目的 在某企業信息安全體系項目中，企業的部分要害部門或關鍵系統，如財務系統、組織系統等，由于直接涉及極度敏感的商業或人事機密，應采用特別的保護措施。物理隔離或專網方式是最直接的解決辦法，但他們不符合信息數字化建設和資源共享的潮流，而且投入費用也較高，顯然不是長遠之計。而常規聯網方式又必須面對機密信息在開放環境中被竊取或篡改等安全性問題。由于TCP/IP協議固有的開放性和互聯性，這種安全隱患是肯定存在的。因此，要在開放的網絡環境中實現信息通信的安全，必須采用先進的技術手段來保障。虛擬專用網絡VPN和桌面防火墻技術是可以實現網絡數據安全傳輸和主機系統安全防護的最新研究成果。 VPN是Internet技術迅速發展的產物。大量Internet通信基礎網絡或ISP的公共骨干網的建立使人們想到，如果可以保證在低成本的公用通信網絡中安全地進行數據交換，就可以使企業以更低的成本連接其辦事處、流動工作人員及業務合作伙伴，顯著節省使用專用網絡的長途費用，降低公司建設自己的廣域網（WAN）的成本，而且同時實現信息資源的充分利用。VPN技術使這種設想成為可能：通過采用隧道技術，將企業網的數據封裝在隧道中進行傳輸。通信中雙方首先要明確地確認對方的真實身份，進而在公用通信設施中建立一條私有的專用通信隧道，利用雙方協商得到的通信密鑰處理信息，從而實現在低成本非安全的公用網絡上安全的交換信息的目的。 目前，國外已有多種VPN產品可供選擇使用。但出于特殊的安全性考慮，以美國為首的西方國家對其安全技術和產品附加了明確的出口限制，以對稱加密算法RC4為例，出口至我國的軟件產品（如IE等）采用的密鑰長度為40位，而其國內在電子商務應用中采用的密鑰強度最少都為128位。由于安全加密算法本身是公開的，其安全性只能唯一由密鑰長度決定，因而國內軟件系統若直接采用進口安全產品，其安全性將大打折扣，在對安全性有較高要求的特殊部門，更是不能使用。鑒于此，我國政府現在一方面強制命令政府網絡系統必須嚴格與互聯網絡物理隔離；另一方面，明確地要求國外安全產品在進口時必須向我國政府提供源代碼，這一問題目前還在討論中，估計短期內不會有明確進展。因此，對于國內的計算機網絡用戶，為維護自己的合法安全需求，在目前情況下，應盡量采用具有國內自主知識產權的技術與產品；對于不得不采用的進口基礎操作系統，也應盡快尋找可以替換其安全模塊的國產軟件，事實上，包括格方網絡安全公司在內的一些對國內網絡安全應用具有強烈憂患意識的技術單位，也已經在這方面做了大量工作并取得了相應的多項成果。 需采用的技術和產品 1 概述 VPN主要采用四項技術：一、隧道技術(Tunneling)；二、加解密技術(Encryption & Decryption)；三、密鑰管理技術(Key Management)；四、使用者與設備身份認證技術(Authentication)。從1995年起，IETF陸續公布了許多網絡安全相關技術標準。這些標準統稱為IPSec （IP Security）。IETF工作組目前已制定的與IPsec相關的RFC文檔有RFC2104、RFC2401~RFC2409和RFC2451等。 與VPN相關的諸多協議中，最引人注目的兩個協議是：L2TP與IPsec。其中IPSec提供LAN或遠程客戶到LAN的安全隧道，并已基本完成了標準化的工作；L2TP提供遠程PPP客戶到LAN的安全隧道，目前還處在不停的修改和調整階段，相應RFC文檔還一直沒有出臺，較新的草案是1999年5月的draft-IETF-pppext-L2TP-15.txt。由于L2TP協議是由Cisco、Ascend、Microsoft及3Com、原Bay等廠商共同制定的，因此，上述廠商現有的VPN設備已具有L2TP的互操作性。 2 隧道技術 隧道技術是為了將私有數據網絡的資料在公眾數據網絡上傳輸，所發展出來的一種信息封裝方式(Encapsulation)，亦即在公眾網絡上建立一條秘密通道。隧道協議中最為典型的有GRE、IPsec、L2TP、PPTP、L2F等。其中GRE、IPsec屬于第三層隧道協議，L2TP、PPTP、L2F屬于第二層隧道協議。第二層隧道和第三層隧道的本質區別在于用戶的IP數據包是被封裝不同的數據包中傳輸的。 IPsec為第三層的隧道技術，專門為IP 所設計，不但符合現有IPv4的環境，同時也是IPv6的標準，它也是IEIF所制定的業界標準。PPTP與L2TP均為第二層的隧道技術，適合具有IP/IPX/AppleTalk等多種協議的環境。IPsec、PPTP、L2TP三者，最大的不同在于，運用IPsec技術，使用者可以同時使用Internet與VPN的多點傳輸功能（包括Internet/Intranet/Extranet/Remote Access 等），而PPTP及L2TP只能執行點對點VPN的功能，無法同時執行Internet的應用，使用時較不方便。 與第二層VPN相比，第三層的IPSec從1995年以來得到了一致的支持，報文安全封裝ESP和報文完整性認證AH的協議框架已趨成熟。密鑰交換協議IKE已經增加了橢圓曲線密鑰交換協議。由于IPSec必須在端系統OS內核的IP層或節點網絡設備的IP層實現，所以IPSec的密鑰管理協議，特別是與PKI的交互問題是IPSec需要進一步完善的問題。 3 加解密技術 信息加解密技術具有非常久遠的歷史，在需要秘密通信的地方都用得到它。因為虛擬專用網絡建筑在Internet公眾數據網絡上，為確保私有資料在傳輸過程中不被其他人瀏覽、竊取或篡改，所有的數據包在傳輸過程中均需加密，當數據包傳送到專用數據網絡后，再將數據包解密。加解密的作用是保證數據包在傳輸過程中即使被竊聽，黑客只能看到一些封鎖意義的亂碼。如果黑客想看到數據包內的資料，他必須先破解用于加密該數據包的密鑰（Encryption Key）。隨著加密技術與密鑰長度的不同，破解密鑰所需的設備與時間有顯著不同。表2.1給出了密碼學專家Jalal Feghhi等人98年9月給出的DES加密密鑰長度與抗攻擊情況的分析報告。（詳見附錄一） 表2.1 密鑰位數與破解時間的關系（DES算法） 密鑰長度(位) 個人攻擊 小組攻擊 院、校網絡攻擊 大公司 軍事情報機構 40 數周 數日 數小時 數毫秒 數微秒 56 數百年 數十年 數年 數小時 數秒鐘 64 數千年 數百年 數十年 數日 數分鐘 80 不可能 不可能 不可能 數百年 數百年 128 不可能 不可能 不可能 不可能 數千年 按密鑰個數不同，加解密技術可概分為兩大類，一為對稱式密碼學（Symmetric Cryptography），有時又稱密鑰式密碼學（Secret-key Cryptography)；另一種為非對稱式密碼學（Asymmetric Cryptography），又稱公用鑰匙密鑰學（Public-key Cryptography）。對稱式的加解密技術，加解密使用同一把密鑰，大家熟知的DES，RC4，RC5等即為對稱式的加密技術。非對稱式的加解密技術，加解密使用不同的密鑰，其中以RSA最常被采用。由于對稱式密碼算法的運算速度較非對稱式密碼演算法快約2~3個數量級，所以目前大多采用對稱算法來做通信加解密，而非對稱算法用于密鑰管理，實現的是一種混合（Hybird）算法，如格方網絡安全公司和VPN的設備廠商VPNet Technologies Inc.就都是采用采用這種方式來實現網絡上密鑰交換與管理。這種方式不但可提供較快的傳輸速度，也有更好的保密功能。 4 密鑰管理技術 黑客若想解讀數據包，必需先破解加解密所用的密鑰（Key）。如果無法截取密鑰，通常就只能使用窮舉法來破解，在密鑰很長時，這種破解方式基本上不會有結果。目前為安全起見，通常使用一次性密鑰技術，即對于一次指定會話，通信雙方需為此次會話協商加解密密鑰后才能建立安全隧道。這有時就要求密鑰要在網絡上傳輸，增加了不安全因素。密鑰管理（Key Management）的主要任務就是來保證在開放網絡環境中安全地傳輸密鑰而不被黑客竊取?，F行常用密鑰管理的技術又可分為SKIP（Simple Key Management for IP）與ISAKMP/Oakley（又稱為IKE）兩種。SKIP是由SUN所發展的技術，主要是利用Diffie-Hellman密鑰交換算法在網絡上傳輸密鑰的一種技術。ISAKMP/Oakley亦然，并且將來ISAKMP/Oakley會整合于IPv6中，成為IPv6的標準之一。 5 身份認證技術 網絡上的用戶與設備都需要確定性的身份認證，這是VPN需要解決的首要問題。錯誤的身份認證將導致整個VPN的失效，不管其其他安全設施有多嚴密。辨認合法使用者的方法很多，但常規用戶名密碼方式（PAP）顯然不能提供足夠的安全保障。格方網絡安全身份認證技術通過改進標準CHAP協議（ECHAP），通過強雙因子方式實現更為安全的用戶身份認證，僅在用戶同時擁有合法的兩因子（包括一個物理因子，用戶的身份信息，如數字證書等，可以方便地存于其中）的情況下才可通過，同時還創造性地實現了服務器端用戶秘密信息的安全保護，是擁有完全自主版權的嶄新技術與產品。 對于設備的認證通常需依賴數字證書簽發中心（Certificate Authority）所發出的符合X.509規范的標準數字證書（Certificate）。設備間交換資料前，須先確認彼此的身份，接著出示彼此的數字證書，雙方將此證書比對，如果比對正確，雙方才開始交換資料，反之，則不交換。 6 格方網絡安全防護系統 --- 威賽盾（VPSec） 6.1 VPSec原理簡介 按ISO OSI標準七層網絡體系結構來看，對于網上信息的傳輸，原則上，采用越底層的加解密方式越安全。數據鏈路層直接位于物理媒體層之上，任何內部網絡和外部網絡之間傳輸的數據都不可能繞過這一層而進出系統，因此直接在這一層對數據包做安全處理將能夠保證安全處理的完備性。同時，由于鏈路層處于操作系統的內核，相應安全程序模塊是操作系統的一部分，在系統啟動時就被加載且在系統運行過程中不能被篡改，因而可以保證程序自身的安全性與穩定性。 格方公司開發的威賽盾（VPSec）系列產品正是基于這一出發點而開展工作的。威賽盾使用內核技術開發，具體層次在網絡設備卡之上，協議層之下。圖2.2顯示了VPSec在Windows NT網絡系統結構模型中的位置?？梢钥吹絍PSec所在層面將能夠保證所有網絡進出數據都必須經過，因而避免了可能存在的系統安全后門，保證了安全系統的完備性。 與常規IPSec協議不同的是，VPSec更考慮我國目前的具體應用環境而做了特殊的改進。首先，VPSec支持更強的安全通信。由于完全自主開發，擁有全部源代碼，VPSec可以采用任意強度的安全加密方法，引進國產加密算法、密鑰甚至加解密硬件設備，充分保證通信的安全性 #p#分頁標題#e#