【51CTO.com 综合消息】国家密码管理局规定:商用密码产品由国家密码管理局指定的单位生产,未经指定,任何单位和个人不得生产商用密码产品,商用密码产品的品种和型号必须经国家密码管理局批准;国家对商用密码产品销售实行许可制度,销售商用密码产品应当取得《商用密码产品销售许可证》,未经许可,任何单位和个人不得销售商用密码产品;中国公民、法人和其他组织都应当使用国家密码管理局准予销售的商用密码产品,不得使用自行研制的或境外生产的密码产品。
符合国密产品规范是SSL VPN产品的发展趋势
SSL VPN产品属于涉及密码技术的信息安全产品,其协议规范性和算法安全性都很重要,直接关系着国家信息安全,SSL VPN产品已经被纳入到国家密码管理局的管理范畴中。但是,目前国内所有国外SSL VPN产品和大部分国内SSL VPN还都采用国际通用的SSL协议和密码算法,这不但违反了国家密码管理局的相关规定,而且也存在一定的安全隐患。因此,SSL VPN产品发展趋势首先就是要符合国家制定技术规范,采用国家批准的加密算法。
2008年初,联想网御成为了国家密码管理局《SSL VPN技术规范》编制小组成员之一,全程参与了国家密码管理局《SSL VPN技术规范》的制定。2008年10月21日,经过国家密码管理局SSL VPN产品评审小组的测试和鉴定,联想网御SSL VPN产品获得商用密码产品型号证书,成为国内首家按照《SSL VPN技术规范》通过测试和鉴定的SSL VPN产品。
安全性设计
(1)算法安全
SJJ0805SSL VPN安全网关,采用符合国家密码管理局《SSL VPN技术规范》中规定的协议和密码算法实现所有安全功能,对称加密算法采用SM1算法,认证算法采用SHA-1,固化了密码套件的内容和定义,修改了PRF的预算方式,从技术,算法和规范性等几方面,都保障了产品的可靠性和安全性。
(2)硬件安全
SJJ0805 SSL VPN安全网关采用安全专用密码部件。网关和客户端均采用经过国家密码管理局批准的密码卡和智能密码钥匙(用户电子钥匙)。密码卡需要系统卡初始化,系统卡与用户卡一一对应。在SSL VPN安全网关启动时,会自动检查密码卡配套的用户卡,如果没有插入用户卡,或者输入的PIN码错误,VPN服务将无法启动。
(3)软件系统安全
为了提高网关的安全性,SJJ0805 SSL VPN安全网关整合了联想网御在安全领域多年的技术积累,内置基于特征和异常行为判断相结合的攻击防御引擎,可有效检测和抵御攻击行为,使系统本身具有极强的抗攻击能力,确保了系统层面的安全。
(4)客户端安全
SJJ0805 SSL VPN安全网关要求客户端在建立SSL加密隧道时,必须下载并运行一个客户端程序,该程序带有联想网御的签名信息。客户端认证登录后,安全网关还要对客户端主机进行安全检测,包括检测是否按照要求安装了杀毒软件、个人防火墙、最新的补丁等等,只有客户端终端满足了所有检查策略才能建立SSL加密隧道。
(5)授权安全
SJJ0805 SSL VPN安全网关内置了功能强大的包过滤模块,能够根据访问的地址、服务进行细粒度的访问控制。如果权限策略中不允许访问,那么用户的数据包就会被丢弃,杜绝了非法访问和越权访问。除此之外,SJJ0805 SSL VPN安全网关还支持数据包的深度内容过滤,可以发现异常攻击和应用层的非法应用,从更高程度上对访问行为进行管理,确保访问安全。
(6)管理安全
SJJ0805 SSL VPN安全网关支持多级管理权限功能。管理员分为超级管理员、策略管理员、安全审计管理员。其中超级管理员只有对管理员进行管理的权限,他可以管理其它类型的管理员;策略管理员只能修改与VPN功能相关配置;安全审计管理员只能对日志模块进行操作。管理员权限的分级能够有效的保证安全的管理工作,以避免网关被错误配置和操作。
(7)审计安全
SJJ0805 SSL VPN安全网关提供了强大的日志功能,对网络访问,网关配置过程作了详细的日志记录。详细的日志记录使所有用户的流量都处于严密的监控之中,便于以后做审计工作或者为非法犯罪行为提供必要的线索和电子证据。