信息安全技术信息安全产品分类.doc

信息安全技术 信息安全产品分类1 范围本标准规定了信息安全产品分类，包括物理安全类、主机安全类、网络安全类、边界安全类、应用安全类、数据安全类、安全管理与支持类及其他类八个方面。本标准适用于国家信息安全等级保护建设与信息安全行业产品分类管理。本标准不适用于商用密码产品。2 规范性引用文件下列文件中的有关条款通过引用而成为本标准的条款。凡注日期或版次的引用文件，其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本标准，但提倡使用本标准的各方探讨使用其最新版本的可能性。凡不注日期或版次的引用文件，其最新版本适用于本标准。GB17859-1999计算机信息系统安全保护等级划分准则3 术语和定义GB17859-1999确立的术语和定义适用于本标准。3.1信息安全产品 information security products保障信息安全的一个IT软件、固件或硬件包，它提供相关功能且可用于或组合到多种系统中。3.2物理安全产品 physical security products采用一定信息技术实现的，用以保护系统、设备、设施以及介质免遭物理破坏（如地震、火灾等自然灾害以及直接窃取等人为破坏）的信息安全产品。3.3主机设备 host equipment由单一操作系统平台及其上层运行的应用所组成的、独立的信息设备。包括PC机、工作站、服务器等。3.4主机安全产品 host security products部署在主机设备上，用于保障主机运行和数据安全的信息安全产品。3.5网络安全产品 network security products部署在网络设备或通信终端上，用于防御针对网络通讯的攻击，保障通讯的可用性、保密性、完整性的信息安全产品。3.6边界安全产品 boundary security products部署在安全域的边界上，用于防御安全域外部对内部网络/主机设备进行渗透或安全域内部网络/主机设备向外部泄漏敏感信息的信息安全产品。3.7应用安全产品 application security products部署在特定的应用系统中，用于保障应用安全的信息安全产品，如应用级别的身份鉴别和访问控制服务。3.8数据安全产品 data security products防止信息系统数据被故意或无意非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保数据的完整性、保密性，可用性和可控性的信息安全产品。3.9安全管理与支持产品 security management and support products 为保障信息系统正常运行提供安全基础服务管理与支持，以及降低运行过程中安全风险的信息安全产品。此类产品没有明确的部署点，也不直接针对具体设备。4 分类本标准将信息安全产品分为三级，一级分类编号为1位字母，二级分类编号为一级分类编号后增加1位数字，三级分类编号为二级分类编号后增加2位数字。表4.1 信息安全产品分类一级分类二级分类三级分类编号类别编号类别编号类别A物理安全A1环境安全A101区域防护A102融灾恢复计划辅助支持A103灾备防护A2设备安全A201设备防盗A202设备防毁A203防电磁信息泄露A204防线路截获A205抗电磁干扰A206电源保护A3介质安全A301介质保护A302介质数据安全B主机安全B1身份识别B101电子信息鉴别（主机）B102生物信息鉴别（主机）B2主机防护B201可信计算B202主机入侵检测B203主机访问控制B204个人防火墙B3防恶意代码B301计算机病毒防治B302特定代码防护B4操作系统安全B401安全操作系统B402操作系统安全部件C网络安全C1通信安全C101可用性保障（抗DoS）C102通信鉴别C103通信保密C2网络监测C201入侵检测C202网络活动监测C3内容安全C301信息内容过滤与控制C302防信息泄露表4.1（续）一级分类二级分类三级分类编号类别编号类别编号类别D边界安全D1边界隔离D101安全隔离卡D102安全隔离与信息交换D2入侵防范D201入侵防御系统D202网络恶意代码防护D3边界访问控制D301防火墙D302安全路由器D303安全交换机D4网络终端安全D401终端接入控制D402终端使用安全E应用安全E1应用服务安全E101安全应用服务E102电子信息鉴别（应用）E103生物信息鉴别（应用）E2应用服务安全支持E201应用数据分析F数据安全F1数据平台安全F101安全数据库F102数据库安全部件F2备份与恢复F201数据备份与恢复G安全管理与支持G1综合审计G101安全审计G2应急响应支持G201应急计划辅助软件G202应急设施G3密码支持G301密钥管理G4风险评估G401系统风险评估G402安全性检测分析G5安全管理G501安全产品管理平台G502安全监控Z其他编号类别A101区域防护a) 人员出入控制；b) 受保护资源控制；c) 传感器网络。信息机房综合监控系统，含烟感监控、温湿度监控、门禁、动力、视频监控。A102融灾恢复计划辅助支持a) 灾难发生前，对灾难的检测和报警；b) 灾难发生时，对正遭受破坏的系统或设备采取紧急措施，进行现场实时保护；c) 灾难发生后，对已经遭受某种破坏的系统或设备进行灾后恢复。机房消防工程业务系统、数据容灾备份A103灾备防护a) 受灾的影响分析；b) 受灾恢复计划的概要设计或详细制订；c) 受灾恢复计划的测试与完善。A201设备防盗在系统或设备中的部件上使用相关信息技术防盗手段（如信息系统网络探测报警），保障这些部件的安全性。防盗防火门、保险柜A202设备防毁a） 对抗自然力的破坏，使用一定的防毁措施（如网络远程控制防护）保护信息系统设备和部件； b） 对抗人为的破坏，使用一定的防毁措施(如网络远程防拆报警)保护信息系统设备和部件。防盗报警系统A203防电磁信息泄露a) 防止电磁信息的泄漏；b) 干扰泄漏的电磁信息。屏蔽机房工程A204防线路截获a) 探测线路截获，发现线路截获并报警；b) 定位线路截获，发现线路截获设备工作的位置。线路测试仪|网络测试仪A205抗电磁干扰a) 对抗外界对系统的电磁干扰；b) 消除来自系统内部的电磁干扰。屏蔽机房工程A206电源保护a) 对工作电源的工作连续性的保护，如不间断电源；b) 对工作电源的工作稳定性的保护，如纹波抑制器。不间断电源 艾默生http:/www.jx-净化交流稳压电源A301介质保护a) 介质的防盗；b) 介质的防毁，如防霉和防砸等。泰格系列防火防磁文件柜 A302介质数据安全a) 介质数据的防盗，如防止介质数据被非法拷贝；b) 介质数据的销毁，包括介质的物理销毁和介质数据的彻底销毁（如消磁等），防止介质数据删除或销毁后被他人恢复而泄露信息；c) 介质数据的防毁，防止意外或故意的破坏使媒体数据的丢失。LeagViewTM UniAccessTM 安全管理套件存储介质销毁B101电子信息鉴别（主机）a) 基于智能卡的身份鉴别，包括COS、芯片和读卡器；b) PKI/CA证书身份鉴别；c) 动态口令身份鉴别；d) 基于电子标签 RFID的身份鉴别。智能卡UTrust CA 数字证书认证中心宁盾动态口令电子标签B102生物信息鉴别（主机）a) 基于生物特征的身份鉴别，如手形、指纹/掌纹、脸形、虹膜、视网膜、脉搏、耳廓等；b) 基于行为特征的身份鉴别，如签字、声音、按键力度等指纹识别器B201可信计算机本类产品利用可信计算机平台模块，对主机用户进行身份鉴别以及信息加密，目的是提供可信计算环境。同方股份 超翔系列、超越系列、超扬系列计算机 B202主机入侵检测本类产品对已经抵达主机的数据进行监测，从主机或服务器上采集包括操作系统日志、系统进程、文件访问和注册表访问等信息数据，并根据事先设定的策略判断数据是否异常，从而决定采取报警、控制等措施，目的是对入侵主机行为进行发现和阻止。360安全卫士卡巴斯基B203主机访问控制a) 自主访问控制；b) 强制访问控制；c) 基于角色的访问控制。启明星辰应用监管-天玥安全审计B204个人防火墙本类产品针对主机设备的网络出站/入站提供保护功能，如主机包过滤、应用程序访问控制等，一般为软件，目的是对主机提供网络综合防护。360安全卫士卡巴斯基B301计算机病毒防治本类产品提供对计算机病毒的防治，防护侧重于防护本地计算机资源。计算机病毒防治产品是通过对内容或行为的判断建立系统保护机制，目的是预防、检测和消除计算机病毒。趋势科技卡巴斯基B302特定代码防护本类产品针对特定恶意代码（如木马、恶意脚本）的防范，提供阻止和查杀的功能，目的是预防、检测和消除特定恶意代码。趋势科技B401安全操作系统本类产品是指从系统设计、实现和使用等各个阶段都遵循了一套完整的安全策略的操作系统，目的是在操作系统层面保障系统安全。WindowsunixB402操作系统安全部件a) 通过构作安全模块，增强现有操作系统的安全性；b) 通过构作安全外罩，增强现有操作系统的安全性。selinuxC101可用性保障（抗DoS）a) 当遇到大量用户请求时，可以识别出合法用户的请求而给予响应；b) 当遇到大量用户请求时，可以动态的分配资源从而保障通讯的畅通。F5 BIG-IP负载均衡器C102通信鉴别a) 信息的接受者可以确认数据发起者的身份；b) 抗原发抵赖，确保信息的发起者不能否认曾经发送的信息；c) 抗接收抵赖，确保信息的接受者不能否认接收过信息。惠点科技 PKI/PMI解决方案 C103通信保密a) 采用密码技术对传递的数据进行加密，确保攻击者即使截获数据仍无法解析出明文；b) 采用信息隐藏技术实现数据的隐蔽传输，确保攻击者即使截获数据仍无法获取隐藏的数据。深信服 VPN安达通 VPNC201入侵检测本类产品在安全域内部针对网络入侵进行监测，目的是对网络入侵进行检测，以弥补防火墙等边界安全产品的不足，及时发现网络中违反安全策略的行为和被攻击的迹象。它可以自动识别各种入侵模式，在对网络数据进行分析时与这些模式进行匹配，一旦发现某些入侵的企图，就会进行报警。启明星辰 天阗入侵检测(IDS)天融信 天融信网络卫士C202网络活动监测本类产品在安全域内部针对网络传输信息，根据不同的网络协议进行监测，对网络通信信息进行记录并还原；此外，该类产品还可根据预先设置好的安全策略发现网络活动异常，目的是为管理员进行网络管理提供支持。华为 Quidvie锐捷 StarView网络管理系统C301信息内容过滤与控制a) 文本过滤；b) 图片过滤；c) 多媒体流过滤；d) 反垃圾邮件。深信服 上网行为管理网康上网行为管理C302防信息泄露a)网络输出控制；b)外设接口输出控制。LeagViewTM UniAccessTM 安全管理套件D101安全隔离卡a) 物理断开（卡）；b) 单向隔离（卡）深圳市利谱信息技术有限公司福州宙斯盾信息技术有限公司D102安全隔离与信息交换a) 协议隔离；b) 网闸。天行网安联想网御D201入侵防御系统a) 边界入侵阻断；b) 蜜罐H3C SecPath 启明星辰天清入侵防御(IPS)D202网络恶意代码防护a) 防病毒网关；b) 网际恶意代码防护天融信TopGate网络卫士安全网关华为统一安全网关D301防火墙本类产品在边界上针对信息系统的网络数据流入/流出提供过滤和保护，目的是阻止安全域外部连接进入内部，以及通过网络手段阻断特定内外连接。天融信防火墙H3C防火墙D302安全路由器本类产品集成常规路由功能与网络安全功能，除普通路由功能以外，它内置防火墙、IPSEC等模块，提供网络互连、流量控制、网络和信息安全维护等安全功能，目的是阻止安全域外部连接进入内部，以及保障网络通信的安全性。华为Quidway Eudemon200E系列华为赛门铁克D303安全交换机本类产品在传统的交换功能的基础上，提供了基于ACL的报文过滤、CPU过载保护、广播风暴控制、VLAN、基于802.1X的接入控制、交换机与IDS系统的联动等安全功能，目的是保障安全域数据交换的安全性。H3C系列交换机锐捷系列交换机D401终端接入控制本类产品提供对接入系统的终端进行访问控制的功能，能发现终端接入系统的行为，并能根据访问控制策略采取行动（如允许授权终端接入、断开非授权的终端连接等），目的是通过对终端接入的控制，保障安全域边界安全。H3C EAD准入网关 H3C iMC用户管理解决方案启明星辰 天珣内网安全风险管理与审计系统D402终端使用安全本类产品提供对接入系统的终端进行保护的功能，能够防止对终端的未授权使用（如终端使用口令保护等），目的是通过对终端的保护，保障安全域边界安全。LeagViewTM UniAccessTM 安全管理套件IP-guard 内网管理http:/www.ip-E101安全应用服务a) 互联网交易软件安全；b) 办公自动化公文流转软件安全；c) 网络信息发布系统安全；d) 电子签章系统；e) 其他应用系统安全。明御Web应用防火墙 E102电子信息鉴别（应用）a) 基于智能卡的身份鉴别，包括COS、芯片和读卡器；b) PKI/CA证书身份鉴别；c) 动态口令身份鉴别；d) 基于电子标签 RFID的身份鉴别。智能卡UTrust CA 数字证书认证中心宁盾动态口令电子标签E103生物信息鉴别（应用）a) 基于生物特征的身份鉴别，如手形、指纹/掌纹、脸形、虹膜、视网膜、脉搏、耳廓等；b) 基于行为特征的身份鉴别，如签字、声音、按键力度等指纹识别器E201应用数据分析本类产品为服务提供应用层面的数据分析，包括应用数据审计、统计、查询、分析、报表等，目的是提高应用服务运行的安全性CA WILY F101安全数据库本类产品是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略的数据库系统，目的是在数据库层面保障数据安全。安全数据库和普通数据库的重要区别在于安全数据库在通用数据库的基础上进行了诸多重要机制的安全增强，通常包括： 安全标记及强制访问控制（MAC） 数据存储加密 数据通讯加密 强化身份鉴别 安全审计 三权分立等安全机制F102数据库安全部件本类产品是以现有数据库系统所提供的功能为基础构作安全模块，以安全部件的形式增强现有数据库系统的安全性，目的是在数据库层面保障数据安全。明御数据库审计与风险控制系统F201数据备份与恢复本类产品提供对信息系统中的数据进行备份与恢复，如网站备份与恢复及应用服务器备份与恢复等，目的是保障数据安全。Symantec Backup Exec SystemG101安全审计a) 主机安全审计，针对主机进程调用及文件访问等事件进行审计；b) 网络安全审计，针对网络数据进行审计；c) 数据库安全审计，针对数据库活动进行审计；d) 日志分析，针对指定审计数据的数据分析与挖掘。IP-guard 内网管理http:/www.ip- 启明星辰 天玥安全审计明御数据库审计与风险控制系统G201应急计划辅助软件a) 紧急事件或安全事故发生时的影响分析；b) 应急计划的概要设计或详细制订；c) 应急计划的测试与完善。G202应急设施a) 提供实时应急设施，实现应急计划，保障信息系统的正常安全运行；b) 提供非实时应急设施，实现应急计划。G301密钥管理a) 密钥的产生、分配、访问和销毁等；b) 数字证书的产生、分配、发放和销毁等。惠点科技 PKI/PMI解决方案 G401系统风险评估G402安全性检测分析a) 操作系统安全性检测分析；b) 数据库及数据库管理系统安全性检测分析；c) 传输、网络系统安全性检测分析；d) 应用系统安全性检测分析；e) 硬件系统安全性检测分析；f) 攻击性和渗透性检测分析。绿盟科技 极光远程评估系统明御数据库审计与风险控制系统nessus 网络层软件http:/www.nessus.org/nessus/intro.phpIBM APPSACN web扫描G501安全产品管理平台本类产品是一个信息交换、存储和处理平台，通过该平台，能够对各安全产品进行控制管理，目的是为了解决各个安全产品之间的协作问题。该平台允许授权主体对安全属性（访问控制列表、能力表等）进行查看或修改；提供对角色的统一管理；对日志信息进行统一收集和处理。H3C SecCenter A1000 安全管理中心网御神州 SecFox统一安全管理平台G502安全监控a) 远程监测，对远程主机的在线状态、系统资源、软件安装、服务、进程、外设使用、上网等情况进行实时监测；b) 非授权外联监控，对受保护网络内部主机在安全策略允许之外通过modem、双网卡、无线设备（如CDMA、GSM、GPRS、WLAN等）等非授权途径与外部网络进行连接的情况加以监测、报警及阻断。启明星辰 天珣内网安全风险管理与审计系统