目的 在某企業(yè)信息安全體系項(xiàng)目中，企業(yè)的部分要害部門(mén)或關(guān)鍵系統(tǒng)，如財(cái)務(wù)系統(tǒng)、組織系統(tǒng)等，由于直接涉及極度敏感的商業(yè)或人事機(jī)密，應(yīng)采用特別的保護(hù)措施。物理隔離或?qū)＞W(wǎng)方式是最直接的解決辦法，但他們不符合信息數(shù)字化建設(shè)和資源共享的潮流，而且投入費(fèi)用也較高，顯然不是長(zhǎng)遠(yuǎn)之計(jì)。而常規(guī)聯(lián)網(wǎng)方式又必須面對(duì)機(jī)密信息在開(kāi)放環(huán)境中被竊取或篡改等安全性問(wèn)題。由于TCP/IP協(xié)議固有的開(kāi)放性和互聯(lián)性，這種安全隱患是肯定存在的。因此，要在開(kāi)放的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)信息通信的安全，必須采用先進(jìn)的技術(shù)手段來(lái)保障。虛擬專(zhuān)用網(wǎng)絡(luò)VPN和桌面防火墻技術(shù)是可以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)安全傳輸和主機(jī)系統(tǒng)安全防護(hù)的最新研究成果。 VPN是Internet技術(shù)迅速發(fā)展的產(chǎn)物。大量Internet通信基礎(chǔ)網(wǎng)絡(luò)或ISP的公共骨干網(wǎng)的建立使人們想到，如果可以保證在低成本的公用通信網(wǎng)絡(luò)中安全地進(jìn)行數(shù)據(jù)交換，就可以使企業(yè)以更低的成本連接其辦事處、流動(dòng)工作人員及業(yè)務(wù)合作伙伴，顯著節(jié)省使用專(zhuān)用網(wǎng)絡(luò)的長(zhǎng)途費(fèi)用，降低公司建設(shè)自己的廣域網(wǎng)（WAN）的成本，而且同時(shí)實(shí)現(xiàn)信息資源的充分利用。VPN技術(shù)使這種設(shè)想成為可能：通過(guò)采用隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。通信中雙方首先要明確地確認(rèn)對(duì)方的真實(shí)身份，進(jìn)而在公用通信設(shè)施中建立一條私有的專(zhuān)用通信隧道，利用雙方協(xié)商得到的通信密鑰處理信息，從而實(shí)現(xiàn)在低成本非安全的公用網(wǎng)絡(luò)上安全的交換信息的目的。 目前，國(guó)外已有多種VPN產(chǎn)品可供選擇使用。但出于特殊的安全性考慮，以美國(guó)為首的西方國(guó)家對(duì)其安全技術(shù)和產(chǎn)品附加了明確的出口限制，以對(duì)稱(chēng)加密算法RC4為例，出口至我國(guó)的軟件產(chǎn)品（如IE等）采用的密鑰長(zhǎng)度為40位，而其國(guó)內(nèi)在電子商務(wù)應(yīng)用中采用的密鑰強(qiáng)度最少都為128位。由于安全加密算法本身是公開(kāi)的，其安全性只能唯一由密鑰長(zhǎng)度決定，因而國(guó)內(nèi)軟件系統(tǒng)若直接采用進(jìn)口安全產(chǎn)品，其安全性將大打折扣，在對(duì)安全性有較高要求的特殊部門(mén)，更是不能使用。鑒于此，我國(guó)政府現(xiàn)在一方面強(qiáng)制命令政府網(wǎng)絡(luò)系統(tǒng)必須嚴(yán)格與互聯(lián)網(wǎng)絡(luò)物理隔離；另一方面，明確地要求國(guó)外安全產(chǎn)品在進(jìn)口時(shí)必須向我國(guó)政府提供源代碼，這一問(wèn)題目前還在討論中，估計(jì)短期內(nèi)不會(huì)有明確進(jìn)展。因此，對(duì)于國(guó)內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)用戶(hù)，為維護(hù)自己的合法安全需求，在目前情況下，應(yīng)盡量采用具有國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)的技術(shù)與產(chǎn)品；對(duì)于不得不采用的進(jìn)口基礎(chǔ)操作系統(tǒng)，也應(yīng)盡快尋找可以替換其安全模塊的國(guó)產(chǎn)軟件，事實(shí)上，包括格方網(wǎng)絡(luò)安全公司在內(nèi)的一些對(duì)國(guó)內(nèi)網(wǎng)絡(luò)安全應(yīng)用具有強(qiáng)烈憂(yōu)患意識(shí)的技術(shù)單位，也已經(jīng)在這方面做了大量工作并取得了相應(yīng)的多項(xiàng)成果。 需采用的技術(shù)和產(chǎn)品 1 概述 VPN主要采用四項(xiàng)技術(shù)：一、隧道技術(shù)(Tunneling)；二、加解密技術(shù)(Encryption & Decryption)；三、密鑰管理技術(shù)(Key Management)；四、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。從1995年起，IETF陸續(xù)公布了許多網(wǎng)絡(luò)安全相關(guān)技術(shù)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)統(tǒng)稱(chēng)為IPSec （IP Security）。IETF工作組目前已制定的與IPsec相關(guān)的RFC文檔有RFC2104、RFC2401~RFC2409和RFC2451等。 與VPN相關(guān)的諸多協(xié)議中，最引人注目的兩個(gè)協(xié)議是：L2TP與IPsec。其中IPSec提供LAN或遠(yuǎn)程客戶(hù)到LAN的安全隧道，并已基本完成了標(biāo)準(zhǔn)化的工作；L2TP提供遠(yuǎn)程PPP客戶(hù)到LAN的安全隧道，目前還處在不停的修改和調(diào)整階段，相應(yīng)RFC文檔還一直沒(méi)有出臺(tái)，較新的草案是1999年5月的draft-IETF-pppext-L2TP-15.txt。由于L2TP協(xié)議是由Cisco、Ascend、Microsoft及3Com、原Bay等廠商共同制定的，因此，上述廠商現(xiàn)有的VPN設(shè)備已具有L2TP的互操作性。 2 隧道技術(shù) 隧道技術(shù)是為了將私有數(shù)據(jù)網(wǎng)絡(luò)的資料在公眾數(shù)據(jù)網(wǎng)絡(luò)上傳輸，所發(fā)展出來(lái)的一種信息封裝方式(Encapsulation)，亦即在公眾網(wǎng)絡(luò)上建立一條秘密通道。隧道協(xié)議中最為典型的有GRE、IPsec、L2TP、PPTP、L2F等。其中GRE、IPsec屬于第三層隧道協(xié)議，L2TP、PPTP、L2F屬于第二層隧道協(xié)議。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶(hù)的IP數(shù)據(jù)包是被封裝不同的數(shù)據(jù)包中傳輸?shù)摹?IPsec為第三層的隧道技術(shù)，專(zhuān)門(mén)為IP 所設(shè)計(jì)，不但符合現(xiàn)有IPv4的環(huán)境，同時(shí)也是IPv6的標(biāo)準(zhǔn)，它也是IEIF所制定的業(yè)界標(biāo)準(zhǔn)。PPTP與L2TP均為第二層的隧道技術(shù)，適合具有IP/IPX/AppleTalk等多種協(xié)議的環(huán)境。IPsec、PPTP、L2TP三者，最大的不同在于，運(yùn)用IPsec技術(shù)，使用者可以同時(shí)使用Internet與VPN的多點(diǎn)傳輸功能（包括Internet/Intranet/Extranet/Remote Access 等），而PPTP及L2TP只能執(zhí)行點(diǎn)對(duì)點(diǎn)VPN的功能，無(wú)法同時(shí)執(zhí)行Internet的應(yīng)用，使用時(shí)較不方便。 與第二層VPN相比，第三層的IPSec從1995年以來(lái)得到了一致的支持，報(bào)文安全封裝ESP和報(bào)文完整性認(rèn)證AH的協(xié)議框架已趨成熟。密鑰交換協(xié)議IKE已經(jīng)增加了橢圓曲線(xiàn)密鑰交換協(xié)議。由于IPSec必須在端系統(tǒng)OS內(nèi)核的IP層或節(jié)點(diǎn)網(wǎng)絡(luò)設(shè)備的IP層實(shí)現(xiàn)，所以IPSec的密鑰管理協(xié)議，特別是與PKI的交互問(wèn)題是IPSec需要進(jìn)一步完善的問(wèn)題。 3 加解密技術(shù) 信息加解密技術(shù)具有非常久遠(yuǎn)的歷史，在需要秘密通信的地方都用得到它。因?yàn)樘摂M專(zhuān)用網(wǎng)絡(luò)建筑在Internet公眾數(shù)據(jù)網(wǎng)絡(luò)上，為確保私有資料在傳輸過(guò)程中不被其他人瀏覽、竊取或篡改，所有的數(shù)據(jù)包在傳輸過(guò)程中均需加密，當(dāng)數(shù)據(jù)包傳送到專(zhuān)用數(shù)據(jù)網(wǎng)絡(luò)后，再將數(shù)據(jù)包解密。加解密的作用是保證數(shù)據(jù)包在傳輸過(guò)程中即使被竊聽(tīng)，黑客只能看到一些封鎖意義的亂碼。如果黑客想看到數(shù)據(jù)包內(nèi)的資料，他必須先破解用于加密該數(shù)據(jù)包的密鑰（Encryption Key）。隨著加密技術(shù)與密鑰長(zhǎng)度的不同，破解密鑰所需的設(shè)備與時(shí)間有顯著不同。表2.1給出了密碼學(xué)專(zhuān)家Jalal Feghhi等人98年9月給出的DES加密密鑰長(zhǎng)度與抗攻擊情況的分析報(bào)告。（詳見(jiàn)附錄一） 表2.1 密鑰位數(shù)與破解時(shí)間的關(guān)系（DES算法） 密鑰長(zhǎng)度(位) 個(gè)人攻擊 小組攻擊 院、校網(wǎng)絡(luò)攻擊 大公司 軍事情報(bào)機(jī)構(gòu) 40 數(shù)周 數(shù)日 數(shù)小時(shí) 數(shù)毫秒 數(shù)微秒 56 數(shù)百年 數(shù)十年 數(shù)年 數(shù)小時(shí) 數(shù)秒鐘 64 數(shù)千年 數(shù)百年 數(shù)十年 數(shù)日 數(shù)分鐘 80 不可能 不可能 不可能 數(shù)百年 數(shù)百年 128 不可能 不可能 不可能 不可能 數(shù)千年 按密鑰個(gè)數(shù)不同，加解密技術(shù)可概分為兩大類(lèi)，一為對(duì)稱(chēng)式密碼學(xué)（Symmetric Cryptography），有時(shí)又稱(chēng)密鑰式密碼學(xué)（Secret-key Cryptography)；另一種為非對(duì)稱(chēng)式密碼學(xué)（Asymmetric Cryptography），又稱(chēng)公用鑰匙密鑰學(xué)（Public-key Cryptography）。對(duì)稱(chēng)式的加解密技術(shù)，加解密使用同一把密鑰，大家熟知的DES，RC4，RC5等即為對(duì)稱(chēng)式的加密技術(shù)。非對(duì)稱(chēng)式的加解密技術(shù)，加解密使用不同的密鑰，其中以RSA最常被采用。由于對(duì)稱(chēng)式密碼算法的運(yùn)算速度較非對(duì)稱(chēng)式密碼演算法快約2~3個(gè)數(shù)量級(jí)，所以目前大多采用對(duì)稱(chēng)算法來(lái)做通信加解密，而非對(duì)稱(chēng)算法用于密鑰管理，實(shí)現(xiàn)的是一種混合（Hybird）算法，如格方網(wǎng)絡(luò)安全公司和VPN的設(shè)備廠商VPNet Technologies Inc.就都是采用采用這種方式來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)上密鑰交換與管理。這種方式不但可提供較快的傳輸速度，也有更好的保密功能。 4 密鑰管理技術(shù) 黑客若想解讀數(shù)據(jù)包，必需先破解加解密所用的密鑰（Key）。如果無(wú)法截取密鑰，通常就只能使用窮舉法來(lái)破解，在密鑰很長(zhǎng)時(shí)，這種破解方式基本上不會(huì)有結(jié)果。目前為安全起見(jiàn)，通常使用一次性密鑰技術(shù)，即對(duì)于一次指定會(huì)話(huà)，通信雙方需為此次會(huì)話(huà)協(xié)商加解密密鑰后才能建立安全隧道。這有時(shí)就要求密鑰要在網(wǎng)絡(luò)上傳輸，增加了不安全因素。密鑰管理（Key Management）的主要任務(wù)就是來(lái)保證在開(kāi)放網(wǎng)絡(luò)環(huán)境中安全地傳輸密鑰而不被黑客竊取。現(xiàn)行常用密鑰管理的技術(shù)又可分為SKIP（Simple Key Management for IP）與ISAKMP/Oakley（又稱(chēng)為IKE）兩種。SKIP是由SUN所發(fā)展的技術(shù)，主要是利用Diffie-Hellman密鑰交換算法在網(wǎng)絡(luò)上傳輸密鑰的一種技術(shù)。ISAKMP/Oakley亦然，并且將來(lái)ISAKMP/Oakley會(huì)整合于IPv6中，成為IPv6的標(biāo)準(zhǔn)之一。 5 身份認(rèn)證技術(shù) 網(wǎng)絡(luò)上的用戶(hù)與設(shè)備都需要確定性的身份認(rèn)證，這是VPN需要解決的首要問(wèn)題。錯(cuò)誤的身份認(rèn)證將導(dǎo)致整個(gè)VPN的失效，不管其其他安全設(shè)施有多嚴(yán)密。辨認(rèn)合法使用者的方法很多，但常規(guī)用戶(hù)名密碼方式（PAP）顯然不能提供足夠的安全保障。格方網(wǎng)絡(luò)安全身份認(rèn)證技術(shù)通過(guò)改進(jìn)標(biāo)準(zhǔn)CHAP協(xié)議（ECHAP），通過(guò)強(qiáng)雙因子方式實(shí)現(xiàn)更為安全的用戶(hù)身份認(rèn)證，僅在用戶(hù)同時(shí)擁有合法的兩因子（包括一個(gè)物理因子，用戶(hù)的身份信息，如數(shù)字證書(shū)等，可以方便地存于其中）的情況下才可通過(guò)，同時(shí)還創(chuàng)造性地實(shí)現(xiàn)了服務(wù)器端用戶(hù)秘密信息的安全保護(hù)，是擁有完全自主版權(quán)的嶄新技術(shù)與產(chǎn)品。 對(duì)于設(shè)備的認(rèn)證通常需依賴(lài)數(shù)字證書(shū)簽發(fā)中心（Certificate Authority）所發(fā)出的符合X.509規(guī)范的標(biāo)準(zhǔn)數(shù)字證書(shū)（Certificate）。設(shè)備間交換資料前，須先確認(rèn)彼此的身份，接著出示彼此的數(shù)字證書(shū)，雙方將此證書(shū)比對(duì)，如果比對(duì)正確，雙方才開(kāi)始交換資料，反之，則不交換。 6 格方網(wǎng)絡(luò)安全防護(hù)系統(tǒng) --- 威賽盾（VPSec） 6.1 VPSec原理簡(jiǎn)介 按ISO OSI標(biāo)準(zhǔn)七層網(wǎng)絡(luò)體系結(jié)構(gòu)來(lái)看，對(duì)于網(wǎng)上信息的傳輸，原則上，采用越底層的加解密方式越安全。數(shù)據(jù)鏈路層直接位于物理媒體層之上，任何內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)都不可能繞過(guò)這一層而進(jìn)出系統(tǒng)，因此直接在這一層對(duì)數(shù)據(jù)包做安全處理將能夠保證安全處理的完備性。同時(shí)，由于鏈路層處于操作系統(tǒng)的內(nèi)核，相應(yīng)安全程序模塊是操作系統(tǒng)的一部分，在系統(tǒng)啟動(dòng)時(shí)就被加載且在系統(tǒng)運(yùn)行過(guò)程中不能被篡改，因而可以保證程序自身的安全性與穩(wěn)定性。 格方公司開(kāi)發(fā)的威賽盾（VPSec）系列產(chǎn)品正是基于這一出發(fā)點(diǎn)而開(kāi)展工作的。威賽盾使用內(nèi)核技術(shù)開(kāi)發(fā)，具體層次在網(wǎng)絡(luò)設(shè)備卡之上，協(xié)議層之下。圖2.2顯示了VPSec在Windows NT網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)模型中的位置。可以看到VPSec所在層面將能夠保證所有網(wǎng)絡(luò)進(jìn)出數(shù)據(jù)都必須經(jīng)過(guò)，因而避免了可能存在的系統(tǒng)安全后門(mén)，保證了安全系統(tǒng)的完備性。 與常規(guī)IPSec協(xié)議不同的是，VPSec更考慮我國(guó)目前的具體應(yīng)用環(huán)境而做了特殊的改進(jìn)。首先，VPSec支持更強(qiáng)的安全通信。由于完全自主開(kāi)發(fā)，擁有全部源代碼，VPSec可以采用任意強(qiáng)度的安全加密方法，引進(jìn)國(guó)產(chǎn)加密算法、密鑰甚至加解密硬件設(shè)備，充分保證通信的安全性 #p#分頁(yè)標(biāo)題#e#