《信息安全产品体系概述》由会员分享,可在线阅读,更多相关《信息安全产品体系概述(6页珍藏版)》请在金锄头文库上搜索。
1、信息安全产品体系概述1随着信息化建设在我国的深入开展, 信息网络安全已成为普 遍关注的课题。基于国家政策的大力支持和信息安全行业的市场 推动,我国的信息安全产品也逐步发展成为一个比较完善的产品 体系。本文着重介绍密码产品及由其构成的信息安全产品。信息安全产品所依赖的的安全技术主要包括密码技术、 身份 认证、访问控制、虚拟专用网(VPN)、公共密钥基础设施(PKI) 等。信息安全产品分为四个层次:基础安全设备、终端安全设备、 网络安全设备、系统安全设备等。这些信息安全产品可以组成不同的行业安全解决方案。信息安全产品体系见下图。图1安全产品体系结构一基础安全设备基础安全设备包括:密码芯片、加密卡、
2、身份识别卡等。密码芯片是信息安全产品的基础, 为安全保密系统提供标准 的通用安全保密模块,根据算法类型的不同可以分为对称算法芯 片和非对称算法芯片。密码算法芯片作为通用安全模块可以配置 在单机或网络环境中,应用于不同类型的密码设备。 算法可以灵 活配置。分为ASIC密码芯片和FPGA密码芯片两种形式。 谢谢欣赏奥地利Graz理工大学通信与应用研究所 RSA 丫 ASIC密码芯 片在200MHz时钟下,1024BIT模长,RSA签名速度为2000次/ 秒。密码芯片作为安全技术的核心部分,可以为二次开发商、 OEM商和用户提供丰富的安全开发途径。加密卡分为加密服务器和加密插卡(简称加密卡),通常以
3、应用程序接口( API)的方式提供安全保密服务。加密服务器是 为局域网上的主机提供加密服务的专用整机式密码设备。加密卡是为PC机或主机等提供加密服务的插卡式密码设备。加密卡通 常提供数据加密、数字签名、信息完整性验证、密钥管理等功能, 应用于电子商务、企业业务系统和办公系统、VPN设备等应用环境中。国内外厂商可以依据具体业务基于加密卡进行二次安全开 发。身份识别卡种类较多,主要有智能动态令牌、音频动态口令 牌、电子钥匙等,用在单机、电话网、局域网及广域网中识别用 户身份合法性的场合。其特点是用户用来验证身份的口令每次都 不一样,避免了静态口令易被盗用和攻击情况的发生。主要用于用户接入控制方面,
4、如门禁系统、电话炒股系统、电话抽彩系统、 网络接入认证系统等。智能动态令牌作为通用的简易型访问控制产品在世界上已 形成较大的市场份额。SOFTPROTEC公司的数字钥具有微机启 动控制和登陆限制功能。二终端安全设备终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。电话密码机和传真密码机通常分为一体式和门卫式两种, 用 来对互相通信的两对电话或传真进行加解密, 同时还具有身份认 证的作用。异步数据密码机用来对点对点异步拨号通信的微机或者其 他设备进行通信加解密,用在公网中需要进行保密拨号通信的场 合。三网络安全设备网络安全设备从数据网和网络层考虑,可以分为IP协议密
5、码机、安全路由器、线路密码机、防火墙等。IP协议密码机主要用于因特网或企业网的数据加密传输,如广域网上不同LAN间,或LAN内工作组间的IP层保密通信。 它提供透明的IP层数据加密传输服务,不影响原有网络结构, 不影响原有网络功能,无须修改客户端或服务器端的软件,通信策略灵活,可支持保密通信和明通多条通道,具有高效、安全、 用户透明等特点。IP协议密码机常用来在广域网上为特定的用户构建一个安 全的VPN系统。安全路由器除了具备普通路由器的通信与路由功能外,还提供数据加密和防火墙等网络安全功能,集信道加密、异网互连和网络管理于一身。用户可以选择实现密通和明通功能。安全路由器可与IP协议密码机一起
6、组建安全的 VPN系统。线路密码机根据数据网的不同可以分为FR/DDN/X.25/ISDN/ATM密码机,分别针对不同的网络环境在分组层、数据链路层 对传输的数据实现加解密功能,抵御来自外部公网的攻击。线路密码机不仅实现数据网上数据保密的功能,还具有线路保密设备相互认证身份的功效。防火墙是一种有效的网络安全机制,它通常安装在被保护的内部网和外部网的连接点上,是在内部网与外部网之间实施安全 防范的一个系统。从内部网和外部网之间产生的任何活动都必须 经过防火墙。这样防火墙就可以确定这种活动 (E-mail,ftp,telnet,http等)是否是符合站点的安全规则,决定哪些内部服务允许外部访问,
7、哪些外部服务可以访问内部。 防火墙 不但可以实现基于网络访问的安全控制,还可对网络上流动的信息内容本身进行安全处理,对通过网络的数据进行分析,处理, 限制,从而有效的保护网络内部的数据。防火墙技术可以归纳为包过滤型和应用代理型。防火墙作为一种早期的网络安全产品,已被业内普遍接受。 几乎任何一个大中型网络在建网时都会主动考虑采用防火墙来 保护网内安全。国内自主产权防火墙已初具产业规模。四系统安全设备系统安全设备大致分为安全服务器、安全加密套件、金融加 密机/卡、安全中间件、公开密钥基础设施(PKI)系统、授权证 谢谢欣赏书(CA)系统等。安全服务器作为一个面向网络应用软件的加密代理系统,可以提供
8、应用软件服务器端和客户端之间的加密通道,并且通过制定访问控制策略对用户的访问进行控制。其特点是不需对应用软 件进行修改,实现基于策略的访问控制。 支持常见的网络应用服 务如 DB、Notes、WWW、FTP 等。安全服务器作为一个新型的安全产品,在信息网络的访问控制和数据加密方面可以发挥积极的作用。安全加密套件作为一个服务器 /客户端安全代理软件,通过 将网络应用软件的客户端封装在安全代理软件包中,采用各种访问控制策略,实现用户应用程序的安全加密功能。金融加密机/卡是针对金融计算机网的业务安全现状而设计 的应用层硬件加密设备,提供个人身份识别码( PIN)的安全和 管理、报文鉴别、交易报文加密
9、等功能。它可以实现交易的合法 性、隐蔽性和正确性,防止伪交易和用户秘密信息的泄露,保障 储户和金融机构的利益。各国研制的金融加密机/卡为保证各自金融业务系统的安全 提供确实的保证。安全中间件作为基础安全平台,介于基础安全部件和安全应 用系统之间为用户提供设备驱动程序、动态连接库、基础 API 等。在信息安全系统中,由于用户电子身份的大量需求,公开密钥技术成为信息安全的一大核心技术,应用在SSL、SHTTP、PGP、S/MIME/IPSec等安全协议中。PKI系统采用非对称密码技 术,为用户应用系统提供可信赖的、有效的密钥与证书管理,实 现信息保密、数据完整、身份认证和不可否认等安全机制。CA系
10、统是一个支持 X.509、SSL、S/MIME、WTLS等多种 国际标准协议的证书服务系统, 可用于发放个人客户端数字证书 和服务器数字证书,为电子商务应用系统、移动互联网应用系统 和企业内部网应用系统的安全提供身份支持。CA系统已经在国内外金融、电信、商务等行业逐步开始应 用,将成为信息社会中的一个重要的身份凭证。止匕外,安全操作系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预警与审计系统也应归于信息安全产品 之列。将这些信息安全产品应用在不同行业的信息安全领域,就形成电子商务安全解决方案、电子金融安全解决方案、电子公务员 安全解决方案、电子企业安全解决方案和电子公民安全解决方案 等。信息技术飞速发展,信息安全领域也在不断变化, 信息安全 产品的体系不可能一成不变,而将随着技术和市场的变化不断完 善。
