4.2 安全防御技術

　　網絡安全防御技術可分為主動防御技術和被動防御技木。網絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。

　　（1）主動防御技術

　　主動防御技術一般有數據加密、身份驗證、存取控制、授權和虛擬網絡等技木。下面介紹二種能在嵌入式系統中實施的、較新的安全技術。

　　①虛擬網絡技術（Virtual Private Network，VPN）

　　虛擬專用網絡（Virtual Private Network ，簡稱VPN）指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM（異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

　　②蜜罐技術（Honeypot）和蜜網技術（Honeynet）

　　蜜罐是一個包含漏洞的誘騙系統，它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的。它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易受攻擊的目標。經過多年的研究發展，蜜罐技術已經發展成為誘騙攻擊者的一種非常有效而實用的方法，其應用集中在對外部威脅的識別。蜜罐技術與防火墻技術、入侵檢測技術、病毒防護技術、數據加密和認證技術有很大不同，后者是在攻擊者對網絡進行攻擊時對系統進行被動的防護，而蜜罐技術可以采取主動的方式。

　　蜜網（其自由組織網址是http：//www.honeynet.org）可以說是更安全、更強大的蜜罐，它由很多網絡上“蜜罐”的“陷阱”構成，它以更合理的方式記錄下黑客的行動，同時盡量減少可能對其他系統造成的危害。成功的案例表明，蜜網誘使許多黑客白白浪費了大量精力。

　　（2）被動防御技術

　　目前，被動防御技術有防火墻技術、安全掃描器、密碼檢查器、記賬服務、路由過濾等。

　　①防火墻（Firewall）技術

　　防火墻是內部網與外網之間實施安全防范的系統，可被認為是一種訪問控制機制，用于確定哪些內部服務允許外部訪問，以及哪些外部服務允許內部訪問。根據不同的配置，防火墻可以分為：數據包過濾防火墻、代理服務型防火墻、監測型防火墻、網絡地址轉換型防火墻。防火墻技術是目前用得較多的安全技術。防火墻大多放在網關上，因此在上網的嵌入式設備上使用非常方便，效果也較好。

　　②安全檢測（Security Detection）

　　安全檢測功能可自動檢測遠程或本地主機安全性，用于觀察網絡是否在正常工作，收集主機的信息，并提出安全建議。大型操作系統一般都有此功能，當然也可在應用級設計安全掃描程序。另外當系統遭受攻擊時，系統還可以對攻擊進行檢測，識別出網絡攻擊行為，并讓系統采取相應的對策。安全任務既可以由嵌入式設備自身實施，也可以由上位機實現。

　　③服務登記（Service Log）

　　在系統中保留一個日志文件，與安全相關的事件可以記錄在日志文件中備查和分析，用以追查有關責任者，發現系統安全的弱點和可入侵點。嵌入式系統可以將工作日志記錄在其服務器。顯然這項功能會加重處理器和數據傳輸的負擔，所以記錄的項目不宜太多太細。

　　④數據備份（Data Backup）

　　將系統的重要數據和過程實時記錄下來，以便系統遭受損壞后盡快恢復。嵌入式系統由于資源受限，往往不可能對其數據進行本機備份，可通過網絡進行異地備份。

　　綜合以上的安全因素和防御方法可以看出，各種方法各有其特點，使用時要根據風險級別、系統設計目標和系統造價進行綜合考慮。對大量使用的、性能一般的嵌入式微處理系統，防火墻和IPSec技術具有配置靈活、性價比較高等特點，是容易采用且較為成熟的技術。

　　5 結束語

　　由于嵌入系統安全問題的復雜性，決定了必須采用軟件工程方法來分析。對系統防御也必須綜合實施，沒有一個萬全之策。目前嵌入式方面的安全研究工作國內還做得不多，因此還需要投入大量的研究。