堡壘最易從內(nèi)部攻破
企業(yè)網(wǎng)絡(luò)所傳輸?shù)臄?shù)據(jù)中,,有不少是以純文本的形式傳輸。普通的Web網(wǎng)頁大多是文本文件,,還可能包含電子郵件消息,,記賬信息或由瀏覽器觀看的商業(yè)報(bào)告。
從Web或企業(yè)的internet 服務(wù)器發(fā)出的信息流,,有些對企業(yè)至關(guān)重要,。這些信息也大都是以純文本的形式在企業(yè)局域網(wǎng)上進(jìn)行傳輸?shù)摹2粌H如此,,對于企業(yè)的局域網(wǎng),、輸人的電子郵件通常是不加密的,待發(fā)出的郵件也是如此,,更嚴(yán)重的是,,在缺省模式中、電子郵件客戶端用來與電子郵件服務(wù)器進(jìn)行核查的口令也是以純文本形式發(fā)出的,。如果這些口令被截獲,。那么企業(yè)很容易受到傷害。甚至在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)管理人員的控制臺(tái)之間發(fā)送的某些電子消息也是純文本,,它們都非常容易被截獲或假冒,。
或許有人會(huì)有疑問。企業(yè)局城網(wǎng)上的信息有被截獲或被假冒的可能,,但是有那么容易嗎?答案是肯定的:只需使用常見的軟件,如協(xié)議分析軟件,、甚至從Internet下載的免費(fèi)工具,。任何PC都可以截獲來自網(wǎng)卡的消息,在共享型局城網(wǎng)中,,所有的PC通過一臺(tái)以太網(wǎng)集線器聯(lián)網(wǎng),。這樣每臺(tái) PC都可以看到和截獲每一個(gè)數(shù)據(jù)包。而交換型以太局城問看起來似乎不大容易受到傷害,。因?yàn)槊總€(gè)最終用戶站點(diǎn)只能看到發(fā)給自己的信息流,。但是,對于居心叵測的人,,如企業(yè)間諜或心懷不滿的員工來說,,他們可能在流過大量信息流的一些關(guān)鍵地點(diǎn),如路由器與廣城網(wǎng)訪問點(diǎn)之間放置一臺(tái)PC、從而復(fù)制信息,,更精的是,,如果路由器或其他網(wǎng)絡(luò)基礎(chǔ)設(shè)備的管理訪問代碼被竊取。便可以把數(shù)據(jù)包轉(zhuǎn)送到其他地方去,。
端到端的加密
針對這一問題,,解決辦法就是確保即使網(wǎng)絡(luò)信息流被截獲,它們對于黑客也是完全無價(jià)值的,。要做到這一點(diǎn),,就應(yīng)該實(shí)現(xiàn)對所有網(wǎng)絡(luò)信息進(jìn)行端到端的加密。
目前,,有幾種廣泛采用的標(biāo)準(zhǔn)用于對網(wǎng)絡(luò)信息流進(jìn)行加密,,而且許多Internet服務(wù)器和瀏覽器都可以執(zhí)行這些標(biāo)準(zhǔn),其中最重要的標(biāo)準(zhǔn)是IPSec,,即IP Security標(biāo)準(zhǔn),。該標(biāo)準(zhǔn)確保發(fā)送雙方的網(wǎng)絡(luò)設(shè)備采用同樣的加密算法對負(fù)載進(jìn)行加密和解密,從而保證了信息傳送的安全,。Internet廣泛采用IPSec標(biāo)準(zhǔn),,幾乎所有的Web服務(wù)器和Web瀏覽器都支持IPSec協(xié)議,它還被集成到Microsoft公司新發(fā)布的操作系統(tǒng)Windows 2000中,。
雖然IPSec被用來保證安全會(huì)話中的雙方采用相同的加密算法,,但I(xiàn)PSec標(biāo)準(zhǔn)并沒有對加密算法做出規(guī)定,而是允許使用發(fā)送雙方PC都擁有的任何加密算法,,當(dāng)前最廣泛使用的加密方法稱為DES(Data Encryption Standard),,目前最常用的DES版本采用40位或56位的二進(jìn)制作為密鑰。
網(wǎng)卡加密 兩全其美
雖然IPSec被用于確保信息流的安全,,但是它也帶來新的問題,,對每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加密和解密,需要大量處理工作,。如果對每個(gè)數(shù)據(jù)包進(jìn)行40位或56位的DES加密,,所需要的大量數(shù)字運(yùn)算會(huì)使PC的性能明顯下降,事務(wù)處理變得慢慢吞吞,,PC做其他工作(如文字處理或圖形處理)的能力也大大削弱了,。這種影響在服務(wù)器上更加嚴(yán)重,因?yàn)榉?wù)器可能正在同時(shí)與各種不同的PC和其他服務(wù)器進(jìn)行數(shù)十個(gè)或數(shù)百個(gè)對話,。
當(dāng)然,,你可以命令操作系統(tǒng)如Windows 2000參與局域網(wǎng)和廣域網(wǎng)上的所有端對端的IP加密,但這只有在性能和可用性上付出很高的代價(jià)后才行得通,。網(wǎng)絡(luò)被用的越多,,性能就越差,有關(guān)網(wǎng)絡(luò)公司的研究表面,這樣的加密會(huì)使臺(tái)式PC機(jī)的處理能力減少77%,。當(dāng)頻繁地使用加密會(huì)話時(shí),,基于600MHz Pentium III處理器的PC性能會(huì)降低到僅相當(dāng)于一臺(tái)133MHz Pentium處理器的PC。
解決上述問題的辦法是尋找外援,,即把IPSec和DES加密“承包”出去,,也就是由專門設(shè)計(jì)的專用微處理器去做加密和解密等極為繁重的計(jì)算工作,使計(jì)算機(jī)的主處理器不受任何影響,。目前已經(jīng)有不少公司推出含有這種專用微處理器的網(wǎng)卡,,這種解決方案可以做到兩全其美,即實(shí)現(xiàn)了端對端的IP加密,,又可以充分發(fā)揮PC或服務(wù)器的全部性能,。
日前,國內(nèi)最大的專業(yè)服務(wù)器網(wǎng)卡廠商,,光潤通科技通過在服務(wù)器產(chǎn)品上反復(fù)測試和驗(yàn)證,,推出新一代安全網(wǎng)卡,讓安全從服務(wù)器與外部開始溝通時(shí)就能實(shí)現(xiàn),。這種網(wǎng)卡通過在硬件上集成網(wǎng)絡(luò)加密協(xié)處理器,,在保持較高的網(wǎng)絡(luò)傳輸性能的同時(shí),為基于標(biāo)準(zhǔn)安全規(guī)范的局域網(wǎng)(LAN)的敏感數(shù)據(jù)傳輸提供了保護(hù),,使服務(wù)器的處理器資源從加密解密的繁忙運(yùn)算中解脫出來,,能更多的用于關(guān)鍵性業(yè)務(wù)。
光潤通安全網(wǎng)卡優(yōu)勢體現(xiàn)
安全網(wǎng)卡使用前需要身份認(rèn)證,,杜絕了惡意接入,。
通信數(shù)據(jù)是加密的,并且只能在光潤通安全網(wǎng)卡間通信,。
全硬件封閉實(shí)現(xiàn),,證書 和秘鑰存儲(chǔ)在芯片內(nèi)部。
無須軟件支持,,即插即用,。隔絕了軟件帶來的所有不安全因素。
實(shí)施成本相對軟件完全可控,,不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),用戶維護(hù)零成本,。
將身份認(rèn)證和加密通信捆綁在一起,。解決了以往先認(rèn)證再通信帶來的中間環(huán)節(jié)的安全漏洞。
與傳統(tǒng)Vpn-IpSec網(wǎng)關(guān)相比較
不改變現(xiàn)有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),,即插即用,,零實(shí)施成本。
不需要vpn網(wǎng)關(guān)軟件服務(wù)來做認(rèn)證支持。
不需要經(jīng)過復(fù)雜的IpSec封包轉(zhuǎn)換,。
所有認(rèn)證過程,、秘鑰協(xié)商過程、數(shù)據(jù)加密過程全部在硬件中實(shí)現(xiàn),。
不需要終端或者服務(wù)端上層軟件的干預(yù),,安全隔離性高。
網(wǎng)絡(luò)傳輸和加密認(rèn)證功能集成在一塊卡上來實(shí)現(xiàn),,最大限度的降低了硬件成本,,擺脫了對硬件密碼卡的功能依賴。
前不久,,第3方的專業(yè)測評機(jī)構(gòu)對這兩款網(wǎng)卡進(jìn)行了測試,,結(jié)果表明:通過采用專用加密處理器,在啟動(dòng)端對端的IPSec和DES之后,,服務(wù)器和工作站上的網(wǎng)絡(luò)流量基本不受影響,,Tcp/Udp 加密傳輸可達(dá)942Mb/ S,換句話說,,加密的局域網(wǎng)傳輸增加了安全性,,這對于最終用戶和應(yīng)用來說,都是完全透明的,。
因特網(wǎng)的迅速普及和信息技術(shù)的飛速發(fā)展,,使得信息網(wǎng)絡(luò)安全問題越來越受到全社會(huì)的矚目。保護(hù)企業(yè)的信息資源免遭可能的危害,,對企業(yè)的生產(chǎn),、管理和經(jīng)營是至關(guān)重要的。防火墻,、口令和防止非法訪問企業(yè)網(wǎng)絡(luò)的其他保護(hù)措施已經(jīng)開始就位,。但是,也不應(yīng)該忽視網(wǎng)絡(luò)內(nèi)部的安全措施,。請記住,,80%的數(shù)據(jù)犯罪來自防火墻以內(nèi),我們必須實(shí)現(xiàn)端到端的網(wǎng)絡(luò)信息安全,。為此,,需要從網(wǎng)卡開始。
