网络安全模块

网络安全模块计算机术语01简介络硬盘存储系统的安全模块防火墙硬件安全模块模块关目录0305020406基本信息络安全是指络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，络服务不中断。络安全模块是指络系统中专门用于防止络上传输的信息遭受人为破坏或出现非人为故障的硬件设备和软件模块。简介简介络安全包含络设备安全、络信息安全、络软件安全。黑客通过基于络的入侵来达到窃取敏感信息的目的，也有人以基于络的攻击见长，被人收买通过络来攻击商业竞争对手企业，造成络企业无法正常营运，络安全就是为了防范这种信息盗窃和商业竞争攻击所采取的措施。络安全模块是指计算机络中专门用于保护数据完整性和隐私性软件和硬件设备，络安全模块能提供实时络防护，和线内恶意软件扫描技术，提供全面的络防护并对未知或新的络内容进行实时分类。使用先进的分析技术；即时看到络威胁：通过这项服务内置的报告界面，IT管理员可以方便地看到有多少威胁正在试图访问络并快速地发现感染恶意软件并试图向恶意软件服务器发送敏感信息或机密信息的终端用户。硬件安全模块硬件安全模块硬件安全模块（hardwaresecuritymodule，缩写HSM）是一种用于保护和管理强认证系统所使用的密钥，并同时提供相关密码学操作的计算机硬件设备。硬件安全模块一般通过扩展卡或外部设备的形式直接连接到电脑或络服务器。HSM提供篡改留证（tamperevidence/proof）、篡改抵抗（tamperevidence）两种方式的防篡改功能，前者设计使得篡改行为会留下痕迹，后者设计使得篡改行为会令HSM销毁密钥一类的受保护信息。每种HSM都会包括一个或多个安全协处理器，用于阻止篡改或总线探测。许多HSM系统提供可靠的密钥备份机制，使机密数据可以通过智能卡或其他设备安全地处理或转移。由于HSM通常是公钥基础设施（PKI）或上银行一类关键基础设施的一部分，一般会同时使用多个HSM以实现高可用性。一些HSM具备双电源、无需停机更换配件（如冷却风扇）等设计，以确保在数据中心等环境中的高可用性要求。少数HSM可以让用户在其内部处理器上运行专门开发的模块。在一些场景下，这种设计相当实用，例如用户可以在这种安全、受控的环境下运行一些特殊的算法或者业务逻辑，哪怕攻击者取得了计算机的完全控制权限，存储在HSM（连接到计算机）中的程序也无法被提取或篡改。一般HSM允许用户使用C、.NET、Java等编程语言开发这种专用程序。值得注意的是，用户自定义的程序与HSM本身的程序之间存在隔离，这使程序的存在不会影响到HSM本身的安全。考虑到硬件安全模块（HSM）在应用程序与基础设施的安全中扮演的关键角色，此类密码学模块通常都会经过CommonCriteria、FIPS140等受到国际承认的认证。这将为用户提供产品设计与实现上的保障，同时确保相应的密码学算法能按预期方式正确工作。FIPS140安全认证最高认证等级为Level4（整体），仅有极少数HSM成功通过这一等级的认证，大部分设备处于Level3等级。硬件安全模块可在任何涉及到密钥的场景下使用。通常来说，这些密钥具有较高的价值，一旦泄露会导致严重的后果。络硬盘存储系统的安全模块络硬盘存储系统的安全模块图1络硬盘在加载安全模块后的系统构架由于大部分络硬盘产品使用客户端-服务器构架，所以为了能使安全模块适应多数盘的结构，安全模块分为三个部分：客户端安全模块、服务器安全模块和认证中心。客户端安全模块负责数据的加解密、完整性校验；服务器安全模块负责用户的访问权限控制与安全元数据的管理；认证中心(CertificateAuthority)作为独立于盘提供商的第三方存在于整个系统当中，负责密钥的生成与管理、证书颁发与校验等工作，其目的是加强系统的安全性。络硬盘提供商只需在盘系统的客户端与服务器的交互中，按照一定的逻辑调用安全模块中的函数，即可提供相应的数据安全保障。安全模块的具体架构如图1所示。采用此种系统构架可以带来以下优点：安全模块与原有络硬盘耦合性低，大部分络硬盘；只需做较少改动，就能够完成整合安全模块的工作以保障用户数据安全；认证中心作为独立的第三方存在于盘系统中，使得系统更具可靠性。由于认证中心负责生成并分发用户的根密钥，所以即使用户数据被窃取，也无法被非法用户解密。整个系统的大部分密码学计算和完整性校验工作都由客户端安全模块完成，所以络硬盘加载安全模块并不会在性能开销方面给系统服务器端造成过多影响，从而避免了服务器成为整个系统的瓶颈

。模块模块模块是构成系统、实现系统功能的基本单位，可以理解为一般意义上的子程序。一个模块具有输入/输出、功能、内部数据和程序代码等四个特性。输入和输出分别是模块需要和产生的信息，功能是指模块所做的工作，输入输出和功能构成了一个模块的外貌，即模块的外部特性。模块是用程序代码完成它的功能的，内部数据是仅供该模块本身引用的数据，内部数据和程序代码是模块的内部特性。系统中模块的一个重要特征，就是模块间存在着调用和被调用的关系，并伴随模块的调用过程，存在着模块间的参数传递，构成模块间的。软件模块（Module）是一套一致而互相有紧密关连的软件组织。它分别包含了程序和数据结构两部分。现代软件开发往往利用模块作合成的单位。模块的接口表达了由该模块提供的功能和调用它时所需的元素。模块是可能分开地被编写的单位。这使他们可再用和允许广泛人员同时协作、编写及研究不同的模块。防火墙防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部和外部之间、专用与公共之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全关（SecurityGateway），从而保护内部免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用关4个部分组成，防火墙就是一个位于计算机和它所连接的络之间的软件或硬件。该计算机流入流出的所有络通信和数据包均要经过此防火墙。在络中，所谓“防火墙”，是指一种将内部和公众访问（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止络中的黑客来访问你的络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。关关关(Gateway)又称间连接器、协议转换器。关在络层以上实现络互连，是最复杂的络互连设备，仅用于两个高