网络安全防护技术要点解读摘要：随着计算机网络应用的广泛深入．网络安全问题变得日益复杂和突出。

目前计算机病毒技术和黑客技术的融合，使得计算机所受到的威胁更加难以预料。

本文从常见的网络安全防护方法入手，结合实践探讨有效的防护措施。

关键词：网络安全病毒黑客防火墙入侵检测随着计算机网络应用的广泛深入，网络安全问题变得日益复杂和突出。

网络的资源共享、信息交换和分布处理带来便利，使得网络深入到社会生活的各个方面，逐步成为国家和政府机构运转的命脉和社会生活的支柱。

但是，由于网络自身的复杂性和脆弱性，使其受到威胁和攻击的可能性大大增加。

本文在探讨网络安全常见防护方法的基础上，提出了一些新的防护理念。

1 网络安全概述网络安全可以从五个方面来定义：机密性、完整性、可用性、可控性与可审查性。

机密性：确保信息不暴露给未授权的实体或进程。

完整性：仅得到允许的人才能修改数据,并能够判别出数据是否已被篡改。

可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。

可控性：可以控制授权范围内的信息流向及行为方式。

可审查性：对出现的网络安全问题提供调查的依据和手段。

上述定义既说明了计算机网络安全的本质和核心，又考虑了安全所涉及的各个方面。

2常见的网络安全防护技术目前常见的防护技术都是基于以下几个方面。

2.1 基于物理层及网络拓扑结构的安全措施对物理层与网络拓扑结构采取的安全措施主要有：①对传输电缆加金属予以屏蔽，必要时埋于地下或加露天保护；②传输线路应远离各种强辐射源，以免数据由于干扰而出错：③监控交换机和调制解调器．以免外连；④定期检查线路，以防搭线接听、外连或破坏；⑤端口保护；⑥安全的网络拓扑结构设计和网络协议选用。

2.2 基于操作系统和应用程序的安全措施对操作系统和应用程序的最主要的安全措施就是使用安全扫描。

操作系统扫描能自动全面监测操作系统的配置，找出其漏洞。

对整个内部网络扫描，可以系统地监测到每一网络设备的安全漏洞，网络管理人员应用安全扫描系统可以对系统安全实施有效的控制。

2.3 基于内部网络系统数据的安全措施2.3.1 用户身份认证。

有基于令牌的身份验证和Kerberos等算法。

验证令牌的原理是由身份认证服务器AS(Authentication Server)负责管理用户登录，AS根据用户登录时的PIN(Personal Identification Number，查找内部数据库，找出相应令牌的Key，根据两者产生的序列或随机数来判定用户是否合法。

Kerberos是一种通过共同的第三方建立信任的，基于保密密钥的身份认证算法，使用DES加密方法。

2.3.2 访问控制。

是对访问者及访问过程的一种权限授予。

访问控制在鉴别机制提供的信息基础上，对内部文件和数据库的安全属性和共享程度进行设置，对用户的使用权限进行划分。

对用户的访问控制可在网络层和信息层两个层次进行，即在用户进入网络和访问数据库或服务器时．对用户身份分别进行验证。

验证机制为：在网络层采用国际通用的分布式认证协议——RADIUS；在信息层采用COOKIE机制，配合数字签名技术，保证系统的安全性。

2.2.3 代理服务器。

代理服务器的使用可以使内部网络成为一个独立的封闭回路，从而使网络更加安全。

客户端发来的HTTP请求，可经代理服务器转发给异地的WEB服务器，并将异地的WEB服务器传来的响应传回客户端。

通过对代理服务器的设置，可以对客户身份进行认证和对各种信息进行过滤，限制有害信息的进入和限制对某些主机或域的访问．网络管理人员也可以通过代理服务器的日志获取更多的网管信息。

2.3.4 数字签名。

基于先进密钥技术的数字签名是防止数据在产生、存放和运输过程中被篡改的主要技术手段，数字签名所用的签署信息是签名者所专有的，并且是秘密的和唯一的，签名只能由签名者的号用信息来产生。

数字签名实际上是一个收发双方应用密文进行签名和确认的过程，是数据完整性、公证以及认证机制的基础。

目前，数字签名技术己成为密码学中研究和应用的热点之一。

2.3.5 防火墙技术。

防火墙技术作为一种访问控制，是在内外部网络之间建立一个保护层，使外部网络对内部网络的访问受到一定的隔离，而内部网络成员仍能方便地访问外部网络，从而保护内部网络资源免受外部的非法入侵和干扰。

3 网络安全最新防护思想网络的发展本身就是网络安全防护技术和网络安全攻击技术不断博弈的过程。

随着网络安全技术的发展，经历了许多尝试，不仅仅是为了避免恶意攻击，更重要的是为了提高网络的可信度。

从最初的可靠性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。

但是随着网络的进一步发展和普及，我们已有的防护方法(防病毒产品、防火墙、入侵检测、漏洞扫描等)日渐受到各方面的挑战。

为此专家提出一系列新的防护思想．概括而言，有以下几种不同的新防护思想：(1)主动防护思想，基于IP监听的伪系统蜜罐路由欺骗技术据统计，目前40％的病毒会自我加密或采用特殊程序压缩；90％的病毒以HTTP为传播途径；60％的病毒以SMTP为传播途径；50％的病毒会利用开机自动执行或自动链接恶意网站下载病毒。

这些数据表明，威胁正在向定向、复合式攻击发展，一种攻击会包括多种威胁，比如病毒、蠕虫、特洛伊木马、间谍软件、僵尸、网络钓鱼、垃圾邮件、漏洞利用、社会工程、黑客等，可造成拒绝服务(DDOS)、服务劫持、信息泄漏或篡改等危害。

另外，复合式攻击也加大了收集攻击“样本”的难度，造成的危害也是多方面的。

随着多形态的攻击数量越来越多，传统防护手段的安全效果也越来越差，总是处于“预防威胁——检测威胁——处理威胁——策略执行”的循环之中。

面对来势汹汹的新型Web威胁，传统的防护模式已过于陈旧。

比如沿袭多年的反病毒主流技术依然是“特征代码查杀”，其工作流程是“截获——处理——升级——再截获”的循环过程。

虽然这种技术已经非常成熟，但是随着病毒爆发的生命周期越来越短，传统的安全防御模式——被动响应滞后于病毒的传播。

面对当前通过Web传播的复合式攻击，无论是代码对比、行为分析、内容过滤，还是端口封闭、统计分析，都表现得无能为力。

基于这样的现实，许多专家进行“主动防护”的研究，最为代表的是“基于IP监听的伪系统蜜罐路由欺骗技术”。

其主要原理是：采用IP监听技术、ANTS、Honeyd技术、IPTable等技术，监听网段中空闲的IP，一旦发现对空闲IP的非法入侵，就主动“诱拐”网络中的非法入侵，给入侵探测者欺骗的信息，将攻击数据流路由(“诱拐”)到蜜罐中．从而达到主动防护的目的。

(2)防火墙协同防御技术防火墙作为不同网段之间的逻辑隔离设备。

将内部可信区域与外部危险区域有效隔离，将网络的安全策略制定和信息流动集中管理控制，为网络边界提供保护，是网络的防盗门，也是抵御入侵可靠有效的手段之一。

防火墙技术一直在发展，从静态包过滤，到状态检测包过滤，应用代理防火墙，电路代理防火墙等，技术上相对走向成熟。

但是，随着攻击技术的日趋复杂多样，各种系统、软件存在安全漏洞，这种单纯的、被动静态的安全防御已经无法满足需要，存在着这样或那样的缺陷和不足。

单一的防火墙无法解决自身系统和被动防御的脆弱性问题，无法解决DMZ(隔离区)的安全问题，无法解决安全逻辑(非线路故障)上的单点故障，无法满足用户对高安全、高可靠性和高可用性的要求。

防火墙协同防御技术就是利用防火墙在防御中的特殊地位，加强防火墙与入侵检测(IDS)协同、防火墙与防病毒软件协同以及防火墙与日志处理的协同工作，构建一个较为安全的防御体系。

由于目前防火墙与别的产品之间的协同防御存在不少问题，最新的做法是：将路由、交换机、IDS、IPS以及防火墙(FW)集成到一个产品上，同时利用闪存扩展产品的存储容量，构建以防火墙为中心的协同动态防御体系。

(3)网络安全域划分，分级分域防护随着业务的不断发展,计算机网络变得越来越复杂，将网络划分为不同的区域，对每个区域进行层次化地有重点的保护，是建立纵深防御安全系统的自然而有效的手段。

通过网络安全域的划分，可以把一个复杂的大型网络系统安全问题转化为较小区域更为单纯的安全保护问题，从而更好地控制网络安全风险，降低系统风险;利用网络安全域的划分，理顺网络架构，可以更好地指导系统的安全规划和设计、入网和验收工作;通过网络安全域的划分，各区域防护重点明确，可以将有限的安全设备投人到最需要保护的资产，提高安全设备利用率;有了网络安全域的划分，相对简化了网络安全的运维工作，并可有的放矢地部署网络审计设备，提供检查审核依据。

目前网络安全域划分有以下几种基本方法。

一是按照业务系统来划分。

这种方法依据业务系统的分类来区分支持不同业务系统的网络区域，从而把网络划分成不同的网络安全域。

如承载办公系统的办公网、生产系统的生产网、管理系统的管理网等等。

这种划分方法自然简单，对现有系统改动最小，最容易实施。

但由于类似的业务系统都面对相同的安全威胁，需要采用同样的防护手段，防护复杂而且技术投人必然重复，增加了网络安全系统的建设成本。

二是按照防护等级来划分。

这种方法依据网络中信息资产的价值划分不同的防护等级，相同等级构成相同的网络安全域。

这种划分方法中每个等级的安全域的安全防护要求是一致的，防护手段是统一的，不同等级的安全域采用不同的安全手段，有效地减少了重复投资，同时也体现了安全纵深防御的思想。

但是由于按安全等级形成的网络区域与按业务特性形成的网络区域有较大的差别，对已有系统重新调整整合的难度会很大，可能会影响业务系统的正常运营和性能。

因此这种方法比较适合新建业务系统的网络安全区域规划和划分。

三是按照系统行为来划分。

这种方法按照信息系统的不同行为和需求来划分相应网络安全域，并根据信息系统的等级和特点选择相应的防护手段。

这种方法由于从业务系统现状出发，充分考虑了承载业务系统的信息系统的行为和外部威胁，能够设计出比按业务系统划分方法更为细致的网络安全域，同时又可以避免业务系统大规模调整，而且也兼顾到了防护等级，是国际上常见的安全域划分方法。

但由于要对每一个承载业务的信息系统都要进行系统行为的分析，对于信息系统繁多的大型企业，划分工作量较大，安全区域太细也影响了安全投入的经济性。

尽管如此，按照系统行为划分安全域的方法仍然是国际上常见的方法。