IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全安全防護(hù) → 企業(yè)數(shù)據(jù)加密需選擇合適的地方

企業(yè)數(shù)據(jù)加密需選擇合適的地方

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

  給數(shù)據(jù)加密是網(wǎng)絡(luò)管理員常用的提高網(wǎng)絡(luò)數(shù)據(jù)傳輸安全的措施之一。但是,網(wǎng)絡(luò)管理員需要注意的是,給數(shù)據(jù)加密后再傳輸,會(huì)額外的增加網(wǎng)絡(luò)設(shè)備CPU 的壓力,會(huì)明顯降低數(shù)據(jù)的傳輸速度。如接收到加密后的思科路由器,必須要先讀取數(shù)據(jù)包包頭的一些信息,然后才能夠確定轉(zhuǎn)發(fā)的目的地。這也就是說接收路由器要先對(duì)加密后的數(shù)據(jù)包進(jìn)行解密。然后讀取相關(guān)信息后再對(duì)數(shù)據(jù)進(jìn)行加密處理后再轉(zhuǎn)發(fā)出去。故這個(gè)解密、加密的處理過程就會(huì)大大增加網(wǎng)絡(luò)設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)的壓力。

  在使用思科的交換機(jī)或者路由器對(duì)數(shù)據(jù)進(jìn)行加密時(shí),網(wǎng)絡(luò)管理員可以選擇在應(yīng)用層、網(wǎng)絡(luò)層或者數(shù)據(jù)鏈路層等多個(gè)地方部署加密策略。但是,每個(gè)不同的地方部署加密策略,其對(duì)路由器等網(wǎng)絡(luò)設(shè)備的影響是不同的。也就是說,采取不同的加密策略,路由器的開銷是不同的。故網(wǎng)絡(luò)管理員需要了解不同加密策略下路由器等網(wǎng)絡(luò)設(shè)備的開銷問題,然后根據(jù)企業(yè)的實(shí)際情況選擇合適的加密策略。如此才能夠?qū)崿F(xiàn)安全與數(shù)據(jù)傳輸兩不誤。

  一、在應(yīng)用層實(shí)現(xiàn)加密

  網(wǎng)絡(luò)管理員可以在應(yīng)用層上實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密。如現(xiàn)在比較流行的HTTPS協(xié)議,就是在應(yīng)用層層面上實(shí)現(xiàn)加密的一個(gè)典型代表。HTTPS協(xié)議以保密為目標(biāo)研發(fā)的一種技術(shù)。簡單的說他就是HTTP協(xié)議的安全版,他是在SSL協(xié)議上實(shí)現(xiàn)的一種加密手段。它使用了HTTP協(xié)議,但是他們之間有一個(gè)很大的不同,即HTTPS協(xié)議存在不同于HTTP的默認(rèn)端口及一個(gè)加密身份驗(yàn)證層。這個(gè)安全協(xié)議的最初研發(fā)由網(wǎng)景公司進(jìn)行,提供了身份驗(yàn)證與加密通訊方法,現(xiàn)在它被廣泛用于互聯(lián)網(wǎng)上安全敏感的通訊。如現(xiàn)在不少網(wǎng)絡(luò)設(shè)備可以通過瀏覽器來進(jìn)行管理。為了提高設(shè)備的安全性,通過瀏覽器管理網(wǎng)絡(luò)設(shè)備的話,都是采用安全的HTTPS 協(xié)議,而不是HTTP協(xié)議。為此如故應(yīng)用程序有一個(gè)WEB接口或者一個(gè)后斷服務(wù)器,對(duì)于這種情況出于安全方面的考慮,最好的選擇就是通過安全的超文本協(xié)議和安全套接字層來(HTTPS)加強(qiáng)WEB瀏覽器和數(shù)據(jù)服務(wù)器之間傳輸數(shù)據(jù)的安全性。

  可見,現(xiàn)在支持應(yīng)用層加密的協(xié)議也是比較多的。這主要是因?yàn)樵趹?yīng)用層進(jìn)行數(shù)據(jù)加密的話,有一個(gè)非常明顯的優(yōu)點(diǎn),幾可以按照不同的需要有選擇的對(duì)數(shù)據(jù)進(jìn)行加密。如現(xiàn)在網(wǎng)絡(luò)管理員需要遠(yuǎn)程維護(hù)一臺(tái)網(wǎng)絡(luò)設(shè)備。現(xiàn)在這個(gè)管理員有三個(gè)不同的選擇,他可以分別通過瀏覽器、SSH、Telnet這三種方式來實(shí)現(xiàn)遠(yuǎn)程管理。而如果在應(yīng)用層實(shí)現(xiàn)加密的話,那么管理員就可以選擇對(duì)于那種方式進(jìn)行加密。如管理員可能認(rèn)為通過瀏覽器管理網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)比較大,那么可以為瀏覽器這種方式設(shè)置應(yīng)用層加密手段,來提高網(wǎng)絡(luò)設(shè)備的安全性。但是管理員會(huì)認(rèn)為采用Telnet遠(yuǎn)程管理路由器比較安全,不需要采用加密措施。那么通過Tennet傳輸?shù)臄?shù)據(jù)就不會(huì)加密。故如果在應(yīng)用層實(shí)現(xiàn)數(shù)據(jù)加密,其用戶的選擇性會(huì)比較強(qiáng)一點(diǎn)。可以根據(jù)不同的應(yīng)用來選擇是否需要加密。由于不需要多所有的數(shù)據(jù)都采取加密處理,故中間的網(wǎng)絡(luò)設(shè)備其開銷也會(huì)少的多。

  不過這也有一定的缺陷。這個(gè)缺陷主要體現(xiàn)在兩個(gè)方面。一是要委托用戶控制。也就是說,是否要采取加密措施,其主動(dòng)權(quán)很大一部分在用戶手中。由于用戶缺乏安全意識(shí)等原因,這會(huì)降低加密措施所帶來的安全性保障。二是增加了在每個(gè)服務(wù)器上配置加密措施的工作量。而且由于每個(gè)服務(wù)器上都要進(jìn)行單獨(dú)的培植,這不利于在企業(yè)內(nèi)部實(shí)現(xiàn)一致的安全策略。所以,在應(yīng)用層面采取加密,雖然可以降低中間網(wǎng)絡(luò)設(shè)備的開銷,但是增加了網(wǎng)絡(luò)管理員的工作量。

  二、在網(wǎng)絡(luò)層上實(shí)現(xiàn)加密

  網(wǎng)絡(luò)管理員也可以選擇在網(wǎng)絡(luò)層上實(shí)現(xiàn)加密,這也是現(xiàn)在最流行的一種加密措施。在網(wǎng)絡(luò)層實(shí)現(xiàn)加密的話,就不用考慮應(yīng)用層的管理軟件了。也就是說,為了加密網(wǎng)絡(luò)通信流, 不許要更新任何主機(jī)上的應(yīng)用。即使應(yīng)用軟件不支持加密功能,則只要在網(wǎng)絡(luò)層上對(duì)數(shù)據(jù)進(jìn)行加密,則應(yīng)用層的數(shù)據(jù)在網(wǎng)絡(luò)上傳輸也是加密的。因?yàn)閼?yīng)用層的數(shù)據(jù)先要發(fā)給網(wǎng)絡(luò)層,然后有網(wǎng)絡(luò)層對(duì)數(shù)據(jù)進(jìn)行加密。

  現(xiàn)在網(wǎng)絡(luò)層加密技術(shù)最火的就是IPSec技術(shù)了。IPsec 在網(wǎng)絡(luò)層提供安全服務(wù),它使系統(tǒng)能按需選擇安全協(xié)議,決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。IPsec 用來保護(hù)一條或多條主機(jī)與主機(jī)間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機(jī)間的路徑。IPsec 能提供的安全服務(wù)集包括訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、拒絕重發(fā)包(部分序列完整性形式)、保密性和有限傳輸流保密性。簡單的說,IPSec主要實(shí)現(xiàn)兩個(gè)功能,一是對(duì)數(shù)據(jù)進(jìn)行簽名,防止被修改;二是對(duì)數(shù)據(jù)進(jìn)行加密,防止被竊聽。而對(duì)數(shù)據(jù)進(jìn)行加密,就是實(shí)現(xiàn)在網(wǎng)絡(luò)層上的。

  網(wǎng)絡(luò)管理員若在網(wǎng)絡(luò)層實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密,其優(yōu)勢有很多。

  一是提高網(wǎng)絡(luò)設(shè)備的性能。數(shù)據(jù)從應(yīng)用層傳輸?shù)骄W(wǎng)絡(luò)層,每過一個(gè)層都會(huì)在上一層數(shù)據(jù)的基礎(chǔ)上添加一寫包頭信息,如所采用的端口等等。如果在網(wǎng)絡(luò)層上實(shí)現(xiàn)數(shù)據(jù)加密,第三層和第四層的有些信息是不會(huì)被加密的。這些不加密的信息主要就是網(wǎng)絡(luò)設(shè)備用來選擇路由用的。也就是說,使用網(wǎng)絡(luò)層加密的話,網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)上任何點(diǎn)實(shí)施加密。因?yàn)閿?shù)據(jù)首部關(guān)鍵信息(如端口或者協(xié)議信息)沒有被加密,而只是數(shù)據(jù)包的內(nèi)容被加密。那么加密過的數(shù)據(jù)包像任何其他數(shù)據(jù)包那樣可以在網(wǎng)絡(luò)中正常傳輸。所以加密必要的信息,不加密這些用來選路由的信息,即可以提高數(shù)據(jù)的安全性,同時(shí)也不會(huì)造成網(wǎng)絡(luò)設(shè)備過多的開銷。

  二是不依賴與網(wǎng)絡(luò)所實(shí)現(xiàn)的拓?fù)漕愋?。在網(wǎng)絡(luò)層中采取加密,由于不加密重要的包頭信息,故其可以跟網(wǎng)絡(luò)的拓?fù)漕愋蜔o關(guān)。如IP安全策略,其可以在任何的網(wǎng)絡(luò)拓?fù)渲惺褂?。股網(wǎng)絡(luò)管理員如果在網(wǎng)絡(luò)層中實(shí)現(xiàn)加密的話,則就不用考慮網(wǎng)絡(luò)拓?fù)鋯栴}。

  三是得到思科IOS軟件的支持。現(xiàn)在互聯(lián)網(wǎng)中應(yīng)用的最多的網(wǎng)絡(luò)設(shè)備就是思科的網(wǎng)絡(luò)設(shè)備。而且說實(shí)話,其他網(wǎng)絡(luò)設(shè)備廠商也都把思科當(dāng)作老大哥。所以現(xiàn)在主流的網(wǎng)絡(luò)設(shè)備基本上都支持在網(wǎng)絡(luò)曾上的加密技術(shù)。故像IPSec等網(wǎng)絡(luò)層加密技術(shù),兼容性是比較高的。

  四是不要求中間的路由器或者網(wǎng)絡(luò)上的其他網(wǎng)絡(luò)設(shè)備提供支持。網(wǎng)絡(luò)層的數(shù)據(jù)加密與解密主要是在對(duì)等路由器上實(shí)現(xiàn)的。跟對(duì)等路由器中間的網(wǎng)絡(luò)設(shè)備是無關(guān)的。所以,其不需要中間網(wǎng)絡(luò)設(shè)備的支持。

  但是,網(wǎng)絡(luò)層加密技術(shù)也存在一個(gè)問題。他可能會(huì)跟其他的一些網(wǎng)絡(luò)技術(shù)產(chǎn)生沖突。如采用了IPSec網(wǎng)絡(luò)層加密技術(shù)之后,就很難跨越NAT服務(wù)器。因?yàn)镹AT服務(wù)器需要修改數(shù)據(jù)包的包頭信息,而IPSec網(wǎng)絡(luò)層加密技術(shù)則是不允許的。如果一定要實(shí)現(xiàn)的話,只能夠通過UDP封裝等等。

  三、在鏈路層上實(shí)現(xiàn)加密

  網(wǎng)絡(luò)管理員也可以在數(shù)據(jù)鏈路層上實(shí)現(xiàn)加密。不過筆者是不建議采用這種加密方式。數(shù)據(jù)鏈路層加密是在路由器以下的設(shè)備上執(zhí)行的。由于在數(shù)據(jù)鏈路層加密中,網(wǎng)絡(luò)層首部以及協(xié)議類型、端口信息等都被加密。這會(huì)給路由器等網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)造成不必要的麻煩。

  在鏈路層上實(shí)現(xiàn)加密確實(shí)也能夠?yàn)榫W(wǎng)上傳輸?shù)臄?shù)據(jù)提供安全保證。所有消息在被傳輸之前進(jìn)行加密, 在每一個(gè)節(jié)點(diǎn)對(duì)接收到的消息進(jìn)行解密, 然后先使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密, 再進(jìn)行傳輸??梢跃W(wǎng)絡(luò)管理員需要注意的是,在到達(dá)目的地之前, 一條消息可能要經(jīng)過許多通信鏈路的傳輸。而由于包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)均以密文形式出現(xiàn),鏈路層加密就加密了被傳輸消息的源點(diǎn)與終點(diǎn),故在每一個(gè)中間傳輸節(jié)點(diǎn)消息均要被解密后重新進(jìn)行加密(數(shù)據(jù)包轉(zhuǎn)發(fā)的需要)。故中間設(shè)備的開銷就會(huì)比較大。另外,鏈路加密通常用在點(diǎn)對(duì)點(diǎn)的同步或異步線路上,。這就要求先對(duì)在鏈路兩端的加密設(shè)備進(jìn)行同步, 然后使用一種鏈模式對(duì)鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密。這就給網(wǎng)絡(luò)的性能和可管理性帶來了副作用。

  所以說在鏈路層實(shí)現(xiàn)數(shù)據(jù)加密的話,其副作用是比較大的。筆者現(xiàn)在在網(wǎng)絡(luò)設(shè)計(jì)與部署中,從來不在鏈路層上實(shí)現(xiàn)加密。

  可見,在數(shù)據(jù)加密位置的選擇上,鏈路層加密基本上可以不考慮。網(wǎng)絡(luò)管理員現(xiàn)在只需要根據(jù)自己企業(yè)的實(shí)際情況,在應(yīng)用層與網(wǎng)絡(luò)層加密之間作一個(gè)分析比較,選擇一個(gè)合適的位置即可。

關(guān)鍵詞標(biāo)簽:企業(yè)數(shù)據(jù)加密

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關(guān)下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速 火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設(shè)置