網(wǎng)絡安全技術研究的目的,意義和現(xiàn)狀

1、論文：網(wǎng)絡安全技術綜述研究目的：隨著互聯(lián)網(wǎng)技術的不斷發(fā)展和廣泛應用，計算機網(wǎng)絡在現(xiàn)代生活中的作用 越來越重要，如今，個人、企業(yè)以及政府部門，國家軍事部門，不管是天文的 還是地理的都依靠網(wǎng)絡傳遞信息，這已成為主流，人們也越來越依賴網(wǎng)絡。然 而，網(wǎng)絡的開放性與共享性容易使它受到外界的攻擊與破壞 ，網(wǎng)絡信息的各種 入侵行為和犯罪活動接踵而至，信息的安全保密性受到嚴重影響。因此 ，網(wǎng)絡 安全問題已成為世界各國政府、企業(yè)及廣大網(wǎng)絡用戶最關心的問題之一。21世紀全世界的計算機都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就 發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還 從一種

2、專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網(wǎng)絡社 會的時候，我國將建立起一套完整的網(wǎng)絡安全體系，特別是從政策上和法律上建 立起有中國自己特色的網(wǎng)絡安全體系。網(wǎng)絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數(shù)據(jù) 傳輸?shù)陌踩缘募夹g手段，主要包括物理安全分析技術，網(wǎng)絡結構安全分析技術， 系統(tǒng)安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。在 網(wǎng)絡技術高速發(fā)展的今天，對網(wǎng)絡安全技術的研究意義重大，它關系到小至個人 的利益，大至國家的安全。對網(wǎng)絡安全技術的研究就是為了盡最大的努力為個人、 國家創(chuàng)造一個良好的網(wǎng)絡環(huán)境，讓網(wǎng)絡安全技術更好的為廣大用戶服務。研究

3、意義：一個國家的信息安全體系實際上包括國家的法規(guī)和政策,以及技術與市場的發(fā)展平臺.我國在構建信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產(chǎn)品,我國要 想真正解決網(wǎng)絡安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng) 絡安全技術的整體提高。信息安全是國家發(fā)展所面臨的一個重要問題.對于這個 問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術上,產(chǎn)業(yè)上,政策上來發(fā)展它.政 府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應該看到,發(fā)展 安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應該看到它對我 國未來電子化,信息化的發(fā)展將起到非常重要的作用。信息安全問題已成為社會關注的焦點。特

4、別是隨著Internet的普及和電子 商務、政府上網(wǎng)工程的啟動, 一方面, 信息技術已經(jīng)成為整個社會經(jīng)濟和企業(yè)生 存發(fā)展的重要基礎, 在國計民生和企業(yè)經(jīng)營中的重要性日益凸現(xiàn); 另一方面, 政 府主管機構、企業(yè)和用戶對信息技術的安全性、穩(wěn)定性、可維護性和可發(fā)展性提 出了越來越迫切的要求, 因此, 從社會發(fā)展和國家安全角度來看, 加大發(fā)展信息 安全技術的力度已刻不容緩。研究現(xiàn)狀：自從網(wǎng)絡技術運用的20多年以來，全世界網(wǎng)絡得到了持續(xù)快速的發(fā)展，中 國的網(wǎng)絡安全技術在近幾年也得到快速的發(fā)展，這一方面得益于從中央到地方政 府的廣泛重視，另一方面因為網(wǎng)絡安全問題日益突出，網(wǎng)絡安全企業(yè)不斷跟進最 新安全技術

5、，不斷推出滿足用戶需求、具有時代特色的安全產(chǎn)品，進一步促進了 網(wǎng)絡安全技術的發(fā)展。從技術層面來看，目前網(wǎng)絡安全產(chǎn)品在發(fā)展過程中面臨的 主要問題是：以往人們主要關心系統(tǒng)與網(wǎng)絡基礎層面的防護問題，而現(xiàn)在人們更 加關注應用層面的安全防護問題，安全防護已經(jīng)從底層或簡單數(shù)據(jù)層面上升到了 應用層面，這種應用防護問題已經(jīng)深入到業(yè)務行為的相關性和信息內(nèi)容的語義范 疇，越來越多的安全技術已經(jīng)與應用相結合。據(jù)中國互聯(lián)網(wǎng)信息中心報道：截至 2010年12月底，中國網(wǎng)民人數(shù)達4.57億，寬帶普及率接近100%，互聯(lián)網(wǎng)普 及率達28.9%，超過世界平均水平，使用手機上網(wǎng)的網(wǎng)民達到2.33億人.與此同 時，網(wǎng)絡安全形勢不

6、容樂觀，以僵尸網(wǎng)絡、間諜軟件、身份竊取等為代表的各類 惡意代碼逐漸成為最大威脅，拒絕服務攻擊、網(wǎng)絡仿冒、垃圾郵件等安全事件仍 然猖獗。網(wǎng)絡安全事件在保持整體數(shù)量顯著上升的同時，也呈現(xiàn)出技術復雜化、 動機趨利化、政治化的特點。我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息 安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、 系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個 綜合、交叉的學科領域 它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和 最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應 從安全體系結構

7、、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng) 五個方面開展研究，各部分相互協(xié)同形成有機整體。網(wǎng)絡安全技術在21世紀將成為信息網(wǎng)絡發(fā)展的關鍵技術，21世紀人類步入 信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡安全技術的有力保障， 才能形成社會發(fā)展的推動力。在我國信息網(wǎng)絡安全技術的研究和產(chǎn)品開發(fā)仍處于 起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國特色的 產(chǎn)學研聯(lián)合發(fā)展之路，趕上或超過發(fā)達國家的水平，以此保證我國信息網(wǎng)絡的安 全，推動我國國民經(jīng)濟的高速發(fā)展。下面介紹我國目前的網(wǎng)絡安全現(xiàn)狀、技術現(xiàn)狀和安全技術發(fā)展趨勢分析：1、網(wǎng)絡安全現(xiàn)狀現(xiàn)今互聯(lián)網(wǎng)環(huán)境正在發(fā)生著一

8、系列的變化,安全問題也出現(xiàn)了相應的變化。主要 反映在以下幾個方面:(1)網(wǎng)絡犯罪成為集團化、產(chǎn)業(yè)化的趨勢。從灰鴿子病毒案 例可以看出,木馬從制作到最終盜取用戶信息甚至財物,漸漸成為了一條產(chǎn)業(yè)鏈。 (2)無線網(wǎng)絡、移動手機成為新的攻擊區(qū)域,新的攻擊重點。隨著無線網(wǎng)絡的大力 推廣,3G網(wǎng)絡使用人群的增多，使用的用戶群體也在不斷的增加。垃圾郵件依 然比較嚴重。雖然經(jīng)過這么多年的垃圾郵件整治,垃圾郵件現(xiàn)象得到明顯的改善, 例如在美國有相應的立法來處理垃圾郵件。但是在利益的驅(qū)動下,垃圾郵件仍然 影響著每個人郵箱的使用。(4)漏洞攻擊的爆發(fā)時間變短。從這幾年的攻擊來年, 不難發(fā)現(xiàn)漏洞攻擊的時間越來越短,系

9、統(tǒng)漏洞、網(wǎng)絡漏洞、軟件漏洞被攻擊者發(fā) 現(xiàn)并利用的時間間隔在不斷的縮短。很多攻擊者都通過這些漏洞來攻擊網(wǎng)絡。(5) 攻擊方的技術水平要求越來越低。(6)DoS攻擊更加頻繁。對于DoS攻擊更加隱 蔽,難以追蹤到攻擊者。大多數(shù)攻擊者采用分布式的攻擊方式,以及跳板攻擊方法。 這種攻擊更具有威脅性,攻擊更加難以防治。(7)針對瀏覽器插件的攻擊。插件的 性能不是由瀏覽器來決定的,瀏覽器的漏洞升級并不能解決插件可能存在的漏 洞。(8)網(wǎng)站攻擊,特別是網(wǎng)頁被掛馬。大多數(shù)用戶在打開一個熟習的網(wǎng)站,比如自 己信任的網(wǎng)站,但是這個網(wǎng)站被告掛馬,這在不經(jīng)意之間木馬將會安裝在自己的電 腦內(nèi)。這是現(xiàn)在網(wǎng)站攻擊的主要模式。

10、(9)內(nèi)部用戶的攻擊?，F(xiàn)今企事業(yè)單位的 內(nèi)部網(wǎng)與外部網(wǎng)聯(lián)系的越來越緊密,來自內(nèi)部用戶的威脅也不斷地表現(xiàn)出來。來 自內(nèi)部攻擊的比例在不斷上升,變成內(nèi)部網(wǎng)絡的一個防災重點。2、網(wǎng)絡安全技術 針對于眾多的網(wǎng)絡安全問題,在技術都提出了相應的解決方案?，F(xiàn)今的網(wǎng)絡安全 技術有以下幾個方面:(1)基于網(wǎng)絡防火墻技術。防火墻是設置在兩個或多個網(wǎng)絡 之間的安全阻隔,用于保證本地網(wǎng)絡資源的安全,通常是包含軟件部分和硬件部分 的一個系統(tǒng)或多個系統(tǒng)的組合。防火墻技術是通過允許、拒絕或重新定向經(jīng)過防 火墻的數(shù)據(jù)流,防止不希望的、未經(jīng)授權的通信進出被保護的內(nèi)部網(wǎng)絡,并對進、 出內(nèi)部網(wǎng)絡的服務和訪問進行審計和控制,本身具有

11、較強的抗攻擊能力,并且只有 授權的管理員方可對防火墻進行管理,通過邊界控制來強化內(nèi)部網(wǎng)絡的全。(2)基 于VPN技術。VPN ( Virtual Private Network,虛擬專用網(wǎng)絡)是指利用公共網(wǎng) 絡建立私有專用網(wǎng)絡。數(shù)據(jù)通過安全的“加密隧道”在公共網(wǎng)絡中傳播,連接在 Internet 上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信 線路。VPN利用公共網(wǎng)絡基礎設施為企業(yè)各部門提供安全的網(wǎng)絡互聯(lián)服務，能夠 使運行在VPN之上的商業(yè)應用享有幾乎和專用網(wǎng)絡同樣的安全性、可靠性、優(yōu) 先級別和可管理性。(3)基于舊5(入侵檢測系統(tǒng))技術。入侵檢測系統(tǒng)作為一種積 極主動的安全防護

12、工具,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護,在計 算機網(wǎng)絡和系統(tǒng)受到危害之前進行報警、攔截和響應。基于卬5(入侵防御系 統(tǒng))技術。入侵防御系統(tǒng)提供主動、實時的防護,其設計旨在對網(wǎng)絡流量中的惡意 數(shù)據(jù)包進行檢測,對攻擊性的流量進行自動攔截,使它們無法造成損失。入侵防御 系統(tǒng)如果檢測到攻擊企圖,就會自動地將攻擊包丟掉或采取措施阻斷攻擊源,而不 把攻擊流量放進內(nèi)部網(wǎng)絡。(5)基于網(wǎng)絡隔離技術。網(wǎng)絡隔離技術的目標是確保 把有害的攻擊隔離,在可信網(wǎng)絡之外和保證可信網(wǎng)絡內(nèi)部信息不外泄的前提下,完 成網(wǎng)間數(shù)據(jù)的安全交換。有多種形式的網(wǎng)絡隔離，如物理隔離、協(xié)議隔離和VPN 隔離等。無論采用什么形式的網(wǎng)

13、絡隔離,其實質(zhì)都是數(shù)據(jù)或信息的隔離。(6)基于 加密技術。加密技術是有效解決網(wǎng)絡文件竊取、篡改等攻擊的有效手段。對于網(wǎng) 絡應用大多數(shù)層次都有相應的加密方法。SSLITLS是因特網(wǎng)中訪問Web服務器 最重要的安全協(xié)議。IPSec是IETF制定的IP層加密協(xié)議,為其提供了加密和認證 過程的密鑰管理功能。應用層就更多加密的方式,最典型的有電子簽名、公私鑰 加密方式等。(7)基于訪問控制技術。訪問控制是指主體依據(jù)某些控制策略或權 限對客體本身或是其資源進行的不同授權訪問。訪問控制模型是一種從訪問控制 的角度出發(fā),描述安全系統(tǒng),建立安全模型的方法。(8)基于安全審計技術。安全審 計包括識別、記錄、存儲、

14、分析與安全相關行為的信息,審計記錄用于檢查與安 全相關的活動和負責人。安全審計是指將系統(tǒng)的各種安全機制和措施與預定的安 全目標和策略進行一致性比較,確定各項控制機制是否存在和得到執(zhí)行,對漏洞的 防范是否有效,評價系統(tǒng)安全機制的可依賴程度。3、網(wǎng)絡安全技術發(fā)展趨勢分析下面從防火墻技術、入侵檢測技術和防病毒技術來分析網(wǎng)絡安全技術的發(fā)展 趨勢。防火墻技術發(fā)展趨勢在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業(yè)務的需要，而具備 多種安全功能，基于應用協(xié)議層防御、低誤報率檢測、高可靠高性能平臺和統(tǒng)一 組件化管理的技術，優(yōu)勢將得到越來越多的體現(xiàn)， UTM(Unified Threat Managemen

15、t，統(tǒng)一威脅管理)技術應運而生。從概念的定義上看，UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠的 邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網(wǎng)關、綜合安全 網(wǎng)關、一體化安全設備都符合UTM的概念；而從后半部分來看，UTM的概念 還體現(xiàn)了經(jīng)過多年發(fā)展之后，信息安全行業(yè)對安全管理的深刻理解以及對安全產(chǎn) 品可用性、聯(lián)動能力的深入研究。統(tǒng)一威脅管理UTM圖1 UTM功能示意圖UTM的功能見圖1。由于UTM設備是串聯(lián)接入的安全設備，因此UTM設備本 身必須具備良好的性能和高可靠性，同時，UTM在統(tǒng)一的產(chǎn)品管理平臺下，集 防火墻、VPN、網(wǎng)關防病毒、IPS、拒絕服務攻擊等眾多產(chǎn)品功能于一體

16、，實現(xiàn) 了多種防御功能，因此，向UTM方向演進將是防火墻的發(fā)展趨勢。UTM設備 應具備以下特點。（1）網(wǎng)絡安全協(xié)議層防御。防火墻作為簡單的第二到第四層的防護，主要 針對像IP、端口等靜態(tài)的信息進行防護和控制，但是真正的安全不能只停留在 底層，我們需要構建一個更高、更強、更可靠的墻，除了傳統(tǒng)的訪問控制之外， 還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用， 實現(xiàn)七層協(xié)議的保護，而不僅限于第二到第四層。（2）通過分類檢測技術降低誤報率。串聯(lián)接入的網(wǎng)關設備一旦誤報過高，將會對用戶帶來災難性的后果。IPS理念在20世紀90年代就已經(jīng)被提出，但是 目前全世界對IPS的部署非常有限

17、，影響其部署的一個重要問題就是誤報率。分 類檢測技術可以大幅度降低誤報率，針對不同的攻擊，采取不同的檢測技術，比 如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等， 從而顯著降低誤報率。（3）有高可靠性、高性能的硬件平臺支撐。（4）一體化的統(tǒng)一管理。由于UTM設備集多種功能于一身，因此，它必 須具有能夠統(tǒng)一控制和管理的平臺，使用戶能夠有效地管理。這樣，設備平臺可 以實現(xiàn)標準化并具有可擴展性，用戶可在統(tǒng)一的平臺上進行組件管理，同時，一 體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島，從而在應對各 種各樣攻擊威脅的時候，能夠更好地保障用戶的網(wǎng)絡安全。入侵檢測技術發(fā)展趨

18、勢入侵檢測技術將從簡單的事件報警逐步向趨勢預測和深入的行為分析方向 過渡。IMS（IntrusionManagementSystem，入侵管理系統(tǒng)）具有大規(guī)模部署、 入侵預警、精確定位以及監(jiān)管結合四大典型特征，將逐步成為安全檢測技術的發(fā) 展方向。IMS體系的一個核心技術就是對漏洞生命周期和機理的研究，這將是決 定IMS能否實現(xiàn)大規(guī)模應用的一個前提條件。從理論上說，在配合安全域良好 劃分和規(guī)模化部署的條件下，IMS將可以實現(xiàn)快速的入侵檢測和預警，進行精確 定位和快速響應，從而建立起完整的安全監(jiān)管體系，實現(xiàn)更快、更準、更全面的 安全檢測和事件預防。防病毒技術發(fā)展趨勢內(nèi)網(wǎng)安全未來的趨勢是SCM（ S

19、ecurityComplianceManagement，安全 合規(guī)性管理）。從被動響應到主動合規(guī)、從日志協(xié)議到業(yè)務行為審計、從單一系 統(tǒng)到異構平臺、從各自為政到整體運維是SCM的四大特點，精細化的內(nèi)網(wǎng)管理 可以使現(xiàn)有的內(nèi)網(wǎng)安全達到真正的“可信”。目前，內(nèi)網(wǎng)安全的需求有兩大趨勢：一是終端的合規(guī)性管理，即終端安全策 略、文件策略和系統(tǒng)補丁的統(tǒng)一管理；二是內(nèi)網(wǎng)的業(yè)務行為審計，即從傳統(tǒng)的安 全審計或網(wǎng)絡審計，向?qū)I(yè)務行為審計的發(fā)展，這兩個方面都非常重要。（1）從被動響應到主動合規(guī)。通過規(guī)范終端行為，避免未知行為造成的損 害，使IT管理部門將精力放在策略的制定和維護上，避免被動響應造成人力、 物力的浪費和服務質(zhì)量的下降