信息安全技术 信息安全产品分类.docx

信息安全技术信息安全产品分类1范围本标准规定了信息安全产品分类，包括物理安全类、主机安全类、网络安全类、边界安 全类、应用安全类、数据安全类、安全管理与支持类及其他类八个方面。本标准适用于国家信息安全等级保护建设与信息安全行业产品分类管理。本标准不适用于商用密码产品。2规范性引用文件以下文件中的有关条款通过引用而成为本标准的条款。凡注日期或版次的引用文件， 其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本标准，但提倡使用本标准 的各方探讨使用其最新版本的可能性。凡不注日期或版次的引用文件，其最新版本适用于本 标准。GB17859-1999计算机信息系统安全保护等级划分准那么3术语和定义GB17859-1999确立的术语和定义适用于本标准。3. 1信息安全产品 i nformat i on secur i ty products保障信息安全的一个IT软件、固件或硬件包，它提供相关功能且可用于或组合到多种 系统中。3.2物理安全产品 phys ica I secur i ty products采用一定信息技术实现的，用以保护系统、设备、设施以及介质免遭物理破坏（如地震、 火灾等自然灾害以及直接窃取等人为破坏）的信息安全产品。3. 3主机设备 host equ i pment由单一操作系统平台及其上层运行的应用所组成的、独立的信息设备。包括PC机、工 作站、服务器等。3.4主机安全产品 host secur i ty products部署在主机设备上，用于保障主机运行和数据安全的信息安全产品。 3.5网络安全产品 network secur i ty products部署在网络设备或通信终端上，用于防御针对网络通讯的攻击，保障通讯的可用性、保 密性、完整性的信息安全产品。3.6边界安全产品 boundary secur i ty products部署在安全域的边界上，用于防御安全域外部对内部网络/主机设备进行渗透或安全域 内部网络/主机设备向外部泄漏敏感信息的信息安全产品。3.7应用安全产品 appl i cat ion secur i ty products部署在特定的应用系统中，用于保障应用安全的信息安全产品，如应用级别的身份鉴别 和访问控制服务。b）基于行为特征的身份 鉴别，如签字、声音、按 键力度等E201应用数据分析本类产品为服务提 供应用层面的数据分析， 包括应用数据审计、统 计、查询、分析、报表等， 目的是提高应用服务运 行的安全性CA WILYht tp :arcserve, com/us/s i tecoce/coctent/ho mn/vent s/ebcas t s/na/CA-W i1y-Appli cat i oc- Performance-Managemcnt-Ovorview-and-Backgr ound/50104. aspxF101安全数据库本类产品是指从系统设 计、实现、使用和管理等 各个阶段都遵循一套完 整的系统安全策略的数 据库系统，目的是在数据 库层面保障数据安全。安全数据库和普通数据库的重要区别在于安 全数据库在通用数据库的基础上进行了诸多重要 机制的安全增强，通常包括：安全标记及强制访问控制（MAC）数据存储加密数据通讯加密强化身份鉴别安全审计三权分立等安全机制F102数据库安全部件本类产品是以现有数据 库系统所提供的功能为 基础构作安全模块，以安 全部件的形式增强现有 数据库系统的安全性，目 的是在数据库层面保障 数据安全。明御数据库审计与风险控制系统 : dbappsecurity. com. cn/products/products02. htmlF201数据备份与恢复本类产品提供对信 息系统中的数据进行备 份与恢复，如网站备份与 恢复及应用服务器备份 与恢复等，目的是保障数 据安全。Symantec Backup Exec System : Symantec, com/zh/cc/business/ind ex. jspG1O1安全审计a）主机安全审计，针对 主机进程调用及文件访 问等事件进行审计； b）网络安全审计，针对 网络数据进行审计；c）数据库安全审计，针 对数据库活动进行审计； d）日志分析，针对指定 审计数据的数据分析与 挖掘。IP-guard内网管理 :/ ip-guard. net/index, aspx启明星辰天阴安全审计 : venustech. com. cc/Saf eProduct Inf o/ll/25,Html明御数据库审计与风险控制系统 :/ dbappsecurity. com, cn/products/p roducts02. htmlG201应急计划辅助软a）紧急事件或安全事故件发生时的影响分析；b）应急计划的概要设计 或详细制订；c）应急计划的测试与完 善。G202应急设施a）提供实时应急设施， 实现应急计划，保障信息 系统的正常安全运行； b）提供非实时应急设 施，实现应急计划。G301密钥管理a）密钥的产生、分配、访问和销毁等；b）数字证书的产生、分 配、发放和销毁等。惠点科技PKI/PMI解决方案 :ww. smartdot, com/G401系统风险评估G402安全性检测分析a）操作系统安全性检测 分析；b）数据库及数据库管理 系统安全性检测分析； c）传输、网络系统安全 性检测分析；d）应用系统安全性检测 分析；e）硬件系统安全性检测 分析；f）攻击性和渗透性检测 分析。绿盟科技极光远程评估系统 :/ nsfocus. com/1 solution/1 2 3.html明御数据库审计与风险控制系统 : dbappsecurity. com, cn/products/products02. htmlnessus网络层软件. nessus. org/nessus/intro. phpIBM APPSACN web扫描 : ibm. com/cn/zh/G501安全产品管理平 台本类产品是一个信息交 换、存储和处理平台，通 过该平台，能够对各安全 产品进行控制管理，目的 是为了解决各个安全产 品之间的协作问题。该平 台允许授权主体对安全 属性（访问控制列表、能 力表等）进行查看或修 改；提供对角色的统一管 理；对日志信息进行统一 收集和处理。H3C SecCenter A1000安全管理中心 : h3c. com, cc/网御神州SecFox统一安全管理平台 :/ legendsec, com/G502安全监控a）远程监测，对远程主 机的在线状态、系统资 源、软件安装、服务、进 程、外设使用、上网等情 况进行实时监测；启明星辰 天询内网安全风险管理与审计系统 . venustech. com. cn/Saf eProduct Inf0/12/33. Htmlb）非授权外联监控，对 受保护网络内部主机在 安全策略允许之外通过 modem双网卡、无线设 备（如CDMA、GSM、GPRS、 WLAN等）等非授权途径与 外部网络进行连接的情 况加以监测、报警及阻 断。3.8数据安全产品 data secur i ty products防止信息系统数据被故意或无意非授权泄露、更改、破坏或使信息被非法的系统辨识、 控制，即确保数据的完整性、保密性，可用性和可控性的信息安全产品。3.9安全管理与支持产品 secur i ty management and support products为保障信息系统正常运行提供安全基础服务管理与支持，以及降低运行过程中安全风险 的信息安全产品。此类产品没有明确的部署点，也不直接针对具体设备。4分类本标准将信息安全产品分为三级，一级分类编号为1位字母，二级分类编号为一级分类 编号后增加1位数字，三级分类编号为二级分类编号后增加2位数字。表4.1信息安全产品分类一级分类二级分类三级分类编号类别编号类别编号类别A物理安全A1环境安全A101区域防护A102融灾恢复计划辅助支持A103灾备防护A2设备安全A201设备防盗A202设备防毁A203防电磁信息泄露A204防线路截获A205抗电磁干扰A206电源保护A3介质女全A301介质保护A302介质数据安全B主机安全B1身份识别B101电子信息鉴别（主机）B102生物信息鉴别（主机）B2主机防护B201可信计算B202主机入侵检测B203主机访问控制B204个人防火墙B3防恶意代码B301计算机病毒防治B302特定代码防护B4操作系统安全B401安全操作系统B402操作系统安全部件C网络安全C1通信安全C101可用性保障（抗DoS）C102通信鉴别C103通信保密C2网络监测C201入侵检测C202网络活动监测C3内容安全C301信息内容过滤与控制C302防信息泄露表4.1 （续）一级分类二级分类三级分类编号类别编号类别编号类别D边界安全D1边界隔离D101安全隔离卡D102安全隔离与信息交换D2入侵防范D201入侵防御系统D202网络恶意代码防护D3边界访问控制D301防火墙D302安全路由器D303安全交换机D4网络终端安全D401终端接入控制D402终端使用安全E应用安全E1应用服务安全E101安全应用服务E102电子信息鉴别（应用）E103生物信息鉴别（应用）E2应用服务安全支持E201应用数据分析F数据安全F1数据平台安全F101安全数据库F102数据库安全部件F2备份与恢复F201数据备份与恢复G安全管理与支持G1综合审计G101安全审计G2应急响应支持G201应急计划辅助软件G202应急设施G3密码支持G301密钥管理G4风险评估G401系统风险评估G402安全性检测分析G5安全管理G501安全产品管理平台G502安全监控Z其他编号类别A101区域防护a）人员出入控制； b）受保护资源控制； c）传感器网络。信息机房综合监控系统，含烟感监控、温湿度监 控、门禁、动力、视频监控。 :zhuyangguang. diytrade, com/A102融灾恢复计划辅 助支持a）灾难发生前，对灾难 的检测和报警；b）灾难发生时，对正遭 受破坏的系统或设备采 取紧急措施，进行现场实 时保护；c）灾难发生后，对已经机房消防工程 : yasxf. com/业务系统、数据容灾备份 :/ uninova. com. cn/index, asp遭受某种破坏的系统或 设备进行灾后恢复。A103灾备防护a）受灾的影响分析；b）受灾恢复计划的概要 设计或详细制订；c）受灾恢复计划的测试 与完善。A201设备防盗在系统或设备中的部件 上使用相关信息技术防 盗手段（如信息系统网络 探测报警），保障这些部 件的安全性。防盗防火门、保险柜A202设备防毁a）对抗自然力的破坏， 使用一定的防毁措施（如 网络远程控制防护）保护 信息系统设备和部件； b）对抗人为的破坏，使 用一定的防毁措施（如网 络远程防拆报警）保护信 息系统设备和部件。防盗报警系统 : hckj. com/product 51. htmlA203防电磁信息泄露a）防止电磁信息的泄 漏；b）干扰泄漏的电磁信 思O屏蔽机房工程 : szdsy. cn/A204防线路截获a）探测线路截获，发现 线路截获并报警；b）定位线路截获，发现 线路截获设备工作的位 置。线路测试仪1网络测试仪 : showl718. com/dhlvip-Products-547354/A205抗电磁干扰a）对抗外界对系统的电 磁干扰；b）消除来自系统内部的 电磁干扰。屏蔽机房工程 : szdsy. cn/A206电源保护a）对工作电源的工作连 续性的保护，如不间断电 源；b）对工作电源的工作稳 定性的保护，如纹波抑制 器。不间断电源艾默生 : jx-china. com, cn/净化交流稳压电源 : ykups. ccm/JiaoliuPower. htmA301介质保护a）介质的防盗；b）介质的防毁，如防霉 和防砸等。泰格系列防火防磁文件柜 : zysdbj, com/A302介质数据安全a）介质数据的防盗，如 防止介质数据被非法拷LeagViewTM UniAccessTM 安全管理套件 :/ leagsoft. com/product. asp贝；b）介质数据的销毁，包 括介质的物理销毁和介 质数据的彻底销毁（如消 磁等），防止介质数据删 除或销毁后被他人恢复 而泄露信息；c）介质数据的防毁，防 止意外或故意的破坏使 媒体数据的丧失。存储介质销毁 : heshengda. com/web/guest/homeB101电子信息鉴别 （主机）a）基于智能卡的身份鉴 别，包括COS、芯片和读 卡器；b） PKI/CA证书身份鉴 别；c）动态口令身份鉴别； d）基于电子标签RFID 的身份鉴别。智能卡 : soft6. com/html/scrics/1/1456. sh tmlUTrust CA数字证书认证中心 : chinautrust, com/ownproduct/ca. h tm宁盾动态口令 :/ ndkey. com. cn/dkey. html电子标签 : sxlcard. com/cn/products 01. asp?mcnuidd=13&mnnuid=51B102生物信息鉴别 （主机）a）基于生物特征的身份 鉴别，如手形、指纹/掌 纹、脸形、虹膜、视网膜、 脉搏、耳廓等；b）基于行为特征的身份 鉴别，如签字、声音、按 键力度等指纹识别器. cn. alibaba. com/B201可信计算机本类产品利用可信计算 机平台模块，对主机用户 进行身份鉴别以及信息 加密，目的是提供可信计 算环境。同方股份 超翔系列、超越系列、超扬系列计算机 : thtf. com, cn/B202主机入侵检测本类产品对已经抵 达主机的数据进行监测， 从主机或服务器上采集 包括操作系统日志、系统 进程、文件访问和注册表 访问等信息数据，并根据 事先设定的策略判断数 据是否异常，从而决定采 取报警、控制等措施，R 的是对入侵主机行为进 行发现和阻止。360安全卫士 : 360. cn/卡巴斯基 : kaspersky. com, cnB203主机访问控制a）自主访问控制；b）强制访问控制；c）基于角色的访问控 制。启明星辰 : venustech. com. cc/应用监管-天珥安全审计B204个人防火墙本类产品针对主机设备 的网络出站/入站提供保 护功能，如主机包过滤、 应用程序访问控制等，一 般为软件，目的是对主机 提供网络综合防护。360安全卫士 : 360. cc/卡巴斯基 : kaspersky. com, cnB301计算机病毒防治本类产品提供对计算机 病毒的防治，防护侧重于 防护本地计算机资源。计 算机病毒防治产品是通 过对内容或行为的判断 建立系统保护机制，目的 是预防.、检测和消除计算 机病毒。趋势科技 :/cn. trendmicro, com/cc/home/卡巴斯基 : kaspersky. com, cnB302特定代码防护本类产品针对特定恶意 代码（如木马、恶意脚本） 的防范，提供阻止和查杀 的功能，目的是预防、检 测和消除特定恶意代码。趋势科技 :cc. trendmicro, com/cc/home/B401安全操作系统本类产品是指从系统设 计、实现和使用等各个阶 段都遵循了一套完整的 安全策略的操作系统，目 的是在操作系统层面保 障系统安全。Windows unixB402操作系统安全部 件a）通过构作安全模块， 增强现有操作系统的安 全性；b）通过构作安全外罩， 增强现有操作系统的安 全性。selinuxC101可用性保障（抗DoS）a）当遇到大量用户请求 时，可以识别出合法用户 的请求而给予响应；b）当遇到大量用户请求 时，可以动态的分配资源 从而保障通讯的畅通。F5 BIG-IP负载均衡器 :/ holyzone. com. cn/production. htmlC102通信鉴别a）信息的接受者可以确 认数据发起者的身份； b）抗原发抵赖，确保信惠点科技PKI/PMI解决方案 :/ smartdot. com/息的发起者不能否认曾 经发送的信息；c）抗接收抵赖，确保信 息的接受者不能否认接 收过信息。C103通信保密a）采用密码技术对传递 的数据进行加密，确保攻 击者即使截获数据仍无 法解析出明文；b）采用信息隐藏技术实 现数据的隐蔽传输，确保 攻击者即使截获数据仍 无法获取隐藏的数据。深信服VPN :/ sangfoc. com, cc/安达通VPN adtsec. com/product. aspC201入侵检测本类产品在安全域内部 针对网络入侵进行监测， 目的是对网络入侵进行 检测，以弥补防火墙等边 界安全产品的缺乏，及时 发现网络中违反安全策 略的行为和被攻击的迹 象。它可以自动识别各种 入侵模式，在对网络数据 进行分析时与这些模式 进行匹配，一旦发现某些 入侵的企图，就会进行报 警。启明星辰 天阑入侵检测（IDS） : venustech. com, cc/天融信天融信网络卫士 : topsec, com, cn/C202网络活动监测本类产品在安全域内部 针对网络传输信息，根据 不同的网络协议进行监 测，对网络通信信息进行 记录并还原；此外，该类 产品还可根据预先设置 好的安全策略发现网络 活动异常，目的是为管理 员进行网络管理提供支 持。华为 Quidvie : huawei. com/cn/锐捷StarView网络管理系统 :/wwr rui jie. com, cn/C301信息内容过滤与 控制a）文本过滤；b）图片过滤；c）多媒体流过滤；d）反垃圾邮件。深信服 上网行为管理 : sangfor. com, cc/网康上网行为管理 :/ netentsec. com. cn/555. htmlC302防信息泄露a）网络输出控制；b）外设接口输出控制。LeagViewTM UniAccessTM 安全管理套件 : leagsoft. com/product. asp1)101安全隔离卡a）物理断开（卡）； b）单向隔离（卡）深圳市利谱信息技术 : tiptop, com, cn/福州宙斯盾信息技术 : zsdinfo. com/1)102安全隔离与信息交换a）协议隔离； b）网闸。天行网安 : topwalk, com/index, asp联想网御 : leadsec, com, cc/D201入侵防御系统a）边界入侵阻断； b）蜜罐H3C SecPath : h3c. com. cn/ProductsTechnology/Products/IP Security/IPS/启明星辰天清入侵防御(IPS) : venustech. com, cn/D202网络恶意代码防 护a）防病毒网关；b）网际恶意代码防护天融信TopGate网络卫士安全网关 : topsec, com, cn 华为统一安全网关 : huawei. comD301防火墙本类产品在边界上针对 信息系统的网络数据流 入/流出提供过滤和保 护，目的是阻止安全域外 部连接进入内部，以及通 过网络手段阻断特定内 外连接。天融信防火墙 : topsec, com, cnH3c防火墙 : h3c. com/poctal/ProductsSolutiocs/Products/Security Products/D302安全路由器本类产品集成常规路由 功能与网络安全功能，除 普通路由功能以外，它内 置防火墙、IPSEC等模块， 提供网络互连、流量控 制、网络和信息安全维护 等安全功能，目的是阻止 安全域外部连接进入内 部，以及保障网络通信的 安全性。华为Quidway Eudemon200E系列 : huawei. com/cn/products/datacomm /catalog. do?id=5093华为赛门铁克 : huaweisymantec. com/cn/Product S olution/D303安全交换机本类产品在传统的交换 功能的基础上，提供了基 于ACL的报文过滤、CPU 过载保护、广播风暴控 制、VLAN、基于802.1XH3c系列交换机 : h3c. com/portal/ProductsSolutions/Products/Switches/的接入控制、交换机与 IDS系统的联动等安全功 能，目的是保障安全域数 据交换的安全性。锐捷系列交换机 : rui jie. com. cn/product/Switches.aspx1)401终端接入控制本类产品提供对接入系 统的终端进行访问控制 的功能，能发现终端接入 系统的行为，并能根据访 问控制策略采取行动（如 允许授权终端接入、断开 非授权的终端连接等）， 目的是通过对终端接入 的控制，保障安全域边界 安全。H3C EAD准入网关H3C iMC用户管理解决方案 : h3c. com. cn/productstechnology/products/ip management/home/solutions/te chnology/201004/673574 30003 0. htm启明星辰 天瑁内网安全风险管理与审计系统 : venustech. com. cn/Saf eProduct Info/12/33. HtmlD402终端使用安全本类产品提供对接入系 统的终端进行保护的功 能，能够防止对终端的未 授权使用（如终端使用口 令保护等），目的是通过 对终端的保护，保障安全 域边界安全。LeagViewTM UniAccessTM 安全管理套件 : leagsoft. com/product. aspIP-guard内网管理 ip-guard. net/index. aspxE101安全应用服务a）互联网交易软件安 全；b）办公自动化公文流转 软件安全；c）网络信息发布系统安 全；d）电子签章系统；e）其他应用系统安全。明御Web应用防火墙 : dbappsecurity. com. cn/products/productsOl. htmlE102电子信息鉴别 （应用）a）基于智能卡的身份鉴 另IJ,包括COS、芯片和读 卡器；b） PKI/CA证书身份鉴 别；c）动态口令身份鉴别； d）基于电子标签RF1D 的身份鉴别。智能卡 :/ soft6. com/html/series/l/1456. sh tmlUTrust CA数字证书认证中心 :/ chinautrust. com/ownproduct/ca. h tm宁盾动态口令 :/ ndkey. com. cn/dkey. html电子标签 :/ sxlcard. com/cc/products 01. asp?menuidd=13&mnnuid=51E103生物信息鉴别 （应用）a）基生物特征的身份 鉴别，如手形、指纹/掌 纹、脸形、虹膜、视网膜、 脉搏、耳廓等;指纹识别器. cn. alibaba, com/