信道加密設備與網絡加密設備差異性研究和運維保障管理
摘 要
信道加密設備和網絡加密設備是企事業單位信息化建設中最常用,部署最為廣泛的兩型加密設備。但兩型加密設備的應用場景、部署方式以及運維保障要求均有所不同,兩型加密設備“如何選型、如何部署、如何保障”等問題是用戶單位現階段所面臨的痛點。結合兩型設備各自特點,對差異性對比以及部署應用等方面進行全面分析,解決在不同應用場合、網絡架構、業務需求以及保障運維需求條件下的選型、部署、組合運用以及保障等難題。
內容目錄:
1 概 述
2 兩型加密設備概述
2.1 信道加密設備
2.2 網絡加密設備
3 兩型加密設備差異性
3.1 加密層級不一樣
3.2 部署位置不一樣
3.3 部署方式不一樣
3.4 防護粒度不一樣
3.5 保障要求不一樣
4 如何選型
4.1 業務類型
4.2 保障能力
4.3 網絡情況
4.4 經費預算
4.5 其他方面
5 設備組合運用
5.1 組合使用場景
5.2 組合使用案例
5.3 保障注意事項
6 設備的保障運維
6.1 備份措施
6.2 故障排查
6.3 運維管理
隨著信息網絡的快速發展,網絡安全威脅不斷增加,企事業單位敏感信息防護壓力與日俱增。信息加密是網絡安全防護最常用、最直接、最有效的技術手段之一。目前,信道加密設備和網絡加密設備是在企事業單位信息化建設中最常用, 部署最為廣泛的兩型加密設備。但國內缺少對兩型設備的運維保障和差異性等問題的相關研究,導致用戶單位對兩型設備的選型和運維保障存在 切實困難。因此,有必要從運維角度對兩型加密設備功能、使用和保障進行對比研究。
01、概 述
加密技術是網絡安全的核心技術與基礎支 撐。隨著信息化建設的發展,用于安全防護的 加密系統同步建設任務也隨之快速推進。在功 能實現方面,信道加密設備和網絡加密設備都 可以實現信息在鏈路上的加密防護,但兩者在功能原理、運用方式、保障方式方面有所不同。在信息系統建設部署時,若對加密設備盲目選 型、缺少規劃,將會造成裝備使用浪費、防護 級別不夠以及保障難度大等諸多問題。
在各種信息網絡中, IP 技術逐漸占據主導 地位, 從業務到應用都逐漸向基于 IP 方向發展, 但在鏈路層中還是同步數字體系(Synchronous Digital Hierarchy,SDH) 最為常見, 根據不同應用場景、網絡架構以及保障運維能力選擇合適 的加密設備進行信息加密防護,確保加密設備 投入有效、投入產出最優。而在加密設備保障 領域,特別是信道加密設備和網絡加密設備部署應用方面缺少相關文獻,基于運維角度探討兩型設備在部署應用及差異性方面具有廣泛的 實用性。
02、兩型加密設備概述
本節分別從功能原理和部署運用兩個方面對兩型加密設備進行介紹。
2.1 信道加密設備
信道加密設備屬于鏈路層加密設備,包括 短波、微波、散射、衛星等無線信道加密設備 和以 SDH 信道加密設備為代表的有線信道加密 設備。常見的信息網絡通用的信道傳輸設備一般采用 SDH 制式,在 SDH 協議層(鏈路層)切入, 對信道凈荷實施加解密,常見的傳輸速率體系 有 E1(2 Mb/s)、STM-1(155 Mb/s)、STM-4(622 Mb/s)、STM-16(2.5 Gb/s)和 STM-64(10 Gb/s)。
SDH 信道加密設備一般置于傳輸設備和用 戶設備之間,對兩個節點間的某一條通信鏈路 實施加密,采用門衛式加密方式對信道傳輸的 信息進行加密保護, 通過點到點方式進行配置,成對出現,網絡拓撲結構固定,通信對象一般不會發生改變,并且不會對 SDH 網絡自身的運行、維護、管理造成任何影響。
2.2 網絡加密設備
網絡加密設備通過軟件和硬件結合方式實現 IPsec 協議體系,常見的是 IP 網絡加密設備單獨 使用 IPsec 協議的封裝安全載荷(Encapsulating Security Payload,ESP) 協議 ,在網絡層將 IP報文進行處理之后再傳輸,增強了 IP 報文的安 全性,實現了 IP 數據包的機密性、完整性和真實性保護,同時抵御重放攻擊。
在通信模式上,根據網絡加密設備對原始 IP 報文的封裝模式,可分為傳輸模式和隧道模 式兩種工作方式(如圖 1、圖 2 所示)。其中,傳輸模式不影響原數據包在網絡節點的轉發尋 址,加密設備相當于透明接入網絡中,在實際應用更為廣泛。同時,根據網絡加密設備部署 在網絡節點是否影響網絡拓撲結構可分為兩種 接入方式,即網橋方式和網關方式 ,以網橋方式較為常用。
圖 1 傳輸模式
圖 2 隧道模式
因網絡加密設備常見的應用場景為傳輸模式、網橋方式接入信息系統,本文以傳輸模式、 網橋方式的網絡加密設備作為典型代表進行探 討分析。
03、兩型加密設備差異性
本節通過對兩型加密設備的功能、原理、 適用場景和運維保障等維度進行對比,呈現兩型設備之間差異性。
3.1 加密層級不一樣
SDH 信道加密設備屬于鏈路層加密,工作在計算機網絡 5 層模型中的數據鏈路層。在網隧道模式絡層或 IP 層以下,加密對象是鏈路層的幀,加密數據報文無法跨越網段通信,而網絡加密設 備對網絡數據進行加密,工作在計算機網絡 5 層模型中的網絡層,加密對象為 IP 數據包,對 鏈路層協議透明,兩型加密設備所在工作層級 如圖 3 所示。
圖 3 兩型加密設備工作層級
3.2 部署位置不一樣
SDH 信道加密設備部署在路由器之間或傳 輸設備之間(支持 SDH 接口的路由器),屬于 典型的線路加密措施,保護兩個網絡節點間的 一段通信鏈路 , 包括路由信息在內的消息均以 密文形式出現,掩蓋了消息的源地址和目的地 址,因為信道加密設備僅在通信鏈路上提供加密防護,在網絡節點的消息以明文形式存在, 這就要求網絡節點處于可信、可控的物理環境中,否則就有明文泄露的風險。
網絡加密設備一般部署在交換機和路由器之間,屬于節點加密措施,通常保護局域網的 數據。和鏈路加密不同的是,消息在網絡節點 以密文的形式存在,消息的源地址和目的地址 通常未加密處理, 網絡中間節點可對 IP 包頭進 行轉發和處理,但也會有所缺陷,加密消息對于防止攻擊者分析通信業務是脆弱的。兩型設備典型部署方式如圖 4、圖 5 所示。
圖 4 信道加密設備部署
圖 5 網絡加密設備部署
3.3 部署方式不一樣
SDH 信道加密設備是對兩個網絡節點間的某一條通信鏈路實施加密,部署在鏈路的端節點, 在每個端節點必須加解密,進行一對一成對部署,而 IP 網絡加密設備在網絡端節點不必都進行加 解密處理,可以一對多部署,以 A 和 B、C 兩個節點通信為例,使用信道加密機共需要 4 臺設備, 而使用 IP 網絡加密只需要 3 臺設備,如圖 6 所示。
圖 6 部署數量對比
3.4 防護粒度不一樣
信道加密設備對節點數據進行一致性處理,即全加密處理,所保護節點內信息設備或設備群無法選擇性透傳,即使小部分數據需要加密,也使所有傳輸數據被加密。而 IP 網絡加密設備可以根據 IP 范圍選擇性透傳設備及設備群,加密粒度可控,防護靈活性強,在網絡部署位置相對靈活。
3.5 保障要求不一樣
一般來說,信道加密設備開設容易,無需復雜的策略配置,保障相對容易。而網絡加密 設備有不同通信模式和接入方式,并且設備開設需要根據保護的網段(或地址范圍)、網絡 結構以及通信節點數量等因素進行策略配置,同時,通信對象的數量和策略配置順序同樣影響設備開設能否順利完成。在運維保障階段,故障排查定位涉及的專業知識面廣,保障技術難度相對較高。
04、如何選型
本節從信息系統業務類型、用戶單位技術 保障能力、信息系統網絡情況以及設備采購經 費預算等維度對兩型設備在不同因素條件的型 號選擇進行深入探討。
4.1 業務類型
信道加密設備加密不增加額外的開銷,將鏈路層及以上的所有業務進行全加密處理,不會造成丟包率和吞吐量問題,達到線速處理,具有延時小且固定的特點。而網絡加密設備對 IP 數據包加密時會產生幾十字節的開銷,在傳輸大數據包時,加上加密設備開銷總長度比最大傳輸單元(Maximum Transmission Unit,MTU)還大,經過有路由器等三層網絡設備的廣域網時, 很可能會被分片處理, 而分片往往造成丟包, 對于視頻業務而言,丟包的直接后果就是視頻 卡頓等異常情況。所以,對實時性有要求或對報文長度有嚴格限制等條件的業務,建議優先選用信道加密設備。
4.2 保障能力
無論設備首次開設,還是后期運維保障,信道加密設備相對網絡加密設備更為簡單,信道加密設備初始化開通后串入鏈路即可使用。
網絡加密設備開設除了需要線纜連接,還要根據設備部署關系、網絡環境以及保護范圍進行部署規劃和策略配置,設備中間有安全防護設備(如防火墻)需要調整其策略以放行加密報文,后期設備對通關系改變、保護對象調整、新增設備等因素都涉及策略調整和故障排查,網絡加密設備全壽命周期運維保障對保障人員專業水平、保障水平要求較高,因此,在保障人力和保障水平有限的情況下,優先考慮信道加密設備。兩型設備保障要素如圖 7 所示。
圖 7 兩型設備保障要素對比
4.3 網絡情況
第一,根據設備部署的網絡規模情況。慮設備部署數量問題、可維護性以及加密防護粒 度選擇等方面因素,小規模網絡優先考慮信道加密設備,大規模網絡優先考慮網絡加密設備。第二,根據網絡節點是否可控的情況。考慮網絡中間節點三層網絡設備(如路由器或三 層交換機)是否安全可控,是否存在明文數據 被竊聽、竊取、篡改等網絡安全風險,若網絡 中間節點不可控,就必須選擇網絡加密設備,因為經過網絡加密設備加密后的數據在網絡中間節點依然是密文狀態,而經過信道加密設備加密后的數據在網絡中間節點前已解密,在網絡節點中是明文狀態。第三,根據信道類型情況。一些信息網絡 系統中包含多類型信道,若分別匹配不同類型 信道則要采購不同類型的信道加密設備,對于已經 IP 化的信息網絡, 優先考慮網絡加密設備,因為網絡加密設備無須考慮底層傳輸協議,對于多類型信道具有很強的適應性。第四,根據信道匹配情況。信道速率不是 常規標準,比如信道速率為 100 Mb/s,其沒有相 匹配或難以采購相應速率的信道加密設備,要優先考慮通過網絡加密設備對 IP 化的數據進行加密。
4.4 經費預算
信道加密設備是點對點部署,即每個通信對 象都需要成對的設備相互匹配。在中心節點用戶 和 N個支節點單位加密互通時,需要部署N 臺信道加密設備,就需要N 臺設備的采購預算,N 數值越大,中心節點在經費支出方面的比重越大,這種情況也優先考慮網絡加密設備,無論和多少個支節點單位加密互通,都只需考慮 1 臺設備預算。
另外,若通信鏈路中存在多個不可控的網 絡節點時,優先考慮網絡加密設備,因為信道 加密只對鏈路主干進行加密,消息在網絡節點 已是明文存在,如圖 8 所示。若使用信道加密設備,需要考慮每個網絡節點提供加密硬件和 一個安全物理環境所需要的費用,可能產生的 費用包括且不限于:(1)為保護物理節點物理 安全的技術人員或雇員的開銷;(2)為確保安 全策略和程序正確執行進行的運維費用;(3) 為防止安全性被破壞帶來損失加固部署環境所產生的費用。
圖 8 信道加密設備保護段
4.5 其他方面
在保障能力方面,信道加密設備的開設和 保障相對網絡加密設備更簡單,日常運維不需 要保障人員過多介入參與,對于保障人力和能力相對欠缺的用戶單位,可以優先考慮信道加密設備。
為了防止竊聽者對通信業務分析,信道加 密設備對消息進行全加密處理,包括路由信息 及傳輸消息的源點和終點,由于填充技術的使 用以及填充字符在不需要傳輸數據情況下就可以進行加密,使消息的頻率和長度特性得以掩蓋,從而防止對通信業務進行分析。
05、設備組合運用
該節對兩型設備組合使用場景進行概括,并以案例方式講解信道加密設備和網絡加密設備組合使用,最后就兩型設備組合使用的保障 注意事項進行分析。
5.1 組合使用場景
由于兩型設備加密層級不一樣,在小規模信息網絡系統中,兩型設備組合使用比較少見,但在高級別防護大規模的信息系統中,兩型設備組合使用比較常見,甚至和終端類、應用類加密設備組合使用,對敏感數據進行多層次、全程化的加密防護。對于信道加密設備和網絡加密設備組合使用場景,設計需求通常有以下兩種情況。
一是網絡設備加密后無法掩蓋源地址和目 的地址,為避免搭線攻擊,在容易受到搭線竊 聽的主干線路加上信道加密設備,通過鏈路層全加密避免攻擊者對通信業務數據的 IP 報頭進行分析。二是防護級別需要,在骨干線路部署信道 加密設 備對信息流進行無差別加密,通過網絡加密設備對局域網或終端進行選擇性加 密,兩型設備組合使用提升信 息系統安全防護強度。
在部署階段,兩型設備組合使用無須考慮 設備混合使用帶來的限定條件,各型設備只需按照正常步驟開通即可。在運維保障階段,兩型設備組合使用要考慮混合使用時因故障排查定位帶來的不便。
5.2 組合使用案例
某信息系統由 3 個不同地方的局域網組成,在局域網出口的匯聚交換機和路由器之間部署 網絡加密設備,路由器和路由器之間的鏈路部 署信道加密設備(信道加密設備之間不能有三 層網絡設備) ,信道加密區域為二次加密區域,該信息系統網絡拓撲如圖 9 所示。
圖 9 設備部署網絡拓撲
信道加密設備對信息系統所承載的業務和 組網方式無關,可實現對信息的線性處理;網 絡加密設備部署需考慮承載業務、組網方式以及部署位置,比如視頻業務就需要更改終端設 備的 MTU 值,使數據包經過網絡加密設備進行加密處理后依然小于網絡節點的 MTU,避免數 據包被分片處理。同時,網絡加密設備內網側一般為二層交換機,若為三層交換機或路由器,則需要將該地址透傳、路由協議透傳,使三層 網絡設備之間路由信息可以正常交互。
5.3 保障注意事項
兩型設備組合使用的保障運維,從實際運用總結經驗來看,主要集中在兩型設備的故障源判斷,當面臨業務異常時,通常做法是先將其中一型設備下線,觀察業務狀態,若業務依然異常, 再將另外一型設備下線,觀察業務狀態,以判斷是設備問題還是網絡自身問題所致。
06、設備的保障運維
在加密設備部署開通后,就涉及加密設備 的使用和保障,為確保設備加密時能正常穩定 進行、設備故障能夠迅速反映恢復、設備長期可用能用,此節從幾個重要維度講解兩型設備 的運維保障管理。
6.1 備份措施
系統備份是防止由硬件損壞、黑客攻擊、系統崩潰等原因導致設備不可用的有效防范措施,兩型加密設備都是串聯在鏈路中,設備故障影響網絡通斷及用戶業務。在可靠性與穩定性要求較高的信息系統中,要考慮設備備份問題,以便設備故障后可以通過故障定位進行設備 及時替換。兩型設備備份與恢復有所不同,對 于信道加密設備,進行相同初始化操作,備件與主機替換即可上線運行,對于網絡加密設備,除了要進行相同初始化操作,還需要配置相應策略(該類加密設備一般都支持策略導入導出,可將主機策略導出,備件將策略導入即可) , 備件與主機替換才能正常運行。有些網絡加密 設備支持熱備,兩臺設備通過網線連接熱備口,當備機檢測到主機故障時,即可切換到主機模 式,3 臺及以上網絡加密設備則需要二層交換機 (或集線器)進行連接熱備,通過群組方式并 入線路中,如圖 10 所示。
圖 10 網絡加密設備群組熱備
6.2 故障排查
加密設備部署前都需要確保原信息網絡鏈 路和業務正常,在架設加密設備之后出現業務異常,可分以下兩種情況。
首 次部署時業務異常:對于信道加密設備,常見故障原因有兩端設備初始化不同步、連線或接口異常、設備故障(比如無法同步)等;對于網絡加密設備,常見故障原因有初 始化不同步、連線或接口異常、設備故障、策略問題、安全防護設備(如防火墻)未放 開 ESP 協議等,策略問題又細分為本端或遠 端地址范圍不正確、策略之間地址有重疊、內網的路由器(或三層交換機)未透傳、不 正確的明密選擇等。
在使用過程中業務異常:對于信道加密設備,可能是通信線路異常(可以兩邊同時跳開設備進行驗證)、設備異常等原因;對于網絡 加密設備,可能是通信線路異常、設備異常、 網絡環境變化、新增通信對象導致策略地址范 圍沖突等原因。
對于網絡加密設備,除了常規故障排查手段,還可以通過獲取加密流 量包的方式進行分析定位,除通信兩端同時跳開加密設備看業務是否正常,兩端設備同 時開啟全明策略業務是否正常以及核對兩端加密設備策略等 常規故障排 查方式外,還可以通過抓包進行排查定位,在網絡加密設備外網口串接鏡像交換機進行抓包,通過協議關鍵字“ESP” 查看是否有加密數據包發出去或者到達加密設備接口,判斷加解密機制是否啟用,或者是否被網絡中間設備分片重組,簡單網 絡拓撲圖如圖 11 所示。
圖 11 抓包分析
6.3 運維管理
確保設備可用、能用,對部署設備的信息系統提供長期有效防護,除了防范設備、數據失泄密風險,還需要具備有效的運維管理措施,例如設備的定期巡檢、故障響應與閉環、設備維護人員的賦能培訓、設備配置權限限定以及抓包分析部署環境設施的安全管理要求等方面。
07、結 語
文章側重從特點和差異性角度對兩型設備 進行對比分析,從運維保障管理角度對設備適用環境、設備選型和運維保障注意事項進行了探討,以解決用戶單位在型號選擇、保障維護所面臨的困境,提升用戶單位對兩型加密設備原理、功能、使用和維護保障能力。
引用本文:劉俊杰 , 周勇 , 邱海彬等 . 信道加密設備與網絡加密設備差異性研究和運維保障管理 [J]. 信息安全與通信保密 ,2021(12):85-94.
作者簡介 >>>
劉俊杰, 男, 碩士, 工程師,主要研究方向為服務保 障管理、網絡安全運維與服務保障方向;
周 勇 , 男, 學 士, 工 程 師, 主要研究方向為網絡安全運維保障;
邱海彬 , 男, 碩 士, 工 程 師, 主要研究方向為通信與信息系統;
閆雪強 , 男, 碩 士, 工 程 師, 主要研究方向為通信技術、測試技術。
