堡壘最易從內(nèi)部攻破

企業(yè)網(wǎng)絡(luò)所傳輸?shù)臄?shù)據(jù)中，有不少是以純文本的形式傳輸,。普通的Web網(wǎng)頁大多是文本文件,，還可能包含電子郵件消息，記賬信息或由瀏覽器觀看的商業(yè)報告,。

從Web或企業(yè)的internet 服務(wù)器發(fā)出的信息流,，有些對企業(yè)至關(guān)重要。這些信息也大都是以純文本的形式在企業(yè)局域網(wǎng)上進行傳輸?shù)?。不僅如此,，對于企業(yè)的局域網(wǎng)、輸人的電子郵件通常是不加密的,，待發(fā)出的郵件也是如此,，更嚴重的是，在缺省模式中、電子郵件客戶端用來與電子郵件服務(wù)器進行核查的口令也是以純文本形式發(fā)出的,。如果這些口令被截獲,。那么企業(yè)很容易受到傷害。甚至在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)管理人員的控制臺之間發(fā)送的某些電子消息也是純文本,，它們都非常容易被截獲或假冒,。

或許有人會有疑問。企業(yè)局城網(wǎng)上的信息有被截獲或被假冒的可能,，但是有那么容易嗎?答案是肯定的:只需使用常見的軟件，如協(xié)議分析軟件,、甚至從Internet下載的免費工具,。任何PC都可以截獲來自網(wǎng)卡的消息，在共享型局城網(wǎng)中,，所有的PC通過一臺以太網(wǎng)集線器聯(lián)網(wǎng),。這樣每臺 PC都可以看到和截獲每一個數(shù)據(jù)包。而交換型以太局城問看起來似乎不大容易受到傷害,。因為每個最終用戶站點只能看到發(fā)給自己的信息流,。但是，對于居心叵測的人,，如企業(yè)間諜或心懷不滿的員工來說,，他們可能在流過大量信息流的一些關(guān)鍵地點，如路由器與廣城網(wǎng)訪問點之間放置一臺PC,、從而復(fù)制信息,，更精的是，如果路由器或其他網(wǎng)絡(luò)基礎(chǔ)設(shè)備的管理訪問代碼被竊取,。便可以把數(shù)據(jù)包轉(zhuǎn)送到其他地方去,。

端到端的加密

針對這一問題，解決辦法就是確保即使網(wǎng)絡(luò)信息流被截獲,，它們對于黑客也是完全無價值的,。要做到這一點，就應(yīng)該實現(xiàn)對所有網(wǎng)絡(luò)信息進行端到端的加密,。

目前,，有幾種廣泛采用的標準用于對網(wǎng)絡(luò)信息流進行加密，而且許多Internet服務(wù)器和瀏覽器都可以執(zhí)行這些標準,，其中最重要的標準是IPSec,，即IP Security標準。該標準確保發(fā)送雙方的網(wǎng)絡(luò)設(shè)備采用同樣的加密算法對負載進行加密和解密,，從而保證了信息傳送的安全,。Internet廣泛采用IPSec標準，幾乎所有的Web服務(wù)器和Web瀏覽器都支持IPSec協(xié)議，它還被集成到Microsoft公司新發(fā)布的操作系統(tǒng)Windows 2000中,。

雖然IPSec被用來保證安全會話中的雙方采用相同的加密算法,，但IPSec標準并沒有對加密算法做出規(guī)定，而是允許使用發(fā)送雙方PC都擁有的任何加密算法,，當(dāng)前最廣泛使用的加密方法稱為DES（Data Encryption Standard）,，目前最常用的DES版本采用40位或56位的二進制作為密鑰。

網(wǎng)卡加密 兩全其美

雖然IPSec被用于確保信息流的安全,，但是它也帶來新的問題,，對每個網(wǎng)絡(luò)數(shù)據(jù)包進行加密和解密，需要大量處理工作,。如果對每個數(shù)據(jù)包進行40位或56位的DES加密,，所需要的大量數(shù)字運算會使PC的性能明顯下降，事務(wù)處理變得慢慢吞吞,，PC做其他工作（如文字處理或圖形處理）的能力也大大削弱了,。這種影響在服務(wù)器上更加嚴重，因為服務(wù)器可能正在同時與各種不同的PC和其他服務(wù)器進行數(shù)十個或數(shù)百個對話,。

當(dāng)然,，你可以命令操作系統(tǒng)如Windows 2000參與局域網(wǎng)和廣域網(wǎng)上的所有端對端的IP加密，但這只有在性能和可用性上付出很高的代價后才行得通,。網(wǎng)絡(luò)被用的越多,，性能就越差，有關(guān)網(wǎng)絡(luò)公司的研究表面,，這樣的加密會使臺式PC機的處理能力減少77%,。當(dāng)頻繁地使用加密會話時，基于600MHz Pentium III處理器的PC性能會降低到僅相當(dāng)于一臺133MHz Pentium處理器的PC,。

解決上述問題的辦法是尋找外援,，即把IPSec和DES加密“承包”出去，也就是由專門設(shè)計的專用微處理器去做加密和解密等極為繁重的計算工作,，使計算機的主處理器不受任何影響,。目前已經(jīng)有不少公司推出含有這種專用微處理器的網(wǎng)卡，這種解決方案可以做到兩全其美,，即實現(xiàn)了端對端的IP加密,，又可以充分發(fā)揮PC或服務(wù)器的全部性能。

日前,，國內(nèi)最大的專業(yè)服務(wù)器網(wǎng)卡廠商,，光潤通科技通過在服務(wù)器產(chǎn)品上反復(fù)測試和驗證，推出新一代安全網(wǎng)卡,，讓安全從服務(wù)器與外部開始溝通時就能實現(xiàn),。這種網(wǎng)卡通過在硬件上集成網(wǎng)絡(luò)加密協(xié)處理器,，在保持較高的網(wǎng)絡(luò)傳輸性能的同時，為基于標準安全規(guī)范的局域網(wǎng)(LAN)的敏感數(shù)據(jù)傳輸提供了保護,，使服務(wù)器的處理器資源從加密解密的繁忙運算中解脫出來,，能更多的用于關(guān)鍵性業(yè)務(wù)。

光潤通安全網(wǎng)卡優(yōu)勢體現(xiàn)

安全網(wǎng)卡使用前需要身份認證,，杜絕了惡意接入,。

通信數(shù)據(jù)是加密的，并且只能在光潤通安全網(wǎng)卡間通信,。

全硬件封閉實現(xiàn),，證書 和秘鑰存儲在芯片內(nèi)部。

無須軟件支持,，即插即用,。隔絕了軟件帶來的所有不安全因素。

實施成本相對軟件完全可控,，不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu),，用戶維護零成本,。

將身份認證和加密通信捆綁在一起,。解決了以往先認證再通信帶來的中間環(huán)節(jié)的安全漏洞。

與傳統(tǒng)Vpn-IpSec網(wǎng)關(guān)相比較

不改變現(xiàn)有網(wǎng)絡(luò)的拓撲結(jié)構(gòu),，即插即用,，零實施成本。

不需要vpn網(wǎng)關(guān)軟件服務(wù)來做認證支持,。

不需要經(jīng)過復(fù)雜的IpSec封包轉(zhuǎn)換,。

所有認證過程、秘鑰協(xié)商過程,、數(shù)據(jù)加密過程全部在硬件中實現(xiàn),。

不需要終端或者服務(wù)端上層軟件的干預(yù)，安全隔離性高,。

網(wǎng)絡(luò)傳輸和加密認證功能集成在一塊卡上來實現(xiàn),，最大限度的降低了硬件成本，擺脫了對硬件密碼卡的功能依賴,。

前不久,，第3方的專業(yè)測評機構(gòu)對這兩款網(wǎng)卡進行了測試，結(jié)果表明：通過采用專用加密處理器,，在啟動端對端的IPSec和DES之后,，服務(wù)器和工作站上的網(wǎng)絡(luò)流量基本不受影響，Tcp/Udp 加密傳輸可達942Mb/ S,，換句話說,，加密的局域網(wǎng)傳輸增加了安全性,，這對于最終用戶和應(yīng)用來說，都是完全透明的,。

因特網(wǎng)的迅速普及和信息技術(shù)的飛速發(fā)展,，使得信息網(wǎng)絡(luò)安全問題越來越受到全社會的矚目。保護企業(yè)的信息資源免遭可能的危害,，對企業(yè)的生產(chǎn),、管理和經(jīng)營是至關(guān)重要的。防火墻,、口令和防止非法訪問企業(yè)網(wǎng)絡(luò)的其他保護措施已經(jīng)開始就位,。但是，也不應(yīng)該忽視網(wǎng)絡(luò)內(nèi)部的安全措施,。請記住,，80%的數(shù)據(jù)犯罪來自防火墻以內(nèi)，我們必須實現(xiàn)端到端的網(wǎng)絡(luò)信息安全,。為此,，需要從網(wǎng)卡開始。