1.引言

　　隨著因特網(wǎng)技術(shù)應(yīng)用的普及，以及政府。企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長，VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時，我國現(xiàn)行的“計算機安全等級保護”也為企業(yè)在建設(shè)信息系統(tǒng)時提供了安全整體設(shè)計思路和標準。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品，為企業(yè)提供符合安全等級保護要求。性價比高的網(wǎng)絡(luò)安全總體解決方案，是當前企業(yè)信息系統(tǒng)設(shè)計中面臨的挑戰(zhàn)。

　　2.信息安全管理體系發(fā)展軌跡

　　對于信息安全管理問題，在上世紀90年代初引起世界主要發(fā)達國家的注意，并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準，是一個全面信息安全管理體系評估的基礎(chǔ)和正式認證方案的根據(jù)。國際標準化組織（ISO）聯(lián)合國際電工委員會（IEC）分別于2000年和2005年將BS7799標準轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國國家標準化管理委員會（SAC）于1999年發(fā)布了GB/T 17859《計算機信息系統(tǒng)安全保護等級劃分準則》標準，把信息安全管理劃分為五個等級，分別針對不同組織性質(zhì)和對社會。國家危害程度大小進行了不同等級的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC27001相對應(yīng)的GBT 22081-2008《信息安全管理體系 實用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

　　3.信息系統(tǒng)安全的等級

　　為加快推進信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全。社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)， 國家公安部。保密局。密碼管理局和國務(wù)院信息化工作辦公室等，于2007年聯(lián)合發(fā)布了《信息安全等級保護管理辦法》，就全國機構(gòu)/企業(yè)的信息安全保護問題，進行了行政法規(guī)方面的規(guī)范，并組織和開展對全國重要信息系統(tǒng)安全等級保護定級工作。同時，制訂了《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準則》和《信息系統(tǒng)安全等級保護定級指南》等相應(yīng)技術(shù)規(guī)范（國家標準審批稿），來指導(dǎo)國內(nèi)機構(gòu)/企業(yè)進行信息安全保護。

　　在《信息系統(tǒng)安全等級保護基本要求》中，要求從網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運維管理、安全管理機構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整。保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對信息流進行不同等級的劃分，從而達到有效保護的目的。信息系統(tǒng)的安全保護等級分為五級：第一級為自主保護級，第二級指導(dǎo)保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為?？乇Ｗo級。

　　針對政府、企業(yè)常用的三級安全保護設(shè)計中，主要是以三級安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級安全的信息安全機制和服務(wù)支持下，實現(xiàn)三級安全計算環(huán)境、三級安全通信網(wǎng)絡(luò)、三級安全區(qū)域邊界防護和三級安全管理中心的設(shè)計。

　　4.VPN技術(shù)及其發(fā)展趨勢

　　VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的。安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶。公司分支機構(gòu)。商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

　　VPN使用三個方面的技術(shù)保證了通信的安全性：隧道協(xié)議。身份驗證和數(shù)據(jù)加密。

　　VPN通道的加密方式成為主要的技術(shù)要求，目前VPN技術(shù)主要包括IPSec VPN，非IPSecVPN（如PPTP，L2TP等），基于WEB的SSLVPN等。

　　IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認證完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性、通過采用加密封裝技術(shù)，對所有網(wǎng)絡(luò)層上的數(shù)據(jù)進行加密透明保護。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

　　SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備，無需安裝客戶端軟件，授權(quán)用戶能夠從任何標準的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。

　　SSL VPN產(chǎn)品最適合于遠程單機用戶與中心之間的虛擬網(wǎng)構(gòu)建。

　　整個VPN通信過程可以簡化為以下4個步驟：

　　（1）客戶機向VPN服務(wù)器發(fā)出連接請求。

　?。?）VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份認證的請求，客戶機與VPN服務(wù)器通過信息的交換確認對方的身份，這種身份確認是雙向的。

　?。?）VPN服務(wù)器與客戶機在確認身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù)，形成安全隧道。

　?。?）最后VPN服務(wù)器將在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密，然后通過VPN隧道技術(shù)進行封裝。加密。傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

　　目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES。RSA加解密算法，不符合國家密碼產(chǎn)品管理和應(yīng)用的要求?！渡逃妹艽a管理條例》（中華人民共和國國務(wù)院第273號令，1999年10月7日發(fā)布）第四章第十四條規(guī)定：任何單位或者個人只能使用經(jīng)國家密碼管理機構(gòu)認可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》，明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

　　5.VPN技術(shù)在等級保護中的應(yīng)用

　　在三級防護四大方面的設(shè)計要求中，VPN技術(shù)可以說是在四大方面的設(shè)計要求中都有廣泛的應(yīng)用：

　　在安全計算環(huán)境的設(shè)計要求中：首先在實現(xiàn)身份鑒別方面，在用戶訪問的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng)，當身份得到鑒別通過時才可訪問應(yīng)用系統(tǒng);其次在數(shù)據(jù)的完整性保護和保密性保護上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

　　在安全區(qū)域邊界的設(shè)計要求中：網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實現(xiàn)，在保證傳輸安全性的同時提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

　　在安全通信網(wǎng)絡(luò)的設(shè)計要求中：網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密。身份鑒別及訪問控制等安全機制。在客戶端和應(yīng)用服務(wù)器進出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān)，通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進出的數(shù)據(jù)提供加密傳輸，實現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

　　在安全管理中心的設(shè)計要求中：系統(tǒng)管理中，VPN技術(shù)在主機資源和用戶管理能夠?qū)崿F(xiàn)很好的保護，對用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進程服務(wù)等方面進行監(jiān)視機制，確保重要信息安全可控，滿足對主機的安全監(jiān)管需要。

　　6.結(jié)束語

　　VPN技術(shù)不僅會大大節(jié)省企業(yè)網(wǎng)的建設(shè)和運行維護費用，而且增強了網(wǎng)絡(luò)的可靠性和安全性，滿足信息系統(tǒng)安全等級保護要求，VPN技術(shù)和產(chǎn)品對推動信息系統(tǒng)安全等級保護建設(shè)將起到不可低估的作用。