1.7 网络安全技术的发展简史_计算机网络安全原理-QQ阅读男生武侠网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.7　网络安全技术的发展简史

一般认为，网络安全防护技术的发展主要经历了三个阶段。

第一代安全技术，以“保护”为目的，划分明确的网络边界，利用各种保护和隔离手段，如用户鉴别和授权、访问控制、可信计算基（Trusted Computing Base，TCB）、多级安全、权限管理和信息加解密等，试图在网络边界上阻止非法入侵，从而达到确保信息安全的目的。第一代安全技术解决了许多安全问题。但并不是在所有情况下都能清楚地划分并控制边界，保护措施也并不是在所有情况下都有效。因此，第一代安全技术并不能全面保护信息系统的安全，于是出现了第二代安全技术。

第二代安全技术，以“保障”为目的，以检测技术为核心，以恢复技术为后盾，融合了保护、检测、响应、恢复四大类技术，包括防火墙（Firewall）、入侵检测系统（Intrusion Detect System，IDS）、虚拟专用网（Virtual Private Network，VPN）及公钥基础设施（Public Key Infrastructure，PKI）等。第二代安全技术也称为信息保障技术，目前已经得到了广泛应用。

信息保障技术的基本假设是：如果挡不住敌人，至少要能发现敌人或敌人的破坏。例如，能够发现系统死机、网络扫描，发现网络流量异常等。针对发现的安全威胁，采取相应的响应措施，从而保证系统的安全。在信息保障技术中，所有的响应甚至恢复都依赖于检测结论，检测系统的性能是信息保障技术中最为关键的部分。因此，信息保障技术遇到的挑战是：检测系统能否检测到全部的攻击？但是，几乎所有的人都认为，检测系统要发现全部的攻击是不可能的，准确区分正确数据和攻击数据是不可能的，准确区分正常系统和有木马的系统是不可能的，准确区分有漏洞的系统和没有漏洞的系统也是不可能的。因此，出现了第三代安全技术。

第三代安全技术，以“顽存（survivable，也称为可生存、生存等）”为目的，即系统在遭受攻击、故障和意外事故的情况下，在一定时间内仍然具有继续执行全部或关键使命的能力。第三代安全技术与前两代安全技术最重要的区别在于设计理念上：我们不可能完全正确地检测、阻止对系统的入侵行为。第三代安全技术的核心是入侵容忍技术（或称攻击容忍技术）。容忍攻击的含义是：在攻击者到达系统，甚至控制了部分子系统时，系统不能丧失其应有的保密性、完整性、真实性、可用性和不可否认性。增强信息系统的顽存性对于在网络战中防御敌人的攻击具有重要的意义。

近几年来，虽然网络安全领域取得了不少的研究成果，网络安全防护措施也不断完善，但网络安全依然面临着巨大的挑战，这些挑战主要体现在以下四个方面。

（1）通用计算设备的计算能力越来越强带来的挑战。

当前的信息安全技术特别是密码技术与计算技术密切相关，其安全性本质上是计算安全性。当前通用计算设备的计算能力不断增强，对很多方面的安全性带来了巨大挑战。例如，DNA软件系统可以联合、协调多个空闲的普通计算机，对文件加密口令和密钥进行穷搜，已经能够以正常的代价成功实施多类攻击；又如，量子计算机的不断发展向主要依赖数论的公钥密码算法带来了挑战，而新型的替代密码算法尚不成熟。

（2）计算环境日益复杂多样带来的挑战。

随着网络高速化、无线化、移动化和设备小型化的发展，信息安全的计算环境可能附加越来越多的制约，这往往约束了常用方法的实施，而实用化的新方法往往又受到质疑。如，传感器网络由于其潜在的军事用途，常常需要比较高的安全性，但是，由于节点的计算能力、功耗和尺寸均受到制约，因此难以实施通用的安全方法。当前，所谓轻量级密码的研究正试图寻找安全和计算环境之间合理的平衡手段，但其尚有待发展。另一方面，各类海量物联网设备接入互联网，导致互联网规模及应用激增，给安全防护带来了严峻挑战。

（3）信息技术发展本身带来的问题。

信息技术在给人们带来方便和信息共享的同时，也带来了安全问题，如密码分析者大量利用了信息技术本身提供的计算和决策方法实施破解，网络攻击者利用网络技术本身编写大量的攻击工具、病毒和垃圾邮件；由于信息技术带来的信息共享、复制和传播能力，造成了当前难以对数字版权进行管理的局面；云计算技术大大提高了计算资源的使用效率和单位的计算成本，已经对人们的工作方式和商业模式带来根本性的改变，但也带来了很多新的安全问题；近几年广泛使用的CDN大幅提高了Web网站的访问速度，但同时也改变了互联网原有的端到端原则，带来了新的安全风险。

（4）网络与系统攻击的复杂性和动态性仍较难把握。

信息安全技术发展到今天，网络与系统安全理论研究仍然处于相对困难的状态，这些理论很难刻画网络与系统攻击行为的复杂性和动态性，直接造成了防护方法主要依靠经验的局面，“道高一尺、魔高一丈”的情况时常发生。

为了应对上述挑战，网络安全防护技术的发展将向可信化、网络化、集成化、可视化方向发展。

（1）可信化。

从传统计算机安全理念过渡到以可信计算理念为核心的计算机安全，并以此为基础来构建网络信任环境。人们开始试图利用可信计算的理念来解决计算机安全问题，其主要思想是在硬件平台上引入安全芯片，从而将部分或整个计算平台变为“可信”的计算平台。很多问题需要研究和探索，如可信计算模块、平台、软件、应用（可信计算机、可信PDA）等。

（2）网络化。

网络类型和应用的不断变化为信息安全带来了新的问题，它们显然会进一步引发安全理论和技术的创新发展。近几年来，无线网络发展很快，从传统的无线网络到现在的传感器网络及IP化的卫星网络，无不影响着网络安全技术的发展。各种应用的网络化，对网络安全提出了越来越高的需求，也在不断促进网络安全技术的发展。已有很多安全机制采用云－端结合的方式来解决安全问题，如云杀毒大幅提高了网络杀毒软件的查杀能力。

（3）集成化。

从推出的信息安全产品和系统来看，它们越来越多地从单一功能向多种功能合一的方向发展。不同安全产品之间也加强了合作与联动，形成合力共同构建安全的网络环境。

（4）可视化。

随着网络流量、网络安全事件、网络应用的快速增长，将海量的网络安全态势信息以易懂的图形化形式呈现出来显得非常必要。可视化不是简单地将数据图形化呈现，不是日志信息的简单分类和归集，而是深度挖掘这些原始素材背后的内在关联，以全局视角帮助网络管理者看清各种威胁，看清攻击事件的全貌，帮助了解攻击者的真正意图和目标，全方位展示网络安全态势。