網(wǎng)絡(luò)安全模塊

網(wǎng)絡(luò)安全模塊計(jì)算機(jī)術(shù)語(yǔ)01簡(jiǎn)介絡(luò)硬盤存儲(chǔ)系統(tǒng)的安全模塊防火墻硬件安全模塊模塊關(guān)目錄0305020406基本信息絡(luò)安全是指絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，絡(luò)服務(wù)不中斷。絡(luò)安全模塊是指絡(luò)系統(tǒng)中專門用于防止絡(luò)上傳輸?shù)男畔⒃馐苋藶槠茐幕虺霈F(xiàn)非人為故障的硬件設(shè)備和軟件模塊。簡(jiǎn)介簡(jiǎn)介絡(luò)安全包含絡(luò)設(shè)備安全、絡(luò)信息安全、絡(luò)軟件安全。黑客通過(guò)基于絡(luò)的入侵來(lái)達(dá)到竊取敏感信息的目的，也有人以基于絡(luò)的攻擊見(jiàn)長(zhǎng)，被人收買通過(guò)絡(luò)來(lái)攻擊商業(yè)競(jìng)爭(zhēng)對(duì)手企業(yè)，造成絡(luò)企業(yè)無(wú)法正常營(yíng)運(yùn)，絡(luò)安全就是為了防范這種信息盜竊和商業(yè)競(jìng)爭(zhēng)攻擊所采取的措施。絡(luò)安全模塊是指計(jì)算機(jī)絡(luò)中專門用于保護(hù)數(shù)據(jù)完整性和隱私性軟件和硬件設(shè)備，絡(luò)安全模塊能提供實(shí)時(shí)絡(luò)防護(hù)，和線內(nèi)惡意軟件掃描技術(shù)，提供全面的絡(luò)防護(hù)并對(duì)未知或新的絡(luò)內(nèi)容進(jìn)行實(shí)時(shí)分類。使用先進(jìn)的分析技術(shù)；即時(shí)看到絡(luò)威脅：通過(guò)這項(xiàng)服務(wù)內(nèi)置的報(bào)告界面，IT管理員可以方便地看到有多少威脅正在試圖訪問(wèn)絡(luò)并快速地發(fā)現(xiàn)感染惡意軟件并試圖向惡意軟件服務(wù)器發(fā)送敏感信息或機(jī)密信息的終端用戶。硬件安全模塊硬件安全模塊硬件安全模塊（hardwaresecuritymodule，縮寫HSM）是一種用于保護(hù)和管理強(qiáng)認(rèn)證系統(tǒng)所使用的密鑰，并同時(shí)提供相關(guān)密碼學(xué)操作的計(jì)算機(jī)硬件設(shè)備。硬件安全模塊一般通過(guò)擴(kuò)展卡或外部設(shè)備的形式直接連接到電腦或絡(luò)服務(wù)器。HSM提供篡改留證（tamperevidence/proof）、篡改抵抗（tamperevidence）兩種方式的防篡改功能，前者設(shè)計(jì)使得篡改行為會(huì)留下痕跡，后者設(shè)計(jì)使得篡改行為會(huì)令HSM銷毀密鑰一類的受保護(hù)信息。每種HSM都會(huì)包括一個(gè)或多個(gè)安全協(xié)處理器，用于阻止篡改或總線探測(cè)。許多HSM系統(tǒng)提供可靠的密鑰備份機(jī)制，使機(jī)密數(shù)據(jù)可以通過(guò)智能卡或其他設(shè)備安全地處理或轉(zhuǎn)移。由于HSM通常是公鑰基礎(chǔ)設(shè)施（PKI）或上銀行一類關(guān)鍵基礎(chǔ)設(shè)施的一部分，一般會(huì)同時(shí)使用多個(gè)HSM以實(shí)現(xiàn)高可用性。一些HSM具備雙電源、無(wú)需停機(jī)更換配件（如冷卻風(fēng)扇）等設(shè)計(jì)，以確保在數(shù)據(jù)中心等環(huán)境中的高可用性要求。少數(shù)HSM可以讓用戶在其內(nèi)部處理器上運(yùn)行專門開發(fā)的模塊。在一些場(chǎng)景下，這種設(shè)計(jì)相當(dāng)實(shí)用，例如用戶可以在這種安全、受控的環(huán)境下運(yùn)行一些特殊的算法或者業(yè)務(wù)邏輯，哪怕攻擊者取得了計(jì)算機(jī)的完全控制權(quán)限，存儲(chǔ)在HSM（連接到計(jì)算機(jī)）中的程序也無(wú)法被提取或篡改。一般HSM允許用戶使用C、.NET、Java等編程語(yǔ)言開發(fā)這種專用程序。值得注意的是，用戶自定義的程序與HSM本身的程序之間存在隔離，這使程序的存在不會(huì)影響到HSM本身的安全?？紤]到硬件安全模塊（HSM）在應(yīng)用程序與基礎(chǔ)設(shè)施的安全中扮演的關(guān)鍵角色，此類密碼學(xué)模塊通常都會(huì)經(jīng)過(guò)CommonCriteria、FIPS140等受到國(guó)際承認(rèn)的認(rèn)證。這將為用戶提供產(chǎn)品設(shè)計(jì)與實(shí)現(xiàn)上的保障，同時(shí)確保相應(yīng)的密碼學(xué)算法能按預(yù)期方式正確工作。FIPS140安全認(rèn)證最高認(rèn)證等級(jí)為L(zhǎng)evel4（整體），僅有極少數(shù)HSM成功通過(guò)這一等級(jí)的認(rèn)證，大部分設(shè)備處于Level3等級(jí)。硬件安全模塊可在任何涉及到密鑰的場(chǎng)景下使用。通常來(lái)說(shuō)，這些密鑰具有較高的價(jià)值，一旦泄露會(huì)導(dǎo)致嚴(yán)重的后果。絡(luò)硬盤存儲(chǔ)系統(tǒng)的安全模塊絡(luò)硬盤存儲(chǔ)系統(tǒng)的安全模塊圖1絡(luò)硬盤在加載安全模塊后的系統(tǒng)構(gòu)架由于大部分絡(luò)硬盤產(chǎn)品使用客戶端-服務(wù)器構(gòu)架，所以為了能使安全模塊適應(yīng)多數(shù)盤的結(jié)構(gòu)，安全模塊分為三個(gè)部分：客戶端安全模塊、服務(wù)器安全模塊和認(rèn)證中心?？蛻舳税踩K負(fù)責(zé)數(shù)據(jù)的加解密、完整性校驗(yàn)；服務(wù)器安全模塊負(fù)責(zé)用戶的訪問(wèn)權(quán)限控制與安全元數(shù)據(jù)的管理；認(rèn)證中心(CertificateAuthority)作為獨(dú)立于盤提供商的第三方存在于整個(gè)系統(tǒng)當(dāng)中，負(fù)責(zé)密鑰的生成與管理、證書頒發(fā)與校驗(yàn)等工作，其目的是加強(qiáng)系統(tǒng)的安全性。絡(luò)硬盤提供商只需在盤系統(tǒng)的客戶端與服務(wù)器的交互中，按照一定的邏輯調(diào)用安全模塊中的函數(shù)，即可提供相應(yīng)的數(shù)據(jù)安全保障。安全模塊的具體架構(gòu)如圖1所示。采用此種系統(tǒng)構(gòu)架可以帶來(lái)以下優(yōu)點(diǎn)：安全模塊與原有絡(luò)硬盤耦合性低，大部分絡(luò)硬盤；只需做較少改動(dòng)，就能夠完成整合安全模塊的工作以保障用戶數(shù)據(jù)安全；認(rèn)證中心作為獨(dú)立的第三方存在于盤系統(tǒng)中，使得系統(tǒng)更具可靠性。由于認(rèn)證中心負(fù)責(zé)生成并分發(fā)用戶的根密鑰，所以即使用戶數(shù)據(jù)被竊取，也無(wú)法被非法用戶解密。整個(gè)系統(tǒng)的大部分密碼學(xué)計(jì)算和完整性校驗(yàn)工作都由客戶端安全模塊完成，所以絡(luò)硬盤加載安全模塊并不會(huì)在性能開銷方面給系統(tǒng)服務(wù)器端造成過(guò)多影響，從而避免了服務(wù)器成為整個(gè)系統(tǒng)的瓶頸

。模塊模塊模塊是構(gòu)成系統(tǒng)、實(shí)現(xiàn)系統(tǒng)功能的基本單位，可以理解為一般意義上的子程序。一個(gè)模塊具有輸入/輸出、功能、內(nèi)部數(shù)據(jù)和程序代碼等四個(gè)特性。輸入和輸出分別是模塊需要和產(chǎn)生的信息，功能是指模塊所做的工作，輸入輸出和功能構(gòu)成了一個(gè)模塊的外貌，即模塊的外部特性。模塊是用程序代碼完成它的功能的，內(nèi)部數(shù)據(jù)是僅供該模塊本身引用的數(shù)據(jù)，內(nèi)部數(shù)據(jù)和程序代碼是模塊的內(nèi)部特性。系統(tǒng)中模塊的一個(gè)重要特征，就是模塊間存在著調(diào)用和被調(diào)用的關(guān)系，并伴隨模塊的調(diào)用過(guò)程，存在著模塊間的參數(shù)傳遞，構(gòu)成模塊間的。軟件模塊（Module）是一套一致而互相有緊密關(guān)連的軟件組織。它分別包含了程序和數(shù)據(jù)結(jié)構(gòu)兩部分。現(xiàn)代軟件開發(fā)往往利用模塊作合成的單位。模塊的接口表達(dá)了由該模塊提供的功能和調(diào)用它時(shí)所需的元素。模塊是可能分開地被編寫的單位。這使他們可再用和允許廣泛人員同時(shí)協(xié)作、編寫及研究不同的模塊。防火墻防火墻所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部和外部之間、專用與公共之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全關(guān)（SecurityGateway），從而保護(hù)內(nèi)部免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻。在絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部和公眾訪問(wèn)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止絡(luò)中的黑客來(lái)訪問(wèn)你的絡(luò)。換句話說(shuō)，如果不通過(guò)防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。關(guān)關(guān)關(guān)(Gateway)又稱間連接器、協(xié)議轉(zhuǎn)換器。關(guān)在絡(luò)層以上實(shí)現(xiàn)絡(luò)互連，是最復(fù)雜的絡(luò)互連設(shè)備，僅用于兩個(gè)高