堡壘最易從內(nèi)部攻破
企業(yè)網(wǎng)絡所傳輸?shù)臄?shù)據(jù)中�����,有不少是以純文本的形式傳輸��。普通的Web網(wǎng)頁大多是文本文件�����,還可能包含電子郵件消息�����,記賬信息或由瀏覽器觀看的商業(yè)報告��。
從Web或企業(yè)的internet 服務器發(fā)出的信息流��,有些對企業(yè)至關重要��。這些信息也大都是以純文本的形式在企業(yè)局域網(wǎng)上進行傳輸?shù)?���。不僅如此,對于企業(yè)的局域網(wǎng)���、輸人的電子郵件通常是不加密的���,待發(fā)出的郵件也是如此,更嚴重的是���,在缺省模式中�����、電子郵件客戶端用來與電子郵件服務器進行核查的口令也是以純文本形式發(fā)出的�。如果這些口令被截獲�。那么企業(yè)很容易受到傷害。甚至在網(wǎng)絡設備和網(wǎng)絡管理人員的控制臺之間發(fā)送的某些電子消息也是純文本���,它們都非常容易被截獲或假冒���。
或許有人會有疑問�����。企業(yè)局城網(wǎng)上的信息有被截獲或被假冒的可能��,但是有那么容易嗎?答案是肯定的:只需使用常見的軟件�,如協(xié)議分析軟件、甚至從Internet下載的免費工具。任何PC都可以截獲來自網(wǎng)卡的消息�����,在共享型局城網(wǎng)中����,所有的PC通過一臺以太網(wǎng)集線器聯(lián)網(wǎng)。這樣每臺 PC都可以看到和截獲每一個數(shù)據(jù)包�。而交換型以太局城問看起來似乎不大容易受到傷害。因為每個最終用戶站點只能看到發(fā)給自己的信息流����。但是,對于居心叵測的人,如企業(yè)間諜或心懷不滿的員工來說�����,他們可能在流過大量信息流的一些關鍵地點���,如路由器與廣城網(wǎng)訪問點之間放置一臺PC��、從而復制信息�����,更精的是�,如果路由器或其他網(wǎng)絡基礎設備的管理訪問代碼被竊取�����。便可以把數(shù)據(jù)包轉(zhuǎn)送到其他地方去���。
端到端的加密
針對這一問題���,解決辦法就是確保即使網(wǎng)絡信息流被截獲,它們對于黑客也是完全無價值的�����。要做到這一點,就應該實現(xiàn)對所有網(wǎng)絡信息進行端到端的加密����。
目前,有幾種廣泛采用的標準用于對網(wǎng)絡信息流進行加密�,而且許多Internet服務器和瀏覽器都可以執(zhí)行這些標準,其中最重要的標準是IPSec����,即IP Security標準。該標準確保發(fā)送雙方的網(wǎng)絡設備采用同樣的加密算法對負載進行加密和解密���,從而保證了信息傳送的安全���。Internet廣泛采用IPSec標準�,幾乎所有的Web服務器和Web瀏覽器都支持IPSec協(xié)議,它還被集成到Microsoft公司新發(fā)布的操作系統(tǒng)Windows 2000中�����。
雖然IPSec被用來保證安全會話中的雙方采用相同的加密算法�,但IPSec標準并沒有對加密算法做出規(guī)定,而是允許使用發(fā)送雙方PC都擁有的任何加密算法,當前最廣泛使用的加密方法稱為DES(Data Encryption Standard)�����,目前最常用的DES版本采用40位或56位的二進制作為密鑰����。
網(wǎng)卡加密 兩全其美
雖然IPSec被用于確保信息流的安全,但是它也帶來新的問題���,對每個網(wǎng)絡數(shù)據(jù)包進行加密和解密��,需要大量處理工作�����。如果對每個數(shù)據(jù)包進行40位或56位的DES加密�����,所需要的大量數(shù)字運算會使PC的性能明顯下降�,事務處理變得慢慢吞吞����,PC做其他工作(如文字處理或圖形處理)的能力也大大削弱了��。這種影響在服務器上更加嚴重�,因為服務器可能正在同時與各種不同的PC和其他服務器進行數(shù)十個或數(shù)百個對話��。
當然�����,你可以命令操作系統(tǒng)如Windows 2000參與局域網(wǎng)和廣域網(wǎng)上的所有端對端的IP加密�,但這只有在性能和可用性上付出很高的代價后才行得通。網(wǎng)絡被用的越多�����,性能就越差�����,有關網(wǎng)絡公司的研究表面�,這樣的加密會使臺式PC機的處理能力減少77%。當頻繁地使用加密會話時��,基于600MHz Pentium III處理器的PC性能會降低到僅相當于一臺133MHz Pentium處理器的PC����。
解決上述問題的辦法是尋找外援,即把IPSec和DES加密“承包”出去��,也就是由專門設計的專用微處理器去做加密和解密等極為繁重的計算工作���,使計算機的主處理器不受任何影響���。目前已經(jīng)有不少公司推出含有這種專用微處理器的網(wǎng)卡,這種解決方案可以做到兩全其美���,即實現(xiàn)了端對端的IP加密�,又可以充分發(fā)揮PC或服務器的全部性能���。
日前��,國內(nèi)最大的專業(yè)服務器網(wǎng)卡廠商��,光潤通科技通過在服務器產(chǎn)品上反復測試和驗證�����,推出新一代安全網(wǎng)卡�,讓安全從服務器與外部開始溝通時就能實現(xiàn)�。這種網(wǎng)卡通過在硬件上集成網(wǎng)絡加密協(xié)處理器��,在保持較高的網(wǎng)絡傳輸性能的同時����,為基于標準安全規(guī)范的局域網(wǎng)(LAN)的敏感數(shù)據(jù)傳輸提供了保護��,使服務器的處理器資源從加密解密的繁忙運算中解脫出來����,能更多的用于關鍵性業(yè)務。
光潤通安全網(wǎng)卡優(yōu)勢體現(xiàn)
安全網(wǎng)卡使用前需要身份認證���,杜絕了惡意接入�。
通信數(shù)據(jù)是加密的�,并且只能在光潤通安全網(wǎng)卡間通信。
全硬件封閉實現(xiàn)�����,證書 和秘鑰存儲在芯片內(nèi)部�。
無須軟件支持,即插即用���。隔絕了軟件帶來的所有不安全因素����。
實施成本相對軟件完全可控��,不改變企業(yè)現(xiàn)有網(wǎng)絡拓撲結(jié)構(gòu)�����,用戶維護零成本���。
將身份認證和加密通信捆綁在一起���。解決了以往先認證再通信帶來的中間環(huán)節(jié)的安全漏洞。
與傳統(tǒng)Vpn-IpSec網(wǎng)關相比較
不改變現(xiàn)有網(wǎng)絡的拓撲結(jié)構(gòu)���,即插即用�,零實施成本�����。
不需要vpn網(wǎng)關軟件服務來做認證支持�。
不需要經(jīng)過復雜的IpSec封包轉(zhuǎn)換。
所有認證過程��、秘鑰協(xié)商過程、數(shù)據(jù)加密過程全部在硬件中實現(xiàn)��。
不需要終端或者服務端上層軟件的干預�����,安全隔離性高��。
網(wǎng)絡傳輸和加密認證功能集成在一塊卡上來實現(xiàn)�,最大限度的降低了硬件成本,擺脫了對硬件密碼卡的功能依賴����。
前不久,第3方的專業(yè)測評機構(gòu)對這兩款網(wǎng)卡進行了測試��,結(jié)果表明:通過采用專用加密處理器���,在啟動端對端的IPSec和DES之后�����,服務器和工作站上的網(wǎng)絡流量基本不受影響�,Tcp/Udp 加密傳輸可達942Mb/ S,換句話說����,加密的局域網(wǎng)傳輸增加了安全性,這對于最終用戶和應用來說�����,都是完全透明的���。
因特網(wǎng)的迅速普及和信息技術的飛速發(fā)展,使得信息網(wǎng)絡安全問題越來越受到全社會的矚目�。保護企業(yè)的信息資源免遭可能的危害,對企業(yè)的生產(chǎn)��、管理和經(jīng)營是至關重要的�。防火墻、口令和防止非法訪問企業(yè)網(wǎng)絡的其他保護措施已經(jīng)開始就位�����。但是���,也不應該忽視網(wǎng)絡內(nèi)部的安全措施��。請記住����,80%的數(shù)據(jù)犯罪來自防火墻以內(nèi),我們必須實現(xiàn)端到端的網(wǎng)絡信息安全����。為此,需要從網(wǎng)卡開始��。
