【摘要】本文分析了目前的網(wǎng)絡(luò)安全現(xiàn)狀和現(xiàn)有的網(wǎng)絡(luò)防護(hù)技術(shù)，并對這些防護(hù)技術(shù)做了簡單的介紹。分析得出目前的網(wǎng)絡(luò)防護(hù)以被動防護(hù)為主，僅是被動的防護(hù)不能提供給網(wǎng)絡(luò)提供最大的安全性，網(wǎng)絡(luò)需要主動型的防護(hù)。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；主動防護(hù)

一、網(wǎng)絡(luò)信息安全的現(xiàn)狀

網(wǎng)絡(luò)在給人們帶來信息共享等種種方便的同時，也帶來了較多的負(fù)面影響。主要面臨的安全威脅有病毒入侵、黑客入侵、信息的丟失與篡改。此外，隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，或由于程序員在軟件設(shè)計過程中的缺陷或疏忽等而存在的漏洞，也是網(wǎng)絡(luò)安全的主要威脅之一。

1.物理傳輸對網(wǎng)絡(luò)信息安全的威脅

網(wǎng)絡(luò)通信都要通過通信線路、調(diào)制解調(diào)器（轉(zhuǎn)換器）、網(wǎng)絡(luò)級聯(lián)設(shè)備等物理部件，而這些也往往成為攻擊者的切入點(diǎn)。主要有以下幾方面：

（1）非法監(jiān)聽：不法分子通過通信設(shè)備的監(jiān)聽功能，捕獲無線網(wǎng)絡(luò)傳輸信號，由于黑客和攻擊者對于一些通用的加密算法，已有一整套完備的破解方案，因此能夠較輕易地獲取傳輸內(nèi)容。

（2）非法終端：在現(xiàn)有終端上并接一個終端，或合法用戶從網(wǎng)上斷開時，非法用戶乘機(jī)接入并操縱該計算機(jī)通信接口，或由于某種原因使信息傳到非法終端。

2.軟件對網(wǎng)絡(luò)信息安全的威脅

現(xiàn)代通信系統(tǒng)如ATM、NGN、POS終端、智能手機(jī)等都使用大量的軟件進(jìn)行通信控制，因此軟件方面的入侵也相當(dāng)普遍。

（1）軟件病毒攻擊：軟件病毒入侵后打開后門，利用網(wǎng)絡(luò)軟件的漏洞或缺陷、并不斷繁殖，然后擴(kuò)散到網(wǎng)上的計算機(jī)來破壞系統(tǒng)。輕者使系統(tǒng)出錯，重者可使整個系統(tǒng)癱瘓或崩潰。

（2）網(wǎng)絡(luò)攻擊：如ARP風(fēng)暴等小包攻擊交換機(jī)等通信設(shè)備，引起網(wǎng)絡(luò)擁塞或?qū)е峦ㄐ胖鳈C(jī)無法處理超量的請求，輕則網(wǎng)絡(luò)服務(wù)不可用，重則整個系統(tǒng)死機(jī)癱瘓。

（3）通信系統(tǒng)或軟件端口被暴露或未進(jìn)行安全限制，導(dǎo)致黑客入侵，進(jìn)而可以使用各種方式有選擇地破壞對方信息的有效性和完整性，或者在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯，以獲得對方重要的機(jī)密信息。

由此可見，網(wǎng)絡(luò)信息安全問題的產(chǎn)生主要是由于互聯(lián)網(wǎng)基于的網(wǎng)絡(luò)結(jié)構(gòu)體系結(jié)構(gòu)帶來的。由于互聯(lián)網(wǎng)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞。網(wǎng)絡(luò)安全問題已經(jīng)成為信息時代人類共同面臨的挑戰(zhàn)。

二、主要防護(hù)技術(shù)

目前保證網(wǎng)絡(luò)安全的方法主要有防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)隔離技術(shù)、物理傳輸媒介保障等。

1.防火墻技術(shù)

防火墻技術(shù)是近年發(fā)展起來的一種重要安全技術(shù)，主要包括包過濾防火墻，狀態(tài)檢測包過濾防火墻和應(yīng)用層代理防火墻，其共同特征是通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，達(dá)到保障網(wǎng)絡(luò)安全的目的。防火墻型安全保障技術(shù)假設(shè)被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)，并且假定網(wǎng)絡(luò)威脅僅來自外部網(wǎng)絡(luò)，進(jìn)而通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部網(wǎng)絡(luò)屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息、結(jié)構(gòu)，實(shí)現(xiàn)對網(wǎng)絡(luò)的安全保護(hù)。防火墻技術(shù)是通過對網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的一種手段。它所保護(hù)的對象是網(wǎng)絡(luò)中有明確閉合邊界的一個網(wǎng)段。它的防范對象是來自被保護(hù)網(wǎng)段外部的對網(wǎng)絡(luò)安全的威脅。

防火墻技術(shù)是目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。但是防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的防護(hù)，卻存在著局限性，其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全，且不能防御來自內(nèi)部的攻擊（據(jù)統(tǒng)計一半以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部）。同時防火墻也無法阻止那些繞過防火墻的攻擊。

2.入侵檢測技術(shù)

入侵檢測技術(shù)與防火墻技術(shù)安全策略相比，是一種不同的安全策略，入侵檢測系統(tǒng)分為兩類：基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；谥鳈C(jī)的入侵檢測系統(tǒng)在服務(wù)器的審計日志文件中尋找攻擊特征，然后給出統(tǒng)計分析報告?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)主要是網(wǎng)絡(luò)監(jiān)控傳感器監(jiān)控包監(jiān)聽器收集的信息，用于保護(hù)整個網(wǎng)絡(luò)不被破壞。

入侵檢測技術(shù)是一種動態(tài)的網(wǎng)絡(luò)檢測技術(shù)，用于識別對網(wǎng)絡(luò)系統(tǒng)的非法網(wǎng)絡(luò)行為，它通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則做出適當(dāng)?shù)姆磻?yīng)。從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測方法分兩種：誤用檢測和異常檢測。大部分現(xiàn)有的入侵檢測工具都是使用誤用檢測方法。誤用檢測技術(shù)應(yīng)用了系統(tǒng)缺陷和特殊入侵的累積知識。入侵檢測系統(tǒng)包含一個缺陷庫并且檢測出利用這些缺陷入侵的行為。當(dāng)檢測到入侵，系統(tǒng)就會報警。也就是不符合正常規(guī)則的所有行為都被認(rèn)為是不合法的，所以誤用檢測的準(zhǔn)確度很高，但是它的查全度能夠檢測所有入侵的能力和入侵規(guī)則的更新程度有密切關(guān)系。這種方法的缺陷就是入侵信息的收集和更新的困難，這需要很多的時間和大量的工作。

同時，入侵檢測技術(shù)也存在著局限性。其最大的局限性就是漏報和誤報嚴(yán)重，它不能稱之為一個可以信賴的安全工具，而應(yīng)只是一個參考工具。

3.網(wǎng)絡(luò)隔離技術(shù)

面對新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度網(wǎng)絡(luò)對安全的特殊需求，出現(xiàn)了新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)——“網(wǎng)絡(luò)隔離技術(shù)”。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)數(shù)據(jù)的安全交換。

隔離概念的出現(xiàn)是為了保護(hù)高安全度的網(wǎng)絡(luò)，其產(chǎn)品到現(xiàn)在共經(jīng)歷了五代。第一代是完全隔離。使網(wǎng)絡(luò)處于信息孤島狀態(tài)，實(shí)現(xiàn)完全的物理隔離。第二代是硬件卡隔離。通過硬件卡控制獨(dú)立存儲和分時共享設(shè)備與線路來實(shí)現(xiàn)對不同網(wǎng)絡(luò)的訪問，在設(shè)計上還存在安全隱患。第三代數(shù)據(jù)轉(zhuǎn)播隔離。在隔離的過程中切換時間較長，大大降低了訪問速度，更不能支持常見的網(wǎng)絡(luò)應(yīng)用，應(yīng)用面窄。第四代空氣開關(guān)隔離。它是通過使用單刀雙擲開關(guān)，使得內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的，但在安全和性能上存在有許多問題。第五代為安全通道隔離。此技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制，來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問題，并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。

4.物理傳輸媒介保障

（1）減少電磁輻射。傳輸線路應(yīng)有露天保護(hù)措施，并要求遠(yuǎn)離各種沖突頻率及輻射源，以減少由于電磁干擾引起的數(shù)據(jù)錯誤乃至出現(xiàn)BUG。對無線傳輸設(shè)備更應(yīng)使用高可靠性的加密手段，并隱藏鏈接名。

（2）采用數(shù)據(jù)加密技術(shù)，對傳輸內(nèi)容使用加密算法將明文轉(zhuǎn)換成無意義的密文，防止非法用戶理解原始數(shù)據(jù)。數(shù)據(jù)加密技術(shù)是一種主動的信息安全防范措施，可大大加強(qiáng)數(shù)據(jù)的保密性。

（3）使用可信路由、專用網(wǎng)或采用路由隱藏技術(shù)，將通信系統(tǒng)隱匿在網(wǎng)絡(luò)中，避免傳輸路徑暴露，成為網(wǎng)絡(luò)風(fēng)暴、DDOS等攻擊對象。

三、結(jié)束語

網(wǎng)絡(luò)信息安全是一個綜合性的課題，也越來越受到人們的重視，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。安全實(shí)際上就是一種風(fēng)險管理，世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)。隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。但任何技術(shù)手段都不能保證網(wǎng)絡(luò)信息1OO%的安全。然而，網(wǎng)絡(luò)安全的主動防護(hù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險，主動、積極地將各種方面的保障策略結(jié)合起來，形成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)，將系統(tǒng)的風(fēng)險要控制可控的范圍之內(nèi)，才是網(wǎng)絡(luò)安全工作的必由之路。

參考文獻(xiàn)

[1]丁常福，方敏.防火墻與網(wǎng)絡(luò)入侵檢測聯(lián)動系統(tǒng)研究[J].航空計算技術(shù).

[2]成衛(wèi)青，龔儉.網(wǎng)絡(luò)安全評估[J].計算機(jī)工程，2008（2）.

[3]萬平國.網(wǎng)絡(luò)隔離與網(wǎng)閘[M].機(jī)械工業(yè)出版社，2005.

[4]龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州：華南理工大學(xué)出版社，2011.

[5]朱鳴.網(wǎng)絡(luò)安全現(xiàn)狀和發(fā)展[J].計算機(jī)應(yīng)用與軟件，2009， 21（5）.