安全边界控制论文

安全边界控制论文（共7篇）

安全边界控制论文 篇1

云计算、虚拟化、移动互联的技术浪潮,改写了现代企业的竞争法则,也带来了全新的网络生态环境,而在IT技术气候迅速变化的“新生态”中,企业传统的安全法则面临前所未有的挑战,一个全新的信息安全防护边界亟待形成。

边际变“模糊”威胁更“清晰”

在网络新生态环境中,现代商业企业的边际正变得日益模糊:企业应用早已突破了原有的边界,基于云计算的企业应用正以前所未有的速度迅猛发展;与此同时,服务的边界也更加模糊,企业所需的任何服务都可以通过第三方借助网络来提供;企业内部IT资产的概念也同样在发生变化,很多服务于企业的IT基础设施并不是企业拥有的。所有这些应用、服务和资产边界的变化,使得现代企业的边际正变得越来愈模糊,然而与之相对应的是,相关的安全威胁却更加清晰。

首先是商业环境新生态的活跃,带来新技术实施的压力,企业必须迅速采用和实施“云”等新技术,以避免被竞争淘汰,而这其中包含了不可预见的安全风险和意想不到的后果。因为对于网络犯罪分子来说,“云”中那些网络边际模糊的现代企业是极具吸引力的攻击目标。

目前,成为报纸头条新闻早已不再是现代黑客追求的目标,商业新生态下的攻击变得更具致命性,随着越来越多的交易、对话、互动和数据在网上进行,网络犯罪分子比以往任何时候都要猖獗,所造成的后果也更为严重,一次系统瘫痪或者数据泄露,对企业而言可能意味着品牌受损、法律责任甚至破产!

由于信息化时代的企业通常是复杂的、全球性的和相互依存的供应链中的一部分,因此一家企业的安全问题,很可能导致供应链上的多家企业声誉及经营受损。

此外,新的智能移动设备在现代企业内应用越来越广泛,经常用于关键信息的收集、存储、访问和传输,而这些重要数据往往又混合了员工家庭和其他信息,这对原有的企业安全策略而言无疑是一场噩梦。

显然现代企业为了适应网络商业新生态而导致的“模糊边际”,必须要建立一个清晰牢固的安全边界,而要在大量的网络数据流中,做到这种“无形”但却“清晰”的安全边界,安全网关的性能至关重要。

网络无际安全有界

正是认识到以云计算、虚拟化技术为代表的新生态网络环境下,企业的边界已经不再明确,仅依靠防堵的方法跟不上安全威胁的脚步,Hillstone对安全的边界进行了重新定义,提出了“网络无际安全有界”的理念,其核心点就在于,借助对高性能网络安全产品的研发,让现代企业在享受无边际网络应用的活力与价值的同时,建立起清晰牢固的安全边界。

Hillstone认为,应用的智能化使得网络安全产品向着更高层演变;而攻击手段的多样化、复杂化、隐蔽化又使得网络安全产品向着集成化的方向发展;但这些趋势说到底,性能是最为基础的保障,无论从保障业务连续性,减少安全检测和控制的延时,还是支撑多种安全功能并行工作,保障多安全功能的可用性、或是实现更为深度的智能检测与分析,都需要性能来支撑。

例如Hillstone推出的绿色云之盾防火墙,采用多CPU多核架构,整机具有极高的运行性能,因此能够从容适应海量接入的环境。此外绿色云之盾防火墙支持数百个虚拟防火墙,可以与云数据中心有效整合,为不同的虚拟机提供独立的安全平面,并且可通过在线增加业务板卡,提升整体的处理性能,正是这些强劲性能的保障,才能为企业建立真正稳固无忧的安全边界。

谁来控制“灰色成长”的边界? 篇2

瘦肉精事件之所以引发众怒，一个重要原因在于，此事件并非出自那些杂牌或者冒牌企业，而是出自肉类加工行业中最大的品牌企业。这让人情不自禁地想起牛奶行业的三聚氰胺。两年前，“毒奶粉”将魔爪伸向婴儿，质监部门全面调查之后，乳业巨头三鹿、蒙牛、伊利居然不同程度地牵扯其中。之前。这些企业都扮演着行业领导者和整合者的角色，被寄希望于推动全行业产品品质的提升。谁料它们却以实际行动，戏谑嘲讽了国人对大品牌的期许，彻底透支了公众对这个行业的信任，也进一步加剧了消费者对国内食品安全的不信任感。

辛辛苦苦树立品牌的企业，为什么敢冒天下之大不韪，屡屡在食品安全这个原则问题上踩红线?分析下来，其动机与杂牌小企业并不相同。如果说杂牌企业是恶意掺假，目的是“赚一票就走”，那么相比之下。品牌企业涉足质量问题，往往并非恶意为之。而是过分追求成长速度使然。

如果对近年来品牌企业的失足案例进行分析，不难发现高速成长既是企业成功所必需，也是企业失败的源头。不论是三鹿奶粉，还是双汇济源工厂，都在迫切追求高成长。有趣的是，在客观上它们与资本市场有着微妙的关联，而主观上则与创始人乃至管理层对财富的追求密不可分。三鹿奶粉在事发前，正紧锣密鼓筹备赴香港上市。可以说几十年的辛苦，有望在企业上市那一刻集中兑现。无独有偶，双汇集团的万隆团队，经历了八年的不懈努力，刚刚在去年底实现管理层持股。而本次事发的济源工厂，恰恰是今年拟注入上市公司的资产。

一个企业的增长速度有多快，直接决定了资本市场对它的估值和定价，也间接决定了创始人和管理层所持有股份的价值。在过度追求规模和速度的时候，就容易出现管理失控。一旦管理失控，企业的增长就变成了“灰色成长”，也就埋下了事故隐患。可以说，企业家欲望超越了自身能力所能驾驭的范围，企业的发展就如同脱缰野马，离马失前蹄也就不远了。许多著名企业，就是进入了超速发展后轰然垮塌，在奔跑中猝死。央视昔日的标王，爱多、秦池、太子奶，都是这样的案例。

如果说，企业只有发生重大事故，才能让“灰色成长”被迫终止，这是悲哀的。这无异于只能让飞奔的野马坠下悬崖，才能使其停下脚步。因此，主动防范“灰色成长”应该成为共识。这方面，除了管理层需要学会平衡自己的欲望之外，还必须有其他机构充当监督者，才能控制企业“灰色成长”的边界。

那么，谁能担此重任?

第一种说法是靠媒体。但总体上，媒体看企业，大多是看到企业有意展示的光鲜的一面，想要接触到内幕，殊为不易。而且带有很大的偶然性。

还有人说靠投资者。现在，券商、基金等机构投资者，往往会派研究员上门调研上市公司。可惜。此类调研大多是通过官方渠道，而且关注的焦点在于企业的财务、商业模式、发展战略和管理层。要让他们如特工般潜伏调查，既没有时间，也没有能力。正因如此，如此多的机构投资者才会重仓双汇发展股票。并猝不及防地遭遇“双汇门”。

对广电网络边界安全问题的思考 篇3

计算机网络技术在广播电视行业应用非常广泛, 在给我们带来高效、准确的同时, 也给我们提出了一个新的课题, 即网络安全的问题。广电办公网要与互联网交换信息、制作网要与播出网交换信息、媒资网要与制作网交换信息等等, 在上述数据信息交换的同时, 必然会导致不安全因素的增加。由于外来数据导入引起的制播网感染病毒而瘫痪的例子已屡见不鲜, 面对日趋严重的广电网络安全问题, 应该引起我们的高度重视。本文就广播电视网络边界安全问题提出了自己的思考。

网络边界实际是相对的, 对于一个封闭的局域网络而言, 任何一个与外界连接或通讯的行为, 都会产生网络边界。拿电视网络来说, 按照广电网络功能划分可以有节目制作网、节目播出网、存储媒资网、办公管理网等等。其实, 从技术层面上说, 上述这些网和其它局域网没什么区别, 只是在网络上实现的业务内容不同而已。电视台要实现全台网络互联互通, 就是意味着要将这些有不同功能的局域网模块连接起来, 实现信息共享。网络之间的连接必然就会产生网络边界, 当两个局域网相互连接的时候, 虽然实现了数据共享和信息交换, 但是安全威胁也同时会伴随而来, 其突出表现为:

(1) 信息泄密:网络上的资源是可以共享的, 但没有被授权的人得到了他不该得到的资源, 信息就被泄露了。一般信息泄密有两种方式:

(1) 攻击者 (非授权人员) 进入了网络, 获取了信息, 这是从网络内部的泄密;

(2) 合法使用者在进行正常业务往来时, 信息被外人获得, 这是从网络外部的泄密。

(2) 网络攻击:就是通过互联网进入本地专业的网络, 篡改数据或实施破坏行为, 造成网络业务的瘫痪。网络攻击是针对网络边界设备或系统服务器的, 主要的目的是中断网络与外界的连接, 比如DOS攻击, 虽然不破坏网络内部的数据, 但阻塞了应用的带宽, 可以说是一种公开的攻击, 其后果一般是造成本地服务的中断。

(3) 网络病毒:与非安全网络的业务互联, 难免在通讯中带来病毒, 一旦在网络中发作, 业务将受到巨大冲击, 病毒的传播与发作一般有不确定的随机特性, 这是“无对手”、“无意识”的攻击行为。病毒就是网络的蛀虫与垃圾, 会大量自我繁殖, 侵占系统与网络资源, 导致系统性能下降。病毒不受网关的影响, 就象“走私”团伙, 一旦进入网络内部, 便成为可怕的“瘟疫”, 病毒的入侵方式就象“水”的渗透一样, 看似漫无目的, 实则无孔不入。

(4) 黑客及木马入侵:木马的发展是一种新型的攻击行为, 它在传播时, 像病毒一样自由扩散, 没有主动的迹象, 但进入你的网络后, 便在后台控制你的机器, 既可以盗用你的网络信息, 也可以利用你的系统资源为黑客工作, 比较典型的就是“僵尸网络”。入侵的过程是隐秘的, 造成的后果是窃取数据与系统破坏。木马的入侵属于黑客的一种, 只是入侵的方式是采用病毒传播, 达到的效果与黑客一样。

2 网络边界的防护概念和网络安全的技术现状

2.1 网络边界的防护概念

我们把网络可以看作一个独立的对象, 通过自身的属性, 维持内部业务的运转。网络的安全威胁主要来自内部与边界两个方面:内部是指网络的合法用户在使用网络资源的时候, 发生的不合规的行为、误操作、恶意破坏等行为, 也包括系统自身的健康, 如软、硬件的稳定性带来的系统中断;边界是指网络与外界互通引起的安全问题, 包括入侵、病毒与攻击等。

网络边界对于公开的攻击, 只有防护一条路, 比如对付DDOS的攻击;但对于入侵的行为, 其关键是对入侵的识别, 识别出来后阻断它是容易的, 但如何区分正常的业务申请与入侵者的行为, 则是边界防护的重点与难点。

现在我们把网络与社会的安全管理做一个对比:要守住一座城, 保护人民财产的安全, 首先建立城墙, 把城内与外界分割开来, 阻断其与外界的所有联系, 然后再修建几座城门, 作为进出的检查关卡, 监控进出的所有人员与车辆, 是安全的第一种方法;为了防止入侵者的偷袭, 再在外部挖出一条护城河, 让敌人的行动暴露在宽阔的、可看见的空间里, 为了通行, 在河上架起吊桥, 将通路使用的主动权把握在自己的手中, 控制通路的关闭时间是安全的第二种方法;对于已经悄悄混进城的“危险分子”, 要在城内建立有效的安全监控体系, 比如人人都有身份证、大街小巷的摄像监控网络、街道的安全联防组织, 每个公民都是一名安全巡视员, 只要入侵者稍有异样行为, 就会被立即揪住, 这是安全的第三种方法。

作为网络边界的安全建设, 也可采用同样的思路:控制入侵者的必然通道、设置不同层面的安全关卡、建立容易控制的“贸易”缓冲区、在区域内架设安全监控体系、对进入网络的每个人进行跟踪、审查其行为等等。

2.2 网络安全的技术现状

2.2.1 防火墙技术

网络隔离最初的形式是网段的隔离, 因为不同的网段之间的通讯是通过路由器连通的, 要限制某些网段之间不互通或有条件的互通, 就出现了访问控制技术, 也就出现了防火墙, 防火墙是不同网络互联时最初的安全网关。

防火墙的安全设计原理来自于包过滤与应用代理技术, 两边是连接不同网络的接口, 中间是访问控制列表ACL, 数据流要经过ACL的过滤才能通过。ACL有些像海关的身份证检查, 内容是检查你是哪个国家的人, 但你是间谍还是游客就无法区分了, 因为ACL控制的是网络的三层与四层 (网络层和传输层) , 对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术, 可以隐藏内网设备的IP地址, 给内部网络蒙上面纱, 成为外部“看不到”的灰盒子, 给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系, 从而“穿透”了NAT的“防护”, 很多P2P应用也采用这种方式“攻破”了防火墙。

防火墙的作用就是建立起网络的“城门”, 把住进入网络的必经通道, 所以在网络的边界安全设计中, 防火墙成为不可缺的一部分。

防火墙的缺点是:不能对应用层识别, 面对隐藏在应用中的病毒、木马都毫无办法。所以作为安全级别差异较大的网络互联, 防火墙的安全性就远远不够了。

2.2.2 多重安全网关技术

既然一道防火墙不能解决各个层面的安全防护, 就多上几道安全网关, 如用于应用层入侵的IPS、用于对付病毒的AV、用于对付DDOS攻击的网关等, 此时UTM设备就诞生了, 设计在一起时, 为UTM, 分开时, 就是各种不同类型的安全网关。

多重安全网关就相当于在城门上多设几道关卡。多重安全网关的安全性显然比防火墙要好些, 起码对各种常见的入侵与病毒都可以抵御。但是大多数多重安全网关都是通过特征识别来确认入侵的, 这种方式速度快, 不会带来明显的网络延迟, 但也有它本身的固有缺陷:首先, 应用特征的更新一般较快, 目前最长也以周计算, 所以网关要及时地将“特征库”升级;其次, 很多黑客的攻击利用“正常”的通讯, 分散迂回进入, 没有明显的特征, 安全网关抵抗这类攻击的能力很有限;最后, 安全网关再多, 也只是若干个检查站, 一旦“混入”, 进入到大门内部, 网关就没有作用了, 这也安全专家们对多重安全网关“信任不足”的原因。

2.2.3 物理隔离技术

物理隔离就是彻底断开内外网之间的网络链接, 采用电子开关和数据缓存池分时导通的原理, 保证在任意时刻, 内外网都是断开的, 物理隔离技术的原理图如图1所示。

物理隔离技术, 其核心部分由三个单元组成:一个是外网处理单元, 一个是内网处理单元、另一个是中间数据硬件交换部件, 即隔离交换开关 (数据缓存池) 。当数据需要从外向内传递时, 外端机基于应用代理服务的模式终止网络协议, 解析应用数据, 并对数据进行安全处理, 安全处理后的数据被隔离开关以专用封装格式摆渡到内端机。内端机采用应用代理客户端的方式将应用数据封装为TCP/IP格式, 路由到目的地;当数据需要从内向外传递时, 也遵从相似的过程, 只是内端机启用了应用代理服务, 而外端机启用了应用代理客户端。

物理隔离技术的安全思路来自于“不同时连接”。不同时连接两个网络, 通过一个中间缓冲区 (数据缓存池) 来“摆渡”业务数据, 业务实现了互通, “不连接”原则上就没有了入侵的可能性。物理隔离只是单纯地摆渡数据, 它的安全性来自于它摆渡的是“纯数据”还是“灰数据”, 如图1所示。当B端和C端连通时, 数据从B端传给C端;当C端和A端连通时, 数据再从C端传给A端, 间接实现了数据从B端到A端的传输, 反之亦然。交换区C端通过高速电子开关, 实现内外网之间的数据交换, 内网与外网之间没有物理连接, 依靠隔离开关摆渡传输数据。通过电子开关的正向和反向的移动, 分时实现了数据的导入和输出。从而实现了内外网数据的同步交换和物理网络的彻底断开。

物理隔离的思路是先堵上, 根据“城内”的需要, 再开一些小门 (白名单) , 防火墙是先打开大门, 再对不希望的人, 逐个禁止 (黑名单) , 两个思路刚好相反。

3 广电网络的安全防护和传统的安全策略

3.1 广电网络的安全防护

广电网络和其它网络没有本质区别, 唯一区别就是业务内容和对安全级别的要求。

各个网络之间的互联互通, 文件交换为电台的业务运营提高了效率的同时, 也带来了安全隐患, 因为电台网络也是标准网络, 必然存在有网络安全的问题。最典型的就是病毒的感染。一旦某个网络节点感染了病毒, 就有可能使病毒在网络内部迅速蔓延, 并通过网络边界, 传播到与之互联的网络, 继而扩散到全台网络, 那样后果将会非常严重。尤其是网络安全级别要求高的子网 (如播出网、媒资网) 对于边界风险的防范要求更高。

广电网络本身具有其特殊性, 主要表现在:

(1) 安全级别要求高, 尤其是播出网、媒资网, 绝对不能有病毒入侵和网络攻击, 否则可能会引起停播漏播;

(2) 时效性高、要求传输快, 新闻类节目往往都是在播出前半个小时才制作完成, 所以要能够快速上传才不会耽误播出;

(3) 数据准确性要求高, 如果传输文件出现误码, 很容易就造成黑屏马赛克, 甚至死机等播出事故;

(4) 数据文件大, 数字视音频文件很多都是G为单位的, 大的可以达到几十个G;

(5) 文件类型相对少, 主要是视频音频文件、文字及图片文件、动画文件、控制信息、数据库文件等。

由此可见, 广电网络的安全防护是十分重要的。

3.2 传统的安全防护策略

来自网络内部的安全, 人员是可控的, 可以通过认证、授权、审计的方式追踪用户的行为轨迹, 也就是我们所说的行为审计与合轨性审计;来自网络外部的安全问题, 重点是防护与监控。

目前典型的方式是采用“防火墙+杀毒软件组合拳”模式, 通过防火墙来防御外来的攻击, 通过杀毒软件来抵御病毒和木马的入侵。

防火墙在网络的边界安全设计中, 起到了很重要的防护作用, 但是, 防火墙却存在如下两方面的安全隐患:

(1) 存在网络通道, 当安全策略遭到破坏后, 攻击行为可长驱直入;

(2) 采用通用传输协议, 对于协议漏洞造成的安全问题无法解决。

因为防火墙存在上述问题, 所以单独使用防火墙是不能完全屏蔽外来威胁的, 这时候杀毒软件就成了重要的补充了, 因为防火墙本身对病毒的防御能力是极其微弱的, 必须依靠杀毒软件彻底消灭隐藏的病毒和木马。杀毒软件虽然可以杀灭病毒和木马, 但是杀毒软件也存在如下三个方面的问题:

(1) 病毒库升级落后于新病毒的产生, 容易漏杀;

(2) 黑名单方式, 查杀速度慢, 尤其针对大文件速度会更慢;

(3) 容易造成误杀。

由此可知, 采取“防火墙+杀毒软件组合拳”模式, 要进行100%的防毒、防木马和网络攻击依然存在很大的问题。

4 基于物理隔离理念的网络安全方案

为了克服“防火墙+杀毒软件”模式的不足, 物理隔离技术的应用, 为网络边界安全提供了更理想的解决方案。物理隔离实际上是没有物理连接, 不支持标准的TCP/IP协议, 采用专用的通信硬件, 有效地把内、外部网络隔离开来, 实现内、外部网络数据的安全交换, 并透明支持多种网络应用, 以到达“交换与隔离”的目的。所谓“交换”就是网络间进行有用的数据传输;所谓“隔离”是指在进行数据传输的过程中, 屏蔽病毒和攻击等有害信息。

物理隔离方案较传统的网络安全策略和媒资网络卫士更适合广电网络边界安全的使用, 其与网闸相比, 集成度更高、传输速度更快。物理隔离方案的特点主要表现在如下几个方面:

(1) 首先是集成度大大提高, 把多“主板”才能完成的工作, 集成到了单一主板上, 数据隔离芯片取代了数据隔离卡, 产品稳定性大大提高;

(2) 物理隔离技术更大的优势还在于实用性, 能够结合广电工作实际, 所以更适合广电行业使用;

(3) 系统软件采用自定制的Linux操作系统, 系统软件固化, 可保证自身的安全性;

(4) 支持千兆网络, 满足广电网络要求高效率传输的特点, 网闸多为百兆;

(5) 支持5G以上的大文件传输, 满足大视频文件的传输要求, 网闸多支持2G以下的文件;

(6) 对文件格式做深度检测, 不单纯以文件尾缀识别, 网闸多以尾缀识别白名单, 不做深度检测;

(7) 白名单支持广电常用的文件格式, 如各种视音频文件格式、各种图片格式、动画模板、字幕文件等, 还支持以文件夹方式传输, 这些都是广电特有的功能需求, 非常适合广电媒资网络使用;

(8) 客户端的文件自动上传功能, 大大简化了客户传输文件的操作;

(9) 文件断点续传功能提高了工作效率, 尤其是传输大视频文件时更显优越性。

物理隔离技术, 采用白名单方式, 同时又避免了防火墙、杀毒软件和网闸的缺陷, 能够彻底屏蔽外来信息对广电网的安全威胁, 能做到网络间准确快速的信息交换, 同时又能使网络间的安全威胁得到有效的隔离。

5 总结

在三网融合的大背景下, 构建电台业务网络互联互通一体化系统数字电视平台是发展的必然趋势, 它可以有效地整合电视资源, 对提高业务效率, 提高节目质量、强化管理有着重要的作用。电台网从根本上改变了以往传统的运作模式, 节目以文件传递取代了磁带, 最大限度实现信息流通、跨平台跨频道资源共享和高效管理, 并为运作、管理、应用提供了先进完善的技术手段, 使节目的业务处理更加高效率、高质量。网络边界是信息交换的必然途径, 因为边界而产生的安全问题是不可避免的, 如何做到“安全地交换信息”是我们努力的方向。安全技术在“不断打补丁”的同时, 也逐渐在向“主动防御、立体防护”的思想上迈进, 边界防护的技术正在逐渐成熟, 数据交换网技术已不再只是一个防护网关, 而是一种边界安全综合性的安全防护思维。

摘要：文章对网络边界防护概念进行了阐述, 并对网络安全的技术现状和传统的安全策略进行了分析, 提出了基于物理隔离概念的网络安全方案。

安全边界控制论文 篇4

JTAG (联合测试行动小组) 是一种国际标准测试协议 (IEEE 1149.1兼容) , 目前主要用于芯片内部测试。现在多数的高级器件都支持J T A G协议, 如D S P、F P G A器件等。标准的JTAG接口是4线:TMS (模式选择) 、TCK (时钟) 、TDI (数据输入) 、TDO (数据输出线) 。本文利用JTAG标准协议设计一种针对同类FPGA进行动态重构配置的重构控制器。

重构控制器硬件系统组成

本文介绍一种基于“ARM处理器+FPGA”架构的重构控制器, 重构控制器中的FPGA能够根据ARM处理器传送来的命令, 对目标可编程器件JTAG接口进行控制, 并模拟JTAG接口中TAP状态机产生激励信号 (TMS、TDI、TCK序列) , 向目标可编程器件的JTAG接口提供所需的激励, 使目标可编程器件内的TAP状态机进行状态转换, 将指令和数据扫描到FPGA内部边界扫描电路指令寄存器和数据寄存器中。完成一次目标可编程器件配置, 实现用户此时所要求功能, 在下一时段, 可根据用户新的要求, 调用重构控制器内部存储器中不同方案在系统重新配置目标可编程器件, 实现硬件的时分复用, 灵活快速的改变系统功能, 节省逻辑资源, 满足大规模应用需求。

其主要功能是控制按照用户不同需求调用不同的方案配置目标可编程器件。它主要包括ARM处理器、FPGA、Flash存储器, 各功能部件主要功能如下:

(1) ARM处理器, 其主要功能是控制模拟JTAG接口的FPGA读取Flash存储器中的重构方案, 实现在系统配置;

(2) FPGA协处理器选用Xilinx公司SPARTEN3AN系列, 是基于非易失性存储的FPGA, 自身带有PROM, 它作为外部总线和ARM控制器之间的双端口, 主要功能是模拟JTAG接口实现TAP控制器时序, 完成配置方案数据的并串转换并输出至外部总线;

(3) F L A S H存储器容量为32M×16bit, 用于处理器的上电引导、存放多种重构配置方案。由于要求的存储容量较大, 采用SPANSION公司[1]S29GL512P (32M×16bit) 的存储空间, 访问速度110ns, 可以达到25ns快速页存取和相应的90ns随机存取时间;

(4) 测试线TCK、TMS、TDI和TDO, 是重构控制器向目标可编程器件提供所需的JTAG TAP激励, 分别控制目标多个FPGA的重构配置和反馈重构信息。

系统实现

重构控制器

本文设计的重构控制器采用ARM微处理器作为主控制器, 以FPGA芯片作为协处理器配合主控制器工作。用户事先根据需求设计出不同的配置方案, 并存储在重构控制器内部的存储器中, 上电后, 重构控制器就可以按需求将不同设计方案分时定位到目标可编程器件内, 同时保持其他部分电路功能正常, 实现在系统灵活配置, 提高系统工作效率。

重构控制器框图如图1所示。ARM执行的初始化工作包括程序更新加载运行, FPGA参数设定等 (见图2) 。FPGA初始化包括设定内部命令寄存器和逻辑状态的初始值、内部缓冲区数据清零等。ARM处理器一方面通过ARM总线读取外部Flash中的配置方案, 将其存储到TDI模块的缓存中;另一方面重构控制器中模拟TAP控制器的FPGA, 通过执行ARM处理器发出的配置指令, 模拟产生TCK、TMS、TDI和TDO信号, 作为目标可编程器件的JTAG接口激励, 与目标可编程器件的JTAG口串联成菊花链, 对目标可编程器件进行在系统编程。重构控制器模块ARM接口模块

如图1所示, A R M接口模块主要作为FPGA和ARM处理器之间的接口, 完成ARM的命令控制和参数传递。当系统上电后, ARM处理器将预先设定好的各种配置信息传送至ARM接口模块, 完成对FPGA及各外围模块进行配置。系统正常运行时, 该模块处于闲置状态。直到ARM处理器请求进行新的配置时, ARM接口模块再次传递新的配置信息, 完成目标板重新配置。

仲裁与时序控制模块

仲裁与时序控制模块主要完成对重构控制器内部各模块的仲裁与时序控制。协调各模块之间的数据流向。其具体的功能包括提供内部各模块所需的时钟信号, 并进行相应的时序控制;以及对内部数据流的切换控制。

TCK, TMS, TDI, TDO产生模块

TCK:JTAG配置时钟输入, 所有基于JTAG的操作都必须同步于JTAG时钟信号TCK。关键时序关系是:TMS和TDI采样于TCK的上升边沿, 一个新的TDO值将于TCK下降边沿后出现, 因此一般情况下JTAG的时钟不会太高。

TMS:模式选择, 控制JTAG状态转移, 同步时钟TCK上升沿时刻TMS的状态决定状态转移过程。

TDI:配置数据输入, 配置数据在TCK的上升沿采样进入数据移位寄存器 (SDR) ;

TDO:配置数据输出, 在TCK的下降沿从移位寄存器移出, 输出数据与输入到TDI的数据应不出现倒置。

目标板

目标板上被重构的F P G A由支持重构的Xilinx公司的VIRTEX-4系列FPGA来实现, 以菊花链方式串联, 支持JTAG边界扫描模式配置。

JTAG边界扫描配置的FPGA实现

TAP控制器是16个状态的有限状态机, 主要为J T A G接口提供控制逻辑。主要有四大状态:复位 (RESET) , 空闲 (idle) , 数据寄存器移位 (SDR) 和指令寄存器移位 (SIR) 状态, 在TCK, TMS的控制下, 根据输入的配置指令实现状态的转移。Xlinx公司Virtex4系列FPGA器件的边界扫描指令集中有三条专用于配置的边界扫描指令:CFG_IN、BYPASS和JSTART (10个bit位) 。其中CFG_IN的代码:0101001111;BYPASS的代码:1111111111;JSTART的代码:0011001111。执行CFG_IN指令可以访问器件内部的配置总线, 通过串行移入配置文件中的命令和数据执行对内部配置寄存器的读写, 从而完成对FPGA的配置。BYPASS指令在对多个目标器件配置时可以旁路不需要重配置的器件。JSTART指令使用TCK时钟触发启动时序, 使FPGA完成从配置状态到操作状态的转换, 激活FPGA。图3为可重构控制器模拟TAP状态机配置指令执行的状态转移图。

系统仿真

仿真在Active-HDL7.1软件下运行, 所有仿真是基于对单器件配置的过程。

图4为JTAG边界扫描方式核心控制TAP状态机仿真波形, 本文把整个下载模拟过程设计为三步, 分别为TAP_Reset、TAP_CFG、TAP_JStart, ARM分别给三步提供一个启动命令, 三个步骤分时按顺序由自己独立的状态机实现, 由图可以看出状态衔接正确。

图5为各状态机个状态下接口输出波形, TCK、TMS、TDI时序和输出值满足JTAG扫描方式配置Virtex-4系列FPGA接口激励要求。

本系统ARM工作时钟为50MHz, TCK输出为25MHz, 为便于观察, TAP_CFG部分状态机中SDR状态项实际由配置方案文件bit位数决定, 仿真图有所压缩。

如果目标板FPGA是Virtex-4X C 4 V L X 2 5, 其配置方案文件为995KB, 整个配置过程大约所需时间327ms。

结语

本文介绍的重构控制器具有相对通用性, 适用于对同一类FPGA芯片实现可编程器件在系统配置, 使得硬件信息 (可编程器件的配置信息) 也可以象软件程序一样被动态调用或修改, 从而动态的改变电路的结构和功能, 对电路中出现的错误和故障进行实时动态重构, 达到高可靠性的目的, 有效节省逻辑资源, 通过设计和仿真验证了此方法的可行性。

参考文献

[1]ilinx, Virtex-4Configuration Guide, UG071 (v1.5) .2007

[2]IEEE Std.1149.1—2001, Test Access Port and Boundary Scan Architecture[S], IEEE, 2001

[3]ilinx, Configuration and Readback of the Spartan-II and Spartan-IIE Families[D].2002

[4]赵蕙.边界扫描测试技术在远程实验系统中的应用研究[D].江苏大学, 2005

安全边界控制论文 篇5

随着超大规模集成电路(VLSI)、表面安装器件(SMD)、多层印制电路板(MPCB)等技术的发展,使得统一测控系统综合基带印制电路板上电路节点的物理可访问性正逐步恶化,电路和系统的可测试性急剧下降,常规测试面临挑战[1]。通过研究VLSI芯片资料表明,大多数VLSI芯片都带边界扫描结构,如果将边界扫描技术应用到板级测试中,无疑将对电路板的连接故障和器件失效的准确诊断起到非常重要的作用。边界扫描测试主控系统是实现这一技术必不可少的硬件系统。从JTAG(Joint Test Action Group)提出该技术至今的十几年中,边界扫描测试技术已得到了一些应用,并将有广阔的应用前景[2]。本设计在分析边界扫描测试受控系统工作机制的基础上提出一种基于USB总线的边界扫描测试主控系统的设计方案和实现电路。此方案具有结构简单、成本低、便携性的特点。

1 边界扫描结构及基本原理

1.1 边界扫描技术的基本原理

边界扫描技术的主要思想是通过在芯片管脚和芯片内部逻辑电路之间增加由移位寄存器构成的边界扫描单元,实现对芯片管脚状态的串行设定和读取,使管脚具有可控性和可观测性。由于移位寄存器允许测试数据移位、更新测试和捕获锁存,因此它不仅可以用来测试单独的一个芯片,而且可以对电路板进行互连测试。图1给出了边界扫描通路示意图。其中,边界扫描单元在主IC的测试数据输入端(TDI)和测试数据输出端(TDO)之间形成了一个扫描通道,当IC处于正常工作状态时,输入输出信号自由通过边界扫描单元,从正常数据输入端(NDI)到正常数据输出端(TDO)。

图1边界扫描通路示意图(参见右栏)

1.2 边界扫描物理结构

边界扫描测试的基础是边界扫描测试总线和设计在器件内的边界扫描结构,边界扫描测试总线由TDI(测试数据输入)、TDO(测试数据输出)、TMS(测试模式选择)、TCK(测试时钟)、TRST(测试复位)5条线构成,主要完成测试向量输入、测试响应向量输出和测试控制功能。器件内边界扫描结构主要由TAP测试存取口、TAP控制器和必需的寄存器组成。TAP控制器接受来自边界扫描测试总线的命令,控制边界扫描单元的行动,实现对器件管脚状态的设定、读取和隔离[3]。

1.2.1 寄存器

JTAG边界扫描寄存器至少应包括边界扫描寄存器(DR)、指令寄存器(IR)和旁路寄存器。

(1)边界扫描寄存器。边界扫描寄存器用于存放测试数据和测试响应数据,它由串行移位级和并行锁存级组成。边界扫描寄存器的工作方式为:加载到TDI的测试数据在TCK的上升沿串行移人边界扫描寄存器,寄存器原来内容在TCK的下降沿被串行移出到TDO,移入移位寄存器的数据可以被锁存到并行输出锁存器中;对应于输出引脚的并行锁存器可并行输出到器件的引脚,移位寄存器可以并行捕获到器件的逻辑输出;对应于输入引脚的并行锁存器可以并行输出到器件的内部逻辑,移位寄存器可捕获输入引脚信息。

(2)指令寄存器。指令寄存器由串行移位级和并行锁存级组成,其位数由芯片生产厂家定义。常用的指令包括EXTEST、BYPASS、SAMPLE、INTEST等。TAP控制器根据指令寄存器中选择的指令不同选择将指定的寄存器连接到TDI和TDO之间。

(3)旁路寄存器。旁路寄存器由一位移位寄存器组成,当其被选通时,直接连接到器件的TDI和TD0之间从而获得最短的扫描路径。旁路寄存器的主要作用有:a.当集成电路IC不需要数据寄存器的扫描存取时将其从扫描链上脱离从而缩短边界扫描结构的扫描通路长度;b.在测试期间,使集成电路IC脱离某种工作模式。

1.2.2 TAP控制器

TAP控制器控制整个边界扫描机制的操作,其核心是16个工作状态转换机制,状态转换由TCK采样TMS的值来实施。

2 硬件设计

控制器硬件可分为两部分:一部分是USB控制芯片,另一部分是JTAG主控芯片,控制器利用USB控制芯片实现USB协议与PC机进行通信,同时通过操作JTAG主控芯片,使其输出到JTAG总线上的数据符合IEEE1149.1标准,从而达到由PC机控制JTAG总线的目的。控制器硬件结构如图2所示。

公司生产的EZ-USBFX2芯片CY7C68013是一种USB接口控制芯片,CY7C68013芯片包括一个加强型的8051处理器、一个串口引擎(SIE)、一个USB2.0收发器、8.5k B片上RAM、4k B的FIFO存储器以及一个通用可编程接口(GPIF)[4]。其GPIF可与任何ASIC或DSP进行连接,它还支持现行所有通用总线标准。本系统USB接口芯片既作为数据传输的中介,同时完成和便携式计算机间的控制信息的交换和控制过程的执行。传输模式:在USB协议定义的4种传输模式中,批量传输和等时传输的速度较快。但批量传输具有差错校验,可以保证数据传输的正确性。在本方案中,因为对数据的准确性要求较高,故采用批量传输方式。采用从PC端下载8051运行代码的方式。这样系统软件修改和功能升级更加灵活,也省掉了外接ROM,使电路更加简洁、可靠。

选择TI公司专门针对系列DSP的边界扫描芯片ACT8990。ACT8990的内部结构主要由队列管理模块、主机模块、串行模块、事件管理器、计数器、命令管理以及读写总线组成。

3 软件设计

本控制器的软件设计包括:固件程序、驱动程序和CPLD逻辑代码以及CY7C68013的配置芯片EEPROM的代码。软件部分包括测试向量生成及分析模块、边界扫描测试运行模块和USB数据传输驱动三部分。测试驱动程序作为下位机程序驻留在边界扫描控制器中。边界扫描测试运行模块和测试向量生成及分析模块作为上位机程序主要包括:测试文件分析、测试向量生成、上下位机通讯、响应向量分析和辅助功能模块。

3.1 测试文件分析

测试软件运行时首先检测文件库中芯片边界扫描描述文件是否齐全,然后进行测试文件加载。测试执行时将被测板网络表文件(Protel软件在设计电路图时生成的标准文件)加载到系统中,分析该文件并生成测试板芯片信息文件和芯片间管脚互连网络节点文件。根据芯片在边界扫描链路上的顺序将芯片名称、封装形式列入到测试板芯片信息文件中。网络节点文件中则给出两个芯片间的网络节点列表以及对应该节点的两个芯片管脚号码,并根据边界扫描描述文件中的定义将互连节点中的TMS、TCK、TDI、TDO节点剔除。生成的这两个文件是供测试向量生成和响应向量分析模块使用。边界扫描描述文件由IEEE l149.1标准定义,就一般测试而言分析该文件主要获得芯片物理管脚号码和边界扫描寄存器位置的对应关系(边界扫描寄存器中靠近TDO的那一位定义为第0位)、边界扫描测试的各种指令、指令寄存器和边界扫描寄存器的描述以及芯片管脚的输入输出类型[5]。

3.2 测试向量生成

进行边界扫描测试时首先应当检验边界扫描链路连接和工作状态是否正常;边界扫描链上的芯片是否正确安装,即执行完整性测试。完整性测试通过后才能允许执行进一步的测试内容。完整性测试是通过捕获扫描链路芯片在TMS状态机经过CAPTURE-IR状态时装载到指令寄存器中的数据以及读取标志寄存器里的芯片ID码与边界扫描描述文件的正确代码进行比较来完成的,在读取指令寄存器捕获值的同时可以通过TDI将下一步的测试指令写入,以节省测试步骤。图3给出了测试软件的流程图。

电路板芯片间的互连测试是边界扫描测试技术的主要测试内容,主要用来检测测试板上各个网络连接是否正常,是否存在固定逻辑故障、开路故障、桥接短路故障和其他特殊故障。根据测试需要,兼顾测试时间和测试精度两方面的要求,在软件中采用了5种不同的测试向量生成算法(分别为改良计数序列算法、计数补偿算法、移位一算法、等权值抗误判算法、极小权值一极大相异性算法)。根据主界面选择的测试要求,将扫描链上不需要进行测试的芯片送人旁路指令,而被测试芯片则送人外测试指令。以此准则生成互联测试指令代码,串行加载到链路芯片的指令寄存器上。互连测试向量则需要根据主界面选择的算法和芯片互连网络节点文件生成。为了保证生成的测试向量能够准确地加载到互连网络节点上,需要对生成的初级测试代码进行处理。变换思想是根据芯片物理管脚和边界扫描单元的对应关系,将生成的对应网络节点管脚的测试数据填入到其在边界扫描链路中对应的位置,形成可加载到扫描链上的测试向量。器件的功能测试主要包括对具有边界扫描结构的芯片或电路板进行功能测试以及对不具有边界扫描结构的器件进行簇测试。其测试数据和测试响应数据都是根据芯片逻辑定义好的。对于簇测试芯片,需要用它周围的具有边界扫描结构的芯片的边界扫描单元作为簇测试芯片的虚拟边界扫描单元,来进行测试数据的加载和捕获。因此网络节点文件不能通过查找网络表文件自动生成,需要自己定义,其格式与执行互连测试时生成的文件相同。读取文件中预先定义的测试向量并变换成能最终加载到链路上的测试向量的方法也与互联测试相同。其他进行采样测试、机内自检测试时只需要输入测试指令分析测试结果,并不需要生成额外的测试数据。

3.3 测试响应分析及故障诊断

测试响应分析及故障诊断模块对测试响应数据进行分析,以确定目标电路板有无故障、故障位置和故障类型,并将分析结果送给主界面进行显示。进行故障分析时首先要对测试响应向量进行初处理,剔除垃圾数据,然后将有效的响应数据代人故障诊断函数进行分析。进行完整性测试故障诊断时,利用芯片列表信息文件和边界扫描描述文件中的定义将响应向量中对应于各个芯片的CAPTURE-IR值和IDCODE值分析出来与标准值进行比较分析,就可以给出故障判断。进行互联测试故障诊断时,需要根据芯片物理管脚和边界扫描单元的对应关系将对应于网络节点文件中网络管脚的测试数据从响应向量中提取出来。然后根据分析规则和输入的测试向量分析出存在固定逻辑故障、开路故障、桥接短路故障和特殊故障的网络号码及其对应的互连芯片管脚号码,并分析给出可能存在的误判或混淆的网络[6]。器件的逻辑功能故障诊断和簇测试故障诊断方式与互联测试基本相同,也需要把对应测试管脚的响应向量从整个测试响应向量中提取出来,与标准的测试结果进行比较从而确定器件的逻辑功能是否正常。

4 测试结果

(1)扫描链路的测试。先用移位指令命令将取样预加载指令(SAMPLE/PRELOAD)送出,然后用移位数据命令将一系列1010...10测试矢量序列扫入到扫描链路中,同时将其扫回到主控计算机进行比较,判断扫描链路是否完好;

(2)获取器件标识。用移位指令命令对两片支持边界扫描测试功能的芯片发器件标志代码(IDCODE)指令,或对一片CPLD发旁路指令(BYPASS),另一片发器件标志代码(IDCODE)指令,然后用移位数据命令将32位器件标志从器件标志寄存器扫出,以获得被测器件的器件标志;

(3)互连测试。先用移位指令命令将取样预加载指令(SAMPLE/PRELOAD)送出,然后用移位数据命令将用于互连测试的测试矢量送人芯片1中,随后用移位指令命令将外测试指令(EXTEST)送出,再用移位数据命令将测试响应从芯片2中扫回到主控计算机中,并与正确的响应进行比较,以对所模拟的四路短路故障、开路故障进行诊断并定位。上述测试均得到了正确的结果,此外,在进行扫描链路的测试中,还对FIFO模块支持不间断全速扫描进行了充分的验证。

5 结束语

边界扫描机制的出现是测试及可测试性设计思想的一次飞跃,它提供了一种完整的、标准化的VLSI电路可测试性设计方法。它不仅能对传统的测试问题提供标准和有效的解决方案;同时还能提高系统各级的可测试性。随着边界扫描技术的发展以及日益广泛的应用,开发边界扫描测试系统具有很高的现实意义和市场价值。而边界扫描测试软件作为边界扫描测试系统的操作部分更需要通过合理的设计使测试过程自动化、测试对象通用化、诊断结果精确可靠,更好地发挥边界扫描测试技术的优点,推动边界扫描测试技术的推广和应用。

摘要：系统采用CY7C68013及其配置芯片EEPROM完成USB接口部分的功能,采用ACT8990完成边界扫描部分的功能,为完成部分逻辑功能及对此控制器设计的部分电路加密,采用CPLD EPM3032A实现。接着,给出了整个控制器的软件设计方案,具体讨论了CY7C68013的固件设计,以及利用WindowsDDK开发包开发固件装载驱动程序及控制器驱动程序的方法。调试结果表明,研制的边界扫描控制器功能正常,符合设计要求,具有即插即用、无需外部供电、连接简单可靠等优点。

关键词：边界扫描,USB2.0,JTAG,WDM驱动程序

参考文献

[1]王金明,杨吉斌.数字系统设计与Verilog HDL[M].北京:电子工业出版社,2002.

[2]张书静.边界扫描技术研究[D].成都:电子科技大学,2005.

[3]Mitra S,McCluskey E,Makar S.Design for testabilityand test of IEEE1149.1 TAP controller[C]//Proceedings 20th IEEE 2002:247-252.

[4]李洪伟.基于Quartus11的FPGA CPLD设计[M].北京:电子工业出版社,2005.

[5]Cypress.EZ USB FX2M Annual Technical Reference[DB].Cypress,2001.

安全边界控制论文 篇6

目前随着技术的进步, 全IP化网络和移动互联网的推广造成业务系统间的数据交互复杂度和数据量不断增加, 业务系统运维和使用的群体趋于多样化, 而传统的管理体系和技术手段将面临越来越严峻的安全压力。传统的业务申请、审批以及安全传输基于VPN技术进行交互, 这种传统的VPN方式在服务器管理、帐号权限管理等方面存在安全隐患, 服务器易受攻击劫持, 导致对内网业务系统的攻击和破坏;权限控制过于粗大, 导致越权行为的发生;繁重且复杂的数据交互将给业务系统带来大量的安全监管和审计工作, 造成审计结果的可信度低, 导致整个数据交互过程中存在重大的安全隐患。为了对企业最具价值的数据进行安全防护, 参照通用数据安全保护框架, 在用户对企业敏感数据访问的关键路径上增加统一安全能力, 增强多种数据安全防护机制。需要建设一套统一身份认证、数据隔离交换、统一数据模型转换的系统。通过该系统, 建立起内外网数据安全交互通道, 解决企业内外网环境之间数据交互的安全保护。该系统具有统一管理的安全门户和安全通道;细粒度用户授权、安全监控与审计;定制的业务模式、交互方式和数据模板。

一、系统需求分析

通过调研某运营商的实际情况和需要, 根据信息安全管理工作的内容, 在综合分析业务数据保护场景的基础上, 归纳出对外统一安全边界系统的需求。

该系统的总体设计目标是, 建立安全边界, 统一进行数据的交互, 实现信息安全管理体系中安全边界防护功能的系统。实现企业内外网数据安全传递的一种平台。使企业外部用户在对外统一安全边界系统上提交数据, 再由对外统一安全边界系统将数据提交到内网业务系统中, 从而使外部用户不用通过VPN连接到内网业务系统提交数据。解决了企业给外部用户分配VPN账户带来的安全隐患。

二、系统架构

“对外统一安全边界系统”由外网统一门户、数据摆渡中心、内网数据服务中心三大子系统组成。外网统一门户承载企业外网用户的数据采集、提交、呈现功能, 是用户进行操作的展示平台。以任务工单形式把来自内网业务系统的待交互的信息呈现给用户。数据摆渡中心承载内外网数据隔离交换功能, 采用类似“单刀双掷开关”的操作模式在外网边界和内网边界设置控制单元实现在内外网之间进行数据摆渡。内网控制单元中增加数据的加解密单元对内网数据进行加解密及签名操作。内网数据服务中心承载内网业务系统的数据映射及转换、安全审计、密钥及签名管理、用户数据访问控制、用户鉴别及认证、内网业务系统接口管理等内容。

2.1系统特点

2.1.1三大技术突破

数据获取:数据获取方式采用两种途径获取内网业务系统中的表单数据:接口模式和抓取模式。接口模式是指设计通用的表单数据接口服务, 把表单数据抽象出来形成数据元进行数据的传递。抓取模式是指通过设置表单数据映射关系后, 由内网数据服务中心主动去内网业务系统相关的页面进行数据抓取, 抓取后的数据进行转换成对外统一安全边界系统的统一的数据格式进行传递, 传回的数据再次进行逆转换成内网业务系统的数据格式并提交。

数据转换:数据映射适配转换主要应用在通过抓取模式来获取数据的方式中, 内网数据服务中心通过设置内网业务系统的表单数据映射关系, 来进行数据的转换, 可以很方便的使内网业务系统接入对外统一安全边界系统。

数据控制:数据摆渡中心是实现内外网之间的数据安全传递的一种方法, 该方法采用类似“单刀双掷开关”的控制方式进行内外网数据传输控制。数据摆渡中心存在一个安全的数据缓存单元, 在内外网之间各有一个控制单元, 当外网控制单元连通外网时, 内网的控制单元与内网环境断开, 数据缓存单元摆渡到外网统一用户门户接收或发送数据;当内网控制单元连通内网数据服务中心时, 外网控制单元断开外网环境, 数据缓存单元摆渡到内网数据服务中心接收或发送数据, 由内网数据服务中心投递到内网各种业务系统上。

该方法是在应用逻辑层上进行了内外网的数据隔离交换, 即数据摆渡中心不会同时联通内外网进行数据传递。在一定程度上保证了内外网之间的隔离, 又保证了内外网之间的数据连通性, 增强了系统的安全性。

2.1.2系统优势

对比堡垒机:堡垒机传递数据的方式是内外数据连接是同时接通同时切断;对外统一安全边界内外网是单通的, 类似“单刀双掷开关”, 同一时间只有一方数据是连通的, 增强了业务数据传递的安全性。

对比网闸:网闸采用物理隔断方式把数据从一方复制到另一方, 在网闸内部采用了一些协议和算法, 但是在网闸两端传入的数据和传出数据是一样的, 如果攻击者在网闸一端传入攻击指令数据, 在网闸另一端也会传出攻击指令数据, 进而在内网造成破坏威胁;对外统一安全边界在应用层进行隔离, 对传输的数据进行模板数据格式转换, 即使传递的数据带有攻击指令等数据, 在传递到内网也是当成内容数据限制在业务应用中, 没有指令的运行环境, 有效防止攻击指令对内网的渗透攻击等行为。

2.2系统安全设计

系统架构安全:对外统一安全边界系统基于内外网的特殊性环境设计三大子系统, 承载不同的业务角色, 分别是外网统一门户、数据摆渡中心、内网数据服务中心, 数据库部署在内网数据服务中心之后。采用此种设计方式使外网统一门户通过数据摆渡中心, 经过内网数据服务中心进行数据转换后访问数据库。非法入侵外网统一门户无法得到真实的数据库地址, 攻击难度加大。并且在数据摆渡中心中设计了安全监控中心来对系统的访问进行监控、阻断和告警。当发现攻击行为时, 进行及时阻断及告警通知。

数据库访问安全:数据库访问链接进行限制, 仅允许来自内网数据服务中心的链接访问。数据库账户采用最小权限原则进行设计。表中关键字段采用加密手段保存密文。

数据报文安全:传递过程中的数据报文采用AES和RSA双重加密来保护对数据报文。防止数据报文的破解、侦听、篡改, 数据报文的封包和解包模型如图3。

接口安全:接口通讯先进行用户身份识别, 然后通过密钥管理机制生成RSA密钥对, 对数据报文进行加密签名后进行数据传输安全审计。

安全审计:对数据报文进行完整性、防篡改、密钥合法性、用户合法性进行审计, 当出现非法原始报文数据时进行短信告警通知等操作。

安全监控:对访问流量进行DPI深度数据包检测和DFI流量行为分析, 结合基线分析技术进行智能化安全监控。

访问控制安全:通过身份识别读取用户访问控制策略, 控制用户访问数据范围, 返回该用户允许访问的数据。

身份认证安全:采用短信和静态密码双重因素进行身份认证, 并创建用户认证TOKEN, 数据请求过程中实时检测用户认证信息。

2.3数据摆渡中心设计关键技术

2.3.1数据安全岛模型

安全岛服务, 使之内外网之间出现一个隔离带, 通过这个安全岛来管阀数据传输, 使安全运营平台的安全系数更上一层楼。安全岛顾名思义, 是一个孤立的无损害小岛。这个安全岛类似交通岛。交通灯变为绿灯后, 行人先进入路中心的安全岛中等待第二次绿灯亮起后再次通过剩下的道路。而安全岛就是让界面的请求数据停留下来, 断掉与外网的通道后再建立与后台服务的通道, 将数据传输过去进行处理。如此设计具有以下五点优势:

过滤信息, 将一些恶意攻击屏蔽在后台之前;排他处理, 因为网络缓慢用户重复提交相同请求, 可以在这里进行筛选, 提高后台有效运算效率;负载均衡, 用户量增多后, 引起并发现象时, 通过安全岛会按请求时间进行排队等待, 使数据具备时效性;隔离带, 因为数据到达安全岛后会与请求方断开通道, 再与服务端建立通道, 发送请求数据, 有效的拦截了数据追踪的问题。当数据处理完成后投入到安全岛, 即刻断开之间的通道, 将后台数据有效的保护起来;二次处理, 结果数据到达安全岛后, 通知前端界面携带有效证件前来认领数据, 有效的降低了数据被拦截的风险。

安全岛的增加, 通过过滤、防护、拦截、隔离、排他等手段有效的提高了平台的安全性与防御能力, 但是在安全性提高的同时, 信息处理的时长相比直接处理要增加一点点, 通过优化和硬件设备使这个延时降低到最小。

2.3.2 数据安全岛设计

安全岛部署设计流程:

用户在外网发出请求访问。外网服务器向安全岛发出请求后断开连接, 安全岛注册请求。安全岛与数据库处理建立连接, 发送指令进行数据处理。数据处理完成后, 与安全岛建立连接并回传数据。安全岛通过注册信息调用外网回调地址, 发送数据。外网服务器向用户展示数据。

安全岛数据流转设计流程:

界面层发起请求到安全岛。安全岛注册界面端请求信息, 断开与界面层的连接。向服务层发起处理请求后断开与服务层的连接。服务层对数据库进行操作后接收数据返回信息并断开连接。服务层与安全岛建立连接并返回处理数据。安全岛通知界面层数据已经处理完毕。界面层接到通知后到安全岛取回数据。将取回的数据展示在界面端。

三、系统测评

依据GB-T20984-2007信息安全风险评估规范和YD-T1730-2008电信网和互联网安全风险评估实施指南, 对外统一安全边界系统的安全防护有效性进行测评。

上线前, 传统的VPN方案中业务系统已有较多的防护机制, 但在业务层仍存在安全风险。上线后对外统一安全边界系统有效的降低了各层面的安全风险。因此, 对外统一安全边界系统能够有效的保护业务系统的安全, 防护机制科学有效。

四、结论

对外统一安全边界系统有效避免了在数据交互过程中所存在的部分安全风险, 是现有安全技术与安全机制的有效补充。该系统已具备软件产品化的先决条件, 即客户无需软件添加或调整代码和语句即能完成软件安装配置、应用初始化、系统管理、用户全过程使用, 并且软件至少能满足80%以上用户的应用需求。对外统一安全边界系统适用于运营商企业的业务数据隔离环境, 同时在政府非涉密网之间的数据传递应用场景下具有推广价值。

参考文献

[1]杨波, 王云龙, 谭琳.内网安全认证机制的应用实践[J].科技致富向导, 2012, 29:299.

[2].提高企业内网安全的10种策略[J].计算机与网络, 2010, 10:42.

电视中心播出以太网边界安全设计 篇7

近年来,随着技术和业务的迅猛发展,电视台的节目制播技术正在朝着数字化、网络化、高清化发展,电视台全面数字化使得采、编、播、管、存和数据交换实现了全程文件化,而网络化使得电视台各业务子系统实现了互联互通,打通了从制作媒资系统到播出备播系统端到端的文件传输链路,使得从制作到播出全流程实现无带化具备了条件,文件化和网络化送播成为了必然趋势。

在江西台高标清总控系统的建设中,充分考虑了全台制播一体化发展趋势,参照国家、广电总局互联互通规范及相关接口标准,实现了播出系统与非编制作网、新闻网、媒资系统等台内业务子系统的安全、高效、稳定的网络互联。本文结合当今各级电视台互联互通的成功经验,分析了全台网建设的总体思路,依据我台高标清总控系统的实施经验,提出了一个播出系统与其他业务子系统互联的边界安全网络解决方案。

1 全台网络安全方案设计思路

信息技术迅猛发展,信息安全越来越重要,很多国家已经将信息安全上升至国家战略高度,我国在2002年成立了信安标委,对口ISO/IEC SC27,从事信息安全标准化工作,随着几年来的发展,已逐渐建立了信息安全标准体系,为各行业的信息安全保障体系建设工作提供了技术支撑。在政府、能源、金融、电信等行业,信息安全建设起步较早,投入大,已经积累了一定的经验,逐渐形成了一定的安全体系架构,有如APPDRR安全模型、WPDRRC安全体系模型、OSI安全技术框架、IATF信息保障技术框架等,成为指导信息安全方案规划设计和实施的依据。

针对广电行业的信息安全的建设,国家广电总局科技司在2011年发布了《广播电视相关信息系统安全等级保护定级指南》和《广播电视相关信息系统安全等级保护基本要求》两个暂行性技术文件,前者提出了将广电行业生产业务相关信息系统划分五个保护等级,后者则列出了各等级相应的保护基本要求,为全台网的建设提供了一定的理论依据,但是并没有进一步出台广电行业的信息安全相关的行业标准和规范,因此,各台在构建各自信息安全防护体系时,在满足等保基本要求的情况下,一方面要考虑到广电网络也属于基础网络,有着基础网络的共性,可以参考已经成熟的通用的行业安全体系架构,从系统级层面来设计立体、科学的安全保障体系;另一方面要充分考虑广电网络的特性和需求,从应用级层面来设计高可靠、高可用的安全防护体系。

等保定级指南将省级台的播控信息网定为三级,对应的等保基本要求方面,从技术、物理和管理三个方面提出了具体的要求,其中物理和管理要求具有通用性,各等级的防护要求区别主要在技术要求方面,主要包含网络安全、系统安全、应用程序安全、数据安全等多个方面,随着近几年信息安全技术的飞速发展,各行业信息安全体系层面划分大体类似,对各层次安全技术体系设计也类似,只是各行业各自的安全防护侧重点有所不同,在政府、金融、电信、能源等行业的信息系统中均有较成熟的应用案例,形成了一定的模式。电视台的播出网也是基础网络,完全可以参照其他行业信息安全成功的防御体系,结合自身业务流程的特点,构建出适合自身的安全防御体系(图1)。

按照IATF框架及等保基本要求,可将播出网络安全分为基础网安全也即是内网安全和边界安全,基础网安全防护涉及到数据安全、主机应用系统安全、身份认证等,安全技术手段有部署数据库审计系统、运维审计系统、加固系统、防病毒服务器、漏洞扫描服务器、IDS、设置统一的安全管理中心,对整个播出网的安全进行统一的监控管理等等,这些手段在信息安全较普遍。而播出网的边界安全则具有鲜明的特点,需进一步特殊设计。限于篇幅,下文主要介绍电视台播出网安全体系中边界安全方案的设计,是电视台网中安全体系设计的重点和难点。

2 播出边界网络安全方案设计

播出安全是电视台的重中之重,播出网在全台网中有着最高的安全要求等级,以至于现今,还有很多电视台播出网是孤立网,并且由于播出网、非编制作网、新闻网、媒资网等各个子网建设时间不一,系统体系架构不同,安全要求不同,各自互为孤岛。把不同安全级别的网络互连,将面临互连网络之间病毒隔离、网络故障扩散、带宽高速稳定等问题,特别是在频道高清化后,高码率的素材传输和处理又对网络带宽和系统软硬件资源提出了更高的要求。构建高安全、高可靠、高效率的播出边界网络架构是实现全台网的重点和难点。

2.1 播出网的特点

播出网首先是基础网,和其他基础网络无本质的区别;其次电视台播出网有着自身鲜明的特点,在安全方案设计时须着重考虑:

1.安全级别高,特别是播出网需绝对杜绝病毒感染和网络入侵,否则可能会造成停播错播漏播等严重后果;

2.广电网传输文件类型种类少,主要有视音频文件、数据库文件、控制信息等;

3. 数据文件特征明显,视音频文件大,特别是高清文件一小时大小近23GB,文件格式单一,主要为GXF或MXF封装格式,文件结构易识别;

4.文件内容要求准确无误,如果在传输文件的过程中,文件出现损坏,就可能出现音频异常,视频图像马赛克、黑场等播出事故;

5.要求高带宽,电视台节目的播出特别是新闻类节目,往往只在播出时间前很短的时间完成制作,这就要求制作网与播出网传输链路有足够的带宽。

2.2播出网边界安全体系设计

电视台播出网特点给边界安全方案设计带来了难题,高安全则要求在网络边界需对数据做深度的过滤检测和实施一定的隔离预防措施,这会限制链路的传输带宽,影响传输链路的可靠性和传输速度。如何在保证高安全的同时又能保证链路的可靠高效?这是播出网安全边界设计的重点和难点,需要根据广电网的特点结合现有的信息安全技术手段深入分析,根据广电网传输的数据种类少,可以考虑在边界部署具有基于文件内容进行白名单过滤检测的安全设备,通过设置广电行业文件的特定的白名单,只允许特定大小和格式的文件通过,文件格式的检测不是简单的检查文件的后缀名,而是通过对比文件的特征知识库,对文件格式进行深度检测,对于文件内容准确要求,即是需要检测传输数据的完整性,可以通过MD5校验等方式实现。

目前的信息安全市场,尚缺少能够对广电视音频文件内容进行深度检测的白名单过滤检测设备,少数几家小厂商有类似的产品,但是带宽效率较低,在中小台互联有些应用案例,省级以上的电视台应用案例不多。

为了解决全台网的互联互通的难题,广电行业采用SOA设计思想,采用将媒体数据与信息数据分开传输的双总线互联体系。双总线互联体系的提出,简化了边界网络安全方案的设计,在媒体数据链路上只传输视音频媒体数据,可以部署只对媒体数据进行过滤的高带宽安全设备,在信息数据链路上传输除媒体数据外的信息数据,则可以部署进行深度检测的高安全设备(图2)。

2.3播出网边界安全体系实现

目前,安全技术手段多样化,安全产品种类品牌多、功能越来越全面,如何选择适合自身的安全产品,往往会使用户产生很大的困惑,这时就需要明确自身的业务需求偏重点。

正如前文提到的,目前市场上,还缺少能够对广电视音频数据文件进行高效率的深度检测的安全设备,因此在双总线设计中,可根据媒体数据的特点,自身很少会感染病毒,且文件一旦异常较容易被发现。可以通过配置接口服务器,限制媒体数据链路上只传输媒体数据,在业务流程上对媒体数据安全提供保障。再在物理链路上配置高带宽防火墙对传输包进行粗颗粒的过滤,使用ACL对数据传输的源端和目的端IP,端口号等参数进行限制,在技术手段上对媒体数据安全提供保障。这样媒体数据链路既保障了安全,又保证了带宽。

信息数据链路的保障措施,与常见的信息安全边界防护手段类似,对链路上所传输的数据要求高安全,安全是首位,其次才是互联。首先需要进行底层链路的物理隔离,剥离所有的TCP/IP协议和应用协议,从根源上阻断木马等网络攻击,其次需对传输的数据内容进行完整性和安全性进行深度检测。底层物理链路的隔离可以通过网闸类设备来实现,深度的内容检测主要是检测数据是否含有病毒,可以通过病毒扫描设备如防病毒网关来实现。

考虑到播出网对可靠性的要求,边界网络安全设备往往按照主备方式部署,加上边界服务器操作系统加固软件部署、DMZ区设立,及内网安全投入,播出网安全体系总需投入较大,各台可以根据自身的实际来选择,如在媒体链路上部署具有访问控制功能的UTM设备、在信息数据链路上部署两台具有病毒查杀功能的隔离网闸设备,甚至还可以在媒体数据链路上选择部署两台具有访问控制、病毒查杀等高性能的UTM设备,信息数据链路上经过隔离过滤后的信息数据接入UTM的特定端口中,再在UTM设备上设置端口隔离,将媒体链路数据与信息链路的数据隔离开来,接入的媒体数据经过访问控制过滤,信息数据经过病毒扫描引擎进行全面的病毒扫描。

3 总结

显然,播出网的信息安全体系构建,不是靠单台功能强大的安全设备,也不是靠多台安全设备堆砌而成,特别是在有限的建设资金投入下,要把钱花在刀刃上,应结合自身的业务特点,科学的组合运用多种安全技术手段,再加上合理的运维措施和严格的管理规范,从技术、运维和管理多方面下手。

参考文献

[1]沈传宝.全台网架构下的监控与安全体系建设[J].现代电视技术,2011(9):40-46.