信道加密設(shè)備與網(wǎng)絡(luò)加密設(shè)備差異性研究 和運(yùn)維保障管理*

劉俊杰，周 勇，邱海彬，閆雪強(qiáng)

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

隨著信息網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)安全威脅不斷增加，企事業(yè)單位敏感信息防護(hù)壓力與日俱增。信息加密是網(wǎng)絡(luò)安全防護(hù)最常用、最直接、最有效的技術(shù)手段之一。目前，信道加密設(shè)備和網(wǎng)絡(luò)加密設(shè)備是在企事業(yè)單位信息化建設(shè)中最常用，部署最為廣泛的兩型加密設(shè)備。但國內(nèi)缺少對(duì)兩型設(shè)備的運(yùn)維保障和差異性等問題的相關(guān)研究，導(dǎo)致用戶單位對(duì)兩型設(shè)備的選型和運(yùn)維保障存在切實(shí)困難。因此，有必要從運(yùn)維角度對(duì)兩型加密設(shè)備功能、使用和保障進(jìn)行對(duì)比研究。

1 概述

加密技術(shù)是網(wǎng)絡(luò)安全的核心技術(shù)與基礎(chǔ)支撐。隨著信息化建設(shè)的發(fā)展，用于安全防護(hù)的加密系統(tǒng)同步建設(shè)任務(wù)也隨之快速推進(jìn)。在功能實(shí)現(xiàn)方面，信道加密設(shè)備和網(wǎng)絡(luò)加密設(shè)備都可以實(shí)現(xiàn)信息在鏈路上的加密防護(hù)，但兩者在功能原理、運(yùn)用方式、保障方式方面有所不同。在信息系統(tǒng)建設(shè)部署時(shí)，若對(duì)加密設(shè)備盲目選型、缺少規(guī)劃，將會(huì)造成裝備使用浪費(fèi)、防護(hù)級(jí)別不夠以及保障難度大等諸多問題。

在各種信息網(wǎng)絡(luò)中，IP技術(shù)逐漸占據(jù)主導(dǎo)地位，從業(yè)務(wù)到應(yīng)用都逐漸向基于IP方向發(fā)展，但在鏈路層中還是同步數(shù)字體系（Synchronous Digital Hierarchy，SDH）最為常見，根據(jù)不同應(yīng)用場(chǎng)景、網(wǎng)絡(luò)架構(gòu)以及保障運(yùn)維能力選擇合適的加密設(shè)備進(jìn)行信息加密防護(hù)，確保加密設(shè)備投入有效、投入產(chǎn)出最優(yōu)。而在加密設(shè)備保障領(lǐng)域，特別是信道加密設(shè)備和網(wǎng)絡(luò)加密設(shè)備部署應(yīng)用方面缺少相關(guān)文獻(xiàn)，基于運(yùn)維角度探討兩型設(shè)備在部署應(yīng)用及差異性方面具有廣泛的實(shí)用性。

2 兩型加密設(shè)備概述

本節(jié)分別從功能原理和部署運(yùn)用兩個(gè)方面對(duì)兩型加密設(shè)備進(jìn)行介紹。

2.1 信道加密設(shè)備

信道加密設(shè)備屬于鏈路層加密設(shè)備，包括短波、微波、散射、衛(wèi)星等無線信道加密設(shè)備和以SDH信道加密設(shè)備為代表的有線信道加密設(shè)備。常見的信息網(wǎng)絡(luò)通用的信道傳輸設(shè)備一般采用SDH制式，在SDH協(xié)議層（鏈路層）切入，對(duì)信道凈荷實(shí)施加解密，常見的傳輸速率體系有E1（2 Mb/s）、STM-1（155 Mb/s）、STM-4（622 Mb/s）、STM-16（2.5 Gb/s）和STM-64（10 Gb/s）。

SDH信道加密設(shè)備一般置于傳輸設(shè)備和用戶設(shè)備之間，對(duì)兩個(gè)節(jié)點(diǎn)間的某一條通信鏈路實(shí)施加密，采用門衛(wèi)式加密方式對(duì)信道傳輸?shù)男畔⑦M(jìn)行加密保護(hù)，通過點(diǎn)到點(diǎn)方式進(jìn)行配置，成對(duì)出現(xiàn)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)固定，通信對(duì)象一般不會(huì)發(fā)生改變，并且不會(huì)對(duì)SDH網(wǎng)絡(luò)自身的運(yùn)行、維護(hù)、管理造成任何影響。

2.2 網(wǎng)絡(luò)加密設(shè)備

網(wǎng)絡(luò)加密設(shè)備通過軟件和硬件結(jié)合方式實(shí)現(xiàn)IPsec協(xié)議體系，常見的是IP網(wǎng)絡(luò)加密設(shè)備單獨(dú)使用IPsec協(xié)議的封裝安全載荷（Encapsulating Security Payload，ESP）協(xié)議[1]，在網(wǎng)絡(luò)層將IP報(bào)文進(jìn)行處理之后再傳輸，增強(qiáng)了IP報(bào)文的安全性，實(shí)現(xiàn)了IP數(shù)據(jù)包的機(jī)密性、完整性和真實(shí)性保護(hù)，同時(shí)抵御重放攻擊。

在通信模式上，根據(jù)網(wǎng)絡(luò)加密設(shè)備對(duì)原始IP報(bào)文的封裝模式，可分為傳輸模式和隧道模式兩種工作方式（如圖1、圖2所示）[2]。其中，傳輸模式不影響原數(shù)據(jù)包在網(wǎng)絡(luò)節(jié)點(diǎn)的轉(zhuǎn)發(fā)尋址，加密設(shè)備相當(dāng)于透明接入網(wǎng)絡(luò)中，在實(shí)際應(yīng)用更為廣泛。同時(shí)，根據(jù)網(wǎng)絡(luò)加密設(shè)備部署在網(wǎng)絡(luò)節(jié)點(diǎn)是否影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可分為兩種接入方式，即網(wǎng)橋方式和網(wǎng)關(guān)方式[3]，以網(wǎng)橋方式較為常用。

圖1 傳輸模式

圖2 隧道模式

因網(wǎng)絡(luò)加密設(shè)備常見的應(yīng)用場(chǎng)景為傳輸模式、網(wǎng)橋方式接入信息系統(tǒng)，本文以傳輸模式、網(wǎng)橋方式的網(wǎng)絡(luò)加密設(shè)備作為典型代表進(jìn)行探討分析。

3 兩型加密設(shè)備差異性

本節(jié)通過對(duì)兩型加密設(shè)備的功能、原理、適用場(chǎng)景和運(yùn)維保障等維度進(jìn)行對(duì)比，呈現(xiàn)兩型設(shè)備之間差異性。

3.1 加密層級(jí)不一樣

SDH信道加密設(shè)備屬于鏈路層加密，工作在計(jì)算機(jī)網(wǎng)絡(luò)5層模型中的數(shù)據(jù)鏈路層。在網(wǎng)絡(luò)層或IP層以下，加密對(duì)象是鏈路層的幀，加密數(shù)據(jù)報(bào)文無法跨越網(wǎng)段通信，而網(wǎng)絡(luò)加密設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密，工作在計(jì)算機(jī)網(wǎng)絡(luò)5層模型中的網(wǎng)絡(luò)層，加密對(duì)象為IP數(shù)據(jù)包，對(duì)鏈路層協(xié)議透明，兩型加密設(shè)備所在工作層級(jí)如圖3所示。

圖3 兩型加密設(shè)備工作層級(jí)

3.2 部署位置不一樣

SDH信道加密設(shè)備部署在路由器之間或傳輸設(shè)備之間（支持SDH接口的路由器），屬于典型的線路加密措施，保護(hù)兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間的一段通信鏈路[4]，包括路由信息在內(nèi)的消息均以密文形式出現(xiàn)，掩蓋了消息的源地址和目的地址，因?yàn)樾诺兰用茉O(shè)備僅在通信鏈路上提供加密防護(hù)，在網(wǎng)絡(luò)節(jié)點(diǎn)的消息以明文形式存在，這就要求網(wǎng)絡(luò)節(jié)點(diǎn)處于可信、可控的物理環(huán)境中，否則就有明文泄露的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)加密設(shè)備一般部署在交換機(jī)和路由器之間，屬于節(jié)點(diǎn)加密措施，通常保護(hù)局域網(wǎng)的數(shù)據(jù)。和鏈路加密不同的是，消息在網(wǎng)絡(luò)節(jié)點(diǎn)以密文的形式存在，消息的源地址和目的地址通常未加密處理，網(wǎng)絡(luò)中間節(jié)點(diǎn)可對(duì)IP包頭進(jìn)行轉(zhuǎn)發(fā)和處理，但也會(huì)有所缺陷，加密消息對(duì)于防止攻擊者分析通信業(yè)務(wù)是脆弱的。

兩型設(shè)備典型部署方式如圖4、圖5所示。

圖4 信道加密設(shè)備部署

圖5 網(wǎng)絡(luò)加密設(shè)備部署

3.3 部署方式不一樣

SDH信道加密設(shè)備是對(duì)兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間的某一條通信鏈路實(shí)施加密，部署在鏈路的端節(jié)點(diǎn)，在每個(gè)端節(jié)點(diǎn)必須加解密，進(jìn)行一對(duì)一成對(duì)部署，而IP網(wǎng)絡(luò)加密設(shè)備在網(wǎng)絡(luò)端節(jié)點(diǎn)不必都進(jìn)行加解密處理，可以一對(duì)多部署，以A和B、C兩個(gè)節(jié)點(diǎn)通信為例，使用信道加密機(jī)共需要4臺(tái)設(shè)備，而使用IP網(wǎng)絡(luò)加密只需要3臺(tái)設(shè)備，如圖6所示。

圖6 部署數(shù)量對(duì)比

3.4 防護(hù)粒度不一樣

信道加密設(shè)備對(duì)節(jié)點(diǎn)數(shù)據(jù)進(jìn)行一致性處理，即全加密處理，所保護(hù)節(jié)點(diǎn)內(nèi)信息設(shè)備或設(shè)備群無法選擇性透?jìng)?，即使小部分?jǐn)?shù)據(jù)需要加密，也使所有傳輸數(shù)據(jù)被加密。而IP網(wǎng)絡(luò)加密設(shè)備可以根據(jù)IP范圍選擇性透?jìng)髟O(shè)備及設(shè)備群，加密粒度可控，防護(hù)靈活性強(qiáng)，在網(wǎng)絡(luò)部署位置相對(duì)靈活。

3.5 保障要求不一樣

一般來說，信道加密設(shè)備開設(shè)容易，無需復(fù)雜的策略配置，保障相對(duì)容易。而網(wǎng)絡(luò)加密設(shè)備有不同通信模式和接入方式，并且設(shè)備開設(shè)需要根據(jù)保護(hù)的網(wǎng)段（或地址范圍）、網(wǎng)絡(luò)結(jié)構(gòu)以及通信節(jié)點(diǎn)數(shù)量等因素進(jìn)行策略配置，同時(shí)，通信對(duì)象的數(shù)量和策略配置順序同樣影響設(shè)備開設(shè)能否順利完成。在運(yùn)維保障階段，故障排查定位涉及的專業(yè)知識(shí)面廣，保障技術(shù)難度相對(duì)較高。

4 如何選型

本節(jié)從信息系統(tǒng)業(yè)務(wù)類型、用戶單位技術(shù)保障能力、信息系統(tǒng)網(wǎng)絡(luò)情況以及設(shè)備采購經(jīng)費(fèi)預(yù)算等維度對(duì)兩型設(shè)備在不同因素條件的型號(hào)選擇進(jìn)行深入探討。

4.1 業(yè)務(wù)類型

信道加密設(shè)備加密不增加額外的開銷，將鏈路層及以上的所有業(yè)務(wù)進(jìn)行全加密處理，不會(huì)造成丟包率和吞吐量問題，達(dá)到線速處理，具有延時(shí)小且固定的特點(diǎn)。而網(wǎng)絡(luò)加密設(shè)備對(duì)IP數(shù)據(jù)包加密時(shí)會(huì)產(chǎn)生幾十字節(jié)的開銷，在傳輸大數(shù)據(jù)包時(shí)，加上加密設(shè)備開銷總長(zhǎng)度比最大傳輸單元（Maximum Transmission Unit，MTU）還大，經(jīng)過有路由器等三層網(wǎng)絡(luò)設(shè)備的廣域網(wǎng)時(shí)，很可能會(huì)被分片處理，而分片往往造成丟包，對(duì)于視頻業(yè)務(wù)而言，丟包的直接后果就是視頻卡頓等異常情況。所以，對(duì)實(shí)時(shí)性有要求或?qū)?bào)文長(zhǎng)度有嚴(yán)格限制等條件的業(yè)務(wù)，建議優(yōu)先選用信道加密設(shè)備。

4.2 保障能力

無論設(shè)備首次開設(shè)，還是后期運(yùn)維保障，信道加密設(shè)備相對(duì)網(wǎng)絡(luò)加密設(shè)備更為簡(jiǎn)單，信道加密設(shè)備初始化開通后串入鏈路即可使用。

網(wǎng)絡(luò)加密設(shè)備開設(shè)除了需要線纜連接，還要根據(jù)設(shè)備部署關(guān)系、網(wǎng)絡(luò)環(huán)境以及保護(hù)范圍進(jìn)行部署規(guī)劃和策略配置，設(shè)備中間有安全防護(hù)設(shè)備（如防火墻）需要調(diào)整其策略以放行加密報(bào)文，后期設(shè)備對(duì)通關(guān)系改變、保護(hù)對(duì)象調(diào)整、新增設(shè)備等因素都涉及策略調(diào)整和故障排查，網(wǎng)絡(luò)加密設(shè)備全壽命周期運(yùn)維保障對(duì)保障人員專業(yè)水平、保障水平要求較高，因此，在保障人力和保障水平有限的情況下，優(yōu)先考慮信道加密設(shè)備。兩型設(shè)備保障要素如圖7所示。

圖7 兩型設(shè)備保障要素對(duì)比

4.3 網(wǎng)絡(luò)情況

第一，根據(jù)設(shè)備部署的網(wǎng)絡(luò)規(guī)模情況。考慮設(shè)備部署數(shù)量問題、可維護(hù)性以及加密防護(hù)粒度選擇等方面因素，小規(guī)模網(wǎng)絡(luò)優(yōu)先考慮信道加密設(shè)備，大規(guī)模網(wǎng)絡(luò)優(yōu)先考慮網(wǎng)絡(luò)加密設(shè)備。

第二，根據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)是否可控的情況。考慮網(wǎng)絡(luò)中間節(jié)點(diǎn)三層網(wǎng)絡(luò)設(shè)備（如路由器或三層交換機(jī)）是否安全可控， 是否存在明文數(shù)據(jù)被竊聽、竊取、篡改等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，若網(wǎng)絡(luò)中間節(jié)點(diǎn)不可控，就必須選擇網(wǎng)絡(luò)加密設(shè)備，因?yàn)榻?jīng)過網(wǎng)絡(luò)加密設(shè)備加密后的數(shù)據(jù)在網(wǎng)絡(luò)中間節(jié)點(diǎn)依然是密文狀態(tài)，而經(jīng)過信道加密設(shè)備加密后的數(shù)據(jù)在網(wǎng)絡(luò)中間節(jié)點(diǎn)前已解密，在網(wǎng)絡(luò)節(jié)點(diǎn)中是明文狀態(tài)。

第三，根據(jù)信道類型情況。一些信息網(wǎng)絡(luò)系統(tǒng)中包含多類型信道，若分別匹配不同類型信道則要采購不同類型的信道加密設(shè)備，對(duì)于已經(jīng)IP化的信息網(wǎng)絡(luò)，優(yōu)先考慮網(wǎng)絡(luò)加密設(shè)備，因?yàn)榫W(wǎng)絡(luò)加密設(shè)備無須考慮底層傳輸協(xié)議，對(duì)于多類型信道具有很強(qiáng)的適應(yīng)性。

第四，根據(jù)信道匹配情況。信道速率不是常規(guī)標(biāo)準(zhǔn)，比如信道速率為100 Mb/s，其沒有相匹配或難以采購相應(yīng)速率的信道加密設(shè)備，要優(yōu)先考慮通過網(wǎng)絡(luò)加密設(shè)備對(duì)IP化的數(shù)據(jù)進(jìn)行加密。

4.4 經(jīng)費(fèi)預(yù)算

信道加密設(shè)備是點(diǎn)對(duì)點(diǎn)部署，即每個(gè)通信對(duì)象都需要成對(duì)的設(shè)備相互匹配。在中心節(jié)點(diǎn)用戶和N個(gè)支節(jié)點(diǎn)單位加密互通時(shí)，需要部署N臺(tái)信道加密設(shè)備，就需要N臺(tái)設(shè)備的采購預(yù)算，N數(shù)值越大，中心節(jié)點(diǎn)在經(jīng)費(fèi)支出方面的比重越大，這種情況也優(yōu)先考慮網(wǎng)絡(luò)加密設(shè)備，無論和多少個(gè)支節(jié)點(diǎn)單位加密互通，都只需考慮1臺(tái)設(shè)備預(yù)算。

另外，若通信鏈路中存在多個(gè)不可控的網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，優(yōu)先考慮網(wǎng)絡(luò)加密設(shè)備，因?yàn)樾诺兰用苤粚?duì)鏈路主干進(jìn)行加密，消息在網(wǎng)絡(luò)節(jié)點(diǎn)已是明文存在，如圖8所示。若使用信道加密設(shè)備，需要考慮每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)提供加密硬件和一個(gè)安全物理環(huán)境所需要的費(fèi)用，可能產(chǎn)生的費(fèi)用包括且不限于：（1）為保護(hù)物理節(jié)點(diǎn)物理安全的技術(shù)人員或雇員的開銷；（2）為確保安全策略和程序正確執(zhí)行進(jìn)行的運(yùn)維費(fèi)用；（3）為防止安全性被破壞帶來損失加固部署環(huán)境所產(chǎn)生的費(fèi)用。

圖8 信道加密設(shè)備保護(hù)段

4.5 其他方面

在保障能力方面，信道加密設(shè)備的開設(shè)和保障相對(duì)網(wǎng)絡(luò)加密設(shè)備更簡(jiǎn)單，日常運(yùn)維不需要保障人員過多介入?yún)⑴c，對(duì)于保障人力和能力相對(duì)欠缺的用戶單位，可以優(yōu)先考慮信道加密設(shè)備。

為了防止竊聽者對(duì)通信業(yè)務(wù)分析，信道加密設(shè)備對(duì)消息進(jìn)行全加密處理，包括路由信息及傳輸消息的源點(diǎn)和終點(diǎn)，由于填充技術(shù)的使用以及填充字符在不需要傳輸數(shù)據(jù)情況下就可以進(jìn)行加密，使消息的頻率和長(zhǎng)度特性得以掩蓋，從而防止對(duì)通信業(yè)務(wù)進(jìn)行分析。

5 設(shè)備組合運(yùn)用

該節(jié)對(duì)兩型設(shè)備組合使用場(chǎng)景進(jìn)行概括，并以案例方式講解信道加密設(shè)備和網(wǎng)絡(luò)加密設(shè)備組合使用，最后就兩型設(shè)備組合使用的保障注意事項(xiàng)進(jìn)行分析。

5.1 組合使用場(chǎng)景

由于兩型設(shè)備加密層級(jí)不一樣，在小規(guī)模信息網(wǎng)絡(luò)系統(tǒng)中，兩型設(shè)備組合使用比較少見，但在高級(jí)別防護(hù)大規(guī)模的信息系統(tǒng)中，兩型設(shè)備組合使用比較常見，甚至和終端類、應(yīng)用類加密設(shè)備組合使用，對(duì)敏感數(shù)據(jù)進(jìn)行多層次、全程化的加密防護(hù)。對(duì)于信道加密設(shè)備和網(wǎng)絡(luò)加密設(shè)備組合使用場(chǎng)景，設(shè)計(jì)需求通常有以下兩種情況。

一是網(wǎng)絡(luò)設(shè)備加密后無法掩蓋源地址和目的地址，為避免搭線攻擊，在容易受到搭線竊聽的主干線路加上信道加密設(shè)備，通過鏈路層全加密避免攻擊者對(duì)通信業(yè)務(wù)數(shù)據(jù)的IP報(bào)頭進(jìn)行分析。

二是防護(hù)級(jí)別需要，在骨干線路部署信道加密設(shè)備對(duì)信息流進(jìn)行無差別加密，通過網(wǎng)絡(luò)加密設(shè)備對(duì)局域網(wǎng)或終端進(jìn)行選擇性加密，兩型設(shè)備組合使用提升信息系統(tǒng)安全防護(hù)強(qiáng)度。

在部署階段，兩型設(shè)備組合使用無須考慮設(shè)備混合使用帶來的限定條件，各型設(shè)備只需按照正常步驟開通即可。在運(yùn)維保障階段，兩型設(shè)備組合使用要考慮混合使用時(shí)因故障排查定位帶來的不便。

5.2 組合使用案例

某信息系統(tǒng)由3個(gè)不同地方的局域網(wǎng)組成，在局域網(wǎng)出口的匯聚交換機(jī)和路由器之間部署網(wǎng)絡(luò)加密設(shè)備，路由器和路由器之間的鏈路部署信道加密設(shè)備（信道加密設(shè)備之間不能有三層網(wǎng)絡(luò)設(shè)備），信道加密區(qū)域?yàn)槎渭用軈^(qū)域，該信息系統(tǒng)網(wǎng)絡(luò)拓?fù)淙鐖D9所示。

圖9 設(shè)備部署網(wǎng)絡(luò)拓?fù)?/p>

信道加密設(shè)備對(duì)信息系統(tǒng)所承載的業(yè)務(wù)和組網(wǎng)方式無關(guān)，可實(shí)現(xiàn)對(duì)信息的線性處理；網(wǎng)絡(luò)加密設(shè)備部署需考慮承載業(yè)務(wù)、組網(wǎng)方式以及部署位置，比如視頻業(yè)務(wù)就需要更改終端設(shè)備的MTU值，使數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)加密設(shè)備進(jìn)行加密處理后依然小于網(wǎng)絡(luò)節(jié)點(diǎn)的MTU，避免數(shù)據(jù)包被分片處理。同時(shí)，網(wǎng)絡(luò)加密設(shè)備內(nèi)網(wǎng)側(cè)一般為二層交換機(jī)，若為三層交換機(jī)或路由器，則需要將該地址透?jìng)?、路由協(xié)議透?jìng)鳎谷龑泳W(wǎng)絡(luò)設(shè)備之間路由信息可以正常交互。

5.3 保障注意事項(xiàng)

兩型設(shè)備組合使用的保障運(yùn)維，從實(shí)際運(yùn)用總結(jié)經(jīng)驗(yàn)來看，主要集中在兩型設(shè)備的故障源判斷，當(dāng)面臨業(yè)務(wù)異常時(shí)，通常做法是先將其中一型設(shè)備下線，觀察業(yè)務(wù)狀態(tài)，若業(yè)務(wù)依然異常，再將另外一型設(shè)備下線，觀察業(yè)務(wù)狀態(tài)，以判斷是設(shè)備問題還是網(wǎng)絡(luò)自身問題所致。

6 設(shè)備的保障運(yùn)維

在加密設(shè)備部署開通后，就涉及加密設(shè)備的使用和保障，為確保設(shè)備加密時(shí)能正常穩(wěn)定進(jìn)行、設(shè)備故障能夠迅速反映恢復(fù)、設(shè)備長(zhǎng)期可用能用，此節(jié)從幾個(gè)重要維度講解兩型設(shè)備的運(yùn)維保障管理。

6.1 備份措施

系統(tǒng)備份是防止由硬件損壞、黑客攻擊、系統(tǒng)崩潰等原因?qū)е略O(shè)備不可用的有效防范措施，兩型加密設(shè)備都是串聯(lián)在鏈路中，設(shè)備故障影響網(wǎng)絡(luò)通斷及用戶業(yè)務(wù)。在可靠性與穩(wěn)定性要求較高的信息系統(tǒng)中，要考慮設(shè)備備份問題，以便設(shè)備故障后可以通過故障定位進(jìn)行設(shè)備及時(shí)替換。兩型設(shè)備備份與恢復(fù)有所不同，對(duì)于信道加密設(shè)備，進(jìn)行相同初始化操作，備件與主機(jī)替換即可上線運(yùn)行，對(duì)于網(wǎng)絡(luò)加密設(shè)備，除了要進(jìn)行相同初始化操作，還需要配置相應(yīng)策略（該類加密設(shè)備一般都支持策略導(dǎo)入導(dǎo)出，可將主機(jī)策略導(dǎo)出，備件將策略導(dǎo)入即可），備件與主機(jī)替換才能正常運(yùn)行。有些網(wǎng)絡(luò)加密設(shè)備支持熱備，兩臺(tái)設(shè)備通過網(wǎng)線連接熱備口，當(dāng)備機(jī)檢測(cè)到主機(jī)故障時(shí)，即可切換到主機(jī)模式，3臺(tái)及以上網(wǎng)絡(luò)加密設(shè)備則需要二層交換機(jī)（或集線器）進(jìn)行連接熱備，通過群組方式并入線路中，如圖10所示。

圖10 網(wǎng)絡(luò)加密設(shè)備群組熱備

6.2 故障排查

加密設(shè)備部署前都需要確保原信息網(wǎng)絡(luò)鏈路和業(yè)務(wù)正常，在架設(shè)加密設(shè)備之后出現(xiàn)業(yè)務(wù)異常，可分以下兩種情況。

首次部署時(shí)業(yè)務(wù)異常：對(duì)于信道加密設(shè)備，常見故障原因有兩端設(shè)備初始化不同步、連線或接口異常、設(shè)備故障（比如無法同步）等；對(duì)于網(wǎng)絡(luò)加密設(shè)備，常見故障原因有初始化不同步、連線或接口異常、設(shè)備故障、策略問題、安全防護(hù)設(shè)備（如防火墻）未放開ESP協(xié)議等，策略問題又細(xì)分為本端或遠(yuǎn)端地址范圍不正確、策略之間地址有重疊、內(nèi)網(wǎng)的路由器（或三層交換機(jī)）未透?jìng)鳌⒉徽_的明密選擇等。

在使用過程中業(yè)務(wù)異常：對(duì)于信道加密設(shè)備，可能是通信線路異常（可以兩邊同時(shí)跳開設(shè)備進(jìn)行驗(yàn)證）、設(shè)備異常等原因；對(duì)于網(wǎng)絡(luò) 加密設(shè)備，可能是通信線路異常、設(shè)備異常、網(wǎng)絡(luò)環(huán)境變化、新增通信對(duì)象導(dǎo)致策略地址范圍沖突等原因。

對(duì)于網(wǎng)絡(luò)加密設(shè)備，除了常規(guī)故障排查手段，還可以通過獲取加密流量包的方式進(jìn)行分析定位，除通信兩端同時(shí)跳開加密設(shè)備看業(yè)務(wù)是否正常，兩端設(shè)備同時(shí)開啟全明策略業(yè)務(wù)是否正常以及核對(duì)兩端加密設(shè)備策略等常規(guī)故障排查方式外，還可以通過抓包進(jìn)行排查定位，在網(wǎng)絡(luò)加密設(shè)備外網(wǎng)口串接鏡像交換機(jī)進(jìn)行抓包，通過協(xié)議關(guān)鍵字“ESP”查看是否有加密數(shù)據(jù)包發(fā)出去或者到達(dá)加密設(shè)備接口，判斷加解密機(jī)制是否啟用，或者是否被網(wǎng)絡(luò)中間設(shè)備分片重組，簡(jiǎn)單網(wǎng)絡(luò)拓?fù)鋱D如圖11所示。

圖11 抓包分析

6.3 運(yùn)維管理

確保設(shè)備可用、能用，對(duì)部署設(shè)備的信息系統(tǒng)提供長(zhǎng)期有效防護(hù)，除了防范設(shè)備、數(shù)據(jù)失泄密風(fēng)險(xiǎn)，還需要具備有效的運(yùn)維管理措施，例如設(shè)備的定期巡檢、故障響應(yīng)與閉環(huán)、設(shè)備維護(hù)人員的賦能培訓(xùn)、設(shè)備配置權(quán)限限定以及部署環(huán)境設(shè)施的安全管理要求等方面。

7 結(jié) 語

文章側(cè)重從特點(diǎn)和差異性角度對(duì)兩型設(shè)備進(jìn)行對(duì)比分析，從運(yùn)維保障管理角度對(duì)設(shè)備適用環(huán)境、設(shè)備選型和運(yùn)維保障注意事項(xiàng)進(jìn)行了探討，以解決用戶單位在型號(hào)選擇、保障維護(hù)所面臨的困境，提升用戶單位對(duì)兩型加密設(shè)備原理、功能、使用和維護(hù)保障能力。