網(wǎng)絡(luò)安全事業(yè)其實(shí)很早就開(kāi)始于60世紀(jì)末。當(dāng)時(shí)計(jì)算機(jī)系統(tǒng)的脆弱性 已日益為美國(guó)政府和私營(yíng)的一些機(jī)構(gòu)所認(rèn)識(shí)。但由于當(dāng)時(shí)計(jì)算機(jī)的速度和 性能較落后，使用的范圍也不廣，再加上美國(guó)政府把它當(dāng)作敏感問(wèn)題而施 加控制，因此，有關(guān)計(jì)算機(jī)安全的研究一直局限在比較小的范圍內(nèi)。

進(jìn)入80年代后，計(jì)算機(jī)的性能得到了成百上千倍的提高，應(yīng)用的范圍 也在不斷擴(kuò)大，計(jì)算機(jī)已遍及世界各個(gè)角落。并且，人們利用通信網(wǎng)絡(luò)把 孤立的單機(jī)系統(tǒng)連接起來(lái)，相互通信和共享資源。但是，隨之而來(lái)并日益 嚴(yán)峻的問(wèn)題是計(jì)算機(jī)信息的安全問(wèn)題。人們?cè)谶@方面所做的研究與計(jì)算機(jī) 性能和應(yīng)用的飛速發(fā)展不相適應(yīng)，因此，它已成為未來(lái)信息技術(shù)中的主要 問(wèn)題之一。

由于計(jì)算機(jī)信息有共享和易擴(kuò)散等特性，它在處理、存儲(chǔ)、傳輸和 使用上有著嚴(yán)重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄 露、竊取、篡改、冒充和破壞，還有可能受到計(jì)算機(jī)病毒的感染。根據(jù)美 國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)1.70億美元。 75%的公司報(bào)告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問(wèn)題造成的。超過(guò)50% 的安全威脅來(lái)自內(nèi)部；入侵的來(lái)源首先是內(nèi)部心懷不滿的員工，其次為黑 客，另外是競(jìng)爭(zhēng)者等。

無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量 的損失。黑客威脅的報(bào)到如今已經(jīng)屢見(jiàn)不鮮了，國(guó)內(nèi)外甚至美國(guó)國(guó)防部的 計(jì)算機(jī)網(wǎng)絡(luò)也都常被黑客們光顧。 國(guó)內(nèi)由于計(jì)算機(jī)及網(wǎng)絡(luò)的普及較低，加上黑客們的攻擊技術(shù)和手段都 相應(yīng)較為落后，因此，前幾年計(jì)算機(jī)安全問(wèn)題暴露得不是太明顯，但隨著 計(jì)算機(jī)的飛速發(fā)展、普及、攻擊技術(shù)和手段的不斷提高，對(duì)我們本就十分 脆弱的系統(tǒng)帶來(lái)了嚴(yán)重的威脅。

網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)

既然網(wǎng)絡(luò)安全非常重要，加上安全網(wǎng)絡(luò)問(wèn)題演變至今，技術(shù)也愈加成 熟，對(duì)比以前，如今的網(wǎng)絡(luò)安全等經(jīng)已經(jīng)大大提高，但這一切都離不開(kāi)其背后的關(guān)鍵技術(shù)。當(dāng)有一系列強(qiáng)大技術(shù)作為支撐時(shí)，可以說(shuō)，網(wǎng)絡(luò)安全的 問(wèn)題就迎刃而解了。對(duì)于網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，最主要的有虛擬網(wǎng)技術(shù)、 防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全掃描技術(shù)、數(shù)字簽名技術(shù)等。下面為這些關(guān)鍵性技術(shù)做一個(gè)簡(jiǎn)單介紹，探究其做為網(wǎng)絡(luò)安全強(qiáng)力支撐的秘密。

虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。 因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開(kāi)銷很大的路 由器網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。IP協(xié)議族各 廠家實(shí)現(xiàn)的不完善。在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對(duì)更多，如IP sweep， teardrop，sync-flood，IP spoofing攻擊等。

防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用 戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng) 絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包 如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù) 器）以及電路層網(wǎng)關(guān)，屏蔽主機(jī)防火墻，雙宿主機(jī)等類型。

防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層安全技術(shù)范疇，在這一層上,企業(yè)對(duì)安全系統(tǒng)提出的問(wèn)題是：所有的IP是否都能訪問(wèn)到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，如果答案為"是"，則說(shuō)明企業(yè)內(nèi)部網(wǎng)還沒(méi)有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施，用來(lái)控制系統(tǒng)的訪問(wèn)集中安全管理，不過(guò)企業(yè) 可使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和 DNS。Firewall可以記錄和統(tǒng)計(jì)通過(guò)Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使 用的統(tǒng)計(jì)數(shù)據(jù)，并且Firewall可以提供統(tǒng)計(jì)數(shù)據(jù)，來(lái)判斷可能的攻擊和探測(cè)。

病毒防護(hù)技術(shù)

病毒歷來(lái)是信息系統(tǒng)安全的主要問(wèn)題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病 毒的傳播途徑和速度大大加快。病毒防護(hù)的主要技術(shù)如下：（1）阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過(guò)濾軟件。在桌面PC安裝病毒監(jiān)控軟件。 （2）檢查和清除病毒。使用防病毒軟件檢查和清除病毒。（3）病毒數(shù)據(jù)庫(kù)的升級(jí)。病毒數(shù)據(jù)庫(kù)應(yīng)不斷更新，并下發(fā)到桌面系 統(tǒng)。 （4）在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。

入侵檢測(cè)技術(shù)

利用入侵檢測(cè)技術(shù)防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外 網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠： （1）入侵者可尋找防火墻背后可能敞開(kāi)的后門。（2）入侵者可能就在防火墻內(nèi)。（3）由于性能的限制，防火焰通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。

入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮?lái)自內(nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短hacker入侵的時(shí)間。

基于主機(jī)的安全監(jiān)控系統(tǒng)具備如下特點(diǎn)： （1）精確，可以精確地判斷入侵事件。（2）高級(jí)，可以判斷應(yīng)用層的入侵事件。 （3）對(duì)入侵時(shí)間立即進(jìn)行反應(yīng)。（4）針對(duì)不同操作系統(tǒng)特點(diǎn)。 www.asmag.com.cn 31 （5）占用主機(jī)寶貴資源。 選擇入侵監(jiān)視系統(tǒng)的要點(diǎn)是： （1）協(xié)議分析及檢測(cè)能力。（2）解碼效率（速度）。 （3）自身安全的完備性。 （4）精確度及完整度，防欺騙能力。 （5）模式更新速度。

安全掃描技術(shù)

網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與 防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、 變換機(jī)、訪問(wèn)服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以 測(cè)試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍（IP地址或路由器跳 數(shù)）。

網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面： （1）速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)。（2）網(wǎng)絡(luò)拓?fù)?。通過(guò)GUI的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。（3）能夠發(fā)現(xiàn)的漏洞數(shù)量。 （4）是否支持可定制的攻擊方法。通常提供強(qiáng)大的工具構(gòu)造特定的攻擊方法。因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對(duì)相同協(xié)議的實(shí)現(xiàn)存在差別，所 以預(yù)制的掃描方法肯定不能滿足客戶的需求。 （5）報(bào)告，掃描器應(yīng)該能夠給出清楚的安全漏洞報(bào)告。（6）更新周期。提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞 掃描特性升級(jí)，并給出相應(yīng)的改進(jìn)建議。

認(rèn)證和數(shù)宇簽名技術(shù)

認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可，數(shù)字簽名作 為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴要求的實(shí)現(xiàn)。 認(rèn)證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面： （1）路由器認(rèn)證，路由器和交換機(jī)之間的認(rèn)證。 （2）操作系統(tǒng)認(rèn)證。操作系統(tǒng)對(duì)用戶的認(rèn)證。 （3）網(wǎng)管系統(tǒng)對(duì)網(wǎng)管設(shè)備之間的認(rèn)證。（4）VPN網(wǎng)關(guān)設(shè)備之間的認(rèn)證。 （5）撥號(hào)訪問(wèn)服務(wù)器與客戶間的認(rèn)證。（6）應(yīng)用服務(wù)器（如Web Server）與客戶的認(rèn)證。 （7）電子郵件通訊雙方的認(rèn)證。

網(wǎng)絡(luò)安全的未來(lái)趨勢(shì)

隨著信息技術(shù)及其應(yīng)用范圍的不斷發(fā)展，信息安全問(wèn)題也越來(lái)越復(fù) 雜，對(duì)信息安全威脅的檢測(cè)和防護(hù)已很難由單個(gè)安全設(shè)備來(lái)完成。因此，由單個(gè)安全設(shè)備獨(dú)立進(jìn)行防護(hù)、安全設(shè)備獨(dú)立于網(wǎng)絡(luò)之外單獨(dú)建設(shè)等傳統(tǒng) 模式已無(wú)法滿足新的安全防護(hù)需求，將交換機(jī)、無(wú)線產(chǎn)品等網(wǎng)絡(luò)設(shè)備與安 全設(shè)備整合協(xié)同進(jìn)行安全防護(hù)的整網(wǎng)體系化安全成為網(wǎng)絡(luò)安全發(fā)展的必然趨勢(shì)。

目前，安全設(shè)備已成為網(wǎng)絡(luò)建設(shè)的基礎(chǔ)組件之一，越來(lái)越多的用戶開(kāi) 始選擇整網(wǎng)體系化安全建設(shè)方案，而非單獨(dú)由安全設(shè)備組成的傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)方案。對(duì)于不同廠商的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全產(chǎn)品，如將其進(jìn)行整合 以提供各自獨(dú)立部署無(wú)法提供的附加價(jià)值并實(shí)現(xiàn)“1+1>2”的效應(yīng)，需進(jìn)行額外的針對(duì)性適配開(kāi)發(fā)，加大建設(shè)成本；而對(duì)于同時(shí)具備網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò) 安全產(chǎn)品的綜合類廠商，其整網(wǎng)整合方案無(wú)需進(jìn)行定制開(kāi)發(fā)，具有天然成 本優(yōu)勢(shì)。

因此，整網(wǎng)體系化安全的發(fā)展將使得“網(wǎng)絡(luò)+安全”綜合類廠商市場(chǎng) 競(jìng)爭(zhēng)力進(jìn)一步增強(qiáng)，并有望逐步擴(kuò)大市場(chǎng)份額。

隨著云計(jì)算、大數(shù)據(jù)、微服務(wù)、移動(dòng)網(wǎng)絡(luò)等技術(shù)的發(fā)展，傳統(tǒng)基于網(wǎng) 絡(luò)邊界的防護(hù)模型在新的網(wǎng)絡(luò)態(tài)勢(shì)中不再適用，基于零信任模式的需求將逐步增加。根據(jù)Gartner預(yù)測(cè)，到2022年，80%提供給互聯(lián)網(wǎng)生態(tài)伙伴的應(yīng) 用將使用零信任，2023年將有60%的VPN被零信任取代，40%的企業(yè)將在遠(yuǎn)程接入以外的場(chǎng)景使用零信任。目前，國(guó)內(nèi)企業(yè)逐步加大對(duì)“零信任框 架”的研究和布局，并開(kāi)展系列探索和實(shí)踐。

等保制度是我國(guó)網(wǎng)絡(luò)安全的基石，是維護(hù)國(guó)家安全、社會(huì)秩序和公共 利益的根本保障?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》明確規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，并要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要 求，履行安全保護(hù)義務(wù)。因此，等保2.0已經(jīng)上升為法律要求。等保2.0將 會(huì)帶來(lái)百億級(jí)安全市場(chǎng)增量，在原有的被動(dòng)防御安全市場(chǎng)基礎(chǔ)上，基于主 動(dòng)防御、零信任、無(wú)邊界、大數(shù)據(jù)分析、安全運(yùn)營(yíng)服務(wù)等新安全思路和理念的產(chǎn)品市場(chǎng)將快速增長(zhǎng)。