堡壘最易從內(nèi)部攻破

企業(yè)網(wǎng)絡(luò)所傳輸?shù)臄?shù)據(jù)中，有不少是以純文本的形式傳輸。普通的Web網(wǎng)頁大多是文本文件，還可能包含電子郵件消息，記賬信息或由瀏覽器觀看的商業(yè)報(bào)告。

從Web或企業(yè)的internet 服務(wù)器發(fā)出的信息流，有些對企業(yè)至關(guān)重要。這些信息也大都是以純文本的形式在企業(yè)局域網(wǎng)上進(jìn)行傳輸?shù)?。不僅如此，對于企業(yè)的局域網(wǎng)、輸人的電子郵件通常是不加密的，待發(fā)出的郵件也是如此，更嚴(yán)重的是，在缺省模式中、電子郵件客戶端用來與電子郵件服務(wù)器進(jìn)行核查的口令也是以純文本形式發(fā)出的。如果這些口令被截獲。那么企業(yè)很容易受到傷害。甚至在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)管理人員的控制臺(tái)之間發(fā)送的某些電子消息也是純文本，它們都非常容易被截獲或假冒。

或許有人會(huì)有疑問。企業(yè)局城網(wǎng)上的信息有被截獲或被假冒的可能，但是有那么容易嗎?答案是肯定的:只需使用常見的軟件，如協(xié)議分析軟件、甚至從Internet下載的免費(fèi)工具。任何PC都可以截獲來自網(wǎng)卡的消息，在共享型局城網(wǎng)中，所有的PC通過一臺(tái)以太網(wǎng)集線器聯(lián)網(wǎng)。這樣每臺(tái) PC都可以看到和截獲每一個(gè)數(shù)據(jù)包。而交換型以太局城問看起來似乎不大容易受到傷害。因?yàn)槊總€(gè)最終用戶站點(diǎn)只能看到發(fā)給自己的信息流。但是，對于居心叵測的人，如企業(yè)間諜或心懷不滿的員工來說，他們可能在流過大量信息流的一些關(guān)鍵地點(diǎn)，如路由器與廣城網(wǎng)訪問點(diǎn)之間放置一臺(tái)PC、從而復(fù)制信息，更精的是，如果路由器或其他網(wǎng)絡(luò)基礎(chǔ)設(shè)備的管理訪問代碼被竊取。便可以把數(shù)據(jù)包轉(zhuǎn)送到其他地方去。

端到端的加密

針對這一問題，解決辦法就是確保即使網(wǎng)絡(luò)信息流被截獲，它們對于黑客也是完全無價(jià)值的。要做到這一點(diǎn)，就應(yīng)該實(shí)現(xiàn)對所有網(wǎng)絡(luò)信息進(jìn)行端到端的加密。

目前，有幾種廣泛采用的標(biāo)準(zhǔn)用于對網(wǎng)絡(luò)信息流進(jìn)行加密，而且許多Internet服務(wù)器和瀏覽器都可以執(zhí)行這些標(biāo)準(zhǔn)，其中最重要的標(biāo)準(zhǔn)是IPSec，即IP Security標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)確保發(fā)送雙方的網(wǎng)絡(luò)設(shè)備采用同樣的加密算法對負(fù)載進(jìn)行加密和解密，從而保證了信息傳送的安全。Internet廣泛采用IPSec標(biāo)準(zhǔn)，幾乎所有的Web服務(wù)器和Web瀏覽器都支持IPSec協(xié)議，它還被集成到Microsoft公司新發(fā)布的操作系統(tǒng)Windows 2000中。

雖然IPSec被用來保證安全會(huì)話中的雙方采用相同的加密算法，但I(xiàn)PSec標(biāo)準(zhǔn)并沒有對加密算法做出規(guī)定，而是允許使用發(fā)送雙方PC都擁有的任何加密算法，當(dāng)前最廣泛使用的加密方法稱為DES（Data Encryption Standard），目前最常用的DES版本采用40位或56位的二進(jìn)制作為密鑰。

網(wǎng)卡加密 兩全其美

雖然IPSec被用于確保信息流的安全，但是它也帶來新的問題，對每個(gè)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加密和解密，需要大量處理工作。如果對每個(gè)數(shù)據(jù)包進(jìn)行40位或56位的DES加密，所需要的大量數(shù)字運(yùn)算會(huì)使PC的性能明顯下降，事務(wù)處理變得慢慢吞吞，PC做其他工作（如文字處理或圖形處理）的能力也大大削弱了。這種影響在服務(wù)器上更加嚴(yán)重，因?yàn)榉?wù)器可能正在同時(shí)與各種不同的PC和其他服務(wù)器進(jìn)行數(shù)十個(gè)或數(shù)百個(gè)對話。

當(dāng)然，你可以命令操作系統(tǒng)如Windows 2000參與局域網(wǎng)和廣域網(wǎng)上的所有端對端的IP加密，但這只有在性能和可用性上付出很高的代價(jià)后才行得通。網(wǎng)絡(luò)被用的越多，性能就越差，有關(guān)網(wǎng)絡(luò)公司的研究表面，這樣的加密會(huì)使臺(tái)式PC機(jī)的處理能力減少77%。當(dāng)頻繁地使用加密會(huì)話時(shí)，基于600MHz Pentium III處理器的PC性能會(huì)降低到僅相當(dāng)于一臺(tái)133MHz Pentium處理器的PC。

解決上述問題的辦法是尋找外援，即把IPSec和DES加密“承包”出去，也就是由專門設(shè)計(jì)的專用微處理器去做加密和解密等極為繁重的計(jì)算工作，使計(jì)算機(jī)的主處理器不受任何影響。目前已經(jīng)有不少公司推出含有這種專用微處理器的網(wǎng)卡，這種解決方案可以做到兩全其美，即實(shí)現(xiàn)了端對端的IP加密，又可以充分發(fā)揮PC或服務(wù)器的全部性能。

日前，國內(nèi)最大的專業(yè)服務(wù)器網(wǎng)卡廠商，光潤通科技通過在服務(wù)器產(chǎn)品上反復(fù)測試和驗(yàn)證，推出新一代安全網(wǎng)卡，讓安全從服務(wù)器與外部開始溝通時(shí)就能實(shí)現(xiàn)。這種網(wǎng)卡通過在硬件上集成網(wǎng)絡(luò)加密協(xié)處理器，在保持較高的網(wǎng)絡(luò)傳輸性能的同時(shí)，為基于標(biāo)準(zhǔn)安全規(guī)范的局域網(wǎng)(LAN)的敏感數(shù)據(jù)傳輸提供了保護(hù)，使服務(wù)器的處理器資源從加密解密的繁忙運(yùn)算中解脫出來，能更多的用于關(guān)鍵性業(yè)務(wù)。

光潤通安全網(wǎng)卡優(yōu)勢體現(xiàn)

安全網(wǎng)卡使用前需要身份認(rèn)證，杜絕了惡意接入。

通信數(shù)據(jù)是加密的，并且只能在光潤通安全網(wǎng)卡間通信。

全硬件封閉實(shí)現(xiàn)，證書 和秘鑰存儲(chǔ)在芯片內(nèi)部。

無須軟件支持，即插即用。隔絕了軟件帶來的所有不安全因素。

實(shí)施成本相對軟件完全可控，不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，用戶維護(hù)零成本。

將身份認(rèn)證和加密通信捆綁在一起。解決了以往先認(rèn)證再通信帶來的中間環(huán)節(jié)的安全漏洞。

與傳統(tǒng)Vpn-IpSec網(wǎng)關(guān)相比較

不改變現(xiàn)有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，即插即用，零實(shí)施成本。

不需要vpn網(wǎng)關(guān)軟件服務(wù)來做認(rèn)證支持。

不需要經(jīng)過復(fù)雜的IpSec封包轉(zhuǎn)換。

所有認(rèn)證過程、秘鑰協(xié)商過程、數(shù)據(jù)加密過程全部在硬件中實(shí)現(xiàn)。

不需要終端或者服務(wù)端上層軟件的干預(yù)，安全隔離性高。

網(wǎng)絡(luò)傳輸和加密認(rèn)證功能集成在一塊卡上來實(shí)現(xiàn)，最大限度的降低了硬件成本，擺脫了對硬件密碼卡的功能依賴。

前不久，第3方的專業(yè)測評機(jī)構(gòu)對這兩款網(wǎng)卡進(jìn)行了測試，結(jié)果表明：通過采用專用加密處理器，在啟動(dòng)端對端的IPSec和DES之后，服務(wù)器和工作站上的網(wǎng)絡(luò)流量基本不受影響，Tcp/Udp 加密傳輸可達(dá)942Mb/ S，換句話說，加密的局域網(wǎng)傳輸增加了安全性，這對于最終用戶和應(yīng)用來說，都是完全透明的。

因特網(wǎng)的迅速普及和信息技術(shù)的飛速發(fā)展，使得信息網(wǎng)絡(luò)安全問題越來越受到全社會(huì)的矚目。保護(hù)企業(yè)的信息資源免遭可能的危害，對企業(yè)的生產(chǎn)、管理和經(jīng)營是至關(guān)重要的。防火墻、口令和防止非法訪問企業(yè)網(wǎng)絡(luò)的其他保護(hù)措施已經(jīng)開始就位。但是，也不應(yīng)該忽視網(wǎng)絡(luò)內(nèi)部的安全措施。請記住，80%的數(shù)據(jù)犯罪來自防火墻以內(nèi)，我們必須實(shí)現(xiàn)端到端的網(wǎng)絡(luò)信息安全。為此，需要從網(wǎng)卡開始。