您好!
國內外網絡安全技術研究現狀
1.國外網絡安全技術的現狀
(1)構建完善網絡安全保障體系
針對未來網絡信息戰和各種網絡威脅、安全隱患越來越暴露的安全問題。新的安全需求、新的網絡環境、新的威脅,促使美國和其他很多發達國家為具體的技術建立壹個以深度防禦為特點的整體網絡安全平臺——網絡安全保障體系。
(2)優化安全智能防禦技術
美國等國家對入侵檢測、漏洞掃描、入侵防禦技術、防火墻技術、病毒防禦、訪問控制、身份認證等傳統的網絡安全技術進行更為深入的研究,改進其實現技術,為國防等重要機構研發了新型的智能入侵防禦系統、檢測系統、漏洞掃描系統、防火墻、統壹資源管理等多種安全產品。
另外,美國還結合生物識別、公鑰基礎設施PKI(Public Key Infrastructure )和智能卡技術研究訪問控制技術。美國軍隊將生物測量技術作為壹個新的研究重點。從美國發生了恐怖襲擊事件,進壹步意識到生物識別技術在信息安全領域的潛力。除利用指紋、聲音成功鑒別身份外,還發展了遠距人臉掃描和遠距虹膜掃描的技術,避免了傳統識別方法易丟失、易欺騙等許多缺陷。
(3)強化雲安全信息關聯分析
目前,針對各種更加復雜及頻繁的網絡攻擊,加強對單個入侵監測系統數據和漏洞掃描分析等層次的雲安全技術的研究,及時地將不同安全設備、不同地區的信息進行關聯性分析,快速而深入地掌握攻擊者的攻擊策略等信息。美國在捕獲攻擊信息和掃描系統弱點等傳統技術上取得了很大的進展。
(4)加強安全產品測評技術
系統安全評估技術包括安全產品評估和信息基礎設施安全性評估技校。
美國受恐怖襲擊“9.11”事件以來,進壹步加強了安全產品測評技術,軍隊的網絡安全產品逐步采用在網絡安全技術上有競爭力的產品,需要對其進行嚴格的安全測試和安全等級的劃分,作為選擇的重要依據。
(5)提高網絡生存(抗毀)技術
美軍註重研究當網絡系統受到攻擊或遭遇突發事件、面臨失效的威脅時,盡快使系統關鍵部分能夠繼續提供關鍵服務,並能盡快恢復所有或部分服務。結合系統安全技術,從系統整體考慮安全問題,是網絡系統更具有韌性、抗毀性,從而達到提高系統安全性的目的。
主要研究內容包括進程的基本控制技術、容錯服務、失效檢測和失效分類、服務分布式技術、服務高可靠性控制、可靠性管理、服務再協商技術。
(6)優化應急響應技術
在美國“9.11” 襲擊事件五角大樓被炸的災難性事件中,應急響應技術在網絡安全體系中不可替代的作用得到了充分的體現。僅在遭受襲擊後幾小時就基本成功地恢復其網絡系統的正常運作,主要是得益於事前在西海岸的數據備份和有效的遠程恢復技術。在技術上有所準備,是美軍五角大樓的信息系統得以避免致命破壞的重要原因。
(7)新密碼技術的研究
美國政府在進壹步加強傳統密碼技術研究的同時,研究和應用改進新橢圓曲線和AES等對稱密碼,積極進行量子密碼新技術的研究。量子技術在密碼學上的應用分為兩類:壹是利用量子計算機對傳統密碼體制進行分析;二是利用單光子的測不準原理在光纖壹級實現密鑰管理和信息加密,即量子密碼學。
2. 我國網絡安全技術方面的差距
我國對網絡安全技術研究非常重視,已經納入國家“973”計劃、“863”計劃和國家自然科學基金等重大高新技術研究項目,而且在密碼技術等方面取得重大成果。但是,與先進的發達國家的新技術、新方法、新應用等方面相比還有差距,應當引起警覺和高度重視,特別是壹些關鍵技術必須盡快趕上,否則“被動就要挨打”。
(1)安全意識差,忽視風險分析
我國較多企事業機構在進行構建及實施網絡信息系統前,經常忽略或簡化風險分析,導致無法全面地認識系統存在的威脅,很可能導致安全策略、防護方案脫離實際。
(2)急需自主研發的關鍵技術
現在,我國計算機軟硬件包括操作系統、數據庫系統等關鍵技術嚴重依賴國外,而且缺乏網絡傳輸專用安全協議,這是最大的安全隱患、風險和缺陷,壹旦發生信息戰時,非國產的芯片、操作系統都有可能成為對方利用的工具。所以,急需進行操作系統等安全化研究,並加強專用協議的研究,增強內部信息傳輸的保密性。
對於已有的安全技術體系,包括訪問控制技術體系、認證授權技術體系、安全DNS體系、公鑰基礎設施PKI技術體系等,並制訂持續性發展研究計劃,不斷發展完善,為網絡安全保障充分發揮更大的作用。
(3)安全檢測防禦薄弱
網絡安全檢測與防禦是網絡信息有效保障的動態措施,通過入侵檢測與防禦、漏洞掃描等手段,定期對系統進行安全檢測和評估,及時發現安全問題,進行安全預警,對安全漏洞進行修補加固,防止發生重大網絡安全事故。
我國在安全檢測與防禦方面比較薄弱,應研究將入侵檢測與防禦、漏洞掃描、路由等技術相結合,實現跨越多邊界的網絡入侵攻擊事件的檢測、防禦、追蹤和取證。
(4)安全測試與評估不完善
如測試評估的標準還不完整,測試評估的自動化工具匱乏,測試評估的手段不全面,滲透性測試的技術方法貧乏,尤其在評估網絡整體安全性方面。
(5)應急響應能力欠缺
應急響應就是對網絡系統遭受的意外突發事件的應急處理,其應急響應能力是衡量系統生存性的重要指標。網絡系統壹旦發生突發事件,系統必須具備應急響應能力,使系統的損失降至最低,保證系統能夠維持最必需的服務,以便進行系統恢復。
我國應急處理的能力較弱,缺乏系統性,對系統存在的脆弱性、漏洞、入侵、安全突發事件等相關知識研究不夠深入。特別是在跟蹤定位、現場取證、攻擊隔離等方面的技術,缺乏研究和相應的產品。
(6)強化系統恢復技術不足
網絡系統恢復指系統在遭受破壞後,能夠恢復為可用狀態或仍然維持最基本服務的能力。我國在網絡系統恢復方面的工作,主要從系統可靠性角度進行考慮,以磁盤鏡像備份、數據備份為主,以提高系統的可靠性。然而,系統可恢復性的另壹個重要指標是當系統遭受毀滅性破壞後的恢復能力,包括整個運行系統的恢復和數據信息的恢復等。在這方面的研究明顯存在差距,應註重相關遠程備份、異地備份與恢復技術的研究,包括研究遠程備份中數據壹致性、完整性、訪問控制等關鍵技術。
3.網絡安全技術的發展態勢
網絡安全的發展態勢主要體現在以下幾個方面:
(1)網絡安全技術水平不斷提高
隨著網絡安全威脅的不斷加劇和變化,網絡安全技術正在不斷創新和提高,從傳統安全技術向可信技術、深度檢測、終端安全管控和Web安全等新技術發展,也不斷出現壹些雲安全、智能檢測、智能防禦技術、加固技術、網絡隔離、可信服務、虛擬技術、信息隱藏技術和軟件安全掃描等新技術。可信技術是壹個系統工程,包含可信計算技術、可信對象技術和可信網絡技術,用於提供從終端及網絡系統的整體安全可信環境。
(2)安全管理技術高度集成
網絡安全技術優化集成已成趨勢,如殺毒軟件與防火墻集成、虛擬網VPN與防火墻的集成、入侵檢測系統IDS與防火墻的集成,以及安全網關、主機安全防護系統、網絡監控系統等集成技術。
(3)新型網絡安全平臺
統壹威脅管理UTM(UnifiedThreat Management)是實現網絡安全的重要手段,也是網絡安全技術發展的壹大趨勢,已成為集多種網絡安全防護技術壹體化的解決方案,在保障網絡安全的同時大量降低運維成本。主要包括:網絡安全平臺、統壹威脅管理工具和日誌審計分析系統等。將在5.5.5中具體進行介紹。
案例1-6國際互聯網安全聯盟DMARC(Domain-based Message Authentication, Reporting & Conformance)。由於全球知名互聯網公司多次出現網站被黑、域名被更改及詐騙性郵件等網絡安全問題,在2012年由谷歌、Facebook、微軟、雅虎、網易等15家組建成立,僅1年多時間就使約19.76億的電子郵箱用戶受益,約為全球33億電子郵箱用戶中三分之二,每月攔截過上億封詐騙性郵件。
2013年中國互聯網安全聯盟成立。由網易、百度、人人、騰訊、新浪、微軟、阿裏巴巴集團及支付寶七家企業依照相關法律、法規,在平等互利、***同發展、優勢互補、求同存異的原則下***同發起組建,制定了《互聯網企業安全漏洞披露與處理公約》。其中,擁有超過5.3億郵箱用戶的網易公司,已經取得了重大成果。
(4)高水平的服務和人才
網絡安全威脅的嚴重性及新變化,對解決網絡安全技術和經驗要求更高,急需高水平的網絡安全服務和人才。隨著網絡安全產業和業務的發展網絡安全服務必將擴展,對網絡系統進行定期的風險評估,通過各種措施對網絡系統進行安全加固,逐漸交給網絡安全服務公司或團隊將成為壹種趨勢。為用戶提供有效的網絡安全方案是服務的基本手段,對網絡系統建設方案的安全評估、對人員安全培訓也是服務的重要內容。
(5)特殊專用安全工具
對網絡安全影響範圍廣、危害大的壹些特殊威脅,應采用特殊專用工具,如專門針對分布式拒絕服務攻擊DDoS的防範系統,專門解決網絡安全認證、授權與計費的AAA(Authentication Authorization Accounting)認證系統、單點登錄系統、入侵防禦系統、智能防火墻和內網非法外聯系統等。
近年來,世界競爭會變得更加激烈,經濟從“金融危機”影響下的持續低迷中艱難崛起,企業更註重探尋新的經濟增長點、優先保護品牌、用戶數據、技術研發和知識產權等。同時,在面臨新的挑戰中精打細算,減少非生產項目的投入,使用更少的信息安全人員,以更少的預算保護企業資產和資源。
摘自:高等教育出版社,網絡安全技術與實踐,賈鐵軍教授新書。