堡壘最易從內部攻破
企業網絡所傳輸的數據中,有不少是以純文本的形式傳輸。普通的Web網頁大多是文本文件,還可能包含電子郵件消息,記賬信息或由瀏覽器觀看的商業報告。
從Web或企業的internet 服務器發出的信息流,有些對企業至關重要。這些信息也大都是以純文本的形式在企業局域網上進行傳輸的。不僅如此,對于企業的局域網、輸人的電子郵件通常是不加密的,待發出的郵件也是如此,更嚴重的是,在缺省模式中、電子郵件客戶端用來與電子郵件服務器進行核查的口令也是以純文本形式發出的。如果這些口令被截獲。那么企業很容易受到傷害。甚至在網絡設備和網絡管理人員的控制臺之間發送的某些電子消息也是純文本,它們都非常容易被截獲或假冒。
或許有人會有疑問。企業局城網上的信息有被截獲或被假冒的可能,但是有那么容易嗎?答案是肯定的:只需使用常見的軟件,如協議分析軟件、甚至從Internet下載的免費工具。任何PC都可以截獲來自網卡的消息,在共享型局城網中,所有的PC通過一臺以太網集線器聯網。這樣每臺 PC都可以看到和截獲每一個數據包。而交換型以太局城問看起來似乎不大容易受到傷害。因為每個最終用戶站點只能看到發給自己的信息流。但是,對于居心叵測的人,如企業間諜或心懷不滿的員工來說,他們可能在流過大量信息流的一些關鍵地點,如路由器與廣城網訪問點之間放置一臺PC、從而復制信息,更精的是,如果路由器或其他網絡基礎設備的管理訪問代碼被竊取。便可以把數據包轉送到其他地方去。
端到端的加密
針對這一問題,解決辦法就是確保即使網絡信息流被截獲,它們對于黑客也是完全無價值的。要做到這一點,就應該實現對所有網絡信息進行端到端的加密。
目前,有幾種廣泛采用的標準用于對網絡信息流進行加密,而且許多Internet服務器和瀏覽器都可以執行這些標準,其中最重要的標準是IPSec,即IP Security標準。該標準確保發送雙方的網絡設備采用同樣的加密算法對負載進行加密和解密,從而保證了信息傳送的安全。Internet廣泛采用IPSec標準,幾乎所有的Web服務器和Web瀏覽器都支持IPSec協議,它還被集成到Microsoft公司新發布的操作系統Windows 2000中。
雖然IPSec被用來保證安全會話中的雙方采用相同的加密算法,但IPSec標準并沒有對加密算法做出規定,而是允許使用發送雙方PC都擁有的任何加密算法,當前最廣泛使用的加密方法稱為DES(Data Encryption Standard),目前最常用的DES版本采用40位或56位的二進制作為密鑰。
網卡加密 兩全其美
雖然IPSec被用于確保信息流的安全,但是它也帶來新的問題,對每個網絡數據包進行加密和解密,需要大量處理工作。如果對每個數據包進行40位或56位的DES加密,所需要的大量數字運算會使PC的性能明顯下降,事務處理變得慢慢吞吞,PC做其他工作(如文字處理或圖形處理)的能力也大大削弱了。這種影響在服務器上更加嚴重,因為服務器可能正在同時與各種不同的PC和其他服務器進行數十個或數百個對話。
當然,你可以命令操作系統如Windows 2000參與局域網和廣域網上的所有端對端的IP加密,但這只有在性能和可用性上付出很高的代價后才行得通。網絡被用的越多,性能就越差,有關網絡公司的研究表面,這樣的加密會使臺式PC機的處理能力減少77%。當頻繁地使用加密會話時,基于600MHz Pentium III處理器的PC性能會降低到僅相當于一臺133MHz Pentium處理器的PC。
解決上述問題的辦法是尋找外援,即把IPSec和DES加密“承包”出去,也就是由專門設計的專用微處理器去做加密和解密等極為繁重的計算工作,使計算機的主處理器不受任何影響。目前已經有不少公司推出含有這種專用微處理器的網卡,這種解決方案可以做到兩全其美,即實現了端對端的IP加密,又可以充分發揮PC或服務器的全部性能。
日前,國內最大的專業服務器網卡廠商,光潤通科技通過在服務器產品上反復測試和驗證,推出新一代安全網卡,讓安全從服務器與外部開始溝通時就能實現。這種網卡通過在硬件上集成網絡加密協處理器,在保持較高的網絡傳輸性能的同時,為基于標準安全規范的局域網(LAN)的敏感數據傳輸提供了保護,使服務器的處理器資源從加密解密的繁忙運算中解脫出來,能更多的用于關鍵性業務。
光潤通安全網卡優勢體現
安全網卡使用前需要身份認證,杜絕了惡意接入。
通信數據是加密的,并且只能在光潤通安全網卡間通信。
全硬件封閉實現,證書 和秘鑰存儲在芯片內部。
無須軟件支持,即插即用。隔絕了軟件帶來的所有不安全因素。
實施成本相對軟件完全可控,不改變企業現有網絡拓撲結構,用戶維護零成本。
將身份認證和加密通信捆綁在一起。解決了以往先認證再通信帶來的中間環節的安全漏洞。
與傳統Vpn-IpSec網關相比較
不改變現有網絡的拓撲結構,即插即用,零實施成本。
不需要vpn網關軟件服務來做認證支持。
不需要經過復雜的IpSec封包轉換。
所有認證過程、秘鑰協商過程、數據加密過程全部在硬件中實現。
不需要終端或者服務端上層軟件的干預,安全隔離性高。
網絡傳輸和加密認證功能集成在一塊卡上來實現,最大限度的降低了硬件成本,擺脫了對硬件密碼卡的功能依賴。
前不久,第3方的專業測評機構對這兩款網卡進行了測試,結果表明:通過采用專用加密處理器,在啟動端對端的IPSec和DES之后,服務器和工作站上的網絡流量基本不受影響,Tcp/Udp 加密傳輸可達942Mb/ S,換句話說,加密的局域網傳輸增加了安全性,這對于最終用戶和應用來說,都是完全透明的。
因特網的迅速普及和信息技術的飛速發展,使得信息網絡安全問題越來越受到全社會的矚目。保護企業的信息資源免遭可能的危害,對企業的生產、管理和經營是至關重要的。防火墻、口令和防止非法訪問企業網絡的其他保護措施已經開始就位。但是,也不應該忽視網絡內部的安全措施。請記住,80%的數據犯罪來自防火墻以內,我們必須實現端到端的網絡信息安全。為此,需要從網卡開始。