寧潔 王懿男

摘要：為消除內(nèi)部VPN專網(wǎng)可能存在的信息安全隱患和管理使用上遇到的難點(diǎn)問題及漏洞威脅，應(yīng)用密碼機(jī)建立了服務(wù)器區(qū)和用戶區(qū)之間的網(wǎng)狀SSL VPN互通和視頻信號(hào)傳輸?shù)谋Ｃ芡ǖ?，?shí)現(xiàn)了網(wǎng)絡(luò)邊界的整體防護(hù)、加強(qiáng)了視頻會(huì)議系統(tǒng)的傳輸防護(hù)，進(jìn)一步提升了網(wǎng)絡(luò)信息安全防御能力。

關(guān)鍵詞：密碼機(jī);VPN專網(wǎng);信息安全;防御能力

中圖分類號(hào)：TP309.02 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2019）07-0183-02

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展，人們廣泛使用互聯(lián)網(wǎng)進(jìn)行學(xué)習(xí)、工作以及日常生活，網(wǎng)絡(luò)已經(jīng)成為一個(gè)時(shí)代的代名詞，也是開展科研工作的一個(gè)重要支撐條件。如何保證網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全，避免非法入侵、病毒感染、惡意篡改、信息泄漏等安全風(fēng)險(xiǎn)，是網(wǎng)絡(luò)信息安全建設(shè)中必須解決的難題[1]。除了開展教育培訓(xùn)、完善制度建設(shè)和加強(qiáng)防護(hù)手段等建設(shè)策略和防范措施以外，還可以采用加密技術(shù)來確保所傳輸信息數(shù)據(jù)的完整性、真實(shí)性、可靠性，防止信息在存儲(chǔ)傳輸過程中的泄露和被篡改，進(jìn)一步提升網(wǎng)絡(luò)信息安全防御能力。

1 網(wǎng)絡(luò)結(jié)構(gòu)組成

我所計(jì)算機(jī)網(wǎng)絡(luò)始建于2002年，先后組建了內(nèi)部使用的辦公局域網(wǎng)、軍事綜合信息網(wǎng)和聯(lián)接外部的Internet接入網(wǎng)，實(shí)現(xiàn)了內(nèi)部網(wǎng)與互聯(lián)網(wǎng)徹底的物理隔離?，F(xiàn)有網(wǎng)絡(luò)信息點(diǎn)涵蓋南、北科研樓，采用千兆光纖為主干、百兆交換到桌面，兩樓通過20M光纖連接。目前有三十多臺(tái)交換機(jī)、服務(wù)器和計(jì)算機(jī)終端二百余臺(tái)，在2個(gè)科研樓共設(shè)立1個(gè)網(wǎng)絡(luò)主機(jī)房、2個(gè)網(wǎng)絡(luò)分機(jī)房。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

2 密碼機(jī)的使用維護(hù)

軍事綜合信息網(wǎng)是VPN網(wǎng)絡(luò)，單位的工作信息和數(shù)據(jù)文件是通過該網(wǎng)與上級(jí)和其他單位相互傳送的，除了防火墻、入侵檢測系統(tǒng)、信息審計(jì)、漏洞掃描等安全防護(hù)設(shè)備之外，按照有關(guān)保密要求配備了3臺(tái)密碼機(jī)。依據(jù)不同管理權(quán)限和配置策略，將我所的軍事綜合信息網(wǎng)結(jié)構(gòu)劃分成服務(wù)器端和用戶端，在網(wǎng)絡(luò)邊界處分別部署了同款網(wǎng)絡(luò)加密機(jī)，實(shí)現(xiàn)網(wǎng)絡(luò)邊界整體防護(hù)，并且保證兩個(gè)區(qū)域之間的網(wǎng)狀SSL VPN互通，為信息安全提供有力保障[2]。

為了加強(qiáng)視頻會(huì)議系統(tǒng)的信息安全防護(hù)，又專門在軍事綜合信息網(wǎng)中部署了一臺(tái)百兆IP密碼機(jī)，建立了一條從我所視頻會(huì)議終端通過上級(jí)MCU到達(dá)全軍視頻會(huì)議中心的專用安全通道，以確保視頻會(huì)議圖像、聲音信息的保密和安全[3]。

2.1 密碼機(jī)的主要功能

網(wǎng)絡(luò)密碼機(jī)作為信息安全通道組成部分，主要功能是：實(shí)現(xiàn)專用證書的公私鑰對(duì)設(shè)備實(shí)體鑒別;提供數(shù)據(jù)管理中心的網(wǎng)絡(luò)邊界防護(hù);支持SSL安全傳輸?shù)撵`活配置;支持網(wǎng)狀SSL VPN密碼通信功能;支持離線密碼管理，支持接收一體化對(duì)稱密碼管理系統(tǒng)IC卡型專用服務(wù)分發(fā)服務(wù)器的密碼在線管理。

百兆IP密碼機(jī)是實(shí)現(xiàn)IP層信道加密的密碼設(shè)備。采用標(biāo)準(zhǔn)IPSec協(xié)議，可在IP網(wǎng)上構(gòu)建一個(gè)安全的虛擬專網(wǎng)，為業(yè)務(wù)應(yīng)用提供一個(gè)安全的百兆網(wǎng)絡(luò)接入環(huán)境下IP層的信息傳輸加密平臺(tái)，確保數(shù)據(jù)在傳輸過程中的秘密性和完整性，禁止外部非授權(quán)用戶的非法進(jìn)入，防止從網(wǎng)絡(luò)傳輸平臺(tái)引入的攻擊和破壞造成的安全威脅。能夠?qū)ψ泳W(wǎng)或服務(wù)器提供邊界安全防護(hù)，構(gòu)建子網(wǎng)之間、子網(wǎng)與端系統(tǒng)之間的VPN。

2.2 密碼機(jī)的安裝連接

連接好密碼機(jī)的電源線和網(wǎng)線，串口連接到本地配置終端，密碼機(jī)內(nèi)網(wǎng)口連接到內(nèi)網(wǎng)交換機(jī)的以太網(wǎng)口，密碼機(jī)外網(wǎng)口連接到路由器的以太網(wǎng)口，插入IC認(rèn)證卡，網(wǎng)絡(luò)連接部署情況如圖2所示。上電后，密碼機(jī)前面板電源燈呈現(xiàn)常亮狀態(tài)，系統(tǒng)燈不斷閃爍。安裝SecureCRT軟件，應(yīng)用telnet、ssh、serial等遠(yuǎn)程通信功能完成串口配置。

2.3 密碼機(jī)的密鑰注入

管理員IC卡登錄，在密碼資源注入器上選擇密碼機(jī)對(duì)應(yīng)的密碼資源，注入密鑰庫。發(fā)送成功后密碼機(jī)內(nèi)部開始進(jìn)行密鑰處理，待系統(tǒng)燈以綠燈形式快閃5次后表示密碼機(jī)注鑰操作完成。查看密鑰庫標(biāo)識(shí)，重啟密碼機(jī)使其生效。注入全過程要保持認(rèn)證IC卡是插入狀態(tài)。

2.4 密碼機(jī)的網(wǎng)絡(luò)配置

（1）建立服務(wù)器區(qū)域網(wǎng)橋，外網(wǎng)口eth0的IP地址是XXX.XXX.166.1、內(nèi)網(wǎng)口eth1的IP地址是XXX.XXX.166.4，網(wǎng)橋IP地址是XXX.XXX.166.2、掩碼是255.255.255.248，網(wǎng)關(guān)IP地址是XXX.XXX.166.1。

（2）建立用戶區(qū)域網(wǎng)橋，外網(wǎng)口eth0的IP地址是XXX.XXX.166.6、內(nèi)網(wǎng)口eth1的IP地址是XXX.XXX.166.5，網(wǎng)橋IP地址是XXX.XXX.166.3、掩碼是255.255.255.248，網(wǎng)關(guān)IP地址是XXX.XXX.166.6。按業(yè)務(wù)內(nèi)容和管理權(quán)限設(shè)定用戶和用戶組之后，進(jìn)行用戶組和對(duì)應(yīng)資源組的綁定。

（3）視頻會(huì)議系統(tǒng)網(wǎng)橋，外網(wǎng)口eth0的IP地址是XXX.XXX.130.240、內(nèi)網(wǎng)口eth1的IP地址是XXX.XXX.165.2，網(wǎng)橋IP地址是XXX.XXX.165.3、掩碼是255.255.255.252，網(wǎng)關(guān)IP地址是XXX.XXX.130.240。

2.5 密碼機(jī)的故障檢測

（1）物理檢查：網(wǎng)線和串口線連接是否正確，認(rèn)證卡是否正確插入，各條連接線材是否出現(xiàn)松動(dòng)、破裂。（2）本機(jī)網(wǎng)絡(luò)檢測：內(nèi)外網(wǎng)口配置、網(wǎng)橋地址、網(wǎng)橋掩碼是否正確，嘗試更換端口重建網(wǎng)橋。（3）異地網(wǎng)絡(luò)檢測：聯(lián)系本地自動(dòng)化站，查詢出口處的防火墻、網(wǎng)關(guān)是否進(jìn)行設(shè)置。（4）本機(jī)配置檢查：檢查各項(xiàng)IP是否配置正確。（5）加密通道檢測：如果不能Ping通對(duì)端密碼機(jī)虛擬地址，檢查tap0項(xiàng)并分配地址。（6）對(duì)端協(xié)查：在路由查看中輸入對(duì)端保護(hù)資源IP地址，如果不能反悔一個(gè)對(duì)端密碼機(jī)的真實(shí)IP地址，說明對(duì)端密碼機(jī)沒有配置相應(yīng)保護(hù)資源。

3 網(wǎng)絡(luò)信息安全防御能力

從根本上講，網(wǎng)絡(luò)信息安全就是要在網(wǎng)絡(luò)環(huán)境下，建立信息網(wǎng)絡(luò)的安全保障體系，增強(qiáng)對(duì)信息的安全防御能力，其主要體現(xiàn)在信息的保密性、完整性、可控性和抗抵賴性等四個(gè)方面[4]。

3.1 利用密鑰提高了網(wǎng)絡(luò)信息的保密性

由于密碼裝備的密鑰注入，只有密鑰認(rèn)證成功才能進(jìn)入網(wǎng)絡(luò)，使得網(wǎng)絡(luò)的非法訪問被有效攔截，而且安全設(shè)備一旦檢測到這種入侵行為，就會(huì)發(fā)生告警并進(jìn)行阻斷，保證了網(wǎng)絡(luò)信息確實(shí)為授權(quán)者所用，不會(huì)發(fā)生任何信息泄露，也防止了由于黑客攻擊或其他人為因素造成的系統(tǒng)服務(wù)，從而提高了網(wǎng)絡(luò)信息的保密性。

3.2 制度管理確保了網(wǎng)絡(luò)信息的完整性

通過建立保密制度、部署安全策略以及執(zhí)行防范措施來管理網(wǎng)絡(luò)信息安全。首先制定保密載體的專用登記臺(tái)賬，并將其登記變更與移交手續(xù)聯(lián)動(dòng)起來，同時(shí)科研數(shù)據(jù)信息的備份也要嚴(yán)格記錄。在拓展科研協(xié)同創(chuàng)新的大環(huán)境下，我所科研領(lǐng)域增大、科研任務(wù)增加、課題密級(jí)提升，涉密網(wǎng)絡(luò)信息必須嚴(yán)格按照主管部門的保密要求，建立一整套涉密資料存儲(chǔ)、傳輸、打印、共享、刻錄、復(fù)印的業(yè)務(wù)流程和登記手續(xù)，形成一個(gè)完全封閉的流轉(zhuǎn)過程，防止對(duì)網(wǎng)絡(luò)信息的非法修改，進(jìn)一步確保了網(wǎng)絡(luò)信息的完整性。

3.3 實(shí)施審計(jì)完善了網(wǎng)絡(luò)信息的可控性

信息審計(jì)系統(tǒng)以旁路的方式安裝在網(wǎng)絡(luò)中，對(duì)所有信息數(shù)據(jù)實(shí)施審計(jì)，進(jìn)行安全監(jiān)控管理。同時(shí)對(duì)用戶透明，不影響用戶的上網(wǎng)行為，也不影響網(wǎng)絡(luò)性能。通過關(guān)鍵詞、文件規(guī)則、郵件規(guī)則、FTP命令規(guī)則等多種審計(jì)規(guī)則的綜合使用來監(jiān)控網(wǎng)絡(luò)信息，發(fā)現(xiàn)非法信息后立即阻斷該信息的傳輸，并自動(dòng)報(bào)警，同時(shí)與防火墻聯(lián)動(dòng)，暫時(shí)封掉發(fā)送非法信息源地址的上網(wǎng)權(quán)限，防止信息為非法者所用，更加完善了網(wǎng)絡(luò)信息的可控性。

3.4 用戶認(rèn)證增強(qiáng)了網(wǎng)絡(luò)信息的抗抵賴性

通過用戶IP地址設(shè)定和嚴(yán)格權(quán)限管理分配，可以記錄每個(gè)計(jì)算機(jī)的登錄、訪問、打印等輸入輸出的操作行為，并存有詳細(xì)的日志記錄以及定期備份，可以進(jìn)行事后責(zé)任追蹤，保證信息行為人不能否認(rèn)自己的行為，增強(qiáng)了網(wǎng)絡(luò)信息的抗抵賴性。

4 結(jié)語

面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全問題挑戰(zhàn)，采用各類數(shù)據(jù)加密算法及信息加密技術(shù)來保護(hù)網(wǎng)絡(luò)系統(tǒng)的信息安全，易于實(shí)施且成效顯著。通過密碼裝備對(duì)傳輸信息的加密處理，建立了網(wǎng)絡(luò)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與用戶、用戶與用戶之間的信任關(guān)系，防止了信息被非法用戶竊取，保證了網(wǎng)絡(luò)環(huán)境下信息傳輸?shù)陌踩?，從而杜絕了失泄密事件的發(fā)生，為各類信息化應(yīng)用保駕護(hù)航。

參考文獻(xiàn)

[1] 湯亞魯.涉密單位網(wǎng)絡(luò)安全管理的難點(diǎn)與對(duì)策[J].科技信息，2010（9）：50.

[2] 戴維斯，著.IPSec：VPN的安全實(shí)施[M].清華大學(xué)出版社，2002.

[3] 王玲.網(wǎng)絡(luò)信息安全的數(shù)據(jù)加密技術(shù)[J].信息安全與通信保密，2007（4）：64-65+68.

[4] 王如海.內(nèi)部網(wǎng)系統(tǒng)的網(wǎng)絡(luò)信息安全管理[J].計(jì)算機(jī)安全，2007（07）：69-71+77.