隨著信息化建設在我國的深入開展，信息網(wǎng)絡安全已成為普遍關注的課題。基于國家政策的大力支持和信息安全行業(yè)的市場推動，我國的信息安全產(chǎn)品也逐步發(fā)展成為一個比較完善的產(chǎn)品體系。本文著重介紹密碼產(chǎn)品及由其構成的信息安全產(chǎn)品。信息安全產(chǎn)品所依賴的的安全技術主要包括密碼技術、身份認證、訪問控制、虛擬專用網(wǎng)（VPN）、公共密鑰基礎設施（PKI）等。信息安全產(chǎn)品分為四個層次：基礎安全設備、終端安全設備、網(wǎng)絡安全設備、系統(tǒng)安全設備等。這些信息安全產(chǎn)品可以組成不同的行業(yè)安全解決方案。信息安全產(chǎn)品體系見下圖。電子止業(yè)蚩全解電子潘務貝妄全I?決肓SE電蘇碼fll機電子止業(yè)蚩全解電子潘務貝妄全I?決肓SE電蘇碼fll機■?Jbd^-R-?舅惜：京捌電子公民冬全禪*彌技術?刪認證*頤酬t酬專闿-*ffiECWXS'、■EWff圖1安全產(chǎn)品體系結構基礎安全設備基礎安全設備包括：密碼芯片、加密卡、身份識別卡等。密碼芯片是信息安全產(chǎn)品的基礎，為安全保密系統(tǒng)提供標準的通用安全保密模塊，根據(jù)算法類型的不同可以分為對稱算法芯片和非對稱算法芯片。密碼算法芯片作為通用安全模塊可以配置在單機或網(wǎng)絡環(huán)境中，應用于不同類型的密碼設備。算法可以靈活配置。分為ASIC密碼芯片和FPGA密碼芯片兩種形式。奧地利Graz理工大學通信與應用研究所RSAyASIC密碼芯片在200MHz時鐘下，1024BIT模長，RSA簽名速度為2000次/秒。密碼芯片作為安全技術的核心部分，可以為二次開發(fā)商、OEM商和用戶提供豐富的安全開發(fā)途徑。加密卡分為加密服務器和加密插卡（簡稱加密卡），通常以應用程序接口（API）的方式提供安全保密服務。加密服務器是為局域網(wǎng)上的主機提供加密服務的專用整機式密碼設備。加密卡是為PC機或主機等提供加密服務的插卡式密碼設備。加密卡通常提供數(shù)據(jù)加密、數(shù)字簽名、信息完整性驗證、密鑰管理等功能，應用于電子商務、企業(yè)業(yè)務系統(tǒng)和辦公系統(tǒng)、VPN設備等應用環(huán)境中。國內(nèi)外廠商可以依據(jù)具體業(yè)務基于加密卡進行二次安全開發(fā)。身份識別卡種類較多，主要有智能動態(tài)令牌、音頻動態(tài)口令牌、電子鑰匙等，用在單機、電話網(wǎng)、局域網(wǎng)及廣域網(wǎng)中識別用戶身份合法性的場合。其特點是用戶用來驗證身份的口令每次都不一樣，避免了靜態(tài)口令易被盜用和攻擊情況的發(fā)生。主要用于用戶接入控制方面，如門禁系統(tǒng)、電話炒股系統(tǒng)、電話抽彩系統(tǒng)網(wǎng)絡接入認證系統(tǒng)等。智能動態(tài)令牌作為通用的簡易型訪問控制產(chǎn)品在世界上已形成較大的市場份額。SOFTPROTEC公司的數(shù)字鑰具有微機啟動控制和登陸限制功能。終端安全設備終端安全設備從電信網(wǎng)終端設備的角度分為電話密碼機、傳真密碼機、異步數(shù)據(jù)密碼機等。電話密碼機和傳真密碼機通常分為一體式和門衛(wèi)式兩種，用來對互相通信的兩對電話或傳真進行加解密，同時還具有身份認證的作用。異步數(shù)據(jù)密碼機用來對點對點異步撥號通信的微機或者其他設備進行通信加解密，用在公網(wǎng)中需要進行保密撥號通信的場合。網(wǎng)絡安全設備網(wǎng)絡安全設備從數(shù)據(jù)網(wǎng)和網(wǎng)絡層考慮，可以分為IP協(xié)議密碼機、安全路由器、線路密碼機、防火墻等。IP協(xié)議密碼機主要用于因特網(wǎng)或企業(yè)網(wǎng)的數(shù)據(jù)加密傳輸，如廣域網(wǎng)上不同LAN間，或LAN內(nèi)工作組間的IP層保密通信。它提供透明的IP層數(shù)據(jù)加密傳輸服務，不影響原有網(wǎng)絡結構，不影響原有網(wǎng)絡功能，無須修改客戶端或服務器端的軟件，通信策略靈活，可支持保密通信和明通多條通道，具有高效、安全、用戶透明等特點。IP協(xié)議密碼機常用來在廣域網(wǎng)上為特定的用戶構建一個安全的VPN系統(tǒng)。安全路由器除了具備普通路由器的通信與路由功能外，還提供數(shù)據(jù)加密和防火墻等網(wǎng)絡安全功能，集信道加密、異網(wǎng)互連和網(wǎng)絡管理于一身。用戶可以選擇實現(xiàn)密通和明通功能。安全路由器可與IP協(xié)議密碼機一起組建安全的VPN系統(tǒng)。線路密碼機根據(jù)數(shù)據(jù)網(wǎng)的不同可以分為FR/DDN/X.25/ISDN/ATM密碼機，分別針對不同的網(wǎng)絡環(huán)境在分組層、數(shù)據(jù)鏈路層對傳輸?shù)臄?shù)據(jù)實現(xiàn)加解密功能，抵御來自外部公網(wǎng)的攻擊。線路密碼機不僅實現(xiàn)數(shù)據(jù)網(wǎng)上數(shù)據(jù)保密的功能，還具有線路保密設備相互認證身份的功效。防火墻是一種有效的網(wǎng)絡安全機制，它通常安裝在被保護的內(nèi)部網(wǎng)和外部網(wǎng)的連接點上，是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范的一個系統(tǒng)。從內(nèi)部網(wǎng)和外部網(wǎng)之間產(chǎn)生的任何活動都必須經(jīng)過防火墻。這樣防火墻就可以確定這種活動（E-mail,ftp,telnet,http等）是否是符合站點的安全規(guī)則，決定哪些內(nèi)部服務允許外部訪問，哪些外部服務可以訪問內(nèi)部。防火墻不但可以實現(xiàn)基于網(wǎng)絡訪問的安全控制，還可對網(wǎng)絡上流動的信息內(nèi)容本身進行安全處理，對通過網(wǎng)絡的數(shù)據(jù)進行分析，處理，限制，從而有效的保護網(wǎng)絡內(nèi)部的數(shù)據(jù)。防火墻技術可以歸納為包過濾型和應用代理型。防火墻作為一種早期的網(wǎng)絡安全產(chǎn)品，已被業(yè)內(nèi)普遍接受。幾乎任何一個大中型網(wǎng)絡在建網(wǎng)時都會主動考慮采用防火墻來保護網(wǎng)內(nèi)安全。國內(nèi)自主產(chǎn)權防火墻已初具產(chǎn)業(yè)規(guī)模。系統(tǒng)安全設備系統(tǒng)安全設備大致分為安全服務器、安全加密套件、金融加密機/卡、安全中間件、公開密鑰基礎設施（PKI）系統(tǒng)、授權證書（CA）系統(tǒng)等。安全服務器作為一個面向網(wǎng)絡應用軟件的加密代理系統(tǒng)，可以提供應用軟件服務器端和客戶端之間的加密通道，并且通過制定訪問控制策略對用戶的訪問進行控制。其特點是不需對應用軟件進行修改，實現(xiàn)基于策略的訪問控制。支持常見的網(wǎng)絡應用服務如DB、Notes、WWW、FTP等。安全服務器作為一個新型的安全產(chǎn)品，在信息網(wǎng)絡的訪問控制和數(shù)據(jù)加密方面可以發(fā)揮積極的作用。安全加密套件作為一個服務器/客戶端安全代理軟件，通過將網(wǎng)絡應用軟件的客戶端封裝在安全代理軟件包中，采用各種訪問控制策略，實現(xiàn)用戶應用程序的安全加密功能。金融加密機/卡是針對金融計算機網(wǎng)的業(yè)務安全現(xiàn)狀而設計的應用層硬件加密設備，提供個人身份識別碼（PIN）的安全和管理、報文鑒別、交易報文加密等功能。它可以實現(xiàn)交易的合法性、隱蔽性和正確性，防止偽交易和用戶秘密信息的泄露，保障儲戶和金融機構的利益。各國研制的金融加密機/卡為保證各自金融業(yè)務系統(tǒng)的安全提供確實的保證。安全中間件作為基礎安全平臺，介于基礎安全部件和安全應用系統(tǒng)之間為用戶提供設備驅(qū)動程序、動態(tài)連接庫、基礎API等。在信息安全系統(tǒng)中，由于用戶電子身份的大量需求，公開密鑰技術成為信息安全的一大核心技術，應用在SSL、SHTTP、PGP、S/MIME/IPSec等安全協(xié)議中。PKI系統(tǒng)采用非對稱密碼技術，為用戶應用系統(tǒng)提供可信賴的、有效的密鑰與證書管理，實現(xiàn)信息保密、數(shù)據(jù)完整、身份認證和不可否認等安全機制。CA系統(tǒng)是一個支持X.509、SSL、S/MIME、WTLS等多種國際標準協(xié)議的證書服務系統(tǒng)，可用于發(fā)放個人客戶端數(shù)字證書和服務器數(shù)字證書，為電子商務應用系統(tǒng)、移動互聯(lián)網(wǎng)應用系統(tǒng)和企業(yè)內(nèi)部網(wǎng)應用系統(tǒng)的安全提供身份支持。CA系統(tǒng)已經(jīng)在國內(nèi)外金融、電信、商務等行業(yè)逐步開始應用，將成為信息社會中的一個重要的身份憑證。此外，安全操作系統(tǒng)、防病毒軟件、網(wǎng)絡/系統(tǒng)掃描系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡安全預警與審計系統(tǒng)