四、安全设备和系统

信息安全问题目前已经成为了计算机领域的一个新兴学科，关于计算机和网络安全的许多问题目前是计算技术领域的研究热点。在广大的信息安全领域的研究人员的努力下，信息保障的水平已经得到了很大的提高。

防病毒软件是最早的信息安全系统，发展技术也最成熟。防火墙和攻击检测系统也是非常有力的安全保障工具。

（一）防病毒软件

防病毒软件也称为杀毒软件。和其他软件不同，在防病毒软件领域，国内生产商有着一席之地。

当前最著名的杀毒软件有金山毒霸、瑞星、江民等系列。除此以外，国外的卡巴斯基杀毒软件在国内也有广大的用户。

由于技术的逐渐成熟，杀毒软件市场的产品趋向于同质化。

对于防毒系统而言，最大的缺陷是永远落后于病毒的发展。同样是矛和盾的关系，进攻一方永远是主动的，防守一方受到很多的局限，很难去主动寻求攻击方法。

许多研究人员正力图在数学上得到突破，发现一种对病毒进行识别的智能算法。

杀毒软件的核心是病毒特征库。目前对病毒特征的收集，是相关软件产品公司的主要工作，所谓杀毒的过程事实上是病毒特征的比较过程。

如图6-3所示，是杀毒软件的典型工作原理。

匹配的过程实际上是一个字符串或者特征码的查询过程。由于不同病毒的感染机制不同，所以并不能保证所有的病毒代码都能够从感染文件中被彻底地清除。对于不能清除的文件可以采用删除或者隔离方法。

图6-3　防病毒程序工作原理

注意，虽然染毒，但是有些文件是支持操作系统运行的，所以不能随便删除，只有用新安装的文件替代。

所谓的隔离就是采取措施，禁止文件继续执行，这是一种比较保守的方法，可以在隔离后运行系统，查看其对整个系统的影响，再采取进一步的措施。

杀毒软件目前都会提供实时防毒的功能，也就是对你所接收到或者开始运行的程序随时进行检查，以避免染毒后再发现，导致不能处理。这项功能效果非常明显，但是对系统性能有比较大的影响。

所有的杀毒软件公司都提供了病毒特征库和杀毒引擎（软件的核心代码）的网络更新功能，及时进行网络更新是保持软件对新的病毒有效的最佳方法。

（二）防火墙

防火墙英文是Firewall。防火墙可以是硬件，也可以是软件产品。

防火墙的主要作用是在两个网络之间尤其是局域网和互联网

之间实施接入控制策略，如图6-4所示。通过防火墙，把网络分成了两个部分：可信赖网络和不可信赖网络。防火墙内的网络称为可信赖网络，防火墙外的网络称为不可信赖网络。

图6-4　防火墙的作用

防火墙是一台网络设备，或者是软件系统，其应该具备的基本功能主要有：

（1）对进出网络的数据进行过滤；

（2）管理网络访问的行为；

（3）对通过防火墙的网络访问进行记录和存储；

（4）能够检测来自外部网络的攻击并进行报警；

（5）有些防火墙具有IP地址转换功能。

按照防火墙实现数据过滤的特征，可以划分为三类：

（1）网络级防火墙

通过对数据包地址进行检查来决定是阻止还是允许数据包进入系统。通过数据包可以进行决策的信息包括数据源地址、目的地址、通信协议（TCP，UDP，ICMP）、使用服务的源和目的端口、是否是第一个包等等。

（2）应用级防火墙

应用级防火墙通常利用软件形式实现，这种软件有时也称为具有防火墙功能的代理服务器。应用级防火墙的优势是可以在网络的应用层对内容进行处理，能够实现更高端的功能。

（3）数据链路层防火墙

链路层防火墙在网络的底层，针对数据帧进行过滤。虽然在应用层会有许多不同的应用协议，但是到了网络底层都会转换为数据帧进行传输。所以，我们可以看到，越到底层，能够支持的协议就会越多。

（三）IDS

防火墙系统对于保障内部网络的安全是非常有力的工具，但是仍然存在一些不足：

网络入侵者可以利用内部的后门，越过防火墙；

入侵者如果在防火墙内部，防火墙将无能为力；

防火墙不能实现网络更高级的分析能力，识别复杂的攻击行为。

入侵检测系统IDS（Intrution Detecting System）在一定程度上是对防火墙的补充。防火墙的主要功能是对数据流进行过滤，但是如果不依赖于应用级防火墙，是不可能实现更高层的处理任务的。

入侵检测系统为了抵抗网络攻击，实现网络的审计、监视、攻击识别和响应功能，扩展了系统管理员的网络管理能力。

一个标准的IDS应该具有下面的功能：

（1）对用户行为的监视；

（2）系统弱点的探测；

（3）已知进攻模式的识别；

（4）网络异常行为模式的发现；

（5）系统完整性的评估。

基本的入侵检测系统包括信息收集、入侵分析、模式提取、执行和模式库五个部分，如图6-5所示。

图6-5　IDS组成

IDS的实现主要依赖于对系统信息的采集，包括主机系统、用户活动、网络状态等信息，这些信息可以利用分布式的信息采集部分实现，也可以利用网络设备或者主机系统实现。

模式提取部分的主要功能是实现对网络信息的分析，提取出网络攻击的模式。这种攻击可能是新型的攻击，也可能是已发现的。这里存在一个难题，即如何利用数学的方法实现对新的攻击模式的识别。这个问题目前属于人工智能的范畴。

IDS的信息来源主要有：

（1）日志文件；

（2）文件或者目录的变动；

（3）程序行为；

（4）系统状态；

（5）网络状态。

入侵分析也叫做异常分析，常用的方法有模式匹配、统计分析、完整性分析等方法。采用模式匹配的方法，系统会依赖于一个攻击模式库，入侵分析的过程就是实现模式匹配的过程。在入侵分析方法的研究中，在人工智能领域有许多探讨，如人工免疫、进化计算、DNA计算、神经网络等，目的是希望找到有效的方法，实现对攻击模式的自动识别。

模式提取的过程主要是维护模式库，利用模式识别的方法，把已知的攻击特征进行存储，而不是每次都进行识别的过程，对提高IDS的效率是非常有帮助的。