淺談網(wǎng)絡信息安全與防護手段

摘要:近年來計算機系統(tǒng)漏洞的發(fā)現(xiàn)速度加快，大規(guī)模蠕蟲攻擊不斷爆發(fā)，計算機網(wǎng)絡安全狀況不容樂觀。目前的計算機網(wǎng)絡攻擊具有攻擊源相對集中，攻擊手段更加靈活，攻擊對象的范圍擴大等新特點。雖然現(xiàn)在的網(wǎng)絡安全技術(shù)較過去有了很大進步，但計算機網(wǎng)絡安全是攻擊和防御的技術(shù)和力量中此消彼長中的一個動態(tài)過程，整體狀況不容樂觀。網(wǎng)絡安全企業(yè)和專家應該從這些特點出發(fā)，尋找更好的解決之道。

關(guān)鍵詞:網(wǎng)絡安全 防火墻 技術(shù)特征

21世紀全世界的計算機都通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當人類步入21世紀這一信息社會、網(wǎng)絡社會的時候，我國將建立起一套完整的網(wǎng)絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡安全體系。一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時，應著力發(fā)展自己獨特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動我國網(wǎng)絡安全技術(shù)的整體提高。

網(wǎng)絡安全產(chǎn)品有以下幾大特點:第一，網(wǎng)絡安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二，網(wǎng)絡的安全機制與技術(shù)要不斷地變化;第三，隨著網(wǎng)絡在社會個方面的延伸，進入網(wǎng)絡的手段也越來越多，因此，網(wǎng)絡安全技術(shù)是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡安全體系，需要國家政策和法規(guī)的支持及安全產(chǎn)品生產(chǎn)集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。

1 網(wǎng)絡安全現(xiàn)狀

由于政務網(wǎng)、商務網(wǎng)所有業(yè)務應用系統(tǒng)都基于一個企業(yè)網(wǎng)絡系統(tǒng)實現(xiàn)，因此應用與應用之間難以有效地隔離;其二用戶情況復雜，有的用戶屬于重要應用崗位，有的屬于一般崗位，雖然這些用戶對應用的安全服務要求不同，但他們均混雜一個局域網(wǎng)絡，因此對用戶較難以分別控制。此外政務網(wǎng)、商務網(wǎng)應用是基于開放的平臺實現(xiàn)，開放系統(tǒng)平臺和開放的通訊協(xié)議存在的安全缺陷及漏洞，同時也造成了這些應用存在著安全上的隱患。總之，各種應用之間可能存在信息非法訪問、存取的機會，這都給政務網(wǎng)、商務網(wǎng)的信息應用的安全運行帶來巨大的風險。這些風險包括用戶對信息的誤用、濫用、盜用以及破壞。對于政務網(wǎng)、商務網(wǎng)等信息應用系統(tǒng)來說，面臨的攻擊、威脅的主要手段有:病毒、破壞硬件設備、冒充、篡改、竊取等。

在網(wǎng)絡系統(tǒng)中，無論任何調(diào)用指令，還是任何反饋均是通過網(wǎng)絡傳輸實現(xiàn)的，所以網(wǎng)絡信息傳輸上的安全就顯得特別重要。信息的傳輸安全主要是指信息在動態(tài)傳輸過程中的安全。為確保政務網(wǎng)、商務網(wǎng)網(wǎng)絡信息的傳輸安全，主要應在如下幾個方面引起注意:對網(wǎng)絡上信息的監(jiān)聽對網(wǎng)上傳輸?shù)男畔ⅲ粽咧恍柙诰W(wǎng)絡的傳輸鏈路上通過物理或邏輯的手段，就能對數(shù)據(jù)進行非法的截獲與監(jiān)聽，進而等到用戶或服務方的敏感信息。[1]計算機網(wǎng)絡上的通信面臨以下的四種威脅:①截獲——從網(wǎng)絡上竊聽他人的通信內(nèi)容。②中斷——有意中斷他人在網(wǎng)絡上的通信。③篡改——故意篡改網(wǎng)絡上傳送的報文。④偽造——偽造信息在網(wǎng)絡上傳送。

2 網(wǎng)絡安全管理監(jiān)控

信息系統(tǒng)安全性起于好的管理。這包括檢查所有重要文件和目錄的所有者和許可權(quán)限，監(jiān)視特權(quán)賬戶的使用，檢查信息的使用及占有情況等。在一個信息系統(tǒng)運行中，影響系統(tǒng)安全的因素很多，但其中50%與管理因素有關(guān)。政務網(wǎng)、商務網(wǎng)信息系統(tǒng)較為復雜，一旦信息處理的某個節(jié)點或環(huán)節(jié)出現(xiàn)問題，很可能導致信息系統(tǒng)降低效率或癱瘓，而信息系統(tǒng)單純依靠人工管理存在較大困難和諸多安全隱患，因此需要一種手段和技術(shù)來保證信息系統(tǒng)的可管理性，并減少信息系統(tǒng)維護的費用。在政務網(wǎng)、商務網(wǎng)等信息系統(tǒng)中，分布式結(jié)構(gòu)和網(wǎng)絡計算占了重要地位。隨著信息系統(tǒng)規(guī)模的擴大，我們會發(fā)現(xiàn)一個問題，就是策略的統(tǒng)一性、連續(xù)性。我們知道，對于政務網(wǎng)、商務網(wǎng)而言，整個信息系統(tǒng)是一個整體，想保證整體系統(tǒng)的可靠性、可用性和安全性，那么必須保持每一個局部的網(wǎng)絡或者主機的安全和可靠的。現(xiàn)在很多安全方面的隱患是由于整體信息系統(tǒng)的策略實施的不統(tǒng)一造成的。因此當政務網(wǎng)、商務網(wǎng)制訂了企業(yè)的整體安全策略時，除了通過規(guī)章制度把這些想法傳達下去，還要具備相應的技術(shù)手段來保證這一點。

對于政務網(wǎng)、商務網(wǎng)這樣的用戶必須建立一個集中式管理的概念，就是數(shù)據(jù)和處理能力可以是分散的，但對于管理而言，應該是集中的。而所管理的內(nèi)容應該包括企業(yè)網(wǎng)絡中一些重要的信息。如:系統(tǒng)的集中管理、網(wǎng)絡的集中管理、應用的集中管理、防火墻系統(tǒng)的集中管理、網(wǎng)絡用戶的集中管理，以及和這些相關(guān)的管理信息的復制、更新和同步。

3 防火墻技術(shù)及其發(fā)展趨勢

防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，是一種特殊編程的路由器，用來在兩個網(wǎng)絡之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。[2]它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關(guān)(代理服務器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段，但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

防火墻處于5層網(wǎng)絡安全體系中的最底層，屬于網(wǎng)絡層安全技術(shù)范疇。作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡安全的最底層，負責網(wǎng)絡間的安全認證與傳輸，但隨著網(wǎng)絡安全技術(shù)的整體發(fā)展和網(wǎng)絡應用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務。此外還有多種防火墻產(chǎn)品正在朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。

防火墻必須在基于芯片加速的深度內(nèi)容過濾技術(shù)上實現(xiàn)真正的突破，并推出實用化的產(chǎn)品以解決當前的網(wǎng)絡安全難題。隨著算法和芯片技術(shù)的發(fā)展，防火墻會更多地參與應用層分析、芯片解決計算加速，防火墻必將以軟硬兼施的方案為用戶的應用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作，形成以芯片技術(shù)為主導的全系列硬件型安全網(wǎng)關(guān)。

防火墻下一步的發(fā)展與中國下一代網(wǎng)絡的建設緊密相關(guān)，如IPv6網(wǎng)絡、P2P應用、3G、4G網(wǎng)絡等等。這里特別強調(diào)的是防火墻與IPv6。由于IPv6網(wǎng)絡的新特性，如端到端的連接、移動IP的處理、內(nèi)嵌IPSec、路徑MTU探測等，給防火墻帶來新的安全挑戰(zhàn)。防火墻不僅要及時適應IPv6網(wǎng)絡的發(fā)展，并解決IPv6引入后帶來的新問題，同時，由于IPv6與IPv4網(wǎng)絡長期共存，網(wǎng)絡必然會同時存在IPv4的安全問題與IPv6的安全問題，或由此造成新的安全問題。下一步要考慮的，不僅僅是更適應于網(wǎng)絡發(fā)展的防火墻模型，可能還會包括網(wǎng)絡安全防范與評估方法等。在Internet無所不在的理念下，防火墻等網(wǎng)絡安全產(chǎn)品也必將站在可信賴應用與計算環(huán)境為基礎的角度上設計并解決安全問題。當前基于不同架構(gòu)設計實現(xiàn)的防火墻都將面臨巨大的挑戰(zhàn)，為此付出的代價也將是不同的。

防火墻技術(shù)和產(chǎn)品已經(jīng)相對成熟，但還存在一定的技術(shù)局限性，防火墻仍不能完全滿足用戶的需求。網(wǎng)絡攻防是一對矛盾，用戶需求激發(fā)技術(shù)創(chuàng)新，網(wǎng)絡與應用也在日新月異，在關(guān)鍵處理技術(shù)上實現(xiàn)創(chuàng)新，并對防火墻在各種網(wǎng)絡環(huán)境中的實際應用、穩(wěn)定性與易用性，以及整體網(wǎng)絡安全解決方案進行研究，一直會是防火墻技術(shù)的重要內(nèi)容。因此，防火墻技術(shù)將持續(xù)快速發(fā)展，技術(shù)突破將必然帶來新的天地。

4 結(jié)論

計算機網(wǎng)絡安全是在攻擊和防御的技術(shù)和力量此消彼長中的一個動態(tài)過程。根據(jù)前面的分析，當前的網(wǎng)絡安全具有很多新的特點，整體的狀況不容樂觀。網(wǎng)絡安全企業(yè)和專家應該從這些特點出發(fā)，尋找更好的解決之道。

參考文獻:

[1]謝希仁.《計算機網(wǎng)絡》 (第5版).北京:電子工業(yè)出版社.2008.1 P284.

[2]謝希仁.《計算機網(wǎng)絡》 (第5版).北京:電子工業(yè)出版社.2008.1 P303.