陳鑫

摘要：隨著計算機網(wǎng)絡的不斷發(fā)展，互聯(lián)網(wǎng)對人類的生活和工作的影響日益加深，因此，網(wǎng)絡信息安全變得越來越重要。該文先介紹國內(nèi)外計算機網(wǎng)絡信息安全領域的現(xiàn)狀、接著詳細分析了當前最為主要的幾種信息安全技術的優(yōu)缺點，最后指出計算機網(wǎng)絡信息安全技術的可能發(fā)展趨勢。

關鍵詞： 防火墻 ； 數(shù)據(jù)加密 ； 入侵檢測 ； 網(wǎng)絡安全掃描 ；網(wǎng)絡信息安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）03-0493-03

1 國內(nèi)外信息安全的現(xiàn)狀

計算機網(wǎng)絡已經(jīng)滲透到幾乎人類社會生活的所有領域，離開網(wǎng)絡的世界變得不可想象，隨之而來的是網(wǎng)絡與信息安全問題日益嚴重，已成為影響國家安全，社會穩(wěn)定和人民生活的重要組成部分。

早在2011年 5月，美國總統(tǒng)奧巴馬簽署了由白宮發(fā)布的《網(wǎng)絡空間國際戰(zhàn)略：網(wǎng)絡世界的繁榮、安全和開放》提出了美國在未來網(wǎng)絡空間方面的愿景[1]。

2013年9月23日，美國智庫戰(zhàn)略與國際研究中心（CSIS）高級研究員及技術公共政策項目主任、奧巴馬政府的網(wǎng)絡安全智囊—詹姆斯·劉易斯出席在北京國家會議中心舉辦的“2013年互聯(lián)網(wǎng)安全大會”（ISC），其發(fā)表的一個觀點說：“大規(guī)模殺傷性武器很危險，我們曾經(jīng)非常擔憂，但它從未發(fā)生過；但網(wǎng)絡攻擊每天都在發(fā)生，這是更加現(xiàn)實的威脅。”

中國互聯(lián)網(wǎng)信息中心CNNIC發(fā)布的第32次調(diào)查報告顯示，截至2013年6月底，我國網(wǎng)民規(guī)模達5.91億，其中手機網(wǎng)民規(guī)模達4.64億[2]。隨著互聯(lián)網(wǎng)規(guī)模的進一步擴大，其對社會生活的方方面面的影響都在日益擴大，無論對政治、經(jīng)濟、軍事還是文化等領域都發(fā)揮越來越重要的作用。因此，我國互聯(lián)網(wǎng)面臨的網(wǎng)絡安全問題與威脅也隨著互聯(lián)網(wǎng)及其應用的發(fā)展而不斷變化，日趨復雜。隨著互聯(lián)網(wǎng)新技術、新應用的快速發(fā)展，下一年（2014年）的網(wǎng)絡安全形勢必將更為復雜。

2 當前網(wǎng)絡信息安全的對策

2.1防火墻技術

防火墻（firewall）是指設置于局域網(wǎng)和互聯(lián)網(wǎng)之間的確保網(wǎng)絡安全的硬件設備或者軟件程序，其工作原理是通過控制和監(jiān)管網(wǎng)絡之間的信息交流以保證網(wǎng)絡信息系統(tǒng)的安全，同時記錄跟防火墻有關的數(shù)據(jù)來源、記錄任何企圖入侵系統(tǒng)的信息以及服務器的通信量[3]。防火墻又可分為軟件防火墻、硬件防火墻以及芯片級防火墻。芯片級防火墻有專門的ASIC芯片，可以提高防火墻的性能、處理速度以及處理能力，自身漏洞相對比另外兩者較少；而另外兩種需要有操作系統(tǒng)的支持才能正常工作。

2.2數(shù)據(jù)加密技術

加密技術的原理是利用加密算法，將待加密的明文轉換成為不能直接讀取的密文，只有通過預先設計好的匹配的密鑰才能夠將其還原，確保非法用戶無法直接獲取用戶的原始數(shù)據(jù)[4]。數(shù)據(jù)加密技術的一大優(yōu)點是它的主動而非被動的防御性，它是當前信息安全技術的核心技術，也是其他計算機網(wǎng)絡安全技術的基礎。

對稱性加密技術和非對稱加密技術是當前的兩大類加密技術。除此之外，還有數(shù)字摘要加密技術，數(shù)字簽名加密技術，數(shù)字摘要與數(shù)字簽名混合加密，各自應用在不同的場合。另外數(shù)字信封，數(shù)字時間戳，數(shù)字證書，安全認證協(xié)議等等也是目前使用比較廣泛的加密技術。

2.3入侵檢測技術

入侵檢測技術就是通過軟硬件方法對來自網(wǎng)絡中的數(shù)據(jù)與檢測系統(tǒng)中的入侵特征數(shù)據(jù)庫的數(shù)據(jù)進行分析對比，當有任何違反安全策略的行為或系統(tǒng)被攻擊的跡象被發(fā)現(xiàn)時，系統(tǒng)就會馬上通知防火墻（firewall）系統(tǒng)調(diào)整訪問網(wǎng)絡的控制策略甚至切斷網(wǎng)絡連接。其功能主要包括：一、識別常用的黑客入侵手段和攻擊，確保網(wǎng)絡穩(wěn)定；二、完善和提高網(wǎng)絡的安全管理質量；三、實時監(jiān)測網(wǎng)絡中存在的各種通信異常，并加以處理；四、掃描系統(tǒng)中存在的各種漏洞以及隱藏的后門利用，并進行修復；因此，入侵檢測系統(tǒng)就是漏洞掃描系統(tǒng)、防病毒、防火墻和IDS 系統(tǒng)等技術的結合，幾乎融合了上述各種技術的優(yōu)點，從而實現(xiàn)在盡量不影響網(wǎng)絡性能的前提下對網(wǎng)絡進行必要的監(jiān)控和檢測，大大提高了網(wǎng)絡的安全性。

2.4網(wǎng)絡安全掃描技術

該技術與上面提到的幾種其他安全技術互相配合，能極大地提高網(wǎng)絡的安全性。通過對網(wǎng)絡的全面掃描獲取必要的信息，例如系統(tǒng)中目前正在運行的應用、服務以及系統(tǒng)的安全配置等，從而能及時準確地發(fā)現(xiàn)網(wǎng)絡中存在的安全漏洞同時給予修復，或者評估風險等級。安全掃描主要分成主機的安全掃描技術和網(wǎng)絡的安全掃描技術，前者發(fā)現(xiàn)漏洞的方法是通過執(zhí)行專門為安全目的設計的腳本文件來模擬攻擊計算機系統(tǒng)的行為并記錄系統(tǒng)的反應，為進一步處理提供依據(jù)；而后者則是對系統(tǒng)中設置的脆弱的密碼和同安全規(guī)則抵觸的對象進行檢查，從而發(fā)現(xiàn)問題。

2.5反病毒技術

反病毒技術就是對病毒代碼進行特征掃描識別和分析、提取對應的特征值，然后利用這些特征值對計算機存儲空間的數(shù)據(jù)進行掃描分析對比，從而確定病毒的位置，辨別病毒種類，進而對感染病毒程序進行查詢和恢復，實現(xiàn)病毒清除的技術。

反病毒技術根據(jù)其措施可劃分為靜態(tài)反病毒技術和實時的反病毒技術兩大類。其中靜態(tài)反病毒技術因其無法對計算機網(wǎng)絡信息進行實時的監(jiān)控、不能及時判斷系統(tǒng)是否已經(jīng)被病毒感染，正逐步失去它的價值，而逐漸被計算機用戶所拋棄。相反地，實時的反病毒技術因其比其他應用程序的優(yōu)先級更高的，更接近系統(tǒng)底層資源，可以更全面徹底地控制系統(tǒng)資源，在病毒入侵時能實時告警，正日益地得到了廣泛的應用。

3 現(xiàn)有技術的局限性

3.1網(wǎng)絡防火墻技術的局限性

網(wǎng)絡防火墻技術由于區(qū)分不出內(nèi)外網(wǎng)之間的區(qū)別，因此其對于內(nèi)網(wǎng)與內(nèi)網(wǎng)之間的訪問，往往起不到作用的。其主要缺點主要表現(xiàn)在：一通過限制和關閉了系統(tǒng)中的部分有用的網(wǎng)絡服務來提高網(wǎng)絡的安全性，大大減少能訪問到的網(wǎng)絡信息資源；二是防火墻對來自局域網(wǎng)內(nèi)部的攻擊無能為力；三是只能防御已知的技術漏洞，對于新型的黑客攻擊及惡意訪問則顯得力不從心；四是某些已加載的程序可通過一些技術手段達到繞過防火墻的阻隔的目的。

3.2數(shù)據(jù)加密技術的局限性

文檔加密技術和磁盤加密技術是目前主要的兩種數(shù)據(jù)加密技術。前者由于主要是依賴于應用進程和文件的關聯(lián)關系，但由于在操作過程中的應用程序太過復雜或由于程序的更新而導致原文件的丟失，需要進行再次掃描，會造成用戶環(huán)境不穩(wěn)定的隱患；另外該技術采用了文件重定向的臨時緩存文件技術以及多種鉤子技術，容易跟防病毒等軟件相沖突，這也會降低系統(tǒng)的工作效率以及帶來新的不穩(wěn)定因素，產(chǎn)生安全漏洞。后者過分依賴加密卡，如果加密卡損壞或者丟失，用戶自己無法再進入那臺被加密過的機器，而加密卡的生產(chǎn)廠商也沒有辦法復制新的鑰匙出來。

3.3入侵檢測技術的局限性

盡管各類入侵檢測系統(tǒng)能夠檢測網(wǎng)絡系統(tǒng)中存在的入侵行為和隱患，但由于網(wǎng)絡系統(tǒng)的復雜性，入侵檢測系統(tǒng)也有其不足之處，例如通過偽造合法的信息或借道欺騙或繞過入侵檢測系統(tǒng)；利用時間差躲開入侵檢測系統(tǒng)；直接破壞入侵檢測系統(tǒng)及其工作環(huán)境。

3.4網(wǎng)絡安全掃描技術的局限性

因為系統(tǒng)漏洞的確認是以系統(tǒng)配置規(guī)則庫為基礎的，而網(wǎng)絡系統(tǒng)漏洞數(shù)據(jù)庫又是網(wǎng)絡漏洞掃描的核心，所以如果規(guī)則庫設計的不準確，就不可能進行準確的預報；網(wǎng)絡系統(tǒng)的很多危險的威脅來自于未知的漏洞，預報準確度依賴于規(guī)則庫的更新情況；部分系統(tǒng)漏洞受漏洞庫覆蓋范圍的限制，可能躲避開檢測；還有如果漏洞數(shù)據(jù)庫信息不全或沒有及時更新，反而可能會誤導系統(tǒng)管理員，使其不能及時有效的采取措施消除系統(tǒng)隱患。

3.5反病毒技術的局限性

當前的殺毒軟件就其工作機制來說，大多是一個掃描器，例如病毒掃描、啟發(fā)式掃描、CRC掃描等[5]。通常都會采用結合使用幾種不同算法的掃描方式以期達到更好的查毒、殺毒的目的。這些殺毒軟件基本上都是通過一個病毒特征庫進行查毒、殺毒，因而不可能免疫所有的病毒，另外如果病毒庫的數(shù)據(jù)量太大的話，也會導致查毒、殺毒的效率下降。

4 計算機網(wǎng)絡信息安全的發(fā)展趨勢

從上述的各種網(wǎng)絡安全技術手段的介紹和分析，我們可以清晰的看到，它們都有其自身的優(yōu)缺點和使用范圍。隨著計算機網(wǎng)絡技術的發(fā)展，未來的計算機網(wǎng)絡信息安全的發(fā)展趨勢必然是充分利用現(xiàn)有技術的優(yōu)勢，并加以改善，同時努力發(fā)展更新更好的技術。

進一步講，以后的發(fā)展趨勢必定是各種技術的更深層次的融合，例如防火墻技術和入侵檢測技術等其他安全技術的結合使用，可以有效地克服防火墻在實際應用中的局限性。在提高防火墻自身功能、性能的同時，其他安全技術也可以彌補防火墻的一些缺點（例如其對內(nèi)網(wǎng)無能為力），從而提高網(wǎng)絡整體的安全性。例如在防火墻中加入入侵檢測功能以及掃描功能，使得所有要通過防火墻的數(shù)據(jù)流在接受防火墻的驗證的同時，也要接受入侵監(jiān)測的掃描，從而達到了實時阻斷非法入侵的目的；或者按照設置的協(xié)議進行通信、傳輸，只在入侵檢測系統(tǒng)或防火墻系統(tǒng)中開放一個供對方調(diào)用的接口，出現(xiàn)異常時系統(tǒng)能實時得到告警。在反病毒方面，計算機反病毒技術的發(fā)展趨勢大致有：一是反病毒技術走向開放式；二是向綜合技術化方向發(fā)展；三是自身完整性檢查；四是技術向集成化方向發(fā)展；五是和應用系統(tǒng)及操作系統(tǒng)的集成化。

5 結束語

本文分析了當前國內(nèi)外計算機網(wǎng)絡信息安全的現(xiàn)狀，接著介紹和分析了當前最主要的幾種信息安全技術的原理，特別重點分析了他們的優(yōu)缺點，指出了計算機網(wǎng)絡信息安全的可能發(fā)展趨勢。

參考文獻：

[1] 吳麗輝，廖方宇.科研信息化安全及技術對策[C].第26次全國計算機安全學術交流會，2011（9）：178-180.

[2] 我國網(wǎng)民達5.9億手機上網(wǎng)成互聯(lián)網(wǎng)發(fā)展新動力[EB/OL]. http：//it.people.com.cn/n/2013/0717/c1009-22228017.html

[3] 田文英.關于計算機網(wǎng)絡信息安全技術防范的探討[J] .數(shù)字技術與應用，2012（7）：172.

[4] 李峰.計算機網(wǎng)絡安全技術及其發(fā)展趨勢[J].知識經(jīng)濟，2013（10）：92.

[5] 周小洪.淺析計算機病毒與反病毒技術[J].電腦知識與技術，2007（17）：1241-1242，1246.