第4章-主要信息安全产品.ppt

第4章主要信息安全产品,本章主要介绍10类信息安全产品，主要介绍产品的功能、特点、局限性、发展趋势和一些应用情况。,第4章主要信息安全产品,4.1网络边界防护产品-入侵检测系统4.2网络边界防护产品-防火墙4.3网络连接防护产品-安全路由器4.4网络连接防护产品-安全网关4.5网络连接防护产品-VPN4.6本地环境保护产品-恶意代码防范软件4.7本地环境保护产品-密码机4.8基础设施安全产品-PKI/CA4.9基础设施安全产品-可信计算平台4.10安全服务产品-安全运营管理4.11小结,4.1网络边界防护产品-入侵检测系统,4.1.1局限性1.误警（误报）率高2.产品适应能力低3.大型网络的管理存在缺陷4.主动防御功能不足5.处理速度上的瓶颈6.评价IDS产品没有统一标准,4.1网络边界防护产品-入侵检测系统,4.1.2发展趋势1.智能关联2.告警泛滥抑制3.告警融合4.可信任防御模型采用的机制信任指数DoS攻击防护机制应用级攻击防护机制,4.2网络边界防护产品-防火墙,1、定义：防火墙是一个或一组系统，他们会在网络传输通过相关的访问节点时对其实施一套访问控制策略。2、目的：控制网络传输和数据的安全3、国际市场上分两大流派软件防火墙（CheckPoint为代表）ASIC硬件防火墙,4.2网络边界防护产品-防火墙,4.2.1功能特点嵌入式防火墙软件防火墙（企业级和SOHO级）硬件防火墙应用程序防火墙4.2.2主要技术1、静态分组过滤2、动态分组过滤3、状态过滤4、代理服务器,4.2网络边界防护产品-防火墙,4.2.3部署1、部署边界防火墙正确位置：内部网络与外部网络之间具体任务：拒绝外部非法IP地址；设置外部主机的访问权限；分析可以的攻击行为；防止非法入侵；实现内部网络与外部网络的有效隔离，防止来自外部网络的非法攻击。2、部署内部防火墙可以精确制定每个用户的访问权限，保证内部网络用户只能访问必要的资源。,4.2网络边界防护产品-防火墙,4.2.4局限性1、局限性不能防范不经过防火墙的攻击不能解决来自内部网络的攻击和安全问题不能防止策略配置不当或错误配置引起的安全威胁.2、脆弱性防火墙的操作系统不能保证没有漏洞防火墙的硬件不能保证不失效软件不能保证没有漏洞,4.2网络边界防护产品-防火墙,4.2.5发展趋势防火墙技术已经从包过滤防火墙和应用网关防火墙步入状态检测防火墙发展趋势：构建高性能平台，满足带宽需求；有状态的深度检测；分布式防火墙技术高速多功能化更安全,4.3网络连接防护产品-安全路由器,4.3.1局限性安全路由器产品的局限性主要体现在传统的路由器产品的局限性方面。分类：本地路由器和远程路由器路由算法路径表静态路径表动态路径表,4.3网络连接防护产品-安全路由器,优点：适用于大规模的网络；复杂的网络拓扑结构，负载共享和最优路径；.缺点：不支持非路由协议，安装复杂，价格高,4.3网络连接防护产品-安全路由器,4.3.2发展趋势速度更快（IP路由器速度提高的来源）硬件体系结构的改进ASIC技术的采纳3层交换技术的出现IPoverSDH，IPover,4.3网络连接防护产品-安全路由器,2.提升服务质量3.管理更加智能化,4.4网络连接防护产品-安全网关,4.4.1功能网关（Gateway）是连接两个协议差别很大的计算机网络时使用的设备。分类面向连接的网关无连接的网关安全网关是在传统网关设备的基础上侧重实现网络连接中的安全性，功能上体现为实现内容过滤、邮件过滤、防病毒等生产厂商：冠群金辰、卓尔伟业、上海格尔等,4.4网络连接防护产品-安全网关,4.2.2发展趋势结合专用操作系统硬件化和芯片化硬件平台多样化基于通用CPU的x86架构,4.5网络连接防护产品-VPN,4.5.1主要技术,4.7本地环境保护产品密码机,1、定义：密码机是按照一定程序用于信息加密和解密的设备。2、组成：蜜月装置、信息输入装置、编码器和信息输出装置。3、加密：是将输入密码机中的明文，变换成一定代码表示的字母或数字组成的随机暗码。,4.7.1功能模块,1、硬件加密部件：实现各种密码算法、安全保存密钥。2、密钥管理菜单：3、密码机后台进程：4、密码机监控程序和后台监控进程：其他：密码机的前台API，用于给应用系统提供服务接口。PKCS#11、Bsafe、CDSA,密码机支持的算法：公钥密码算法：对称密钥算法：杂凑算法：,4.7.2分类,1、客户端密码机：提供高端的密码服务，适合于政务办公应用。性能指标：3个2：服务器端密码机：单机形式的密码机：为特定的服务器提供密码服务，具有处理速度快、安全度高等特点。性能指标：4点分布式密码服务机：采用分布式计算技术，可灵活地增加密码服务模块，实现性能动态地根据需求平滑扩展，且不影响上层的应用系统。性能指标：4点,4.8基础设施安全产品PKI/CA,4.8.1开发模式面向产品的开发模式：自建PKI/CA模式，指的是企业购买整套的PKI/CA软件，然后自行建立一整套相关的服务体系。面向服务的开发模式：购买PKI/CA服务的模式，指的是企业利用第三方CA服务提供商的集成PKI平台，通过配置和管理，将企业端的前台与第三方高可靠性、高安全性的PKI后台组合在一起，对外提供证书服务。,4.8.2发展趋势,基于服务的PKI/CA和无线PKI实例：CFCA的手机证书：特点：1）、基于STK和短息消息（SMS），移动用户只需与移动服务商单点接入，即可方便地进行注册、服务查询、账户查询、转账处理、代收付等业务。2）、证书与手机使用者身份绑定在一起，有效地规避了用户在移动商务中数据传输信息失真、非法篡改、否认等交易风险、极大程度地提高了无线交易的安全性。,4.9基础设施安全产品可信计算平台,1、可信计算的目标：通过某些专用的硬件，是计算机设备如计算机更加安全。用户角度：厂商的角度：2、可信计算平台（TrustedComputingPlatformsTCP）：代表一系列安全设备。两个基本属性：保护数据，保护运行环境。（数据安全和代码安全）3、定义：基本思想是在硬件平台上引入安全芯片（可心平台模块TPM）构架，来提高终端系统的安全性，从而将部分或者整个计算平台变为“可信”的计算平台。,4.9.1发展历程,1、从安全启动安全协处理TPMTCP2、安全启动：基本思想是将系统配置分解为一系列的实体，逐一检查这些实体的完整性。1990年研制的Tripwire系统1994年研制的BIT系统1997年研制的AEGIS系统,3、安全协处理器：1973年高可信的通信子系统1980年Kent系统1987年ABYSS1991年Citadel系统1993年Dyad系统4、TPM实际上是一个含有密码运算部件和存储部件的小型片上系统（SOC），是构建可信计算平台TCP的基础。图4-9-15、TCP的可信机制的体现：1）、可信度量2）、度量的存储3）度量的报告。,4.9.2发展现状,1、产业界：TCG联盟宗旨：主要任务：规范：标准：2、科研方面：主要研究方向集中在系统安全体系结构（安全启动、虚拟技术、仅执行内存（XOM）、AEGIS、Cerium）、远程证明、访问控制、数字版权（DRM）、生物认证、网络安全、安全增强。,3、产业方面:4、TCP的代表技术：NGSCB和LaGrande5、应用领域：,4.9.3发展方向,1、科研领域：从理论上论证要达到系统可信，自芯片而上的硬件平台、系统软件、应用软件、软件开发环境、网络系统及拓扑结构所应用遵循的设计策略。2、产业界：致力于为可信计算平台构建制定工业标准，以使不同厂商的软硬件产品彼此兼容，共同营造安全可信计算环境，同时也将营造可信计算环境的思路纳入他们各自产品的设计过程之中。3、存在的问题：6点,4.10安全服务产品安全运营管理,4.10.1安全服务产品综述1、信息安全风险：2、信息安全的发展趋势：3、安全服务：4、典型的安全服务产品：信息安全咨询、安全运营噶管理、安全体系架构规划、信息安全风险评估、应用安全评估、安全系统集成、信息安全培训等,4.10.2典型安全服务产品安全运营管理,1、安全服务的核心：提供针对客户信息安全管理需求的完善解决方案，帮助用户更加全面地认识信息技术、评估信息安全隐患及薄弱环节、完善信息安全架构、构建安全的运营环境、共同规划、设计、实施、运营、保护客户系统的安全。2、安全运营管理是面向信息系统运行阶段的安全服务产品。3、典型解决方案：安全运营中心（SOC）,4.10.3安全服务产品发展趋