网络安全综述

摘要：人类已迈入信息时代，信息资源已成为最能代表一个国家综合国力的重要战略资源。因此，如何确保信息的安全就成为了一个重要课题，网络的安全性也成为了人们重点研究的领域。该文探讨了网络安全的存在的主要威胁以及几种目前主要网络安全技术，并提出了实现网络安全的相应对策。

关键词：网络安全；防火墙；入侵检测；VPN

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)36-2870-02

Network Security Summary

JIANG Tie

(Hunan Judicature Police Officer Training College,Changsha 410131,China)

Abstract: The humanity has entered into the information age, the information resource has become most can represent a national comprehensive national strength the important strategic resources. Therefore, how to guarantee that the information the security became an important topic, the network security has also become the people with emphasis research domain.This article has discussed the network security existence main threat as well as several kind of present main network security technology, and proposed realizes the network security corresponding countermeasure

Key words: network security;firewall;invasion examination;VPN

1 引言

网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息安全方面的规划则非常有限，这样，伴随计算机与通信技术的迅猛发展，网络攻击与防御技术交替递升，原来网络固有优越性的开放性和互联性变成信息的安全患之便利桥梁。网络安全已变成越来越棘手的问题，只要是接入到因特网中的主机都有可能被攻击或入侵了，而遭受安全问题的困扰。

2 网络安全概述

2.1 网络安全的概念

国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全[1]，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或恶意的原因而遭破坏、更改或泄露，系统能连续可靠、正常地运行，使网络服务不中断[2]。

2.2 网络安全的主要威胁

网络面临的主要威胁主要来自下面几方面:

1) 黑客的攻击

随着黑客技术逐渐被越来越多的人掌握和发展，目前，世界上有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。

2) 管理的欠缺

网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击准备不足。目前，美国75％－85％的网站都抵挡不住黑客的攻击，约有75％的企业网上信息失窃，其中25％的企业损失在25万美元以上。

3) 网络的缺陷

因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。

4) 软件的漏洞或“后门”

随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。大家熟悉的冲击波(Worm.Blaster)、震荡波等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。

5) 企业网络内部

网络内部用户的误操作，资源滥用和恶意行为再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥用做出反应。

3 网络安全的主要技术

安全是网络赖以生存的保障，只有安全得到保障，网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广，主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。

3.1 认证服务

认证服务的作用是通信伙伴之间相互确定身份, 防止他人插入通信过程。认证有两种形式, 一种是检查一方标识的单方认证, 一种是通信双方相互检查对方标识的相互认证。又可分为为实体认证和数据起源认证[3]两种情形。对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下：

1) 身份认证

当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。

2) 报文认证

主要是通信双方对通信的内容进行验证，以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改过。

3) 访问授权

主要是确认用户对某资源的访问权限。

4) 数字签名

数字签名是一种使用加密认证电子信息的方法，其安全性和有用性主要取决于用户私匙的保护和安全的哈希函数。数字签名技术是基于加密技术的，可用对称加密算法、非对称加密算法或混合加密算法来实现。

3.2 数据加密

加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种主要的加密类型：私匙加密和公匙加密。

1) 私匙加密

私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。

2) 公匙加密

公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解密，而公匙加密使用两个密匙，一个用于加密信息，另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过若将两者结合起来，就可以得到一个更复杂的系统。

3.3 防火墙技术

防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。根据防火墙所采用的技术不同, 我们可以将它分为: 包过滤型、网络地址转换― NAT 、型和监测型[4]。

1) 包过滤型

包过滤型产品是防火墙的初级产品, 包过滤技术的优点是简单实用, 实现成本较低, 在应用环境比较简单的情况下, 能够以较小的代价在一定程度上保证系统的安全。

2) 网络地址转化― NAT

这是一种用于把 IP 地址转换成临时的、外部的、注册的 IP 地址标准。网络地址转换的过程对于用户来说是透明的, 不需要用户进行设置, 用户只要进行常规操作即可。

3) 型

型防火墙也称为服务器，服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。型防火墙的优点是安全性较高, 可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

4) 监测型

监测型防火墙是新一代的产品, 这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测, 在对这些数据加以分析的基础上, 监测型防火墙能够有效地判断出各层中的非法侵入。但由于监测型防火墙技术的实现成本较高, 也不易管理, 所以目前在实用中的防火墙产品仍然以第二代型产品为主。

防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他安全机制（如访问控制）集成使用；另外，防火墙难于管理和配置，由多个系统（路由器、过滤器、服务器、网关、保垒主机）组成的防火墙，管理上难免有所疏忽。

3.4 入侵检测系统

入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展：分布式入侵检测、智能化入侵检测和全面的安全防御方案。

入侵检测系统（Instusion Detection System， 简称IDS）是进行入侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止、封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。

3.5 虚拟专用网（VPN）技术

VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一，所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制，这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全：隧道技术（Tunneling)、加解密技术（Encryption & Decryption)、密匙管理技术（Key Management)和使用者与设备身份认证技术（Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务，这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法，如按接入方式分成专线VPN和拨号VPN；按隧道协议可分为第二层和第三层的；按发起方式可分成客户发起的和服务器发起的。

3.6 其他网络安全技术

1) 智能卡技术，智能卡技术和加密技术相近，其实智能卡就是密匙的一种媒体，由授权用户持有并由该用户赋与它一个口令或密码字，该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。

2) 安全脆弱性扫描技术，它为能针对网络分析系统当前的设置和防御手段，指出系统存在或潜在的安全漏洞，以改进系统对网络入侵的防御能力的一种安全技术。

3) 网络数据存储、备份及容灾规划，它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据，使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。

其他网络安全技术还有我们较熟悉的各种网络防杀病毒技术等等。

4 网络安全问题对策的思考

网络安全建设是一个系统工程、是一个社会工程，网络安全问题的对策可从以下几个方面着手。

从技术角度看。首先，要树立正确的思想准备。网络安全的特性决定了这是一个不断变化、快速更新的领域，况且我国在信息安全领域技术方面和国外发达国家还有较大的差距，这都意味着技术上的“持久战”，也意味着人们对于网络安全领域的投资是长期的行为。其次，建立高素质的人才队伍。目前在我国，网络信息安全存在的突出问题是人才稀缺、人才流失，尤其是拔尖人才，同时网络安全人才培养方面的投入还有较大缺欠。最后，在具体完成网络安全保障的需求时，要根据实际情况，结合各种要求，需要多种技术的合理综合运用。

从管理角度看。考察一个内部网是否安全，不仅要看其技术手段，而更重要的是看对该网络所采取的综合措施，不光看重物理的防范因素，更要看重人员的素质等“软”因素， “三分技术，七分管理”，管理作为网络与信息安全保障的重要基础。

从组织体系角度看。要尽快建立完善的网络安全组织体系，明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系，和认证认可各级结构，保证信息安全技术、信息安全工程、信息安全产品，信息安全管理工作的组织体系。

最后，在尽快加强网络立法和执法力度的同时，不断提高全民的文明道德水准，倡导健康的“网络道德”，增强每个网络用户的安全意识，只有这样才能从根本上解决网络安全问题。

参考文献：

[1] 王宝会,王大印,范开菊.计算机信息安全[M].北京:电子工业出版社,2006.

[2] 曾挽,付爱英,盛鸿宇.防火墙技术标准教材程[M].北京:北京理工大学出版社,2007.

[3] 张继山,房丙午.计算机网络技术[M].北京:中国铁道出版社,2006:199-200.

[4] 刘敏.网络安全技术综述[J].科技创新导报.2008,20(25).