網絡安全新技術展望

　　讓我們先來展望一下未來的安全手段。這些技術主要包括由門鎖、監(jiān)控探頭和具有邏輯分析能力的IT系統(tǒng)整合而成的安全系統(tǒng)，還有可以穿透皮膚表層進行身份識別的生物識別技術，以及能夠事先推斷出被竊數(shù)據(jù)重要性以防范犯罪行動發(fā)生的網絡系統(tǒng)等。幸運的是，大量諸如此類的工作目前正如火如荼地開展起來。

　　這些剛剛萌生的技術體現(xiàn)出一種共同的趨勢，即主動出擊的防御特征。隨著安全威脅的升級，系統(tǒng)與應用程序必須對面臨的攻擊做出準確判斷，取得授權并及時自動回應，與此同時，還應該告知重要的IT和安全負責人員。

　　自從2001年“9?11”恐怖襲擊發(fā)生以來，安全領域取得的最大進步或許是物理技術與IT安全技術的結合。這種趨勢在視頻監(jiān)視技術領域表現(xiàn)得十分顯著。

　　2007年年初，國際商業(yè)機器公司(IBM)將把智能監(jiān)視(Smart Surveillance)中間件作為數(shù)字視頻監(jiān)視服務(DVS)的一部分置于其中。智能監(jiān)視產品由IBM華生研究中心(T.J. Watson Research Center)開發(fā)，通過設備與邏輯能力的整合，使攝像機、雷達、化學感應器和音頻監(jiān)視系統(tǒng)等設備具備了分析能力，這樣一來，它們就能對可疑活動進行檢測，必要的時候還能發(fā)出紅色警報。有了智能監(jiān)視服務，停放在機場錯誤區(qū)域的卡車、試圖闖入出口廊道的航空旅客，或者拿走貨架物品正欲通過收銀臺的顧客，都會觸發(fā)系統(tǒng)進行記錄、產生文本信息或發(fā)出其他安全警報。IBM的中間件還有一個可供搜尋的索引，能夠對相關項目(譬如汽車牌照、車身顏色和駕駛員的臉部影像等)進行關聯(lián)。

　　從使用磁帶保存模擬信號到使用硬盤存儲數(shù)字視頻信號的轉變，完全改變了視頻監(jiān)視的攝錄與管理市場，3VR安全公司(3VR Security，下稱3VR)首席執(zhí)行官(CEO)斯蒂芬?拉塞爾(Stephen Russell)表示。

　　3VR是一家視頻管理系統(tǒng)制造商，公司的產品在2005年占據(jù)了38億美元的全球市場份額。比如，數(shù)字視頻包含一個時間戳，以此為基礎可對其進行搜索，而這樣的功能模擬視頻是無法實現(xiàn)的。3VR采納了這種做法并更進一步有所創(chuàng)新，它采取給數(shù)字視頻添加可分析信息(例如生物數(shù)據(jù)或影像)，使數(shù)字視頻數(shù)據(jù)具備可搜索條件。實現(xiàn)手段其實就是給視頻影像貼標簽，這種做法和谷歌公司(Google)給網頁標注的辦法大同小異。

　　3VR的智能視頻管理系統(tǒng)(IVMS)的最新版本包含一個軟件開發(fā)者工具包，憑借這個工具，企業(yè)可以把可搜尋的監(jiān)視系統(tǒng)同其他系統(tǒng)(包括接入設備和網絡的權限控制系統(tǒng)，比如指紋掃描儀或者臉部識別系統(tǒng))整合起來。拉塞爾表示，3VR的技術已被整合到多種系統(tǒng)中，比如用于銀行環(huán)境中的金融交易系統(tǒng)、樓宇出入管理系統(tǒng)、以及數(shù)據(jù)源訪問權限控制系統(tǒng)等。

　　影像比對技術3年內有望研發(fā)成功。利用這項技術，公司的監(jiān)視器可將捕捉到的視頻影像，同已加載到系統(tǒng)中的雇員和既定訪客數(shù)字影像進行比對。但思科系統(tǒng)公司(Cisco，下稱思科)安全解決方案營銷部副總裁杰夫?普拉登(Jeff Platon)表示，這項技術廣泛采用的前提是，臉部識別軟件仍需大大改進，因為目前不到30%的精確度與實際要求仍然相去甚遠。

　　監(jiān)視系統(tǒng)同IT網絡進行整合意義重大。從歷史發(fā)展的角度來看，安全技術分為兩大陣營：信息安全是一方，而物理隔離墻、鎖鏈和佩槍的衛(wèi)兵則是另外一方。由于物理與邏輯這兩個截然不同的世界無法有效聯(lián)結，兩大陣營的融合進程屢屢受阻，直到數(shù)字視頻信號實現(xiàn)了網絡化，兩者才能真正合而為一。

　　思科正著手集合網絡安全和物理安全??先是兼并視頻監(jiān)視軟硬件制造商SyPixx網絡公司(SyPixx Network，下稱SyPixx)，而后又在2006年4月發(fā)布了智能聚合環(huán)境(ICE)系統(tǒng)。2006年9月，思科又宣稱正與鎖具銷售商亞薩合萊公司(Assa Abloy，下稱亞薩合萊)合作，將思科生產的基于IP訪問控制系統(tǒng)、身份管理系統(tǒng)同亞薩合萊的“智能”標記閱讀器、門鎖組件整合為一。這種整合可以對未使用標記的入門人員進行防范，例如阻止其登錄公司本地網絡。

　　訪問管理系統(tǒng)銷售商Imprivata公司也在開發(fā)物理安全與網絡安全整合技術。它的一卡式物理/邏輯用具(OneSign Physical/Logical用具)能夠同安全標記系統(tǒng)并肩作戰(zhàn)，預先對用戶所處位置進行判斷，然后再決定是否授予遠程或本地網絡登錄權限。

　　正是有了這些整合，現(xiàn)在在許多公司里，物理安全和IT安全的負責人才開始向首席安全官(CSO)進行匯報，BroadWare科技公司(下稱 BroadWare)CEO比爾?斯湯茲(Bill Stuntz)這樣認為。BroadWare是基于IP數(shù)字視頻監(jiān)視系統(tǒng)與服務供應商�！皬哪�擬視頻到數(shù)字視頻的巨大轉變，意味著物理安全正逐漸被納入 IT管理人員的管轄范圍，他們終將掌控這部分的預算�！彼箿�茲表示。

　　安全新技術(一)：穿透皮膚的指紋識別

　　設想一下，假如生物指紋掃描儀驗證身份的手段不局限于指紋，同時還能檢查手指的組織結構以及血色素指標，這將是怎樣一種景象?這就是Nanoident科技公司(Nanoident Technologies，下稱Nanoident)想要看到的。

　　這家奧地利公司致力于印制在玻璃、薄塑料片或紙張上的新型半導體的研發(fā)，而不像過去那樣，將它寫入芯片之中。Nanoident將類似光子感應器和微流體感應器等特色安全設備植入其搭載系統(tǒng)芯片的半導體之中，這意味著它們能夠被嵌入到手機或者信用卡大小的設備上，既不占用大量空間，也不會消耗很多電量。

　　典型的“觸擊型”指紋傳感器尺寸只有15毫米長、2毫米寬。它通過手指在敏感金屬盤上按壓捕捉影像，然后再和指紋數(shù)據(jù)庫進行比對進行驗證。由于它大小適中，得到了PC制造商們的青睞??僅惠普公司(HP)一家，每個月裝運的嵌有指紋閱讀器的PC數(shù)量就高達25萬臺之多。

　　Nanoident CEO克勞斯?施羅特(Klaus Schroeter)表示，在移動電話這個受尺寸、價格和特色功能驅動的市場上，這種傳感器頗有潛力。Nanoident的指紋掃描器小到可以安裝在移動電話機上，而它本身的面積又大到足以采集整枚指紋。

　　施羅特認為，指紋認證技術若要得到廣泛應用，首先需要提高它的精確度。指紋生物特征識別精確率已達到98%，但如果要部署這項技術并從容實現(xiàn)商用，就必須提高到99.9%。“現(xiàn)在指紋造假太容易了�！彼�解釋道，只要接觸玻璃留下指紋，就可以進行拍照，然后做成印章，精確率高達95%。

　　施羅特說，Nanoident的技術精確度更高。“我們使用紅光和紅外線進行探測，深入到手指皮膚內幾毫米，從而捕捉指紋之下的結構，”他說，“我們對皮膚的各種參數(shù)和血液血色素含量進行測量，據(jù)此就能夠判定它是否真人手指，從而鑒別出偽造的指紋。”

　　Nanoident聲稱，要研發(fā)出包括指紋獲取、數(shù)據(jù)提取、同數(shù)據(jù)庫比對、以及在半導體自身上保存信息的所有技術。施羅特說，用光感光子傳感器制造打印型半導體極其復雜，因此公司要真正發(fā)布該項技術尚有待時日，但隨著在制造流程上取得進展，Nanoident已經打算近期在奧地利開設一家印刷工廠。

　　Nanoident的子公司Bioident科技公司(下稱Bioident)將其技術定位為拋棄型光子實驗室芯片(Lab-on-a-chip)，該芯片能用來檢測和分析空氣、食物或者水供應中的化學和生物制劑物質。Bioident的微處理器可讓科學家、研究人員、以及應急人員(First Responder)攜帶設備到室外檢查污染情況。潛在的受污染水的樣本被置于包含微流體傳感器的芯片上，這樣就能產生化學反應，從而提供關于水中所含成分的信息。這些打印型微處理器造價較為低廉，大可隨手拋棄并用新處理器取代�！霸O想一下，假如我只攜帶一塊芯片就能開展所有診斷工作，還不用帶回實驗室，(那將是多大的便利!)”Bioident CEO瓦斯克?博哈里(Wasiq Bokhari)說。

　　槲寄生科技公司(Mistletoe Technologies，下稱槲寄生公司)銷售一種包含有嵌入式虛擬專用網(VPN)、防火墻、以及防范拒絕服務(DoS)攻擊功能的芯片。它已經同網絡設備制造商BroadWeb公司、Viking Interworks公司等達成了合作關系，將VPN芯片和防火墻芯片嵌入到它們生產的設備之中。

　　安全新技術(二)：可信賴計算

　　可信賴計算聯(lián)盟(Trusted Computing Group，TCG)是一個非贏利組織，由惠普、IBM、英特爾公司(Intel)、微軟公司(Microsoft)等IT巨頭于2003年共同組建而成，負責開發(fā)保障系統(tǒng)和數(shù)據(jù)安全、防范外部攻擊和物理盜竊的相關標準。

　　目前，該組織最引人注目的成果莫過于可信賴網絡連接(Trusted Network Connect)標準，它也是除思科以外，幾乎所有IT銷售企業(yè)的網絡訪問控制技術的基礎。而思科更希望網絡基于自己的技術運行。這個小組所取得的另一項成就則是可信賴平臺模塊(Trusted Platform Module，簡稱TPM)。這是一個固定在PC主板上的微控制器，用來存儲密鑰、密碼以及分離于硬盤驅動器的數(shù)字證書。自2003年起，TPM已經被嵌入到超過4,000萬臺PC上。

　　倡議者聲稱，可信賴計算技術是安全技術的未來趨勢�！�10年之后，你根本用不著什么用戶名和密碼，”波浪系統(tǒng)公司(Wave System)CEO、同時也是TCG董事會成員的史蒂文?史布拉格(Steven Sprague)表示，“用戶可以直接向電腦證實自己的身份，而電腦將把自己的身份提供給網絡�！�

　　史布拉格及其他人預測，TPM的能力將得到擴展，通過存儲關于PC授權用戶的登錄和密碼信息，同時定義運行在PC上的應用程序的不同類型和版本，它將成為“可信賴鏈條”上的第一個組件。TPM目錄和PC上發(fā)現(xiàn)的信息之間存在任何不一致都可能阻止PC的引導。關鍵的應用程序和功能，比如電子郵件、網頁訪問、以及本地數(shù)據(jù)保護等，因此將變得更為安全，惠普副總裁、服務首席技術官(CTO)托尼?雷德蒙(Tony Redmond)表示。

　　TCG的內部工作組正在研究用于外圍和存儲設備的TPM芯片的制造方法。它的目標是賦予設備自動通過用戶證書的能力，這樣一來，用戶就不必在工作日里從早到晚忙著為每一個程序、網絡和網站進行授權了。基于TCG新型移動可信賴模塊(Mobile Trusted Module)標準的設備今年年中就該面市了。

　　但是，可信賴計算技術不可能速戰(zhàn)速決。它可能需要耗費8~10年時間，才能完成IT基礎設施的改造，從而實現(xiàn)用戶無論身處何地都能驗證身份登錄網絡的功能，雷德蒙這樣認為。

　　另一個關鍵因素是，新的操作系統(tǒng)Windows Vista已經認可TPM，并承諾予以支持。此外，還有幾個小安全技術組正在Linux系統(tǒng)和其他開源代碼上進行努力，以此擴大TPM的力量。

　　安全新技術(三)：vPro解決虛擬安全

　　虛擬軟件可以將PC或服務器資源劃分成幾臺小型的虛擬計算機，是鞏固硬件和軟件的一種方式，但它的安全隱患也是難以回避的。比如，虛擬機的管理程序在系統(tǒng)啟動之前就要負擔起管理任務，它要預先被加載然后才能確保任何被加載軟件不存在任何安全問題，并在軟件“舉止異�！睍r發(fā)出警報。

　　去年4月，英特爾引入vPro的時候，它鼓吹該技術為PC提供了內置管理能力、主動安全防御能力，以及高效的性能。VPro由英特爾的Conroe處理器、Pro/1000網絡連接，以及Q965 Express芯片組組成，此外還具備主動管理以及虛擬化能力。

　　到2007年年中，英特爾和賽門鐵克公司(Symantec，下稱賽門鐵克)將為vPro提供安全保障，以防范那些被別有用心之人偽裝成關閉計算機的安全防御系統(tǒng)的惡意軟件，比如反病毒和反間諜應用軟件。賽門鐵克的虛擬安全解決方案將使用vPro的硬件輔助虛擬化能力，來防止虛擬機受到惡意軟件的威脅，保證其他虛擬機不受影響。

　　但是，虛擬機的系統(tǒng)管理程序卻可能成為惡意軟件的棲身之所，Cryptography 市場研究公司的總裁保羅?克奇(Paul Kocher)表示�！皬墓芾斫嵌榷�言，虛擬化有很大的好處，但是在解決問題的同時它也帶來了很多新問題，”他說，“你可以將防火墻挪到虛擬層，但一旦這樣做，在保護PC的時候防火墻是不是更加有效就不得而知了�！�

　　安全新技術(四)：讓計算機監(jiān)管計算機

　　到接近2010年時，企業(yè)不僅將具備更高的能力監(jiān)控網絡上發(fā)送的數(shù)據(jù)，也更能判定那些表面上無害的信息片斷(如客戶、雇員和合作伙伴的信息)是否會被犯罪者收羅到一起從而得到權限訪問更加敏感信息的權限，姑且稱其為推斷性數(shù)據(jù)威脅。

　　“假設有那些信息，你至少需要一些半自動的辦法判斷哪些信息可以發(fā)布，哪些信息不能發(fā)布，”施樂公司(Xerox)下屬帕洛阿圖研究中心(Palo Alto Research Center，下稱PARC)安全與隱私研究小組的區(qū)域經理杰西卡?史塔頓(Jessica Staddon)說。

　　PARC已經建立了隱私監(jiān)督軟件原型，它具備理解數(shù)據(jù)、姓名、地址或其他數(shù)據(jù)片斷含義的能力。以電子文檔的情況為例，在網絡上進行傳送之前就能及時清除數(shù)據(jù)或者使之模糊化。例如，假設隱私監(jiān)控器認定數(shù)據(jù)庫中只有一人具備所有的屬性??女性、1969年出生、居住地的郵編號碼為94061??那么它就能阻止數(shù)據(jù)的這三個片斷被一起訪問，除非訪問它的人具備特定權限。這將有助于保護數(shù)據(jù)，防止其被網絡應用程序通過SQL注入攻擊而被盜用。

　　史塔頓及其PARC團隊設想開發(fā)出一個網絡安全應用程序，能在文件中的數(shù)據(jù)可能被用于更大范圍的推斷行為的情況下，向終端用戶，無論是網絡日志作者(Blogger)、人力資源經理，還是首席財務官(CFO)發(fā)出警告。另一個選項則是把這種功能整合到Word、Excel或者其他任何用來建立文件或電子郵件的工具中。然而，這種使用類型的開發(fā)比起對數(shù)據(jù)庫被提取的信息進行檢測要困難得多。因為文檔中包含的數(shù)據(jù)經常是無結構的，而推斷的數(shù)量卻可能隨著具備訪問權限的用戶數(shù)量的增加而增加。

　　PARC數(shù)據(jù)推斷工作的一部分發(fā)端于它原計劃開發(fā)的另一項技術，即美國國防先進技術研究計劃署(DARPA)授權展開的完全信息告知(TIA)項目。2002年，DARPA提出了TIA項目，意在通過檢測、分類、認證，以及跟蹤恐怖分子以預防恐怖襲擊。它的思路是，法律的執(zhí)行可以通過綜合利用生物識別、數(shù)據(jù)庫、自然語言處理、證據(jù)提取、以及推論性技術，來收集恐怖分子發(fā)動攻擊之前所進行的交易信息，以此阻止恐怖活動。

　　由于公眾擔心數(shù)據(jù)被濫用，迫使政府在第二年終止了對TIA項目的資助，而PARC的研究則持續(xù)了下來�！拔覀兇_實向DARPA提交了一些代碼，但是我們在這個項目上并沒有達到資助項目原有的期待。”史塔頓說。PARC希望它可以同施樂一起合作，將內容推斷自動化的應用程序推廣到市場上。

　　PARC和其他很多實驗室大部分工作的目標是“為了讓計算機做更多的檢查工作，了解正在發(fā)生的事情，懂得在任何不正常的條件自動得到回應，”惠普的雷德蒙說。讓計算機去監(jiān)管計算機??這種極具潛力的想法現(xiàn)在已經出現(xiàn)了。