計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第1頁(yè)。

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第1頁(yè)。

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第2頁(yè)。

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第2頁(yè)。鄭麗華中共江門市委黨校廣東529000摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)給我們的工作和生活帶來(lái)了前所未有的方便，我們?cè)谙硎芫W(wǎng)絡(luò)給我們帶來(lái)方便的同時(shí)，網(wǎng)絡(luò)的安全問(wèn)題也日益突出。本文從網(wǎng)絡(luò)安全面臨的危險(xiǎn)人手重點(diǎn)介紹了防火墻技術(shù)，入侵檢測(cè)系統(tǒng)，討論了它們的局限性，最后介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)。關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)，防火墻；發(fā)展趨勢(shì)引言計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)所面臨的威脅和攻擊大體上可以分為兩類：一類是對(duì)實(shí)體的威脅和攻擊，另一類是對(duì)信息的威脅和攻擊。計(jì)算機(jī)犯罪和計(jì)算機(jī)病毒則包括了對(duì)計(jì)算機(jī)系統(tǒng)實(shí)體和信息兩個(gè)方面的威脅和攻擊。1現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)1.1防火墻技術(shù)(l)防火墻的概念防火墻是設(shè)置在可信網(wǎng)絡(luò)和不可信的外界之間的一道屏障，可以實(shí)施比較廣泛的安全策略來(lái)控制信息流入可信網(wǎng)絡(luò)，防止不可預(yù)料的潛在的入侵破壞；另一方面能夠限制可信網(wǎng)絡(luò)中的用戶對(duì)外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn)。防火墻必須具備以下三種基本性質(zhì)：①進(jìn)出網(wǎng)絡(luò)的雙向通信信息必須通過(guò)防火墻。②只能允許經(jīng)過(guò)本地安全策略授權(quán)的通信信息通過(guò)。④防火墻本身不能影響網(wǎng)絡(luò)信息的流通。(2)設(shè)立防火墻的目的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第3頁(yè)。設(shè)立防火墻的主要目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊。通常，被保護(hù)的網(wǎng)絡(luò)屬于我們自己，或者是我們負(fù)責(zé)管理的，而所要防備的網(wǎng)絡(luò)則是一個(gè)外部的網(wǎng)絡(luò)，該網(wǎng)絡(luò)是不可信賴的，因?yàn)榭赡苡腥藭?huì)從該網(wǎng)絡(luò)上對(duì)我們的網(wǎng)絡(luò)發(fā)起攻擊，破壞網(wǎng)絡(luò)安全。對(duì)網(wǎng)絡(luò)的保護(hù)包括下列工作：拒絕未經(jīng)授權(quán)的用戶訪問(wèn)，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙地訪問(wèn)網(wǎng)絡(luò)資源。不同的防火墻側(cè)重點(diǎn)不同。計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第3頁(yè)。1.2入侵檢測(cè)系統(tǒng)(1)入侵檢測(cè)系統(tǒng)概念入侵檢測(cè)系統(tǒng)(IDS)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的系統(tǒng)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的系統(tǒng)。違反安全策略行為有：入侵——非法用戶的違規(guī)行為，濫用——用戶的違規(guī)行為。入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，這種活動(dòng)可能來(lái)自于網(wǎng)絡(luò)外部和內(nèi)部。入侵檢測(cè)系統(tǒng)的應(yīng)用，能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加到知識(shí)庫(kù)內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。(2)入侵檢測(cè)系統(tǒng)特點(diǎn)一個(gè)完整的入侵檢測(cè)系統(tǒng)必須具有下列特點(diǎn)：①經(jīng)濟(jì)性：為了保證系統(tǒng)安全策略的實(shí)施而引入的入侵檢測(cè)系統(tǒng)必須不防礙系統(tǒng)的正常運(yùn)行。②時(shí)效性：必須及時(shí)發(fā)現(xiàn)各種入侵行為，理想的情況是在事先發(fā)現(xiàn)攻擊企圖，比較現(xiàn)實(shí)的情況是在攻擊行為發(fā)生的過(guò)程中檢測(cè)到。如果是事后檢測(cè)到，則必須保證實(shí)效性，因?yàn)橐粋€(gè)已經(jīng)被攻擊過(guò)的系統(tǒng)往往意味著后門的引入以及后續(xù)的攻擊行為。③安全性：入侵檢測(cè)系統(tǒng)自身必須安全，如果入侵檢測(cè)系統(tǒng)自身的安全性得不到保障，則意味著信息的無(wú)效，而更嚴(yán)重的是，入侵者控制了入侵檢測(cè)系統(tǒng)即獲得了對(duì)系統(tǒng)的控制權(quán)，因?yàn)橐话闱闆r下入侵檢測(cè)系統(tǒng)都是以特權(quán)狀態(tài)運(yùn)行的。④可擴(kuò)展性：可擴(kuò)展性有兩方面的意義：一是機(jī)制與數(shù)據(jù)的分離，在現(xiàn)在機(jī)制不變的前提下能夠?qū)π碌墓暨M(jìn)行檢測(cè)，例如，使用特征碼來(lái)表示攻擊特性；二是體系結(jié)構(gòu)的可擴(kuò)展性，在有必要的時(shí)候可以在不對(duì)系統(tǒng)的整體結(jié)構(gòu)進(jìn)行修改的前提下加強(qiáng)檢測(cè)手段，以保證能夠檢測(cè)到新的攻擊，如AAFID系統(tǒng)的代理機(jī)制。計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第4頁(yè)。(3)入侵檢測(cè)的主要方法計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第4頁(yè)。①靜態(tài)配置分析：靜態(tài)配置分析通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。②異常性檢測(cè)方法：異常性檢測(cè)技術(shù)是一種在不需要操作系統(tǒng)及其防范安全性缺陷專門知識(shí)的情況下，就可以檢測(cè)入侵者的方法，同時(shí)它也是檢測(cè)冒充合法用戶的入侵者的有效方法。④基于行為的檢測(cè)方法：通過(guò)檢測(cè)用戶行為中那些與已知入侵行為模式類似的行為、那些利用系統(tǒng)中缺陷或間接違背系統(tǒng)安全規(guī)則的行為，來(lái)判斷系統(tǒng)中的入侵活動(dòng)。入侵檢測(cè)方法雖然能夠在某些方面取得好的效果，但總體看來(lái)各有不足，因而越來(lái)越多的入侵檢測(cè)系統(tǒng)都同時(shí)采用幾種方法，以互補(bǔ)不足，共同完成檢測(cè)任務(wù)。2現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的局限性雖然上述的防御技術(shù)在一定程度上保證了計(jì)算機(jī)網(wǎng)絡(luò)的安全性，但是現(xiàn)有的計(jì)算機(jī)安全技術(shù)仍然存在一定的局限性，并不能完全保證信息安全。2.1防火墻技術(shù)的局限性防火墻雖然是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)，防火墻往往是無(wú)能為力的。因?yàn)樗哂幸韵氯秉c(diǎn)：(l)限制有用的網(wǎng)絡(luò)服務(wù)。防火墻為了提高網(wǎng)絡(luò)的安全性，限制或關(guān)閉了很多有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)。(2)無(wú)法抵抗來(lái)自內(nèi)部網(wǎng)絡(luò)用戶的攻擊。對(duì)于來(lái)自內(nèi)部網(wǎng)絡(luò)之間的攻擊只能依靠?jī)?nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng)的安全性。(3)防火墻無(wú)法防范來(lái)自防火墻以外的其他途徑的攻擊。例如，只要在一個(gè)被保護(hù)的網(wǎng)絡(luò)中存在一個(gè)沒(méi)有限制的撥出，內(nèi)部網(wǎng)絡(luò)上的用戶就可以直接通過(guò)SLIP或PPP連接進(jìn)入INTERNET。(4)防火墻也不能完全隔離被感染病毒的軟件和文件。(5)普通應(yīng)用程序加密后，也能輕易的躲過(guò)防火墻的檢測(cè)。(6)防火墻是一種被動(dòng)的防護(hù)手段，它只能防御到目前為止已知的網(wǎng)絡(luò)威脅，而對(duì)新的黑客攻擊和惡意訪問(wèn)等行為并不起作用。2.2入侵檢測(cè)系統(tǒng)的局限性計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第5頁(yè)。入侵檢測(cè)方法雖然能夠在某些方面取得好的效果，但也存在著明顯的問(wèn)題：計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其發(fā)展趨勢(shì)全文共6頁(yè)，當(dāng)前為第5頁(yè)。(1)誤／漏報(bào)率高：IDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等，而這些檢測(cè)都存在缺陷。比如，異常檢測(cè)通常采用統(tǒng)計(jì)方法來(lái)進(jìn)行檢測(cè)，而統(tǒng)計(jì)方法中的閥值難以有效確定，太小的值會(huì)產(chǎn)生大量的誤報(bào)，太大的值會(huì)產(chǎn)生大量的漏報(bào)。(2)難于防御精巧而有組織的攻擊：攻擊可以來(lái)自四面八方，特別是一群人組織策劃且攻擊者技術(shù)高超的攻擊，攻擊者花費(fèi)很長(zhǎng)時(shí)間準(zhǔn)備，并發(fā)動(dòng)全球性攻擊，要找出這樣復(fù)雜的攻擊是一件難事。另外，高速網(wǎng)絡(luò)技術(shù)，尤其是交換技術(shù)以及加密信道技術(shù)的發(fā)展，使得通過(guò)共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而巨大的通信量對(duì)數(shù)據(jù)分析也提出了新的要求。(3)缺乏準(zhǔn)確定位和處理機(jī)制：IDS僅能識(shí)別IP地址，無(wú)法定位lP地址，不能識(shí)別數(shù)據(jù)來(lái)源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但關(guān)閉同時(shí)會(huì)影響其他正常用戶的使用。因而缺乏更有效的響應(yīng)處理機(jī)制。3計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢(shì)防火墻和入侵檢測(cè)系統(tǒng)的功能特點(diǎn)和局限性決定了它們彼此非常需要對(duì)方，且不可能相互取代，原因在于防火墻側(cè)重于訪問(wèn)控制，入侵檢測(cè)系統(tǒng)則側(cè)重于主動(dòng)發(fā)現(xiàn)入侵信號(hào)。例如，入侵檢測(cè)系統(tǒng)檢測(cè)到一種攻擊行為，如不能及時(shí)有效地阻斷或過(guò)濾，這種攻擊行為仍將對(duì)網(wǎng)絡(luò)應(yīng)用造成損害，沒(méi)有入侵檢測(cè)系統(tǒng)，一些攻擊會(huì)利用防火墻的合法通道進(jìn)入網(wǎng)絡(luò)。因此，只有將防火墻和入侵檢測(cè)系統(tǒng)之間十分緊密的聯(lián)動(dòng)結(jié)合起來(lái)，相互彌補(bǔ)不足，才能提供真正的防御保護(hù)功能。聯(lián)動(dòng)控制（圖1）是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的一種發(fā)展趨勢(shì)，它是基于客戶服務(wù)器模式，通過(guò)擴(kuò)展入侵檢測(cè)系統(tǒng)和防火墻的功能，在防火墻中駐留一個(gè)Server程序，在IDS端駐留一個(gè)Client端程序，Client端在發(fā)現(xiàn)需防火墻阻斷的攻擊行為后，產(chǎn)生控制信息，將控制信息傳送給Server端，Server端接到Client的控制消息后，動(dòng)態(tài)生成防火墻的過(guò)濾規(guī)則，最終實(shí)現(xiàn)聯(lián)動(dòng)，攔截攻擊后且攻擊停止時(shí)，添加的防火墻規(guī)則自動(dòng)翹時(shí)刪除。參考文獻(xiàn)[1]馬建峰，郭淵博，計(jì)算機(jī)系統(tǒng)安全[M].西安電子科技入學(xué)出版社．2005．[2]陳波，于泠．計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)[M]．北京：機(jī)械工業(yè)出版社.2006．[3]徐卓峰，信息安全技術(shù)[M]．武漢理工大學(xué)出版社．20