国内由于计算机及网络的普及较低,加上黑客们的攻击技术和手段都 相应较为落后,因此,前几年计算机安全问题暴露得不是太明显,但随着 计算机的飞速发展、普及、攻击技术和手段的不断提高,对我们本就十分 脆弱的系统带来了严重的威胁。
网络安全事业其实很早就开始于60世纪末。当时计算机系统的脆弱性 已日益为美国政府和私营的一些机构所认识。但由于当时计算机的速度和 性能较落后,使用的范围也不广,再加上美国政府把它当作敏感问题而施 加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。
进入80年代后,计算机的性能得到了成百上千倍的提高,应用的范围 也在不断扩大,计算机已遍及世界各个角落。并且,人们利用通信网络把 孤立的单机系统连接起来,相互通信和共享资源。但是,随之而来并日益 严峻的问题是计算机信息的安全问题。人们在这方面所做的研究与计算机 性能和应用的飞速发展不相适应,因此,它已成为未来信息技术中的主要 问题之一。
由于计算机信息有共享和易扩散等特性,它在处理、存储、传输和 使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄 露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。根据美 国FBI的调查,美国每年因为网络安全造成的经济损失超过1.70亿美元。 75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50% 的安全威胁来自内部;入侵的来源首先是内部心怀不满的员工,其次为黑 客,另外是竞争者等。
无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量 的损失。黑客威胁的报到如今已经屡见不鲜了,国内外甚至美国国防部的 计算机网络也都常被黑客们光顾。 国内由于计算机及网络的普及较低,加上黑客们的攻击技术和手段都 相应较为落后,因此,前几年计算机安全问题暴露得不是太明显,但随着 计算机的飞速发展、普及、攻击技术和手段的不断提高,对我们本就十分 脆弱的系统带来了严重的威胁。
网络安全的关键技术
既然网络安全非常重要,加上安全网络问题演变至今,技术也愈加成 熟,对比以前,如今的网络安全等经已经大大提高,但这一切都离不开其背后的关键技术。当有一系列强大技术作为支撑时,可以说,网络安全的 问题就迎刃而解了。对于网络安全的关键技术,最主要的有虚拟网技术、
防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、数字签名技术等。下面为这些关键性技术做一个简单介绍,探究其做为网络安全强力支撑的秘密。
虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。 因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路 由器网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各 厂家实现的不完善。在网络层发现的安全漏洞相对更多,如IP sweep, teardrop,sync-flood,IP spoofing攻击等。
防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用 户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网 络操作环境的特殊网络互联设备,它对两个或多个网络之间传输的数据包 如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并
监视网络运行状态。 防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务 器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴,在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统,如果答案为"是",则说明企业内部网还没有在网络层采取相应的防范措施,用来控制系统的访问集中安全管理,不过企业 可使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和 DNS。Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使 用的统计数据,并且Firewall可以提供统计数据,来判断可能的攻击和探测。
病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病 毒的传播途径和速度大大加快。病毒防护的主要技术如下:(1)阻止病毒的传播。在防火墙、代理
服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒
监控软件。 (2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新,并下发到桌面系 统。 (4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
入侵检测技术
利用入侵检测技术防火墙技术,经过仔细的配置,通常能够在内外 网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够: (1)入侵者可寻找防火墙背后可能敞开的后门。(2)入侵者可能就在防火墙内。(3)由于性能的限制,防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
基于主机的安全
监控系统具备如下特点: (1)精确,可以精确地判断入侵事件。(2)高级,可以判断应用层的入侵事件。 (3)对入侵时间立即进行反应。(4)针对不同操作系统特点。 www.asmag.com.cn 31 (5)占用主机宝贵资源。 选择入侵监视系统的要点是: (1)协议分析及检测能力。(2)解码效率(速度)。 (3)自身安全的完备性。 (4)精确度及完整度,防欺骗能力。 (5)模式更新速度。
安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与 防火墙、安全监控系统互相配合能够提供很高安全性的网络。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、 变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以 测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳 数)。
网络安全扫描的主要性能应该考虑以下方面: (1)速度。在网络内进行安全扫描非常耗时。(2)网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。(3)能够发现的漏洞数量。 (4)是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所 以预制的扫描方法肯定不能满足客户的需求。 (5)报告,扫描器应该能够给出清楚的安全漏洞报告。(6)更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞 扫描特性升级,并给出相应的改进建议。
认证和数宇签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作 为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 认证技术将应用到企业网络中的以下方面: (1)路由器认证,路由器和交换机之间的认证。 (2)操作系统认证。操作系统对用户的认证。 (3)网管系统对网管设备之间的认证。(4)VPN网关设备之间的认证。 (5)拨号访问服务器与客户间的认证。(6)应用服务器(如Web Server)与客户的认证。 (7)电子邮件通讯双方的认证。
网络安全的未来趋势
随着信息技术及其应用范围的不断发展,信息安全问题也越来越复 杂,对信息安全威胁的检测和防护已很难由单个安全设备来完成。因此,由单个安全设备独立进行防护、安全设备独立于网络之外单独建设等传统 模式已无法满足新的安全防护需求,将交换机、无线产品等网络设备与安 全设备整合协同进行安全防护的整网体系化安全成为网络安全发展的必然趋势。
目前,安全设备已成为网络建设的基础组件之一,越来越多的用户开 始选择整网体系化安全建设方案,而非单独由安全设备组成的传统网络安全建设方案。对于不同厂商的网络设备和网络安全产品,如将其进行整合 以提供各自独立部署无法提供的附加价值并实现“1+1>2”的效应,需进行额外的针对性适配开发,加大建设成本;而对于同时具备网络设备和网络 安全产品的综合类厂商,其整网整合方案无需进行定制开发,具有天然成 本优势。
因此,整网体系化安全的发展将使得“网络+安全”综合类厂商市场 竞争力进一步增强,并有望逐步扩大市场份额。
随着云计算、大数据、微服务、移动网络等技术的发展,传统基于网 络边界的防护模型在新的网络态势中不再适用,基于零信任模式的需求将逐步增加。根据Gartner预测,到2022年,80%提供给互联网生态伙伴的应 用将使用零信任,2023年将有60%的VPN被零信任取代,40%的企业将在远程接入以外的场景使用零信任。目前,国内企业逐步加大对“零信任框 架”的研究和布局,并开展系列探索和实践。
等保制度是我国网络安全的基石,是维护国家安全、社会秩序和公共 利益的根本保障。《中华人民共和国网络安全法》明确规定国家实行网络安全等级保护制度,并要求网络运营者应当按照网络安全等级保护制度要 求,履行安全保护义务。因此,等保2.0已经上升为法律要求。等保2.0将 会带来百亿级安全市场增量,在原有的被动防御安全市场基础上,基于主 动防御、零信任、无边界、大数据分析、安全运营服务等新安全思路和理念的产品市场将快速增长。