信息安全产品采购指南
网上业务的发展,激发了数据安全通信的需求,而国内外著名企业的关注,尤其是国内企业在特有管理政策的鼓励下,对虚拟专网(VPN)激发了高度的热情,直接将VPN的应用拉升到一个新的高度。
由于电信运营商的积极推动,很多人以为VPN就是运营商在电信公网上为企业建立的专用隧道服务。但实际上这只是VPN的一种服务方式。许多人不了解,企业通过自购VPN设备,可以在公网上建立更加安全的专用通道,满足分支机构、移动办公安全通信的需求。
Core-based VPN(面向电信运营商)和CPE-based VPN(面向企业自建)在技术实现手段上虽然类似,但两种VPN所面对的用户群体和应用模式完全不同,本期采购指南只对后者的产品和技术进行推荐,以帮助广大企业自建VPN系统时得到有益的帮助。
概念到应用的升华
中国远洋运输集团总经理韩明科最近很“爽”,出差在外,再也不需要花费昂贵的IDD拨号方式与公司核心层联络,而只需要通过165或AT&T的漫游拨号、酒店的宽带接入、“手机SIM卡+无线网卡”等方式就可在外移动办公,不仅大大节省了通信费用,还不用担心核心数据的泄密问题; 另外,使用也很简单,尤其适合公司领导层的远程办公。
这一切要归功于2002年公司引进了巨龙公司的VPN。中远在全国各地设有300多个办事机构及网点,在全球150多个国家和地区的1100多个港口设有自己的代理机构。过去,出差人员或公司内部人员如果要互相通信非常困难,不仅通信费用高、效率低,而且非常不安全。而现在财务公司分布在全国各地的结算分中心通过VPN实现了网上银行;集团在国内外的代理公司,利用 VPN 经中远EDI中心实现了对上海集装箱管理系统的远程查询。
近年来,像中远集团这样成功应用VPN的案例举不胜举。大型企业或政府机构网上业务发展到一定程度,激发了对数据安全通信的需求,而国际国内著名企业的进入,尤其是国内企业在特有管理政策的鼓励下,对VPN激发了高度的热情,直接将VPN的应用拉升到一个新的高度。
传统上,企业要在远程办公机构之间进行通信时,为了保证信息的机密性,往往采用租用DDN专线或帧中继的方式,但高昂的线路租费成为公司财政的一项极大的负担。另外,这样的专线也不能完全保证数据安全,因为,它们只能保证接入端安全,在公网上,公司的机密数据照样是在“裸奔”,有可能被拦截、阅读或修改;而公司出差人员的异地办公,通过拨号上网的方式往往是在冒核心机密数据被窃取的风险。
正因为这些需求,1993年成立了欧洲虚拟专用网(VPN)联盟(EVUA),力图在全欧洲范围内推广VPN 。是互联网的迅猛发展才为VPN 提供了应用基础,使VPN开始遍布全世界。
通俗地来讲,虚拟专用网(VPN)是企业网在互联网等公网上的一种延伸,它将企业的远程用户、分支机构、业务伙伴及出差的办公人员等通过特定的加密隧道连接起来,构成扩展的企业网。由于不需特别的专线租用,成本可大幅降低。Infonetics Research的一项调查表明,采用VPN取代租赁线路,企业广域网连接成本下降了20%~47%,远程接入VPN能使企业的远程拨号上网成本降低60%~80%。除此而外,VPN还具有数据通信安全、可扩展性、保证服务质量(QoS)、保证移动用户接入安全等优势。
有一点需要澄清的是,虽然一般人对VPN的概念有所了解,但并不清楚VPN设备的具体划分,很多人以为VPN只是运营商在电信公网上为企业建立的安全通信服务,但实际上这只是VPN的一种类别,其实企业自购VPN设备可能是一种更明智的选择。
中国的电信运营商近年来主推的VPN服务(Core-based VPN),使企业不需要购买和维护VPN设备,方便了管理。但目前存在许多无法越过的障碍:由于涉及加密算法不统一,造成不同运营商的VPN不能互连互通,MPLS VPN虽然避开了加密算法的约束,但目前处于应用初期,网络没有覆盖到全国;另一个致命弱点是VPN的管理在电信运营商处,你是否放心将公司的核心数据交由外人管理?且每年必须交纳一定的服务费用。也许,对于数据保密性要求不高并对VPN需求不固定的中小企业而言,租赁VPN服务的方式是个好办法。
企业自建VPN (CPE-based VPN)在技术实现手段上与上述VPN完全一致,但核心数据完全掌握在企业手中,令人放心;同时,它实现了端到端的加密通信,并可根据公司策略随时调整,具有灵活性,因此,广受大中型用户的欢迎。但是,企业必须首先投入资金购置设备,并要求专门的维护和管理,许多企业对它持有恐惧心理。但随着VPN领域加入的厂商越来越多,技术趋于成熟导致的成本和价格下降,一次投资终身受益的好处,使这类VPN成为大中型企业的新宠。
2002年,在中国的VPN市场,随着国内著名企业如联想、东软、天融信、清华得实、巨龙公司等厂商加盟,随着国外巨头如3Com、Check Point、NetScreen、Nokia开始关注中国的VPN市场,VPN开始从概念向应用升华。
国内厂商的机会
面对VPN的应用高潮,国内企业最为兴奋。因为,中国VPN领域的行业管理特点,决定了中国企业相对于国外企业具有无可比拟的优势。许多人认为,国内企业只要在技术上再加把劲,将毫无疑问占据中国VPN的全部江山。
这还得从VPN所采用的技术谈起。VPN技术包含隧道技术和安全技术,隧道技术保证建立专有的通道,而安全技术保证数据的安全性和完整性,这就需要用到加密、认证和密钥交换技术。
在我国,鉴于密码行业的特殊性,凡是涉及密码的研发、生产和销售的行为,均由国家密码管理委员会进行统一管理,1999年10月7日,国务院颁发了《商用密码管理条例》,规定对我国的商用密码采取许可证制度。到目前为止,国密办共批准了国内7家科研定点单位、60家生产定点单位和96家销售许可单位。这意味着,凡是在许可以外的单位或个人,不得从事密码的研究、生产和销售。
对密码进行特殊管理是国际惯例,因为密码技术涉及国家安全,各国政府都有严格的限制。美国政府严格限制高强度加密算法的出口,并要求在出口的加密算法中设置后门。以电子邮件加密软件PGP(Pretty Good Privacy)为例,它是Philip R.Zimmermann先生开发的一种使用RSA算法的加密程序,目前被全世界广泛应用于电子邮件的加密上,1997年,PGP被NAI公司收购,Zimmermann先生也随之到了NAI公司供职,但美国政府要求公司必须在PGP中放置后门程序,遭到了富有正义感的Zimmermann的拒绝,2001年,Zimmermann先生为此愤而辞职,离开NAI之前向外界发表了一封公开信,宣布PGP在某一版本之前绝对没有后门,但之后的版本就不能保证了。
为了保护国家利益,中国政府对密码行业的专项管理政策实在是必要举措。国家大门由自己守卫还是雇佣军守卫?答案是明显的。
正因为如此,许多国外的大公司自然就被排斥在了中国VPN的大门之外,尤其是在电子政务等关键应用部门,国外公司完全无能为力。它们感觉无奈,但也表示理解,为了能在中国市场销售产品,只能采取与国内获得许可的商密研究生产单位合作的方式,将其VPN中的加密算法替换为国内的算法。冠群金辰公司首当其冲,早已将其eTrust VPN中的关键加密算法替换为国内一家著名研究单位的,以获得进入政府关键部门的许可。今年刚在国内开展VPN业务的诺基亚公司也表示,年底将开始与国内企业合作,将其VPN中的核心加密算法替换为国内许可的内容。
这些都意味着,VPN将是中国企业崛起的机会。
产业面临的挑战
虽然媒体对VPN的炒作非常热烈,虽然各类研究公司将VPN列为未来增长速度最快的门类,但比起防火墙、网络杀毒、IDS等安全产品,VPN市场的整体份额依然非常小,因为基数小所以才显得增长速度快,专家分析VPN只占整体安全市场的1%~2%。
对2002年的VPN市场,业内许多厂商承认市场比预期的小,就连IDC公司也在今年将VPN的市场增长速度下调了4个百分点。当然,这与今年IT业普遍不景气有关,但专家分析,主要原因还在于人们对VPN的认识不足以及VPN本身部署和管理的困难有关。
目前的VPN市场还处于初期。支持VPN的产品种类很多,包括路由器、主机网关、拨号接入设备、隧道加密机、隧道交换机等。目前利用防火墙支持VPN越来越流行,但专家认为,VPN是与防火墙完全不同的种类: 它的用户群与防火墙完全不同,有网络的地方就有防火墙的需求,而只有对信息保密有极大需求的大型集团和政府部门才有VPN的需求;另外,它们的技术也彼此不兼容,防火墙目前大多采用网络技术,而VPN是融通信技术和加密技术于一体的更加复杂的技术,实现起来难度要大很多。
东软的安全咨询专家王虎分析市场时认为,VPN市场很奇怪,了解它的人非常了解,尝到了VPN的甜头,已经应用了多年了;而不了解它的人却完全不了解,甚至不知道它的基本概念。所以,产业内的厂商面临的一项挑战是对VPN概念深入推广和普及。巨龙公司总经理李小明也认为,虽然目前VPN市场主要热在大型企业和政府部门,需求明显上升,但是目前还处于引导阶段,还需要厂商积极指导用户加深对VPN的了解,而不仅仅是销售产品。
另外,网络业务不成熟也阻碍了VPN的推广。天融信公司市场部经理朱永春告诉记者,VPN是随着网上业务的发展而发展起来的新兴的技术,它的应用前提条件是用户的关键业务在网上应用普及,但目前网络应用还比较滞后,这影响了VPN的推广。展望未来,用户的关键业务上网是大势所趋,相信不久的将来这一现状必将得到改观。
影响VPN应用的另一大难题是部署和管理的麻烦性。与其他安全产品不同的是,VPN的部署和调试需要在信道的两端同时进行,这就加大了VPN管理的难度和成本。尤其在用户调整VPN策略时,对每一条加密隧道进行新的改变,都要求通信两端进行调试,工作量的翻番让用户难以忍受。更糟糕的是,还容易出现配置故障,导致VPN应用的失败,这就对厂商的VPN技术提出了新的挑战:如何加强VPN产品的可用性?简化产品的管理是其中一条重要指标,许多公司意识到了这一难题,目前正在加紧技术改造。
毫无疑问,VPN一定是未来的亮点。在中国,VPN存在广泛且持续的市场需求: 企业、政府信息化建设需要VPN; 许多跨区域发展的大型企业,要实现资源的集中管理需要VPN;网上传输的内容从语音、文本发展到图像、视频和三维等都需要VPN……专家预计明年VPN的应用高潮一定能到来。
