对国内用户来说，SSL VPN的安全真的可靠吗？什么又是我们希望的安全？

        近几年，SSL VPN的发展势头强劲，使IPSec VPN地位变得尴尬。有评论甚至提出SSL VPN将会取代IPSec VPN。之所以形成这个观点，其中有一点是因为SSL VPN在安全方面的优势。不过对国内用户来说，SSL VPN的安全真的可靠吗？什么又是我们希望的安全？

        密码破译启示

        SSL VPN是指应用层的VPN，基于HTTPS来访问受保护的应用。相对于传统的IPSec VPN，SSL能让公司实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术，主要看重的是其接入控制功能。

        与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，但因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络机制，因此其安全性是相对较高的。

        卫士通公司总工程师谭兴烈认为，SSL VPN通常采用的是国际上公开的一些算法。他举例说，在许多信息安全系统中使用的摘要算法MD5、SHA—1，其安全性正在受到学者的质疑，因为在这些流行的摘要算法破译方面已经诞生了很多成果，我国在这方面走到前列。

        另外，DES和3DES等算法也均出现过破译工具。这说明，基于公开的密码算法的安全系统已经不能满足商业环境下安全通信的要求，因为用户必然会对基于SSL VPN组建的信息安全系统是否安全提出疑问，这就要求我们在SSL VPN的安全性和灵活性方面进行适当的平衡。

        问题集中在机密性

        谭兴烈认为，安全性与易用性永远是一个矛盾。真正做到安全，有时是需要在易用性与安全性之间做一些折中。

        密码算法设计的安全性和实现的安全性对于基于密码算法的安全系统设计十分重要。

        目前市场上的SSL VPN按照所实用的算法来分有两种形态：一种就是直接利用浏览器中已经嵌入的国际标准算法，另一种是利用国家主管部门批准的商密算法来保证企业信息传输的机密性和完整性。

        目前我国的现状是，在CPU、数据库、操作系统不能自主控制情况下，可控也是相对的。但采用国家标准，则会解决一些问题。

        对于符合国家主管机构要求的SSL VPN，必然是采用了密码主管部门审批的算法，其实现方式一般是在SSL VPN中使用了密码卡来提供密码处理功能，在客户端采用USBKey等硬件载体来实现密码处理，以此实现服务器端和客户端之间有效认证和传输加密问题。

        现在可以看到，中华卫士等国内一些企业的SSL VPN支持三种模式。第一种是利用浏览器内嵌通用算法的模式。另外有些SSL VPN用户会用其做身份鉴别（SSL VPN支持用户身份验证和目录）创建一个基于用户标识的访问控制基础。因此不保证传输机密性的类型。第三种是支持符合国家相关标准、国内主管部门审批的类型。

        其实，如果对安全性特别是机密性要求不是很高的用户，采用国际标准的SSL VPN完全可以满足需求，如果是一些高端如银行、证券、电信等用户则可以考虑采取机密性更高的符合国家标准的SSL VPN。