什么是网络安全技术？(欢迎讨论)

工程应用绝大多数的精力都用在产品实现上，但是这不等于产品的核心技术就是实现技术，每个专业产品都有自己的核心功能，非标准化的核心功能必然会带来核心技术。

什么是网络安全技术

在这个行业终于工作了1.5年，尽管对它的关注要稍稍长一些，不过也就短短2.5年而已。在这短短的2.5年中，IT业带给我们太多关于原创的神话，龙芯、和欣。一个个带着民族梦想的伟业给我们很大的激励，在激动的狂潮之后，很多人开始认为技术真的很重要，原创真的很重要。于是便有了IPv9网络通信协议的诞生，便有了WAPI的尴尬。于是我们不禁想要问到，什么是技术。

任何失去商业价值的东西都没有意义，它的生命周期总是非常短暂，对于这样铁的真理，技术也同样不例外。如何开拓市场，如何在现有市场萎缩、或者利润不济时开辟第二战场，如何向消费者不断灌输新的理念，是一个产业持续发展的基础。世界著名的体育经理人麦考梅克曾说过，“要在市场开始萎缩时就开辟第二战场才能保证你永久的市场份额”。这是一句非常中肯的话，他还说过另一句非常中肯的话，“引领行业发展的企业开辟市场，中等企业理解市场，小型企业寻找市场。”从生态学上讲，大型动物为了生存总是需要丰富的事物来源，同时随着生物的进化，大型动物的数量渐渐减少，直到最后只剩下那些食物来源丰富的物种。大熊猫就是一个很好的例子。研究表明，大熊猫曾经面临一次严重的食物危机，但是由于它及时更换自己的口味，终于活了下来，成为世界上为数不多的恐龙时代的幸存者。因此能够不断产生新的市场，能够不断为产业开辟第二战场，能够不断引导消费者进入良性消费的技术才是真正的技术，才是真正有用的技术，除此之外的所有技术最多只是一种技能、技艺。

那么网络安全的核心技术又在哪里呢，是硬件吗，是软件吗？都不是！硬件和软件不过是实现技术罢了。代码是没有意义的，除去人的思想代码不过就是一堆东西而已，他能带来效益吗，它能带来利润吗？如果没有人的思想，代码只不过是一堆连看都看不见的东西罢了。

网络安全技术不是软件技术，他有着自己的规律和模式，当然我们无法否认稳定、效率对于软件技术的依赖，但这仅仅是一个重要原因，而不是根本原因。因为网络安全产品首先需要是网络产品，如果它连基本的网络通信要求都无法满足的话，那又要它防护什么呢。从技术上讲，网络安全在今天已经非常明显的分成了两个分支，一个是传输安全，也就是电信、ISP等需要考虑的问题；一个是纵深安全，也就是网络应用的安全性。Checkpoint曾说我们要保证在10年以内在网络安全领域处于领先地位，这话听起来除了豪迈，也带有颇多悲壮，因为Checkpoint无法进入到传输安全的领域，剩下给他的也就只有纵深安全了。如果它连这块自留地都守不住，那么剩下的也就只有恐龙般的悲壮历史了。同时从另一个角度看，Checkpoint坚信在10年内传输安全领域无法彻底击败纵深防御领域，实际上这也是不可能的事情，因为这不符合网络的AS原则。

我们来看具体的网络安全技术问题，，Cisco是在传统ACL的基础上通过引如状态检测，提出了CABC的概念来完成防护，而NetScreen则是在资源统一管理的概念上构建了自己的策略系统，但是无论他们如何包装自己的产品，其实现方面可谓都同出一辙。然后它却在整体网
络安全的概念支持下建立了自己体系和结构，这样既有利于在今后提出新的概念刺激市场，也有利于今后继续保持自己的市场地位。对于消费者来说，企业给他们的只是概念而不是实现或者说功能的堆叠，当你的概念已经开始萎缩时，你就会发现对消费者似乎没有什么强心剂可以让他们兴奋了。其实这只是因为提出的概念进入萎缩期的缘故，而这也正是事物发展的必然。

在说的具体一些，NetScreen提出的虚拟系统，从实现上没有任何的技术可言，路由器、交换机等通信设备其核心就是路由表或者是MAC表，如果我们能在一个平台中放置多个豪不相干的路由表、MAC表就是一个具有多系统功能的防火墙，而这从某种意义上讲这就是策略路由的变种。但是NetScreen它就能当作概念来吵，但不幸的是消费者只知道概念，不知道实现。

这才能称得上是真正的网络安全技术，它能在需要时避开同竞争对手的正面冲突，采用转移战场的方式拖住对手。它能在市场萎缩时提出新的概念去刺激市场，去刺激消费者的兴奋心理。刘伯承元帅曾说狭路相逢勇者胜，正面冲突是需要勇猛的，并且其结果通常都是那么的惨烈。

什么是网络安全技术壁垒
我们都很清楚，技术壁垒就是指一个产业的核心技术，它对这个产业巨有举足轻重的作用。对于通信设备来说，需要的是稳定、效率、用户使用满意度，通信产品在核心功能上不需要个性，也不可能有个性，所以大家最后就开始拼实现技术，所以就听说华为在软件硬化、芯片设计上具有深厚的功底。我一直认为网络安全与网络设备的技术壁垒是不一样的，网络安全产品不是标准化产品，它没有互通、互联的需求，它是一个半封闭系统而不是一个完全开放的系统。所以在它的核心技术中便可以产生个性，状态检测，纵深防御，这些概念性的东西可以扩展出很多的个性，因为没有人告诉你状态检测必须这么，不然就无法与别的路由器、交换机互通，完全没有这方面的因素来左右我们的思想。所以在网络安全技术中，其实现技术仅仅是其技术中的一个部分，并且不是核心技术，因为它并不决定产品的核心功能。

密码学是网络安全技术的理论基础。
密码学的理论基础来源于计算量理论和信息理论。

可能不太完全，但就我目前的理解应该是这样。

呵呵，斑竹就是高人。应该说密码学是整个信息安全的理论基础。

不过小弟说网络安全的工程技术问题，至于这种高深的东西，确实看不懂啊，最多就是知道密码的算法，但是至于其它就不行了！ :( :(

呵呵，斑竹就是高人。应该说密码学是整个信息安全的理论基础。

不过小弟说网络安全的工程技术问题，至于这种高深的东西，确实看不懂啊，最多就是知道密码的算法，至于其它什么为什么就彻底闹不懂了！ :( :(

呵呵，几位都是老大级人物哈！

我想即然是网络安全技术，那这个范围应该就比较广了，加/解密只是其一部分，像网络攻击技术、系统加固技术、防火墙技术、入侵检测以及防病毒等等，很多，也就是涉及计算机（现在应该还包括手机等）网络和系统安全的技术，都应该算是网络安全技术。

liwashington兄言之有理，在下实在不敢称什么，只是一时的书生意气写下了这篇文章。总之，我还是认为技术与科学的差别在于，技术是为了企业今天和明天的生存，科学是为了企业在未来生存得更好。

密码学应该属于科学的部分，对于大多数网络安全技术的从业人员来说，密码学确实太过高深，很难搞得很清楚。孙钰院士在2004电信安全论坛上将密码学归为信息安全我觉得是有道理的，从通信的角度看，没有加密和未加密的数据之分，因为通信只管流量而不管信息。

当前国内的网络安全市场形势似乎不那么让人乐观，价格战已经打响。在这种激烈的撕杀中，我觉得最好的技术就是能提出亮点的技术，能让企业度过这个高危时刻的技术。

的确，感觉工程跟科学还是有点不同的
网络安全应该属于工程范畴
不过需要科学做指导
感觉来说呢，做的是具体的东西
而密码学呢研究的就好象是对于我们来说比较虚的东西
当然也可以应用于现实
不知道这样理解对不

[编辑 -  4/2/05 by  dlk0222]

[编辑 -  4/2/05 by  dlk0222]

我比较同意liwashington的说法，网络安全技术的范畴应该很广，并不只是实现技术，包括其对网络安全理论研究(密码学、安全策略模型、攻击行为学等），工程研究（神经网络应用于入侵检测、数据挖掘应用于入侵检测、工程标准等等）和实现技术（具体的算法之类的）。而产品是这三个方面的表现实物。现在网络安全产品，差不多都一样，类snort的产品比较多，也有一些专家系统，这些产品都是用一些比较成熟、代价比较低、易实现的技术。产商在宣传时唱高调，实现是换汤不换药。现在新的技术有但不成熟、代价比较高、风险比较大，公司一般不会介入开发这样的产品。