網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀和發(fā)展

【摘要】本文首先闡述了網(wǎng)絡(luò)安全的概念，并分析了影響網(wǎng)絡(luò)安全的主要因素。然后著重分析了現(xiàn)有的一些網(wǎng)絡(luò)安全技術(shù)。最后就網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢進(jìn)行了深入的探討。

【關(guān)鍵詞】網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全技術(shù)

近年來，互聯(lián)網(wǎng)一直保持著較快的發(fā)展速度。據(jù)統(tǒng)計(jì)，截止到2012年12月底，全國的網(wǎng)民規(guī)模已達(dá)到5.64億，互聯(lián)網(wǎng)普及率高達(dá)42.1%，互聯(lián)網(wǎng)已經(jīng)成為國家重要的基礎(chǔ)設(shè)施。然而互聯(lián)網(wǎng)在帶給人們極大方便的同時也帶來許多的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全問題正日益成為制約互聯(lián)網(wǎng)發(fā)展的重要因素。本文首先對網(wǎng)絡(luò)安全的定義進(jìn)行闡述，并探究了影響網(wǎng)絡(luò)安全的若干因素，然后著重分析了網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀，最后就網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢進(jìn)行深入的分析。

一、網(wǎng)絡(luò)安全及影響網(wǎng)絡(luò)安全的主要因素

1.1網(wǎng)絡(luò)安全的概念

所謂網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件以及系統(tǒng)中的數(shù)據(jù)得到保護(hù)，不因偶然因素或者惡意的攻擊而遭到泄露、更改或破壞，保證系統(tǒng)正常工作運(yùn)行。

網(wǎng)絡(luò)安全主要包括以下特性：（1）完整性，是指網(wǎng)絡(luò)中的數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行隨意改變，即保證信息在傳輸或儲存過程中不被破壞、修改或丟失；（2）保密性，是指網(wǎng)絡(luò)信息不能提供給未獲得權(quán)限的實(shí)體、用戶或過程使用；（3）可控性，是指能夠?qū)W(wǎng)絡(luò)信息的內(nèi)容和傳播進(jìn)行有效控制；（4）可用性，是指網(wǎng)絡(luò)信息能夠被獲得授權(quán)的實(shí)體或用戶訪問或使用；（5）不可抵賴性，是指在通信的過程中，雙方都不能抵賴或否認(rèn)曾經(jīng)發(fā)生過的通信內(nèi)容。

1.2影響網(wǎng)絡(luò)安全的因素

影響網(wǎng)絡(luò)安全的因素眾多，主要有以下的幾點(diǎn)：

（1）網(wǎng)絡(luò)硬件配置不協(xié)調(diào)。一是作為網(wǎng)絡(luò)中樞的文件服務(wù)器，其運(yùn)行的穩(wěn)定性和功能的完善性將直接影響到網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。二是由于網(wǎng)卡的選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不夠穩(wěn)定。（2）缺乏網(wǎng)絡(luò)安全策略。很多站點(diǎn)在防火墻的配置上擴(kuò)大了訪問權(quán)限，而這些權(quán)限往往會被其他人員濫用。（3）網(wǎng)絡(luò)系統(tǒng)的安全性和可擴(kuò)充性存在問題。網(wǎng)絡(luò)系統(tǒng)往往由于設(shè)計(jì)的不規(guī)范或缺乏安全性的考慮，使得其安全性受到嚴(yán)重的影響。（4）局域網(wǎng)往往用來資源共享，而共享后的數(shù)據(jù)往往具有“開放性”，容易被其他用戶篡改或刪除，導(dǎo)致數(shù)據(jù)的安全性降低。（5）訪問控制配置復(fù)雜，易造成配置錯誤，進(jìn)而給他人可乘之機(jī)。

二、網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀

隨著網(wǎng)絡(luò)安全問題的日益復(fù)雜，越來越多的網(wǎng)絡(luò)安全技術(shù)被開發(fā)出來用以保護(hù)用戶的網(wǎng)絡(luò)安全。現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)包括防火墻技術(shù)、抗攻擊網(wǎng)關(guān)、加密技術(shù)和入侵檢測技術(shù)等。

2.1防火墻技術(shù)

防火墻位于內(nèi)外網(wǎng)絡(luò)的邊界，通過實(shí)行某些訪問控制策略將外部危險區(qū)域與內(nèi)部可信區(qū)域有效隔離開來，這樣便很大程度上防止了未授權(quán)用戶進(jìn)出受保護(hù)的內(nèi)部網(wǎng)絡(luò)。常見的防火墻有三類：第一類是應(yīng)用代理型防火墻，該類防火墻是外部網(wǎng)和內(nèi)部網(wǎng)的隔離點(diǎn)，能夠監(jiān)視和隔絕應(yīng)用層通信流；第二類是復(fù)合型防火墻，復(fù)合型防火墻將代理服務(wù)和數(shù)據(jù)包過濾結(jié)合在一起使用；第三類是分組過濾型防火墻，該類防火墻對數(shù)據(jù)分組過濾或者包過濾，包過濾技術(shù)和原理被認(rèn)為是各類防火墻的基礎(chǔ)構(gòu)件。目前出現(xiàn)的新技術(shù)類型主要有安全操作系統(tǒng)、實(shí)時侵入檢測系統(tǒng)、自適應(yīng)代理技術(shù)和狀態(tài)監(jiān)視技術(shù)等。

盡管防火墻是保護(hù)網(wǎng)絡(luò)信息有效的手段，但是由于其所處位置的特殊性以及其自身的特定功能，該技術(shù)仍然存在一定的缺陷：防火墻提供了一種靜態(tài)防御，其無法防范防火墻之外的其他攻擊，也不能夠完全阻止已感染病毒的軟件或文件傳送，不能阻止數(shù)據(jù)驅(qū)動型攻擊、拒絕服務(wù)攻擊和內(nèi)部攻擊等。

2.2抗攻擊網(wǎng)關(guān)

抗攻擊網(wǎng)關(guān)能夠有效的避免連接耗盡攻擊和拒絕服務(wù)攻擊（DOS）等網(wǎng)絡(luò)攻擊，用戶只需要將抗攻擊網(wǎng)關(guān)架在路由器之前并可使用，通過獨(dú)立監(jiān)控系統(tǒng)進(jìn)行實(shí)時的報(bào)警和監(jiān)控，并給出安全事件的報(bào)告。抗攻擊網(wǎng)關(guān)主要包括指紋識別、免疫型和入侵檢測等類型。由于指紋識別和入侵檢測占據(jù)大量的內(nèi)存和CPU才能夠識別攻擊，并給出過濾規(guī)則，加上這類機(jī)制自身容易遭到拒絕服務(wù)的攻擊，因而不適合未來發(fā)展的需求。而免疫型抗攻擊網(wǎng)關(guān)卻可以避免這個問題，其本身對攻擊免疫，而且不需要大量的數(shù)據(jù)計(jì)算。該類型的抗攻擊網(wǎng)關(guān)是今后發(fā)展的趨勢。

2.3加密技術(shù)

加密技術(shù)與數(shù)據(jù)的完整性、身份鑒別、數(shù)據(jù)原發(fā)鑒別和信息的機(jī)密性等安全問題緊密相連。信息交換加密技術(shù)分為對稱加密和非對稱加密兩類。

（1）對稱加密技術(shù)。對稱加密技術(shù)對信息的加密和解鎖都用相同的鑰匙，即一把鑰匙對應(yīng)一把鎖。這種信息加密方法簡化了加密過程，信息交換雙方無需彼此交換和研究專用的加密方法。只有在交換階段確保私有鑰匙不被泄露，報(bào)文的完整性和機(jī)密性才能夠得以保證。需要注意的是，對稱加密技術(shù)仍然存在著一些缺點(diǎn)，如果交換的一方對應(yīng)N個交換對象，那么他就必須維護(hù)N把私有鑰匙。對稱加密的另外一個問題是如果雙方共享同一把私有鑰匙，那么雙方的所有信息都是通過這把私有鑰匙加密后傳給對方。

（2）非對稱加密技術(shù)。在非對稱加密中，密鑰被分解為公開密鑰和私有密鑰。在這對密鑰中，任何一把都能夠作為公開密鑰向他人公開，而另一把則相應(yīng)作為私有密鑰加以保存。公開密鑰用來解密，可以廣泛公布，但是只針對于生成密鑰的交換方；私有密鑰用于解密，它只能由生成密鑰的交換方控制。非對稱加密廣泛應(yīng)用于數(shù)據(jù)簽名、身份確認(rèn)等領(lǐng)域，非對稱加密體系一般需要建立在一些已知的數(shù)學(xué)難題上，它是計(jì)算機(jī)復(fù)雜理論發(fā)展導(dǎo)致的必然結(jié)果。其中最具代表性的是RSA公鑰密碼體制。

2.4入侵檢測技術(shù)

入侵檢測技術(shù)是繼“加密技術(shù)”、“防火墻技術(shù)”等網(wǎng)絡(luò)安全技術(shù)后新一代安全保障技術(shù)。作為一種主動防御的網(wǎng)絡(luò)安全技術(shù)，它能夠通過對網(wǎng)絡(luò)或系統(tǒng)中的某些關(guān)鍵點(diǎn)信息進(jìn)行檢測和分析，進(jìn)而發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全的行為，在網(wǎng)絡(luò)受到侵害之前進(jìn)行攔截。入侵檢測系統(tǒng)按照檢測技術(shù)可以分為特征檢測和異常檢測。當(dāng)前市場上大多數(shù)都使用特征檢測技術(shù)。入侵檢測技術(shù)雖然具有較高的準(zhǔn)確率，但是它也存在一些缺點(diǎn)。它對于無經(jīng)驗(yàn)知識和未知的攻擊無能為力，而且它無法再純交換環(huán)境中正常工作，必須對交換環(huán)境進(jìn)行了一定的處理后才能夠進(jìn)行數(shù)據(jù)分析。加上網(wǎng)絡(luò)寬帶的逐漸增大，需要分析的數(shù)據(jù)包也越來越多，如何保證檢測的有效性和實(shí)時性成了亟待解決的問題。因而新一代的入侵檢測技術(shù)應(yīng)該朝著基于協(xié)議分析、代理和負(fù)載均衡以及與其他技術(shù)方法相結(jié)合的方向發(fā)展。

三、網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢

3.1網(wǎng)絡(luò)溯源技術(shù)是網(wǎng)絡(luò)安全技術(shù)未來發(fā)展的必經(jīng)之路

黑客攻擊網(wǎng)絡(luò)的技術(shù)往往伴隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展而不斷發(fā)展，兩者在不斷對抗中進(jìn)步，這種對抗的背后其實(shí)是網(wǎng)絡(luò)溯源技術(shù)的缺失。所謂溯源技術(shù)是指通過某種技術(shù)手段將網(wǎng)絡(luò)行為和應(yīng)用行為追溯到該行為的發(fā)動者。導(dǎo)致IP網(wǎng)絡(luò)缺乏溯源能力的主要原因有兩個：一是在IP網(wǎng)絡(luò)設(shè)計(jì)時并沒有考慮到它將會成為人們生活中重要的溝通工具；二是當(dāng)網(wǎng)絡(luò)應(yīng)用規(guī)模較小時，采取技術(shù)對抗方式能夠使打擊和阻止黑客攻擊所花費(fèi)的社會成本更低。

但是隨著網(wǎng)絡(luò)規(guī)模的逐漸增大以及它對人們生活影響的逐步深入，僅僅依靠網(wǎng)絡(luò)安全技術(shù)來應(yīng)對黑客攻擊所承受的成本將越來越大。此時更經(jīng)濟(jì)的方式是發(fā)展網(wǎng)絡(luò)溯源技術(shù)，通過法律手段將黑客的攻擊行為列為違法行為，并通過法律手段有效地打擊這種破壞行為。對網(wǎng)絡(luò)溯源技術(shù)的進(jìn)一步研究與應(yīng)用，一方面能夠?yàn)榉ㄒ?guī)的有效執(zhí)行提供一定的技術(shù)支撐，另一方面也能最大限度的維持用戶利用網(wǎng)絡(luò)的便利性，保障客戶的個人隱私及通信自由。

3.2用融合安全的協(xié)議逐步取代傳統(tǒng)的通用安全協(xié)議

在網(wǎng)絡(luò)安全未成為網(wǎng)絡(luò)應(yīng)用重要的部分時，制定的通信協(xié)議一般不考慮網(wǎng)絡(luò)和協(xié)議的安全性。所以這些協(xié)議往往容易出現(xiàn)安全漏洞和受到安全威脅，此時IKE、TLS和IPSec等通用安全協(xié)議便出現(xiàn)了，并獲得了大眾的關(guān)注。在肯定了安全的重要性后，新設(shè)計(jì)的協(xié)議將安全性充分考慮進(jìn)來，協(xié)議的安全性成了新協(xié)議能否獲得認(rèn)可的重要指標(biāo)。如SIP自身就包含許多安全機(jī)制，IPv6自身附帶了安全字段。可以預(yù)見的是，帶有安全機(jī)制的通信協(xié)議將會逐漸取代傳統(tǒng)的通用安全協(xié)議。

除了將安全機(jī)制融入?yún)f(xié)議外，網(wǎng)絡(luò)安全還存在著兩個對立的發(fā)展趨勢。一個趨勢體現(xiàn)了設(shè)備的獨(dú)立性，另一個趨勢則體現(xiàn)了安全技術(shù)的非獨(dú)立性。隨著安全技術(shù)的不斷發(fā)展，融合了安全性的協(xié)議將成為這兩個對立發(fā)展趨勢的中間橋梁，也是溝通專業(yè)安全廠商和通信設(shè)備制造商的中間橋梁。

3.3從協(xié)議到系統(tǒng)，支持差異化安全業(yè)務(wù)

從網(wǎng)絡(luò)運(yùn)營角度看，無論是部署企業(yè)網(wǎng)的企業(yè)還是運(yùn)營商，他們對網(wǎng)絡(luò)的投入將逐漸增多，除了購買入侵系統(tǒng)檢測、防火墻和漏洞掃描等安全技術(shù)外，還必須定期對網(wǎng)絡(luò)的安全狀況進(jìn)行評估。傳統(tǒng)解決安全問題的方案通常都建立在對網(wǎng)絡(luò)安全域劃分的基礎(chǔ)之上，對同一個安全域采用單一安全機(jī)制。當(dāng)網(wǎng)絡(luò)與業(yè)務(wù)綁定在一起時，這種方案能夠滿足需求。但是當(dāng)業(yè)務(wù)獨(dú)立于網(wǎng)絡(luò)，業(yè)務(wù)的安全需求日益多樣化，僅僅依靠單一的安全機(jī)制無法滿足業(yè)務(wù)多樣化的需求。此時的解決方案是，對于有不同安全需求的業(yè)務(wù)提供不同的安全保護(hù)，體現(xiàn)出安全需求的差異化。

四、結(jié)束語

網(wǎng)絡(luò)安全是一個涉及技術(shù)、管理等眾多方面的綜合性課題。基于行為的防護(hù)技術(shù)將成為應(yīng)對黑客攻擊的一個未來發(fā)展趨勢，同時各種網(wǎng)絡(luò)安全技術(shù)的相互融合也為當(dāng)前復(fù)雜的情況帶來新的希望，網(wǎng)絡(luò)取證、誘騙、陷阱等主動防御技術(shù)也得到了一定的重視和發(fā)展。總之，面對錯綜復(fù)雜的網(wǎng)絡(luò)問題，網(wǎng)絡(luò)技術(shù)人員必須不斷的研究和探討，尋求新的技術(shù)手段以實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。

參考文獻(xiàn)

[1]楊慧.“網(wǎng)絡(luò)安全技術(shù)的發(fā)展現(xiàn)狀和未來發(fā)展趨勢”.《電腦知識與技術(shù)》，2010，第35期.

[2]黎洪松.“計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)”.電子工業(yè)出版社，1996.

[3]陳劍勇.“網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢研究”.《電信科學(xué)》，2007，第2期.

[4]蔡景雯.“淺談網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀與發(fā)展前景”.《信息產(chǎn)業(yè)》.

[5]石光.“網(wǎng)絡(luò)安全技術(shù)綜述”.《傳感器與微系統(tǒng)》. 2007，第9期.