發(fā)展的重要基礎(chǔ)。政策是政府經(jīng)濟管理職能的體現(xiàn),包括政策的制訂和執(zhí)行兩方面。網(wǎng)絡(luò)安全需要政府綜合運用各種手段,解決諸如結(jié)構(gòu)、布局、組織等一系列發(fā)展需要解答的問題。政府要針對各種網(wǎng)絡(luò)安全問題,采取切實有效的對策、措施,不斷提高防范和保障能力,為人們創(chuàng)造一個能夠確保公眾信心的、安全的網(wǎng)絡(luò)應(yīng)用環(huán)境。法律制度的建立是依法行政所必須的,也是政府行使職能的基礎(chǔ)。網(wǎng)絡(luò)安全已成為國家安全的一個重要組成部分和非傳統(tǒng)安全因素的一個重要方面。(2)物理保護。保證計算機信息系統(tǒng)各種設(shè)備的物理安全,是整個計算機信息系統(tǒng)安全的前提。物理安全對應(yīng)體系層次模型的物理層,用以保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故,以及操作錯誤及各種計算機犯罪行為導(dǎo)致的破壞,電纜、終端、路由器和其他系統(tǒng)硬件容易受到物理危害。

1.2 常用網(wǎng)絡(luò)安全技術(shù)

防火墻技術(shù)。防火墻(Firewall)是內(nèi)部網(wǎng)絡(luò)(局域網(wǎng))和國際互連網(wǎng)(Internet)之間的一道安全屏障,是指設(shè)置在兩個網(wǎng)絡(luò)之間的一組組件(既可以是一組硬件,也可以是一組軟件,還可以是軟、硬件的組合),用于檢測和控制兩個網(wǎng)絡(luò)之間的通信流,允許合法信息包通過,阻止非法信息包通過,以達到對重要信息的存儲和訪問的控制,保護信息系統(tǒng)的安全。防火墻能夠確保護諸如電子郵件、文件傳輸、遠程登錄以及特定系統(tǒng)間信息交換的安全。具體有如下主要功能:防火墻是網(wǎng)絡(luò)安全的屏障;防火墻可以強化網(wǎng)絡(luò)安全策略;對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計;防止內(nèi)部信息的泄露。防火墻的工作原理是按照事先規(guī)定的配置和規(guī)則,監(jiān)控所有通過防火墻的數(shù)據(jù)流,只許授權(quán)的數(shù)據(jù)通過,同時記錄有關(guān)的聯(lián)接來源、服務(wù)器提供的通信量和試圖入侵的任何企圖,以方便網(wǎng)絡(luò)管理員的檢測和跟蹤。防火墻的體系結(jié)構(gòu)主要有三種:雙重宿主主機體系結(jié)構(gòu)、屏蔽主機體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。

入侵檢測系統(tǒng)(IDS)。為了能實時地監(jiān)控網(wǎng)絡(luò)用戶的行為,入侵檢測技術(shù)近年來迅速發(fā)展起來,入侵檢測技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的熱點研究問題。入侵檢測就是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。而進行入侵檢測的軟、硬件的組合就是入侵檢測系統(tǒng)(Intrusion DetectionSystem,簡稱 IDS)。入侵檢測系統(tǒng)的主要功能有如下幾點:識別黑客常用入侵與攻擊手段;監(jiān)控網(wǎng)絡(luò)異常通信;鑒別對系統(tǒng)漏洞及后門的利用;完善網(wǎng)絡(luò)安全管理;顯著提高網(wǎng)絡(luò)安全管理的質(zhì)量。

防病毒技術(shù)。在所有計算機安全威脅中,計算機病毒是較為嚴重的,它不僅發(fā)生的頻率高、損失大,而且潛伏性強、覆蓋面廣。計算機病毒防護是網(wǎng)絡(luò)安全的一個重要領(lǐng)域。病毒防護技術(shù)目前主要有主機防病毒,網(wǎng)關(guān)防病毒兩種形式:主機防病毒的特點是通過主機防病毒代理引擎,實時監(jiān)測電腦的文件訪問和網(wǎng)絡(luò)交換,把文件與預(yù)存的病毒特征碼相比對,發(fā)現(xiàn)病毒就通過刪除病毒特征串實現(xiàn)解毒,或把文件隔離成非執(zhí)行文件的方式,保護電腦主機不受侵害;網(wǎng)關(guān)防病毒是重要的防病毒措施,它采用御毒于網(wǎng)門之外的原則,在網(wǎng)關(guān)位置對可能導(dǎo)致病毒進入的途徑,進行截留查殺,對于管理規(guī)范的網(wǎng)絡(luò)是必要的安全措施。

1.3 其它的網(wǎng)絡(luò)安全技術(shù)

加密技術(shù)。數(shù)據(jù)加密技術(shù)就是對信息進行重新編碼,從而達到隱藏信息內(nèi)容,使非法用戶無法獲取信息真實內(nèi)容的一種技術(shù)手段。常用的加密傳輸方式有,鏈路加密,結(jié)點加密和端到端加密。

身份認證。在這個數(shù)字世界中,一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的,計算機只能識別用戶的數(shù)字身份,所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。常用的身份認證技術(shù)包括,口令認證,數(shù)字簽名,認證和數(shù)字證書等。

訪問控制技術(shù)。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。通過對特定的網(wǎng)段和服務(wù)建立有效的訪問控制體系,可在大多數(shù)的攻擊到達之前進行阻止,從而達到限制非法訪問的目的。

安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)之一。通過對網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù),及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡(luò)風險等級。安全掃描技術(shù)主要分為兩類:主機安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。

數(shù)據(jù)備份和災(zāi)難恢復(fù)。備份不僅在網(wǎng)絡(luò)系統(tǒng)發(fā)生硬件故障或人為失誤時起到保護作用,也在入侵者進行非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護作用。備份是系統(tǒng)災(zāi)難恢復(fù)的前提之一,同時亦是維護網(wǎng)絡(luò)安全的技術(shù)手段之一。

VPN 技術(shù)。VPN 采用加密和認證技術(shù),在公共網(wǎng)絡(luò)上建立安全專用隧道的網(wǎng)絡(luò),從而實現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)、達到私有網(wǎng)絡(luò)的安全級別。VPN 通過使用點到點協(xié)議用戶級身份驗證的方法進行驗證,并且采用點對點加密算法和網(wǎng)際協(xié)議安全機制對數(shù)據(jù)進行加密,這些身份驗證和加密手段由遠程VPN 服務(wù)器強制執(zhí)行。

2 網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢

2.1 防火墻和 IDS 結(jié)合聯(lián)動技術(shù)

為了克服防火墻在實際應(yīng)用中存在的局限,防火墻廠商率先提出了聯(lián)動思想。防火墻聯(lián)動即通過組合的方式,將其他安全技術(shù)與防火墻技術(shù)進行整合,在提高防火墻自身功能和性能的同時,由其他技術(shù)完成防火墻所缺乏的功能,以適應(yīng)網(wǎng)絡(luò)安全整體化、立體化的要求。實現(xiàn)入侵檢測和防火墻之間的聯(lián)動有兩種方式。一種是緊密結(jié)合,即把入侵檢測系統(tǒng)嵌入到防火墻中,即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來源于抓包,而是流經(jīng)防火墻的數(shù)據(jù)流。所有通過的包不僅要接受防火墻檢測規(guī)則的驗證,還需要經(jīng)過入侵檢測,判斷是否具有攻擊性,以達到真正的實時阻斷,這實際上是把兩個產(chǎn)品合成一體。第二種方式是通過開放接口來實現(xiàn)聯(lián)動,即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方調(diào)用,按照一定的協(xié)議進行通信、警報和傳輸。目前開放協(xié)議的常見形式有:安全廠家提供 IDS 的開放接口,供各個防火墻廠商使用,以實現(xiàn)互動。這種方式比較靈活,不影響防火墻和入侵檢測系統(tǒng)的性能。

2.2 入侵防御系統(tǒng)(IPS)

入侵防御系統(tǒng)(IPS)定義為任何能夠檢測已知和未知攻擊并且在沒有人為的干預(yù)下能夠自動阻止攻擊的硬件或者軟件設(shè)備。入侵防御系統(tǒng)(IPS)具有檢測入侵和對入侵做出反應(yīng)兩項功能,可以說是將防火墻、IDS 系統(tǒng)、防病毒和漏洞掃描系統(tǒng)等技術(shù)的優(yōu)點與自動阻止攻擊的功能融為一體,實現(xiàn)對安全事件的共同檢測和深度防御。入侵防護系統(tǒng)(IPS)傾向于提供主動防護,其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截,避免其造成損失,而不是簡單地在傳送異常流量的同時或之后發(fā)出警報。IPS 最大的特點就在于,它不但能檢測到入侵的發(fā)生,而且有能力中止入侵活動的進行;并且,IPS 能夠從不斷更新的模式庫中發(fā)現(xiàn)各種各樣新的入侵方法,從而做出更智能的保護性操作,并減少漏報和誤報。

3 結(jié)語

網(wǎng)絡(luò)安全是保證 Internet/Intranet 健康發(fā)展的基礎(chǔ),是保證企業(yè)信息系統(tǒng)正常運行,保護國家信息基礎(chǔ)設(shè)施成功建設(shè)的關(guān)鍵。隨著信息網(wǎng)絡(luò)技術(shù)應(yīng)用的深入,各類業(yè)務(wù)工作對網(wǎng)絡(luò)和信息系統(tǒng)的依賴日益提高。本文就常用網(wǎng)絡(luò)安全技術(shù)進行總結(jié)分析,并就網(wǎng)絡(luò)安全發(fā)展趨勢進行總結(jié)。

參考文獻

[1] 吳慧. 計算機網(wǎng)絡(luò)安全技術(shù)研究[J]. 硅谷, 2009,05

[2] 呂欣. 我國信息網(wǎng)絡(luò)安全現(xiàn)狀和趨勢[J]. 中國信息界, 2008,10