1.6 計算機網絡安全技術發展趨勢

隨著網絡的普及，以及越來越多的人掌握了網絡知識，網上攻擊事件也越來越多，網絡受到的安全威脅也越發嚴重，網絡用戶為了保護自己的信息安全開始關注各類網絡防護措施。據調查，企業局域網用戶最關心網絡安全的占了66%。

1.6.1 網絡安全威脅發展趨勢

美國基礎設施保護中心（NIPC）做了一個統計，近幾年，平均每個月出現10個以上新的攻擊手段。CNNS特地組織安全專家對近3年的信息安全威脅，尤其是對最近出現的新攻擊手段進行分析，發現基于各種攻擊機制的各種現成攻擊工具越來越智能化，也越來越傻瓜化。雖然大多數的攻擊手法都非常相似，無非是蠕蟲、后門、rootkits、DoS和sniffer等，但這些手段都體現了驚人的威力。與以前出現的相比，攻擊手段的新變種更加智能化，攻擊目標直指互聯網基礎協議和操作系統層次。同時，黑客工具應用起來也越來越簡單，很多新手也能輕易使用。

病毒技術與黑客技術的結合對信息安全造成更大的威脅。近年來，流行的計算機病毒無一例外地與網絡結合，并具有多種傳播方法和攻擊手段，一經爆發即在網絡上快速傳播，難以遏制，加之與黑客技術的融合，潛在的威脅和損失更巨大。從發展趨勢來看，現在的病毒已經由從前的單一傳播、單種行為，變成依賴互聯網傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段于一身的廣義的“新病毒”。今后惡意代碼、網絡安全威脅和攻擊機制的發展將具有以下特點。

1）與Internet更加緊密地結合，利用一切可以利用的方式（如郵件、局域網、遠程管理和即時通信工具等）進行傳播。

2）所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬和黑客程序的特點于一身，破壞性大大增強。

3）擴散極快，且更加注重欺騙性。

4）利用系統漏洞將成為病毒有力的傳播方式。

5）無線網絡技術的發展使遠程網絡攻擊的可能性加大。

6）各種境外情報和諜報人員將越來越多地通過信息網絡渠道收集情報和竊取資料。

7）各種病毒、蠕蟲和后門技術越來越智能化，并出現整合趨勢，形成混合性威脅。

8）各種攻擊技術的隱秘性增強，常規防范手段難以識別。

9）分布式計算技術用于攻擊的趨勢增強，威脅高強度密碼的安全性。

10）一些政府部門的超級計算機資源將成為攻擊者利用的跳板。

11）網絡管理安全問題日益突出。

1.6.2 網絡安全主要實用技術的發展

網絡安全技術的發展是多維的、全方位的，主要有以下幾種。

1.物理隔離

物理隔離的思想是不安全就不聯網，要絕對保證安全。在物理隔離的條件下，如果需要進行數據交換，就如同兩臺完全不相連的計算機，必須通過移動硬盤、U盤等媒介，從一臺計算機向另一臺計算機復制數據，這也被形象地稱為“數據擺渡”。由于兩臺計算機沒有直接連接，就不會有基于網絡的攻擊威脅。

2.邏輯隔離

在技術上，實現邏輯隔離的方式多種多樣，但主要還是采用防火墻。防火墻在體系結構上有不同的類型：雙網口、多網口、DMZ和SSN。不同類型的防火墻在OSI的7層模型上的工作機理有明顯的不同。防火墻的發展主要是提高性能、安全性和功能。實際上，這三者是相互矛盾、相互制約的。功能多、安全性好的技術往往性能受影響；功能多也影響到系統的安全。

3.防御來自網絡的攻擊

主要是抗擊DoS等拒絕服務攻擊，其技術是識別正常服務的包，將攻擊包分離出來。目前DDoS（分布式DoS）的攻擊能力可達到10萬以上的并發攻擊，因此，抗攻擊網關的防御能力必須達到抗擊10萬以上的并發的分布式DoS攻擊。

4.防御網絡上的病毒

傳統的病毒檢測和殺病毒是在客戶端完成的。但是這種方式存在致命的缺點，如果某臺計算機發現病毒，說明病毒已經感染了單位內部幾乎所有的計算機。在單位內部的計算機網絡和互聯網的連接處放置防病毒網關，一旦出現新病毒，更新防病毒網關就可清除每個終端的病毒。

5.身份認證

一般認為，鑒別、授權和管理（AAA）系統是一個非常龐大的安全體系，主要用于大的網絡運營商。實際上單位內部網同樣需要一套強大的AAA系統。根據IDC的報告，單位內部的AAA系統是目前網絡安全應用增長最快的部分。

6.加密通信和虛擬專用網

移動辦公、單位和合作伙伴之間、分支機構之間通過公用的互聯網通信是必不可少的。加密通信和虛擬專用網（VPN）有很大的需求。IPSec已成為主流和標準，VPN的另外一個方向是向輕量級方向發展。

7.入侵檢測和主動防衛（IDS）

互聯網的發展已經暴露出易被攻擊的弱點。針對黑客的攻擊，有必要采用入侵檢測和主動防衛（IDS），實時交互監測和主動防衛的手段。

8.網管、審計和取證

網絡安全越完善，體系架構就越復雜，最好的方式是采用集中網管技術。審計和取證功能變得越來越重要。審計功能不僅可以檢查安全問題，而且還可以對數據進行系統的挖掘，從而了解內部人員使用網絡的情況，了解用戶的興趣和需求等。

9.網絡行為安全監管技術

網絡行為監控是網絡安全的重要方面，研究的范圍包括網絡事件分析、網絡流量分析、網絡內容分析，以及相應的響應策略與響應方式。

10.容災與應急響應技術

容災與應急響應是一個非常復雜的網絡安全技術領域，涉及眾多網絡安全關鍵技術，需要多個技術產品的支持。主要技術包含應急響應體系的整體架構、應急響應體系的標準制定和應急響應的工具開發。

11.可信計算技術

通過增強現有的PC終端體系結構的安全性來保證整個計算機網絡的安全，在計算機網絡中搭建一個誠信體系，每個終端都具有合法的網絡身份，并能夠被認可；而且終端對惡意代碼，如病毒、木馬等有免疫能力。在這樣的可信計算環境中，任何終端出現問題，都能保證合理取證，方便監控和管理。