计算机网络安全现状及相关技术.doc

TAGS: 技术 相关 现状 网络安全 计算机 网络 安全 系统 数据 计算机网络安全现状及相关技术简述 姓名：程敏2004年4月22日目录1.概述31.1.网络的转型31.2.安全的重要性31.3.网络安全所面临的威胁41.4.破坏网络安全的行为42.网络安全体系结构42.1.物理安全52.2.网络安全52.3.网络系统安全62.3.1.访问控制及内外网的隔离62.3.2.网络安全检测62.3.3.审计与监控72.3.4.网络防病毒72.3.5.网络备份系统82.4.系统安全82.5安全连接82.6应用安全92.7安全管理93.相关技术简介103.1防火墙103.2IDS-入侵检测技术123.3加密技术143.4PKI技术151.概述早在20世纪90年代，如果企业和政府机构希望能具有竞争力，他们就必须对市场需求作出强有力的响应。这就引发了依靠互联网来获取和共享信息的趋势。然而，随着经济状况在近年来所发生的转变，市场的焦点又返回到了基本的原则。目前，企业和政府领导者们都认识到，对未来增长和生产效率产生最大约束的因素就是网络安全性和可用性。生产效率为什么如此重要呢？生产效率的提高与营业收入的增长是直接相关的：如果生产效率增长率为2.5%，那么营业收入每隔三十年就能翻一番。如果生产效率增长率为10%，那么营业收入每隔七年就能翻一番。1.1.网络的转型在过去，网络大多是封闭式的，因此比较容易确保其安全性。那时的安全性是取决于周边环境的，因为网络本身是一个静态的环境。周边环境是很容易定义的，网络智能是不需要的，而简单的安全性设备足以承担封堵安全性漏洞的任务。然而，网络已经发生了变化，时至今日，确保网络安全性和可用性已经成为更加复杂的任务。在今天的情况下，用户每一次连接到网络之后，原有的安全状况就会发生变化。所以，很多企业频繁地成为网络犯罪的牺牲品，因为他们的业务不断增长，目前所使用的针对早期、不很复杂的网络而设计的安全设备都已经无能为力了。目前市场中所部署的多数安全解决方案都要求客户将安全功能与联网战略分离开来，这样才能应用不能识别网络的、不是针对与网络服务合作而设计的工具。这就使得此类网络极其脆弱，在现代黑客所发起的狡猾的攻击面前不堪一击。1.2.安全的重要性互联网是迄今为止全球最大的公共数据网络，它让全世界的个人和企业可以方便地互通信息。它直接影响了地球上几乎每个人的生活-而且它的规模还在日益扩大。&nbs计算机网络安全现状及相关技术_第2页TAGS: 技术 相关 现状 网络安全 计算机 网络 安全 系统 数据p;越来越多的通信现在都是通过电子邮件进行。越来越多的移动员工、远程办公人员和分支机构开始利用互联网从远程连接到他们的企业网络-而一些企业的很大一部分收入都来自于通过互联网达成的商业交易。 当然这些都是好消息。但是这个庞大的网络及其相关的技术也给越来越多的安全攻击敞开了大门，而企业必须设法避免受到这种攻击的威胁。这种攻击的后果是灾难性的-例如可能会丢失非常敏感的信息或者个人数据。对企业或者个人的任何攻击都可能会产生非常严重的影响：数据丢失，隐私权受到侵犯，可能还会造成系统瘫痪。即使没有上面所说的那么严重，对网络的攻击也会给企业带来某种原先可以避免的不便。1.3.网络安全所面临的威胁与其他任何犯罪行为一样，对您的数据的隐私权和完整性的威胁都来自于一小部分人。但是它与其他犯罪的关键区别在于：一个偷车贼一次可能只能盗窃一辆汽车，而一个网络黑客只需用一台普通的电脑，单身一人就可以导致大范围的-甚至全球范围的-严重破坏。但是对黑客的单枪匹马的形象报导并不总是十分准确。通常对数据的最严重的威胁都来自于我们认识的人。很多网络安全专家都认为，大部分攻击都是由员工发起的。无论是由于无意的恶作剧、蓄意攻击还是单纯的失误，经常会有员工设法破坏他们自己的公司的网络，摧毁其中的数据。随着远程办公人员的日益增多，需要保护和监控的网络访问点的个数也会随之不断增加。1.4.破坏网络安全的行为网络面临的安全威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的因素：可能是有意的，也可能是无意的；可能是来源于企业外部的，也可能是内部人员造成的；可能是人为的，也可能是自然力造成的。总结起来，大致有下面几种主要威胁：1)非人为、自然力造成的数据丢失、设备失效、线路阻断2)人为但属于操作人员无意的失误造成的数据丢失3)来自外部和内部人员的恶意攻击和入侵前面两种的预防与传统电信网络基本相同（略）。最后一种是当前Internet网络所面临的最大威胁，是电子商务、政府上网工程等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。第三种威胁可能使用的行为有：*病毒*木马程序*攻击*破坏性程序（Vandal）*数据监听*垃圾邮件（Spam）2.网络安全体系结构通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标，整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成：物理安全、网络安全、系统安全、信息安全、应用安全和安全管理。与一个建筑物一样，网络也需要多层保护才能真正安全2.1.物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；媒体安全：包括媒体数据的安全及媒体本身的安全。在网络的安全方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统的安全。2.2.网络安全安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建计算机网络安全现状及相关技术_第3页TAGS: 技术 相关 现状 网络安全 计算机 网络 安全 系统 数据立的基?谡鐾缃峁沟陌踩矫妫饕悸峭缃峁埂低澈吐酚傻挠呕?网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计，充分利用现有资源，具有运营管理的简便性，完善的安全保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。2.3.网络系统安全2.3.1.访问控制及内外网的隔离*访问控制访问控制可以通过如下几个方面来实现：1)制订严格的管理制度:可制定的相应：用户授权实施细则、口令字及帐户管理规范、权限管理制度。2)配备相应的安全设备：在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。*内部网不同网络安全域的隔离及访问控制在这里，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部网络安全问题对全局网络造成的影响。2.3.2.网络安全检测网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。*网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。认证和趋势分析具体体现在以下方面：*防火墙得到合理配置*内外WEB站点的安全漏洞减为最低*网络体系达到强壮的耐攻击性*各种服务器操作系统，如E_MIAL服务器、WEB服务器、应用服务器、，将受黑客攻击的可能降为最低*对网络访问做出有效响应，保护重要应用系统（如财务系统）数据安全不受黑客攻击和内部人员误操作的侵害2.3.3.审计与监控审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于去定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。因此，除使用一般的网管软件和系统监控管理系统外，还应使用目前较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。2.3.4.网络防病毒由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。在网络环境中对计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和杀毒三种技术：1)预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算计算机网络安全现状及相关技术_第4页TAGS: 技术 相关 现状 网络安全 计算机 网络 安全 系统 数据机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒软件等）。 2)检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。 3)清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片；对网络目录及文件设置访问权限等。所选的防毒软件应该能够构造全网统一的防病毒体系。主要面向MAIL、Web服务器，以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控；能够在中心控制台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治情况；支持多种平台的病毒防范；能够识别广泛的已知和未知病毒，包括宏病毒；支持对Internet/Intranet服务器的病毒防治，能够阻止恶意的Java或ActiveX小程序的破坏；支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持对压缩文件的病毒检测；支持广泛的病毒处理选项，如对染毒文件进行实时杀毒、移出。重新命名等；支持病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接；提供对病毒特征信息和检测引擎的定期在线更新服务；支持日志记录功能；支持多种方式的告警功能（声音、图像、电子邮件等）等。2.3.5.网络备份系统备份系统的一个指导思想就是当计算机系统出现故障而崩溃时能够尽可能快速地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场点内高速度、大容量自动的数据存储、备份与恢复；场点外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，主要有冷备份和热备份两种。热备份是指在线的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。冷备份是指不在线的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。2.4.系统安全系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略：1)对操作系统进行安全配置，提高系统的安全性；系统内部调用不对Internet公开；关键性信息不直接公开，尽可能采用安全性高的操作系统。2)应用系统在开发时，采用规范化的开发过程，尽可能的减少应用系统的漏洞；3)网络上的服务器和网络设备尽可能不采取同一家的产品；4)通过专业的安全工具（安全检测系统）定期对网络进行安全评估。2.5安全连接虚拟专用网（VPN）是公共网络（例如互联网）上的专用连接。它们让用户可以在远离物理网络的地方，以与在企业内部工作时相同的安全等级与企业网络进行通信。如果我们继续用建筑物来比喻网络，那么VPN就是一种装甲汽车，它可以沿着公共高速公路将机密信息从外界送到我们所在的建筑物。所有VPN软件和硬件都采用了加密技术，这确保了所传输的消息不会被除了接收者以外的任何人读取。它利用先进的数据算法来扰乱消息及其附件。 TAGS: 技术 相关 现状 网络安全 计算机 网络 安全 系统 数据r /2.6应用安全 在应用安全上，主要考虑通信的授权，传输的加密和审计记录。这必须加强登录过程的认证（特别使在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。另外，在加强主机的管理上，除了上面谈的访问控制和系统漏洞检测外，还可以采用访问存取控制，对权限进行分割和管理。应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。对应用安全，主要考虑确定不同服务的应用软件并紧密注视其Bug；对扫描软件不断升级。2.7安全管理为了保护网络的安全性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现，另一方面从技术上建立高效的管理平台（包括网络管理和安全管理）。安全管理策略主要有：定义完善的安全管理模型；建立长远的并且可实施的安全策略；彻底贯彻规范的安全防范措施；建立恰当的安全评估尺度，并且进行经常性的规则审核。当然，还需要建立高效的管理平台。3.相关技术简介3.1防火墙网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点，一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。网络地址转化-NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。NAT的工作过程如图所示：在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被计算机网络安全现状及相关技术_第6页TAGS: 技术 相关 现状 网络安全 计算机 网络 安全 系统 数据接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。3.2IDS-入侵检测技术入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权行为或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统能够识别出任何不希望有的活动，这种活动可能来自于网络外部和内部。入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统防止入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。典型的IDS系统模型包括三个功能部件：1提供事件记录流的信息源2发现入侵迹象的分析引擎3基于分析引擎的分析结果产生反映的响应部件目前的IDS作为只能是网络安全整体解决方案的一个重要部分，需要与其他安全设备之间进行紧密的联系，共同解决网络安全问题。也许未来的IDS需要一种新的系统体系来克服自身的不足，但目前只能同过将IDS的各个功能模块与其他安全产品有机地融合起来，才能共同解决网络的安全问题，这就对引入协同提出了要求。数据采集协同入侵检测需要采集动态数据（网络数据包）和静态数据（日志文件等）。基于网络的IDS，仅在网络层通过原始的IP包进行检测，已不能满足日益增长的安全需求。基于主机的IDS，通过直接查看用户行为和操作系统日志数据来寻找入侵，却很难发现来自底层的网络攻击。目前的IDS将网络数据包的采集、分析与日志文件的采集、分析割裂开来，即使是综合基于网络和基于主机的IDS也不例外，没有在这两类原始数据的相关性上作考虑。此外，在网络数据包的采集上，IDS一直是通过嗅探这种被动方式来获取数据，一旦某个数据包丢了就无法挽回。而且，将来的网络是全交换的网络，网络速度越来越快，许多重要的网络还是加密的。在这种情况下，对网络数据包这种动态数据的采集就显得更加困难了。因此，在数据采集上进行协同并充分利用各层次的数据，是提高入侵检测能力的首要条件。数据分析协同入侵检测不仅需要利用模式匹配和异常检测技术来分析某个检测引擎所采集的数据，以发现一些简单的入侵行为，还需要在此基础上利用数据挖掘技术，分析多个检测引擎提交的审计数据计算机网络安全现状及相关技术_第7页TAGS: 技术 相关 现状 网络安全 计算机 网络 安全 系统 数据以发现更为复杂的入侵行为。 传统数据挖掘技术的检测模型是离线产生的，就像完整性检测技术一样，这是因为传统数据挖掘技术的学习算法必须要处理大量的审计数据，十分耗时。但是，有效的IDS必须是实时的。而且，基于数据挖掘的IDS仅仅在检测率方面高于传统方法的检测率是不够的，只有误报率也在一个可接受的范围内时，才是可用的。响应协同前面已经论述，由于IDS在网络中的位置决定了其本身的响应能力相当有限，响应协同就是IDS与有充分响应能力的网络设备或网络安全设备集成在一起，构成响应和预警互补的综合安全系统。响应协同主要包含下面的几个方面。1IDS与防火墙的协同：防火墙与IDS可以很好的互补。这种互补体现在静态和动态两个层面上。静态的方面是IDS可以通过了解防火墙的策略，对网络上的安全事件进行更有效的分析，从而实现准确的报警，减少误报；动态的方面是当IDS发现攻击行为时，可以通知防火墙对已经建立的连接进行有效的阻断，同时通知防火墙修改策略，防止潜在的进一步攻击的可能性。2IDS与路由器、交换机的协同由于交换机和路由器防火墙一样，一般串接在网络上。同时都有预定的策略，可以决定网络上的数据流，所以IDS与交换机、路由器的协同与IDS同防火墙的协同非常相似，都有动态和静态两个方面，过程也大致相同，这里不作详细的论述。3IDS与防病毒系统的协同IDS与防病毒系统的协同在数据采集协同中已经进行过论述，但实际上对防病毒系统来讲，查和杀是不可或缺的两个方面，在查的层面有数据采集协同，在杀的层面有响应协同。如果说IDS还可以通过发送大量RST报文阻断已经建立的连接，某种程度上代替防火墙的响应机制的话，在防止计算机遭受病毒袭击的方面简直是无能为力，目前由于网络病毒攻击占所有攻击的比例不断增加，IDS与防病毒系统的协同也变得越来越重要。4IDS与蜜罐和填充单元系统协同有一些工具可以作为IDS的补充，由于它们的功能相似，销售商常把它们也表示为IDS。但实际上这些工具的功能是相当独立的，所以这里不把它们当作IDS的组成部分讨论。而是通过对其功能进行简单介绍，同时介绍这些工具如何与IDS协同，共同增强一个组织的入侵检测能力。蜜罐：是试图将攻击者从关键系统引诱开的诱骗系统。这些系统充满了看起来很有用的信息，但是这些信息实际上是捏造的，诚实的用户是访问不到它们的。因此，当检测到对蜜罐的访问时，很可能就有攻击者闯入。蜜罐上的监控器和事件日志器检测这些未经授权的访问并收集攻击者活动的相关信息。蜜罐的目的是将攻击者从关键系统引开，同时收集攻击者的活动信息，并且怂恿攻击者在系统上停留足够长的时间以供管理员进行响应。利用蜜罐的这种能力，一方面可以为IDS提供附加数据，另一方面，当IDS发现有攻击者时，可以把攻击者引入蜜罐，防止攻击者造成危害，并收集攻击者的信息。填充单元采取另一种不同的方法。填充单元不试图用引诱性的数据吸引攻击者，它等待传统的IDS来检测攻击者。攻击者然后无缝地被传递到一个特定的填充单元主机。攻击者不会意识到发生了什么事情，但是攻击者会处于一个模拟环境中而不会造成任何伤害。与蜜罐相似，这种模拟环境会充满使人感兴趣的数据，从而会使攻击者相信攻击正按计划进行。填充单元为监测攻击者的行为提供了独特的机会。3.3加密技术信息交换加密技术分为两类：即对称加密和非对称加密。对称加密技术在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有计算机网络安全现状及相关技术_第8页TAGS: 技术 相关 现状 网络安全 计算机 网络 安全 系统 数据N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方