常见安全设备整理技术报告.doc

计算机信息系统安全产品概述 安全设备整体分类 1.1、整体概述 计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。实体安全包括环境安全，设备安全和媒体安全三个方面。运行安全包括风险分析,审计跟踪，备份与恢复，应急四个方面。信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。 1.2、术语定义 计算机信息系统 （Computer Information System）是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机信息系统安全专用产品 （Security Products for Computer Information Systems）是指用于保护计算机信息系统安全的专用硬件和软件产品。 实体安全（Physical Security）保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。 运行安全（ Operation Security）为保障系统功能的安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。信息安全（ Information Security）防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。 黑客 （Hacker）对计算机信息系统进行非授权访问的人员。 应急计划 （Contingency Plan）在紧急状态下，使系统能够尽量完成原定任务的计划。 证书授权 （Certificate Authority）通过证书的形式证明实体（如用户身份，用户的公开密钥等）的真实性。 安全操作系统（ Secure Operation System）为所管理的数据和资源提供相应的安全保护，而有效控制硬件和软件功能的操作系统。访问控制 （Access Control）指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。 防火墙（ Fire Wall）设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合。 计算机病毒 （Computer Virus）是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影?响计算机使用、并能自我复制的一组计算机指令或程序代码。 1.3、类别体系 实体安全包括环境安全、受灾防护、受灾恢复计划辅助软件、区域防护、设备安全、媒体安全。运行安全包括：风险分析、审计跟踪、备份与恢复、应急。信息安全包括：操作系统安全、数据库安全、网络安全、计算机病毒防护、访问控制、加密、鉴别。 安全设备部署 2.1、拓扑举例 一个完整的计算机信息系统包括：机房、服务器、网络设备、安全设备、应用软件。下图是一个相对完整的计算机信息系统拓扑图： 上图给出的拓扑图中，整个系统根据安全需求划分了不同的区域。整个拓扑图可以分成四个部分：边界区、核心交换区、核心数据区和运维管理区。 2.2、拓扑分析 边界网络设备为两台路由器，安全设备为一台防火墙。边界路由器通过防火墙连接了一个DMZ区和三层核心交换机。核心交换机为双机热备，通过防火墙连接安全管理中心和信息系统的核心业务。 我们首先分析DMZ区即：demilitarized zone,安全区域和非安全区域的一个缓冲区）。通过防火墙接入的第一台交换机上连接了防病毒服务器，第二台交换机则介入了身份鉴别控制。我们可以看到此区域标有行政办公区域的标识，由此可以理解DMZ区域的作用。即：明确个网络之间的访问关系，通过DMZ区可以设置内网、外网、DMZ区域之间的访问关系。 下面看核心交换区。图示中的两台核心交换机为双机热备，其旁路接入一个二层华为交换机，内部服务区亦直连核心交换机 。安全管理区通过一台防火墙与核心交换区连接，核心数据区则通过两台双机热备的防火墙连接到核心交换区。 核心数据区是整个信息系统的重中之重，从图中亦可看到，核心交换区通过双机热备的防火墙和旁路接入双机热备的两层接入层交换机的入侵检测（IDS）两层防护，才能通过交换机访问相应的服务器。服务器连入存储设备，将数据进行即时备份。 安全管理中心是整个信息系统的运维平台，在两层交换机上旁路接入了一个漏洞扫描设备，对整个信息系统进行监控。 网络安全设备 网络安全设备是信息安全的一部分，大多数人认为的网络安全是一个比较泛指的概念。我们这里介绍的网络安全就是狭义的提供访问网络资源或使用网络服务的安全保护。 3.1、安全管理类产品 为网络的