主要信息安全产品知识讲解课件

《主要信息安全产品知识讲解课件》由会员分享，可在线阅读，更多相关《主要信息安全产品知识讲解课件（32页珍藏版）》请在装配图网上搜索。

1、第4章 主要信息安全产品本章主要介绍10类信息安全产品，主要介绍产品的功能、特点、局限性、发展趋势和一些应用情况。第1页，共32页。第4章 主要信息安全产品4.1 4.1 网络边界防护产品网络边界防护产品-入侵检测系统入侵检测系统4.2 4.2 网络边界防护产品网络边界防护产品-防火墙防火墙4.3 4.3 网络连接防护产品网络连接防护产品-安全路由器安全路由器4.4 4.4 网络连接防护产品网络连接防护产品-安全网关安全网关4.5 4.5 网络连接防护产品网络连接防护产品-VPN-VPN4.6 4.6 本地环境保护产品本地环境保护产品-恶意代码防范软件恶意代码防范软件4.7 4.7 本地环境保

2、护产品本地环境保护产品-密码机密码机4.8 4.8 基础设施安全产品基础设施安全产品-PKI/CA-PKI/CA4.9 4.9 基础设施安全产品基础设施安全产品-可信计算平台可信计算平台4.10 4.10 安全服务产品安全服务产品-安全运营管理安全运营管理4.11 4.11 小结小结第2页，共32页。第3页，共32页。4.1 网络边界防护产品-入侵检测系统4.1.2 发展趋势1.1.智能关联智能关联2.2.告警泛滥抑制告警泛滥抑制3.3.告警融合告警融合4.4.可信任防御模型可信任防御模型采用的机制采用的机制信任指数信任指数DoSDoS攻击防护机制攻击防护机制应用级攻击防护机制应用级攻击防护机

3、制第4页，共32页。4.2 网络边界防护产品-防火墙1、定义：防火墙 是一个或一组系统，他们会在网络传输通过相关的访问节点时对其实施一套访问控制策略。2、目的：控制网络传输和数据的安全3、国际市场上分两大流派软件防火墙（软件防火墙（Check Point Check Point 为代表）为代表）ASICASIC硬件防火墙硬件防火墙第5页，共32页。4.2 网络边界防护产品-防火墙4.2.1 4.2.1 功能特点功能特点 嵌入式防火墙嵌入式防火墙 软件防火墙（企业级和软件防火墙（企业级和SOHOSOHO级）级）硬件防火墙硬件防火墙 应用程序防火墙应用程序防火墙4.2.2 4.2.2 主要技术主要

4、技术 1 1、静态分组过滤、静态分组过滤 2 2、动态分组过滤、动态分组过滤 3 3、状态过滤、状态过滤 4 4、代理服务器、代理服务器第6页，共32页。4.2 网络边界防护产品-防火墙4.2.3 部署1 1、部署边界防火墙、部署边界防火墙正确位置：内部网络与外部网络之间正确位置：内部网络与外部网络之间具体任务：拒绝外部非法具体任务：拒绝外部非法IPIP地址；设置外部主机的地址；设置外部主机的访问权限；分析可以的攻击行为；防止非法入侵；访问权限；分析可以的攻击行为；防止非法入侵；实现内部网络与外部网络的有效隔离，防止来自外实现内部网络与外部网络的有效隔离，防止来自外部网络的非法攻击。部网络的非

5、法攻击。2 2、部署内部防火墙、部署内部防火墙可以精确制定每个用户的访问权限，保证内部网络可以精确制定每个用户的访问权限，保证内部网络用户只能访问必要的资源。用户只能访问必要的资源。第7页，共32页。4.2 网络边界防护产品-防火墙4.2.4 局限性1 1、局限性、局限性不能防范不经过防火墙的攻击不能防范不经过防火墙的攻击不能解决来自内部网络的攻击和安全问题不能解决来自内部网络的攻击和安全问题不能防止策略配置不当或错误配置引起的安全威胁不能防止策略配置不当或错误配置引起的安全威胁.2 2、脆弱性、脆弱性防火墙的操作系统不能保证没有漏洞防火墙的操作系统不能保证没有漏洞防火墙的硬件不能保证不失效防

6、火墙的硬件不能保证不失效软件不能保证没有漏洞软件不能保证没有漏洞第8页，共32页。4.2 网络边界防护产品-防火墙4.2.5 发展趋势防火墙技术已经从包过滤防火墙和应用网关防防火墙技术已经从包过滤防火墙和应用网关防火墙步入状态检测防火墙火墙步入状态检测防火墙发展趋势：构建高性能平台，满足带宽需求；发展趋势：构建高性能平台，满足带宽需求；有状态的深度检测；分布式防火墙技术有状态的深度检测；分布式防火墙技术高速高速多功能化多功能化更安全更安全第9页，共32页。4.3 网络连接防护产品-安全路由器4.3.1 局限性安全路由器产品的局限性主要体现在传统的路安全路由器产品的局限性主要体现在传统的路由器产

7、品的局限性方面。由器产品的局限性方面。分类：本地路由器和远程路由器分类：本地路由器和远程路由器路由算法路由算法路径表路径表静态路径表静态路径表动态路径表动态路径表第10页，共32页。4.3 网络连接防护产品-安全路由器优点：适用于大规模的网络；复杂的网络拓扑优点：适用于大规模的网络；复杂的网络拓扑结构，负载共享和最优路径；结构，负载共享和最优路径；.缺点：不支持非路由协议，安装复杂，价格高缺点：不支持非路由协议，安装复杂，价格高第11页，共32页。4.3 网络连接防护产品-安全路由器4.3.2 发展趋势速度更快（速度更快（IPIP路由器速度提高的来源）路由器速度提高的来源）硬件体系结构的改进硬

8、件体系结构的改进ASICASIC技术的采纳技术的采纳3 3层交换技术的出现层交换技术的出现IPIPover SDHover SDH，IPIPoverover第12页，共32页。4.3 网络连接防护产品-安全路由器2.2.提升服务质量提升服务质量3.3.管理更加智能化管理更加智能化第13页，共32页。4.4 网络连接防护产品-安全网关4.4.1 4.4.1 功能功能 网关（网关（GatewayGateway）是连接两个协议差别很大的计算机网络时）是连接两个协议差别很大的计算机网络时使用的设备。使用的设备。分类分类 面向连接的网关面向连接的网关 无连接的网关无连接的网关 安全网关是在传统网关设备的

9、基础上侧重实现网络连接中的安全安全网关是在传统网关设备的基础上侧重实现网络连接中的安全性，功能上体现为实现内容过滤、邮件过滤、防病毒等性，功能上体现为实现内容过滤、邮件过滤、防病毒等 生产厂商：冠群金辰、卓尔伟业、上海格尔等生产厂商：冠群金辰、卓尔伟业、上海格尔等第14页，共32页。4.4 网络连接防护产品-安全网关4.2.2 发展趋势结合专用操作系统结合专用操作系统硬件化和芯片化硬件化和芯片化硬件平台多样化硬件平台多样化基于通用基于通用CPUCPU的的x86x86架构架构第15页，共32页。4.5 网络连接防护产品-VPN4.5.1 主要技术第16页，共32页。4.7 本地环境保护产品密码机

10、1、定义：密码机是按照一定程序用于信息加密和解密的设备。2、组成：蜜月装置、信息输入装置、编码器和信息输出装置。3、加密：是将输入密码机中的明文，变换成一定代码表示的字母或数字组成的随机暗码。第17页，共32页。4.7.1 功能模块1、硬件加密部件：实现各种密码算法、安全保存密钥。2、密钥管理菜单：3、密码机后台进程：4、密码机监控程序和后台监控进程：其他：密码机的前台API，用于给应用系统提供服务接口。PKCS#11PKCS#11、BsafeBsafe、CDSACDSA第18页，共32页。密码机支持的算法：公钥密码算法：公钥密码算法：对称密钥算法：对称密钥算法：杂凑算法：杂凑算法：第19页，

11、共32页。4.7.2 分类1、客户端密码机：提供高端的密码服务，适合于政务办公应用。性能指标：性能指标：3 3个个2：服务器端密码机：单机形式的密码机：为特定的服务器提供密码单机形式的密码机：为特定的服务器提供密码服务，具有处理速度快、安全度高等特点。服务，具有处理速度快、安全度高等特点。性能指标性能指标 ：4 4点点分布式密码服务机：采用分布式计算技术，可分布式密码服务机：采用分布式计算技术，可灵活地增加密码服务模块，实现性能动态地根灵活地增加密码服务模块，实现性能动态地根据需求平滑扩展，且不影响上层的应用系统。据需求平滑扩展，且不影响上层的应用系统。性能指标：性能指标：4 4 点点第20页

12、，共32页。4.8 基础设施安全产品PKI/CA4.8.1 开发模式面向产品的开发模式：自建面向产品的开发模式：自建PKI/CAPKI/CA模式，指的模式，指的是企业购买整套的是企业购买整套的PKI/CAPKI/CA软件，然后自行建立软件，然后自行建立一整套相关的服务体系。一整套相关的服务体系。面向服务的开发模式：购买面向服务的开发模式：购买PKI/CAPKI/CA服务的模式，服务的模式，指的是企业利用第三方指的是企业利用第三方CACA服务提供商的集成服务提供商的集成PKIPKI平台，通过配置和管理，将企业端的前台与平台，通过配置和管理，将企业端的前台与第三方高可靠性、高安全性的第三方高可靠性

13、、高安全性的PKIPKI后台组合在一后台组合在一起，对外提供证书服务。起，对外提供证书服务。第21页，共32页。4.8.2 发展趋势基于服务的PKI/CA和无线PKI实例：CFCA的手机证书：特点：特点：1 1）、基于）、基于STK STK 和短息消息（和短息消息（SMSSMS），移），移动用户只需与移动服务商单点接入，即可方便动用户只需与移动服务商单点接入，即可方便地进行注册、服务查询、账户查询、转账处理、地进行注册、服务查询、账户查询、转账处理、代收付等业务。代收付等业务。2 2）、证书与手机使用者身份绑）、证书与手机使用者身份绑定在一起，有效地规避了用户在移动商务中数定在一起，有效地规避

14、了用户在移动商务中数据传输信息失真、非法篡改、否认等交易风险、据传输信息失真、非法篡改、否认等交易风险、极大程度地提高了无线交易的安全性。极大程度地提高了无线交易的安全性。第22页，共32页。4.9 基础设施安全产品可信计算平台1 1、可信计算的目标：通过某些专用的硬件，是计算机设、可信计算的目标：通过某些专用的硬件，是计算机设备如计算机更加安全。备如计算机更加安全。用户角度：用户角度：厂商的角度：厂商的角度：2 2、可信计算平台（、可信计算平台（Trusted Computing Platforms TCPTrusted Computing Platforms TCP）：）：代表一系列安全设

15、备。代表一系列安全设备。两个基本属性：保护数据，保护运行环境。两个基本属性：保护数据，保护运行环境。（数据安全和代码安全）（数据安全和代码安全）3 3、定义：基本思想是在硬件平台上引入安全芯、定义：基本思想是在硬件平台上引入安全芯片（可心平台模块片（可心平台模块TPMTPM）构架，来提高终端系）构架，来提高终端系统的安全性，从而将部分或者整个计算平台变统的安全性，从而将部分或者整个计算平台变为为“可信可信”的计算平台。的计算平台。第23页，共32页。4.9.1 发展历程1、从安全启动安全协处理TPMTCP2、安全启动：基本思想是将系统配置分解为一系列的实体，逐一检查这些实体的完整性。19901

16、990年研制的年研制的TripwireTripwire系统系统19941994年研制的年研制的BITBIT系统系统19971997年研制的年研制的AEGISAEGIS系统系统第24页，共32页。3、安全协处理器：19731973年高可信的通信子系统年高可信的通信子系统19801980年年KentKent系统系统19871987年年ABYSSABYSS19911991年年CitadelCitadel系统系统19931993年年DyadDyad系统系统4、TPM实际上是一个含有密码运算部件和存储部件的小型片上系统（SOC），是构建可信计算平台TCP的基础。图4-9-15、TCP的可信机制的体现：1

17、）、可信度量2）、度量的存储 3）度量的报告。第25页，共32页。4.9.2 发展现状1、产业界：TCG联盟宗旨：宗旨：主要任务：主要任务：规范：规范：标准：标准：2、科研方面：主要研究方向集中在系统安全体系结构（安全启动、虚拟技术、仅执行内存（XOM）、AEGIS、Cerium）、远程证明、访问控制、数字版权（DRM）、生物认证、网络安全、安全增强。第26页，共32页。3、产业方面:4、TCP的代表技术：NGSCB和LaGrande5、应用领域：第27页，共32页。4.9.3 发展方向1、科研领域：从理论上论证要达到系统可信，自芯片而上的硬件平台、系统软件、应用软件、软件开发环境、网络系统及

18、拓扑结构所应用遵循的设计策略。2、产业界：致力于为可信计算平台构建制定工业标准，以使不同厂商的软硬件产品彼此兼容，共同营造安全可信计算环境，同时也将营造可信计算环境的思路纳入他们各自产品的设计过程之中。3、存在的问题：6点第28页，共32页。4.10 安全服务产品安全运营管理4.10.1 安全服务产品综述1 1、信息安全风险：、信息安全风险：2 2、信息安全的发展趋势：、信息安全的发展趋势：3 3、安全服务：、安全服务：4 4、典型的安全服务产品：信息安全咨询、安全、典型的安全服务产品：信息安全咨询、安全运营噶管理、安全体系架构规划、信息安全风运营噶管理、安全体系架构规划、信息安全风险评估、应

19、用安全评估、安全系统集成、信息险评估、应用安全评估、安全系统集成、信息安全培训等安全培训等第29页，共32页。4.10.2 典型安全服务产品安全运营管理1、安全服务的核心：提供针对客户信息安全管理需求的完善解决方案，帮助用户更加全面地认识信息技术、评估信息安全隐患及薄弱环节、完善信息安全架构、构建安全的运营环境、共同规划、设计、实施、运营、保护客户系统的安全。2、安全运营管理是面向信息系统运行阶段的安全服务产品。3、典型解决方案：安全运营中心（SOC）第30页，共32页。4.10.3 安全服务产品发展趋势1 1、安全服务：、安全服务：2 2、三个问题：组织机构、技术、流程。、三个问题：组织机构

20、、技术、流程。3 3、发展趋势一：与、发展趋势一：与ITIT服务管理的理念相结合，把客户服务管理的理念相结合，把客户需求量化为安全服务所遵从的质量标准体系。需求量化为安全服务所遵从的质量标准体系。4 4、安全服务管理：基于流程和面向服务的管理过程，目标：、安全服务管理：基于流程和面向服务的管理过程，目标：提高和保证提高和保证。5 5、安全服务的核心：保持信息安全与企业的目标相一致，、安全服务的核心：保持信息安全与企业的目标相一致，合理利用信息安全资源，管理安全风险，为推动企业的业合理利用信息安全资源，管理安全风险，为推动企业的业务发展提供可靠的平台，促使企业收益最大化。务发展提供可靠的平台，促使企业收益最大化。第31页，共32页。4.11 小结第32页，共32页。