《第4章-主要信息安全产品》由会员分享,可在线阅读,更多相关《第4章-主要信息安全产品(32页珍藏版)》请在金锄头文库上搜索。
1、第4章 主要信息安全产品,本章主要介绍10类信息安全产品,主要介绍产品的功能、特点、局限性、发展趋势和一些应用情况。,第4章 主要信息安全产品,4.1 网络边界防护产品-入侵检测系统 4.2 网络边界防护产品-防火墙 4.3 网络连接防护产品-安全路由器 4.4 网络连接防护产品-安全网关 4.5 网络连接防护产品-VPN 4.6 本地环境保护产品-恶意代码防范软件 4.7 本地环境保护产品-密码机 4.8 基础设施安全产品-PKI/CA 4.9 基础设施安全产品-可信计算平台 4.10 安全服务产品-安全运营管理 4.11 小结,4.1 网络边界防护产品-入侵检测系统,4.1.1 局限性 1
2、.误警(误报)率高 2.产品适应能力低 3.大型网络的管理存在缺陷 4.主动防御功能不足 5.处理速度上的瓶颈 6.评价IDS产品没有统一标准,4.1 网络边界防护产品-入侵检测系统,4.1.2 发展趋势 1. 智能关联 2. 告警泛滥抑制 3.告警融合 4.可信任防御模型 采用的机制信任指数DoS攻击防护机制应用级攻击防护机制,4.2 网络边界防护产品-防火墙,1、定义:防火墙 是一个或一组系统,他们会在网络传输通过相关的访问节点时对其实施一套访问控制策略。 2、目的: 控制网络传输和数据的安全 3、国际市场上分两大流派 软件防火墙(Check Point 为代表) ASIC硬件防火墙,4.
3、2 网络边界防护产品-防火墙,4.2.1 功能特点 嵌入式防火墙 软件防火墙(企业级和SOHO级) 硬件防火墙 应用程序防火墙 4.2.2 主要技术 1、静态分组过滤 2、动态分组过滤 3、状态过滤 4、代理服务器,4.2 网络边界防护产品-防火墙,4.2.3 部署 1、部署边界防火墙 正确位置:内部网络与外部网络之间 具体任务:拒绝外部非法IP地址;设置外部主机的访问权限;分析可以的攻击行为;防止非法入侵;实现内部网络与外部网络的有效隔离,防止来自外部网络的非法攻击。 2、部署内部防火墙 可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源。,4.2 网络边界防护产品-防火墙,
4、4.2.4 局限性 1、局限性 不能防范不经过防火墙的攻击 不能解决来自内部网络的攻击和安全问题 不能防止策略配置不当或错误配置引起的安全威胁 2、脆弱性 防火墙的操作系统不能保证没有漏洞 防火墙的硬件不能保证不失效 软件不能保证没有漏洞 ,4.2 网络边界防护产品-防火墙,4.2.5 发展趋势 防火墙技术已经从包过滤防火墙和应用网关防火墙步入状态检测防火墙 发展趋势:构建高性能平台,满足带宽需求;有状态的深度检测;分布式防火墙技术 高速 多功能化 更安全,4.3 网络连接防护产品-安全路由器,4.3.1 局限性 安全路由器产品的局限性主要体现在传统的路由器产品的局限性方面。 分类:本地路由器
5、和远程路由器 路由算法 路径表 静态路径表 动态路径表,4.3 网络连接防护产品-安全路由器,优点:适用于大规模的网络;复杂的网络拓扑结构,负载共享和最优路径;. 缺点:不支持非路由协议,安装复杂,价格高,4.3 网络连接防护产品-安全路由器,4.3.2 发展趋势 速度更快(IP路由器速度提高的来源) 硬件体系结构的改进 ASIC技术的采纳 3层交换技术的出现 IP over SDH,IP over ,4.3 网络连接防护产品-安全路由器,2. 提升服务质量 3.管理更加智能化,4.4 网络连接防护产品-安全网关,4.4.1 功能 网关(Gateway)是连接两个协议差别很大的计算机网络时使用
6、的设备。 分类 面向连接的网关 无连接的网关 安全网关是在传统网关设备的基础上侧重实现网络连接中的安全性,功能上体现为实现内容过滤、邮件过滤、防病毒等 生产厂商:冠群金辰、卓尔伟业、上海格尔等,4.4 网络连接防护产品-安全网关,4.2.2 发展趋势 结合专用操作系统硬件化和芯片化硬件平台多样化基于通用CPU的x86架构,4.5 网络连接防护产品-VPN,4.5.1 主要技术,4.7 本地环境保护产品密码机,1、定义:密码机是按照一定程序用于信息加密和解密的设备。 2、组成:蜜月装置、信息输入装置、编码器和信息输出装置。 3、加密:是将输入密码机中的明文,变换成一定代码表示的字母或数字组成的随
7、机暗码。,4.7.1 功能模块,1、硬件加密部件:实现各种密码算法、安全保存密钥。 2、密钥管理菜单: 3、密码机后台进程: 4、密码机监控程序和后台监控进程: 其他:密码机的前台API,用于给应用系统提供服务接口。 PKCS#11、Bsafe、CDSA,密码机支持的算法: 公钥密码算法: 对称密钥算法: 杂凑算法:,4.7.2 分类,1、客户端密码机:提供高端的密码服务,适合于政务办公应用。 性能指标:3个 2:服务器端密码机: 单机形式的密码机:为特定的服务器提供密码服务,具有处理速度快、安全度高等特点。 性能指标 :4点 分布式密码服务机:采用分布式计算技术,可灵活地增加密码服务模块,实
8、现性能动态地根据需求平滑扩展,且不影响上层的应用系统。 性能指标:4 点,4.8 基础设施安全产品PKI/CA,4.8.1 开发模式 面向产品的开发模式:自建PKI/CA模式,指的是企业购买整套的PKI/CA软件,然后自行建立一整套相关的服务体系。 面向服务的开发模式:购买PKI/CA服务的模式,指的是企业利用第三方CA服务提供商的集成PKI平台,通过配置和管理,将企业端的前台与第三方高可靠性、高安全性的PKI后台组合在一起,对外提供证书服务。,4.8.2 发展趋势,基于服务的PKI/CA和无线PKI 实例:CFCA的手机证书: 特点:1)、基于STK 和短息消息(SMS),移动用户只需与移动
9、服务商单点接入,即可方便地进行注册、服务查询、账户查询、转账处理、代收付等业务。2)、证书与手机使用者身份绑定在一起,有效地规避了用户在移动商务中数据传输信息失真、非法篡改、否认等交易风险、极大程度地提高了无线交易的安全性。,4.9 基础设施安全产品可信计算平台,1、可信计算的目标:通过某些专用的硬件,是计算机设备如计算机更加安全。 用户角度: 厂商的角度: 2、可信计算平台(Trusted Computing Platforms TCP):代表一系列安全设备。 两个基本属性:保护数据,保护运行环境。(数据安全和代码安全) 3、定义:基本思想是在硬件平台上引入安全芯片(可心平台模块TPM)构架
10、,来提高终端系统的安全性,从而将部分或者整个计算平台变为“可信”的计算平台。,4.9.1 发展历程,1、从安全启动安全协处理TPMTCP 2、安全启动:基本思想是将系统配置分解为一系列的实体,逐一检查这些实体的完整性。 1990年研制的Tripwire系统 1994年研制的BIT系统 1997年研制的AEGIS系统,3、安全协处理器: 1973年高可信的通信子系统 1980年Kent系统 1987年ABYSS 1991年Citadel系统 1993年Dyad系统 4、TPM实际上是一个含有密码运算部件和存储部件的小型片上系统(SOC),是构建可信计算平台TCP的基础。图4-9-1 5、TCP的
11、可信机制的体现:1)、可信度量2)、度量的存储 3)度量的报告。,4.9.2 发展现状,1、产业界:TCG联盟 宗旨: 主要任务: 规范: 标准: 2、科研方面:主要研究方向集中在系统安全体系结构(安全启动、虚拟技术、仅执行内存(XOM)、AEGIS、Cerium)、远程证明、访问控制、数字版权(DRM)、生物认证、网络安全、安全增强。,3、产业方面: 4、TCP的代表技术:NGSCB和LaGrande 5、应用领域:,4.9.3 发展方向,1、科研领域:从理论上论证要达到系统可信,自芯片而上的硬件平台、系统软件、应用软件、软件开发环境、网络系统及拓扑结构所应用遵循的设计策略。 2、产业界:致
12、力于为可信计算平台构建制定工业标准,以使不同厂商的软硬件产品彼此兼容,共同营造安全可信计算环境,同时也将营造可信计算环境的思路纳入他们各自产品的设计过程之中。 3、存在的问题:6点,4.10 安全服务产品安全运营管理,4.10.1 安全服务产品综述 1、信息安全风险: 2、信息安全的发展趋势: 3、安全服务: 4、典型的安全服务产品:信息安全咨询、安全运营噶管理、安全体系架构规划、信息安全风险评估、应用安全评估、安全系统集成、信息安全培训等,4.10.2 典型安全服务产品安全运营管理,1、安全服务的核心:提供针对客户信息安全管理需求的完善解决方案,帮助用户更加全面地认识信息技术、评估信息安全隐
13、患及薄弱环节、完善信息安全架构、构建安全的运营环境、共同规划、设计、实施、运营、保护客户系统的安全。 2、安全运营管理是面向信息系统运行阶段的安全服务产品。 3、典型解决方案:安全运营中心(SOC),4.10.3 安全服务产品发展趋势,1、安全服务: 2、三个问题:组织机构、技术、流程。 3、发展趋势一:与IT服务管理的理念相结合,把客户需求量化为安全服务所遵从的质量标准体系。 4、安全服务管理:基于流程和面向服务的管理过程,目标:提高和保证。 5、安全服务的核心:保持信息安全与企业的目标相一致,合理利用信息安全资源,管理安全风险,为推动企业的业务发展提供可靠的平台,促使企业收益最大化。,4.11 小结,
