網(wǎng)絡(luò)安全事業(yè)其實(shí)很早就開始于60世紀(jì)末。當(dāng)時計(jì)算機(jī)系統(tǒng)的脆弱性 已日益為美國政府和私營的一些機(jī)構(gòu)所認(rèn)識。但由于當(dāng)時計(jì)算機(jī)的速度和 性能較落后，使用的范圍也不廣，再加上美國政府把它當(dāng)作敏感問題而施 加控制，因此，有關(guān)計(jì)算機(jī)安全的研究一直局限在比較小的范圍內(nèi)。

　　進(jìn)入80年代后，計(jì)算機(jī)的性能得到了成百上千倍的提高，應(yīng)用的范圍 也在不斷擴(kuò)大，計(jì)算機(jī)已遍及世界各個角落。并且，人們利用通信網(wǎng)絡(luò)把 孤立的單機(jī)系統(tǒng)連接起來，相互通信和共享資源。但是，隨之而來并日益 嚴(yán)峻的問題是計(jì)算機(jī)信息的安全問題。人們在這方面所做的研究與計(jì)算機(jī) 性能和應(yīng)用的飛速發(fā)展不相適應(yīng)，因此，它已成為未來信息技術(shù)中的主要 問題之一。

　　由于計(jì)算機(jī)信息有共享和易擴(kuò)散等特性，它在處理、存儲、傳輸和 使用上有著嚴(yán)重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄 露、竊取、篡改、冒充和破壞，還有可能受到計(jì)算機(jī)病毒的感染。根據(jù)美 國FBI的調(diào)查，美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過1.70億美元。 75%的公司報告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問題造成的。超過50% 的安全威脅來自內(nèi)部；入侵的來源首先是內(nèi)部心懷不滿的員工，其次為黑 客，另外是競爭者等。

　　無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量 的損失。黑客威脅的報到如今已經(jīng)屢見不鮮了，國內(nèi)外甚至美國國防部的 計(jì)算機(jī)網(wǎng)絡(luò)也都常被黑客們光顧。 國內(nèi)由于計(jì)算機(jī)及網(wǎng)絡(luò)的普及較低，加上黑客們的攻擊技術(shù)和手段都 相應(yīng)較為落后，因此，前幾年計(jì)算機(jī)安全問題暴露得不是太明顯，但隨著 計(jì)算機(jī)的飛速發(fā)展、普及、攻擊技術(shù)和手段的不斷提高，對我們本就十分 脆弱的系統(tǒng)帶來了嚴(yán)重的威脅。

　　網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)

　　既然網(wǎng)絡(luò)安全非常重要，加上安全網(wǎng)絡(luò)問題演變至今，技術(shù)也愈加成 熟，對比以前，如今的網(wǎng)絡(luò)安全等經(jīng)已經(jīng)大大提高，但這一切都離不開其背后的關(guān)鍵技術(shù)。當(dāng)有一系列強(qiáng)大技術(shù)作為支撐時，可以說，網(wǎng)絡(luò)安全的 問題就迎刃而解了。對于網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，最主要的有虛擬網(wǎng)技術(shù)、 防火墻技術(shù)、病毒防護(hù)技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)、數(shù)字簽名技術(shù)等。下面為這些關(guān)鍵性技術(shù)做一個簡單介紹，探究其做為網(wǎng)絡(luò)安全強(qiáng)力支撐的秘密。

　　虛擬網(wǎng)技術(shù)

　　虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。 因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路 由器網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。IP協(xié)議族各 廠家實(shí)現(xiàn)的不完善。在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對更多，如IP sweep， teardrop，sync-flood，IP spoofing攻擊等。

　　防火墻技術(shù)

　　網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用 戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng) 絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包 如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù) 器）以及電路層網(wǎng)關(guān)，屏蔽主機(jī)防火墻，雙宿主機(jī)等類型。

　　防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層，屬于網(wǎng)絡(luò)層安全技術(shù)范疇，在這一層上,企業(yè)對安全系統(tǒng)提出的問題是：所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，如果答案為"是"，則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施，用來控制系統(tǒng)的訪問集中安全管理，不過企業(yè) 可使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和 DNS。Firewall可以記錄和統(tǒng)計(jì)通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使 用的統(tǒng)計(jì)數(shù)據(jù)，并且Firewall可以提供統(tǒng)計(jì)數(shù)據(jù)，來判斷可能的攻擊和探測。

　　病毒防護(hù)技術(shù)

　　病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病 毒的傳播途徑和速度大大加快。病毒防護(hù)的主要技術(shù)如下：（1）阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。 （2）檢查和清除病毒。使用防病毒軟件檢查和清除病毒。（3）病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系 統(tǒng)。 （4）在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。

　　入侵檢測技術(shù)

　　利用入侵檢測技術(shù)防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外 網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠： （1）入侵者可尋找防火墻背后可能敞開的后門。（2）入侵者可能就在防火墻內(nèi)。（3）由于性能的限制，防火焰通常不能提供實(shí)時的入侵檢測能力。

　　入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短hacker入侵的時間。

　　基于主機(jī)的安全監(jiān)控系統(tǒng)具備如下特點(diǎn)： （1）精確，可以精確地判斷入侵事件。（2）高級，可以判斷應(yīng)用層的入侵事件。 （3）對入侵時間立即進(jìn)行反應(yīng)。（4）針對不同操作系統(tǒng)特點(diǎn)。 www.tzku.cn 31 （5）占用主機(jī)寶貴資源。 選擇入侵監(jiān)視系統(tǒng)的要點(diǎn)是： （1）協(xié)議分析及檢測能力。（2）解碼效率（速度）。 （3）自身安全的完備性。 （4）精確度及完整度，防欺騙能力。 （5）模式更新速度。

　　安全掃描技術(shù)

　　網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與 防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、 變換機(jī)、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以 測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍（IP地址或路由器跳 數(shù)）。

　　網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面： （1）速度。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時。（2）網(wǎng)絡(luò)拓?fù)?。通過GUI的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。（3）能夠發(fā)現(xiàn)的漏洞數(shù)量。 （4）是否支持可定制的攻擊方法。通常提供強(qiáng)大的工具構(gòu)造特定的攻擊方法。因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對相同協(xié)議的實(shí)現(xiàn)存在差別，所 以預(yù)制的掃描方法肯定不能滿足客戶的需求。 （5）報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。（6）更新周期。提供該項(xiàng)產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞 掃描特性升級，并給出相應(yīng)的改進(jìn)建議。

　　認(rèn)證和數(shù)宇簽名技術(shù)

　　認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名作 為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實(shí)現(xiàn)。 認(rèn)證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面： （1）路由器認(rèn)證，路由器和交換機(jī)之間的認(rèn)證。 （2）操作系統(tǒng)認(rèn)證。操作系統(tǒng)對用戶的認(rèn)證。 （3）網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認(rèn)證。（4）VPN網(wǎng)關(guān)設(shè)備之間的認(rèn)證。 （5）撥號訪問服務(wù)器與客戶間的認(rèn)證。（6）應(yīng)用服務(wù)器（如Web Server）與客戶的認(rèn)證。 （7）電子郵件通訊雙方的認(rèn)證。

　　網(wǎng)絡(luò)安全的未來趨勢

　　隨著信息技術(shù)及其應(yīng)用范圍的不斷發(fā)展，信息安全問題也越來越復(fù) 雜，對信息安全威脅的檢測和防護(hù)已很難由單個安全設(shè)備來完成。因此，由單個安全設(shè)備獨(dú)立進(jìn)行防護(hù)、安全設(shè)備獨(dú)立于網(wǎng)絡(luò)之外單獨(dú)建設(shè)等傳統(tǒng) 模式已無法滿足新的安全防護(hù)需求，將交換機(jī)、無線產(chǎn)品等網(wǎng)絡(luò)設(shè)備與安 全設(shè)備整合協(xié)同進(jìn)行安全防護(hù)的整網(wǎng)體系化安全成為網(wǎng)絡(luò)安全發(fā)展的必然趨勢。

　　目前，安全設(shè)備已成為網(wǎng)絡(luò)建設(shè)的基礎(chǔ)組件之一，越來越多的用戶開 始選擇整網(wǎng)體系化安全建設(shè)方案，而非單獨(dú)由安全設(shè)備組成的傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)方案。對于不同廠商的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全產(chǎn)品，如將其進(jìn)行整合 以提供各自獨(dú)立部署無法提供的附加價值并實(shí)現(xiàn)“1+1>2”的效應(yīng)，需進(jìn)行額外的針對性適配開發(fā)，加大建設(shè)成本；而對于同時具備網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò) 安全產(chǎn)品的綜合類廠商，其整網(wǎng)整合方案無需進(jìn)行定制開發(fā)，具有天然成 本優(yōu)勢。

　　因此，整網(wǎng)體系化安全的發(fā)展將使得“網(wǎng)絡(luò)+安全”綜合類廠商市場 競爭力進(jìn)一步增強(qiáng)，并有望逐步擴(kuò)大市場份額。

　　隨著云計(jì)算、大數(shù)據(jù)、微服務(wù)、移動網(wǎng)絡(luò)等技術(shù)的發(fā)展，傳統(tǒng)基于網(wǎng) 絡(luò)邊界的防護(hù)模型在新的網(wǎng)絡(luò)態(tài)勢中不再適用，基于零信任模式的需求將逐步增加。根據(jù)Gartner預(yù)測，到2022年，80%提供給互聯(lián)網(wǎng)生態(tài)伙伴的應(yīng) 用將使用零信任，2023年將有60%的VPN被零信任取代，40%的企業(yè)將在遠(yuǎn)程接入以外的場景使用零信任。目前，國內(nèi)企業(yè)逐步加大對“零信任框 架”的研究和布局，并開展系列探索和實(shí)踐。

　　等保制度是我國網(wǎng)絡(luò)安全的基石，是維護(hù)國家安全、社會秩序和公共 利益的根本保障?！吨腥A人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，并要求網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度要 求，履行安全保護(hù)義務(wù)。因此，等保2.0已經(jīng)上升為法律要求。等保2.0將 會帶來百億級安全市場增量，在原有的被動防御安全市場基礎(chǔ)上，基于主 動防御、零信任、無邊界、大數(shù)據(jù)分析、安全運(yùn)營服務(wù)等新安全思路和理念的產(chǎn)品市場將快速增長。