中聯通訊信息安全體系之VPN解決方案

2019-11-04 21:55:12

字體：大中小

來源：轉載

供稿：網友

　　目的在某企業信息安全體系項目中，企業的部分要害部門或要害系統，如財務系統、組織系統等，由于直接涉及極度敏感的商業或人事機密，應采用非凡的保護措施。物理隔離或專網方式是最直接的解決辦法，但他們不符合信息數字化建設和資源共享的潮流，而且投入費用也較高，顯然不是長遠之計。而常規聯網方式又必須面對機密信息在開放環境中被竊取或篡改等安全性問題。由于TCP/ip協議固有的開放性和互聯性，這種安全隱患是肯定存在的。因此，要在開放的網絡環境中實現信息通信的安全，必須采用先進的技術手段來保障。虛擬專用網絡VPN和桌面防火墻技術是可以實現網絡數據安全傳輸和主機系統安全防護的最新研究成果。 VPN是Internet技術迅速發展的產物。大量Internet通信基礎網絡或ISP的公共骨干網的建立使人們想到，假如可以保證在低成本的公用通信網絡中安全地進行數據交換，就可以使企業以更低的成本連接其辦事處、流動工作人員及業務合作伙伴，顯著節省使用專用網絡的長途費用，降低公司建設自己的廣域網（WAN）的成本，而且同時實現信息資源的充分利用。VPN技術使這種設想成為可能：通過采用隧道技術，將企業網的數據封裝在隧道中進行傳輸。通信中雙方首先要明確地確認對方的真實身份，進而在公用通信設施中建立一條私有的專用通信隧道，利用雙方協商得到的通信密鑰處理信息，從而實現在低成本非安全的公用網絡上安全的交換信息的目的。目前，國外已有多種VPN產品可供選擇使用。但出于非凡的安全性考慮，以美國為首的西方國家對其安全技術和產品附加了明確的出口限制，以對稱加密算法RC4為例，出口至我國的軟件產品（如IE等）采用的密鑰長度為40位，而其國內在電子商務應用中采用的密鑰強度最少都為128位。由于安全加密算法本身是公開的，其安全性只能唯一由密鑰長度決定，因而國內軟件系統若直接采用進口安全產品，其安全性將大打折扣，在對安全性有較高要求的非凡部門，更是不能使用。鑒于此，我國政府現在一方面強制命令政府網絡系統必須嚴格與互聯網絡物理隔離；另一方面，明確地要求國外安全產品在進口時必須向我國政府提供源代碼，這一問題目前還在討論中，估計短期內不會有明確進展。因此，對于國內的計算機網絡用戶，為維護自己的合法安全需求，在目前情況下，應盡量采用具有國內自主知識產權的技術與產品；對于不得不采用的進口基礎操作系統，也應盡快尋找可以替換其安全模塊的國產軟件，事實上，包括格方網絡安全公司在內的一些對國內網絡安全應用具有強烈憂患意識的技術單位，也已經在這方面做了大量工作并取得了相應的多項成果。需采用的技術和產品 1 概述 VPN主要采用四項技術：一、隧道技術(Tunneling)；二、加解密技術(Encryption & Decryption)；三、密鑰治理技術(Key Management)；四、使用者與設備身份認證技術(Authentication)。從1995年起，IETF陸續公布了許多網絡安全相關技術標準。這些標準統稱為IPSec （IP Security）。IETF工作組目前已制定的與IPsec相關的RFC文檔有RFC2104、RFC2401~RFC2409和RFC2451等。與VPN相關的諸多協議中，最引人注目的兩個協議是：L2TP與IPsec。其中IPSec提供LAN或遠程客戶到LAN的安全隧道，并已基本完成了標準化的工作；L2TP提供遠程PPP客戶到LAN的安全隧道，目前還處在不停的修改和調整階段，相應RFC文檔還一直沒有出臺，較新的草案是1999年5月的draft-IETF-pppext-L2TP-15.txt。由于L2TP協議是由Cisco、Ascend、Microsoft及3Com、原Bay等廠商共同制定的，因此，上述廠商現有的VPN設備已具有L2TP的互操作性。 2 隧道技術隧道技術是為了將私有數據網絡的資料在公眾數據網絡上傳輸，所發展出來的一種信息封裝方式(Encapsulation)，亦即在公眾網絡上建立一條秘密通道。隧道協議中最為典型的有GRE、IPsec、L2TP、PPTP、L2F等。其中GRE、IPsec屬于第三層隧道協議，L2TP、PPTP、L2F屬于第二層隧道協議。第二層隧道和第三層隧道的本質區別在于用戶的IP數據包是被封裝不同的數據包中傳輸的。 IPsec為第三層的隧道技術，專門為IP 所設計，不但符合現有IPv4的環境，同時也是IPv6的標準，它也是IEIF所制定的業界標準。PPTP與L2TP均為第二層的隧道技術，適合具有IP/IPX/AppleTalk等多種協議的環境。IPsec、PPTP、L2TP三者，最大的不同在于，運用IPsec技術，使用者可以同時使用Internet與VPN的多點傳輸功能（包括Internet/Intranet/Extranet/Remote access 等），而PPTP及L2TP只能執行點對點VPN的功能，無法同時執行Internet的應用，使用時較不方便。與第二層VPN相比，第三層的IPSec從1995年以來得到了一致的支持，報文安全封裝ESP和報文完整性認證AH的協議框架已趨成熟。密鑰交換協議IKE已經增加了橢圓曲線密鑰交換協議。由于IPSec必須在端系統OS內核的IP層或節點網絡設備的IP層實現，所以IPSec的密鑰治理協議，非凡是與PKI的交互問題是IPSec需要進一步完善的問題。 3 加解密技術信息加解密技術具有非常久遠的歷史，在需要秘密通信的地方都用得到它。因為虛擬專用網絡建筑在Internet公眾數據網絡上，為確保私有資料在傳輸過程中不被其他人瀏覽、竊取或篡改，所有的數據包在傳輸過程中均需加密，當數據包傳送到專用數據網絡后，再將數據包解密。加解密的作用是保證數據包在傳輸過程中即使被竊聽，黑客只能看到一些封鎖意義的亂碼。假如黑客想看到數據包內的資料，他必須先破解用于加密該數據包的密鑰（Encryption Key）。隨著加密技術與密鑰長度的不同，破解密鑰所需的設備與時間有顯著不同。表2.1給出了密碼學專家Jalal Feghhi等人98年9月給出的DES加密密鑰長度與抗攻擊情況的分析報告。（詳見附錄一）表2.1 密鑰位數與破解時間的關系（DES算法）密鑰長度(位) 個人攻擊小組攻擊院、校網絡攻擊大公司軍事情報機構 40 數周數日數小時數毫秒數微秒 56 數百年數十年數年數小時數秒鐘 64 數千年數百年數十年數日數分鐘 80 不可能不可能不可能數百年數百年 128 不可能不可能不可能不可能數千年按密鑰個數不同，加解密技術可概分為兩大類，一為對稱式密碼學（Symmetric Cryptography），有時又稱密鑰式密碼學（Secret-key Cryptography)；另一種為非對稱式密碼學（Asymmetric Cryptography），又稱公用鑰匙密鑰學（Public-key Cryptography）。對稱式的加解密技術，加解密使用同一把密鑰，大家熟知的DES，RC4，RC5等即為對稱式的加密技術。非對稱式的加解密技術，加解密使用不同的密鑰，其中以RSA最常被采用。由于對稱式密碼算法的運算速度較非對稱式密碼演算法快約2~3個數量級，所以目前大多采用對稱算法來做通信加解密，而非對稱算法用于密鑰治理，實現的是一種混合（Hybird）算法，如格方網絡安全公司和VPN的設備廠商VPNet Technologies Inc.就都是采用采用這種方式來實現網絡上密鑰交換與治理。這種方式不但可提供較快的傳輸速度，也有更好的保密功能。 4 密鑰治理技術黑客若想解讀數據包，必需先破解加解密所用的密鑰（Key）。假如無法截取密鑰，通常就只能使用窮舉法來破解，在密鑰很長時，這種破解方式基本上不會有結果。目前為安全起見，通常使用一次性密鑰技術，即對于一次指定會話，通信雙方需為此次會話協商加解密密鑰后才能建立安全隧道。這有時就要求密鑰要在網絡上傳輸，增加了不安全因素。密鑰治理（Key Management）的主要任務就是來保證在開放網絡環境中安全地傳輸密鑰而不被黑客竊取。現行常用密鑰治理的技術又可分為SKIP（Simple Key Management for IP）與ISAKMP/Oakley（又稱為IKE）兩種。SKIP是由SUN所發展的技術，主要是利用Diffie-Hellman密鑰交換算法在網絡上傳輸密鑰的一種技術。ISAKMP/Oakley亦然，并且將來ISAKMP/Oakley會整合于IPv6中，成為IPv6的標準之一。 5 身份認證技術網絡上的用戶與設備都需要確定性的身份認證，這是VPN需要解決的首要問題。錯誤的身份認證將導致整個VPN的失效，不管其其他安全設施有多嚴密。辨認合法使用者的方法很多，但常規用戶名密碼方式（PAP）顯然不能提供足夠的安全保障。格方網絡安全身份認證技術通過改進標準CHAP協議（ECHAP），通過強雙因子方式實現更為安全的用戶身份認證，僅在用戶同時擁有合法的兩因子（包括一個物理因子，用戶的身份信息，如數字證書等，可以方便地存于其中）的情況下才可通過，同時還創造性地實現了服務器端用戶秘密信息的安全保護，是擁有完全自主版權的嶄新技術與產品。對于設備的認證通常需依靠數字證書簽發中心（Certificate Authority）所發出的符合X.509規范的標準數字證書（Certificate）。設備間交換資料前，須先確認彼此的身份，接著出示彼此的數字證書，雙方將此證書比對，假如比對正確，雙方才開始交換資料，反之，則不交換。 6 格方網絡安全防護系統 --- 威賽盾（VPSec） 6.1 VPSec原理簡介按ISO OSI標準七層網絡體系結構來看，對于網上信息的傳輸，原則上，采用越底層的加解密方式越安全。數據鏈路層直接位于物理媒體層之上，任何內部網絡和外部網絡之間傳輸的數據都不可能繞過這一層而進出系統，因此直接在這一層對數據包做安全處理將能夠保證安全處理的完備性。同時，由于鏈路層處于操作系統的內核，相應安全程序模塊是操作系統的一部分，在系統啟動時就被加載且在系統運行過程中不能被篡改，因而可以保證程序自身的安全性與穩定性。格方公司開發的威賽盾（VPSec）系列產品正是基于這一出發點而開展工作的。威賽盾使用內核技術開發，具體層次在網絡設備卡之上，協議層之下。圖2.2顯示了VPSec在Windows NT網絡系統結構模型中的位置。可以看到VPSec所在層面將能夠保證所有網絡進出數據都必須經過，因而避免了可能存在的系統安全后門，保證了安全系統的完備性。與常規IPSec協議不同的是，VPSec更考慮我國目前的具體應用環境而做了非凡的改進。首先，VPSec支持更強的安全通信。由于完全自主開發，擁有全部源代碼，VPSec可以采用任意強度的安全加密方法，引進國產加密算法、密鑰甚至加解密硬件設備，充分保證通信的安全性，從根本上擺脫了國內安全產品受制于人的局限性。其次，IPSec要求希望相互通信的主機必須安裝相應系統，即它是以一種點對點的通信方式來保證通信安全的。沒有安裝相應系統的主機即使在同一網段內也不可以訪問VPN內的主機，表現了相當程度的安全性，但同時也增加了系統的整體投資和維護難度。目前，對于國內網絡應用來說，情況經常是受保護的VPN機器經常還需要同非保護的其他機器進行單向通信，且這種通信經常是臨時或一次性的，而且目的主機也不一定一致，IPSec在解決這類問題是比較復雜。VPSec，通過用戶態受密碼保護的應用程序，可以方便的實現這一功能，即系統的使用者可以在任意時間、與任意希望通信的對象、以任意通信協議建立任意安全強度的連接（4A），非常適應國內目前網絡應用環境。最后，VPSec建立的安全隧道可以與格方局域網安全身份認證SID系列無縫集成，實現身份認證的同時完成密鑰交換，大大提高了網絡通信的安全性。圖一 Windows NT系統的網絡系統結構模型　 6.2 VPSec應用分類在數據鏈路層，VPSec可以高效地直接對數據包進行操作，方便地實現多種功能。目前，威賽盾系列網絡安全保護系統按功能分為三大類： VPSec-Ⅰ網絡防火墻 VPSec-Ⅰ網絡防火墻在數據鏈路層，根據用戶設定的策略來分析數據包，并對可疑的數據包進行監視、報警和主動丟失相關數據，有效防止黑客的攻擊。用戶設定的策略可針對協議，如TCP/IP，SMTP，POP3等，也可直接針對主機地址。 VPSec-Ⅱ桌面個人防火墻與數據加密系統 VPSec-Ⅱ桌面個人防火墻與數據加密系統是格方VPSec系列中最具特色的產品。該產品使PC機的每一個用戶，可以主動地對本機進行安全保護。一方面，可以有效防止黑客的攻擊，另一方面，對于進出本機的數據，根據用戶自己預先定義的安全策略，對數據進行加解密，即使數據在傳輸過程中被截獲，也難以被破解。 VPSec-Ⅲ安全內容檢查與保護系統 VPSec-Ⅲ安全內容檢查與保護系統具有如下特點：對高層協議數據的監控；對計算機病毒、惡意java Applet和ActiveX的攻擊的防護；對惡意電子郵件及不健康網頁內容、IP地址的過濾。 6.3 VPSec功能模塊通過與由密碼保護的用戶態程序交互，VPSec可以動態地定義本機或網絡的安全策略。具體實現中目前VPSec具有如下功能：系統設置系統用戶及密鑰設定：用來設定可以操作此項功能的用戶名和口令；用戶證書設置：可以選擇導入用戶數字證書，利用數字證書中的用戶密鑰來加解密信息；密鑰設定：可以認為手工加入通信密鑰；本地安全設置加密方式選擇：可選擇全部加密或分別指定加密方式：輸出文檔數據加密；輸入文檔數據解密等；通過此項設置，可以保證在網絡上即使被人可以看到文件名，也不可能將文件內容泄密；加密算法選擇：目前支持RC4，RC5，DES，TripleDES等多種流行加密算法；遠程安全設置加密方式選擇：可選擇對全部協議加密或對指定特定協議數據加密。目前支持以下協議類型： FTP，HTTP，POP3，TELNET，FINGER，SMTP等；加密算法選擇：目前支持RC4，RC5，DES，Triple DES等多種流行加密算法； IP地址選擇系統答應對指定主機、地址群和域名地址進行特定的安全設置，包含對目標地址（地址池）或域名的本地安全設置和遠程安全設置。格方網絡安全解決方案針對某企業信息安全體系對特定系統和部門提出的非凡安全要求，我們提供如下三種安全解決方案供選擇。兩種方案各有所長，根據目前我們把握的某企業網絡體系結構，我們認為方案二在保證充分安全通信的基礎上具有最優的性能價格比。方案一防火墻隔離的專有網絡物理地與外界隔離的專用私有網絡是安全級別最高網絡環境，但其投資規模過大且非常不利于與外界的交流，目前已很少被采用。常用的做法是設立唯一的與外界的出口，并在此唯一內外交互的出口處設立防火墻。如圖3.1所示。圖中防火墻可以是簡單的雙宿網關防火墻，或安全級別更高的屏蔽主機防火墻甚至屏蔽子網防火墻。實現功能主要包括：IP包過濾，TCP/UDP服務端口過濾，IP地址轉換NAT，流量控制與計費，防止TCP-SYN flood攻擊，郵件存儲轉發（Mail block）等。目前這些功能在格方網絡保護系統VPSec-I中都已經成功實現，具體實施也非常簡單。圖3.1 防火墻隔離的專有網絡采用單純的常規防火墻方式，具有一定的安全局限性，具體表現在以下幾個方面：防火墻不能防范不經由防火墻的攻擊。假如內部網用戶直接從Internet服務提供商那里購置直接的SLIP或PPP連接, 則繞過了防火墻系統所提供的安全保護，從而造成了一個潛在的后門攻擊渠道；防火墻不能防范人為因素的攻擊。防火墻不能防止由內奸或用戶誤操作造成的威脅，以及由于口令泄露而受到的攻擊。由于局域網內部是一個相對開放的環境和TCP/IP協議內在的開放特征，內部網絡上傳輸的數據很輕易被截獲并被分析或跟蹤，一個很輕易得到的黑客軟件就可以很輕易從內部完全破壞整個網絡。由于某企業本次安全防范的主要目的是針對內部犯罪，因此單純采用防火墻阻擋外部攻擊意義不明顯；常規防火墻不能防止受病毒感染的軟件或文件的傳輸。由于操作系統、病毒、二進制文件類型（加密、壓縮）的種類太多且更新很快, 所以防火墻無法逐個掃描每個文件以查找病毒；防火墻不能防止數據驅動式的攻擊。當有些表面看來無害的數據郵寄或拷貝到內部網的主機上并被執行時, 可能會發生數據驅動式的攻擊。例如, 一種數據驅動式的攻擊可以使主機修改與系統安全有關的配置文件, 從而使入侵者下一次更輕易攻擊該系統。上述安全隱患中，第一條應由相應防火墻的具體特性和具體實施中的安全策略來保證。VPSec-I能夠保證所有經由此防火墻進出系統的數據全部都需經過自己的過濾，但不能保證內部員工通過撥號或其他途徑與外界的交互，這需要制定相應的安全策略并嚴格遵守。第二條單純在用內網與外網間的防火墻無法解決，但格方VPSec-II的個人桌面防火墻系統可以很好解決，詳見方案三。對于第三條和第四條，VPSec-III可以實現絕大多數網絡病毒、、惡意Java Applet和ActiveX的攻擊，對惡意電子郵件及不健康網頁內容、IP地址的過濾，但由于這是一種被動式的防守，理論上沒有任何產品可以打保票說不會受到新病毒的入侵，但可以保證的是VPSec在國內甚至國際相關安全領域內技術是有優勢的，并且這種優勢是可以得到持續保障的。方案二基于虛擬專用網VPN的解決方案虛擬專用網VPN是借助于公用網絡設施實現私有安全通信的一種目前最佳的方式。與單純在內外網間架設防火墻相比，VPN最大的優勢在于它還可以保證內網中信息交換也是安全的。通過安全隧道的建立，不僅內外網之間，而且內網中也可以方便的組成更加私有的網絡結構。圖3.2給出了相應網絡方案的示意圖。圖3.2 基于虛擬專用網VPN的解決方案　關于VPN在第二章已做了較具體介紹，這里不在重復。希望非凡強調的是，采用格方專為網上安全通信而設計開發的系列產品VPSec，不但可簡單實現VPN、網間防火墻的功能，還可進一步實現個人桌面防火墻：任何一臺裝有威賽盾的機器都可以地實現本機信息的完全保護，可以對本機上的任何網絡操作設定安全級別，配置相應安全參數，但同時還可以自由地訪問網絡上任何一臺他有權訪問的機器。而具體的設置非常簡單，無需任何專業培訓。在一個局域網內部，幾臺安裝威賽盾的機器可以非常方便地組成虛擬專用網（VPN），而對網絡現有結構不產生任何影響。該VPN中的機器間可以相互訪問，同時也具有訪問局域網內其他機器的權利。而VPN外的局域網內機器，卻無權訪問VPN內的資源，而這一切所需的配置卻非常簡單，而且無需購買額外的硬件設備。在某企業信息安全體系項目中，采用威賽盾，可以非常方便地為有較高安全需求的部門和系統單獨建立多個VPN，享有非凡的訪問與被訪問權限。而為網絡治理人員也可以建立一個單獨的VPN，實現非凡的網絡治理職責。事實上，網絡中安裝了威賽盾的機器可以在任何時間按自己的意愿與同伴組成特定的VPN，相互交流而不被其他人竊聽，確實具有非常誘人的靈活性。而且，威賽盾也適用于廣域網環境，實現廣域網上的防火墻和VPN，為以后某企業的廣泛經營建立安全的通信環境。總結格方網絡安全保護系統--威賽盾是網上安全保護的理想產品。威賽盾的防火墻功能可保證某企業的局域網絡對外界是不可見的，它過濾所有可能的威脅，而局內人員依然可以方便地訪問外部網絡。威賽盾的虛擬專網功能使某企業能夠在自己的內部網甚至整個廣域的互聯網環境中，建立安全的私有專用網絡，不但可以有效保護某企業大量的商業數據，而且在同時可以享受互聯網絡帶給大家的巨大信息財富。不必再物理隔離，威賽盾承諾您是安全的。在此，我們還希望非凡強調的是，上述系列產品均具有完全的獨立自主知識產權，基礎代碼完全由我們自己把握，安全加密算法及其密鑰完全可以采用國內自主產品，因而從根本上擺脫了國內安全領域長期受制于國外產品的窘境，符合國家發展自我安全系統的大趨勢。某企業若采用了上述方案與產品，應該說也是對國內安全領域發展的支持，必將產生非凡顯著的社會效益與經濟效益。附錄一關于密鑰長度與安全性的關系不同加密算法安全強度有很大差別，這里列舉的是對一些常用對稱、非對稱算法的安全評估結果。公開密鑰算法是在1976年由當時美國斯坦福大學的迪菲（Diffie）和赫爾曼(Hellman) 首先發明的 [“New Direction in Cryptography”, IEEE Trans on IT, 22(6), 1976]。但目前最流行的RSA是由分別取自三名發明此算法的數學家（Ronald Rivest, Adi Shamir和Len Adleman）的名字的第一個字母來構成的。 RSA算法研制的最初理念與目標是旨在解決DES算法秘密密鑰的利用公開信道傳輸分發的難題。而實際結果不但很好地解決了這個難題；還可利用RSA來完成對電文的數字簽名以抗對電文的否認與抵賴；同時還可以利用數字簽名較輕易地發現攻擊者對電文的非法篡改，以保護數據信息的完整性。 RSA算法的保密強度，隨其密鑰的長度增加而增強。但是，密鑰越長，其加解密所耗的時間也越長。因此，要根據所保護信息的敏感程度與攻擊者破解所要花的代價值不值得和系統所要求的反應時間來綜合考慮決定。尤其對于商業信息領域更是如此。以下我們列出美國麻省理工學院RSA129（N=10129素因子分解攻擊研究小組Hal Abelson, Jeff Schiller, Brian Lamacchia和Derek Atkins。根據他們對PGPRSA（MPQS）算法攻擊研究的結果如下： RSA-129 (429-bit key) 4600 MIPS-YEARS 即相當于要4600臺VAX11/780聯合運行一年的時間或一臺Pentium運行46年時間才能將一個N=10129的大數分解找到其質因子p, q。 RSA 384-bit key 470 MIPS-YEARS RSA 512-bit key 42x104 MIPS-YEARS RSA 700-bit key 42x108 MIPS-YEARS RSA 1024-bit key 2.8x1015 MIPS-YEARS　附表一攻破RSA密鑰所需的時間：密鑰長度（bit） 100 200 300 500 750 1000 時間 30秒 3天 9年 1兆年 2x109年 6x1015年　　當密鑰長度大于512位時，以個人有限的人生攻破密鑰是無法實現的。　　據美國（華爾街報）1999年3月8日報導，由VeriSign公司（一個信息保密安全公司）經理Anil Pereira分析指出，欲破解一個秘密密鑰長度為128位的DES加密要比破解一個秘密密鑰長度為40位的DES加密要困難300?1042倍（300 Septillion倍）。也就是說如以300MC奔騰CPU的PC機破解40位DES加密要花3個小時計，那么用同樣的PC機來破解一個128位DES加密就要花去900?1042小時。這在一個人的有生之年是不可能做到的。目前尚無報導是否有數百人同時用數百臺大型計算機利用互聯網分布處理來破128位DES加密的事情。但可以肯定這種做法所花代價對于普通的商業機密來講，肯定是不值的。另外，基于1997年的技術統計分析的攻擊結果，Jalal Feghhi等人98年9月給出DES加密抗攻擊的情況如下表所述：（摘自由Jalal Feghhi, Jalil Feghhi, Peter Williams《Digital Certificates》第51頁）附表二密鑰位數與破解時間的關系（DES算法）位數bits 個人攻擊小組攻擊院、校網絡攻擊大公司軍事情報機構 40 數周數日數小時數毫秒數微秒 56 數百年數十年數年數小時數秒鐘 64 數千年數百年數十年數日數分鐘 80 不可能不可能不可能數百年數百年 128 不可能不可能不可能不可能數千年注：99年的技術比97年提高了200倍左右。附表三上表中攻擊者配有如下計算機資源的攻擊能力攻擊者類型所配有的計算機資源每秒處理的密鑰數個人攻擊 1臺高性能桌式計算機及其軟件 217 - 224 小組攻擊 16臺高性能桌式計算機及其軟件 221 - 224 院、校網絡攻擊 256臺高性能桌式計算機及其軟件 225 - 228 大公司配有價值1百萬美元的硬件 243 軍事情報機構配有價值百萬美元的硬件及先進的攻擊技術 255 　　基于現代密碼學及其密碼體制（有別于傳統的算法或密碼本），保密的要害是如何保護好密鑰；而破密的要害則是如何得到密鑰。因為，一個好的現代密碼算法，在密鑰足夠長的情況下，即使是發明該算法的人，如他得不到密鑰。他本人要破解用他自己發明的算法來加了密的電文也是極其困難甚至是不可能的。

上一篇：某單位電子政務方案

下一篇：神州交通運輸平臺方案