计算机信息系统安全产品概述一、安全设备整体分类1.1、整体概述计算机信息系统安全专用产品，涉及实体安全、运行安全和信息安全三个方面。

实体安全包括环境安全，设备安全和媒体安全三个方面。

运行安全包括风险分析,审计跟踪，备份与恢复，应急四个方面。

信息安全包括操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密与鉴别七个方面。

1.2、术语定义计算机信息系统（Computer Information System）是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

计算机信息系统安全专用产品（Security Products for Computer Information Systems）是指用于保护计算机信息系统安全的专用硬件和软件产品。

实体安全（Physical Security）保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。

运行安全（Operation Security）为保障系统功能的安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。

信息安全（Information Security）防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。

即确保信息的完整性、保密性，可用性和可控性。

黑客（Hacker）对计算机信息系统进行非授权访问的人员。

应急计划（Contingency Plan）在紧急状态下，使系统能够尽量完成原定任务的计划。

证书授权（Certificate Authority）通过证书的形式证明实体（如用户身份，用户的公开密钥等）的真实性。

安全操作系统（Secure Operation System）为所管理的数据和资源提供相应的安全保护，而有效控制硬件和软件功能的操作系统。

访问控制（Access Control）指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。

防火墙（Fire Wall）设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合。

计算机病毒（Computer Virus）是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或程序代码。

1.3、类别体系实体安全包括环境安全、受灾防护、受灾恢复计划辅助软件、区域防护、设备安全、媒体安全。

运行安全包括：风险分析、审计跟踪、备份与恢复、应急。

信息安全包括：操作系统安全、数据库安全、网络安全、计算机病毒防护、访问控制、加密、鉴别。

二、安全设备部署2.1、拓扑举例一个完整的计算机信息系统包括：机房、服务器、网络设备、安全设备、应用软件。

下图是一个相对完整的计算机信息系统拓扑图：上图给出的拓扑图中，整个系统根据安全需求划分了不同的区域。

整个拓扑图可以分成四个部分：边界区、核心交换区、核心数据区和运维管理区。

2.2、拓扑分析边界网络设备为两台路由器，安全设备为一台防火墙。

边界路由器通过防火墙连接了一个DMZ区和三层核心交换机。

核心交换机为双机热备，通过防火墙连接安全管理中心和信息系统的核心业务。

我们首先分析DMZ区即：demilitarized zone,安全区域和非安全区域的一个缓冲区）。

通过防火墙接入的第一台交换机上连接了防病毒服务器，第二台交换机则介入了身份鉴别控制。

我们可以看到此区域标有行政办公区域的标识，由此可以理解DMZ区域的作用。

即：明确个网络之间的访问关系，通过DMZ区可以设置内网、外网、DMZ区域之间的访问关系。

下面看核心交换区。

图示中的两台核心交换机为双机热备，其旁路接入一个二层华为交换机，内部服务区亦直连核心交换机。

安全管理区通过一台防火墙与核心交换区连接，核心数据区则通过两台双机热备的防火墙连接到核心交换区。

核心数据区是整个信息系统的重中之重，从图中亦可看到，核心交换区通过双机热备的防火墙和旁路接入双机热备的两层接入层交换机的入侵检测（IDS）两层防护，才能通过交换机访问相应的服务器。

服务器连入存储设备，将数据进行即时备份。

安全管理中心是整个信息系统的运维平台，在两层交换机上旁路接入了一个漏洞扫描设备，对整个信息系统进行监控。

三、网络安全设备网络安全设备是信息安全的一部分，大多数人认为的网络安全是一个比较泛指的概念。

我们这里介绍的网络安全就是狭义的提供访问网络资源或使用网络服务的安全保护。

3.1、安全管理类产品为网络的使用提供安全管理类的产品包括：上网行为管理系统、安全管理平台、运维管理系统、网络安全综合监控平台等。

厂商包括：游龙SiteView系列、北塔BTNM、网强NetController、摩卡Mocha BSM 4+1、网利Netgain、深信服、网康、北信源、安达通、山石网科、神州数码eBond、IBM Tivoli、HP BTO、CA、绿盟NSFOCUS NIDS、启明星辰泰和系列、天融信TSM等。

上面给出的产品各自完成的功能不同，名称也五花八样，但总体他们均能实现的功能包括：➢帮助协调网络的使用，预防安全事故的发生；➢跟踪并记录网络的使用，监测系统状态的变化。

如提供对网络系统故意入侵行为的记录和对违反网络系统安全管理行为的记录；➢实现对各种网络安全事故的定位，探测网络安全事件发生的确切位置；➢提供某种程度的对紧急事件或安全事故的故障排除能力。

3.2、网络安全系统网络安全系统对网络资源的访问和网络服务的使用提供一套完整的安全保护，从网络系统的设计、实现、使用和管理各个阶段遵循一套完整的安全策略。

目前局域网中的网络操作系统有：windows、Netware、Unix、Linux。

目前市场上常见的有：网络监控系统、实名核查审计系统、非法内外网监控系统、内网安全管理监控等。

3.3、网络系统安全部件对网络系统的某个过程、部分或服务提供安全保护，从而增强在整个网络系统的安全性。

其产品包括：防火强、身份认证、安全电子邮件服务、入侵防御即：IDS、隔离卡、终端监控与管理系统、应用审计系统、安全网关、DDOS防御网关、物理隔离系统、过滤网关、网页防纂改等。

其产品有：PC网络安全隔离卡G-D、天清防垃圾邮件系统、蓝盾DDOS防御网关GW-5000、网盾2000 Ver 5.0、金盾互联网信息审计过滤系统JD-1.00。

3.3.1、防火墙介绍防火墙是我们在测评过程中遇到最多的产品，很多说法和产品名称不同，但从功能上理解都是防火墙的功能。

常见的产品有：神州数码防火墙DCFW-1800S/E系列、Juniper-SSG防火墙、防火墙Quidway Eudemon 200、CISCO PIX535系列、H3C SecPath F系列、WatchGuard Firebox X Edge X系列、安全网关Ubigate iBG2016、太极统一威胁管理系统TJ-UTM、联想网御防火墙等。

3.3.2、入侵检测介绍入侵防御（IDS/IPS）也是等保三级要求的必须的安全设备。

其常见的入侵检测产品有：天阗入侵检测与管理系统、天阗千兆入侵检测与管理系统、安氏领信入侵防御系统v7、DefensPro入侵防御DefensPro-2000、思科IDS、NetKeeper IPS NK系列、TOPSEC网络卫士入侵检测系统V、天清入侵防御系统V6.0、冰之眼网络入侵检测系统ICEYE NIDS V5等。

部分产品比如：UTM、IPS等，把很多功能集成到一起。

我们在了解客户的设备时，要了解清楚具体安装了哪些模块，仅靠名称来判定并不正确。

3.3.3、防病毒介绍单机版的防病毒软件我们平时接触的就很多，比如：卡巴斯基、江民、金山、360等。

在这里我们主要介绍的是网络杀毒产品：天融信的网络卫士过滤网关系统TopFi1te、TOPSEC网络卫士过滤网关系统V3、金山毒霸网络版、瑞星杀毒软件2007网络版、网神SecAV 3600防毒墙、北信源VRV网络杀毒、KILL网络防病毒系统等。

其主要完成的功能是：预防计算机病毒侵入网络系统、检测已侵入网络系统的病毒、定位已侵入网络系统的病毒、防止网络系统中病毒的传染、清除网络系统中已发现的病毒。

四、物理安全设备4.1、监控系统物理安全中，市场上主流的是机房监控系统。

主要是针对机房所有的设备及环境进行集中监控和管理的，其监控对象构成机房的各个子系统：动力系统、环境系统、消防系统、保安系统、网络系统等。

其功能包括：动力监控系统、空调设备监控、温湿度监控、图像监控系统、漏水监测系统、智能门禁管理、消防系统监控、防雷系统、应用机房监控系统等。

这些系统都需要配套的设备进行配合，判定的时候根据信息系统机房的整体设计结合建筑基础设施进行分析的。

4.2、静电与电磁防护静电防护一般采用静电接地，增加空气的湿度，在物料内加入抗静电剂，使用静电中和器和工艺上采用导电性能较好的材料，降低摩擦、流速、惰性气体保护等方法来消除或减少静电产生。

常用测产品有防静电地板、防静电工作台、防静电耗材（手套、手指套）、防静电工具（离子风机、离子风枪、静电带测试仪、静电场测试仪、烙铁、静电带、烙铁咀、镊子、毛刷）、防静电服等。

电磁危害的防护一般采用电磁屏蔽装置。

高频电磁屏蔽装置可由铜、铝或钢制成。

金属或金属网可有效地消除电磁场的能量，因此可以用屏蔽室、屏蔽服等方式来防护。

屏蔽装置应有良好的接地装置，以提高屏蔽效果。

4.3、防雷击雷电危害的防护一般采用避雷针、避雷器、避雷网、避雷线等装置将雷电直接导入大地。

避雷针主要用来保护露天变配电设备、建筑物和构筑物；避雷线主要用来保护电力线路；避雷网和避雷带主要用来保护建筑物；避雷器主要用来保护电力设备。

五、主机及应用系统安全设备5.1、操作系统安全针对主机即我们熟知的服务器的安全设备有很多，我们但从保护服务器这个角度，就可以与物理安全相结合。

从软件的角度，首先就是操作系统的安全。

我们熟知的操作系统有：windows、linux、Unix、Informax 等。

而目前市场推出的操作系统安全产品是在原有的操作系统基础上进行一些配置加强和加固。

例如为我们所熟知的SELinux。

而目前市场的产品有：浪潮SSR服务器安全加固系统、中软华泰的操作系统安全加固、神威身份认证登陆管理系统、蓝盾的安全加固产品（包括操作系统安全加固和优化、应用软件安全加固和优化等）、网神SecSSM3600服务器安全加固与管理系统等。

5.2、数据库安全产品目前针对数据库的基本也是加固类的，Oracle数据库自带了TDE加密插件，可以选择。