網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。網路安全模組是指網路系統中專門用於防止網路上傳輸的信息遭受人為破壞或出現非人為故障的硬體設備和軟體模組。
基本介紹
- 中文名:網路安全模組
- 外文名:Network security module
- 學科:信息安全
- 目的:保護數據私密性、 數據完整性
- 組成:硬體設備和軟體模組
- 有關術語:網路安全
簡介,硬體安全模組,網路硬碟存儲系統的安全模組,模組,防火牆,網關,
簡介
網路安全包含網路設備安全、網路信息安全、網路軟體安全。黑客通過基於網路的入侵來達到竊取敏感信息的目的,也有人以基於網路的攻擊見長,被人收買通過網路來攻擊商業競爭對手企業,造成網路企業無法正常營運,網路安全就是為了防範這種信息盜竊和商業競爭攻擊所採取的措施。網路安全模組是指計算機網路中專門用於保護數據完整性和隱私性軟體和硬體設備,網路安全模組能提供實時網路防護,和線內惡意軟體掃描技術, 提供全面的網路防護並對未知或新的網路內容進行實時分類。使用先進的分析技術;即時看到網路威脅: 通過這項服務內置的報告界面,IT 管理員可以方便地看到有多少威脅正在試圖訪問網路並快速地發現感染惡意軟體並試圖向惡意軟體伺服器傳送敏感信息或機密信息的終端用戶。
硬體安全模組
硬體安全模組(hardware security module,縮寫HSM)是一種用於保護和管理強認證系統所使用的密鑰,並同時提供相關密碼學操作的計算機硬體設備。硬體安全模組一般通過擴展卡或外部設備的形式直接連線到電腦或網路伺服器。HSM提供篡改留證(tamper evidence/proof)、篡改抵抗(tamper evidence)兩種方式的防篡改功能,前者設計使得篡改行為會留下痕跡,後者設計使得篡改行為會令HSM銷毀密鑰一類的受保護信息。[1]每種HSM都會包括一個或多個安全協處理器,用於阻止篡改或匯流排探測。許多HSM系統提供可靠的密鑰備份機制,使機密數據可以通過智慧卡或其他設備安全地處理或轉移。由於HSM通常是公鑰基礎設施(PKI)或網上銀行一類關鍵基礎設施的一部分,一般會同時使用多個HSM以實現高可用性。一些HSM具備雙電源、無需停機更換配件(如冷卻風扇)等設計,以確保在數據中心等環境中的高可用性要求。少數HSM可以讓用戶在其內部處理器上運行專門開發的模組。在一些場景下,這種設計相當實用,例如用戶可以在這種安全、受控的環境下運行一些特殊的算法或者業務邏輯,哪怕攻擊者取得了計算機的完全控制許可權,存儲在HSM(連線到計算機)中的程式也無法被提取或篡改。一般HSM允許用戶使用C、.NET、Java等程式語言開發這種專用程式。值得注意的是,用戶自定義的程式與HSM本身的程式之間存在隔離,這使程式的存在不會影響到HSM本身的安全。考慮到硬體安全模組(HSM)在應用程式與基礎設施的安全中扮演的關鍵角色,此類密碼學模組通常都會經過Common Criteria、FIPS 140等受到國際承認的認證。這將為用戶提供產品設計與實現上的保障,同時確保相應的密碼學算法能按預期方式正確工作。FIPS 140安全認證最高認證等級為Level 4(整體),僅有極少數HSM成功通過這一等級的認證,大部分設備處於Level 3等級。硬體安全模組可在任何涉及到密鑰的場景下使用。通常來說,這些密鑰具有較高的價值,一旦泄露會導致嚴重的後果。硬體安全模組的功能通常包括:板載密碼學安全密鑰生成;板載密碼學安全密鑰存儲與管理;加密且敏感資料的使用;卸載(代辦)應用程式伺服器的對稱與非對稱加密計算。HSM也用於資料庫透明加密的密鑰管理。對於密鑰在內的敏感信息,HSM同時提供邏輯層面與物理層面的保護,以防止未經授權的訪問或者可能的入侵。
網路硬碟存儲系統的安全模組
由於大部分網路硬碟產品使用客戶端-伺服器構架,所以為了能使安全模組適應多數網盤的結構,安全模組分為三個部分:客戶端安全模組、伺服器安全模組和認證中心。客戶端安全模組負責數據的加解密、完整性校驗;伺服器安全模組負責用戶的訪問許可權控制與安全元數據的管理;認證中心(Certificate Authority)作為獨立於網盤提供商的第三方存在於整個系統當中,負責密鑰的生成與管理、證書頒發與校驗等工作,其目的是加強系統的安全性。 網路硬碟提供商只需在網盤系統的客戶端與伺服器的互動中,按照一定的邏輯調用安全模組中的函式,即可提供相應的數據安全保障。安全模組的具體架構如圖 1 所示。採用此種系統構架可以帶來以下優點:安全模組與原有網路硬碟耦合性低,大部分網路硬碟;只需做較少改動, 就能夠完成整合安全模組的工作以保障用戶數據安全;認證中心作為獨立的第三方存在於網盤系統中,使得系統更具可靠性。由於認證中心負責生成並分發用戶的根密鑰,所以即使用戶數據被竊取,也無法被非法用戶解密。整個系統的大部分密碼學計算和完整性校驗工作都由客戶端安全模組完成,所以網路硬碟載入安全模組並不會在性能開銷方面給系統伺服器端造成過多影響,從而避免了伺服器成為整個系統的瓶頸。
網路硬碟在載入安全模組後的系統構架
網路硬碟在載入安全模組後的系統構架模組
模組是構成系統、實現系統功能的基本單位,可以理解為一般意義上的子程式。一個模組具有輸入/輸出、功能、內部數據和程式代碼等四個特性。輸入和輸出分別是模組需要和產生的信息,功能是指模組所做的工作,輸入輸出和功能構成了一個模組的外貌,即模組的外部特性。模組是用程式代碼完成它的功能的,內部數據是僅供該模組本身引用的數據,內部數據和程式代碼是模組的內部特性。系統中模組的一個重要特徵,就是模組間存在著調用和被調用的關係,並伴隨模組的調用過程,存在著模組間的參數傳遞,構成模組間的聯繫。
軟體模組(Module)是一套一致而互相有緊密關連的軟體組織。它分別包含了程式和數據結構兩部分。現代軟體開發往往利用模組作合成的單位。模組的接口表達了由該模組提供的功能和調用它時所需的元素。模組是可能分開地被編寫的單位。這使他們可再用和允許廣泛人員同時協作、編寫及研究不同的模組。
防火牆
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問規則、驗證工具、包過濾和套用網關4個部分組成,防火牆就是一個位於計算機和它所連線的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。在網路中,所謂“防火牆”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網路,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
網關
網關(Gateway)又稱網間連線器、協定轉換器。網關在網路層以上實現網路互連,是最複雜的網路互連設備,僅用於兩個高層協定不同的網路互連。網關既可以用於廣域網互連,也可以用於區域網路互連。 網關是一種充當轉換重任的計算機系統或設備。使用在不同的通信協定、數據格式或語言,甚至體系結構完全不同的兩種系統之間,網關是一個翻譯器。與網橋只是簡單地傳達信息不同,網關對收到的信息要重新打包,以適應目的系統的需求。同層--套用層。
