入侵容忍技術

入侵容忍技術(Intrusion Tolerance Technology)是國際上流行的第三代網路安全技術,隸屬於信息生存技術的範疇,卡耐基梅隆大學的學者給這種生存技術下了一個定義:所謂“生存技術”就是系統在攻擊、故障和意外事故已發生的情況下,在限定時間內完成使命的能力。它假設我們不能完全正確地檢測對系統的入侵行為,當入侵和故障突然發生時,能夠利用“容忍”技術來解決系統的“生存”問題,以確保信息系統的保密性、完整性、真實性、可用性和不可否認性。無數的網路安全事件告訴我們,網路的安全僅依靠“堵”和“防”是不夠的。

入侵容忍技術

Intrusion Tolerance Technology
鄧惠平 [email protected]入侵容忍技術就是基於這一思想,要求系統中任何單點的失效或故障不至於影響整個系統的運轉。由於任何系統都可能被攻擊者占領,因此,入侵容忍系統不相信任何單點設備。入侵容忍可通過對權力分散及對技術上單點失效的預防,保證任何少數設備、任何局部網路、任何單一場點都不可能做出泄密或破壞系統的事情,任何設備、任何個人都不可能擁有特權。因而,入侵容忍技術同樣能夠有效地防止內部犯罪事件發生。
入侵容忍技術的實現主要有兩種途徑。第一種方法是攻擊回響,通過檢測到局部系統的失效或估計到系統被攻擊,而加快反應時間,調整系統結構,重新分配資源,使信息保障上升到一種在攻擊發生的情況下能夠繼續工作的系統。可以看出,這種實現方法依賴於“入侵判決系統”是否能夠及時準確地檢測到系統失效和各種入侵行為。另一種實現方法則被稱為“攻擊遮蔽”,技術。就是待攻擊發生之後,整個系統好像沒什麼感覺。該方法借用了容錯技術的思想,就是在設計時就考慮足夠的冗餘,保證當部分系統失效時,整個系統仍舊能夠正常工作。
“入侵容忍”的觀念早在1982年就已提出,但相關研究工作是最近幾年才興起的。目前,許多重要的國際研究機構和研究人員都在潛心研究入侵容忍技術或生存技術,雖然取得了一些成果,但還沒有投入實際套用的產品或系統。
1991年,國外學者開發了一個具有入侵容忍功能的分散式計算機系統。2003年,美國著名的學術會議ACM推出一個專題討論生存系統問題,據悉,美國國防部高級研究計畫署(DARPA)目前正在資助實施有機保證和可生存的信息系統計畫,該計畫大致由近30個項目組成。2000年1月,歐洲啟動了基於網際網路套用的惡意或意外故障入侵的容忍技術研究項目,該項目通過定義用於彌補可靠性和安全性差異的入侵容忍結構化框架和概念模型等,來建立大規模可靠的分散式套用系統。
雖然入侵容忍技術的研究尚處於起步階段,但卻已展示出廣闊的發展前景。隨著科技的不斷進步,新的網路信息安全機制、入侵檢測機制、入侵遏制機制和故障處理機制等將逐步建立起來,屆時研究人員將從網路和傳輸層、高級服務、套用方案等層次上提供面向不同套用的入侵容忍新技術,相信入侵容忍新技術定會在未來信息系統中發揮重要作用。
(蘭色雪狐網路中國第五縱隊 供稿)

參考文獻

1. Zhou Lidong. Towards Fault-tolerant and Secure On-line Services. Dissertation.
2. Luenam P,Liu P. The Design of an Adaptive Intrusion Tolerant Database System
3. Lung L C,Correia M,Neves N F, et al. A Simple Intrusion-Tolerant Reliable Multicast Protocol Using the TTCB.
4. 荊繼武,馮登國.一種入侵容忍的CA方案. 軟體學報,2002,13(8): 1417~ 1422

相關詞條

相關搜尋

熱門詞條

聯絡我們