传统防御技术-网络工程与设计成果

传统防御技术主要包括防火墙、认证技术、访问控制、病毒防范、入侵检测、漏洞扫描、信息加密技术和灾难恢复等。

1.防火墙技术

防火墙是一种形象的说法，其实它是一种由计算机硬件和软件组成的一个或一组系统，用于增强内部可信网络和外部不可信网络之间的访问控制。从狭义上讲，防火墙是安装了防火墙软件的主机或路由器系统；从广义上来看，防火墙还应该包括整个网络的安全策略和安全行为。

防火墙是设置在被保护网络和外部网络之间的一道屏障，是内部网络和外部网络之间建立起一个安全网关，在其内部嵌入了保护内部网络计算机的安全策略，用来防止发生不可预测的、具有潜在恶意的入侵。在实施安全策略之后，防火墙能够限制被保护的内网与外网之间的信息存取和交换操作，根据安全策略来控制出入网络的信息流，以决定网络之间的通信是否被允许，防止外部网络用户通过非法手段进入内部网络，以提高内部网络的安全性。它的主要功能包括过滤不安全的服务和非法用户、管理网络访问行为、限制暴露用户、阻止非法的网络访问、对网络攻击进行探测和报警。防火墙技术是目前最为流行也是使用最为广泛的一种网络安全技术，一方面它使得本地系统和网络免于受到网络安全方面的威胁，同时也提供了通过广域网和互联网对外界进行访问的有效方式，是实现计算机网络安全的重要手段之一。

防火墙系统的实现技术主要分为分组过滤和代理服务两种。分组过滤技术是一种基于路由器的技术，由分组过滤路由器对IP分组进行选择，允许或拒绝特定的分组通过。过滤一般是基于一个IP分组的源地址、目的地址、源端口、目的端口和相关协议进行的。代理服务技术是由一个高层的应用网关作为代理服务器，接受外来的应用连接请求，进行安全判定后，再与被保护的网络应用服务器连接，使得外部服务用户可以在受控制的前提下使用内部网络的服务。

根据网络体系结构，防火墙可分为网络级防火墙、应用级网关、电路级网关和规则检查防火墙。网络级防火墙，也称包过滤防火墙，又叫分组过滤路由器，它工作在网络层。一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。应用级网关就是我们常说的“代理服务器”，它能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话 （Session）是否合法。规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

目前在市场上流行的防火墙大多属于规则检查防火墙。从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在结点间传送数据。

2.认证技术

认证是防止恶意攻击的重要技术，它对开放环境中的各种消息系统的安全有重要作用，认证的主要目的有两个：一是验证信息的发送者是合法的；二是验证信息的完整性，保证信息在传送过程中未被篡改、重放或延迟等。目前有关认证的主要技术有：消息认证、身份认证和数字签名。

消息确认使约定的接收者能够认证消息是否是约定发信者送出的且在通信过程中未被篡改过的消息。身份确认使得用户的身份能够被正确判定。最简单而又最常用的身份确认方法有：个人识别号、口令、个人特征（如指纹）等。数字签名与日常生活中的手写签名效果一样。它不但能使消息接收者确认消息是否来自合法方，而且可以为仲裁者提供发信者对消息签名的证据。消息认证和身份认证解决了通信双方利害一致条件下防止第三者伪装和破坏的问题。数字签名能够防止他人冒名进行信息发送和接收，以及防止本人事后否认已进行过的发送和接收活动。

一个安全的信息确认方案应该是：合法的接收者能够验证他收到的消息是否真实；发信者无法抵赖自己发出的消息；除合法发信者外，别人无法伪造消息；发生争执时可由第三人仲裁。

用于消息确认中的常用算法有：EIGamal签名、数字签名标准（DSS）、One-time签名、Undeniable签名、Fail-stop签名、Schnorr确认方案、Okamoto确认方案、Guillou-Quisquater确认方案、Snefru、Nhash、MD4、MD5等。其中最著名的算法是数字签名标准（DSS）算法。

3.访问控制

访问控制是网络安全防范和保护的主要策略，主要任务是保证网络资源不被非法使用和非常访问，控制用户可以访问的网络资源的范围，为网络访问提供限制，只允许具有访问权限的用户访问网络资源，也是维护网络系统安全、保护网络资源的重要手段，是保证网络安全最重要的核心策略之一。

访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和结点的安全控制等。根据网络安全的等级及网络空间的环境不同，可灵活地设置访问控制的种类和数量。

访问控制主要可分为自主访问控制和强制访问控制两大类。自主访问控制，是指由用户有权对自身所创建的访问对象（文件、数据表等）进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。强制访问控制，是指由系统（通过专门设置的系统安全员）对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。

常见的访问控制模型包括：基于任务的访问控制模型（基于任务、采用动态授权的主动安全模型）、基于角色的访问控制模型（将访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权）、基于对象的访问控制模型（将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合；同时允许对策略和规则进行重用、继承和派生操作）、基于属性的访问控制模型（利用相关实体，如主体、客体、环境的属性作为授权的基础来研究如何进行访问控制）和风险自适应访问控制模型（在以前访问控制模型的基础上将系统情况、风险等级等因素考虑进来进行访问控制。它结合请求者的信誉、资料、系统的架构和环境风险因素进行量化的风险评估，然后通过将其与访问控制策略比较来进行访问控制）等。

4.信息加密技术

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。加密技术是指通过形形色色的算法，使用可逆的转换，将明文或数据转换为不可识别的格式的过程，能以较小的代价提供较高的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中，接收方和发送方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。在公钥密码中，接收方和发送方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。

按作用不同，加密技术可以分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。数据传输加密技术是对传输中的数据流加密，常用的方法有链路加密、端点加密和结点加密三种。链路加密的目的是保护网络结点之间的链路信息安全；端到端加密的目的是对源端用户到目的端用户的数据提供保护；结点加密的目的是对源结点到目的结点之间的传输链路提供保护。数据存储加密技术是防止在存储环节上的数据泄密，分为密文存储和存取控制两种。数据完整性鉴别技术是对信息的传输、存取、处理用户的身份及相关内容进行验证，从而实现数据的安全保护，一般包括用户身份、密码、密钥等项的鉴别。密钥管理技术是在使用密钥对数据进行加密时各个环节所采取的保密措施，具体内容包括密钥的生成、存储、分配、更新及撤销等。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

5.入侵检测技术

入侵检测，顾名思义，是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

从技术上划分，入侵监测有两种检测模型：一种是异常检测模型，检测与可接受行为之间的偏差，如果可以定义每项可接受的行为，那么每项不可接受的行为就是入侵。这种检测模型漏报率低，但误报率较高。另一种是特征检测模型，检测与已知的不可接受行为之间的匹配程度，如果可以定义所有的不可接受的行为，那么每种能够与之匹配的行为都会引起告警。它将所有已知的攻击特征和系统漏洞等以形式化的方法组成一个攻击特征库，然后将捕获到的数据包用模式匹配的方法与特征库中的特征逐条比较，以此判断是否为攻击或恶意入侵，这种模型误报率低，但漏报率较高。随着网络技术的发展，这种检测方法的缺点和不足逐渐显现出来：需要匹配的数据量太大、只能检测到已知的攻击、容易受到欺骗等。

入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。(www.chuimin.cn)

入侵检测一般分为三个步骤，依次为信息收集、数据分析、响应（被动响应和主动响应）。信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息四个方面。数据分析是入侵检测的核心，它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析三种手段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。统计分析的最大优点是可以学习用户的使用习惯。

入侵检测系统在发现入侵后会及时做出响应，包括切断网络链接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动（如断开链接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外，还可以按策略配置响应，可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。

网络安全公司一般都同时生产漏洞检测和入侵检测产品，入侵检测产品以硬件居多，也有部分软件产品，国产的入侵检测产品因为界面友好，日常使用的要多一些。常见的IDS产品有ISS的Realsecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。

6.漏洞扫描

漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，是网络安全方案的一个重要组成部分。

从底层技术来划分，可以分为基于网络的扫描和基于主机的扫描这两种类型。基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具，根据不同漏洞的特性，构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。基于网络的漏洞扫描器包含网络映射（Network Mapping）和端口扫描功能。基于主机的漏洞扫描器，扫描目标系统的漏洞的原理与基于网络的漏洞扫描器的原理类似，但是，两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装一个代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程，这也使基于主机的漏洞扫描器能够扫描更多的漏洞。现在流行的基于主机的漏洞扫描器在每个目标系统上都有个代理，以便向中央服务器反馈信息，中央服务器通过远程控制台进行管理。

安全扫描的内容包括网络远程安全扫描、Web网站扫描和系统安全扫描。

在早期的共享网络安全扫描软件中，有很多都是针对网络的远程安全扫描，这些扫描软件能够对远程主机的安全漏洞进行检测并做一些初步的分析。但事实上，由于这些软件能够对安全漏洞进行远程的扫描，因而也是网络攻击者进行攻击的有效工具，网络攻击者利用这些扫描软件对目标主机进行扫描，检测目标主机上可以利用的安全性弱点，并以此为基础实施网络攻击。

Web站点上运行的CGI程序的安全性是网络安全的重要威胁之一，此外Web服务器上运行的其他一些应用程序、Web服务器配置的错误、服务器上运行的一些相关服务以及操作系统存在的漏洞都可能是Web站点存在的安全风险。Web站点安全扫描软件就是通过检测操作系统、Web服务器的相关服务、CGI等应用程序以及Web服务器的配置，报告Web站点中的安全漏洞并给出修补措施。Web站点管理员可以根据这些报告对站点的安全漏洞进行修补从而提高Web站点的安全性。

系统安全扫描技术通过对目标主机的操作系统的配置进行检测，报告其安全漏洞并给出一些建议或修补措施。与远程网络安全软件从外部对目标主机的各个端口进行安全扫描不同，系统安全扫描软件从主机系统内部对操作系统各个方面进行检测，因而很多系统扫描软件都需要其运行者具有超级用户的权限。系统安全扫描软件通常能够检查潜在的操作系统漏洞、不正确的文件属性和权限设置、脆弱的用户口令、网络服务配置错误、操作系统底层非授权的更改以及攻击者攻破系统的迹象等。

安全扫描产品既有专业的大公司生产的产品，也有一些专用的小型的产品。比较有名的有ISS的扫描软件套件、NAI公司的Cybercop Scanner、Norton公司的NetRecon、WebTrends公司的WSA（WebTrends Security Analyer）、俄罗斯黑客组织制作的Shadow Security Scanner。国产的大镜漏洞扫描软件也是一款优秀的漏洞扫描分析和安全评估系统。

7.病毒防护

病毒防护主要包括计算机病毒的预防、检测与清除。最理想的防止病毒攻击的方法就是预防，在第一时间内阻止病毒进入系统。而有效地预防计算机病毒的措施实际上来自用户的行为，其方法有：在操作系统上安装防病毒软件，并定期对病毒库进行升级，及时为计算机安装最新的安全补丁，从网络上下载数据前先进行安全扫描，不要随意打开未知的邮件，定期备份数据等。一旦系统被病毒感染，就要立即对病毒进行检测并对其进行定位，然后确定病毒的类型。在确定了病毒的类型后，从受感染的程序或文件中清除所有的病毒并恢复到感染前的状态。如果成功检测到病毒但无法识别并清除该病毒，则必须删除受感染的文件，并导入未被感染文件的备份。

检测磁盘中的计算机病毒可分成检测引导型计算机病毒和检测文件型计算机病毒。这两种检测从原理上讲是一样的，但由于各自的存储方式不同，检测方法是有差别的。下面介绍几种常用的检测方法。

1）比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。使用比较法能发现异常，如文件的长度有变化，或虽然文件长度未发生变化，但文件内的程序代码发生了变化。由于要进行比较，保留好原始备份是非常重要的，制作备份时必须在无计算机病毒的环境里进行，制作好的备份必须妥善保管，写好标签，并加上写保护。比较法的好处是简单、方便，不需专用软件。缺点是无法确认计算机病毒的种类名称。另外，当找不到原始备份时，用比较法就不能马上得到结论。

2）根据每个程序的档案名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面，或是将所有检查码放在同一个数据库中，再利用此加总对比系统，追踪并记录每个程序的检查码是否更改，以判断是否感染了计算机病毒。一个很简单的例子就是当您把车停下来之后，将里程表的数字记下来。那么下次您再开车时，只要比对一下里程表的数字，那么您就可以断定是否有人偷开了您的车子。这种技术可侦测到各式的计算机病毒，但最大的缺点就是误判断高，且无法确认是哪种计算机病毒感染的，对于隐形计算机病毒也无法侦测到。

3）特征字串搜索法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描，如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的计算机病毒。目前常见的防杀计算机病毒软件对已知计算机病毒的检测大多采用这种方法。计算机病毒扫描程序能识别的计算机病毒的数目完全取决于计算机病毒代码库内所含计算机病毒的种类多少。计算机病毒代码串的选择是非常重要的。短小的计算机病毒只有一百多个字节，长的有上万字节的。另外，代码串不应含有计算机病毒的数据区，数据区是会经常变化的。代码串一定要在仔细分析了程序之后才选出最具代表特性的，足以将该计算机病毒区别于其他计算机病毒的字节串。选定好的特征代码串是很不容易的，是计算机病毒扫描程序的精华所在。一般情况下，代码串是连续的若干个字节组成的串，但是有些扫描软件采用的是可变长串，即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时，只要除“模糊”字节之外的字串都能完好匹配，就能判别出计算机病毒。

4）虚拟机查毒法专门用来对付多态变形计算机病毒。多态变形计算机病毒在每次传染时，都将自身以不同的随机数加密于每个感染的文件中，传统搜索法的方式根本就无法找到这种计算机病毒。虚拟机查毒法则是用软件仿真技术成功地仿真CPU执行，在DOS虚拟机下伪执行计算机病毒程序，安全并确实地将其解密，使其显露本来的面目，再加以扫描。

5）人工智能陷阱是一种监测计算机行为的常驻式扫描技术，它将所有计算机病毒产生的行为归纳起来，一旦发现内存中的程序有任何不当的行为，系统就会有所警觉，并告知使用者。这种技术的优点是执行速度快、操作简便，且可以侦测到各式计算机病毒；其缺点就是程序设计难，且不容易考虑周全。不过在这千变万化的计算机病毒世界中，人工智能陷阱扫描技术是一个至少具有主动保护功能的新技术。

6）宏病毒陷阱技术是结合了搜索法和人工智能陷阱技术，依行为模式来侦测已知及未知的宏病毒。其中，配合OLE2技术，可将宏与文件分开，使得扫描速度变得飞快，而且更可有效地将宏病毒彻底清除。

此外，还有分析法和先知扫描法等，一般是防杀计算机病毒的专业技术人员才采用。

市场上常见的网络版计算机病毒防治产品有瑞星、启明星辰（天蘅）、诺顿（Norton）、趋势（Trend）、McAfee、熊猫卫士（Panda）等。

除了上面介绍的技术外，传统防御技术还包括数据备份技术和完善安全管理制度等。