寧潔 王懿男

摘要：為消除內(nèi)部VPN專網(wǎng)可能存在的信息安全隱患和管理使用上遇到的難點問題及漏洞威脅，應(yīng)用密碼機建立了服務(wù)器區(qū)和用戶區(qū)之間的網(wǎng)狀SSL VPN互通和視頻信號傳輸?shù)谋Ｃ芡ǖ?，實現(xiàn)了網(wǎng)絡(luò)邊界的整體防護、加強了視頻會議系統(tǒng)的傳輸防護，進一步提升了網(wǎng)絡(luò)信息安全防御能力。

關(guān)鍵詞：密碼機;VPN專網(wǎng);信息安全;防御能力

中圖分類號：TP309.02 文獻標(biāo)識碼：A 文章編號：1007-9416（2019）07-0183-02

0 引言

隨著計算機網(wǎng)絡(luò)技術(shù)的高速發(fā)展，人們廣泛使用互聯(lián)網(wǎng)進行學(xué)習(xí)、工作以及日常生活，網(wǎng)絡(luò)已經(jīng)成為一個時代的代名詞，也是開展科研工作的一個重要支撐條件。如何保證網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全，避免非法入侵、病毒感染、惡意篡改、信息泄漏等安全風(fēng)險，是網(wǎng)絡(luò)信息安全建設(shè)中必須解決的難題[1]。除了開展教育培訓(xùn)、完善制度建設(shè)和加強防護手段等建設(shè)策略和防范措施以外，還可以采用加密技術(shù)來確保所傳輸信息數(shù)據(jù)的完整性、真實性、可靠性，防止信息在存儲傳輸過程中的泄露和被篡改，進一步提升網(wǎng)絡(luò)信息安全防御能力。

1 網(wǎng)絡(luò)結(jié)構(gòu)組成

我所計算機網(wǎng)絡(luò)始建于2002年，先后組建了內(nèi)部使用的辦公局域網(wǎng)、軍事綜合信息網(wǎng)和聯(lián)接外部的Internet接入網(wǎng)，實現(xiàn)了內(nèi)部網(wǎng)與互聯(lián)網(wǎng)徹底的物理隔離?，F(xiàn)有網(wǎng)絡(luò)信息點涵蓋南、北科研樓，采用千兆光纖為主干、百兆交換到桌面，兩樓通過20M光纖連接。目前有三十多臺交換機、服務(wù)器和計算機終端二百余臺，在2個科研樓共設(shè)立1個網(wǎng)絡(luò)主機房、2個網(wǎng)絡(luò)分機房。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

2 密碼機的使用維護

軍事綜合信息網(wǎng)是VPN網(wǎng)絡(luò)，單位的工作信息和數(shù)據(jù)文件是通過該網(wǎng)與上級和其他單位相互傳送的，除了防火墻、入侵檢測系統(tǒng)、信息審計、漏洞掃描等安全防護設(shè)備之外，按照有關(guān)保密要求配備了3臺密碼機。依據(jù)不同管理權(quán)限和配置策略，將我所的軍事綜合信息網(wǎng)結(jié)構(gòu)劃分成服務(wù)器端和用戶端，在網(wǎng)絡(luò)邊界處分別部署了同款網(wǎng)絡(luò)加密機，實現(xiàn)網(wǎng)絡(luò)邊界整體防護，并且保證兩個區(qū)域之間的網(wǎng)狀SSL VPN互通，為信息安全提供有力保障[2]。

為了加強視頻會議系統(tǒng)的信息安全防護，又專門在軍事綜合信息網(wǎng)中部署了一臺百兆IP密碼機，建立了一條從我所視頻會議終端通過上級MCU到達全軍視頻會議中心的專用安全通道，以確保視頻會議圖像、聲音信息的保密和安全[3]。

2.1 密碼機的主要功能

網(wǎng)絡(luò)密碼機作為信息安全通道組成部分，主要功能是：實現(xiàn)專用證書的公私鑰對設(shè)備實體鑒別;提供數(shù)據(jù)管理中心的網(wǎng)絡(luò)邊界防護;支持SSL安全傳輸?shù)撵`活配置;支持網(wǎng)狀SSL VPN密碼通信功能;支持離線密碼管理，支持接收一體化對稱密碼管理系統(tǒng)IC卡型專用服務(wù)分發(fā)服務(wù)器的密碼在線管理。

百兆IP密碼機是實現(xiàn)IP層信道加密的密碼設(shè)備。采用標(biāo)準(zhǔn)IPSec協(xié)議，可在IP網(wǎng)上構(gòu)建一個安全的虛擬專網(wǎng)，為業(yè)務(wù)應(yīng)用提供一個安全的百兆網(wǎng)絡(luò)接入環(huán)境下IP層的信息傳輸加密平臺，確保數(shù)據(jù)在傳輸過程中的秘密性和完整性，禁止外部非授權(quán)用戶的非法進入，防止從網(wǎng)絡(luò)傳輸平臺引入的攻擊和破壞造成的安全威脅。能夠?qū)ψ泳W(wǎng)或服務(wù)器提供邊界安全防護，構(gòu)建子網(wǎng)之間、子網(wǎng)與端系統(tǒng)之間的VPN。

2.2 密碼機的安裝連接

連接好密碼機的電源線和網(wǎng)線，串口連接到本地配置終端，密碼機內(nèi)網(wǎng)口連接到內(nèi)網(wǎng)交換機的以太網(wǎng)口，密碼機外網(wǎng)口連接到路由器的以太網(wǎng)口，插入IC認證卡，網(wǎng)絡(luò)連接部署情況如圖2所示。上電后，密碼機前面板電源燈呈現(xiàn)常亮狀態(tài)，系統(tǒng)燈不斷閃爍。安裝SecureCRT軟件，應(yīng)用telnet、ssh、serial等遠程通信功能完成串口配置。

2.3 密碼機的密鑰注入

管理員IC卡登錄，在密碼資源注入器上選擇密碼機對應(yīng)的密碼資源，注入密鑰庫。發(fā)送成功后密碼機內(nèi)部開始進行密鑰處理，待系統(tǒng)燈以綠燈形式快閃5次后表示密碼機注鑰操作完成。查看密鑰庫標(biāo)識，重啟密碼機使其生效。注入全過程要保持認證IC卡是插入狀態(tài)。

2.4 密碼機的網(wǎng)絡(luò)配置

（1）建立服務(wù)器區(qū)域網(wǎng)橋，外網(wǎng)口eth0的IP地址是XXX.XXX.166.1、內(nèi)網(wǎng)口eth1的IP地址是XXX.XXX.166.4，網(wǎng)橋IP地址是XXX.XXX.166.2、掩碼是255.255.255.248，網(wǎng)關(guān)IP地址是XXX.XXX.166.1。

（2）建立用戶區(qū)域網(wǎng)橋，外網(wǎng)口eth0的IP地址是XXX.XXX.166.6、內(nèi)網(wǎng)口eth1的IP地址是XXX.XXX.166.5，網(wǎng)橋IP地址是XXX.XXX.166.3、掩碼是255.255.255.248，網(wǎng)關(guān)IP地址是XXX.XXX.166.6。按業(yè)務(wù)內(nèi)容和管理權(quán)限設(shè)定用戶和用戶組之后，進行用戶組和對應(yīng)資源組的綁定。

（3）視頻會議系統(tǒng)網(wǎng)橋，外網(wǎng)口eth0的IP地址是XXX.XXX.130.240、內(nèi)網(wǎng)口eth1的IP地址是XXX.XXX.165.2，網(wǎng)橋IP地址是XXX.XXX.165.3、掩碼是255.255.255.252，網(wǎng)關(guān)IP地址是XXX.XXX.130.240。

2.5 密碼機的故障檢測

（1）物理檢查：網(wǎng)線和串口線連接是否正確，認證卡是否正確插入，各條連接線材是否出現(xiàn)松動、破裂。（2）本機網(wǎng)絡(luò)檢測：內(nèi)外網(wǎng)口配置、網(wǎng)橋地址、網(wǎng)橋掩碼是否正確，嘗試更換端口重建網(wǎng)橋。（3）異地網(wǎng)絡(luò)檢測：聯(lián)系本地自動化站，查詢出口處的防火墻、網(wǎng)關(guān)是否進行設(shè)置。（4）本機配置檢查：檢查各項IP是否配置正確。（5）加密通道檢測：如果不能Ping通對端密碼機虛擬地址，檢查tap0項并分配地址。（6）對端協(xié)查：在路由查看中輸入對端保護資源IP地址，如果不能反悔一個對端密碼機的真實IP地址，說明對端密碼機沒有配置相應(yīng)保護資源。

3 網(wǎng)絡(luò)信息安全防御能力

從根本上講，網(wǎng)絡(luò)信息安全就是要在網(wǎng)絡(luò)環(huán)境下，建立信息網(wǎng)絡(luò)的安全保障體系，增強對信息的安全防御能力，其主要體現(xiàn)在信息的保密性、完整性、可控性和抗抵賴性等四個方面[4]。

3.1 利用密鑰提高了網(wǎng)絡(luò)信息的保密性

由于密碼裝備的密鑰注入，只有密鑰認證成功才能進入網(wǎng)絡(luò)，使得網(wǎng)絡(luò)的非法訪問被有效攔截，而且安全設(shè)備一旦檢測到這種入侵行為，就會發(fā)生告警并進行阻斷，保證了網(wǎng)絡(luò)信息確實為授權(quán)者所用，不會發(fā)生任何信息泄露，也防止了由于黑客攻擊或其他人為因素造成的系統(tǒng)服務(wù)，從而提高了網(wǎng)絡(luò)信息的保密性。

3.2 制度管理確保了網(wǎng)絡(luò)信息的完整性

通過建立保密制度、部署安全策略以及執(zhí)行防范措施來管理網(wǎng)絡(luò)信息安全。首先制定保密載體的專用登記臺賬，并將其登記變更與移交手續(xù)聯(lián)動起來，同時科研數(shù)據(jù)信息的備份也要嚴格記錄。在拓展科研協(xié)同創(chuàng)新的大環(huán)境下，我所科研領(lǐng)域增大、科研任務(wù)增加、課題密級提升，涉密網(wǎng)絡(luò)信息必須嚴格按照主管部門的保密要求，建立一整套涉密資料存儲、傳輸、打印、共享、刻錄、復(fù)印的業(yè)務(wù)流程和登記手續(xù)，形成一個完全封閉的流轉(zhuǎn)過程，防止對網(wǎng)絡(luò)信息的非法修改，進一步確保了網(wǎng)絡(luò)信息的完整性。

3.3 實施審計完善了網(wǎng)絡(luò)信息的可控性

信息審計系統(tǒng)以旁路的方式安裝在網(wǎng)絡(luò)中，對所有信息數(shù)據(jù)實施審計，進行安全監(jiān)控管理。同時對用戶透明，不影響用戶的上網(wǎng)行為，也不影響網(wǎng)絡(luò)性能。通過關(guān)鍵詞、文件規(guī)則、郵件規(guī)則、FTP命令規(guī)則等多種審計規(guī)則的綜合使用來監(jiān)控網(wǎng)絡(luò)信息，發(fā)現(xiàn)非法信息后立即阻斷該信息的傳輸，并自動報警，同時與防火墻聯(lián)動，暫時封掉發(fā)送非法信息源地址的上網(wǎng)權(quán)限，防止信息為非法者所用，更加完善了網(wǎng)絡(luò)信息的可控性。

3.4 用戶認證增強了網(wǎng)絡(luò)信息的抗抵賴性

通過用戶IP地址設(shè)定和嚴格權(quán)限管理分配，可以記錄每個計算機的登錄、訪問、打印等輸入輸出的操作行為，并存有詳細的日志記錄以及定期備份，可以進行事后責(zé)任追蹤，保證信息行為人不能否認自己的行為，增強了網(wǎng)絡(luò)信息的抗抵賴性。

4 結(jié)語

面對日益嚴峻的網(wǎng)絡(luò)安全問題挑戰(zhàn)，采用各類數(shù)據(jù)加密算法及信息加密技術(shù)來保護網(wǎng)絡(luò)系統(tǒng)的信息安全，易于實施且成效顯著。通過密碼裝備對傳輸信息的加密處理，建立了網(wǎng)絡(luò)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與用戶、用戶與用戶之間的信任關(guān)系，防止了信息被非法用戶竊取，保證了網(wǎng)絡(luò)環(huán)境下信息傳輸?shù)陌踩?，從而杜絕了失泄密事件的發(fā)生，為各類信息化應(yīng)用保駕護航。

參考文獻

[1] 湯亞魯.涉密單位網(wǎng)絡(luò)安全管理的難點與對策[J].科技信息，2010（9）：50.

[2] 戴維斯，著.IPSec：VPN的安全實施[M].清華大學(xué)出版社，2002.

[3] 王玲.網(wǎng)絡(luò)信息安全的數(shù)據(jù)加密技術(shù)[J].信息安全與通信保密，2007（4）：64-65+68.

[4] 王如海.內(nèi)部網(wǎng)系統(tǒng)的網(wǎng)絡(luò)信息安全管理[J].計算機安全，2007（07）：69-71+77.