密碼機在VPN專網信息安全防御中的應用分析

寧潔 王懿男

摘要：為消除內部VPN專網可能存在的信息安全隱患和管理使用上遇到的難點問題及漏洞威脅，應用密碼機建立了服務器區和用戶區之間的網狀SSL VPN互通和視頻信號傳輸的保密通道，實現了網絡邊界的整體防護、加強了視頻會議系統的傳輸防護，進一步提升了網絡信息安全防御能力。

關鍵詞：密碼機;VPN專網;信息安全;防御能力

中圖分類號：TP309.02 文獻標識碼：A 文章編號：1007-9416（2019）07-0183-02

0 引言

隨著計算機網絡技術的高速發展，人們廣泛使用互聯網進行學習、工作以及日常生活，網絡已經成為一個時代的代名詞，也是開展科研工作的一個重要支撐條件。如何保證網絡傳輸中的數據安全，避免非法入侵、病毒感染、惡意篡改、信息泄漏等安全風險，是網絡信息安全建設中必須解決的難題[1]。除了開展教育培訓、完善制度建設和加強防護手段等建設策略和防范措施以外，還可以采用加密技術來確保所傳輸信息數據的完整性、真實性、可靠性，防止信息在存儲傳輸過程中的泄露和被篡改，進一步提升網絡信息安全防御能力。

1 網絡結構組成

我所計算機網絡始建于2002年，先后組建了內部使用的辦公局域網、軍事綜合信息網和聯接外部的Internet接入網，實現了內部網與互聯網徹底的物理隔離。現有網絡信息點涵蓋南、北科研樓，采用千兆光纖為主干、百兆交換到桌面，兩樓通過20M光纖連接。目前有三十多臺交換機、服務器和計算機終端二百余臺，在2個科研樓共設立1個網絡主機房、2個網絡分機房。網絡拓撲結構如圖1所示。

2 密碼機的使用維護

軍事綜合信息網是VPN網絡，單位的工作信息和數據文件是通過該網與上級和其他單位相互傳送的，除了防火墻、入侵檢測系統、信息審計、漏洞掃描等安全防護設備之外，按照有關保密要求配備了3臺密碼機。依據不同管理權限和配置策略，將我所的軍事綜合信息網結構劃分成服務器端和用戶端，在網絡邊界處分別部署了同款網絡加密機，實現網絡邊界整體防護，并且保證兩個區域之間的網狀SSL VPN互通，為信息安全提供有力保障[2]。

為了加強視頻會議系統的信息安全防護，又專門在軍事綜合信息網中部署了一臺百兆IP密碼機，建立了一條從我所視頻會議終端通過上級MCU到達全軍視頻會議中心的專用安全通道，以確保視頻會議圖像、聲音信息的保密和安全[3]。

2.1 密碼機的主要功能

網絡密碼機作為信息安全通道組成部分，主要功能是：實現專用證書的公私鑰對設備實體鑒別;提供數據管理中心的網絡邊界防護;支持SSL安全傳輸的靈活配置;支持網狀SSL VPN密碼通信功能;支持離線密碼管理，支持接收一體化對稱密碼管理系統IC卡型專用服務分發服務器的密碼在線管理。

百兆IP密碼機是實現IP層信道加密的密碼設備。采用標準IPSec協議，可在IP網上構建一個安全的虛擬專網，為業務應用提供一個安全的百兆網絡接入環境下IP層的信息傳輸加密平臺，確保數據在傳輸過程中的秘密性和完整性，禁止外部非授權用戶的非法進入，防止從網絡傳輸平臺引入的攻擊和破壞造成的安全威脅。能夠對子網或服務器提供邊界安全防護，構建子網之間、子網與端系統之間的VPN。

2.2 密碼機的安裝連接

連接好密碼機的電源線和網線，串口連接到本地配置終端，密碼機內網口連接到內網交換機的以太網口，密碼機外網口連接到路由器的以太網口，插入IC認證卡，網絡連接部署情況如圖2所示。上電后，密碼機前面板電源燈呈現常亮狀態，系統燈不斷閃爍。安裝SecureCRT軟件，應用telnet、ssh、serial等遠程通信功能完成串口配置。

2.3 密碼機的密鑰注入

管理員IC卡登錄，在密碼資源注入器上選擇密碼機對應的密碼資源，注入密鑰庫。發送成功后密碼機內部開始進行密鑰處理，待系統燈以綠燈形式快閃5次后表示密碼機注鑰操作完成。查看密鑰庫標識，重啟密碼機使其生效。注入全過程要保持認證IC卡是插入狀態。

2.4 密碼機的網絡配置

（1）建立服務器區域網橋，外網口eth0的IP地址是XXX.XXX.166.1、內網口eth1的IP地址是XXX.XXX.166.4，網橋IP地址是XXX.XXX.166.2、掩碼是255.255.255.248，網關IP地址是XXX.XXX.166.1。

（2）建立用戶區域網橋，外網口eth0的IP地址是XXX.XXX.166.6、內網口eth1的IP地址是XXX.XXX.166.5，網橋IP地址是XXX.XXX.166.3、掩碼是255.255.255.248，網關IP地址是XXX.XXX.166.6。按業務內容和管理權限設定用戶和用戶組之后，進行用戶組和對應資源組的綁定。

（3）視頻會議系統網橋，外網口eth0的IP地址是XXX.XXX.130.240、內網口eth1的IP地址是XXX.XXX.165.2，網橋IP地址是XXX.XXX.165.3、掩碼是255.255.255.252，網關IP地址是XXX.XXX.130.240。

2.5 密碼機的故障檢測

（1）物理檢查：網線和串口線連接是否正確，認證卡是否正確插入，各條連接線材是否出現松動、破裂。（2）本機網絡檢測：內外網口配置、網橋地址、網橋掩碼是否正確，嘗試更換端口重建網橋。（3）異地網絡檢測：聯系本地自動化站，查詢出口處的防火墻、網關是否進行設置。（4）本機配置檢查：檢查各項IP是否配置正確。（5）加密通道檢測：如果不能Ping通對端密碼機虛擬地址，檢查tap0項并分配地址。（6）對端協查：在路由查看中輸入對端保護資源IP地址，如果不能反悔一個對端密碼機的真實IP地址，說明對端密碼機沒有配置相應保護資源。

3 網絡信息安全防御能力

從根本上講，網絡信息安全就是要在網絡環境下，建立信息網絡的安全保障體系，增強對信息的安全防御能力，其主要體現在信息的保密性、完整性、可控性和抗抵賴性等四個方面[4]。

3.1 利用密鑰提高了網絡信息的保密性

由于密碼裝備的密鑰注入，只有密鑰認證成功才能進入網絡，使得網絡的非法訪問被有效攔截，而且安全設備一旦檢測到這種入侵行為，就會發生告警并進行阻斷，保證了網絡信息確實為授權者所用，不會發生任何信息泄露，也防止了由于黑客攻擊或其他人為因素造成的系統服務，從而提高了網絡信息的保密性。

3.2 制度管理確保了網絡信息的完整性

通過建立保密制度、部署安全策略以及執行防范措施來管理網絡信息安全。首先制定保密載體的專用登記臺賬，并將其登記變更與移交手續聯動起來，同時科研數據信息的備份也要嚴格記錄。在拓展科研協同創新的大環境下，我所科研領域增大、科研任務增加、課題密級提升，涉密網絡信息必須嚴格按照主管部門的保密要求，建立一整套涉密資料存儲、傳輸、打印、共享、刻錄、復印的業務流程和登記手續，形成一個完全封閉的流轉過程，防止對網絡信息的非法修改，進一步確保了網絡信息的完整性。

3.3 實施審計完善了網絡信息的可控性

信息審計系統以旁路的方式安裝在網絡中，對所有信息數據實施審計，進行安全監控管理。同時對用戶透明，不影響用戶的上網行為，也不影響網絡性能。通過關鍵詞、文件規則、郵件規則、FTP命令規則等多種審計規則的綜合使用來監控網絡信息，發現非法信息后立即阻斷該信息的傳輸，并自動報警，同時與防火墻聯動，暫時封掉發送非法信息源地址的上網權限，防止信息為非法者所用，更加完善了網絡信息的可控性。

3.4 用戶認證增強了網絡信息的抗抵賴性

通過用戶IP地址設定和嚴格權限管理分配，可以記錄每個計算機的登錄、訪問、打印等輸入輸出的操作行為，并存有詳細的日志記錄以及定期備份，可以進行事后責任追蹤，保證信息行為人不能否認自己的行為，增強了網絡信息的抗抵賴性。

4 結語

面對日益嚴峻的網絡安全問題挑戰，采用各類數據加密算法及信息加密技術來保護網絡系統的信息安全，易于實施且成效顯著。通過密碼裝備對傳輸信息的加密處理，建立了網絡與網絡、網絡與用戶、用戶與用戶之間的信任關系，防止了信息被非法用戶竊取，保證了網絡環境下信息傳輸的安全性，從而杜絕了失泄密事件的發生，為各類信息化應用保駕護航。

參考文獻

[1] 湯亞魯.涉密單位網絡安全管理的難點與對策[J].科技信息，2010（9）：50.

[2] 戴維斯，著.IPSec：VPN的安全實施[M].清華大學出版社，2002.

[3] 王玲.網絡信息安全的數據加密技術[J].信息安全與通信保密，2007（4）：64-65+68.

[4] 王如海.內部網系統的網絡信息安全管理[J].計算機安全，2007（07）：69-71+77.