荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: michaelx (水并不是这样灌的), 信区: Security
标 题: 中国互联网安全技术的发展与应用趋势
发信站: 荔园晨风BBS站 (Sun Nov 11 13:50:52 2001), 转信
中国互联网安全技术的发展与应用趋势
中网董事长 万平国
2001年10月24日
从1995年开始,中国的互联网商业化之后,互联网产业已经取得了很大的发展。中
国互联网络信息中心(CNNIC)的报告表明,目前中国的互联网拥有超过2650万的用户群
。政府和企业纷纷上网,互联网和内部网络的安全问题被提上议程。网络安全市场在20
00年后开始成熟,据中国国家信息安全测评认证中心的预测,我国的信息安全市场2001
年将高达50亿元人民币,其中加密、防火墙和防病毒是安全市场的三大主要支柱。2002
年,中国信息安全市场将进入高速成长期,越来越多的企业意识到网络安全的重要性。
本文将帮助企业了解中国互联网安全技术的发展和应用趋势。
网络安全的重要性
互联网在早期的主要任务是发展,发展是第一位的,安全问题提不上议程。由于互联网
特有的魅力,越来越多的人使用互联网,互联网应用发展很快,但技术发展还不充分,
互联网本身还很新,了解和研究互联网的人还不太多,网络安全问题也不突出。随着互
联网的快速发展,了解和研究互联网的人越来越多,研究互联网的人的意图各不相同,
来自互联网的威胁开始出现,并且越来越严重。这些威胁包括:
● 入侵:未经授权的访问,试图入侵系统等;
● 攻击:扫描系统缺陷,并加以攻击;
● 来自互联网的病毒:尤其是电子邮件和文件下载;
● 恶意代码:可执行的恶意代码如Java等;
● 假冒:Spoofing、伪装等;
● 拒绝服务:DoS、DDoS攻击等;
● 窃听:Sniffer等;
● 欺骗:Social Engineering等;
● 破坏:删除文件,破坏数据和系统等。
这些因为网络而带来的威胁,其结果给用户带来很大的风险,造成的主要损失包括:
● 机密信息泄露;
● 财务损失;
● 名誉损害;
● 财产损害;
● 数据破坏;
● 生产率下降。
美国计算机犯罪调查机构(CSI)和联邦调查局(FBI)的2001年度调查报告表明:91%的
大公司和政府机构在过去的12个月内发现计算机安全问题,64%承认存在财务损失,当然
还有碍于情面不愿意承认的,实际的数字比这个更高。导致财务损失的主要原因是机密
信息的泄露和财务欺诈。70%的人承认是因为互联网连接导致网络攻击的发生。91%的单
位承认内部员工滥用公司的互联网。高达94%的单位承认遭遇到了来自互联网的计算机病
毒。
网络安全技术的主流趋势
单位内部计算机进行联网,然后通过专线的方式接入到互联网上,这是一个典型的单位
网络。目前网络安全技术的使用状况和主流趋势为以下几个方面。
1.内网和外网的隔离
解决方案:防火墙
内部网络和外部网络的性质是完全不同的。外部网络是一个完全开放的,人人可以使用
和访问的公开网络。内部网络是一个对内部有条件开放,甚至不对外开放的网络。单位
接入互联网,希望单位可以访问互联网,但并不意味着单位希望外部用户可以进入内部
网络。因此,内部网络和外部网络应该严格地隔离。
在技术上,实现隔离的方式有很多,但主要的技术是防火墙(Firewall)。具体的实现
方式有IP包过滤技术、应用代理技术、状态检测包过滤技术、电路代理技术。基于这些
技术实现的隔离设备被称为防火墙。
防火墙在体系结构上也有不同的类型:有双网口,有多网口,DMZ和SSN。不同的类型在
OSI的7层模型上工作机理有明显不同。
防火墙的主要评价体系包括:性能、安全性和功能。理论上,防火墙的性能越高越好,
安全性越强越好,功能越多越好。实际上,性能、安全性和功能这三者是相互矛盾的。
功能多、安全性好的技术,往往性能要受影响,功能多也影响到系统的安全性。
2.防止来自网络上的病毒
解决方案:防病毒网关
只要你在使用电子邮件,或从互联网上下载软件,很少人没有遭遇来自互联网上的计算
机病毒。尤其是使用微软公司的Outlook电子邮件软件,它几乎是病毒的温床。从CIH病
毒到“欢乐时光”到“红色代码”,几乎全是通过微软的Outlook传播的。目前互联网上
存在的病毒超过5万多种。
传统的病毒检测和杀病毒是在客户端完成的。但是这种方式存在一个致命的缺点,如果
某台计算机发现病毒,说明几乎所有的计算机都存在感染病毒的可能性。如果病毒是新
的,旧的杀病毒软件一般不能检测和清除新的未知病毒。
在单位内部的计算机网络和互联网的连接处,放置防病毒的网关,尽可能将病毒拦截在
公司网络之外,而不是感染每一台计算机后再杀病毒。如果出现新病毒,需要更新防病
毒网关,而不用更新每一个终端的客户软件。
3.内部网络的管理和安全
解决方案:PPPoE/DHCP网关
内部的计算机用户攻击和滥用网络是一个非常普遍的现象,尤其是大学和中小规模企业
,80%的攻击发生在内部,对内部用户访问互联网进行访问控制是非常重要的手段。
内部网络的管理和访问控制,相对外部的隔离来讲要复杂得多。外部网络的隔离,基本
上就是禁止和放行,是一种粗颗粒的访问控制。内部的网络管理,要针对用户来设置,
你是谁?怎么确认你是谁?你属于什么组?该组的访问权限是什么?需要完整的日志,
基于实际和流量的控制,应用的控制等,这是一种细颗粒的访问控制。
内部的网络管理和安全的面也要大得多,需要对国内和国外划分域,进行内容控制和过
滤,控制应用范围等。
内部网络的管理和安全,有可能采用防火墙来解决。但这种情况下的防火墙与用在一般
互联网环境下的防火墙有很大的不同。一般意义上的防火墙强调两个网络之间的安全政
策,是一个流量工程的概念。而用于单位内部的网络管理和安全的防火墙,强调对内的
控制和管理,是一个典型意义上的AAA架构。
目前市场较热的网络计费只是该应用的部分功能之一。
内部网络的管理和安全的程度是互联网成熟的标志。
4.加密通信和虚拟专用网(VPN)
解决方案:VPN
公用的互联网是无法控制的,可是,单位的员工外出,移动办公,要和单位通信是必需
的。另外,单位和合作伙伴之间、分支机构之间,通过公用的互联网来通信也是必需的
。因此加密通信和虚拟专用网有很大的市场需求。
加密通信和VPN包含几个要素:加密算法、密钥管理、加密方式和路由。
加密通信和VPN的发展已经出现很多年。IPSec已经被称为市场的主流和标准,不是IPSe
c的VPN在国际上已经基本退出了市场。
VPN的另外一个方向是向轻量级方向发展。据国外的专家估计,轻量级的VPN市场要比传
统的VPN的市场大得多。轻量级的VPN在保证安全的情况下,VPN的性能和功能要强大得多
。
重要的应用一定要采用VPN才能保证单位的信息安全。
5.入侵检测和主动防卫
解决方案:IDS
互联网市场的发展,已经暴露出一个不可避免的缺点:被攻击。技术人员的好奇、技术
骚扰、技术恐怖主义,使无论是政府还是金融机构,甚至是企业、学校等单位,无不面
临着这样的威胁。
针对黑客的攻击,从技术路线上来讲,早期的思路是,加强内部的网络安全、系统安全
和应用安全。安全扫描工具,就是这样一类产品。从端口扫描、网络扫描、系统扫描到
应用扫描,扫描工具层出不穷。但是,扫描是一种被动检测的方式,颇类似于杀病毒,
就像感冒一样,每年都在流行感冒,每次感冒流行之后才能研制出相应的疫苗。安全漏
洞也一样,而黑客则几乎总是采用最新的方法和手段来攻击新发现的漏洞,因此扫描对
解决攻击的效果不大,是一种一般的被动防卫方法。在没有特征库的情况下,扫描几乎
没有任何办法。
公用的互联网是无法控制的,可是,单位的员工外出,移动办公,要和单位通信是必需
的。另外,单位和合作伙伴之间、分支机构之间,通过公用的互联网来通信也是必需的
。因此加密通信和虚拟专用网有很大的市场需求。
加密通信和VPN包含几个要素:加密算法、密钥管理、加密方式和路由。
加密通信和VPN的发展已经出现很多年。IPSec已经被称为市场的主流和标准,不是IPSe
c的VPN在国际上已经基本退出了市场。
VPN的另外一个方向是向轻量级方向发展。据国外的专家估计,轻量级的VPN市场要比传
统的VPN的市场大得多。轻量级的VPN在保证安全的情况下,VPN的性能和功能要强大得多
。
重要的应用一定要采用VPN才能保证单位的信息安全。
5.入侵检测和主动防卫
解决方案:IDS
互联网市场的发展,已经暴露出一个不可避免的缺点:被攻击。技术人员的好奇、技术
骚扰、技术恐怖主义,使无论是政府还是金融机构,甚至是企业、学校等单位,无不面
临着这样的威胁。
针对黑客的攻击,从技术路线上来讲,早期的思路是,加强内部的网络安全、系统安全
和应用安全。安全扫描工具,就是这样一类产品。从端口扫描、网络扫描、系统扫描到
应用扫描,扫描工具层出不穷。但是,扫描是一种被动检测的方式,颇类似于杀病毒,
就像感冒一样,每年都在流行感冒,每次感冒流行之后才能研制出相应的疫苗。安全漏
洞也一样,而黑客则几乎总是采用最新的方法和手段来攻击新发现的漏洞,因此扫描对
解决攻击的效果不大,是一种一般的被动防卫方法。在没有特征库的情况下,扫描几乎
没有任何办法。
入侵检测和主动防卫(IDS)则不同,是一种实时交互的监测和主动防卫手段。尽管IDS
也采用特征库的方法,但特征库只是报警的方式。即使特征库中没有现成的特征样本,
IDS照样给大量的仍可以观察和分析的原始行为写日志和报警。人照样可以了解和给出必
要的安全判断和措施。
IDS能与防火墙进行互动,进行主动防卫。
6.审计和审计数据挖掘
解决方案:审计服务器
从来就没有一种技术,可以绝对地保证网络安全。即使技术在理论上可以很安全,也不
可能保证执行人员可以完整无误地执行。如果执行人员出现失误,实际的网络安全也存
在问题。因此,无论技术有多先进,审计功能依然非常重要。审计功能是网络安全的一
个非常重要的部分和保障。
简单地讲,审计就是对日志的审计。系统日志、防火墙日志、操作日志、入侵监测日志
等都在审计的范围之内。审计还包括对审计的审计。由于防火墙的发展变化很快,针对
专用系统和功能的审计,常常会过时。因此,研究具有一定通用性的日志审计功能的产
品意义就非常大。
审计并不完全是安全检查问题。对审计的数据进行系统挖掘,具有非常特殊的意义。比
如说,利用审计数据,可以了解内部人员使用网络的情况,对公司内部经常访问的数据
和知识建立知识仓库,对外部用户感兴趣的公司产品和内容进行总结,了解用户的兴趣
和需求。
7.网络的鉴别、授权和管理(AAA)系统
解决方案:AAA
在一般的网络人员心中,基于Radius的鉴别、授权和管理(AAA)系统是一个非常庞大的
安全体系,主要用在大的网络运营商中,企业内部不需要这么复杂的东西。这种看法,
越来越过时,实际上单位内部的网络同样需要一套强大的AAA系统。根据IDC的报告,单
位内部的AAA系统是目前安全市场增长最快的部分。
基于Radius的AAA体系回答了以下的问题:
1.你是谁(确定用户)?
2.怎么确认你是谁(检查真伪,防抵赖)?
3.你能干什么和不能干什么(控制使用权限)?
4.完整的日志纪录(审计和记账)。
5.目录服务(用户信息)。
6.业务和组织管理(部门信息,业务分类)。
7.支持其他的应用。
总 结
以上七个方向,是中国网络安全市场发展的主流方向,也是市场发展的主要趋势。目前
市场存在的一些问题,比如说国内超过90%的厂商采用Linux操作系统的防火墙,由于Li
nux是应用支持的操作系统,在稳定性、性能和安全性方面一般,导致国内厂商多在拼比
防火墙的功能,而不是防火墙的稳定性、安全性和性能。另外一个错误的观点是认为防
火墙技术已经成熟,没有什么进步。实际上防火墙技术一直在突飞猛进,未来的防火墙
在高安全性、高性能、高稳定性方面有非常突出的表现。一个不研究新一代防火墙的厂
商,绝对不是一个好的厂商。企业在设计网络安全和使用网络安全技术方面应该充分注
意把握该趋势。
--
M.X的FTP SERVER
ftp://192.168.55.18
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.55.18]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店