远观近赏 精挑细选企业SSL VPN

当前SSL VPN采用的开放加密算法已经出现了某些安全隐患，企业需要针对自己的情况作出调整，并根据需要的安全等级进行选。
远景：SSL大势所趋
SSL VPN的出现，保证了企业在公共网络上传输数据的可用性、完整性和机密性，同时也降低了管理复杂度和运行成本。特别是近两年来，移动用户远程接入企业内部网络的需求在不断增加，业务移动性已成为一种发展的趋势，为了满足移动接入的安全，SSL VPN逐渐发展成为IPSec VPN的一种有效补充，甚至从某种程度上出现了替代的趋势。
同其它安全远程接入方案相比，SSL VPN的推出能解决企业在网络传输上的安全问题及应用层的身份认证及访问控制，并具有很好的易用性，只需用一个标准Web浏览器，用户可从任何位置方便、安全地访问企业内部网络中的邮件、共享文件、共享应用等资源，而且还可以与企业原有的认证系统进行良好的融合。
中景：安全隐患出现
然而，在SSL VPN实际部署和使用过程中，用户必须在易用性与安全性之间协调，实现两者的平衡。实现这个平衡的关键因素，是采用适合的安全加密算法。
众所周知，SSL VPN常采用国际上公开的一些算法，比如DES、3DES、AES等。正如各类评论所言，直接采用浏览器就可以安全登录，此时SSL VPN所采用的算法必然为浏览器中所嵌入的国际上公开的那些算法。
事实上，从最近一年的经验看，这种安全性是值得仔细评估的。DES和3DES算法均出现过破译工具，而AES算法的加密某些浏览器并不支持，同时也有针对其密钥交换的拦截工具。
另外，在许多信息安全系统中使用的摘要算法，如MD5、SHA-1，其安全性也在受到越来越多的怀疑。特别是MD5，在美国已经出现了专门的破解工具包并在各大黑客论坛中广为流传。
总之，大量国内外频发的“破译”事件表示，基于公开密码算法的安全系统已经不能满足商业环境下安全通信的需求，因此用户必然会对基于SSL VPN组建的信息安全系统是否安全提出疑问，这就要求企业在SSL VPN的安全性和应用的灵活性方面进行适当的平衡。
近景：自主算法出炉
密码算法设计的安全性和实现的安全性，对于基于密码算法的安全系统设计十分关键。目前市面上的SSL VPN按照所使用算法来分有两种形态：一种就是直接利用浏览器中已经嵌入的国际标准算法，另外一种就是利用国家主管部门批准的商密算法是保证企业信息传输的机密性和完整性的重要保证。
对于利用浏览器中已经嵌入的算法来实现的SSL VPN，所使用算法有： DES、3DES、RC4；RSA；MD5、SHA-1等，从前面的分析可以看出，其安全性越来越受到怀疑。对于符合国家主管要求的SSL VPN，必然是采用了密码主管部门审批算法的SSL VPN，其实现方式在SSL VPN中使用了高性能的密码卡来提供密码处理功能，在客户端采用USB Key等硬件载体来实现密码处理，从而实现了服务器端与客户端之间有效认证和传输加密问题。
用国家主管部门审批的算法替代国际公开的算法，同时采用硬件实现，安全性得到了很大提高，提升了安全级别，同时也符合国家相关政策的要求。不过用户需要注意，这种方式需要安装客户端软件，在使用的便利性方面有一定程度的降低。
笔者认为，对于安全比较敏感，希望获得最完善安全体验的大型企业和政府用户，可以采用自主算法的产品，以便实现安全的万无一失。对于安全要求不是那么敏感，但对于连接性体验和易用性要求较高的中小企业用户，则可以采用开放算法产品。

【相关文章】

• SSL VPN即将成为企业热门应用设备

• VPN突破校园网访问屏障 实现信息共享

• 独享网络通道 无线VPN组网技术全面解析