【电脑商网专稿】随着信息系统对企业业务支撑作用的不断增强，信息的重要性被广泛接受，信息已经成为企业特别关心的重要资产，与此同时信息安全开始成为企业管理者越来越关注的一个重要方面。如今，企业已经将信息安全作为保护其利益和提高竞争能力的重要手段，伴随网络技术的革新，企业可以将其分布在不同地域的分支机构以较低的成本连接在一起，形成一个完整的企业内部虚拟专用信息网络（即VPN）。此时一方面，对在公共网络上传输的数据实施了可用性、完整性、机密性保护,另一方面又大大降低了管理复杂度和运行成本，因而倍受企业青睐。近年来，移动用户远程接入企业内部网络的需求在不断增加，业务移动性已成为一种发展的趋势，为了满足移动接入的安全，SSL VPN逐渐发展成为除IPSec VPN之外的另一种重要的VPN，其应用的灵活性与安全性得到了广泛关注。

破译背后的启示

同其它安全远程接入方案相比， SSL VPN的推出能解决企业在网络传输上的安全问题及应用层的身份认证及访问控制，并具有很好的易用性，只需用一个标准Web浏览器，用户可从任何位置方便、安全地访问企业内部网络中的邮件、共享文件、共享应用等资源，而且还可以与企业原有的认证系统进行良好的融合。然而，在SSL VPN实际部署和使用过程中，我们必须在易用性与安全性之间协调，实现两者的平衡。

什么叫安全？可信赖、可控即为安全。众所周知，SSL VPN常采用国际上公开的一些算法，比如DES、3DES、AES等。正如各类评论所言，直接采用浏览器就可以安全登录，此时SSL VPN所采用的算法必然为浏览器中所嵌入的国际上公开的那些算法，其安全性是值得仔细评估的。因为其算法是不可控的，也是不可信的。

另外，在许多信息安全系统中使用的摘要算法MD5、SHA-1，其安全性正在受到越来越多的怀疑，因为在这些流行的摘要算法的破译方面已经诞生了很多令人振奋的成果，我国在这方面走在了前面。

总之，从“破译”这一事件，越来越说明基于公开密码算法的安全系统已经不能满足商业环境下安全通信的需求，因此用户必然会对基于SSL VPN组建的信息安全系统是否安全提出疑问，这就要求我们在SSL VPN的安全性和应用的灵活性方面进行适当的平衡。

硬件加密提升安全级别

密码算法设计的安全性和实现的安全性对于基于密码算法的安全系统设计十分重要，十分关键。目前市面上的SSL VPN按照所使用算法来分有两种形态：一种就是直接利用浏览器中已经嵌入的国际标准算法，另外一种就是利用国家主管部门批准的商密算法是保证企业信息传输的机密性和完整性的重要保证。

对于利用浏览器中已经嵌入的算法来实现的SSL VPN，所使用算法有： DES、3DES、RC4；RSA；MD5、SHA-1等,从前面的分析可以看出，其安全性越来越受到怀疑，我们绝不能掉以轻心。

对于符合国家主管要求的SSL VPN，必然是采用了密码主管部门审批算法的SSL VPN，其实现方式在SSL VPN中使用了高性能的密码卡来提供密码处理功能，在客户端采用USBKey等硬件载体来实现密码处理，从而实现了服务器端与客户端之间有效认证和传输加密问题，此时用国家主管部门审批的算法替代了国际公开的一些算法，同时采用硬件实现，安全性得到了很大提高，提升了安全级别，同时也符合国家相关政策的要求。此时在客户端需要使用USBKey，也需要从服务器端自动下载必要的软件进行自动的安装，在使用的便利性方面有一定程度的降低，但我们认为这是值得的。

中华卫士SSL VPN就是综合平衡了安全性和部署便利性的一款产品，一方面它支持国家主管部门审批的算法，并参照国家自己的相关标准进行设计，利用了相关的硬件处理模块实现了密码处理，自身安全性设计方面得到了大大提高。另一方面，它同时兼顾了当前的应用环境，充分考虑了部署的便利性和灵活性，能适合大中型企业以及其它各种远程办公的需要。这款产品，不仅可以应用到企业用户中，同时还可以应用到政府部门中，对敏感信息和工作秘密信息实施有效的保护，应用前景十分广阔。