网络安全防护技术要点解读

网络安全防护技术要点解读

摘要：随着计算机网络应用的广泛深入．网络安全问题变得日益复杂和突出。目前计算机病毒技术和黑客技术的融合，使得计算机所受到的威胁更加难以预料。本文从常见的网络安全防护方法入手，结合实践探讨有效的防护措施。

关键词：网络安全病毒黑客防火墙入侵检测

随着计算机网络应用的广泛深入，网络安全问题变得日益复杂和突出。网络的资源共享、信息交换和分布处理带来便利，使得网络深入到社会生活的各个方面，逐步成为国家和政府机构运转的命脉和社会生活的支柱。但是，由于网络自身的复杂性和脆弱性，使其受到威胁和攻击的可能性大大增加。本文在探讨网络安全常见防护方法的基础上，提出了一些新的防护理念。

1 网络安全概述

网络安全可以从五个方面来定义：机密性、完整性、可用性、可控性与可审查性。

机密性：确保信息不暴露给未授权的实体或进程。

完整性：仅得到允许的人才能修改数据,并能够判别出数据是否已被篡改。

可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。

可控性：可以控制授权范围内的信息流向及行为方式。

可审查性：对出现的网络安全问题提供调查的依据和手段。

上述定义既说明了计算机网络安全的本质和核心，又考虑了安全所涉及的各个方面。

2常见的网络安全防护技术

目前常见的防护技术都是基于以下几个方面。

2.1 基于物理层及网络拓扑结构的安全措施

对物理层与网络拓扑结构采取的安全措施主要有：①对传输电缆加金属予以屏蔽，必要时埋于地下或加露天保护；②传输线路应远离各种强辐射源，以免数据由于干扰而出错：③监控交换机和调制解调器．以免外连；④定期检查线路，以防搭线接听、外连或破坏；⑤端口保护；⑥安全的网络拓扑结构设计和网络协议选用。

2.2 基于操作系统和应用程序的安全措施

对操作系统和应用程序的最主要的安全措施就是使用安全扫描。操作系统扫描能自动全面监测操作系统的配置，找出其漏洞。对整个内部网络扫描，可以系统地监测到每一网络设备的安全漏洞，网络管理人员应用安全扫描系统可以对系统安全实施有效的控制。

2.3 基于内部网络系统数据的安全措施

2.3.1 用户身份认证。有基于令牌的身份验证和Kerberos等算法。验证令牌的原理是由身份认证服务器AS(Authentication Server)负责管理用户登录，AS根据用户登录时的PIN(Personal Identification Number，查找内部数据库，找出相应令牌的Key，

根据两者产生的序列或随机数来判定用户是否合法。Kerberos是一种通过共同的第三方建立信任的，基于保密密钥的身份认证算法，使用DES加密方法。

2.3.2 访问控制。是对访问者及访问过程的一种权限授予。访问控制在鉴别机制提供的信息基础上，对内部文件和数据库的安全属性和共享程度进行设置，对用户的使用权限进行划分。对用户的访问控制可在网络层和信息层两个层次进行，即在用户进入网络和访问数据库或服务器时．对用户身份分别进行验证。验证机制为：在网络层采用国际通用的分布式认证协议——RADIUS；在信息层采用COOKIE机制，配合数字签名技术，保证系统的安全性。

2.2.3 代理服务器。代理服务器的使用可以使内部网络成为一个独立的封闭回路，从而使网络更加安全。客户端发来的HTTP请求，可经代理服务器转发给异地的WEB服务器，并将异地的WEB服务器传来的响应传回客户端。通过对代理服务器的设置，可以对客户身份进行认证和对各种信息进行过滤，限制有害信息的进入和限制对某些主机或域的访问．网络管理人员也可以通过代理服务器的日志获取更多的网管信息。

2.3.4 数字签名。基于先进密钥技术的数字签名是防止数据在产生、存放和运输过程中被篡改的主要技术手段，数字签名所用的签署信息是签名者所专有的，并且是秘密的和唯一的，签名只能由签名者的号用信息来产生。数字签名实际上是一个收发双方应用密文进行签名和

确认的过程，是数据完整性、公证以及认证机制的基础。目前，数字签名技术己成为密码学中研究和应用的热点之一。

2.3.5 防火墙技术。防火墙技术作为一种访问控制，是在内外部网络之间建立一个保护层，使外部网络对内部网络的访问受到一定的隔离，而内部网络成员仍能方便地访问外部网络，从而保护内部网络资源免受外部的非法入侵和干扰。

3 网络安全最新防护思想

网络的发展本身就是网络安全防护技术和网络安全攻击技术不断博弈的过程。随着网络安全技术的发展，经历了许多尝试，不仅仅是为了避免恶意攻击，更重要的是为了提高网络的可信度。从最初的可靠性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。

但是随着网络的进一步发展和普及，我们已有的防护方法(防病毒产品、防火墙、入侵检测、漏洞扫描等)日渐受到各方面的挑战。为此专家提出一系列新的防护思想．概括而言，有以下几种不同的新防护思想：

(1)主动防护思想，基于IP监听的伪系统蜜罐路由欺骗技术

据统计，目前40％的病毒会自我加密或采用特殊程序压缩；90％的病毒以HTTP为传播途径；60％的病毒以SMTP为传播途径；50％的病毒会利用开机自动执行或自动链接恶意网站下载病毒。这些数据表

明，威胁正在向定向、复合式攻击发展，一种攻击会包括多种威胁，比如病毒、蠕虫、特洛伊木马、间谍软件、僵尸、网络钓鱼、垃圾邮件、漏洞利用、社会工程、黑客等，可造成拒绝服务(DDOS)、服务劫持、信息泄漏或篡改等危害。另外，复合式攻击也加大了收集攻击“样本”的难度，造成的危害也是多方面的。

随着多形态的攻击数量越来越多，传统防护手段的安全效果也越来越差，总是处于“预防威胁——检测威胁——处理威胁——策略执行”的循环之中。面对来势汹汹的新型Web威胁，传统的防护模式已过于陈旧。比如沿袭多年的反病毒主流技术依然是“特征代码查杀”，其工作流程是“截获——处理——升级——再截获”的循环过程。虽然这种技术已经非常成熟，但是随着病毒爆发的生命周期越来越短，传统的安全防御模式——被动响应滞后于病毒的传播。面对当前通过Web传播的复合式攻击，无论是代码对比、行为分析、内容过滤，还是端口封闭、统计分析，都表现得无能为力。基于这样的现实，许多专家进行“主动防护”的研究，最为代表的是“基于IP监听的伪系统蜜罐路由欺骗技术”。其主要原理是：采用IP监听技术、ANTS、Honeyd技术、IPTable等技术，监听网段中空闲的IP，一旦发现对空闲IP的非法入侵，就主动“诱拐”网络中的非法入侵，给入侵探测者欺骗的信息，将攻击数据流路由(“诱拐”)到蜜罐中．从而达到主动防护的目的。

(2)防火墙协同防御技术

防火墙作为不同网段之间的逻辑隔离设备。将内部可信区域与外