嵌入式系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題的解析

　　4.2 安全防御技術(shù)

　　網(wǎng)絡(luò)安全防御技術(shù)可分為主動(dòng)防御技術(shù)和被動(dòng)防御技木。網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機(jī)制策略。

　　（1）主動(dòng)防御技術(shù)

　　主動(dòng)防御技術(shù)一般有數(shù)據(jù)加密、身份驗(yàn)證、存取控制、授權(quán)和虛擬網(wǎng)絡(luò)等技木。下面介紹二種能在嵌入式系統(tǒng)中實(shí)施的、較新的安全技術(shù)。

　　①虛擬網(wǎng)絡(luò)技術(shù)（Virtual Private Network，VPN）

　　虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡(jiǎn)稱VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM（異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了彩隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

　　②蜜罐技術(shù)（Honeypot）和蜜網(wǎng)技術(shù)（Honeynet）

　　蜜罐是一個(gè)包含漏洞的誘騙系統(tǒng)，它是專門為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人設(shè)計(jì)的。它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者提供一個(gè)容易受攻擊的目標(biāo)。經(jīng)過(guò)多年的研究發(fā)展，蜜罐技術(shù)已經(jīng)發(fā)展成為誘騙攻擊者的一種非常有效而實(shí)用的方法，其應(yīng)用集中在對(duì)外部威脅的識(shí)別。蜜罐技術(shù)與防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒防護(hù)技術(shù)、數(shù)據(jù)加密和認(rèn)證技術(shù)有很大不同，后者是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù)，而蜜罐技術(shù)可以采取主動(dòng)的方式。

　　蜜網(wǎng)（其自由組織網(wǎng)址是http：//www.honeynet.org）可以說(shuō)是更安全、更強(qiáng)大的蜜罐，它由很多網(wǎng)絡(luò)上“蜜罐”的“陷阱”構(gòu)成，它以更合理的方式記錄下黑客的行動(dòng)，同時(shí)盡量減少可能對(duì)其他系統(tǒng)造成的危害。成功的案例表明，蜜網(wǎng)誘使許多黑客白白浪費(fèi)了大量精力。

　　（2）被動(dòng)防御技術(shù)

　　目前，被動(dòng)防御技術(shù)有防火墻技術(shù)、安全掃描器、密碼檢查器、記賬服務(wù)、路由過(guò)濾等。

　　①防火墻（Firewall）技術(shù)

　　防火墻是內(nèi)部網(wǎng)與外網(wǎng)之間實(shí)施安全防范的系統(tǒng)，可被認(rèn)為是一種訪問(wèn)控制機(jī)制，用于確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及哪些外部服務(wù)允許內(nèi)部訪問(wèn)。根據(jù)不同的配置，防火墻可以分為：數(shù)據(jù)包過(guò)濾防火墻、代理服務(wù)型防火墻、監(jiān)測(cè)型防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻。防火墻技術(shù)是目前用得較多的安全技術(shù)。防火墻大多放在網(wǎng)關(guān)上，因此在上網(wǎng)的嵌入式設(shè)備上使用非常方便，效果也較好。

　　②安全檢測(cè)（Security Detection）

　　安全檢測(cè)功能可自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性，用于觀察網(wǎng)絡(luò)是否在正常工作，收集主機(jī)的信息，并提出安全建議。大型操作系統(tǒng)一般都有此功能，當(dāng)然也可在應(yīng)用級(jí)設(shè)計(jì)安全掃描程序。另外當(dāng)系統(tǒng)遭受攻擊時(shí)，系統(tǒng)還可以對(duì)攻擊進(jìn)行檢測(cè)，識(shí)別出網(wǎng)絡(luò)攻擊行為，并讓系統(tǒng)采取相應(yīng)的對(duì)策。安全任務(wù)既可以由嵌入式設(shè)備自身實(shí)施，也可以由上位機(jī)實(shí)現(xiàn)。

　　③服務(wù)登記（Service Log）

　　在系統(tǒng)中保留一個(gè)日志文件，與安全相關(guān)的事件可以記錄在日志文件中備查和分析，用以追查有關(guān)責(zé)任者，發(fā)現(xiàn)系統(tǒng)安全的弱點(diǎn)和可入侵點(diǎn)。嵌入式系統(tǒng)可以將工作日志記錄在其服務(wù)器。顯然這項(xiàng)功能會(huì)加重處理器和數(shù)據(jù)傳輸?shù)呢?fù)擔(dān)，所以記錄的項(xiàng)目不宜太多太細(xì)。

　　④數(shù)據(jù)備份（Data Backup）

　　將系統(tǒng)的重要數(shù)據(jù)和過(guò)程實(shí)時(shí)記錄下來(lái)，以便系統(tǒng)遭受損壞后盡快恢復(fù)。嵌入式系統(tǒng)由于資源受限，往往不可能對(duì)其數(shù)據(jù)進(jìn)行本機(jī)備份，可通過(guò)網(wǎng)絡(luò)進(jìn)行異地備份。

　　綜合以上的安全因素和防御方法可以看出，各種方法各有其特點(diǎn)，使用時(shí)要根據(jù)風(fēng)險(xiǎn)級(jí)別、系統(tǒng)設(shè)計(jì)目標(biāo)和系統(tǒng)造價(jià)進(jìn)行綜合考慮。對(duì)大量使用的、性能一般的嵌入式微處理系統(tǒng)，防火墻和IPSec技術(shù)具有配置靈活、性價(jià)比較高等特點(diǎn)，是容易采用且較為成熟的技術(shù)。

　　5 結(jié)束語(yǔ)

　　由于嵌入系統(tǒng)安全問(wèn)題的復(fù)雜性，決定了必須采用軟件工程方法來(lái)分析。對(duì)系統(tǒng)防御也必須綜合實(shí)施，沒(méi)有一個(gè)萬(wàn)全之策。目前嵌入式方面的安全研究工作國(guó)內(nèi)還做得不多，因此還需要投入大量的研究。