信息安全产品体系概述.doc

信息安全产品体系概述1

随着信息化建设在我国的深入开展，信息网络安全已成为普遍关注的课题。基于国家政策的大力支持和信息安全行业的市场推动，我国的信息安全产品也逐步发展成为一个比较完善的产品体系。

本文着重介绍密码产品及由其构成的信息安全产品。

信息安全产品所依赖的的安全技术主要包括密码技术、身份认证、访问控制、虚拟专用网（VPN）、公共密钥基础设施（PKI）等。

信息安全产品分为四个层次：基础安全设备、终端安全设备、网络安全设备、系统安全设备等。

这些信息安全产品可以组成不同的行业安全解决方案。

信息安全产品体系见下图。

图1 安全产品体系结构

一基础安全设备

基础安全设备包括：密码芯片、加密卡、身份识别卡等。

密码芯片是信息安全产品的基础，为安全保密系统提供标准的通用安全保密模块，根据算法类型的不同可以分为对称算法芯片和非对称算法芯片。密码算法芯片作为通用安全模块可以配置在单机或网络环境中，应用于不同类型的密码设备。算法可以灵活配置。分为ASIC密码芯片和FPGA密码芯片两种形式。

奥地利Graz理工大学通信与应用研究所RSAγASIC密码芯片在200MHz时钟下，1024BIT模长，RSA签名速度为2000次/秒。

密码芯片作为安全技术的核心部分，可以为二次开发商、OEM商和用户提供丰富的安全开发途径。

加密卡分为加密服务器和加密插卡（简称加密卡），通常以应用程序接口（API）的方式提供安全保密服务。加密服务器是为局域网上的主机提供加密服务的专用整机式密码设备。加密卡是为PC机或主机等提供加密服务的插卡式密码设备。加密卡通常提供数据加密、数字签名、信息完整性验证、密钥管理等功能，应用于电子商务、企业业务系统和办公系统、VPN设备等应用环境中。

国内外厂商可以依据具体业务基于加密卡进行二次安全开发。

身份识别卡种类较多，主要有智能动态令牌、音频动态口令牌、电子钥匙等，用在单机、电话网、局域网及广域网中识别用户身份合法性的场合。其特点是用户用来验证身份的口令每次都不一样，避免了静态口令易被盗用和攻击情况的发生。主要用于用户接入控制方面，如门禁系统、电话炒股系统、电话抽彩系统、网络接入认证系统等。

智能动态令牌作为通用的简易型访问控制产品在世界上已形成较大的市场份额。SOFTPROTEC公司的数字钥具有微机启动控制和登陆限制功能。

二终端安全设备

终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等。

电话密码机和传真密码机通常分为一体式和门卫式两种，用来对互相通信的两对电话或传真进行加解密，同时还具有身份认证的作用。

异步数据密码机用来对点对点异步拨号通信的微机或者其他设备进行通信加解密，用在公网中需要进行保密拨号通信的场合。

三网络安全设备

网络安全设备从数据网和网络层考虑，可以分为IP协议密码机、安全路由器、线路密码机、防火墙等。

IP协议密码机主要用于因特网或企业网的数据加密传输，如广域网上不同LAN间，或LAN内工作组间的IP 层保密通信。它提供透明的IP层数据加密传输服务，不影响原有网络结构，不影响原有网络功能，无须修改客户端或服务器端的软件，通信策略灵活，可支持保密通信和明通多条通道，具有高效、安全、用户透明等特点。

IP协议密码机常用来在广域网上为特定的用户构建一个安全的VPN系统。

安全路由器除了具备普通路由器的通信与路由功能外，还提供数据加密和防火墙等网络安全功能，集信道加密、异网互连和

网络管理于一身。用户可以选择实现密通和明通功能。

安全路由器可与IP协议密码机一起组建安全的VPN系统。

线路密码机根据数据网的不同可以分为FR/DDN/X.25/ISDN /ATM密码机，分别针对不同的网络环境在分组层、数据链路层对传输的数据实现加解密功能，抵御来自外部公网的攻击。

线路密码机不仅实现数据网上数据保密的功能，还具有线路保密设备相互认证身份的功效。

防火墙是一种有效的网络安全机制，它通常安装在被保护的内部网和外部网的连接点上，是在内部网与外部网之间实施安全防范的一个系统。从内部网和外部网之间产生的任何活动都必须经过防火墙。这样防火墙就可以确定这种活动（E-mail,ftp,telnet,http等）是否是符合站点的安全规则，决定哪些内部服务允许外部访问，哪些外部服务可以访问内部。防火墙不但可以实现基于网络访问的安全控制，还可对网络上流动的信息内容本身进行安全处理，对通过网络的数据进行分析，处理，限制，从而有效的保护网络内部的数据。防火墙技术可以归纳为包过滤型和应用代理型。

防火墙作为一种早期的网络安全产品，已被业内普遍接受。几乎任何一个大中型网络在建网时都会主动考虑采用防火墙来保护网内安全。国内自主产权防火墙已初具产业规模。

四系统安全设备

系统安全设备大致分为安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施（PKI）系统、授权证

书（CA）系统等。

安全服务器作为一个面向网络应用软件的加密代理系统，可以提供应用软件服务器端和客户端之间的加密通道，并且通过制定访问控制策略对用户的访问进行控制。其特点是不需对应用软件进行修改，实现基于策略的访问控制。支持常见的网络应用服务如DB、Notes、WWW、FTP等。

安全服务器作为一个新型的安全产品，在信息网络的访问控制和数据加密方面可以发挥积极的作用。

安全加密套件作为一个服务器/客户端安全代理软件，通过将网络应用软件的客户端封装在安全代理软件包中，采用各种访问控制策略，实现用户应用程序的安全加密功能。

金融加密机/卡是针对金融计算机网的业务安全现状而设计的应用层硬件加密设备，提供个人身份识别码（PIN）的安全和管理、报文鉴别、交易报文加密等功能。它可以实现交易的合法性、隐蔽性和正确性，防止伪交易和用户秘密信息的泄露，保障储户和金融机构的利益。

各国研制的金融加密机/卡为保证各自金融业务系统的安全提供确实的保证。

安全中间件作为基础安全平台，介于基础安全部件和安全应用系统之间为用户提供设备驱动程序、动态连接库、基础API 等。

在信息安全系统中，由于用户电子身份的大量需求，公开密钥技术成为信息安全的一大核心技术，应用在SSL、SHTTP、