網(wǎng)絡(luò)安全技術(shù)研究的目的、意義和現(xiàn)狀.doc

精品文檔網(wǎng)絡(luò)安全技術(shù)綜述研究目的：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展和廣泛應(yīng)用 ，計(jì)算機(jī)網(wǎng)絡(luò)在現(xiàn)代生活中的作用越來越重要 ，如今 ，個(gè)人、企業(yè)以及政府部門，國家軍事部門，不管是天文的還是地理的都依靠網(wǎng)絡(luò)傳遞信息，這已成為主流 ，人們也越來越依賴網(wǎng)絡(luò)。然而 ，網(wǎng)絡(luò)的開放性與共享性容易使它受到外界的攻擊與破壞 ，網(wǎng)絡(luò)信息的各種入侵行為和犯罪活動(dòng)接踵而至 ，信息的安全保密性受到嚴(yán)重影響。因此 ，網(wǎng)絡(luò)安全問題已成為世界各國政府、企業(yè)及廣大網(wǎng)絡(luò)用戶最關(guān)心的問題之一。21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機(jī)制策略。在網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，對(duì)網(wǎng)絡(luò)安全技術(shù)的研究意義重大，它關(guān)系到小至個(gè)人的利益，大至國家的安全。對(duì)網(wǎng)絡(luò)安全技術(shù)的研究就是為了盡最大的努力為個(gè)人、國家創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)環(huán)境，讓網(wǎng)絡(luò)安全技術(shù)更好的為廣大用戶服務(wù)。研究意義：一個(gè)國家的信息安全體系實(shí)際上包括國家的法規(guī)和政策,以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái).我國在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí),應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動(dòng)我國網(wǎng)絡(luò)安全技術(shù)的整體提高。信息安全是國家發(fā)展所面臨的一個(gè)重要問題.對(duì)于這個(gè)問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上,產(chǎn)業(yè)上,政策上來發(fā)展它.政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分,甚至應(yīng)該看到它對(duì)我國未來電子化,信息化的發(fā)展將起到非常重要的作用。 信息安全問題已成為社會(huì)關(guān)注的焦點(diǎn)。特別是隨著Internet 的普及和電子商務(wù)、政府上網(wǎng)工程的啟動(dòng), 一方面, 信息技術(shù)已經(jīng)成為整個(gè)社會(huì)經(jīng)濟(jì)和企業(yè)生存發(fā)展的重要基礎(chǔ), 在國計(jì)民生和企業(yè)經(jīng)營(yíng)中的重要性日益凸現(xiàn); 另一方面, 政府主管機(jī)構(gòu)、企業(yè)和用戶對(duì)信息技術(shù)的安全性、穩(wěn)定性、可維護(hù)性和可發(fā)展性提出了越來越迫切的要求, 因此, 從社會(huì)發(fā)展和國家安全角度來看, 加大發(fā)展信息安全技術(shù)的力度已刻不容緩。研究現(xiàn)狀： 自從網(wǎng)絡(luò)技術(shù)運(yùn)用的20多年以來，全世界網(wǎng)絡(luò)得到了持續(xù)快速的發(fā)展，中國的網(wǎng)絡(luò)安全技術(shù)在近幾年也得到快速的發(fā)展，這一方面得益于從中央到地方政府的廣泛重視，另一方面因?yàn)榫W(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)安全企業(yè)不斷跟進(jìn)最新安全技術(shù)，不斷推出滿足用戶需求、具有時(shí)代特色的安全產(chǎn)品，進(jìn)一步促進(jìn)了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。從技術(shù)層面來看，目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過程中面臨的主要問題是：以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護(hù)問題，而現(xiàn)在人們更加關(guān)注應(yīng)用層面的安全防護(hù)問題，安全防護(hù)已經(jīng)從底層或簡(jiǎn)單數(shù)據(jù)層面上升到了應(yīng)用層面，這種應(yīng)用防護(hù)問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語義范疇，越來越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。據(jù)中國互聯(lián)網(wǎng)信息中心報(bào)道：截至2010年12月底，中國網(wǎng)民人數(shù)達(dá)4.57億，寬帶普及率接近100%，互聯(lián)網(wǎng)普及率達(dá)28.9%，超過世界平均水平，使用手機(jī)上網(wǎng)的網(wǎng)民達(dá)到2.33億人.與此同時(shí)，網(wǎng)絡(luò)安全形勢(shì)不容樂觀，以僵尸網(wǎng)絡(luò)、間諜軟件、身份竊取等為代表的各類惡意代碼逐漸成為最大威脅，拒絕服務(wù)攻擊、網(wǎng)絡(luò)仿冒、垃圾郵件等安全事件仍然猖獗。網(wǎng)絡(luò)安全事件在保持整體數(shù)量顯著上升的同時(shí)，也呈現(xiàn)出技術(shù)復(fù)雜化、動(dòng)機(jī)趨利化、政治化的特點(diǎn)。我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè) 綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。 網(wǎng)絡(luò)安全技術(shù)在21世紀(jì)將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀(jì)人類步入信息社會(huì)后，信息這一社會(huì)發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會(huì)發(fā)展的推動(dòng)力。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過發(fā)達(dá)國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動(dòng)我國國民經(jīng)濟(jì)的高速發(fā)展。 下面介紹我國目前的網(wǎng)絡(luò)安全現(xiàn)狀、技術(shù)現(xiàn)狀和安全技術(shù)發(fā)展趨勢(shì)分析：1、網(wǎng)絡(luò)安全現(xiàn)狀現(xiàn)今互聯(lián)網(wǎng)環(huán)境正在發(fā)生著一系列的變化,安全問題也出現(xiàn)了相應(yīng)的變化。主要反映在以下幾個(gè)方面:(1)網(wǎng)絡(luò)犯罪成為集團(tuán)化、產(chǎn)業(yè)化的趨勢(shì)。從灰鴿子病毒案例可以看出,木馬從制作到最終盜取用戶信息甚至財(cái)物,漸漸成為了一條產(chǎn)業(yè)鏈。(2)無線網(wǎng)絡(luò)、移動(dòng)手機(jī)成為新的攻擊區(qū)域,新的攻擊重點(diǎn)。隨著無線網(wǎng)絡(luò)的大力推廣,3G網(wǎng)絡(luò)使用人群的增多,使用的用戶群體也在不斷的增加。(3)垃圾郵件依然比較嚴(yán)重。雖然經(jīng)過這么多年的垃圾郵件整治,垃圾郵件現(xiàn)象得到明顯的改善,例如在美國有相應(yīng)的立法來處理垃圾郵件。但是在利益的驅(qū)動(dòng)下,垃圾郵件仍然影響著每個(gè)人郵箱的使用。(4)漏洞攻擊的爆發(fā)時(shí)間變短。從這幾年的攻擊來年,不難發(fā)現(xiàn)漏洞攻擊的時(shí)間越來越短,系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、軟件漏洞被攻擊者發(fā)現(xiàn)并利用的時(shí)間間隔在不斷的縮短。很多攻擊者都通過這些漏洞來攻擊網(wǎng)絡(luò)。(5)攻擊方的技術(shù)水平要求越來越低。(6)DoS攻擊更加頻繁。對(duì)于DoS攻擊更加隱蔽,難以追蹤到攻擊者。大多數(shù)攻擊者采用分布式的攻擊方式,以及跳板攻擊方法。這種攻擊更具有威脅性,攻擊更加難以防治。(7)針對(duì)瀏覽器插件的攻擊。插件的性能不是由瀏覽器來決定的,瀏覽器的漏洞升級(jí)并不能解決插件可能存在的漏洞。(8)網(wǎng)站攻擊,特別是網(wǎng)頁被掛馬。大多數(shù)用戶在打開一個(gè)熟習(xí)的網(wǎng)站,比如自己信任的網(wǎng)站,但是這個(gè)網(wǎng)站被告掛馬,這在不經(jīng)意之間木馬將會(huì)安裝在自己的電腦內(nèi)。這是現(xiàn)在網(wǎng)站攻擊的主要模式。(9)內(nèi)部用戶的攻擊?，F(xiàn)今企事業(yè)單位的內(nèi)部網(wǎng)與外部網(wǎng)聯(lián)系的越來越緊密,來自內(nèi)部用戶的威脅也不斷地表現(xiàn)出來。來自內(nèi)部攻擊的比例在不斷上升,變成內(nèi)部網(wǎng)絡(luò)的一個(gè)防災(zāi)重點(diǎn)。2、網(wǎng)絡(luò)安全技術(shù)針對(duì)于眾多的網(wǎng)絡(luò)安全問題,在技術(shù)都提出了相應(yīng)的解決方案?，F(xiàn)今的網(wǎng)絡(luò)安全技術(shù)有以下幾個(gè)方面:(1)基于網(wǎng)絡(luò)防火墻技術(shù)。防火墻是設(shè)置在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間的安全阻隔,用于保證本地網(wǎng)絡(luò)資源的安全,通常是包含軟件部分和硬件部分的一個(gè)系統(tǒng)或多個(gè)系統(tǒng)的組合。防火墻技術(shù)是通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò),并對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行審計(jì)和控制,本身具有較強(qiáng)的抗攻擊能力,并且只有授權(quán)的管理員方可對(duì)防火墻進(jìn)行管理,通過邊界控制來強(qiáng)化內(nèi)部網(wǎng)絡(luò)的全。(2)基于VPN技術(shù)。VPN（Virtual Private Network,虛擬專用網(wǎng)絡(luò))是指利用公共網(wǎng)絡(luò)建立私有專用網(wǎng)絡(luò)。數(shù)據(jù)通過安全的“加密隧道”在公共網(wǎng)絡(luò)中傳播,連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路。VPN利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施為企業(yè)各部門提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù),能夠使運(yùn)行在VPN之上的商業(yè)應(yīng)用享有幾乎和專用網(wǎng)絡(luò)同樣的安全性、可靠性、優(yōu)先級(jí)別和可管理性。(3)基于IDS(入侵檢測(cè)系統(tǒng))技術(shù)。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)工具,提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù),在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。(4)基于IPS(入侵防御系統(tǒng))技術(shù)。入侵防御系統(tǒng)提供主動(dòng)、實(shí)時(shí)的防護(hù),其設(shè)計(jì)旨在對(duì)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè),對(duì)攻擊性的流量進(jìn)行自動(dòng)攔截,使它們無法造成損失。入侵防御系統(tǒng)如果檢測(cè)到攻擊企圖,就會(huì)自動(dòng)地將攻擊包丟掉或采取措施阻斷攻擊源,而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。(5)基于網(wǎng)絡(luò)隔離技術(shù)。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離,在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下,完成網(wǎng)間數(shù)據(jù)的安全交換。有多種形式的網(wǎng)絡(luò)隔離,如物理隔離、協(xié)議隔離和VPN隔離等。無論采用什么形式的網(wǎng)絡(luò)隔離,其實(shí)質(zhì)都是數(shù)據(jù)或信息的隔離。(6)基于加密技術(shù)。加密技術(shù)是有效解決網(wǎng)絡(luò)文件竊取、篡改等攻擊的有效手段。對(duì)于網(wǎng)絡(luò)應(yīng)用大多數(shù)層次都有相應(yīng)的加密方法。SSLITLS是因特網(wǎng)中訪問Web服務(wù)器最重要的安全協(xié)議。IPSec是IETF制定的IP層加密協(xié)議,為其提供了加密和認(rèn)證過程的密鑰管理功能。應(yīng)用層就更多加密的方式,最典型的有電子簽名、公私鑰加密方式等。(7)基于訪問控制技術(shù)。訪問控制是指主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪問。訪問控制模型是一種從訪問控制的角度出發(fā),描述安全系統(tǒng),建立安全模型的方法。(8)基于安全審計(jì)技術(shù)。安全審計(jì)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為的信息,審計(jì)記錄用于檢查與安全相關(guān)的活動(dòng)和負(fù)責(zé)人。安全審計(jì)是指將系統(tǒng)的各種安全機(jī)制和措施與預(yù)定的安全目標(biāo)和策略進(jìn)行一致性比較,確定各項(xiàng)控制機(jī)制是否存在和得到執(zhí)行,對(duì)漏洞的防范是否有效,評(píng)價(jià)系統(tǒng)安全機(jī)制的可依賴程度。3、網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)分析 下面從防火墻技術(shù)、入侵檢測(cè)技術(shù)和防病毒技術(shù)來分析網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)。 3.1防火墻技術(shù)發(fā)展趨勢(shì)在混合攻擊肆虐的時(shí)代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢(shì)將得到越來越多的體現(xiàn)，UTM（Unified Threat Management，統(tǒng)一威脅管理）技術(shù)應(yīng)運(yùn)而生。從概念的定義上看，UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念；而從后半部分來看，UTM的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后，信息安全行業(yè)對(duì)安全管理的深刻理解以及對(duì)安全產(chǎn)品可用性、聯(lián)動(dòng)能力的深入研究。圖1 UTM功能示意圖UTM的功能見圖1。由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身必須具備良好的性能和高可靠性，同時(shí)，UTM在統(tǒng)一的產(chǎn)品管理平臺(tái)下，集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實(shí)現(xiàn)了多種防御功能，因此，向UTM方向演進(jìn)將是防火墻的發(fā)展趨勢(shì)。UTM設(shè)備應(yīng)具備以下特點(diǎn)。 （1）網(wǎng)絡(luò)安全協(xié)議層防御。防火墻作為簡(jiǎn)單的第二到第四層的防護(hù)，主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)行防護(hù)和控制，但是真正的安全不能只停留在底層，我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對(duì)垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用，實(shí)現(xiàn)七層協(xié)議的保護(hù)，而不僅限于第二到第四層。（2）通過分類檢測(cè)技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過高，將會(huì)對(duì)用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出，但是目前全世界對(duì)IPS的部署非常有限，影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率，針對(duì)不同的攻擊，采取不同的檢測(cè)技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報(bào)率。（3）有高可靠性、高性能的硬件平臺(tái)支撐。（4）一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺(tái)，使用戶能夠有效地管理。這樣，設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性，用戶可在統(tǒng)一的平臺(tái)上進(jìn)行組件管理，同時(shí)，一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島，從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候，能夠更好地保障用戶的網(wǎng)絡(luò)安全。3.2入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)入侵檢測(cè)技術(shù)將從簡(jiǎn)單的事件報(bào)警逐步向趨勢(shì)預(yù)測(cè)和深入的行為分析方向過渡。IMS（IntrusionManagementSystem，入侵管理系統(tǒng)）具有大規(guī)模部署、入侵預(yù)警、精確定位以及監(jiān)管結(jié)合四大典型特征，將逐步成為安全檢測(cè)技術(shù)的發(fā)展方向。IMS體系的一個(gè)核心技術(shù)就是對(duì)漏洞生命周期和機(jī)理的研究，這將是決定IMS能否實(shí)現(xiàn)大規(guī)模應(yīng)用的一個(gè)前提條件。從理論上說，在配合安全域良好劃分和規(guī)?；渴鸬臈l件下，IMS將可以實(shí)現(xiàn)快速的入侵檢測(cè)和預(yù)警，進(jìn)行精確定位和快速響應(yīng)，從而建立起完整的安全監(jiān)管體系，實(shí)現(xiàn)更快、更準(zhǔn)、更全面的安全檢測(cè)和事件預(yù)防。3.3防病毒技術(shù)發(fā)展趨勢(shì)內(nèi)網(wǎng)安全未來的趨勢(shì)是SCM（SecurityComplianceManagement，安全合規(guī)性管理）。從被動(dòng)響應(yīng)到主動(dòng)合規(guī)、從日志協(xié)議到業(yè)務(wù)行為審計(jì)、從單一系統(tǒng)到異構(gòu)平臺(tái)、從各自為政到整體運(yùn)維是SCM的四大特點(diǎn)，精細(xì)化的內(nèi)網(wǎng)管理可以使現(xiàn)有的內(nèi)網(wǎng)安全達(dá)到真正的“可信”。目前，內(nèi)網(wǎng)安全的需求有兩大趨勢(shì)：一是終端的合規(guī)性管理，即終端安全策略、文件策略和系統(tǒng)補(bǔ)丁的統(tǒng)一管理；二是內(nèi)網(wǎng)的業(yè)務(wù)行為審計(jì)，即從傳統(tǒng)的安全審計(jì)或網(wǎng)絡(luò)審計(jì)，向?qū)I(yè)務(wù)行為審計(jì)的發(fā)展，這兩個(gè)方面都非常重要。（1）從被動(dòng)響應(yīng)到主動(dòng)合規(guī)