網絡安全技術的現狀和發展

【摘要】本文首先闡述了網絡安全的概念，并分析了影響網絡安全的主要因素。然后著重分析了現有的一些網絡安全技術。最后就網絡安全技術的發展趨勢進行了深入的探討。

【關鍵詞】網絡安全網絡安全技術

近年來，互聯網一直保持著較快的發展速度。據統計，截止到2012年12月底，全國的網民規模已達到5.64億，互聯網普及率高達42.1%，互聯網已經成為國家重要的基礎設施。然而互聯網在帶給人們極大方便的同時也帶來許多的網絡安全問題，網絡安全問題正日益成為制約互聯網發展的重要因素。本文首先對網絡安全的定義進行闡述，并探究了影響網絡安全的若干因素，然后著重分析了網絡安全技術的現狀，最后就網絡安全技術的發展趨勢進行深入的分析。

一、網絡安全及影響網絡安全的主要因素

1.1網絡安全的概念

所謂網絡安全是指網絡系統中的軟件、硬件以及系統中的數據得到保護，不因偶然因素或者惡意的攻擊而遭到泄露、更改或破壞，保證系統正常工作運行。

網絡安全主要包括以下特性：（1）完整性，是指網絡中的數據未經授權不能進行隨意改變，即保證信息在傳輸或儲存過程中不被破壞、修改或丟失；（2）保密性，是指網絡信息不能提供給未獲得權限的實體、用戶或過程使用；（3）可控性，是指能夠對網絡信息的內容和傳播進行有效控制；（4）可用性，是指網絡信息能夠被獲得授權的實體或用戶訪問或使用；（5）不可抵賴性，是指在通信的過程中，雙方都不能抵賴或否認曾經發生過的通信內容。

1.2影響網絡安全的因素

影響網絡安全的因素眾多，主要有以下的幾點：

（1）網絡硬件配置不協調。一是作為網絡中樞的文件服務器，其運行的穩定性和功能的完善性將直接影響到網絡系統的質量。二是由于網卡的選配不當導致網絡不夠穩定。（2）缺乏網絡安全策略。很多站點在防火墻的配置上擴大了訪問權限，而這些權限往往會被其他人員濫用。（3）網絡系統的安全性和可擴充性存在問題。網絡系統往往由于設計的不規范或缺乏安全性的考慮，使得其安全性受到嚴重的影響。（4）局域網往往用來資源共享，而共享后的數據往往具有“開放性”，容易被其他用戶篡改或刪除，導致數據的安全性降低。（5）訪問控制配置復雜，易造成配置錯誤，進而給他人可乘之機。

二、網絡安全技術的現狀

隨著網絡安全問題的日益復雜，越來越多的網絡安全技術被開發出來用以保護用戶的網絡安全。現有的網絡安全技術包括防火墻技術、抗攻擊網關、加密技術和入侵檢測技術等。

2.1防火墻技術

防火墻位于內外網絡的邊界，通過實行某些訪問控制策略將外部危險區域與內部可信區域有效隔離開來，這樣便很大程度上防止了未授權用戶進出受保護的內部網絡。常見的防火墻有三類：第一類是應用代理型防火墻，該類防火墻是外部網和內部網的隔離點，能夠監視和隔絕應用層通信流；第二類是復合型防火墻，復合型防火墻將代理服務和數據包過濾結合在一起使用；第三類是分組過濾型防火墻，該類防火墻對數據分組過濾或者包過濾，包過濾技術和原理被認為是各類防火墻的基礎構件。目前出現的新技術類型主要有安全操作系統、實時侵入檢測系統、自適應代理技術和狀態監視技術等。

盡管防火墻是保護網絡信息有效的手段，但是由于其所處位置的特殊性以及其自身的特定功能，該技術仍然存在一定的缺陷：防火墻提供了一種靜態防御，其無法防范防火墻之外的其他攻擊，也不能夠完全阻止已感染病毒的軟件或文件傳送，不能阻止數據驅動型攻擊、拒絕服務攻擊和內部攻擊等。

2.2抗攻擊網關

抗攻擊網關能夠有效的避免連接耗盡攻擊和拒絕服務攻擊（DOS）等網絡攻擊，用戶只需要將抗攻擊網關架在路由器之前并可使用，通過獨立監控系統進行實時的報警和監控，并給出安全事件的報告。抗攻擊網關主要包括指紋識別、免疫型和入侵檢測等類型。由于指紋識別和入侵檢測占據大量的內存和CPU才能夠識別攻擊，并給出過濾規則，加上這類機制自身容易遭到拒絕服務的攻擊，因而不適合未來發展的需求。而免疫型抗攻擊網關卻可以避免這個問題，其本身對攻擊免疫，而且不需要大量的數據計算。該類型的抗攻擊網關是今后發展的趨勢。

2.3加密技術

加密技術與數據的完整性、身份鑒別、數據原發鑒別和信息的機密性等安全問題緊密相連。信息交換加密技術分為對稱加密和非對稱加密兩類。

（1）對稱加密技術。對稱加密技術對信息的加密和解鎖都用相同的鑰匙，即一把鑰匙對應一把鎖。這種信息加密方法簡化了加密過程，信息交換雙方無需彼此交換和研究專用的加密方法。只有在交換階段確保私有鑰匙不被泄露，報文的完整性和機密性才能夠得以保證。需要注意的是，對稱加密技術仍然存在著一些缺點，如果交換的一方對應N個交換對象，那么他就必須維護N把私有鑰匙。對稱加密的另外一個問題是如果雙方共享同一把私有鑰匙，那么雙方的所有信息都是通過這把私有鑰匙加密后傳給對方。

（2）非對稱加密技術。在非對稱加密中，密鑰被分解為公開密鑰和私有密鑰。在這對密鑰中，任何一把都能夠作為公開密鑰向他人公開，而另一把則相應作為私有密鑰加以保存。公開密鑰用來解密，可以廣泛公布，但是只針對于生成密鑰的交換方；私有密鑰用于解密，它只能由生成密鑰的交換方控制。非對稱加密廣泛應用于數據簽名、身份確認等領域，非對稱加密體系一般需要建立在一些已知的數學難題上，它是計算機復雜理論發展導致的必然結果。其中最具代表性的是RSA公鑰密碼體制。

2.4入侵檢測技術

入侵檢測技術是繼“加密技術”、“防火墻技術”等網絡安全技術后新一代安全保障技術。作為一種主動防御的網絡安全技術，它能夠通過對網絡或系統中的某些關鍵點信息進行檢測和分析，進而發現網絡中是否有違反安全的行為，在網絡受到侵害之前進行攔截。入侵檢測系統按照檢測技術可以分為特征檢測和異常檢測。當前市場上大多數都使用特征檢測技術。入侵檢測技術雖然具有較高的準確率，但是它也存在一些缺點。它對于無經驗知識和未知的攻擊無能為力，而且它無法再純交換環境中正常工作，必須對交換環境進行了一定的處理后才能夠進行數據分析。加上網絡寬帶的逐漸增大，需要分析的數據包也越來越多，如何保證檢測的有效性和實時性成了亟待解決的問題。因而新一代的入侵檢測技術應該朝著基于協議分析、代理和負載均衡以及與其他技術方法相結合的方向發展。

三、網絡安全技術的發展趨勢

3.1網絡溯源技術是網絡安全技術未來發展的必經之路

黑客攻擊網絡的技術往往伴隨著網絡安全技術的發展而不斷發展，兩者在不斷對抗中進步，這種對抗的背后其實是網絡溯源技術的缺失。所謂溯源技術是指通過某種技術手段將網絡行為和應用行為追溯到該行為的發動者。導致IP網絡缺乏溯源能力的主要原因有兩個：一是在IP網絡設計時并沒有考慮到它將會成為人們生活中重要的溝通工具；二是當網絡應用規模較小時，采取技術對抗方式能夠使打擊和阻止黑客攻擊所花費的社會成本更低。

但是隨著網絡規模的逐漸增大以及它對人們生活影響的逐步深入，僅僅依靠網絡安全技術來應對黑客攻擊所承受的成本將越來越大。此時更經濟的方式是發展網絡溯源技術，通過法律手段將黑客的攻擊行為列為違法行為，并通過法律手段有效地打擊這種破壞行為。對網絡溯源技術的進一步研究與應用，一方面能夠為法規的有效執行提供一定的技術支撐，另一方面也能最大限度的維持用戶利用網絡的便利性，保障客戶的個人隱私及通信自由。

3.2用融合安全的協議逐步取代傳統的通用安全協議

在網絡安全未成為網絡應用重要的部分時，制定的通信協議一般不考慮網絡和協議的安全性。所以這些協議往往容易出現安全漏洞和受到安全威脅，此時IKE、TLS和IPSec等通用安全協議便出現了，并獲得了大眾的關注。在肯定了安全的重要性后，新設計的協議將安全性充分考慮進來，協議的安全性成了新協議能否獲得認可的重要指標。如SIP自身就包含許多安全機制，IPv6自身附帶了安全字段。可以預見的是，帶有安全機制的通信協議將會逐漸取代傳統的通用安全協議。

除了將安全機制融入協議外，網絡安全還存在著兩個對立的發展趨勢。一個趨勢體現了設備的獨立性，另一個趨勢則體現了安全技術的非獨立性。隨著安全技術的不斷發展，融合了安全性的協議將成為這兩個對立發展趨勢的中間橋梁，也是溝通專業安全廠商和通信設備制造商的中間橋梁。

3.3從協議到系統，支持差異化安全業務

從網絡運營角度看，無論是部署企業網的企業還是運營商，他們對網絡的投入將逐漸增多，除了購買入侵系統檢測、防火墻和漏洞掃描等安全技術外，還必須定期對網絡的安全狀況進行評估。傳統解決安全問題的方案通常都建立在對網絡安全域劃分的基礎之上，對同一個安全域采用單一安全機制。當網絡與業務綁定在一起時，這種方案能夠滿足需求。但是當業務獨立于網絡，業務的安全需求日益多樣化，僅僅依靠單一的安全機制無法滿足業務多樣化的需求。此時的解決方案是，對于有不同安全需求的業務提供不同的安全保護，體現出安全需求的差異化。

四、結束語

網絡安全是一個涉及技術、管理等眾多方面的綜合性課題。基于行為的防護技術將成為應對黑客攻擊的一個未來發展趨勢，同時各種網絡安全技術的相互融合也為當前復雜的情況帶來新的希望，網絡取證、誘騙、陷阱等主動防御技術也得到了一定的重視和發展。總之，面對錯綜復雜的網絡問題，網絡技術人員必須不斷的研究和探討，尋求新的技術手段以實現對網絡安全的有效管理。

參考文獻

[1]楊慧.“網絡安全技術的發展現狀和未來發展趨勢”.《電腦知識與技術》，2010，第35期.

[2]黎洪松.“計算機網絡安全技術”.電子工業出版社，1996.

[3]陳劍勇.“網絡安全技術發展趨勢研究”.《電信科學》，2007，第2期.

[4]蔡景雯.“淺談網絡安全技術的現狀與發展前景”.《信息產業》.

[5]石光.“網絡安全技術綜述”.《傳感器與微系統》. 2007，第9期.