论文：中国互联网安全技术的发展与应用趋势.doc

中国互联网安全技术的发展与应用趋势 陈琳(湖北民族学院，恩施 445000)摘要：中国信息安全市场将进入高速成长期，越来越多的企业意识到网络安全的重要性。本文全面分析中国网络安全市场发展的七个主流方向，帮助企业了解中国互联网安全技术的发展和应用趋势。关键词：互联网；安全技术；发展与应用趋势 一、引言从1995年开始，中国的互联网商业化之后，互联网产业已经取得了很大的发展。中国互联网络信息中心（CNNIC）的报告表明，目前中国的互联网拥有超过2650万的用户群。政府和企业纷纷上网，互联网和内部网络的安全问题被提上议程。网络安全市场在2000年后开始成熟，据中国国家信息安全测评认证中心的预测，我国的信息安全市场2001年将高达50亿元人民币，其中加密、防火墙和防病毒是安全市场的三大主要支柱。2002年，中国信息安全市场将进入高速成长期，越来越多的企业意识到网络安全的重要性。二、 网络为什么不安全网络本来就不安全, 因为最初的网络建设者们不认为安全是问题。网络在其早期是一个开放的为研究人员服务的网际网，是完全非赢利性的信息共享载体，所以，几乎所有的网络协议都没有考虑安全机制。这点从网络上最通用的应用FTP, Telnet和电子邮件中的用户口令的明文传输以及IP报文在子网段上的广播传递就充分地体现出来。只是近些年来, 网络的性质和使用人员的情况发生了很大的变化，使得网络的安全问题显得越来越突出。随着网络的全球普及和商业化，用户很多非常私人化，如信用卡号等和其自身利益相关的信息也通过网络传输，而且越来越多的信息放在网上是为了赢利，而不是完全免费的信息共享，所以其安全性也成为人们日趋关注的问题。网络不安全的另一个因素是因为人们很容易从网络上获得相关的核心技术资料，特别是有关网络自身的技术资料，比如RFC, FAQ文档，各类应用程序原代码，如TCP/IP, Sendmail, FTP等， 还有各类安全工具的原代码也是公开免费的， 象颇有争议的SATAN,Crack等。这些资料拿出来共享其愿望是好的， 但也难免产生事与愿违的效果。网络不安全的另一个致命因素是使用者普遍缺乏安全意识，特别是那些对计算机和网络技术不了解的用户。很少用户会去读RFC1244安全手册，或关注CERT安全组织提出的忠告。对大多数用户来说， 能管好自己的密码就万事大吉了，但又有多少用户愿意取一个不好记的密码呢？ 方便性和安全性总是相互冲突，很难兼得的。说来说去，网络不安全归根到底还是因为人自己，我们只要看一看那越来越厚的防盗门就明白了。如今，网络上也出现了比防盗门更复杂的防火墙（firewall）来防范那些不怀好意或那些只是为了逞能和好奇的的黑客们，还出现了各种各样的密钥（private key）或公钥(public key)来保护在网上传送的信息。网络不安全是一个不可回避的现实。下面让我们正视这个现实， 谈谈我们可以采取的安全措施。 三、网络安全的重要性 美国计算机犯罪调查机构（CSI）和联邦调查局（FBI）的2001年度调查报告表明：91%的大公司和政府机构在过去的12个月内发现计算机安全问题，64%承认存在财务损失，当然还有碍于情面不愿意承认的，实际的数字比这个更高。导致财务损失的主要原因是机密信息的泄露和财务欺诈。70%的人承认是因为互联网连接导致网络攻击的发生。91%的单位承认内部员工滥用公司的互联网。高达94%的单位承认遭遇到了来自互联网的计算机病毒。 四、 网络安全技术的主流趋势 单位内部计算机进行联网，然后通过专线的方式接入到互联网上，这是一个典型的单位网络。目前网络安全技术的使用状况和主流趋势为以下几个方面。 1内网和外网的隔离 解决方案：防火墙 内部网络和外部网络的性质是完全不同的。外部网络是一个完全开放的，人人可以使用和访问的公开网络。内部网络是一个对内部有条件开放，甚至不对外开放的网络。单位接入互联网，希望单位可以访问互联网，但并不意味着单位希望外部用户可以进入内部网络。因此，内部网络和外部网络应该严格地隔离。 在技术上，实现隔离的方式有很多，但主要的技术是防火墙（Firewall）。具体的实现方式有IP包过滤技术、应用代理技术、状态检测包过滤技术、电路代理技术。基于这些技术实现的隔离设备被称为防火墙。 防火墙在体系结构上也有不同的类型：有双网口，有多网口，DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显不同。 防火墙的主要评价体系包括：性能、安全性和功能。理论上，防火墙的性能越高越好，安全性越强越好，功能越多越好。实际上，性能、安全性和功能这三者是相互矛盾的。功能多、安全性好的技术，往往性能要受影响，功能多也影响到系统的安全性。 2防止来自网络上的病毒 解决方案：防病毒网关 只要你在使用电子邮件，或从互联网上下载软件，很少人没有遭遇来自互联网上的计算机病毒。尤其是使用微软公司的Outlook电子邮件软件，它几乎是病毒的温床。从CIH病毒到“欢乐时光”到“红色代码”，几乎全是通过微软的Outlook传播的。目前互联网上存在的病毒超过5万多种。 我们可以预见今后病毒的一些特点：1与Internet和Intranet更加紧密地结合，利用一切可以利用的方式(如邮件、局域网、远程管理、即时通信工具等)进行传播；2所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏性大大增强；3因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；4利用系统漏洞将成为病毒有力的传播方式。由于病毒的快速发展，势必要求反病毒厂商要跟上时代的步伐，以保证互联网时代的信息系统安全。所以，作为新一代的反病毒软件，必须做到以下几点： a.全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒入侵； b.快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案； c.完善的在线升级服务，使用户随时拥有最新的防病毒能力； d.对病毒经常攻击的应用程序提供重点保护(如MS Office、Outlook、IE、ICQ/QQ等)，如Norton的Script Blocking和金山毒霸的“嵌入式”技术； e.提供完整、即时的反病毒咨询，提高用户的反病毒意识与警觉性，尽快地让用户了解到新病毒的特点和解决方案。 传统的病毒检测和杀病毒是在客户端完成的。但是这种方式存在一个致命的缺点，如果某台计算机发现病毒，说明几乎所有的计算机都存在感染病毒的可能性。如果病毒是新的，旧的杀病毒软件一般不能检测和清除新的未知病毒。 在单位内部的计算机网络和互联网的连接处，放置防病毒的网关，尽可能将病毒拦截在公司网络之外，而不是感染每一台计算机后再杀病毒。如果出现新病毒，需要更新防病毒网关，而不用更新每一个终端的客户软件。 3内部网络的管理和安全 解决方案：PPPoE/DHCP网关 内部的计算机用户攻击和滥用网络是一个非常普遍的现象，尤其是大学和中小规模企业，80%的攻击发生在内部，对内部用户访问互联网进行访问控制是非常重要的手段。 内部网络的管理和访问控制，相对外部的隔离来讲要复杂得多。外部网络的隔离，基本上就是禁止和放行，是一种粗颗粒的访问控制。内部的网络管理，要针对用户来设置，你是谁？怎么确认你是谁？你属于什么组？该组的访问权限是什么？需要完整的日志，基于实际和流量的控制，应用的控制等，这是一种细颗粒的访问控制。 内部的网络管理和安全的面也要大得多，需要对国内和国外划分域，进行内容控制和过滤，控制应用范围等。 内部网络的管理和安全，有可能采用防火墙来解决。但这种情况下的防火墙与用在一般互联网环境下的防火墙有很大的不同。一般意义上的防火墙强调两个网络之间的安全政策，是一个流量工程的概念。而用于单位内部的网络管理和安全的防火墙，强调对内的控制和管理，是一个典型意义上的AAA架构。 目前市场较热的网络计费只是该应用的部分功能之一。内部网络的管理和安全的程度是互联网成熟的标志。 4加密通信和虚拟专用网（VPN） 解决方案：VPN 公用的互联网是无法控制的，可是，单位的员工外出，移动办公，要和单位通信是必需的。另外，单位和合作伙伴之间、分支机构之间，通过公用的互联网来通信也是必需的。因此加密通信和虚拟专用网有很大的市场需求。 加密通信和VPN包含几个要素：加密算法、密钥管理、加密方式和路由。 加密通信和VPN的发展已经出现很多年。IPSec已经被称为市场的主流和标准，不是IPSec的VPN在国际上已经基本退出了市场。 VPN的另外一个方向是向轻量级方向发展。据国外的专家估计，轻量级的VPN市场要比传统的VPN的市场大得多。轻量级的VPN在保证安全的情况下，VPN的性能和功能要强大得多。 重要的应用一定要采用VPN才能保证单位的信息安全。 5入侵检测和主动防卫 解决方案：IDS 互联网市场的发展，已经暴露出一个不可避免的缺点：被攻击。技术人员的好奇、技术骚扰、技术恐怖主义，使无论是政府还是金融机构，甚至是企业、学校等单位，无不面临着这样的威胁。 针对黑客的攻击，从技术路线上来讲，早期的思路是，加强内部的网络安全、系统安全和应用安全。安全扫描工具，就是这样一类产品。从端口扫描、网络扫描、系统扫描到应用扫描，扫描工具层出不穷。但是，扫描是一种被动检测的方式，颇类似于杀病毒，就像感冒一样，每年都在流行感冒，每次感冒流行之后才能研制出相应的疫苗。安全漏洞也一样，而黑客则几乎总是采用最新的方法和手段来攻击新发现的漏洞，因此扫描对解决攻击的效果不大，是一种一般的被动防卫方法。在没有特征库的情况下，扫描几乎没有任何办法。 入侵检测和主动防卫（IDS）则不同，是一种实时交互的监测和主动防卫手段。尽管IDS也采用特征库的方法，但特征库只是报警的方式。即使特征库中没有现成的特征样本，IDS照样给大量的仍可以观察和分析的原始行为写日志和报警。人照样可以了解和给出必要的安全判断和措施。 IDS能与防火墙进行互动，进行主动防卫。 6审计和审计数据挖掘 解决方案：审计服务器 从来就没有一种技术，可以绝对地保证网络安全。即使技术在理论上可以很安全，也不可能保证执行人员可以完整无误地执行。如果执行人员出现失误，实际的网络安全也存在问题。因此，无论技术有多先进，审计功能依然非常重要。审计功能是网络安全的一个非常重要的部分和保障。 简单地讲，审计就是对日志的审计。系统日志、防火墙日志、操作日志、入侵监测日志等都在审计的范围之内。审计还包括对审计的审计。由于防火墙的发展变化很快，针对专用系统和功能的审计，常常会过时。因此，研究具有一定通用性的日志审计功能的产品意义就非常大。 审计并不完全是安全检查问题。对审计的数据进行系统挖掘，具有非常特殊的意义。比如说，利用审计数据，可以了解内部人员使用网络的情况，对公司内部经常访问的数据和知识建立知识仓库，对外部用户感兴趣的公司产品和内容进行总结，了解用户的兴趣和需求。 7网络的鉴别、授权和管理（AAA）系统 解决方案：AAA 在一般的网络人员心中，基于Radius的鉴别、授权和管理（AAA）系统是一个非常庞大的安全体系，主要用在大的网络运营商中，企业内部不需要这么复杂的东西。这种看法，越来越过时，实际上单位内部的网络同样需要一套强大的AAA系统。根据IDC的报告，单位内部的AAA系统是目前安全市场增长最快的部分。 基于Radius的AAA体系回答了以下的问题： 1你是谁（确定用户）？ 2怎么确认你是谁（检查真伪，防抵赖）？ 3你能干什么和不能干什么（控制使用权限）？ 4完整的日志纪录（审计和记账）。 5目录服务（用户信息）。 6业务和组织管理（部门信息，业务分类）。 7支持其他的应用。 五、总结 以上七个方向，是中国网络安全市场发展的主流方向，也是市场发展的主要趋势。目前市场存在的一些问题，比如说国内超过90%的厂商采用Linux操作系统的防火墙，由于Linux是应用支持的操作系统，在稳定性、性能和安全性方面一般，导致国内厂商多在拼比防火墙的功能，而不是防火墙的稳定性、安全性和性能。另外一个错误的观点是认为防火墙技术已经成熟，没有什么进步。实际上防火墙技术一直在突飞猛进，未来的防火墙在高安全性、高性能、高稳定性方面有非常突出的表现。一个不研究新一代防火墙的厂商，绝对不是一个好的厂商。企业在设计网络安全和使用网络安全技术方面应该充分注意把握该趋势。 参考文献：1、樊宬丰，林东.网络信息安全与PGP加密 电子工业出版社 1998年8月 2、陈济彪，丹青 等 计算机局域网与企业网 机械工业出版社 1999年10月3、陶兰 ，杜绍明 等 Intranet集成应用开发电子工业出版社 1999年2月4、美Geore Abe 网络工程丛书 社区宽带网络 清华大学出版社 1999年3月5、王锐 陈靓 靳若明等译 网络安全系列丛书 网络最高安全技术指南 电子工业出版社 1998年5月 Chinese Internet Development of technique safety and application trendCHEN Lin(HuBei Nationality College , EnShi 445000 , China)Summary : The safe market of Chinese information will enter the high speed to grow up the period of importance for business enterprise for, more and morely be aware ofing the network safety.T