维普资讯 http://www.cqvip.com 22 gies noloelecom PowerTechT通信电源技术 2002 l年10月 第5期平lU 弗)剖 … 网络安全技术的发展与主流趋势 Development and Tendency of Network Security Technology 梁本亮 Liang Benliang 中国地质大学信息工程学院430074武汉 China U nivevsity of Geosciences 摘 要 互联网商业化之后,越来越多的人开始使用互联网,网络的安全问题日益突出。加 密、防火墙和防病毒是网络安全市场的三大主要支柱。文中从互联网的发展阐述了网络安全 重要性,论述了网络安全技术使用现状和中国网络安全发展主流趋势。 关键词 互联网 网络安全技术分类号TP393 发展趋势 Abstract After being commercialized,INTERNET is utilized by more and more people in the world Thus the problems on networks security are growing.There are three main approaches on the market to solve the problems:password,firewall and anti—virus.This paper attaches the im。 portance on networks security from the development of INTERNET and discusses the current practice status of net works security technology and the dominant tendency of its development in China. Key words IN TERNET,network security technology,development tendency 自从1945年第一台电子计算机问世以来,计 算机网络经历了20世纪60年代的网络萌芽时 期,70年代的网络大规模兴起,80年代个人计算 机的广泛应用,计算机局域网开始蓬勃发展,90 全市场的三大主要支柱。 2002年,中国信息安全市场将进入高速成长 期,越来越多的企业意识到网络安全的重要性。 本文将帮助企业了解中国互联网安全技术的发展 和应用趋势。 年代网络的普遍应用四个不同的时期。至今网络 已经走进干家万户,延伸到各个领域,成为2l世 纪不可替代的产品。 从1995年开始,中国的互联网商业化之后, 1 网络安全的重要性 互联网早期的主要任务是发展,发展是第一 互联网产业已经取得了很大的发展。中国互联网 络信息中心(CNNIC)的报告表明,目前中国的互 联网有超过2650万的用户群,互联网和内部网络 位的,安全问题提不上议程。由于互联网特有的 魅力,越来越多的人使用互联网,互联网应用发展 很快,但技术发展还不充分,互联网本身还很新, 了解和研究互联网的人还不太多,网络安全问题 也不突出。随着互联网的快速发展,了解和研究 的安全问题被提上议程。网络安全市场在2000 年后开始成熟,据中国国家信息安全测评认证中 心的预测,我国的信息安全市场2001年将高达 5O亿元人民币,其中加密、防火墙和防病毒是安 2002—07—11收稿 互联网的人越来越多,研究互联网的人的意图各 不相同,来自互联网的威胁开始出现,并且越来越 严重。这些威胁包括: (1)入侵:未经授权的访问,试图入侵系统等; 维普资讯 http://www.cqvip.com 第5期 梁本亮 网络安全技术的发展与主流趋势 (2)攻击:扫描系统缺陷,并加以攻击; OSI的7层模型上工作机理有明显不同。 防火墙的主要评价体系包括:性能、安全性和 (3)来自互联网的病毒:尤其是电子邮件和文 件下载・9 功能。理论上,防火墙的性能越高越好,安全性越 强越好,功能越多越好。实际上,性能、安全性和 功能这三者是相互矛盾的。功能多、安全性好的 (4)恶意代码:可执行的恶意代码如Java等; (5)假冒:Spoofing、伪装等; (6)拒绝服务:DoS、DDoS攻击等; (7)窃听:Sniffer等; 技术,往往性能要受影响,功能多也影响到系统的 安全性。 2.2防止来自网络上的病毒 (8)欺骗:Social Engineering等; (9)破坏:删除文件,破坏数据和系统等。 这些因为网络而带来的威胁给用户带来很大 解决方案:防病毒网关。只要你在使用电子 邮件,或从互联网上下载软件,很少人没有遭遇来 自互联网上的计算机病毒。尤其是使用微软公司 的风险,造成的主要损失包括:机密信息泄露;财 务损失;名誉损害;财产损害;数据破坏;生产率下 降等。 美国计算机犯罪调查机构(CSI)和联邦调查 局(FBI)的2001年度调查报告表明:91%的大公 司和政府机构在过去的12个月内发现计算机安 全问题,64%承认存在财务损失,实际的数字应比 这个更高。安全问题主要表现在互联网连接导致 网络攻击的发生;遭遇到了来自互联网的计算机 的Outlook电子邮件软件,它几乎是病毒的温床。 从CIH病毒到“欢乐时光”到“红色代码”,几乎全 是通过微软的Outlook传播的。目前互联网上存 在的病毒超过5万多种。 传统的病毒检测和杀病毒是在客户端完成 的。但是这种方式存在一个致命的缺点,如果某 台计算机发现病毒,说明几乎所有的计算机都存 在感染病毒的可能性。如果病毒是新的,旧的杀 病毒软件一般不能检测和清除新的未知病毒。 在单位内部的计算机网络和互联网的连接 处,放置防病毒的网关,尽可能将病毒拦截在公司 网络之外,而不是感染每一台计算机后再杀病毒。 如果出现新病毒,需要更新防病毒网关,而不用更 新每一个终端的客户软件。 2.3内部网络的管理和安全 解决方案:PPPoE/DHCP网关。内部的计算 病毒;而导致财务损失的主要原因是机密信息的 泄露和财务欺诈。 2网络安全技术的主流趋势 目前网络安全技术的使用状况和主流趋势为 以下几个方面。 2.1 内网和外网的隔离 解决方案:防火墙。内部网络和外部网络的 性质是完全不同的。外部网络是一个完全开放 的,人人可以使用和访问的公开网络。内部网络 是一个对内部有条件开放,甚至不对外开放的网 络。单位接入互联网,希望可以访问互联网,但并 不意味着单位希望外部用户可以进入内部网络。 因此,内部网络和外部网络应该严格地隔离。 在技术上,实现隔离的方式有很多,但主要的 机用户攻击和滥用网络是一个非常普遍的现象, 尤其是大学和中小规模企业,80%的攻击发生在 内部,对内部用户访问互联网进行访问控制是非 常重要的手段。 内部网络的管理和访问控制,相对外部的隔 离来讲要复杂得多。外部网络的隔离,基本上就 是禁止和放行,是一种粗颗粒的访问控制。内部 技术是防火墙(Firewal1)。具体的实现方式有IP 包过滤技术、应用代理技术、状态检测包过滤技 术、电路代理技术。基于这些技术实现的隔离设 备被称为防火墙。 的网络管理,要针对用户来设置,你是谁?怎么确 认你是谁?你属于什么组?该组的访问权限是什 么?需要完整的日志,基于实际和流量的控制,应 用的控制等,这是一种细颗粒的访问控制。 内部的网络管理和安全涉及的面也要大得 多,需要对国内和国外划分域,进行内容控制和过 防火墙在体系结构上也有不同的类型:有双 网口,有多网口,DMZ和SSN。不同的类型在 维普资讯 http://www.cqvip.com 通信电源技术 2002年l0月 滤,控制应用范围等。 内部网络的管理和安全,有可能采用防火墙 来解决。但这种情况下的防火墙与用在一般互联 网环境下的防火墙有很大的不同。一般意义上的 防火墙强调两个网络之间的安全政策,是一个流 量工程的概念。而用于单位内部的网络管理和安 全的防火墙,强调对内的控制和管理,是一个典型 意义上的AAA架构。 内部网络的管理和安全的程度是互联网成熟 的标志。 2.4加密通信和虚拟专用网(VPN) 解决方案:VPN。公用的互联网是无法控制 的,可是,单位的员工外出,移动办公,要和单位通 信是必需的。另外,单位和合作伙伴之间、分支机 构之间,通过公用的互联网来通信也是必需的。 因此加密通信和虚拟专用网有很大的市场需求。 加密通信和VPN包含几个要素:加密算法、 密钥管理、加密方式和路由。 加密通信和VPN的发展已经出现很多年。 IPSec已经被称为市场的主流和标准,不是IPSec 的VPN在国际上已经基本退出了市场。 VPN的另外一个方向是向轻量级方向发展。 据国外的专家估计,轻量级的VPN市场要比传 统的VPN的市场大得多。轻量级的VPN在保 证安全的情况下,VPN的性能和功能要强大得 多。 2.5入侵检测和主动防卫 解决方案:IDS。互联网市场的发展,已经暴 露出一个不可避免的缺点:被攻击。技术人员的 好奇、技术骚扰、技术恐怖主义,无论是政府还是 金融机构,甚至是企业、学校等单位,无不面临着 这样的威胁。 针对黑客的攻击,从技术路线上来讲,早期的 思路是,加强内部的网络安全、系统安全和应用安 全。安全扫描工具,就是这样一类产品。从端口 扫描、网络扫描、系统扫描到应用扫描,扫描工具 层出不穷。但是,扫描是一种被动检测的方式,颇 类似于杀病毒,就像感冒一样,每年都在流行感 冒,每次感冒流行之后才能研制出相应的疫苗。 安全漏洞也一样,而黑客则几乎总是采用最新的 方法和手段来攻击新发现的漏洞,因此扫描对解 决攻击的效果不大,是一种一般的被动防卫方法。 在没有特征库的情况下,扫描几乎没有任何办法。 入侵检测和主动防卫(IDS)则不同,是一种 实时交互的监测和主动防卫手段。尽管IDS也 采用特征库的方法,但特征库只是报警的方式。 即使特征库中没有现成的特征样本,IDS照样给 大量的仍可以观察和分析的原始行为写日志和报 警。人照样可以了解和给出必要的安全判断和措 施。 IDS能与防火墙进行互动,进行主动防卫。 2.6审计和审计数据挖掘 解决方案:审计服务器。从来就没有一种技 术,可以绝对地保证网络安全。即使技术在理论 上可以很安全,也不可能保证执行人员可以完整 无误地执行。如果执行人员出现失误,实际的网 络安全也存在问题。因此,无论技术有多先进,审 计功能依然非常重要。审计功能是网络安全的一 个非常重要的部分和保障。 简单地讲,审计就是对日志的审计。系统日 志、防火墙日志、操作日志、入侵监测日志等都在 审计的范围之内。审计还包括对审计的审计。由 于防火墙的发展变化很快,针对专用系统和功能 的审计,常常会过时。因此,研究具有一定通用性 的日志审计功能的产品意义就非常大。 审计并不完全是安全检查问题。对审计的数 据进行系统挖掘,具有非常特殊的意义。比如说。 利用审计数据,可以了解内部人员使用网络的情 况,对公司内部经常访问的数据和知识建立知识 仓库,对外部用户感兴趣的公司产品和内容进行 总结,了解用户的兴趣和需求。 2.7网络的鉴别、授权和管理(AAA)系统 解决方案:AAA。在一般的网络人员心中。 基于Radius的鉴别、授权和管理(AAA)系统是一 个非常庞大的安全体系,主要用在大的网络运营 商中,企业内部不需要这么复杂的东西。这种看 法,越来越过时,实际上单位内部的网络同样需要 一套强大的AAA系统。根据IDC的报告,单位 内部的AAA系统是目前安全市场增长最快的部 分。 (下转第27页) 维普资讯 http://www.cqvip.com 第5期 常波张新荣PWM控制器MAX668/669的特性及应用 芯采用封闭形式或加屏蔽。 3.4选择电容 图1中C,为补偿电容。由C 的尺 引起的 输出纹波电压将影响回路的稳定性(引入一个左 半平面零点),因此,从FB到地连接一个小的补 (1)输出滤波电容 图1中C 、C 为输出滤波电容。保证电路稳 定的最小输出滤波电容按公式(4)计算: C t( i )=(7.5 U。 t×L/Lia n1)/(2 ̄Rcs X 偿电容,就能与反馈电阻形成一个抵消尺 零点 的极点。最佳补偿值是: 、, 塑 Ui ( i )×f。 4) FB— out^(R,×R3)/(R2+R3) 式中,尺 是电流检测电阻。由于在DC—DC 如果CFB计算值为非标准电容,则可以从 0.5 CFB到1.5 CFB选择。 升压电路设计中,输出纹波主要由电容器的等效 串联电阻(R )决定,因此C 必须使用低值的 3.5选择功率MOSFET 尺 。实际的C 值应大于2—3倍的C。 ( i )。 (2)输入电容 图1中C.为输入电容,其作用是降低来自输 MAX668能够驱动多种类型的N沟道MOS- FET,由于内部LDO将门级驱动EXT输出信号 的摆幅限制在5 V内,应选择逻辑电平控制的 MOSFET,特别是当输入电压较低时(低于5 V), 低电平控制的MOSFET可获得较低的导通电 阻。 入电源的电流峰值和减小噪声输入。Ci 的值主 要决定于输入电源的源阻抗,高源阻抗需要高值 输入电容,这点在输入电压降低时更为重要。因 此在低输入电压电路中,使用低值的尺 和大容 量Ci 会提高转换率,最好使用和C 相同容量的 Ci 。 3.6选择二极管 MAX668的工作频率较高,故需要高速的整 流管,由于肖特基二极管具有快恢复、低导通电压 等特性,比较适合该类应用。当输出电压很高时 (3)旁路电容 图1中C2,C3为旁路电容。C3的值最小为 0.22 F,C2的值最小为1 F。在安装时,所有旁 路电容尽可能靠近相应引脚。 (4)补偿电容 (如高于5O V),肖特基二极管很难满足要求,这 时,可选用高速硅二极管。 参考文献 1何希才.新型开关电源设计与应用.科学出版社,2001 (上接第24页) 基于Radius的AAA体系回答了以下的问 题: 以上七个方向,是中国网络安全市场发展的 主流方向,也是市场发展的主要趋势。目前市场 存在的一些问题,比如说国内超过90%的厂商采 用Linux操作系统的防火墙,由于Linux是应用 支持的操作系统,在稳定性、性能和安全性方面一 般,导致国内厂商多在拼比防火墙的功能,而不是 防火墙的稳定性、安全性和性能。另外一个错误 的观点是认为防火墙技术已经成熟,没有什么进 步。实际上防火墙技术一直在突飞猛进,未来的 防火墙在高安全性、高性能、高稳定性方面有非常 突出的表现。一个不研究新一代防火墙的厂商, 绝对不是一个好的厂商。企业在设计网络安全和 使用网络安全技术方面应该充分注意把握该趋 势。 (1)你是谁(确定用户)? (2)怎么确认你是谁(检查真伪,防抵赖)? (3)你能干什么和不能干什么(控制使用权 限)? (4)完整的13志纪录(审计和记账)。 (5)目录服务(用户信息)。 (6)业务和组织管理(部门信息,业务分类)。 (7)支持其他的应用。 3 结束语