1.3 網絡安全常用技術

1.3.1 網絡安全技術相關概念

網絡安全技術（Network Security Technology）是指對網絡安全問題進行有效防范、監控和管理，保障網絡系統及數據安全的各種技術手段、策略和機制。主要包括實體（物理）安全、黑客攻防與檢測防御、密碼及加密技術、身份認證、訪問控制、病毒防范、防火墻、網絡系統安全、數據庫及數據安全、管理與運行安全技術等，以及確保網絡安全的各種服務、策略和機制等。

通常企事業機構很重視對網絡系統的測評，及時發現網絡漏洞、系統隱患及各種威脅和風險，并及時進行全面深入的分析，評估具體存在的安全風險的部位、程度和等級，對照安全標準采取具體有效的措施、對策并及時解決。如政府、金融、電力、經貿、交通等非常重要的網絡系統，其網絡安全性的級別要求最高，必須做好各種安全防范，以及必要的監控、防范、審計和應急處理等。

1.3.2 常用的網絡安全技術

在實際應用中，常用的網絡安全技術主要包括3大類：

1）預防保護類。包括常用的身份認證、訪問管理、加密、防惡意代碼、入侵防御和加固等。

2）檢測跟蹤類。對網絡系統的訪問行為需要嚴格監控、檢測和審核跟蹤，采取各種有效措施防止在網絡用戶的訪問過程中可能產生的安全問題，并保留電子證據。

3）響應恢復類。網絡系統或數據一旦突發重大安全故障，必須采取應急預案和有效措施，確保盡快進行應急響應和備份恢復，將其損失和影響降至最低。

主要常用的網絡安全技術有8種，包括：

1）身份認證（Identity and Authentication）。通過對網絡用戶身份、所用設備及操作的一致性確認，保護網絡授權用戶的正確存儲、同步、使用、管理和控制，防止別人冒用或盜用的技術手段。

2）訪問管理（Access Management）。訪問管理也稱訪問控制，主要保障授權用戶在其權限內對授權資源進行正當訪問和使用，防止非授權或越權使用的技術措施。

3）加密（Cryptography）。加密是最基本、最常用的網絡安全技術。主要包括：密碼及數據加密、確定密鑰長度、密鑰生命周期（生成、分發、存儲、輸入輸出、更新、恢復、銷毀等）等措施。

4）防惡意代碼（Anti-Malicious Code）。建立健全惡意代碼（網絡病毒及流氓軟件等）的預防、檢測、隔離、清除的策略、機制和有效的技術方法等。

5）加固（Hardening）。以網絡安全預防為主，對系統漏洞及隱患采取必要的安全防范措施。主要包括：安全性配置、關閉不必要的服務端口、系統漏洞掃描、滲透性測試、安裝或更新安全補丁及增設防御功能和對特定攻擊的預防手段等，提高系統自身安全。

6）監控（Monitoring）。通過監控系統和用戶的各種行為，確保網絡運行和使用安全的技術手段。

7）審核跟蹤（Audit Trail）。對網絡系統異常訪問、探測及操作等事件及時進行核查、記錄和追蹤。利用多項審計手段跟蹤異?；顒樱⑼ㄟ^電子證據等對非授權者起到威懾作用。

8）備份恢復（Backup and Recovery）。為了在網絡系統出現重大異?；蚬收稀⑷肭值纫馔馇闆r時，及時恢復系統和數據而進行的預先備份和預案等技術方法。備份恢復技術主要包括4個方面：備份技術、容錯技術、冗余技術和不間斷電源保護技術。

1.3.3 網絡安全常用模型

網絡安全模型可以用于構建網絡安全體系和結構，進行網絡安全解決方案的制定、規劃、分析、設計和實施等，也可以用于網絡安全實際應用過程的描述和研究等。

1）網絡安全PDRR模型。常用的描述網絡安全整個過程和環節的網絡安全模型為PDRR模型：防護（Protection）、檢測（Detection）、響應（Reaction）和恢復（Recovery），如圖1-5所示。

在PDRR模型的基礎上，以“檢查準備（Inspection）、防護加固（Protection）、檢測發現（Detection）、快速反應（Reaction）、確保恢復（Recovery）、反省改進（Reflection）”方式，經過改進可以得到另一個網絡系統安全生命周期模型—IPDRRR（Inspection、Protection、Detection、Reaction、Recovery、Reflection）模型，如圖1-6所示。

2）網絡安全通用模型。利用互聯網將數據報文從源站主機傳輸到目的站主機，需要經過信道傳輸與交換。通過建立邏輯信道，可以確定從源站經過網絡到目的站的路由及雙方主體使用TCP/IP通信協議。其網絡安全通用模型如圖1-7所示，優點是應用相對廣泛，缺點是并非所有情況都適用。

通常，通過網絡發送/接收報文或秘密信息需要加解密處理（轉換），并需要可信第三方（認證中心）進行兩個主體在報文傳輸中的身份認證。構建網絡安全系統時，網絡安全模型的基本任務主要有4個：選取一個報文或秘密信息、設計一個實現安全的轉換算法、開發一個分發和共享秘密信息的方法、確定兩個主體使用的網絡協議，以便利用秘密算法與信息，實現特定的安全服務。

3）網絡訪問安全模型。在網絡訪問過程中，網絡系統面對非授權訪問或病毒影響，具有兩類威脅：一是訪問威脅，即非授權黑客截獲或篡改數據；二是服務威脅，因過多的服務請求、應用或垃圾郵件等導致數據量劇增，影響對合法用戶的正常服務。對非授權訪問的安全機制有兩類：一是網閘功能，如基于密碼的登錄過程可以拒絕所有非授權訪問，防火墻或病毒防范軟件等可以檢測、過濾、查殺病毒和攻擊；二是內部安全控制，若非授權用戶越權訪問，第二道防線將會對其進行防御，包括各種內部監控、審計和分析，并檢測追蹤，如圖1-8所示。

4）網絡安全防御模型?！胺阑加谖慈弧笔亲詈玫陌踩Ｕ希W絡安全的關鍵是預防，同時也要做好內網與外網的隔離保護?？梢酝ㄟ^如圖1-9所示的網絡安全防御模型構建系統保護內網。

討論思考

1）什么是網絡安全技術？常用的網絡安全技術有哪些？

2）網絡安全模型有何作用？主要介紹了哪幾個模型？

3）概述網絡安全通用模型的特點，并舉例說明其應用。