网络强国梦，创想告诉您如何应对漏洞百出的SSL协议？

　  互联网迅猛发展，给我们提供丰富信息资源。带来便利的同时，也潜藏着安全方面的隐患。凡事必有对策，加密技术由此诞生，用以保障网络信息的安全性。SSL(Secure Sockets Layer安全套接层)协议，便是广泛应用于交易安全保障的一种主导技术。

　　SSL 协议保证客户端与服务器之间通讯数据的私密性与完整性。它主要应用于网银、电商业务的支付交易环节,企业核心应用系统的用户认证过程,移动办公的安全接入等场景,确保用户名 / 密码、网上交易信息的安全性,防止被窃取、盗用。由于 SSL 运算对服务器的性能消耗过大,通常会在服务器前端部署专用的安全网关设备或负载均衡设备,通过 SSL 卸载功能进行 SSL 事务的加解密处理,减轻服务器的性能消耗,让服务器有更多的资源处理应用。 

　　在 SSL 握手、通讯内容加密、内容校验等过程中,分别会使用 RSA、AES、MD5 等标准 SSL 算法进行加密运算。由于这些算法都属于业内普遍使用多年的公开算法, 其可靠程度早已不复当年。有些算法早已被人攻破,但却出于某种目的秘而不宣。如果算法的安全性已无法保障,那么基于这些算法的 SSL 协议也就不再牢不可破了。

应对策略 

　　出于国家层面的安全因素考虑,国密办(国家商用密码管理办公室)制 定出一套 SM 系列算法,用于替换已有或将有安全隐患的公开 SSL 算法。

　　当前, 在需要兼顾服务器性能与业务安全性的场景下,用户可选择部署深信服应用综合安全网关来执行 SSL 卸载工作(见下图),通过使用国密办 SM 系列算 法进行 SSL 加密和认证,即可确保基于 SSL 协议的业务通讯依旧安全可靠。

　　采用支持国密算法的安全设备来实现 SSL 卸载,可以有效规避公共算法的漏洞隐患,保障敏感单位的核心系统的通讯安全性。目前在金融行业已经开始推行相关的政策,要求银行等金融机关的通讯加密设备(主要涉及各种VPN、安全网关等)具备对国密算法的支持能力(或者可通过升级支持)。 预计在将来,越来越多的重要单位和行业,都会出台相关的合规性要求,以加固自身的业务安全性。

　　据悉，中国工商银行就采用了深信服安全网关产品，来做SSL事务卸载工作。