我国的网络安全现状及安全产品分析

2000-06-28 00:00作者：-出处：西池责任编辑：

绲陌踩枨蠓掷?:

　　①数据保密, 防止非授权用户截获并使用该数据;
　　②数据完整性, 用户使用一种方案来确认网络上的数据在传输过程中没有被篡改;
　　③身份验证, 用户需要对网络上的另一个用户进行验证, 证实他就是他所声称的那个人;
　　④授权, 用户需要控制谁能够访问网络上的信息并且能够进行何种操作;
　　⑤不可抵赖和不可否认, 用户不能抵赖自己曾做出的行为, 也不能否认曾经接到对方的信息, 这在交易系统中十分重要。
　　另外, 保护硬件资源不被非法占有; 软件资源免受病毒的侵害, 都构成了整个信息网络上的安全需要。

中国的信息安全现状：
　　回顾中国的网络安全产品, 我们的结论是: 自主开发产品少, 硬软件技术受制于人, 这使我们的网络管理呈现出一种十分“虚弱”的健康状态。主
要表现在: 计算机网络的发展水平, 安全技术和管理手段不配套; 计算机从产品到技术严重依赖外国, 我们虽然在操作系统的研制、国产数据库的开发
上作过一些有益的工作, 但是“杯水车薪”, 难以形成体系。因此, 在网络安全产品方面, 中国同国外的差距至少有5-10年, 这一方面源于我国总体上
应用技术开发落后; 另一方面我国的网络在工商业中应用的范围和水平都还比较低, 因而善良地希望黑客不光顾也是难以办到的, 中国的古训早有: 害
人之心不可有, 防人之心不可无”。

　　其实人类社会在创造产品的同时也创造了产品的需求。我们将在下文中对网络安全产品, 包括防火墙、密钥等进行逐一的分析, 同时初步估计安全
市场的规模和对象。最后我们对某些具体的网络安全产品进行一番评价并归纳出不同用户针对网络安全的解决方案。

表1. 网络安全产品的目标市场细分

安全手段

用户
防毒产品
防火墙
密码产品
存取控制身份鉴别
安全综合解决方案

个人用户
*
　*
　
企业用户
*
*
*
*
　
国家用户
*
*
*
*
*

安全产品对象及风险分析

1.安全产品的服务对象
　　从表1可以看出, 目前网络安全产品的用户主要可以分成三个层次:　个人用户层、企业用户层和国家用户层. 其中后两者是网络安全产品的主要消费对象。因此, 我们将集中讨论这方面的需求和产品。其次网络安全产品也分为不同的? , 目前主要有防火墙和密钥产品, 其它还有防毒产品 (有的称病毒防火墙) 、存取控制及身份鉴别和安全综合解决方案，后两者的主要用户是国家级用户。

　　由于个人信息量有限, 涉及商业机密和国家安全机密的信息少, 因此, 个人用户受到“黑客”攻击的可能性较小, 其安全需求主要局限于防止网络病毒和“邮件炸弹”。

　　企业级用户的网络安全产品市场是目前最大的安全产品市场。据统计, 仅以使用防火墙计, 目前联入Internet网的计算机就有1/3 处于防火墙的保护之下,　即有2000万台左右; 普及率较高的美国, 防火墙的市场销量以年均70%的速度增长, 1995年销售额已达到1亿美元、发货10万套, 预计2000年将达到150 万套。另外,密码保护也是一个十分有效的途径，使用加密算法和协议来作身份认证和数据加密。保密算法中最著名的是DES(Data Encryption Standard),被MIT首先使用于Athena工程。采用DES的一个著名的网络安全系统是Kerberos, 它是网络通信中身份认证的事实标准; 公钥加密算法中使用最广的是RSA, 它于1978年推出, 比较知名的应是SSL, 在美国加拿大地区SSL是128位RSA算法, 由于出口的限制, 其它地区通用的则是40位版本。

　　对于国家级用户, 对网络安全产品的需求除了企业级产品外, 还需出口控制产品和安全制度。如对不良信息的封锁, 包括色情内容和政治敏感内容。解决方法是利用专门的过滤软件或使用Proxy 产品。

　　同时网络安全不只意味着好的加密算法, 安全系统总是在最薄弱的环节遭到攻击, 所以一定要设计坚实的体系结构, 所有用户要坚持系统安全体系, 安全体系同系统体系结构要相辅相成, 且成反比。在某种程度上可以说安全问题不仅仅是一个技术问题, 还同用户的安全意识密切相关。

2.风险分析

　　一个计算机系统采取怎样的保护措施取决于该系统面临什么样的威胁, 以及安全投入的开销和被保护对象的价值, 也即性能价格比。安全保护不能因安全问题造成的经济损失而一味投入, 以免“因噎废食”之为。具体的办法是：

　　①评估一次成功袭击的可能性;
　　②一次侵袭的成本;
　　③防止一次侵袭的费用。

表2列出了探测源的类型比率, 我们可以看出, 以.edn和.com 为入口的比率远远大于其它类型的探测源, 说明网络危险分子通常采用的上网攻击手段是以教育科研机构和商业机构的名义, 一方面这类地址众多; 另一方面安全措施也比较简单。我们可以据此估计一次袭击的概率, 并列出相应的成本和费用的比较表。

　　值得说明的是网络安全的目的是保护信息交换而非限制它或使其复杂化。系统管理也是网络安全的关键点, 这在开发安全系统时常常被忽视, 典型的系统管理功能包括网络配置、密钥分配、设备检查、数据库维护和生成审计报告。具有相同安全机制和不同的系统管理功能，往往在性能上表现出较大的差异。我国在网络工程中网络安全的投入费用据估计不到2%, 同国外10%的比率有大的差距。

介绍几种网络安全技术

1. 防火墙技术(Fire Wall)

　　作为近年来新兴的保护计算机网络安全技术性措施, 防火墙是一种隔离控制技术, 在某个机构的网络和不安全的网络之间设置障碍, 阻止对信息资源的非法访问, 也可以使用防火墙阻止专利信息从公司的网络上被非法输出。换言之: 防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯Internet和公用网络的目的。

　　防火墙是一种被动防卫技术, 由于它假设了网络的边界和服务, 因此对内部的非法访问难以有效地控制, 因此, 防火墙最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络. 例如常见的企业专用网。

　　实现防火墙的主要技术有: 数据包过滤, 应用网关和代理服务等。

　　1.包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑, 检查数据流中每个数据包后, 根据数据包的源地址、目的地址、所用的TCP端口与TCP链路状态等因素来确定是否允许数据包通过。包过滤技术作为防火墙的应用有三类: 一是路由设备在完成路由选择的数据转发之外, 同时进行包过滤, 这是目前较常用的方式; 二是在工作站上使用软件进行包过滤, 但是价格较贵; 三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。近来有些厂商如3Com开始通过软件实现对非法数据包的登录和报告, 但是启动这种功能对路由器的性能影响较大。

　　2.应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤. 它针对特别的网络应用服务协议即数据过滤协议, 并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制, 以防有价值的程序和数据被窃取. 在实际工作中, 应用网关一般由专用工作站系统来完成。

　　3.代理服务(Proxy Server)是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过, 一旦判断条件满足, 防火墙内部网络的结构和运行状态便“暴露”在外来用户面前, 这就引入了代理服务的概念, 即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现, 这就成功地实现了防火墙内外计算机系统的隔离。同时, 代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。

　结合上述几种防火墙技术的优点, 可以产生通用、高效和安全的防火墙。如将应用网关技术和包过滤技术结合起来, 将保证应用层安全性、统一支持处理所有协议、审计和预警等, 其运转对于用户和建立系统都是透明的, 并且包括了面向所有的图形用户接口, 便于配置和管理。Sunsoft的Firewall-I 便是这方面典型的例子。

防火墙技术的优缺点比较：

　包过滤技术应用网关代理服务
优点效率高，对应用和
协议是透明和综合
的安全系数高屏蔽被保护的网络内
部结构及功能多
缺点不太安全，维护，
运行成本高专用的用户程序和用
户接口，费用高为每个网络专门开发
和设计，具有相当的
工作量

2. 加密

　　　俗话说: “道高一尺, 魔高一丈”, 防火墙技术是一种被动的防卫技术, 因此难以对Internet上潮水般的访问防卫。防是防不住的, 加密作为一种主动的防卫手段, 其优势就显示出来了, 因此要保障网络信息的安全, 就应当用现代密码学来助阵。在网络应用中一般采取两种加密形式: 秘密秘钥和公开密钥, 采用何处加密算法则要结合具体应用环境和系统, 而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外, 密钥合理分配、加密效率与现有系统的结合性, 以及投入产出分析都应在实际环境中具体考虑。

　　　　对于秘密密钥, 又叫私钥加密和对称密钥加密。其常见加密标准为DES等, 当使用DES时, 用户和接受方采用64位密钥对报文加密和解密, 当对安全性有特殊要求时,　则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术, 秘密密钥效率高, 它采用KDC来集中管理和分发密钥并以此为基础验证身份, 但是并不适合Internet环境。

　　　　在Internet中使用更多的是公钥系统。即公开密钥加密, 它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后, 将其中一个作为公钥公开, 另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA 算法, 加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名, 做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名, 然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后, 接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名, 然后，用发布方公布的公钥对数字签名进行解密, 如果成功, 则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高, 而且并不要求通信双方事先要建立某种信任关系或共享某种秘密, 因此十分适合Internet网上使用。

　　制订有关的安全技术标准也是十分紧迫的任务, 目前有ISO TC97制订的ISO7498-2网络安全体系结构确立了五种基本安全服务和八种安全机制, 另外, 还有网络管理SNMP规范、S-HTTP和SSL等。对于我国的密码学研究现状, 我们应该本着独立自主的方针, 在大胆借鉴外国先进经验的基础上, 自己设计我国自己的加密算法, 并且保持同世界通用标准的同步以保持国家的整体信息安全。

网络安全产品的市场选购和法规约束

　　　　目前网络安全产品市场上, 最常见的产品便是防火墙产品, 仅在美国1995年发货量便在10万套, 年均增长率为173%, 而防火墙的价格却在不断下跌, 将由1995年的平均单价1.6万美元降至2000年的650美元, 但由于市场销量剧增, 因此其销售额仍然会有大幅度的增长。
　　防火墙产品有竞争力的厂商有Checkpoint、DEC、IBM、NSC、TIS、BNT等, 但最著名的厂商要数Checkpoint、Software Technologies、Trusted
Infomation Sytem Corporation和Border Network Technologies Corporation。
排名第一的Checkpoint其防火墙产品Firewall-I至今还是防火墙领域的主流产品, 其产品特点是: 采用Statequl inspection 的革新体系结构, 此技术包括应用及过滤、安全性好等特点, 不仅是公共防护系统, 而且可以作为专用防护系统，图形化界面易于使用, 运用命令化规划来定义全球安全策略,
在最大限度上减少了防火墙对系统资源的负冲击。除了Firewall-I以外, TIS公司的应用型网关防火墙Gauntlet, Border网络技术公司(BNT)的Border Wall 也具有极强的竞争力。

　　目前国内防火墙产品最著名的厂商要数天融信技贸有限责任公司。
　　除了防火墙产品以外, 综合的网络安全解决方案也日益受到企业级和国家级用户的控制。如微软的Internet安全网络框架就应用于最新的Explore浏览器和Windows NT中, 它将公钥密码技术和口令安全技术有效地结合起来加以应用, 在商业环境中有很强的竞争力。另外Netscape的SSL, Cradient的Web Crndader,Nortel的Entrust/Web CA的Enterprise Web Server都提供了综合的网络安全保护方案。

　　　　目前, 国内自主开发网络安全产品刚刚起步，产品品种较少，但是根据中国的有关法律，涉及密码的产品只能使用国家密码管理委员会批准的密码产品。属于计算机信息系统安全专用产品的销售和使用，将遵照公安部于一九九七年十二月发布的《计算机信息系统安全专用产品检测和销售许可证管理办法》执行。《管理办法》明确规定中华人民共和国境内的安全专用产品进入市场销售，实行销售许可证制度。这将使信息安全产品的销售和使用更加规范化，法制化，以确保国家的安全。

综合结论

　　网络安全产品的市场可以分为个人用户、企业用户和国家用户, 后两者是发展最快的市场;

　　网络安全产品的选择应该纳入整体安全措施的投入产出分析中, 不但要重视技术, 还应注意纪律;

　　网络安全产品的两个关键技术是安全综合解决方案和加密技术。

　　网络安全产品市场主要厂商还是外国公司如, Checkpoint、TIS、BNT等, 我国的整体网络安全水平还很低, 预计在今后的五年内将有大幅度增长
(50%以上)。