嘴,lE争蓐EDA Fechnalaey~Forum 唑 内容是分析和报告从安全审计跟踪中得来的信息。 3 网络安全防范关键技术 针对计算机网络系统的安全问题,出现了许 多有效的安全防范技术,包括访问控制技术、加 密技术、安全审计技术、诱捕与反击、智能卡技 术、防火墙、vPN、扫描技术、入侵检测技术 等,各类安全防范技术在系统资源保护中所处的 位置如图3所示l3.61。 诱捕与反击:所谓诱捕,就是通过故意设置 含有某种漏洞且令入侵者感兴趣的系统(这种系 统常被称做“蜜罐”)来耗费入侵者的精力,并 诱使入侵者不断深入系统以获得更进一步的入侵证 据和入侵特征。反击是在系统发现入侵行为采取 的各种主动防御的手段,最基本的手段包括跟踪 查询入侵者的来源和真正身份,切断入侵者与系 统的连接等等。 智能卡是与数据加密技术紧密相关的一种产 品。所谓智能卡就是密钥的一种媒体.一般就像信 用卡一样,由授权用户所持有并由该用户赋予它一 个口令或密码字。该密码与内部网络服务器上注 册的密码一致。当口令与身份特征共同使用时,智 能卡的保密性能是相当有效的。 防火墙是通过在网络边界上建立相应的网络通 图3各种安全防范技术及其配置图 信监控系统,达到保障网络安全的目的。防火墙 型安全保障技术假设被保护网络具有明确定义的边 界和服务,并且网络安全的威胁仅来自外部网 络,进而通过监测、限制、更改跨越“火墙” 访问控制是网络安全防范的核心策略之一。 访问控制是根据网络中主体和客体之间的访问授权 关系.对访问过程做出限制,可分为自主访问控 制和强制访问控制。自主访问控制主要基于主体 及其身份来控制主体的活动,能够实施用户权限 管理、访问属性(读、写、执行)管理等。强 制访问控制则强调对每一主、客体进行密级划 分,并采用敏感标识来标识主、客体的密级。 加密技术包括数据加密和认证技术。数据加 密作为一项基本技术是所有数据通信安全的基石。 数据加密过程是由形形色色的加密算法来具体实施 的,它以很小的代价提供很大的安全保护。 CA(Certificate Authority)认证:CA拥有一 个证书(内含公钥),当然,它也有自己的私 的数据流,通过尽可能地对外部网络屏蔽有关被 保护网络的信息、结构,实现对网络的安全保 护。 VPN(Virtual Private Network)即虚拟专用 网络,是基于Internet/Intranet等公用开放的传输 媒体,通过加密和验证等安全机制建立虚拟的数 据传输通道,以保障在公共网上传输私有数据信 息不被窃取、篡改,从而向用户提供相当于专用 网络的安全服务,是目前广泛应用于电子商务、 电子政务等应用安全保护的安全技术。 扫描器是自动检测远程或本地主机安全性弱点 的程序,是一个强太的工具,可以用来为审计收 集初步的数据。如同一杆霰弹猎枪,它可以快速 而无痛苦地在太范围内发现已知的脆弱点。扫描 器能发现目标主机的内在弱点,这些弱点可能是 破坏目标主机的关键因素。系统管理员使用扫描 器,将有助于加强系统的安全性。黑窖使用它, 对网络的安全将不利。 钥,所以它有签字的能力。网上的公众用户通过 验证CA的签字从而信任CA,任何人都应该可以 得到cA的证书(含公钥),用以验证它所签发 的证书。证书就是用户在网上的电子个人身份 证,同日常生活中使用的个人身份证作用一样。 安全审计:审计是记录用户使用计算机网络 系统进行所有活动的过程,它是提高安全性的重 要工具。安全审计跟踪机制的内容是在安全审计 跟踪中记录有关安全的信息,而安全审计管理的 入侵检测系统又称为IDS ,是基于若干预 警信号来检测针对主机和网络侵入事件的系统。 它从网络系统的若干关键点收集信息,并分析这 Se ̄Jconducf;o[Technology Vo1 27No.】19 = 维普资讯 http://www.cqvip.com
V.DA ̄i 毫jE E础Tecf ̄no;ogy,1:orura专家论坛 人 】给出的CERT/CC所报告的安 事件统 等: 数 清楚的 明了这一点 4.“黑客”行为:自J 客的入侵或侵扰, 比如非法访问、拒绝服务汁算机痫毒、1 法连接 等: 5内部泄南: 6外部泄南: 988 I989 I990 1991 1992 1993 l994 1995 1996 l997 1998 1999 2000 7信息丢失: l CERT/CC安仝事件挝 境!十 8电_r谍报与信息战: 据美旧FBI统计:全球甲均每20秒就发生一 9.软件漏洞与网络 议中的缺陷。 起Internet计算机系统被入侵事件.而且仅美国每 总的水说,训算机网络系统的安 威胁 要 年l叫此f 造成的损失就高达1 00亿美元 2000年 来自 ‘黑客(H a ck e r)的攻击、计剪机病毒 帕2 J J 8~1 0日.黑客旨攻号称“世界卜最 靠 (ViruS)和拒绝服务攻山(Denie S一0f—S e rvice) fIq删站之一”的YahOO成功后 3天之内,一几 _三个方l6『。最近,人ff]丌始蘑视来自I刈络内部的 气攻击J 近1 0家著名¨刈站,使这些网站相继瘫痪 入侵攻击。黑客攻.1 土机终端时代就已绎 了2~3个小刚 市场调查公¨J Yankee Group估 现 随着Inte rnet的发展,玑代黑客则从以系统 计,2 J J初的黑客攻击造成了12亿多美元的损失 为主的攻击转变到以网络为主的攻. 新晌攻击 我【目金融系统发生的讣算机犯罪也有逐年上『卜趋 手法包括:通过问络侦听获取嘲l。用户的傲号和 势 近年来最大起犯罪案件造成的经济损失高 密码、监听密铜分配过程 攻击密钥管理服务 达凡民厅21 00万元。 器,以得到密钥和认证码 从而获得合法资格, 事实上.我们听到的关于通过网络的入侵只 利用UNIX操作系统提供的守护进程fDaemon) 是实际所发牛的事例中非常微小的一部分。相当 的缺省帐户进行攻击,如Telnet Daemon、FTP 多的 络入侵或攻 “并没有被发现 使被发现 Daemon、RPC Daemon等。利用Fingcr等命令 r,田r各种原 ,人们并不愿意公开它 据估 收集信息,提高自己的攻击能力:利用 计.每公开报道一次网络入侵,就仃近500例是 Sendmail.采用Debug、Wizard和Pipe等进行攻 不被公众所知晓的 Y anke e Gr0up的分析家认 击;利用FTP,粟用 名用 访问进行攻击;利 为:在町预见的将来,情况会变得更为严峻。 用NFS进行攻击。通过隐蔽通道进行非法活动、 引起网络安全事件的 素很多.如: 突破防火墙等 日前.已知的黑客攻击下段达数 1自然灾害、意外事故; 百种之多,l 且随着攻击工具的完善,攻 1.者不 2.计算机犯罪; 需要号、lk知识就能螺完成复杂的攻击过程(图 3人为过失.比如使片j不当,安全意识差 2 )、 Intruder Knowledge Attack sophlstication 图2攻击的复杂陲 ,攻一j菩所需的 识 度 l8阜导恤技末笨27每嚣1南 — 孺耵写可—一 维普资讯 http://www.cqvip.com
EDA技市毫拦 Technology 专家论坛 内容足分 和报告从安伞审计跟踪巾得来的信息。 3 网络安全防范关键技术 诱捕与反击:所 诱捕,就是通过故意 殳置 针州计算机『叫络系统的安全问题.出现了许 有某种漏例H 令入侵者感兴趣的系统(这种系 多有效的安仝防范技术,包括访问控制技术 加 统常被称做“蜜碟”)米耗费入侵首的精力,并 密技术 安争市训技术、诱捕与反 『 智能 技 诱使入侵哲不断 入系统以裁得更进一步的入侵证 术、防火墙 VPN、 描技术、入侵检测技术 捌利入侵特祉 反山足 系统发现入侵行为采取 等.符类安争防范技术血系统资源保护中所处的 的各种土动防御的下段,最摹本的于段包括跟踪 他置如 3所示l 查询入侵肯的柬源和真正身份 切断入侵者 系 统的连接等等 智能 是与数据加密技术紧密相笑的一种 品 所 钾能F就是密钥的一种媒体,一般就像信 用 样 由授权用 所持有并由该片j户赋予它 个_u令或密码宁 泼密码与内部网络服务器』 沣 册的密 致 当LI令与身份特征共同便朋时.智 能R的保密H 能是相当何效的 防火墙是通过在网络边界I:建立相应的网络通 3 种安 范技术足其 =置l霉 信监控系统,达到保障刚络安争的L]的。防火墙 型安全保璋技术假设被保护刚络具有明确定义的边 访问控制是}l可络安伞防范的核心策略之 界和服务,并且嘲络安全的威胁仅来自外部网 访问控制是根据 络中主体和客体之问的访问授权 络,进 J通过监删、限制、更改跨越“火墙” 关系,埘访问过程做出限制,可分为自丰访问控 的数揣流.通过尽可能地对外部网络屏蔽有关被 制和强制访问控制。白丰访问控制主要基丁 体 保护阿络的信息、结构,实现对网络的安伞保 及其身份术控制主体的活动,能够实施用户权限 护 管理、访问属性(读、写、执行)管 等。强 VPN(Virtual Private Network)即虚拟专用 制访问控制则强制耐每‘ 、客体进行密级划 嗍络,是 J lnternet/Intranet等公用开放的传输 分.井采用敏感标识来标 丰、客体的密级 媒体,通过加密干¨骑吐等安全机制建立虚拟的数 Dn密技术乜括数据加密和认证技术。数据加 据传输通道,以保障在公共网 :传输私有数据信 密作为 项摹本技术是所有数据通信安全的基石。 息不被窃取、篡改,从m向用户提供相当十专用 数据 密过程是由形形色色的加密算法来具体文施 网络的安全服务,足日前广泛应用J 电子商务、 的,它以}[!小的代价提供很^=的安令保护。 电J 政务等应用安伞保护的安全技术 CA tCertificate Authority)认赶:CA棚有一 扫描器是f]动枪删远程或本地主机安全性弱点 个证 0内含公钥), 然,它也有自己的私 的程序,足 个强大的I-具.可以用求为审 收 钥.所以‘三有签字的能力 网上的公众用户通过 集例步的数据。如同一杆霰弹猎枪,它町 快速 验 CA n々签字从而信fECA,任何人都应该rtJ以 m】无痛 地在人范 内发现已 I]的脆弱点。扫描 得到CA的证1 5【古公钥).用以验证它所签发 器能发现目杯丰机的内在弱点,这些弱点口'能是 的证{5。 书就是用户在 上的电了个人身份 破I4,H标t-机的关键 素。系统管 员使用半1描 证,川H : 生活 {t使 的个人身份证作用‘样 器,将有助 加强系统的安全性 黑客使用 , 安全1 汁:审计是 录垌户使用计算机网络 对l刊络的安仝将小利 系统进仃昕有活动的过程,它是提高安全性的重 入侵检测系统叉称为IDS .是基于若十预 要【: 上。安伞1if训跟踪机制的内容是在安全审计 警信号来榆删针对{机平¨ 络侵入事件的系统 跟踪 ! 求仃关安全的信息,向爱全审引管 的 它从网络系统的若干关键点收集信息.井分析这 Semiconductor Technology Vol 27 No 1 19 维普资讯 http://www.cqvip.com
EDA技市毫拦 7"ec ̄nology forum专家论坛 些 思.硷查是否干j进反安全策略晌行为和遭础 标准建 了 个框架 其任务是提 安争服务 攻山的迹象 IDS被认为是防火墙之后的第二道大 11.它能存小影响M络性能的情况下对刚络进行 与仃天机制的 般 {述,确定在参考模型内部1.'以提 供这 服务 机制的位置 愉龇,从而提供内部攻击、外部攻击和误操作的 实叫保护 我国公安部土持制定、到家技术标准局发靠 的巾 』、民共和围国家标准GB 1 7895—1 999《训 算机信思系统安争供护等级划分准则》已经正 颁布.并十2001 1月1日起实施 该准则将信息 4国内外网络安全标准 喇际上=较 的网络安全标准主要是田嚏美制定 的,土要有: 系统安全分为5个等级.分别是:白{ 『景护数、系统 审汁保护级、安全标记保护级、结构化保护级和 l荚圈TCSEC(枯皮书):该标准是荧围国防 部制定的。它将安全分为4个方面:安 政策、可 说明‘ 、安全保障和文档 在美吲障l防部虹系列 (Rainbow Series)标准中有洋细的描述。该标准将 上4个方面分为7个安全级别,从低到高依次为 D、C 1、C 2、B 1、B 2、B 3和A级。 uj骑址保护级 主要的安全考核指标订身份认 汪、自主 问控制、数据完整性、审计、隐蔽 信道分析、客体重用、强制访问控制、安牟标 记、可信路径和可信陕复等.这 指标涌盖了不问 级别的安全要求 另外还有《信息处理系统开放 系统互联皋本参考模型第2部分安全体系结构》 (GB/T 9 38 7 2 1995)、《信息处理数据加惭实体 鉴别机制第1部分:一般模型》(GB 1 5 8 3 4.1— 1995)、《信息技术设备的安全》(GB 494 3一l 99 5) 等 2随洲ITSEC:与TCSEC不问.它井不把保密 措施 接 计算机功能相联系.『 足只叙述技术安全 的要求 把保密作为安全增强功能 另外.TCSEC 把媒密作为安 的重点.而ITSEC则把完整性、¨J 用 上j保密性作为吲等重要的 柰。ITSEC定义 了从E0数( 满足品质)到E6级(形式化验证)的7个 J奠伞等级,对 每个系统,安全功能可分别定义 ITSEC颂定义了l0种功能,其中前5种 桔皮 巾的cl~B 3级非常相似 3加拿大CTCPEC:浚标准将安全需求分为4 5结束语 网络安全是一个体系概念,包括法律、管 理、技术等各个环节。网络安全的防范措施部肯 定的限度,并小是越安全就越町靠。 一而.在看 个内部网是否安全时不仅要考察其于段,f叮吏晕 个 次: l密。陛、完整性、可靠性和可说明性 4美国联邦准则(F C):该标准参照了 CTCPEC及TCSEC,其目的是提供TCSEC的升级版 本.川时保护已有投资,但FC有很多缺陷,是一个过 渡标准 术结合ITSEC发展为联合公共准则 5联台公共准则(CC):CC的 的是想把已肯 的安令准则结合成 个统一的标准。该计划从 1993年开始执行,l996年推出第一版,但日前仍术付 诸实施.CC结合了FC及ITSEC的丰要特征,它强 调将安 的功能与保障分离.并将功能需求分为9类 63族.将保障分为7类29族 要的 别法网络所采取的各种措施,其中不光是物 理防范.还仃人蚯的素质等其他“戟” 素.进行 综合评估.从而得出足否安全的结论 为此,沈 吕祥院士著文呼吁:全面构筑IlI国的信息 j网络 安争防线已刻小容缓攻关, ,有关方而要以L}|囤研制 “两弹一星”的方法与精神,集中各方优势摹点 尽早摆脱西方霸权主义未来“信息-谩” 的威胁 围麻从国家和民嫉利益出发,从事关 围家安危的战略高度出发,在围家主管 门 织 下,凝聚国内相关学科的优势单位和优秀人才, 从幕础研究着于.在信息与网络安 体系 开展 强力度的研究.为中国的信息与网络安全构筑[| 主的、创新的、整体的理论指导和摹础构件的支 撑,并为信.包与 络安全的lr程奠定 实的萆 础 除r推出新的防范技术外,管理的跟进也必 小可少 “安全是一个体系”理念的精髓就是把 6 ISO安争体系结构标准:在安 体系结构 方【 】 ISO制定r国际标准ISO7498 2 1989《信息 处理系统开放系统互连基率参考模型第2部分安全 体系结构》 该标准为开放系统互连rOSI)椭述丁 基本参考模 .为协调开发现千『的与未来的系统互连 20车旱萍技木筹27喜第}期 维普资讯 http://www.cqvip.com
EDlA菽市专jE "T ̄chno:oD, mm专家论坛 管: 纳^其中 这个系统包括技术供障、安伞应 参考文献 I Kr ̄ul【Computer vulnerability analysi s thesis proposa1. 用l丰u安个运营管理:个部分。 络安仝在技术上必须采 纵深 置、多样 ‘ Technic af Re po rt C5D—TR 97-026.the COAS丁 Laboratory.Department of Computer SciencesPudue .的技l求丁段进行动态防守,并保证在新的技术 2 条什rljJ样柯效 网络安全防范经历了两个阶 段:20世纪90年代中期以前处于被动防守阶段 进入宽 带岛速网阶段后,由于网络应用模 是多 媒体的.足I 动和科向交流的,网络安仝防范也 University April I 997 Jonche ray L A simple active attack against TCP Tech— nical report,MeriI Network lnc Ann ArborMI USA ,Ava L1 ahlefr_)I¨hIt //w w me riI…d, Halme、Bauer K R AINT misbehaving A laxollo rllV of anti‘intru sion technique s In proceeding s of the I g na tional information systems security conference,Baltimore MD.USA October I995 NIST.National Institute of Stan dards and Techn0I。gy,Natl(1TlaI Computer Security Center: PP 1 63~I 72 应地迈八了主动防守阶段,须采用纵深配置、 多样性的技术于段进行动态防 ,入侵检洲、脆 弱性讦估(义称风险评估)、虚拟专用l叫等新技 术破广泛采片j 信息技术每天都在发展变化,互 联网止 l 宽带和无线方向发展,海量 十算、 吲商务、 凶芯片等都在小断出现 如何保证安 个技术在新的技术条件下同样有效.也足网络安 令必须考虑的问题 我们 常重视网络安全问题,fR不能凼网络 安 题而求缚住了自己的于脚.影响了信息技 Denning D E An intrusion detectiOff model IEEE Trans On Software Engineering.I987;I 3(21:222--232 Anderson D.Frivold T.Valde s A Next—generation intru— sion—detection expert system(NIDES):A Summary SRI— CSL一95—07.SRl internationa1.M enlo Park.CA May 1995 术的跛展,小发展才是最大的不安全。l 亭鸹培^侵协删 几十荧键 题帕{卅宄, 安电了科技大学200I 3川 f.沧芷, 接第2 如CPU、高速通道等 这种结构上的改变是存设 计构思上和概念J 替代ASIC,今后ASIC也要用 这种方法进行设训;另一个就是Xilinx公司提…的 动态IU重构技术,这是一种时分复 技水,可咀 约很多资源。另外,在动态可重构基础 的进 化硬f t l i,l罕≠错系统,也是ASIC所无法具备的。 FPGA技术引发的数字设计方法革命将使系统 设训1 冉追求大规模,只有力法学上的成功变革 才能说FPGA真正替代ASIC 问:您认为现在的EDA工具适应FPGA发展 的需要吗? 先行,EDA 12具后来 研发人员足存不断的推Ⅲ 新版本的丁具去适应器件。 我们除r与较大的EDA供虚商,如Cadence、 Mentor等合作开发相关葺戋件之外,更多的是注重 公司自身的开发体系 为较大的EDA供应商绝 大多数都是为ASIC服务的,总不能和我们的产品 完全配合 再就是最了解这些器件内部资游幂l府 用特点的还是fl己 问:展望一下X…rlx公司今后的发展规划。 陆:今后我们将增加在通讯、无线领域的窄 带、宽带产品,以及数字视频技术(DVT)产 品 吲时积极关注消费类数字功能集成,保持我 们在FPGA和CPLD领域的绝对领导地位 希望我们都能为推动FPGA的发艘作出亡J己晌 坍 陆:EDA工具的好坏.在很大程度上影响器 件的推1。和应用。Xilinx公司一直很注重相关软件 和l。具的丌发推}“.在Xilinx公司单而几乎60% 的员r足研发人员 除了普通的综台工具,器件 Semiconductor Technology Vol 27 No 21 tl i
因篇幅问题不能全部显示,请点此查看更多更全内容