信息安全四大新技术探秘

概述:新安全技术的前景

让我们展望一下未来的安全措施。这些技术主要包括门锁、监控探头和具有逻辑分析能力的IT系统集成的安全系统，以及可以穿透皮肤表面进行识别的生物识别技术，以及可以提前推断被盗数据的重要性以防止犯罪行为的网络系统。幸运的是，许多这样的工作正在全面展开。

这些新出现的技术呈现出一个共同的趋势，那就是主动进攻的防御特征。随着安全威胁的升级，系统和应用必须对所面临的攻击做出准确判断，获得授权并及时自动响应。同时，应该通知重要的IT和安全人员。

自2001年“9·11”恐怖袭击以来，安全领域取得的进步可能是物理技术和IT安全技术的结合。这种趋势在视频监控技术领域非常明显。

2007年初，国际商业机器公司(IBM)将把智能监控中间件作为数字视频监控服务(DVS)的一部分。智能监控产品由IBM的T.J .沃森研究中心开发。通过整合设备和逻辑能力，摄像机、雷达、化学传感器和音频监视系统都具备了分析能力。通过这种方式，他们可以发现可疑的活动，并在必要时发出红色警报。通过智能监控服务，停在机场错误区域的卡车、试图闯入出口走廊的航空公司空乘客，或者拿着货架上的商品正要经过收银台的顾客，都会触发系统记录、生成短信或发出其他安全警报。IBM的中间件也有一个可搜索的索引，它可以关联相关的项目(如汽车牌照、汽车颜色和司机的面部图像等。).

3VR Security的首席执行官斯蒂芬·斯蒂芬·拉塞尔说，从使用磁带到使用硬盘存储模拟信号的变化完全改变了视频监控的记录和管理市场。

VR是一家视频管理系统制造商，其产品在2005年占全球市场份额的38亿美元。比如数字视频包含一个时间戳，可以基于它进行搜索，而模拟视频无法实现这样的功能。VR采用了这种方式，并进行了进一步的创新。它将可分析的信息(如生物数据或图像)添加到数字视频中，以使数字视频数据可搜索。实现的方式是给视频图像贴标签，类似于谷歌给网页贴标签的方式。

最新版本的VR智能视频管理系统(IVMS)包括一个软件开发工具包。借助该工具，企业可以将可搜索监控系统与其他系统(包括访问设备和网络访问控制系统，如指纹扫描仪或人脸识别系统)集成在一起。Russell表示，3VR技术已经被整合到各种系统中，比如金融交易系统、楼宇门禁管理系统、银行环境中的数据源门禁系统等。

图像比对技术有望在3年内研发成功。使用这项技术，该公司的显示器可以将捕获的视频图像与已经加载到系统中的员工和既定访客的数字图像进行比较。然而，思科系统公司(以下简称思科)安全解决方案市场部副总裁杰夫·普拉顿表示，这项技术被广泛采用的前提是面部识别软件仍需大幅改进，因为目前不到30%的准确率距离实际要求还很远。

将监控系统与IT网络相结合具有重要意义。从历史发展的角度来看，安全技术可以分为两大阵营:信息安全是一方，物理屏障、锁链、持枪警卫是另一方。由于物理和逻辑两个完全不同的世界无法有效连接，两大阵营的融合进程屡屡受阻。直到数字视频信号联网，两者才能真正合二为一。

思科开始将网络安全与物理安全结合起来——先是合并了视频监控硬件和软件制造商SyPixx Network(以下简称SyPixx)，然后在2006年4月发布了智能聚合环境(ICE)系统。2006年9月，思科还宣布，它正在与锁销售商Assa Abloy合作，将思科生产的基于IP的门禁系统和身份管理系统与Asa Abloy的“智能”标签阅读器和门锁组件相集成。这种集成可以防止不使用标签的新手，比如防止他们登录公司的局域网。

门禁管理系统厂商Imprivata也在开发物理安全和网络安全的集成技术。它的一卡物理/逻辑电器可以与安全标记系统并肩作战，提前判断用户的位置，然后决定是否授予远程或本地网络登录权限。

由于这些整合，现在在许多公司中，负责物理安全和IT安全的人员开始向首席安全官(CSO)报告。Broadware技术公司(以下简称BroadWare)首席执行官比尔·斯特茨(Bill Stuntz)是这样认为的。BroadWare是一家基于IP的数字视频监控系统和服务提供商。“从模拟视频到数字视频的巨大转变意味着物理安全正逐渐被纳入IT经理的管辖范围，他们最终将控制这部分预算。”石子说。

新安全技术(1):皮肤指纹识别

想象一下，如果生物指纹扫描仪不仅可以检查指纹，还可以检查手指组织结构和血红蛋白指数，那会是什么样子？这正是Nanoident technologies(以下简称Nanoident)希望看到的。

这家奥地利公司致力于研发印刷在玻璃、薄塑料片或纸上的新型半导体，而不是像过去那样将其写入芯片。Nanoident将光子传感器和微流体传感器等特殊的安全设备嵌入到其带有系统芯片的半导体中，这意味着它们可以嵌入到手机或信用卡大小的设备中，不会占用大量的空房间或消耗大量的电力。

典型的“触摸式”指纹传感器只有15毫米长，2毫米宽。它通过将手指按在敏感的金属板上来捕捉图像，然后将其与指纹数据库进行对比以进行验证。由于其尺寸适中，因此受到PC制造商的青睐——仅惠普一家每月就售出多达25万台嵌入指纹识别器的PC。

Nanoident首席执行官克劳斯·施罗德(Klaus Schrodt)表示，这种传感器在手机市场上有很大的潜力，这是由尺寸、价格和功能驱动的。Nanoident的指纹扫描仪足够小，可以安装在手机上，其本身的面积也足够大，可以采集整个指纹。

Schrodt认为，指纹认证技术要想得到广泛应用，首先需要提高其准确性。生物识别的准确率已经达到了98%，但是如果要将这项技术进行部署和商业化，还必须提高到99.9%。“现在造假指纹太容易了。”他解释说，只要碰到玻璃，留下指纹，就可以拍照，做印章，准确率95%。Schrodt表示，Nanoident的技术精度更高。“我们使用红光和红外光进行检测，它可以深入手指皮肤几毫米，以便捕捉指纹下的结构，”他说。“我们测量皮肤的各种参数和血液的血红蛋白含量，然后就可以确定是不是真的手指，从而识别假指纹。”

Nanoident声称要开发包括指纹采集、数据提取、与数据库比较以及在半导体本身上保存信息在内的所有技术。Schrodt表示，制造带有光敏子传感器的印刷半导体极其复杂，因此该公司真正发布该技术还需要时间。然而，随着制造工艺的进展，Nanoident已计划在不久的将来在奥地利开设一家印刷厂。

Nanoident的子公司Bioident技术有限公司(以下简称Bioident)将其技术定位为芯片实验室(Lab-on-a-chip)，可用于检测和分析空气体、食物或供水中的化学和生物制剂。Bioident的微处理器允许科学家、研究人员和急救人员携带设备到户外检查污染。将可能被污染的水的样本放在含有微流体传感器的芯片上，这样可以发生化学反应，从而提供关于水中所含成分的信息。这些印刷的微处理器很便宜，所以可以丢弃，用新的代替。“想象一下，如果我能用一个芯片完成所有的诊断工作，而不用把它带回实验室。(那该多方便啊！Bioident首席执行官Wasiq Bokhari说。

槲寄生技术公司(以下简称槲寄生技术公司)出售一种嵌入虚拟专用网络(VPN)、防火墙和拒绝服务(DoS)攻击预防功能的芯片。与网络设备制造商BroadWeb公司、Viking Interworks公司等达成合作关系。，并在其设备中嵌入VPN芯片和防火墙芯片。

新安全技术(2):可信计算

可信计算集团(TCG)是一家非盈利组织，由惠普、IBM、英特尔、微软等it巨头于2003年联合成立。它负责制定相关标准，以保护系统和数据安全，防止外部攻击和物理盗窃。

目前，该组织最引人注目的成就是可信网络连接标准，这也是除思科之外几乎所有IT销售企业的网络访问控制技术的基础。思科更喜欢网络运行在自己的技术上。这个小组的另一个成就是可信平台模块(TPM)。这是一个固定在PC主板上的微控制器，用于存储与硬盘驱动器分离的密钥、密码和数字证书。自2003年以来，TPM已被嵌入超过4000万台电脑。

倡导者声称，可信计算技术是安全技术的未来趋势。“10年后，你根本不需要任何用户名和密码，”Wave System的首席执行官兼TCG董事会成员史蒂文·斯普拉格说。“用户可以直接向计算机验证自己的身份，计算机会向网络提供自己的身份。”

施布拉格等人预测，TPM的能力将得到扩展，通过存储PC授权用户的登录和密码信息，并定义在PC上运行的应用程序的不同类型和版本，TPM将成为“可信链”中的第一个组件。TPM目录和电脑上的信息之间的任何不一致都可能会阻止电脑启动。惠普副总裁兼首席技术官Tony Redmond表示，电子邮件、网络访问和本地数据保护等关键应用和功能将变得更加安全。

Tc的内部工作组正在研究外围设备和存储设备的TPM芯片的制造方法。它的目标是赋予设备自动通过用户证书的能力，让用户不必在工作日从早到晚忙于授权每一个程序、网络、网站。基于TCG新的移动可信模块标准的设备将于今年年中上市。

但是，可信计算技术不是很快就能做到的。Redmond认为，可能需要8~10年的时间来完成IT基础设施的改造，使用户无论在哪里都可以验证身份并登录网络。

另一个关键因素是新的操作系统Windows Vista已经批准并支持TPM。此外，几个小型安全技术小组正在开发Linux系统和其他开源代码，以扩展TPM的功能。

新安全技术(3):博锐解决虚拟安全问题

虚拟软件可以将PC或服务器资源分割成若干台小型虚拟计算机，这是一种软硬件整合的方式，但其安全风险难以避免。比如虚拟机的hypervisor要在系统启动前承担管理任务，要提前加载，保证任何加载的软件不存在任何安全问题，在软件“行为异常”时发出警报。

去年4月，当英特尔推出博锐技术时，它主张该技术为电脑提供内置管理功能、主动安全防御功能和高效性能。除了主动管理和虚拟化功能之外，博锐还包括英特尔的Conroe处理器、Pro/1000网络连接和Q965高速芯片组。

到2007年中期，英特尔和赛门铁克将为博锐技术提供安全性，以防止恶意软件，如反病毒和反间谍软件应用程序，这些程序被别有用心的人伪装成关闭计算机的安全系统。赛门铁克的虚拟安全解决方案将使用博锐的硬件辅助虚拟化功能，以防止虚拟机受到恶意软件的威胁，并确保其他虚拟机不受影响。

然而，一个虚拟机的管理程序可能会成为恶意软件的庇护所，加密市场研究公司总裁Paul Kocher说。“从管理的角度来看，虚拟化有很大的好处，但在解决问题的同时也带来了很多新的问题，”他说。“你可以将防火墙移动到虚拟层，但一旦你这样做了，就不清楚防火墙是否能更有效地保护电脑。”

安全新技术(4):让电脑监督电脑

到2010年，企业不仅能够更好地监控网络上发送的数据，而且能够更好地确定那些看似无害的信息(如客户、员工和合作伙伴的信息)是否会被犯罪分子收集，以获取更敏感的信息。我们称之为推断数据威胁。

施乐公司的子公司帕洛阿尔托研究中心(PARC)安全和隐私研究小组的区域经理杰西卡·斯塔登说:“假设有这些信息，你至少需要一些半自动的方法来判断哪些信息可以发布，哪些不能发布。”

PARC已经建立了一个隐私监控软件的原型，它有能力理解数据、姓名、地址或其他数据片段的含义。以电子文档为例，数据在网络传输之前可以及时清除或模糊。例如，假设隐私监视器确定数据库中只有一个人具有所有属性——女性，1969年出生，居住地的邮政编码是94061——那么它可以阻止这三段数据一起被访问，除非访问它的人有特定的权限。这将有助于保护数据，防止数据被网络应用程序通过SQL注入攻击窃取。

Staten和他的PARC团队设想开发一个网络安全应用程序，当文件中的数据可能被用于更广泛的推理时，它可以警告最终用户，无论他们是博客作者、人力资源经理还是首席财务官(CFO)。另一种选择是将该功能集成到Word、Excel或任何其他用于创建文档或电子邮件的工具中。然而，这种使用类型的开发比从数据库中提取的信息的检测要困难得多。因为文档中包含的数据通常是非结构化的，所以推理的数量可能会随着拥有访问权限的用户数量的增加而增加。

PARC的部分数据推断工作源于其原本计划开发的另一项技术，即DARPA授权的完整信息通知(TIA)项目。2002年，DARPA提出了TIA项目，旨在通过检测、分类、认证和跟踪恐怖分子来防止恐怖袭击。其理念是，执法部门可以利用生物特征识别、数据库、自然语言处理、证据提取、推理技术等手段，在恐怖分子发动袭击之前，收集他们进行交易的信息，从而阻止恐怖活动。

公众对数据滥用的恐惧迫使政府在第二年停止资助TIA项目，而PARC的研究仍在继续。“我们确实向DARPA提交了一些代码，但在这个项目上，我们没有达到受资助项目的最初预期。”斯塔滕说。PARC希望能与施乐合作，推动自动内容推理在市场上的应用。

PARC和许多其他实验室的目标是“让计算机做更多的检查工作，知道正在发生什么，并知道如何在任何异常情况下自动获得响应，”惠普的雷德蒙说。让计算机来监督计算机——这个很有潜力的想法现在出现了。