網(wǎng)絡(luò)安全新技術(shù)

1、一、定義網(wǎng)絡(luò)安全技術(shù)指致力于解決諸多如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機制策略等。網(wǎng)絡(luò)安全技術(shù)有：一般入侵網(wǎng)絡(luò)攻擊掃描技術(shù)拒絕服務(wù)攻擊技術(shù)緩沖區(qū)溢出后門技術(shù)Sniffer技術(shù)病毒木馬網(wǎng)絡(luò)安全技術(shù)，從代理服務(wù)器、網(wǎng)絡(luò)地址轉(zhuǎn)換、包過濾到數(shù)據(jù)加密 防攻擊，防病毒木馬等等。1.Cookie-這種網(wǎng)絡(luò)小甜餅是一些會自動運行的小程序。網(wǎng)站設(shè)計師使用它們來為你提供方便而高效的服務(wù)。但同時通過使用這些小程序，商業(yè)公司和網(wǎng)絡(luò)入侵者能夠輕易獲得你機器上的信息。2.JavaJava-

2、作為一種技術(shù)，到底是否成功，一直備受爭議。但至少有一點是肯定的，有無數(shù)利用Java的漏洞成功入侵為你提供服務(wù)的服務(wù)器的案例。3.CGI-很難想象沒有CGI技術(shù)，網(wǎng)站會是什么樣子?？赡軙茈y看，可能使用會不太方便，但我們留在服務(wù)器上的隱私會得到更大的保障。4.電子郵件病毒-超過85%的人使用互聯(lián)網(wǎng)是為了收發(fā)電子郵件，沒有人統(tǒng)計其中有多少正使用直接打開附件的郵件閱讀軟件?！皭巯x”發(fā)作時，全世界有數(shù)不清的人惶恐地發(fā)現(xiàn)，自己存放在電腦上的重要的文件、不重要的文件以及其它所有文件，已經(jīng)被刪得干干凈凈。5.認(rèn)證和授權(quán)-每當(dāng)有窗口彈出，問使用者是不是使用本網(wǎng)站的某某認(rèn)證時，絕大多數(shù)人會毫不猶豫地按下“Yes

3、”。但如果商店的售貨員問：“把錢包給我，請相信我會取出合適數(shù)量的錢替您付款，您說好嗎？”你一定會斬釘截鐵地回答：“No！”這兩種情況本質(zhì)上沒有不同。6.微軟-微軟的軟件產(chǎn)品越做越大，發(fā)現(xiàn)漏洞之后用來堵住漏洞的補丁也越做越大，但是又有多少普通用戶真正會去下載它們？7.比爾蓋茨-很多技術(shù)高手就是因為看不慣他，專門寫病毒讓微軟程序出問題，攻擊使用微軟技術(shù)的站點。但蓋茨沒有受到太大影響，遭罪的是普通人。8.自由軟件-有了自由軟件，才有互聯(lián)網(wǎng)今天的繁榮。自由軟件要求所有結(jié)果必須公開，據(jù)說讓全世界的程序員一起來查找漏洞，效率會很高。這要求網(wǎng)絡(luò)管理員有足夠的責(zé)任心和技術(shù)能力根據(jù)最新的修補方法消除漏洞。不幸的

4、是，跟薪水和股權(quán)相比，責(zé)任心和技術(shù)能力顯得沒有那么重要。9.ICP-我們提供私人信息，ICP讓我們注冊，并提供免費服務(wù)，獲得巨大的注意力，以及注意力帶來的風(fēng)險投資。這是標(biāo)準(zhǔn)的注意力經(jīng)濟模式。但并沒有太多人去留意有很多經(jīng)濟狀況不太好的ICP把用戶的信息賣掉，換錢去了。10.網(wǎng)絡(luò)管理員-管理員可以得到我們的個人資料、看我們的信、知道我們的信用卡號碼，如果做些手腳的話，還能通過網(wǎng)絡(luò)控制我們的機器。我們只能期望他們技術(shù)高超、道德高尚。二、概述21世紀(jì)全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化.它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變

5、成了無處不在.當(dāng)人類步入21世紀(jì)這一信息社會,網(wǎng)絡(luò)社會的時候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會各方面的延伸,進入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程.為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā).安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

6、網(wǎng)絡(luò)安全產(chǎn)品的自身安全的防護技術(shù)網(wǎng)絡(luò)安全設(shè)備安全防護的關(guān)鍵，一個自身不安全的設(shè)備不僅不能保護被保護的網(wǎng)絡(luò)而且一旦被入侵，反而會變?yōu)槿肭终哌M一步入侵的平臺。信息安全是國家發(fā)展所面臨的一個重要問題.對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上,產(chǎn)業(yè)上,政策上來發(fā)展它.政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應(yīng)該看到它對我國未來電子化,信息化的發(fā)展將起到非常重要的作用。 三、技術(shù)分類（一）認(rèn)證 對合法用戶進行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認(rèn)證機制還可以防止合法用戶訪問他們無權(quán)查看

7、的信息。 （二）數(shù)據(jù)加密 加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。 1.私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認(rèn)證，因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快，很容易在硬件和軟件中實現(xiàn)。 2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是 計算密集的，因而比私匙加密系統(tǒng)

8、的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復(fù)雜的系統(tǒng)。 （三）防火墻技術(shù) 防火墻是 網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。 防火墻的安全控制主要是基于IP

9、地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實現(xiàn)了粗粒度的訪問控制，也不能與 企業(yè)內(nèi)部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統(tǒng)（路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、保壘主機）組成的防火墻，管理上難免有所疏忽。（四）入侵檢測系統(tǒng) 入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，

10、在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系。 （五）虛擬專用網(wǎng)（VPN）技術(shù) VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一，所謂虛擬專用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制，這兩種機制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項技術(shù)來保障安全：隧道技術(shù)（Tunneling)、加解密技術(shù)（Encryption&Decryption)、密匙管理技術(shù)（KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)（Authenticati

11、on)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù)，這些安全服務(wù)包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。 （六）其他網(wǎng)絡(luò)安全技術(shù) 1智能卡技術(shù)，智能卡技術(shù)和加密技術(shù)相近，其實智能卡就是密匙的一種媒體，由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用。 2安全脆弱性掃描技術(shù)，它為能針對網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段，指出

12、系統(tǒng)存在或潛在的安全漏洞，以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。 3網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃，它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù)，使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。 4IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。 5Web，Email， BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實

13、時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。如今安全漏洞越來越快，覆蓋面越來越廣 四、技術(shù)發(fā)展趨勢分析1.防火墻技術(shù)發(fā)展趨勢在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報率檢測、高可靠高性能平臺和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢將得到越來越多的體現(xiàn)，UTM（UnifiedThreatManagement，統(tǒng)一威脅管理）技術(shù)應(yīng)運而生。從概念的定義看，UTM既提出了具體產(chǎn)

14、品的形態(tài)，又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念；而從后半部分來看，UTM的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后，信息安全行業(yè)對安全管理的深刻理解以及對安全產(chǎn)品可用性、聯(lián)動能力的深入研究。 2.UTM的功能由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身必須具備良好的性能和高可靠性，同時，UTM在統(tǒng)一的產(chǎn)品管理平臺下，集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實現(xiàn)了多種防御功能，因此，向UTM方向演進將是防火墻的發(fā)展趨勢。UTM設(shè)備應(yīng)具備以下特點。 (1)網(wǎng)絡(luò)安全協(xié)議層防御。防火

15、墻作為簡單的第二到第四層的防護，主要針對像IP、端口等 靜態(tài)的信息進行防護和控制，但是真正的安全不能只停留在底層，我們需要構(gòu)建一個更高、更強、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測和治理的作用，實現(xiàn)七層協(xié)議的保護，而不僅限于第二到第四層。 （2）通過分類檢測技術(shù)降低誤報率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報過高，將會對用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出，但是目前全世界對IPS的部署非常有限，影響其部署的一個重要問題就是誤報率。分類檢測技術(shù)可以大幅度降低誤報率，針對不同的攻擊，采取不同的檢測技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報率。 （3）有高可靠性、高性能的硬件平臺支撐。 （4）一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺，使用戶能夠有效地管理。這樣，設(shè)備平臺可以實現(xiàn)標(biāo)準(zhǔn)化并具有可擴展性，用戶可在統(tǒng)一的平臺上進行組件管理，同時，一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島，從而在應(yīng)對各種各樣攻擊威脅的時候，能夠更好地保障用戶的網(wǎng)絡(luò)