信息是客观事物状态和运动特征的一种普遍形式，是事物在相互作用中所“刻画”出的记录。作为一种无形的物质资源。它以物质介质为载体，传递和反映世界各种事物存在的方式和运动状态的表征。近年来，随着计算机技术、数字通信技术以及网络技术的飞速发展.信息在人类社会活动、经济活动中起着越来越重要的作用。计算机能对各种信息进行海量和快速的采集、存储、处理和交换,替代传统的低效人工处理;互联网把社会中的个体连接成一个整体,对信息进行快速有效的传输,实现世界范围内的信息共享,人类社会已经迈入信息时代,其发展也离不开丰富快捷的网络信息。

与此同时，网络安全问题也伴随着计算机、信息和网络技术在政府机关、金融、商业等众多领域的不断推广应用而逐步凸现出来，网络自身的复杂性和脆弱性为“黑客”能够以后进行不法活动留下可能的空间，以侵犯为目的的计算机犯罪案件不断发生，据计算机紧急响应组织CERT(Computer EmergencyResponse Team)的统计，从1998年到2002年第二季度，CERT共接到143505起安全事件报告，其中在1988年到1998年这十年间，安全事件只有16096起，占总数的11．2％；而自1999年起，该数字则以每年超过100％的速度猛增，2001年已达~52658起，占总数的36．6％。等到2002年的前两季度，这一数字就已达到了43136起。因此，网络安全问题必须得到全社会的高度重视，人们需要保护私有信息，使其在存储、处理或传输过程中不被非法访问或删改，以确保自己的利益不受损害。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全的目标就是保护网络的程序、数据或设备，使其免受未授权的使用或访问，以保护信息和资源的保密性、完整性、可用性、可控性和可审查性。

网络安全问题是一个综合性问题，它涉及到诸多因素，包括技术、产品和管理等。从研究内容的角度，网络安全问题包括网络的物理安全、管理安全和逻辑安全等。网络的物理安全是整个网络系统安全的前提，它包含在网络运行过程中环境事故、电源故障、设备被窃被毁、电磁辐射等等潜在的风险防范。网络的管理安全涉及内部工作人员和机房的安全管理。网络的逻辑安全包含链路传输安全、网络拓扑结构安全、操作系统安全、应用安全等。下面我们仅重点从网络逻辑安全的角度介绍网络安全信息技术。

二、技术现状

目前在网络信息安全技术领域处于领先地位的国家主要有美国、法国、以色列、英国、丹麦、瑞士等，这些国家在技术上特别是在芯片技术和操作系统上有着一定的历史沉积。同时他们在信息安全技术的应用上起步较早，应用比较广泛，其领先优势主要集中在防火墙、入侵监测、漏洞扫描、防杀毒、身份认证等传统的安全产品上。

我国的网络信息安全技术研究与产业规模在过去几年中取得了不小的进步，然而在系统安全的研究与应用方面与先进国家和地区存在很大差距，加之发展时间短，需求变化大，响应要求快等原因，致使我国的网络信息安全产业整体布局缺乏顶层设计，没有形成布局合理的、体系化的信息安全产业链。

我国目前普遍使用的操作系统无论是大家熟知的Windows桌面操作系统还是商用UNIX操作系统，其开发厂商必然在操作系统中留有“后门”，而且系统本身也不可避免存在很多安全漏洞。网络中采用的TCP／IP协议族软件，本身缺乏安全性，不能对来自Internet中夹带的病毒及Web浏览可能存在的恶意Java／ActiveX控件进行有效控制。网络中一旦有一台主机受病毒感染，则病毒程序就完全有可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。防火墙产品自身是否安全，则缺乏有效的手段加以监视、评估。

三、关键技术和协议

为了维护网络信息的安全，构建一个完整安全的网络安全系统，人们已经开始探索并使用了各种网络安全信息技术，这些技术的主要目标是为维护两个层面的安全，即信息自身安全的信息层面和信息载体安全运行的网络层面。此外，为保障网络系统的安全性，网络中需要使用一些安全协议和安全技术，下面就对它们进行简单的介绍。

1．数据加密技术

数据加密技术比较灵活，主要针对动态信息的保护，适用于开放网络，它可以抵挡无从知晓的被动攻击，避免重要信息被窃取或者篡改。数据加密技术实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换称为密钥的符号串控制，加密和解密算法通常是在密钥控制下进行的。目前的数据加密技术密码体制分为对称密钥密码技术和非对称密钥密码技术。

对称密钥密码技术要求加密解密双方拥有相同的密钥，加密方和解密方都要掌握密钥才能够完成加、解密过程。在对称密钥密码技术中，最具代表性的就是美国的DES(数据加密标准)和IDEA(国际数据加密算法)。DES主要采用替换和移位的方法加密，主要应用在计算机网络通信、电子资金传输系统、保护用户文件、用户识别等；国际数据加密算法(IDEA)是在DES算法的基础上发展出来的，类似于三重DES加密，它既可用于加密，也可用于解密。

非对称密钥算法也称公钥加密算法，用两对密钥：一个公共密钥和一个专用密钥。用户要保障专用密钥的安全；公共密钥则可以发布出去。公共密钥与专用密钥有着紧密的关系，用公共密钥加密的信息只能用专用密钥解密。除加密功能外，公钥系统还可以提供数字签名。公共密钥加密算法使用最广泛的是RSA算法。RSA是由麻省理工学院的Rivest、以色列魏茨中心的Shamir和南加州大学的Adelman-人在1978年提出的一种用数论构造的，也是迄今为止理论上最为成熟完善的公钥密码技术。

RSA与DES，它们的优缺点正好互补。RSA的密钥很长，加密速度慢，而采用DES正好弥补了RSA的缺点。即DES用于明文加密，RSA用于DES密钥的加密。由于DES加密速度快，适合加密较长的报文；而RSA可解决DES密钥分配的问题。

2．身份认证技术

类似于三重DES加密，它既可用于加密，也可用于解密。

非对称密钥算法也称公钥加密算法，用两对密钥：一个公共密钥和一个专用密钥。用户要保障专用密钥的安全；公共密钥则可以发布出去。公共密钥与专用密钥有着紧密的关系，用公共密钥加密的信息只能用专用密钥解密。除加密功能外，公钥系统还可以提供数字签名。公共密钥加密算法使用最广泛的是RSA算法。RSA是由麻省理工学院的Rivest、以色列魏茨中心的Shamir和南加州大学的Adelman-人在1978年提出的一种用数论构造的，也是迄今为止理论上最为成熟完善的公钥密码技术。

RSA与DES，它们的优缺点正好互补。RSA的密钥很长，加密速度慢，而采用DES正好弥补了RSA的缺点。即DES用于明文加密，RSA用于DES密钥的加密。由于DES加密速度快，适合加密较长的报文；而RSA可解决DES密钥分配的问题。

2．身份认证技术

身份认证是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程，是建立安全通信的前提条件，只有通信双方相互确认对方身份后才能通过加密等手段建立安全信道。目前常用的身份认证技术是数字签名和数字证书技术。

数字签名就是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串，它是实现交易安全的核心技术之一。发送者用自己的私有密钥加密数据传给接收者，接收者用发送者的公钥解开数据后，就可确定消息来自于谁，同时也是对发送者所发送信息真实性的一个验证。

数字证书又叫“数字身份证”、“网络身份证”，采用公钥体制，即利用一对相互匹配的密钥进行加密、解密，是由认证中心(CertificationAuthority，CA)发放并经认证中心数字签名的，包含公开密钥拥有者及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份，它是电子商务交易过程中广泛使用的技术之一。

3.防火墙技术

防火墙(Firewall)技术是针对信息载体安全运行的网络层面的网络安全技术。防火墙是建立在内外网络边界上的过滤封锁机制，是目前网络系统实现网络安全策略应用最广泛的工具之一。根据防火墙所采用的技术，总体上可以分为数据包过滤防火墙、应用网关防火墙、代理型防火墙三大类型。

数据包过滤(PacketFiltering)防火墙速度快而且易于维护，通常作为第一道防线。它在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。应用级网关(Application LevelGateways)防火墙通常安装在专用工作站上，它是在网络应用层上建立协议过滤和转发功能，针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。代理型防火墙中，代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways orTCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。

4.网络入侵检测技术

入侵检测系统(IDS-IntrusionDetection System)是网络安全系统中不可缺少的部分，它对防火墙系统中的不足之处有很大弥补作用，可以弥补防火墙相对静态防御的不足，其通用结构如图1所示。

根据入侵检测系统的检测对象和工作方式不同，入侵检测系统主要分为基于主机的入侵检测系统、基于网络的入侵检测系统、基于内核的高性能入侵检测系统和两大类相结合的入侵检测系统等。

基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。基于内核的入侵检测系统是一种较新的技术，目前在Linux上可用的基于内核的入侵检测系统主要有OpenWall和LIDS两种，这些系统采取措施防止缓冲区溢出，增加文件系统的保护，封闭系统，从而使得入侵者破坏系统更加困难。

目前入侵检测系统一般采用集中式模式，在被保护网络的各个网段中分别放置检测器进行数据包收集和分析。各个检测器将检测信息传送给中央控制台进行统一处理，中央控制台还会向各个检测器发送命令。这种模式的缺点是对于在复杂网络上发起的分布式攻击不仅难以及时进行数据分析以至于无法完成检测任务，而且入侵检测系统本身所在的主机还可能面临因为负荷过重而崩溃的危险。对于这种情况，分布式入侵检测系统需要采用分布式智能代理的结构，由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成，检测工作通过全部代理相互协作共同完成。

入侵检侧系统与防火墙有很强的互补性。在网络安全系统的设计过程中，入侵检测系统经常与防火墙实现联动。目前实现入侵检测系统与防火墙之间的互动有两种方式:一种是把入侵检测系统嵌入到防火墙中，即入侵检测系统的数据不再来源于所抓的包，而是流经防火墙的数据流，所有通过的数据包不仅要接受防火墙规则的判断，还要检测是否具有攻击行为;第二种方式是通过开放接口来实现与防火墙的互动，但由于技术上仍有许多难点没有突破，因此，与实际应用仍有一定的距离。在入侵检测系统与防火墙实现联动具体实现中，联动控制客户机/服务器模式通过扩展防火墙功能和IDS的功能在防火墙中驻留一个服务器端的程序，在IDS中驻留一个客户端程序。客户端在发现攻击行为后产生控制信息。信息一般包括攻击者的IP地址、端口、控制类型和时间，以及被攻击主机lP地址或端口等信息，并将控制信息传递给服务器端(防火墙端)，服务器端接收来自客户机端(1DS端)的控制信息，然后在动态生成防火墙的过滤规则，最终实现联动。一旦拦截攻击停止后，添加的动态规则超时自动删除。

5．虚拟专用网技术

虚拟专用网技术(Virtual PrivateNetwork，简称VPN)是借助于公用网的物理线路，在局域网和局域网之间或者是远程客户与局域网之间创建数据传输的网络隧道，将传输的数据经过加密封装后，透过虚拟的公网隧道进行传输，结构如图2所示：

目前比较经典的VPN有AccessVPN、Intranet VPN和Extranel VPN三种类型，它们主要采用密码技术、身份认证技术、隧道技术和密钥管理技术四项技术。密码技术是实现VPN中的关键核心技术之一；身份认证技术是VPN的功能实现的保证；隧道技术是VPN的基本技术，是通过对数据的封装，在公共网络上建立一条数据通道，让数据包在这条隧道上传输；密钥管理技术是VPN的重点技术。

6．访问控制技术

访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，在身份识别的基础上，根据身份对提出资源访问的请求加以控制。它是对信息系统资源进行保护的重要措施，也是计算机系统最重要的安全机制。

访问控制主要有网络访问控制和系统访问控制两种类型。网络访问控制限制外部对主机网络服务的访问和系统内部用户对外部的访问，通常由防火墙实现。系统访问控制为不同的用户赋予不同的主机资源访问权限，操作系统提供一定的功能实现系统访问控制。

实现网络访问控制的技术是AT&TBell实验室的Dennis M．RitChie于1984年设计的流(STREAMS)技术，现在几乎所有的UNlX操作系统都支持机制流，流是内核空间中的流驱动程序与用户空间中的进程之间的一种全双工的处理和数据传输通路。实现系统访问控制的技术是系统调用捕获和控制，系统调用是应用程序和操作系统内核之间的功能接口。通过截获和控制系统调用实现系统的访问控制。

7．网络安全协议

在网络的安全协议中，使用比较广泛的包括IPSec(IP Security)、SSL(Secure Socket Layer)SET(Secure Electronic Transaction)3-1-协议。IP Sec是随着IPv6的制定而产生的，是lPv6的一个组成部分，也是IPv4的一个可选择的扩展协议。IP Sec协议已经成为工业标准的网络安全协议。SSL是使用公钥和私钥技术组合的安全网络通信协议，它是由Netscape公司推出的基于WEB应用的安全协议。SSL最常用来保护Web的安全。SET是由美国Visa和MasterCard两大信用卡组织提出的应用于Internet上的以信用卡为基础的电子支付系统协议。它采用公钥密码体制和X509数字证书标准，主要应用于BtoC模式中保障支付信息的安全性。

四、存在的问题

入侵检测系统往往被认为是保护网络系统的“最后一道安全防线”。但今天的网络黑客已经学会将真正的攻击动作隐藏在大量虚假报警之中，近年来针对网络系统发起的攻击技术大有水涨船高之势，入侵检测系统的开发者正在面临一个两难选择：发现异常现象时，是报警，还是不报警?不报警，担心有漏网之鱼，报警，则有可能正中攻击者的圈套。目前主流的入侵检测系统大都存在以下问题：

(1)缺乏对于攻击的精确描述能力是现有的IDS产生误报与漏报的主要原因之一。现有的一些攻击描述方法不严密导致对攻击的描述有可能覆盖某些正常的网络行为，而且根据这些攻击描述不能检测出新的攻击或已知攻击的交种，从而引起误报和漏报。

(2)相关攻击可能产生大量相关报警信息，但目前IDS无法识别其相关性。虽然入侵检测系统之间有逻辑上的连接，但他们只关注低级的攻击和异常，并且各自产生自己的报警信息，彼此之间缺乏协调规范，不能扑捉到隐藏在这些攻击背后的逻辑步骤和策略。

五、结束语

网络安全是一个系统的工程，不能仅仅靠单个安全系统或者技术来实现，而需要仔细考虑系统的安全需求。并将各种安全技术结合在一起，才能生成一个高效、通用、安全的网络系统。对于入侵检测系统存在的误报、漏报、报警信息难管理、报警信息层次低等问题，可以开展入侵检测系统报警信息融合技术的研究，用于提高网络预警能力。