[返回]
当口令和防火墙力不从心时……
陈 哲
4/5的数据犯罪由内部工作引起。您的商业运作受到保护了吗?
黑客和破坏者并不是贵企业的宝贵数据面对的唯一威协。Information Week杂志最近的全球安全性调查(http://www.informationweek.com/743/security.htm)指出,41%的IT管理人员因安全问题指责其授权用户和雇员,近1/3(31%)的被调查者认为,缔约方的服务提供商是安全性危险的来源。当您知道76%的被调查公司在去年遇到安全性损害,而且64%的企业称其系统由于恶意的活动而曾经瘫痪时,您对安全性绝不会等闲视之。
当然,这并不是说,您的关键企业网络安全性功能如防火墙、网络地址翻译和代理服务器没有克尽职守。它们能防止“坏蛋”从外界偷窃信息。但在网络内部,您的资源可能根本得不到任何保护。
什么情况可能出乱子
让我们来研究一下您的网络所传输的数据及其中有多少是纯文本形式传输。普通的Web网页大多数是文本文件,极少数带有图形或可执行的内容如Java小件,还可能包含电子邮件消息、记帐信息或由浏览器观看的商业报告。
从World Wide Web或贵企业的Intranet服务器发出的信息流可能有对贵企业十分重要的在局域网上传输的纯文本。不仅如此,输入的电子邮件通常是不加密的,待发出的邮件也是如此。更糟的是,在缺省模式中电子邮件客户端用来与其电子邮件服务器进行核查的口令也是以纯文本形式发出的,在这些口令被截获时很容易受到伤害。甚至于在网络设备和网络管理人员的控制台之间发送的某些电子消息也是纯文本,可能被截获或假冒。
有被截获或被假冒的可能,但容易吗?只需使用常见的软件如协议分析器甚至从Internet下载的免费工具,任何PC都可以截获来自网卡的消息。在共享型局域网中,每台PC通过一台以太网集线器联网,每台PC都可以看到和截获每一个数据包。
交换型以太局域网似乎不太容易受到伤害,这是因为每个最终用户站点只能看到发到它的PC的信息流。但是,对于居心叵测的人(如企业间谍或心怀不满的员工)来说,他们可能在流过大量信息流的一些关键地点如路由器与广域网访问点之间的地点放置一些远程PC,并从那儿复制信息。更糟的是,如果路由器或其他网络基础设备的管理访问代码被窃取,数据包便可以被转送到不归它所有的地方去。
解决办法呢?解决办法就是确保即使网络信息流被截获,它们对于黑客也是完全无价值的。怎么做?那就是对端对端的所有网络信息流进行加密。
功夫全在负荷的加密
采用IP协议在局域网、广域网或Internet上传输的每个消息都被分成许多小部分,或称数据包。每个数据包由两部分组成:标题和负荷。标题含有包含目的IP地址在内的各种路由信息。负荷是要通过网络发送的实际数据,如邮件消息、待发送给文件服务器的文件、希望得到网络服务的登录请求等的一部分。
网络上的每个设备(PC、服务器、集线器、代理服务器)都必须能够读取和了解IP标题信息。但是,负荷只需要双方了解:发送消息的PC和接收消息的设备。如果负荷被加密,数据包在网络上的传输能力不受影响,唯一的影响是消息更加安全。
有几种广泛采用的标准用于对网络信息流进行加密,而且许多Internet服务器和浏览器都已经了解这些标准。这些标准都基于公钥密码的概念,即利用极多的质数因子来建立非常安全的通信。
最重要的标准是IPSec即IP Security标准。该标准确保双方的网络设备采用同样的加密算法对负荷进行编码和解码,从而建立起加密的会话。Internet界广泛采纳IPSec标准,几乎每一种现代Web服务器和Web浏览器都内置IPSec支持能力。它甚至被集成到Microsoft公司的新操作系统Windows 2000中。
虽然IPSec被用来保证安全会话中的双方采用相同的加密算法,但IPSec标准并没有对加密算法作出规定,而是允许使用双方PC都拥有的任何加密算法。当前最广泛使用的加密方法称为DES(Data Encryption Standard)。世界上最常用的DES版本采用40位或56位的二进制数作为密钥。许多客户机和服务器都内置DES支持能力。
您可以知道您的Web浏览器何时利用IPSec和DES进行安全会话:Microsoft公司的Internet Explorer此时会在屏幕的右下方显示一个很小的黄色挂锁;Netscape公司的Navigator此时会在左下角显示一个挂锁。
使加密切实可行
在确保网络信息流的安全时,面临的问题是,对每个网络数据包进行加密和解密需要很大的额外处理工作量。对每个数据包进行40位或56位的DES加密算法所造成的大量数字运算使PC性能发生明显的变化,每个网络事务显得慢慢吞吞,PC做其他工作(如文字处理或图形处理)的能力也削弱了。这种影响在服务器上更加严重,这是因为服务器可能正在与各种不同的PC和其他服务器同时进行数十个或数百个对话。
您可以命令操作系统如Windows 2000参与局域网和广域网上的所有端对端IP加密,但这只有在性能和可用性上付出很高的代价时才行得通。网络被用得越多,性能就越差。3Com公司的研究表明,这样的加密会使台式PC的处理能力减少77%—当频繁使用加密会话时,基于600 MHz Pentium Ⅲ的PC会降低为133MHz的计算机。多惨!
解决办法可能是寻找外援?把IPSec和DES加密包出去,也就是由专门设计的专用微处理器去做这种“搬重物”的苦活,使计算机的主处理器不受任何影响。这种解决方案使两个世界都最满意:端对端的IP加密及PC或服务器的全部性能。
3Com公司最近推出了一种网卡3CR990-TX-95,卡上含有一个加密微处理器。Windows 2000把处理会话和DES编码/解码的全部任务都卸给加密处理器。管理人员可利用Microsoft公司有关建立与贯彻IPSec策略的Windows 2000工具,来规定局域网或广域网上的网络通信必须使用IPSec。
在测试时,3Com公司用3CR990-TX取代原有的服务器和PC网卡。测试结果表明:通过采用专用加密处理器,在启动端对端的IPSec和DSE之后,服务器和工作站上的网络流量完全不受影响。换句话说,加密的局域网传输增加了安全性,这对于最终用户和应用来说都是完全透明的。
内外保护
保护您的宝贵资源免遭可能危及您的生意的任何威胁,诚然是至为重要的。防火墙、口令、及防止非法访问您的网络的其他保护措施已开始就位。此后,该是内部防患了?请记住,4/5的数据犯罪来自防火墙以内。端对端的网络信息流加密是迈向安全计算环境的征途中的合乎逻辑的下一步骤。