浅谈网络安全技术

浅谈网络安全技术

【摘 要】本文主要是介绍网络安全的背景，以及综述网络安全技术的应用，在使用网络带来便利性的同时，如何应对各种网络安全问题。

【关键词】网络安全；可信；云安全；深度包检测；终端；WEB安全

在日新月异信息化时代的今天，网络给人们带来了便利，已成为生活中不可或缺的工具之一。从中国互联网络信息中心2013年度发布的统计报告得知，我国网民规模已达5.64亿，互联网普及率高达 42.1%，互联网已经成为重要的基础设施。然而互联网在带给人们极大方便的同时也带来许多的网络安全问题，本文主要综述各种网络安全技术的应用，以使得网络能安全可靠，保护数据完整和涉密信息的隐私。

1 传统网络安全技术

防病毒技术。主要分为病毒预防技术、病毒检测技术及病毒清除技术。目前市场上很多杀毒软件，都有自己的病毒库，可以即时在线更新，对一些顽固型，也有专杀工具来应对。网络防病毒技术在向集成化网络操作系统和应用程序、网络开放式防病毒技术发展。

入侵检测系统（IDS）和入侵防御系统（IPS）。IDS指监视网络系统的运行，发现各种攻击意图和行为，可以部署在旁路监听。IPS对经过的报文进行深度检测，发现特征不匹配、流量异常、事件不关联的恶意报文，告警、丢弃、中断会话和TCP连接。IDS部署在内网，分析整个网络的信息，相当于一个监控工具，可以实时知道网络的安全状况，而IPS则是防御外部网络攻击，一般部署在边界网络。

数据加密技术。指通过钥匙和函数，发送发将信息加密成密文，而接收方解密成明文。数据加密一般在链路、节点和端到端操作。链路加密指途径的每一个节点都要加密和解密，用收到的信息解密，进而用下一个节点的信息加密，然后传送，直到目的地。节点加密与链路加密不同的是，不允许明文形式的消息。端到端加密，消息在整个传输的途中都是加密的，就算节点破坏，加密的消息也丝毫不受安全影响。

数字签名。指先用密码运算，生成特定的符号和代码，从而组成电子密码签名，保证签名的唯一性，鉴别信息，验证文件完整性。发送方用自己的密钥对报文进行编码，生成不可读取的密文并发送给接收方，接收方用发送方的公钥进行解码，解密报文。

身份认证技术。主要通过核对用户的数字信息，确认操作者身份是否正确。现今除了采用常规的密码、数字签名外，还出现了生物识别技术，用身体或行为等生物特征来进行身份认证。

访问控制技术。系统管理员控制用户对受保护的服务器、目录、文件资源等的访问，保障数据安全性。首先验证用户身份并确定访问权限程度，然后利用控制策略进行调度工作，并监控访问内容，拒绝未授权的内容访问。

内容审计技术。审计是记录了什么用户在什么时间访问了什么资源，有详细的跟踪日志供分析，可以帮助尽快确定网络攻击的原因和攻击源，修补漏洞避免下一次因同样的问题受到攻击。

安全漏洞扫描技术。通常指利用软件提供的扫描工具，对计算机系统或其他网络设备的操作系统、软件、网页程序等检测，发现可以被黑客利用攻击的后台或安全漏洞后，采取相应的防护补救方法。

虚拟专用网VPN 技术。这一技术是通过一个公用网络建立一个临时的、安全的连接隧道，建立远程安全连接，保证数据的安全传输。一般应用在远程个人用户、异地加入局域网等情况，VPN通过使用点到点协议PPP方法验证，所有的传输信息均经过加密和压缩，为用户的信息安全提供了保证。

IP 地址绑定技术。局域网用户经常遇到IP地址冲突、IP被盗用、网关地址被伪造等安全问题，由于目前很多应用程序都是基于IP来识别权限的，对IP地址的绑定显得很有必要。因为MAC地址是厂商生产的网卡的地址，对于每一台设备是唯一的，可以在交换机上绑定主机的MAC地址和IP地址，以解决IP被盗用的问题，也有效防止了ARP病毒对内网的冲击。

2 新网络安全技术

IPv6 安全技术

IPv6 协议采用新报文格式，增加扩展报头，增加安全性； IPv6 连接，扩展报头在端进行 IPSec封装时用AH或ESP加密数据，防止数据被篡改挟持；IPV6没有广播，防止了广播攻击，也默认只接受最小1280字节的数据包，否则就自动丢弃，防止了碎片攻击；拒绝未授权访问，新的DNS安全协议，使域名系统具备身份认证的功能，防范网络攻击和病毒传播。

下一代防火墙技术。传统的防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。新的防火墙被命名为下一代防火墙，支持在线BITW（线缆中的块）配置，同时不会干扰网络运行。可作为网络流量检测与网络安全策略执行的工具，除了标准的第一代防火墙功能，如数据包过滤、网络地址转换（NAT）、协议状态检查以及VPN功能等，还具备集成式网络入侵防御、业务识别与全栈可视性、超级智能的防火墙等属性，支持新信息流与新技术的集成路径升级，具备良好的可扩展性。

可信技术。保证操作通过了授权和认证以及证明网元、设备以及传播对象都是可信的，主要包括可信计算、可信对象和可信网络三方面内容。可信计算指一

个可信的组件，操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗不良代码和一定的物理干扰造成的破坏。是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。可信计算从可信根出发，在PC机结构上引进可信计算终端的安全技术，从硬件上解决安全问题。可信对象是依靠信誉评估体系，识别实体对象的信誉度，对可信的提供网络服务，对不可信的则限制传播。可信网络是对网络体系结构作安全理念的设计，构建整体安全的防御模式，各实体对象相互可信。

云安全技术。是从原来的桌面和边界处理转到网络/数据中心处理，进行集中化的调度。目前云安全技术除了应用在云安全方面，在云计算上也显示出了优势。提高了UTM和信誉评估体系的效率和准度。虚拟化的云安全技术，联合客户端和云端，担当着当IDS升级版的角色。云安全主要有基于网关安全和基于主机安全两种模式，来实现安全从单个终端走向整体化防御。深度包检测技术。简称为DPI技术，可以识别报文，监测报文的净荷以及关联性。对于各家网络运营商来说，这一技术有助于网络带宽的优化划分，防止网络攻击。实时检测报文的内容，确定数据源的路径，分析出不正常的流量，从而定位出问题位置，防范病毒对主要程序的篡改和干扰应用程序的运行。

Web安全技术。Web已由最初的文本转入图形、音视频等动态交互应用，安全手段主要有Web防火墙、URL过滤功能、反垃圾邮件技术、网页挂马防范技术等。防火墙根据访问者的IP地址，限制访问权限以及检查合法性，URL过滤依靠URL匹配算法，不断完备URL地址库。反垃圾邮件技术可通过设置规则过滤、源头认证、内容指纹分析和邮件信誉评估等来应对，网页挂马防范技术指网页服务器更新系统补丁、卸载问题插件、禁用不必要的脚本和控件自动运行、使用软件工具等方式，来提升网页的防护能力。

终端安全管控技术。对于外在的安全风险，传统的安全设备基本能满足需要，但内部的安全问题，只能依靠内部的安全工具来解决。终端行为管控是内部安全风险控制的重要部分，主要有终端接入控制技术、终端行为管控技术、文档安全技术。终端接入控制技术指检查终端的安全情况，保证符合安全等级，及时排查出问题并修复。目前这一技术已逐渐向无线化、远程化、整体化、细化控制粒度等方面发展。行为管控技术就相当于一套行为管理软件，对软件、运行进程和服务监控，负责应用程序的网络访问，负责终端的外部接口，并有具体的日志记录文件操作情况。文档安全技术主要是通过编辑器接口，在驱动层和应用层上处理，实现对文件的加密和解密，以及设置文件的读写等安全权限。（下转第74页）

（上接第70页）网络安全涉及技术、管理等多方面问题，如何将各种安全技术融合和联动协作，以应对各种网络安全新形势，面对一系列复杂的安全问题，网络技术人员必须不断的研究和探讨，寻求解决问题的新思路和新方法。

【参考文献】

[1]马美英.网络安全技术的现状和发展[J].中国新通信，2013（14）.

[2]陈东.计算机网络安全技术[C]//天津市电视技术研究会2013年年会论文集.2013.

[3]孟庆威.浅析计算机网络安全技术：防火墙[J].计算机光盘软件与应用，2013（12）.