信息安全已成为事关国家安危的一个全球性重大战略问题,建立具有自主知识产权的信息安全产业是大势所趋。作为一家从事数据通信、网络设备和网络安全设备研发、生产、销售的国家重点高新技术企业,迈普公司拥有良好的信息开发、生产和测试环境和条件,有一大批信息技术领域的专业人才,他们对数据通信网络有着深刻的理解,在信息安全与保密技术方面有很强的实力和深厚的底蕴。在数据通信网络方面的功夫是迈普公司开发网络安全产品的技术保障,自从公司进军信息安全行业以来,已经成功开发了MPSec系列安全产品:系列模块化安全路由器MPSec-Router、防火墙MPSec-FW520、MpSec-VPN3020安全网关、MPSec-PKI证书/密钥管理系统,这些产品构成了迈普公司完整的网络安全产品线。在这些安全产品中可以发现如下的一些新技术特点:
1、 核心自主知识产权
迈普公司MPSec系列安全产品的设计秉承迈普公司的一贯传统,产品核心技术全部由公司技术人员独立开发。使用国家密码管理政策允许的高强度专用加密算法,同时支持国际上的一些标准加密算法,使得MPSec系列安全产品在国内信息安全重要行业和部门具有核心竞争力。
2、 通信技术和安全技术融合
在迈普公司自主研制的、列入国家863火炬计划的系列模块化安全路由器上充分体现了这一新技术特点,公司认为这种新技术也将是信息安全技术的一个必然发展趋势。
模块化安全路由器内置防火墙功能,能在内部网和外部网之间实施安全的防范。在路由器中使用这种访问控制机制,即可以实现控制内网对外网的访问,也可以控制外网对内网的访问,突破了先前传统防火墙防外不防内的缺陷。目前安全路由器已经实现了包过滤防火墙模块,即以IP包信息为基础,对IP源地址、IP目的地址、协议类型及各协议的段(如:TCP、UDP的端口号、ICMP类型、代码等进行筛选,决定是否过滤或转发。基于状态检测的、协议分析的防火墙模块正在研制之中。
模块化安全路由器内置VPN功能,实现了IPSEC的两种封装协议:AH(Authentication Header)和ESP(Encapsulation Security Payload),实现了传送和隧道两种模式,并将国家商密办认证的硬件加密模块SSP02-A、WNG4嵌入其中,SSP02-A芯片实现数据加密,WNG4用来产生工作密钥材料。这样勿需再使用额外的VPN设备,安全路由器就可以和对端具备VPN连接条件的设备建立虚拟专用安全通道。
使用通信技术与安全技术的融合这种新技术,一方面,减少了网络的故障点,降低了维护任务,同时为用户节约了成本;另一方面,为公司后续发展动态协同防护的网络信息安全产品奠定基础。
3、 安全技术间的协作
安全技术间的协作体现在:MPSec PKI证书/密钥管理系统能够与迈普自主研发的安全路由器及VPN设备协同工作,发放证书并进行管理,同时也能够为其他通信设备供应商的路由器设备(如CICSO 路由器)发放证书并进行管理。这样,一方面,原先使用了迈普安全路由器设备的网络系统上容易实现VPN虚拟专用加密通道;另一方面,使得已经使用了不同供应商(如CICSO和MAIPU)路由器产品的网络上,使用迈普公司的VPN产品及MPSec PKI证书/密钥管理系统同样可以构建安全保密的VPN虚拟通道。图1是迈普VPN3020用于银行宽带业务改造的典型应用,图中可以充分体现这一特色:
图1 利用迈普VPN在异种路由器设备上构建安全虚拟专用网示意图
4、 安全技术间的融合
安全技术间的融合体现:迈普MPSec-VPN3020安全网关可以集成防火墙功能模块,来有效地保护用户网络不受攻击。迈普安全网关采用网段、IP地址、协议、端口号、时间等多种保护方式来选择数据流。不同安全级别的子网可以使用不同的安全隧道进行保护,从而满足用户多方面的需求。另外一种安全技术间的融合——黑客入侵检测功能模块和防火墙的集成在研制之中。
5、 自身安全性保护
作为保护网络信息安全的安全产品,其自身的安全性保护很重要,缺乏自身安全保护是不可能被应用来很好地保护网络。基于这一点,迈普公司在研制安全产品的同时很注重安全产品自身的安全保护。
安全路由器中设计了一系列的方案来保护自身的安全,包括对抗各种攻击,访问时身份认证、分级控制等。密钥管理上,安全路由器从密码应用和管理角度,对密钥进行了分层管理,并针对各层密钥的用途和使用环境采取相应的安全保护措施。实际实现中,安全路由器通过管理员与路由器之间的人机认证,保证安全路由器密钥管理过程的安全性;通过路由器之间的机机认证,保证设备之间密钥协商和数据传输的安全性。审计和告警上,安全路由器对安全事件进行检测、监视、分析、记录并报警,为系统提供攻击检测能力。
在MPSec PKI证书/密钥管理系统中,(1)采用SSL安全通信协议,实现远程的安全管理;(2)系统有粒度较细的访问控制;(3)使用硬件令牌对管理员的身份进行认证;(4)系统的CA、RA、LDAP服务器、WEB证书服务器之间使用加密认证的信道交换信息;(5)WEB客户端和WEB证书服务器之间采用加密的HTTPS协议传输信息;(6)关键服务器使用MPSec-FW防火墙进行了保护。
结论:具有核心自主知识产权、通信技术和安全技术融合、安全技术间的协作、安全技术间的融合和自身安全性保护五大新技术特点是迈普系列网络信息安全产品的特色,基于以上新技术特点的MPSec系列安全产品专门针对企业级中小网络设计,适用于金融、电信、教育、中小企业等多种不同行业进行网络边界保护、攻击防护、数据传输加密、身份认证等,可以为用户提供综合而高效的网络安全解决方案。
(责任编辑 邹文标)
