綜述:展望安全新技術(shù)
讓我們先來(lái)展望一下未來(lái)的安全手段。這些技術(shù)主要包括由門鎖���、監(jiān)控探頭和具有邏輯分析能力的IT系統(tǒng)整合而成的安全系統(tǒng)��,還有可以穿透皮膚表層進(jìn)行身份識(shí)別的生物識(shí)別技術(shù)��,以及能夠事先推斷出被竊數(shù)據(jù)重要性以防范犯罪行動(dòng)發(fā)生的網(wǎng)絡(luò)系統(tǒng)等�����。幸運(yùn)的是��,大量諸如此類的工作目前正如火如荼地開展起來(lái)�。
這些剛剛萌生的技術(shù)體現(xiàn)出一種共同的趨勢(shì),即主動(dòng)出擊的防御特征����。隨著安全威脅的升級(jí),系統(tǒng)與應(yīng)用程序必須對(duì)面臨的攻擊做出準(zhǔn)確判斷��,取得授權(quán)并及時(shí)自動(dòng)回應(yīng)�����,與此同時(shí)���,還應(yīng)該告知重要的IT和安全負(fù)責(zé)人員���。
自從2001年“9·11”恐怖襲擊發(fā)生以來(lái),安全領(lǐng)域取得的最大進(jìn)步或許是物理技術(shù)與IT安全技術(shù)的結(jié)合����。這種趨勢(shì)在視頻監(jiān)視技術(shù)領(lǐng)域表現(xiàn)得十分顯著�����。
2007年年初���,國(guó)際商業(yè)機(jī)器公司(IBM)將把智能監(jiān)視(Smart Surveillance)中間件作為數(shù)字視頻監(jiān)視服務(wù)(DVS)的一部分置于其中。智能監(jiān)視產(chǎn)品由IBM華生研究中心(T.J. Watson Research Center)開發(fā)��,通過(guò)設(shè)備與邏輯能力的整合�����,使攝像機(jī)���、雷達(dá)�����、化學(xué)感應(yīng)器和音頻監(jiān)視系統(tǒng)等設(shè)備具備了分析能力�����,這樣一來(lái),它們就能對(duì)可疑活動(dòng)進(jìn)行檢測(cè),必要的時(shí)候還能發(fā)出紅色警報(bào)��。有了智能監(jiān)視服務(wù)���,停放在機(jī)場(chǎng)錯(cuò)誤區(qū)域的卡車����、試圖闖入出口廊道的航空旅客����,或者拿走貨架物品正欲通過(guò)收銀臺(tái)的顧客,都會(huì)觸發(fā)系統(tǒng)進(jìn)行記錄�����、產(chǎn)生文本信息或發(fā)出其他安全警報(bào)���。IBM的中間件還有一個(gè)可供搜尋的索引�,能夠?qū)ο嚓P(guān)項(xiàng)目(譬如汽車牌照�����、車身顏色和駕駛員的臉部影像等)進(jìn)行關(guān)聯(lián)����。
從使用磁帶保存模擬信號(hào)到使用硬盤存儲(chǔ)數(shù)字視頻信號(hào)的轉(zhuǎn)變�����,完全改變了視頻監(jiān)視的攝錄與管理市場(chǎng)���,3VR安全公司(3VR Security,下稱3VR)首席執(zhí)行官(CEO)斯蒂芬·拉塞爾(Stephen Russell)表示��。
3VR是一家視頻管理系統(tǒng)制造商�,公司的產(chǎn)品在2005年占據(jù)了38億美元的全球市場(chǎng)份額。比如���,數(shù)字視頻包含一個(gè)時(shí)間戳��,以此為基礎(chǔ)可對(duì)其進(jìn)行搜索�,而這樣的功能模擬視頻是無(wú)法實(shí)現(xiàn)的�����。3VR采納了這種做法并更進(jìn)一步有所創(chuàng)新���,它采取給數(shù)字視頻添加可分析信息(例如生物數(shù)據(jù)或影像)���,使數(shù)字視頻數(shù)據(jù)具備可搜索條件。實(shí)現(xiàn)手段其實(shí)就是給視頻影像貼標(biāo)簽��,這種做法和谷歌公司(Google)給網(wǎng)頁(yè)標(biāo)注的辦法大同小異�。
3VR的智能視頻管理系統(tǒng)(IVMS)的最新版本包含一個(gè)軟件開發(fā)者工具包,憑借這個(gè)工具����,企業(yè)可以把可搜尋的監(jiān)視系統(tǒng)同其他系統(tǒng)(包括接入設(shè)備和網(wǎng)絡(luò)的權(quán)限控制系統(tǒng)��,比如指紋掃描儀或者臉部識(shí)別系統(tǒng))整合起來(lái)���。拉塞爾表示��,3VR的技術(shù)已被整合到多種系統(tǒng)中��,比如用于銀行環(huán)境中的金融交易系統(tǒng)��、樓宇出入管理系統(tǒng)�����、以及數(shù)據(jù)源訪問(wèn)權(quán)限控制系統(tǒng)等�。
影像比對(duì)技術(shù)3年內(nèi)有望研發(fā)成功��。利用這項(xiàng)技術(shù)���,公司的監(jiān)視器可將捕捉到的視頻影像,同已加載到系統(tǒng)中的雇員和既定訪客數(shù)字影像進(jìn)行比對(duì)�。但思科系統(tǒng)公司(Cisco,下稱思科)安全解決方案營(yíng)銷部副總裁杰夫·普拉登(Jeff Platon)表示�����,這項(xiàng)技術(shù)廣泛采用的前提是�����,臉部識(shí)別軟件仍需大大改進(jìn)�����,因?yàn)槟壳安坏?0%的精確度與實(shí)際要求仍然相去甚遠(yuǎn)���。
監(jiān)視系統(tǒng)同IT網(wǎng)絡(luò)進(jìn)行整合意義重大�。從歷史發(fā)展的角度來(lái)看���,安全技術(shù)分為兩大陣營(yíng):信息安全是一方���,而物理隔離墻����、鎖鏈和佩槍的衛(wèi)兵則是另外一方��。由于物理與邏輯這兩個(gè)截然不同的世界無(wú)法有效聯(lián)結(jié)���,兩大陣營(yíng)的融合進(jìn)程屢屢受阻,直到數(shù)字視頻信號(hào)實(shí)現(xiàn)了網(wǎng)絡(luò)化��,兩者才能真正合而為一���。
思科正著手集合網(wǎng)絡(luò)安全和物理安全——先是兼并視頻監(jiān)視軟硬件制造商SyPixx網(wǎng)絡(luò)公司(SyPixx Network��,下稱SyPixx)�,而后又在2006年4月發(fā)布了智能聚合環(huán)境(ICE)系統(tǒng)����。2006年9月,思科又宣稱正與鎖具銷售商亞薩合萊公司(Assa Abloy��,下稱亞薩合萊)合作���,將思科生產(chǎn)的基于IP訪問(wèn)控制系統(tǒng)�����、身份管理系統(tǒng)同亞薩合萊的“智能”標(biāo)記閱讀器��、門鎖組件整合為一�。這種整合可以對(duì)未使用標(biāo)記的入門人員進(jìn)行防范,例如阻止其登錄公司本地網(wǎng)絡(luò)�。
訪問(wèn)管理系統(tǒng)銷售商Imprivata公司也在開發(fā)物理安全與網(wǎng)絡(luò)安全整合技術(shù)。它的一卡式物理/邏輯用具(OneSign Physical/Logical用具)能夠同安全標(biāo)記系統(tǒng)并肩作戰(zhàn)���,預(yù)先對(duì)用戶所處位置進(jìn)行判斷�����,然后再?zèng)Q定是否授予遠(yuǎn)程或本地網(wǎng)絡(luò)登錄權(quán)限����。
正是有了這些整合�����,現(xiàn)在在許多公司里�����,物理安全和IT安全的負(fù)責(zé)人才開始向首席安全官(CSO)進(jìn)行匯報(bào),BroadWare科技公司(下稱 BroadWare)CEO比爾·斯湯茲(Bill Stuntz)這樣認(rèn)為��。BroadWare是基于IP數(shù)字視頻監(jiān)視系統(tǒng)與服務(wù)供應(yīng)商��?!皬哪M視頻到數(shù)字視頻的巨大轉(zhuǎn)變,意味著物理安全正逐漸被納入 IT管理人員的管轄范圍�,他們終將掌控這部分的預(yù)算��?��!彼箿澅硎?�。
安全新技術(shù)(一):穿透皮膚的指紋識(shí)別
設(shè)想一下��,假如生物指紋掃描儀驗(yàn)證身份的手段不局限于指紋�,同時(shí)還能檢查手指的組織結(jié)構(gòu)以及血色素指標(biāo)��,這將是怎樣一種景象?這就是Nanoident科技公司(Nanoident Technologies�,下稱Nanoident)想要看到的。
這家奧地利公司致力于印制在玻璃���、薄塑料片或紙張上的新型半導(dǎo)體的研發(fā)�,而不像過(guò)去那樣,將它寫入芯片之中�。Nanoident將類似光子感應(yīng)器和微流體感應(yīng)器等特色安全設(shè)備植入其搭載系統(tǒng)芯片的半導(dǎo)體之中,這意味著它們能夠被嵌入到手機(jī)或者信用卡大小的設(shè)備上�����,既不占用大量空間��,也不會(huì)消耗很多電量����。
典型的“觸擊型”指紋傳感器尺寸只有15毫米長(zhǎng)、2毫米寬�。它通過(guò)手指在敏感金屬盤上按壓捕捉影像,然后再和指紋數(shù)據(jù)庫(kù)進(jìn)行比對(duì)進(jìn)行驗(yàn)證�。由于它大小適中,得到了PC制造商們的青睞——僅惠普公司(HP)一家�����,每個(gè)月裝運(yùn)的嵌有指紋閱讀器的PC數(shù)量就高達(dá)25萬(wàn)臺(tái)之多����。
Nanoident CEO克勞斯·施羅特(Klaus Schroeter)表示�����,在移動(dòng)電話這個(gè)受尺寸�����、價(jià)格和特色功能驅(qū)動(dòng)的市場(chǎng)上��,這種傳感器頗有潛力���。Nanoident的指紋掃描器小到可以安裝在移動(dòng)電話機(jī)上,而它本身的面積又大到足以采集整枚指紋���。
施羅特認(rèn)為,指紋認(rèn)證技術(shù)若要得到廣泛應(yīng)用�����,首先需要提高它的精確度�����。指紋生物特征識(shí)別精確率已達(dá)到98%,但如果要部署這項(xiàng)技術(shù)并從容實(shí)現(xiàn)商用���,就必須提高到99.9%�����?����!艾F(xiàn)在指紋造假太容易了�����?!彼忉尩?���,只要接觸玻璃留下指紋,就可以進(jìn)行拍照�,然后做成印章,精確率高達(dá)95%���。
施羅特說(shuō)��,Nanoident的技術(shù)精確度更高�。“我們使用紅光和紅外線進(jìn)行探測(cè)����,深入到手指皮膚內(nèi)幾毫米,從而捕捉指紋之下的結(jié)構(gòu)���,”他說(shuō)�,“我們對(duì)皮膚的各種參數(shù)和血液血色素含量進(jìn)行測(cè)量��,據(jù)此就能夠判定它是否真人手指�,從而鑒別出偽造的指紋?�!?
Nanoident聲稱��,要研發(fā)出包括指紋獲取�����、數(shù)據(jù)提取����、同數(shù)據(jù)庫(kù)比對(duì)、以及在半導(dǎo)體自身上保存信息的所有技術(shù)�����。施羅特說(shuō)�,用光感光子傳感器制造打印型半導(dǎo)體極其復(fù)雜,因此公司要真正發(fā)布該項(xiàng)技術(shù)尚有待時(shí)日��,但隨著在制造流程上取得進(jìn)展���,Nanoident已經(jīng)打算近期在奧地利開設(shè)一家印刷工廠�����。
Nanoident的子公司Bioident科技公司(下稱Bioident)將其技術(shù)定位為拋棄型光子實(shí)驗(yàn)室芯片(Lab-on-a-chip)�,該芯片能用來(lái)檢測(cè)和分析空氣��、食物或者水供應(yīng)中的化學(xué)和生物制劑物質(zhì)�。Bioident的微處理器可讓科學(xué)家、研究人員��、以及應(yīng)急人員(First Responder)攜帶設(shè)備到室外檢查污染情況���。潛在的受污染水的樣本被置于包含微流體傳感器的芯片上�����,這樣就能產(chǎn)生化學(xué)反應(yīng)��,從而提供關(guān)于水中所含成分的信息���。這些打印型微處理器造價(jià)較為低廉�,大可隨手拋棄并用新處理器取代����。“設(shè)想一下�,假如我只攜帶一塊芯片就能開展所有診斷工作,還不用帶回實(shí)驗(yàn)室�,(那將是多大的便利!)”Bioident CEO瓦斯克·博哈里(Wasiq Bokhari)說(shuō)。
槲寄生科技公司(Mistletoe Technologies����,下稱槲寄生公司)銷售一種包含有嵌入式虛擬專用網(wǎng)(VPN)、防火墻�����、以及防范拒絕服務(wù)(DoS)攻擊功能的芯片���。它已經(jīng)同網(wǎng)絡(luò)設(shè)備制造商BroadWeb公司���、Viking Interworks公司等達(dá)成了合作關(guān)系,將VPN芯片和防火墻芯片嵌入到它們生產(chǎn)的設(shè)備之中��。
安全新技術(shù)(二):可信賴計(jì)算
可信賴計(jì)算聯(lián)盟(Trusted Computing Group�����,TCG)是一個(gè)非贏利組織�����,由惠普��、IBM����、英特爾公司(Intel)、微軟公司(Microsoft)等IT巨頭于2003年共同組建而成�����,負(fù)責(zé)開發(fā)保障系統(tǒng)和數(shù)據(jù)安全���、防范外部攻擊和物理盜竊的相關(guān)標(biāo)準(zhǔn)���。
目前�����,該組織最引人注目的成果莫過(guò)于可信賴網(wǎng)絡(luò)連接(Trusted Network Connect)標(biāo)準(zhǔn)����,它也是除思科以外�,幾乎所有IT銷售企業(yè)的網(wǎng)絡(luò)訪問(wèn)控制技術(shù)的基礎(chǔ)。而思科更希望網(wǎng)絡(luò)基于自己的技術(shù)運(yùn)行�����。這個(gè)小組所取得的另一項(xiàng)成就則是可信賴平臺(tái)模塊(Trusted Platform Module���,簡(jiǎn)稱TPM)�。這是一個(gè)固定在PC主板上的微控制器�,用來(lái)存儲(chǔ)密鑰、密碼以及分離于硬盤驅(qū)動(dòng)器的數(shù)字證書����。自2003年起�,TPM已經(jīng)被嵌入到超過(guò)4,000萬(wàn)臺(tái)PC上����。
倡議者聲稱���,可信賴計(jì)算技術(shù)是安全技術(shù)的未來(lái)趨勢(shì)��?���!?0年之后����,你根本用不著什么用戶名和密碼,”波浪系統(tǒng)公司(Wave System)CEO��、同時(shí)也是TCG董事會(huì)成員的史蒂文·史布拉格(Steven Sprague)表示�,“用戶可以直接向電腦證實(shí)自己的身份,而電腦將把自己的身份提供給網(wǎng)絡(luò)�。”
史布拉格及其他人預(yù)測(cè)�����,TPM的能力將得到擴(kuò)展,通過(guò)存儲(chǔ)關(guān)于PC授權(quán)用戶的登錄和密碼信息�����,同時(shí)定義運(yùn)行在PC上的應(yīng)用程序的不同類型和版本�����,它將成為“可信賴鏈條”上的第一個(gè)組件����。TPM目錄和PC上發(fā)現(xiàn)的信息之間存在任何不一致都可能阻止PC的引導(dǎo)。關(guān)鍵的應(yīng)用程序和功能���,比如電子郵件�����、網(wǎng)頁(yè)訪問(wèn)����、以及本地?cái)?shù)據(jù)保護(hù)等����,因此將變得更為安全���,惠普副總裁、服務(wù)首席技術(shù)官(CTO)托尼·雷德蒙(Tony Redmond)表示����。
TCG的內(nèi)部工作組正在研究用于外圍和存儲(chǔ)設(shè)備的TPM芯片的制造方法���。它的目標(biāo)是賦予設(shè)備自動(dòng)通過(guò)用戶證書的能力���,這樣一來(lái),用戶就不必在工作日里從早到晚忙著為每一個(gè)程序����、網(wǎng)絡(luò)和網(wǎng)站進(jìn)行授權(quán)了?��;赥CG新型移動(dòng)可信賴模塊(Mobile Trusted Module)標(biāo)準(zhǔn)的設(shè)備今年年中就該面市了�����。
但是�,可信賴計(jì)算技術(shù)不可能速戰(zhàn)速?zèng)Q。它可能需要耗費(fèi)8~10年時(shí)間�,才能完成IT基礎(chǔ)設(shè)施的改造,從而實(shí)現(xiàn)用戶無(wú)論身處何地都能驗(yàn)證身份登錄網(wǎng)絡(luò)的功能���,雷德蒙這樣認(rèn)為��。
另一個(gè)關(guān)鍵因素是��,新的操作系統(tǒng)Windows Vista已經(jīng)認(rèn)可TPM�,并承諾予以支持���。此外�����,還有幾個(gè)小安全技術(shù)組正在Linux系統(tǒng)和其他開源代碼上進(jìn)行努力�����,以此擴(kuò)大TPM的力量���。
安全新技術(shù)(三):vPro解決虛擬安全
虛擬軟件可以將PC或服務(wù)器資源劃分成幾臺(tái)小型的虛擬計(jì)算機(jī),是鞏固硬件和軟件的一種方式�����,但它的安全隱患也是難以回避的。比如���,虛擬機(jī)的管理程序在系統(tǒng)啟動(dòng)之前就要負(fù)擔(dān)起管理任務(wù)��,它要預(yù)先被加載然后才能確保任何被加載軟件不存在任何安全問(wèn)題���,并在軟件“舉止異常”時(shí)發(fā)出警報(bào)��。
去年4月�,英特爾引入vPro的時(shí)候���,它鼓吹該技術(shù)為PC提供了內(nèi)置管理能力���、主動(dòng)安全防御能力,以及高效的性能���。VPro由英特爾的Conroe處理器�、Pro/1000網(wǎng)絡(luò)連接��,以及Q965 Express芯片組組成,此外還具備主動(dòng)管理以及虛擬化能力���。
到2007年年中��,英特爾和賽門鐵克公司(Symantec�,下稱賽門鐵克)將為vPro提供安全保障���,以防范那些被別有用心之人偽裝成關(guān)閉計(jì)算機(jī)的安全防御系統(tǒng)的惡意軟件���,比如反病毒和反間諜應(yīng)用軟件。賽門鐵克的虛擬安全解決方案將使用vPro的硬件輔助虛擬化能力��,來(lái)防止虛擬機(jī)受到惡意軟件的威脅�,保證其他虛擬機(jī)不受影響。
但是���,虛擬機(jī)的系統(tǒng)管理程序卻可能成為惡意軟件的棲身之所��,Cryptography 市場(chǎng)研究公司的總裁保羅·克奇(Paul Kocher)表示�?��!皬墓芾斫嵌榷?�,虛擬化有很大的好處����,但是在解決問(wèn)題的同時(shí)它也帶來(lái)了很多新問(wèn)題,”他說(shuō)��,“你可以將防火墻挪到虛擬層��,但一旦這樣做��,在保護(hù)PC的時(shí)候防火墻是不是更加有效就不得而知了��?���!?
安全新技術(shù)(四):讓計(jì)算機(jī)監(jiān)管計(jì)算機(jī)
到接近2010年時(shí)����,企業(yè)不僅將具備更高的能力監(jiān)控網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù),也更能判定那些表面上無(wú)害的信息片斷(如客戶����、雇員和合作伙伴的信息)是否會(huì)被犯罪者收羅到一起從而得到權(quán)限訪問(wèn)更加敏感信息的權(quán)限,姑且稱其為推斷性數(shù)據(jù)威脅����。
“假設(shè)有那些信息����,你至少需要一些半自動(dòng)的辦法判斷哪些信息可以發(fā)布��,哪些信息不能發(fā)布���,”施樂公司(Xerox)下屬帕洛阿圖研究中心(Palo Alto Research Center�����,下稱PARC)安全與隱私研究小組的區(qū)域經(jīng)理杰西卡·史塔頓(Jessica Staddon)說(shuō)�����。
PARC已經(jīng)建立了隱私監(jiān)督軟件原型����,它具備理解數(shù)據(jù)���、姓名����、地址或其他數(shù)據(jù)片斷含義的能力。以電子文檔的情況為例���,在網(wǎng)絡(luò)上進(jìn)行傳送之前就能及時(shí)清除數(shù)據(jù)或者使之模糊化�����。例如�����,假設(shè)隱私監(jiān)控器認(rèn)定數(shù)據(jù)庫(kù)中只有一人具備所有的屬性——女性��、1969年出生����、居住地的郵編號(hào)碼為94061——那么它就能阻止數(shù)據(jù)的這三個(gè)片斷被一起訪問(wèn)���,除非訪問(wèn)它的人具備特定權(quán)限�。這將有助于保護(hù)數(shù)據(jù)�,防止其被網(wǎng)絡(luò)應(yīng)用程序通過(guò)SQL注入攻擊而被盜用���。
史塔頓及其PARC團(tuán)隊(duì)設(shè)想開發(fā)出一個(gè)網(wǎng)絡(luò)安全應(yīng)用程序���,能在文件中的數(shù)據(jù)可能被用于更大范圍的推斷行為的情況下�����,向終端用戶�,無(wú)論是網(wǎng)絡(luò)日志作者(Blogger)���、人力資源經(jīng)理���,還是首席財(cái)務(wù)官(CFO)發(fā)出警告。另一個(gè)選項(xiàng)則是把這種功能整合到Word����、Excel或者其他任何用來(lái)建立文件或電子郵件的工具中。然而���,這種使用類型的開發(fā)比起對(duì)數(shù)據(jù)庫(kù)被提取的信息進(jìn)行檢測(cè)要困難得多�。因?yàn)槲臋n中包含的數(shù)據(jù)經(jīng)常是無(wú)結(jié)構(gòu)的��,而推斷的數(shù)量卻可能隨著具備訪問(wèn)權(quán)限的用戶數(shù)量的增加而增加�����。
PARC數(shù)據(jù)推斷工作的一部分發(fā)端于它原計(jì)劃開發(fā)的另一項(xiàng)技術(shù),即美國(guó)國(guó)防先進(jìn)技術(shù)研究計(jì)劃署(DARPA)授權(quán)展開的完全信息告知(TIA)項(xiàng)目���。2002年���,DARPA提出了TIA項(xiàng)目,意在通過(guò)檢測(cè)���、分類���、認(rèn)證,以及跟蹤恐怖分子以預(yù)防恐怖襲擊��。它的思路是���,法律的執(zhí)行可以通過(guò)綜合利用生物識(shí)別�����、數(shù)據(jù)庫(kù)��、自然語(yǔ)言處理�����、證據(jù)提取���、以及推論性技術(shù),來(lái)收集恐怖分子發(fā)動(dòng)攻擊之前所進(jìn)行的交易信息���,以此阻止恐怖活動(dòng)�。
由于公眾擔(dān)心數(shù)據(jù)被濫用����,迫使政府在第二年終止了對(duì)TIA項(xiàng)目的資助,而PARC的研究則持續(xù)了下來(lái)�。“我們確實(shí)向DARPA提交了一些代碼���,但是我們?cè)谶@個(gè)項(xiàng)目上并沒有達(dá)到資助項(xiàng)目原有的期待����?����!笔匪D說(shuō)。PARC希望它可以同施樂一起合作�����,將內(nèi)容推斷自動(dòng)化的應(yīng)用程序推廣到市場(chǎng)上��。
PARC和其他很多實(shí)驗(yàn)室大部分工作的目標(biāo)是“為了讓計(jì)算機(jī)做更多的檢查工作�,了解正在發(fā)生的事情,懂得在任何不正常的條件自動(dòng)得到回應(yīng)��,”惠普的雷德蒙說(shuō)�。讓計(jì)算機(jī)去監(jiān)管計(jì)算機(jī)——這種極具潛力的想法現(xiàn)在已經(jīng)出現(xiàn)了。
