《計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅探析》7500字

計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅分析綜述目錄TOC\o"1-2"\h\u18368計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅分析綜述 18506一、影響網(wǎng)絡(luò)安全的因素 122762（一）技術(shù)因素 113233（二）管理因素 229512（三）人為因素 21133（四）薄弱的認(rèn)證環(huán)節(jié) 225133（五）系統(tǒng)的易被監(jiān)視性 321140（六）易欺騙性 327865一個(gè)更簡(jiǎn)單的方法是等客戶系統(tǒng)關(guān)機(jī)后來(lái)模仿該系統(tǒng)。許多組織中 3588（七）有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī) 424862（八）復(fù)雜的設(shè)置和控制 417243（九）無(wú)法估計(jì)主機(jī)的安全性 519449二、網(wǎng)絡(luò)攻擊類型 525043三、網(wǎng)絡(luò)安全機(jī)制 56164（一）加密機(jī)制 614607（二）訪問(wèn)控制機(jī)制 618776（三）數(shù)據(jù)完整性機(jī)制 617281（四）數(shù)字簽名機(jī)制 61516（五）交換鑒別機(jī)制 622059（六）公證機(jī)制 724664（七）流量填充機(jī)制 719649（八）路由控制機(jī)制 713227四、建立主動(dòng)防御體系 721423（一）主動(dòng)防御，應(yīng)對(duì)下一代安全隱患 810700（二）深度滲透打造綜合防御 810153（三）進(jìn)入全面防御時(shí)代 9一、影響網(wǎng)絡(luò)安全的因素計(jì)算機(jī)網(wǎng)絡(luò)的隱患大多是網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，而在網(wǎng)絡(luò)使用和管理過(guò)程中的不當(dāng)行為可能會(huì)進(jìn)一步加劇安全問(wèn)題的嚴(yán)重性。影響網(wǎng)絡(luò)安全的因素很多，可以概括為三個(gè)方面:技術(shù)因素、管理因素和人為因素。（一）技術(shù)因素從技術(shù)因素來(lái)看，主要包括硬件系統(tǒng)的安全缺陷、軟件系統(tǒng)的安全漏洞和系統(tǒng)安全配置不當(dāng)造成的其他安全漏洞3種情況。1.硬件系統(tǒng)的安全缺陷由于理論或技術(shù)的局限性，必然會(huì)導(dǎo)致計(jì)算機(jī)及其硬件設(shè)備存在這樣或那樣的不足，進(jìn)而在使用時(shí)可能產(chǎn)生各種各樣的安全問(wèn)題。2.軟件系統(tǒng)的安全漏洞在軟件設(shè)計(jì)時(shí)期，人們?yōu)榱四軌蚍奖悴粩喔倪M(jìn)和完善所涉及的系統(tǒng)軟件和應(yīng)用軟件，開(kāi)設(shè)了“后門”以便更新和修改軟件的內(nèi)容，這種后門一旦被攻擊者掌握將成為影響系統(tǒng)安全的漏洞。同時(shí)，在軟件開(kāi)發(fā)過(guò)程中，由于結(jié)構(gòu)設(shè)計(jì)的缺陷或編寫過(guò)程的不規(guī)范也會(huì)導(dǎo)致安全漏洞的產(chǎn)生。3.系統(tǒng)安全配置不當(dāng)造成的其他安全漏洞通常在系統(tǒng)中都有一個(gè)默認(rèn)配置，而默認(rèn)配置的安全性通常較低。此外，在網(wǎng)絡(luò)配置時(shí)出現(xiàn)錯(cuò)誤，存在匿名FTP、Telnet的開(kāi)放、密碼文件缺乏適當(dāng)?shù)陌踩Ｗo(hù)、命令的不合理使用等問(wèn)題都會(huì)導(dǎo)致或多或少的安全漏洞。黑客就有可能利用這些漏洞攻擊網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的安全性。（二）管理因素管理因素主要是指網(wǎng)絡(luò)管理漏洞。一般來(lái)說(shuō)，很多組織在設(shè)計(jì)內(nèi)部網(wǎng)絡(luò)時(shí)，主要關(guān)注外部威脅，對(duì)來(lái)自內(nèi)部的攻擊考慮較少，導(dǎo)致內(nèi)部網(wǎng)絡(luò)審計(jì)跟蹤機(jī)制缺乏，網(wǎng)絡(luò)管理員對(duì)系統(tǒng)日志等信息重視不夠。此外，管理人員素質(zhì)差，管理措施完善程度不夠，用戶的安全意識(shí)薄弱等都會(huì)導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題。（三）人為因素安全問(wèn)題歸根結(jié)底是人的問(wèn)題。上述技術(shù)和管理因素都可以歸結(jié)為人的問(wèn)題。根據(jù)人的行為，網(wǎng)絡(luò)安全問(wèn)題可以分為人的無(wú)心錯(cuò)誤和人的惡意攻擊。1.人為的無(wú)意失誤此類問(wèn)題主要是由系統(tǒng)本身故障、操作失誤或軟件出錯(cuò)導(dǎo)致的。例如管理員安全配置不當(dāng)造成的安全漏洞、網(wǎng)絡(luò)用戶安全意識(shí)不強(qiáng)帶來(lái)的安全威脅等。2.人為的惡意攻擊此類問(wèn)題是指利用系統(tǒng)中的漏洞而進(jìn)行的攻擊行為或直接破壞物理設(shè)備和設(shè)施的攻擊行為。例如病毒可以突破網(wǎng)絡(luò)的安全防御入侵到網(wǎng)絡(luò)主機(jī)上，可能造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等安全問(wèn)題。（四）薄弱的認(rèn)證環(huán)節(jié)網(wǎng)絡(luò)上的認(rèn)證通常是使用口令來(lái)實(shí)現(xiàn)的，但口令有公認(rèn)的薄弱性。網(wǎng)上口令可以通過(guò)許多方法破譯，其中最常用的兩種方法是把加密的口令解密和通過(guò)信道竊取口令。例如，UNIX操作系統(tǒng)通常把加密的口令保存在一個(gè)文件中，而該文件普通用戶即可讀取。該口令文件可以通過(guò)簡(jiǎn)單的拷貝或其他方法得到。一旦口令文件被闖入者得到，他們就可以使用解密程序?qū)诹钸M(jìn)行解密，然后用它來(lái)獲取對(duì)系統(tǒng)的訪問(wèn)權(quán)。由于一些TCP或UDP服務(wù)只能對(duì)主機(jī)地址進(jìn)行認(rèn)證，而不能對(duì)指定的用戶進(jìn)行認(rèn)證，所以，即使一個(gè)服務(wù)器的管理員只信任某一主機(jī)的一個(gè)特定用戶，并希望給該用戶訪問(wèn)權(quán)，也只能給該主機(jī)上所有用戶訪問(wèn)權(quán)。（五）系統(tǒng)的易被監(jiān)視性用戶使用Telnet或FTP連接他在遠(yuǎn)程主機(jī)上的賬戶，在網(wǎng)上傳的口令是沒(méi)有加密的。入侵者可以通過(guò)監(jiān)視攜帶用戶名和口令的IP包獲取它們，然后使用這些用戶名和口令通過(guò)正常渠道登錄到系統(tǒng)。如果被截獲的是管理員的口令，那么獲取特權(quán)級(jí)訪問(wèn)就變得更容易了。成千上萬(wàn)的系統(tǒng)就是被這種方式侵入的。（六）易欺騙性TCP或UDP服務(wù)相信主機(jī)的地址。如果使用“IPSourceRouting”，那么攻擊者的主機(jī)就可以冒充一個(gè)被信任的主機(jī)或客戶。使用“IPSourceRouting”，采用如下操作可把攻擊者的系統(tǒng)假扮成某一特定服務(wù)器的可信任的客戶：第一，攻擊者要使用那個(gè)被信任的客戶的IP地址取代自己的地址。第二，攻擊者構(gòu)造一條要攻擊的服務(wù)器和其主機(jī)間的直接路徑，把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點(diǎn)。第三，攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請(qǐng)。第四，服務(wù)器接受客戶申請(qǐng)，就好像是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應(yīng)。第五，可信任客戶使用這條路徑將包向前傳送給攻擊者的主機(jī)。許多UNIX主機(jī)接收到這種包后將繼續(xù)把它們向指定的地方傳送。許多路由器也是這樣，但有些路由器可以配置以阻塞這種包。一個(gè)更簡(jiǎn)單的方法是等客戶系統(tǒng)關(guān)機(jī)后來(lái)模仿該系統(tǒng)。許多組織中UNIX主機(jī)作為局域網(wǎng)服務(wù)器使用，職員用個(gè)人計(jì)算機(jī)和TCP/IP網(wǎng)絡(luò)軟件來(lái)連接和使用它們。個(gè)人計(jì)算機(jī)一般使用NFS來(lái)對(duì)服務(wù)器的目錄和文件進(jìn)行訪問(wèn)（NFS僅僅使用IP地址來(lái)驗(yàn)證客戶）。一個(gè)攻擊者幾小時(shí)就可以設(shè)置好一臺(tái)與別人使用相同名字和IP地址的個(gè)人計(jì)算機(jī)，然后與UNIX主機(jī)建立連接，就好像它是“真的”客戶。這是非常容易實(shí)行的攻擊手段，但應(yīng)該是內(nèi)部人員所為。網(wǎng)絡(luò)的電子郵件是最容易被欺騙的，當(dāng)UNIX主機(jī)發(fā)生電子郵件交換時(shí)，交換過(guò)程是通過(guò)一些有ASCII字符命令組成的協(xié)議進(jìn)行的。闖入者可以用Telnet直接連到系統(tǒng)的SMTP端口上，手工鍵入這些命令。接收的主機(jī)相信發(fā)送的主機(jī)，那么有關(guān)郵件的來(lái)源就可以輕易地被欺騙，只需輸入一個(gè)與真實(shí)地址不同的發(fā)送地址就可以做到這一點(diǎn)。這導(dǎo)致了任何沒(méi)有特權(quán)的用戶都可以偽造或欺騙電子郵件。（七）有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī)主機(jī)的安全管理既困難又費(fèi)時(shí)。為了降低管理要求并增強(qiáng)局域網(wǎng)，一些站點(diǎn)使用了諸如NIS和NFS之類的服務(wù)。這些服務(wù)通過(guò)允許一些數(shù)據(jù)庫(kù)（如VI令文件）以分布式方式管理以及允許系統(tǒng)共享文件和數(shù)據(jù)，在很大程度上減輕了過(guò)多的管理工作量。但這些服務(wù)帶來(lái)了不安全因素，可以被有經(jīng)驗(yàn)闖入者利用以獲得訪問(wèn)權(quán)。如果一個(gè)中央服務(wù)器遭受到損失，那么其他信任該系統(tǒng)的系統(tǒng)會(huì)更容易遭受損害。一些系統(tǒng)（如rlogin）處于方便用戶并加強(qiáng)系統(tǒng)和設(shè)備共享的目的，允許主機(jī)們相互“信任”。如果一個(gè)系統(tǒng)被侵入或欺騙，那么對(duì)于闖入者來(lái)說(shuō)，獲取那些信任其他系統(tǒng)的訪問(wèn)權(quán)就很簡(jiǎn)單了。如一個(gè)在多個(gè)系統(tǒng)上擁有賬戶的用戶，可以將這些賬戶設(shè)置成相互信任的。這樣就不需要在連入每個(gè)系統(tǒng)時(shí)都輸入口令。當(dāng)用戶使用rlogin命令連接主機(jī)時(shí)，目標(biāo)系統(tǒng)將不再詢問(wèn)口令或賬戶，而且將接受這個(gè)連接。這樣做的好處是用戶口令和賬戶不需在網(wǎng)絡(luò)上傳輸，所以不會(huì)被監(jiān)視和竊聽(tīng)，弊端在于一旦用戶的賬戶被侵入，那么闖入者就可以輕易地使用rlogin命令侵入其他賬戶。（八）復(fù)雜的設(shè)置和控制主機(jī)系統(tǒng)的訪問(wèn)控制配置復(fù)雜且難于驗(yàn)證。因此偶然的配置錯(cuò)誤可能會(huì)使闖入者獲取訪問(wèn)權(quán)。一些主要的UNIX經(jīng)銷商仍然把UNIX配置成具有最大訪問(wèn)權(quán)的系統(tǒng)，這將導(dǎo)致未經(jīng)許可的訪問(wèn)。許多網(wǎng)上的安全事故是由于入侵者發(fā)現(xiàn)了弱點(diǎn)造成：由于目前大部分的UNIX系統(tǒng)都是從BSD獲得網(wǎng)絡(luò)的部分代碼，而B(niǎo)SD的源代碼又可以輕易獲得，所以闖入者可以通過(guò)研究其中可利用的缺陷來(lái)侵入系統(tǒng)。存在缺陷的部分原因是因?yàn)檐浖膹?fù)雜性，而沒(méi)有能力在各種環(huán)境中進(jìn)行測(cè)試。有時(shí)候缺陷很容易被發(fā)現(xiàn)和修改，而另一些時(shí)候除了重寫軟件外幾乎不能做什么（如Sendmail）。（九）無(wú)法估計(jì)主機(jī)的安全性主機(jī)系統(tǒng)的安全性無(wú)法很好地評(píng)估:隨著站點(diǎn)中主機(jī)數(shù)量的增加，確保每臺(tái)主機(jī)處于高安全級(jí)別的能力下降。管理如此多的系統(tǒng)而只管理一個(gè)系統(tǒng)是很容易出錯(cuò)的。另一個(gè)因素是系統(tǒng)管理的角色經(jīng)常變化，并且行動(dòng)緩慢。這導(dǎo)致某些系統(tǒng)的安全性不如其他系統(tǒng)。這些系統(tǒng)將成為最終破壞安全鏈的薄弱環(huán)節(jié)。二、網(wǎng)絡(luò)攻擊類型計(jì)算機(jī)網(wǎng)絡(luò)的主要功能是傳輸信息，信息傳輸主要面臨的威脅包括如下四類：①截獲：攻擊者從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容。②中斷：攻擊者有意中斷他人在網(wǎng)絡(luò)上的通信。③篡改：攻擊者故意篡改在網(wǎng)絡(luò)上傳輸?shù)膱?bào)文。④偽造：攻擊者偽造信息在網(wǎng)絡(luò)上傳輸。當(dāng)前網(wǎng)絡(luò)安全的威脅主要體現(xiàn)在以下幾個(gè)方面：①網(wǎng)絡(luò)協(xié)議中的缺陷：例如TCP/IP協(xié)議的安全問(wèn)題等。②竊取信息：例如通過(guò)物理搭線、監(jiān)視信息流、接收輻射信號(hào)、會(huì)話劫持、冒名頂替等形式竊取通信信息。③非法訪問(wèn)：通過(guò)偽裝、IP欺騙、重放、破譯密碼等方法濫用或篡改網(wǎng)絡(luò)信息。④惡意攻擊：通過(guò)拒絕服務(wù)攻擊、垃圾郵件、邏輯炸彈、木馬工具等中斷網(wǎng)絡(luò)服務(wù)或破壞網(wǎng)絡(luò)資源。⑤黑客行為：由于黑客的入侵或破壞，造成非法訪問(wèn)、拒絕服務(wù)、計(jì)算機(jī)病毒、網(wǎng)絡(luò)釣魚(yú)等。⑥計(jì)算機(jī)病毒：例如利用病毒破壞計(jì)算機(jī)功能或破壞數(shù)據(jù)，影響計(jì)算機(jī)使用或破壞網(wǎng)絡(luò)。⑦電子間諜活動(dòng)：例如信息流量分析、信息竊取等。⑧信息戰(zhàn)：通過(guò)利用、破壞敵方和保護(hù)己方的信息系統(tǒng)而展開(kāi)的一系列作戰(zhàn)活動(dòng)。⑨人為行為：例如使用不當(dāng)、安全意識(shí)差等。根據(jù)攻擊者對(duì)網(wǎng)絡(luò)中信息是否進(jìn)行更改，網(wǎng)絡(luò)攻擊可分為被動(dòng)攻擊和主動(dòng)攻擊：①被動(dòng)攻擊：攻擊者非法截獲、竊取通信線路中的信息，使信息保密性遭到破壞，信息泄露卻無(wú)法察覺(jué)，從而給用戶帶來(lái)巨大的損失。②主動(dòng)攻擊：攻擊者通過(guò)網(wǎng)絡(luò)線路將虛假信息或計(jì)算機(jī)病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實(shí)性、完整性及系統(tǒng)服務(wù)的可用性，即通過(guò)中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無(wú)法正常運(yùn)行。三、網(wǎng)絡(luò)安全機(jī)制在網(wǎng)絡(luò)上采用哪些機(jī)制才能維護(hù)網(wǎng)絡(luò)的安全呢？（一）加密機(jī)制主機(jī)系統(tǒng)的安全性沒(méi)有得到很好的評(píng)估:隨著站點(diǎn)中主機(jī)數(shù)量的增加，確保每臺(tái)主機(jī)處于高安全級(jí)別的能力下降。管理這么多系統(tǒng)而只管理一個(gè)系統(tǒng)很容易出錯(cuò)。另一個(gè)因素是，系統(tǒng)管理的角色變化頻繁且移動(dòng)緩慢。這導(dǎo)致某些系統(tǒng)的安全性不如其他系統(tǒng)。這些系統(tǒng)將是最終破壞安全鏈的薄弱環(huán)節(jié)。（二）訪問(wèn)控制機(jī)制訪問(wèn)控制可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源，該服務(wù)不僅可以提供給單個(gè)用戶，還可以提供給同一用戶組的所有用戶。訪問(wèn)控制是一種通過(guò)查看信息來(lái)限制或禁止訪問(wèn)者使用資源的技術(shù)，分為高級(jí)訪問(wèn)控制和低級(jí)訪問(wèn)控制。高級(jí)訪問(wèn)控制包括身份檢查和權(quán)限確認(rèn)，通過(guò)檢查和比較用戶密碼、用戶權(quán)限和資源屬性來(lái)實(shí)現(xiàn)。低級(jí)訪問(wèn)控制是通過(guò)識(shí)別和判斷通信協(xié)議中的某些特征信息來(lái)禁止或允許用戶訪問(wèn)的一種措施。如在路由器上設(shè)置過(guò)濾規(guī)則進(jìn)行包過(guò)濾屬于低級(jí)訪問(wèn)控制。（三）數(shù)據(jù)完整性機(jī)制數(shù)據(jù)完整性包括數(shù)據(jù)單元的完整性和數(shù)據(jù)序列的完整性兩個(gè)方面。數(shù)據(jù)單元的完整性是指組成一個(gè)單元的一段數(shù)據(jù)不被破壞和增刪篡改。通常是把包括有數(shù)字簽名的文件用hash函數(shù)產(chǎn)生一個(gè)標(biāo)記，接收者在收到文件后也用相同的hash函數(shù)處理一遍，看看產(chǎn)生的標(biāo)記是否相同就可知道數(shù)據(jù)是否完整。數(shù)據(jù)序列的完整性是指發(fā)出的數(shù)據(jù)分割為按序列號(hào)編排的許多單元，在接收時(shí)還能按原來(lái)的序列把數(shù)據(jù)串聯(lián)起來(lái)，而不會(huì)發(fā)生數(shù)據(jù)單元的丟失、重復(fù)、亂序、假冒等情況。（四）數(shù)字簽名機(jī)制數(shù)字簽名機(jī)制主要解決以下安全問(wèn)題：①否認(rèn)：事后發(fā)送者不承認(rèn)文件是他發(fā)送的。②偽造：有人自己偽造了一份文件，卻聲稱是某人發(fā)送的。③冒充：冒充別人的身份在網(wǎng)上發(fā)送文件。④篡改：接收者私自篡改文件的內(nèi)容。數(shù)字簽名機(jī)制具有可證實(shí)性、不可否認(rèn)性、不可偽造性和不可重用性。（五）交換鑒別機(jī)制交換鑒別機(jī)制是通過(guò)互相交換信息的方式來(lái)確定彼此的身份。用于交換鑒別的技術(shù)有：1.口令由發(fā)送方給出自己的口令，以證明自己的身份，接收方則根據(jù)口令來(lái)判斷對(duì)方的身份。2.密碼技術(shù)發(fā)送方和接收方各有一對(duì)密鑰。當(dāng)接收到加密的消息時(shí)，接收方使用自己的密鑰對(duì)其解密，并能夠確定消息的發(fā)送方是擁有另一個(gè)密鑰的人。在許多情況下，密碼學(xué)還與時(shí)間標(biāo)記、同步時(shí)鐘、兩個(gè)或多個(gè)握手協(xié)議、數(shù)字簽名和第三方公證相結(jié)合，以提供更完整的身份驗(yàn)證。3.特征實(shí)物例如IC卡、指紋、聲音頻譜等。（六）公證機(jī)制在互聯(lián)網(wǎng)上有這么多人，很難相信誰(shuí)和誰(shuí)不相信。同時(shí)，一些網(wǎng)絡(luò)故障和缺陷也可能導(dǎo)致信息丟失或延遲。為了避免事后的混淆，可以找一個(gè)大家都信任的公證機(jī)構(gòu)，當(dāng)事人之間交換的信息會(huì)通過(guò)該公證機(jī)構(gòu)進(jìn)行轉(zhuǎn)移。公證機(jī)構(gòu)從傳遞信息中提取必要的證據(jù)，在將來(lái)發(fā)生糾紛時(shí)，可以進(jìn)行仲裁。（七）流量填充機(jī)制流量填充機(jī)制提供對(duì)流量分析的保護(hù)。外部攻擊者有時(shí)能夠根據(jù)數(shù)據(jù)交換的外觀、消失、數(shù)量或頻率提取有用的信息。交換的數(shù)據(jù)量的突然變化也可以揭示有用的信息。例如，當(dāng)一家公司開(kāi)始出售其在股票市場(chǎng)的份額時(shí)，該公司和銀行之間可能會(huì)在宣布之前進(jìn)行大量溝通。因此，有興趣購(gòu)買股票的人可以密切關(guān)注公司和銀行之間的數(shù)據(jù)流，看看他們是否可以購(gòu)買。流量填充機(jī)制使流量幾乎保持恒定，因此觀察者無(wú)法獲得任何信息。流量填充是通過(guò)隨機(jī)生成數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行加密，然后通過(guò)網(wǎng)絡(luò)發(fā)送來(lái)實(shí)現(xiàn)的。（八）路由控制機(jī)制路由控制機(jī)制允許您指定通過(guò)網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的路徑。通過(guò)這種方式，您可以選擇那些受信任的網(wǎng)絡(luò)節(jié)點(diǎn)，以確保您的數(shù)據(jù)不會(huì)受到安全攻擊。此外，如果數(shù)據(jù)進(jìn)入沒(méi)有正確安全標(biāo)志的私有網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員可以選擇拒絕數(shù)據(jù)包。四、建立主動(dòng)防御體系（一）主動(dòng)防御，應(yīng)對(duì)下一代安全隱患進(jìn)入21世紀(jì)以來(lái)，隨著各種企業(yè)業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依賴性日益增加，基于網(wǎng)絡(luò)平臺(tái)的DoS攻擊由蠕蟲(chóng)、病毒木馬程序相結(jié)合的混合攻擊以及廣泛出現(xiàn)的系統(tǒng)漏洞攻擊、黑客攻擊和Turbo蠕蟲(chóng)等安全威脅也日益泛濫，且傳播速度也加快到以分鐘計(jì)，原有的以人工防御為主的安全措施則逐步淘汰，取而代之的是以硬件防護(hù)產(chǎn)品為主的自動(dòng)響應(yīng)防護(hù)工具。然而雖然自動(dòng)響應(yīng)的安全防護(hù)措施能夠基本滿足當(dāng)前的網(wǎng)絡(luò)安全需求，但不難看到在近年來(lái)日趨頻繁的針對(duì)基礎(chǔ)設(shè)施漏洞的破壞性攻擊、由大規(guī)模蠕蟲(chóng)和DoS攻擊導(dǎo)致的瞬間網(wǎng)絡(luò)威脅以及破壞有效負(fù)載的病毒和蠕蟲(chóng)，將成為下一代網(wǎng)絡(luò)威脅的主體。安全威脅的傳播速度也將提升到以秒計(jì)，對(duì)當(dāng)前安全設(shè)備的自動(dòng)響應(yīng)能力將提出全新的挑戰(zhàn)，正是在這樣的趨勢(shì)引導(dǎo)下為應(yīng)對(duì)即將到來(lái)的下一代網(wǎng)絡(luò)安全隱患，有必要提前進(jìn)行部署，將業(yè)務(wù)網(wǎng)絡(luò)的安全防護(hù)由現(xiàn)在的自動(dòng)響應(yīng)升級(jí)為主動(dòng)防御和阻擋，只有如此網(wǎng)絡(luò)安全防護(hù)才能在未來(lái)與安全威脅的時(shí)間賽跑中占據(jù)領(lǐng)先的地位。（二）深度滲透打造綜合防御目前企業(yè)所面臨的安全問(wèn)題越來(lái)越復(fù)雜，安全威脅正在飛速增長(zhǎng)，尤其混合威脅的風(fēng)險(xiǎn)極大地困擾著用戶，給企業(yè)的網(wǎng)絡(luò)造成嚴(yán)重的破壞。那么如何才能實(shí)現(xiàn)企業(yè)業(yè)務(wù)網(wǎng)絡(luò)的最有效防護(hù)呢？顯然，首先需要打破傳統(tǒng)的希望安全防護(hù)產(chǎn)品“一夫當(dāng)關(guān)、萬(wàn)夫莫開(kāi)”的理想化期待，未來(lái)的網(wǎng)絡(luò)安全防護(hù)必然是深度融合在各個(gè)業(yè)務(wù)網(wǎng)絡(luò)模塊內(nèi)協(xié)同工作的綜合防御體系。一些業(yè)內(nèi)專家指出經(jīng)過(guò)數(shù)年的技術(shù)發(fā)展，基于專業(yè)ASIC芯片和NP技術(shù)的硬件防火墻雖然防護(hù)能力和過(guò)濾性能均有了大幅度的提升，但僅僅依靠防火墻來(lái)實(shí)現(xiàn)全網(wǎng)安全是不可行的。目前造成網(wǎng)絡(luò)威脅的誘因有很多不能夠?yàn)榉阑饓λR(shí)別。一方面，隨著企業(yè)內(nèi)部網(wǎng)絡(luò)越來(lái)越龐大和復(fù)雜，越來(lái)越多的網(wǎng)絡(luò)威脅可能來(lái)自企業(yè)內(nèi)部，包括病毒的傳播、非法流量甚至于惡意破壞都可能是在“門”里面進(jìn)行的。那么“門”的隔離效果顯然不能實(shí)現(xiàn)，而這些威脅足以讓企業(yè)的網(wǎng)絡(luò)面臨癱瘓。另一方面，防火墻基本都是針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的L3-L4層的安全防護(hù)，而現(xiàn)在越來(lái)越多的威脅均來(lái)自應(yīng)用層，即網(wǎng)絡(luò)結(jié)構(gòu)的L7層，相當(dāng)于更多的安全威脅都會(huì)“調(diào)整體形”，然后以“門”所能接受的規(guī)格和尺寸順利進(jìn)入企業(yè)網(wǎng)絡(luò)。由此可見(jiàn)防火墻固然必不可少，但是卻遠(yuǎn)遠(yuǎn)不夠。據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì)，如果單獨(dú)依靠防火墻僅能夠抵御約20%左右的安全威脅。因此，需要對(duì)安全威脅進(jìn)行更深層次的防護(hù)才能夠確保安全。目前業(yè)內(nèi)比較常見(jiàn)的包括IDS（入侵檢測(cè)系統(tǒng)）和IPS（入侵防護(hù)系統(tǒng)）兩種都是針對(duì)應(yīng)用層威脅所采取的安全措施。IDS相當(dāng)于在室內(nèi)安裝了可以監(jiān)視所有人員、物品的“攝像頭”，一旦有安全隱患在室內(nèi)發(fā)生，攝像頭就會(huì)第一時(shí)間進(jìn)行系統(tǒng)報(bào)警讓管理人員進(jìn)行及時(shí)處理。然而網(wǎng)絡(luò)威脅的傳播速度正在以分秒為單位快速蔓延，IDS盡管能夠在第一時(shí)間發(fā)現(xiàn)問(wèn)題卻無(wú)法直接處理這個(gè)時(shí)間差，往往造成企業(yè)的大量損失。IPS的出現(xiàn)則恰恰彌補(bǔ)了IDS的不足，它就像一道“紗窗”安裝在防火墻開(kāi)辟的“窗口”上，有效地對(duì)出入企業(yè)的數(shù)據(jù)進(jìn)行深層次的檢測(cè)，并把非法流量和安全隱患在第一時(shí)間“拒之門外”。然而，面對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)應(yīng)用環(huán)境，要真正實(shí)現(xiàn)端到端的網(wǎng)絡(luò)安全，只有將安全防護(hù)全面滲透進(jìn)網(wǎng)絡(luò)應(yīng)用的各個(gè)環(huán)節(jié)，使之成為一張安全的網(wǎng)絡(luò)，才能在未來(lái)安全與威脅的博弈中占得先機(jī)。不難看出主動(dòng)防御和深度滲透的綜合安全防護(hù)網(wǎng)絡(luò)的時(shí)代正在迎面走來(lái)。（三）進(jìn)入全面防御時(shí)代當(dāng)前安全危機(jī)和形式的復(fù)雜性超過(guò)過(guò)去,用戶的安全威脅是全方位的,傳統(tǒng)上依賴于簡(jiǎn)單的產(chǎn)品可以確保安全的時(shí)代已經(jīng)過(guò)去了,面對(duì)復(fù)雜的垃圾郵件,網(wǎng)絡(luò)釣魚(yú)和惡意欺詐、有效的回應(yīng)將是全面的防守,從網(wǎng)絡(luò)和應(yīng)用的各個(gè)層面，保證安全可控。為了在