摘 要 網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理的安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，以及其他的安全服務(wù)和安全機(jī)制策略，其目標(biāo)是確保計(jì)算機(jī)網(wǎng)絡(luò)的持續(xù)健康運(yùn)行。

關(guān)鍵詞計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)故障;網(wǎng)絡(luò)維護(hù);安全技術(shù)

中圖分類號(hào) TP393文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào)1673-9671-(2009)111-0027-01

1物理隔離技術(shù)

相對(duì)于防火墻、VLAN、VPN等邏輯隔離而言的物理隔離技術(shù)，是指采用物理方式將被保護(hù)的網(wǎng)絡(luò)從開(kāi)放、無(wú)邊界、自由的環(huán)境中獨(dú)立出來(lái)，保護(hù)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)安全、準(zhǔn)確、完整。實(shí)現(xiàn)物理隔離可以在三個(gè)層次進(jìn)行:

⑴ 單機(jī)級(jí)，又分為單主板安全隔離和網(wǎng)絡(luò)安全隔離卡技術(shù)兩種，前者主要依靠雙硬盤(pán)技術(shù)，將內(nèi)、外網(wǎng)絡(luò)轉(zhuǎn)換功能做入BIOS中，并將插槽也分為內(nèi)網(wǎng)和外網(wǎng)，由BIOS控制某種網(wǎng)絡(luò)環(huán)境下，只能使用該種網(wǎng)絡(luò)環(huán)境下的設(shè)備，而不能使用其他網(wǎng)絡(luò)環(huán)境下的設(shè)備;后者是通過(guò)網(wǎng)絡(luò)安全隔離卡上的硬件邏輯控制器實(shí)現(xiàn)在物理層的訪問(wèn)控制，同時(shí)采用了硬件鑰匙來(lái)保證隔離卡本身的安全不被攻破，其安全防護(hù)完全符合物理隔離的要求。

⑵集線器級(jí)，這類集線器需要與專用的客戶端隔離卡相配合使用，在集線器上安裝網(wǎng)絡(luò)選擇器，根據(jù)不同的電平信號(hào)，選擇不同的網(wǎng)絡(luò)連接。

2網(wǎng)絡(luò)認(rèn)證技術(shù)

(1)口令認(rèn)證，當(dāng)被認(rèn)證對(duì)象要求訪問(wèn)提供服務(wù)的系統(tǒng)時(shí)，提供服務(wù)的認(rèn)證方要求被認(rèn)證對(duì)象提交該對(duì)象的口令，認(rèn)證方收到口令后，將其與系統(tǒng)中存儲(chǔ)的用戶口令進(jìn)行比較，以確認(rèn)被認(rèn)證對(duì)象是否為合法訪問(wèn)者。但這種明文輸入的口令，很容易泄密，傳輸過(guò)程中也可能被截獲，系統(tǒng)中所有用戶的口令以文件形式存儲(chǔ)在認(rèn)證方，攻擊者還可以利用系統(tǒng)中存在的漏洞獲取系統(tǒng)的口令文件。而且這種認(rèn)證只能進(jìn)行單向認(rèn)證，即系統(tǒng)可以認(rèn)證用戶，而用戶無(wú)法對(duì)系統(tǒng)進(jìn)行認(rèn)證，這使得攻擊者可能偽裝成系統(tǒng)騙取用戶的口令。

(2)雙因素認(rèn)證，除口令外，還必須擁有系統(tǒng)頒發(fā)的令牌訪問(wèn)設(shè)備，當(dāng)用戶向系統(tǒng)登錄時(shí)，用戶除輸入口令外，還必須輸入令牌訪問(wèn)設(shè)備所顯示的數(shù)字，該數(shù)字與認(rèn)證服務(wù)器同步，不斷變化。這種方法比基于口令的認(rèn)證方法具有更好的安全性，在一定程度上解決了口令認(rèn)證方法中的問(wèn)題

(3)Kerberos，該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，無(wú)需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。在以上情況下， Kerberos 作為一種可信任的第三方認(rèn)證服務(wù)，是通過(guò)傳統(tǒng)的密碼技術(shù)(如:共享密鑰)執(zhí)行認(rèn)證服務(wù)的。

(4)CHAP，使用3次握手周期性的驗(yàn)證對(duì)端身份。在鏈路建立初始化時(shí)這樣做，也可以在鏈路建立后任何時(shí)間重復(fù)驗(yàn)證。

(5)X.509證書(shū)及認(rèn)證框架，X.509給出的鑒別框架是一種基于公開(kāi)密鑰體制的鑒別業(yè)務(wù)密鑰管理。一個(gè)用戶有兩把密鑰:一把是用戶的專用密鑰，另一把是其他用戶都可利用的公共密鑰。用戶可用常規(guī)密鑰(如DES)為信息加密，然后再用接收者的公共密鑰對(duì)DES進(jìn)行加密并將之附于信息之上，這樣接收者可用對(duì)應(yīng)的專用密鑰打開(kāi)DES密鎖，并對(duì)信息解密。

3病毒防護(hù)技術(shù)

在早期的單機(jī)環(huán)境下，病毒主要有寄生性、隱蔽性、非法性、傳染性、破壞性、潛伏性、可觸發(fā)性等特點(diǎn)，隨著計(jì)算機(jī)網(wǎng)絡(luò)在工作、生活、學(xué)習(xí)中發(fā)揮著越來(lái)越重要的作用，各種網(wǎng)絡(luò)安全問(wèn)題逐漸增多，網(wǎng)絡(luò)病毒越發(fā)趨于復(fù)雜，除具有單機(jī)環(huán)境下的特點(diǎn)外，還呈現(xiàn)出感染速度快、擴(kuò)散面廣、傳播的形式復(fù)雜多樣、難于徹底清除、破壞性大等新的特點(diǎn)。與此同時(shí)，許多防病毒廠商也升級(jí)了一些新的防病毒技術(shù)，主要包括數(shù)字免疫系統(tǒng) 、監(jiān)控病毒源技術(shù) 、主動(dòng)內(nèi)核技術(shù) 、“分布式處理”技術(shù) 、安全網(wǎng)管技術(shù)。

4防火墻技術(shù)

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合，包括計(jì)算機(jī)硬件和軟件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外，還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證，防止病毒與黑客侵入等方向發(fā)展。

5入侵檢測(cè)系統(tǒng)(Intrusion detection system，簡(jiǎn)稱IDS)

IDS是英文“Intrusion Detection Systems”的縮寫(xiě)，中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。它作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。具體說(shuō)來(lái)，入侵檢測(cè)系統(tǒng)的主要功能有:監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)，.核查系統(tǒng)配置和漏洞，.評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，識(shí)別已知的攻擊行為，統(tǒng)計(jì)分析異常行為，操作系統(tǒng)日志管理、并識(shí)別違反安全策略的用戶活動(dòng)。

信息網(wǎng)絡(luò)的發(fā)展本身就是信息安全防護(hù)技術(shù)和信息安全攻擊技術(shù)不斷搏弈的過(guò)程。隨著信息安全技術(shù)的發(fā)展，我們經(jīng)歷了從基本安全隔離、主機(jī)加固階段、到后來(lái)的網(wǎng)絡(luò)認(rèn)證階段、直到將行為監(jiān)控和審計(jì)也納入安全的范疇。這樣的演變不僅僅是為了避免惡意攻擊，更重要的是為了提高網(wǎng)絡(luò)的可信度。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以網(wǎng)絡(luò)安全技術(shù)將來(lái)也是一個(gè)隨著反安全技術(shù)發(fā)展而不斷發(fā)展的技術(shù)。

參考文獻(xiàn)

[1] (美)GoncalvesM，宋書(shū)名，朱智強(qiáng)，徐開(kāi)勇.防火墻技術(shù)指南[M].北京:機(jī)械工業(yè)出版社 .

[2]龔儉，陸晟，王倩:計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M].南京:東南大學(xué)出版社.

[3]戴宗坤.信息系統(tǒng)安全[M].北京:金城出版社.

[4]晏蒲柳.大規(guī)模智能網(wǎng)絡(luò)管理模型方法[J].計(jì)算機(jī)應(yīng)用研究.

[5]周楊，家海，任憲坤，王沛瑜.網(wǎng)絡(luò)管理原理與實(shí)現(xiàn)技術(shù)[M].北京:清華大學(xué)出版社.