未来的发展趋势 （1）网络溯源技术和支持系统，是网络安全可持续发展的必由之路 网络安全技术不断发展的同时，黑客攻击网络的技术也在不断发展，这就形成了一种无止境的对抗，这种对抗的背后是网络溯源技术的缺失。溯源技术指通过技术手段，将内容、网络行为以及应用行为等追溯到该行为发起者。而溯源技术的缺失更多的是由于开放的IP网络缺乏足够溯源能力，导致针对网络违法行为的法规缺乏有效的技术支撑。 导致IP网络缺乏足够的溯源能力的原因主要有两个方面：首先，IP网络在设计之初，并没有预料到会成为社会生活中一个重要的沟通工具。其次，在网络应用规模较小时，采用技术对抗的方式，使用安全技术阻止黑客攻击花费的社会成本更低且更直接。 然而随着网络对社会生活渗透的逐步深入，网络规模越来越大，特别是社会经济行为日益依赖网络，仅仅依靠安全技术应对威胁所承受的代价越来越大。因为安全防护的投入规模和网络扩张规模同步增长，同时更因网络承载的信息资产价值增长而增长。更经济的方式是通过法律的手段将黑客的行为列为违法行为，并通过法律有效执行来打击黑客对网络的各种破坏。与单纯的安全防护技术相比，依靠法律的手段将随着网络规模的不断扩大越显示其社会成本优势。 打击网络违法行为的法规要得到有效执行，离不开对网络的有效监管和网络溯源技术的支撑。对网络进行必要的监管能大大提高网络的安全性，但单纯依靠监管会明显限制用户使用网络的便利性和网络业务的创新，不利于网络经济的发展。同时由于网络很大程度上没有国界，依靠一国管制难以奏效。而对网络溯源技术的深入研究和应用，一方面会对法规有效执行提供技术支撑，另一方面可以尽可能维持用户使用网络的便利性，用户个人隐私和通信自由得到有效保障。 （2）从协议到系统，全面支持差异化的安全业务 差异化安全业务支持系统形成的原因如图1所示。从网络运营的角度来看，不管是运营商还是部署企业网的企业，对网络安全的投入越来越多，除了购买必要的防火墙、入侵检测系统、漏洞扫描等，还需要定期对网络安全进行评估。由于网络攻击技术不断发展，迫使运营商为网络安全投入资金处于不断增长过程中。特别是网络融合的趋势逐步成为现实，IP网络成为下一代网络的承载网。当电信运营商运营全IP化的网络时，为了达到电信级的服务标准，对网络安全的投入更是急剧增加。从运营的角度来看，一个持续投入的领域，必然希望能够获得相应的资本回报，由此才能产生良性发展，即把投入转化成有效投资，因此安全成为一项可运营的业务有其明显的内在需求。图1 差异化安全业务支持系统形成原因 随着社会对网络的依赖，网络上承载的业务日益多样化，面对多样化的业务，信息资产价值差异化程度也日益明显，这对过去的安全解决方案提出了挑战。传统上，安全解决方案往往建立在对网络安全域划分的基础上，同一个安全域采用单一的安全机制。当网络和业务紧密绑定时，这种方案具有合理性，而当业务独立于承载网，业务安全需求日益多样化，依靠单一的安全机制既不能满足业务安全需求多样化，又极大地浪费资源。理想的方案是对不同安全需求的业务，提供不同等级的安全保护，体现安全需求的差异化。 安全成为一种业务的运营需求以及安全需求日益多样化的现实情况，有必要研究差异化的安全业务支持系统，并成为NGN的一个重要的业务。 （3）通用的安全协议将逐步消失，取而代之的是融合安全技术 当网络安全还没有成为网络应用的重要问题时，制定的通信协议基本上不考虑协议和网络的安全性。而当这些协议大规模使用出现诸多安全漏洞和安全威胁后，不得不采取补救措施，即发展安全协议保护通信的安全，因此IPSec、IKE、TLS等通用的安全协议应运而生，并获得广泛的应用，在充分重视安全重要性后，新的协议在设计过程中就充分考虑安全方面的需要，协议的安全性成了新的协议是否被认可的重要指标，因此新的通信协议普遍融入了安全技术，如SIP本身就附带诸多安全机制，IPv6本身附带了必要的安全字段，这种发展趋势将会持续，由此可以预见，传统的通用安全协议应用范围将逐渐缩小，最终消失，取而代之的是所有通信协议都具备相应的安全机制。 除了协议融入安全机制外，网络安全从系统设备的角度看，还存在两个相互对立的发展趋势（如图2所示）。一个发展趋势体现安全设备的独立性。网络安全从安全算法、安全协议逐步扩展出独立的安全设备，如防火墙、入侵检测系统等，在此基础上，进一步形成网络的安全防御体系和安全平台，这部分服务主要由专业安全厂商提供。而另一发展方向则体现安全技术的非独立性。通信设备通过含有安全机制的通信协议，构成通信系统，即通信系统本身包含一系列安全技术，这部分服务主要由通信设备制造商提供。可见，随着安全技术的发展，融合安全的通信协议将是这两个互相对立的发展趋势的桥梁，也是沟通通信设备制造商和专业安全厂商的桥梁，从而形成一个比较清晰的技术链和产业链。图2 安全技术的双向演进

【问题解答】1.计算机网络安全技术的主要应用（参见：清华大学出版社《网络安全实用技术》） 计算机网络安全（简称网络安全）是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。网络啊安全技术的主要应用，包括：　　物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。　　访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。　　数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。　　网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。　　隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料[1]。　　其他技术及措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。2.计算机网络安全技术及其发展趋势