胡婧

北京交通大學(xué) 北京 100044

0 引言

隨著網(wǎng)絡(luò)技術(shù)在企業(yè)管理中的不斷普及，信息化的應(yīng)用層次不斷深入，各種局域網(wǎng)及其應(yīng)用系統(tǒng)已經(jīng)得到廣泛應(yīng)用，應(yīng)用領(lǐng)域也從傳統(tǒng)的個(gè)別部門(mén)的簡(jiǎn)單業(yè)務(wù)，逐漸向涵蓋企業(yè)關(guān)鍵業(yè)務(wù)的整體網(wǎng)絡(luò)系統(tǒng)擴(kuò)展。尤其是以 Internet為代表的全球性的信息共享，為企業(yè)利用網(wǎng)絡(luò)進(jìn)行信息交換和管理提供了有利的條件。例如一般企業(yè)的內(nèi)部管理系統(tǒng)，銀行的金融業(yè)務(wù)系統(tǒng)，證券公司的證券交易系統(tǒng)，甚至黨政機(jī)關(guān)的信息系統(tǒng)等，越來(lái)越多的企業(yè)建立了自己的內(nèi)部網(wǎng)絡(luò)，并與 Internet相連。因此，如何在充分利用企業(yè)的現(xiàn)有資源，不需要高額投資的基礎(chǔ)上，建立高效，安全，易維護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)，已經(jīng)成為影響企業(yè)未來(lái)發(fā)展的一個(gè)重要課題。然而，傳統(tǒng)的企業(yè)內(nèi)部網(wǎng)絡(luò)配置中，仍然存在一些需要解決的問(wèn)題。

1 傳統(tǒng)企業(yè)網(wǎng)絡(luò)介紹

傳統(tǒng)企業(yè)網(wǎng)絡(luò)的接入方式十分昂貴。在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，要使各部門(mén)局域網(wǎng)之間進(jìn)行遠(yuǎn)程訪問(wèn)，通常采用的一種方法是DDN(數(shù)字?jǐn)?shù)據(jù)網(wǎng))專(zhuān)線，它由數(shù)字傳輸電路和相應(yīng)的數(shù)字交叉復(fù)用設(shè)備組成，其中，數(shù)字傳輸主要以光纜傳輸電路為主，數(shù)字交叉連接復(fù)用設(shè)備對(duì)數(shù)字電路進(jìn)行半固定交叉連接和子速率的復(fù)用。DDN作為計(jì)算機(jī)數(shù)據(jù)通信聯(lián)網(wǎng)傳輸?shù)幕A(chǔ)，提供點(diǎn)對(duì)點(diǎn)、一點(diǎn)對(duì)多點(diǎn)的大容量信息傳送通道，如利用全國(guó)DDN網(wǎng)組成的海關(guān)、外貿(mào)系統(tǒng)網(wǎng)絡(luò)。各省的海關(guān)、外貿(mào)中心首先通過(guò)省級(jí)DDN網(wǎng)長(zhǎng)途中繼，到達(dá)國(guó)家DDN網(wǎng)骨干核心節(jié)點(diǎn)，然后由國(guó)家網(wǎng)管中心按照各地所需通達(dá)的目的地分配路由，建立一個(gè)靈活的全國(guó)性海關(guān)外貿(mào)數(shù)據(jù)信息傳輸網(wǎng)絡(luò)，并且可通過(guò)國(guó)際出口局與海外公司互通信息，足不出戶就可進(jìn)行外貿(mào)交易。但是在整體網(wǎng)絡(luò)的資源利用率上，DDN獨(dú)享資源，信道專(zhuān)用將會(huì)造成一部分網(wǎng)絡(luò)資源的浪費(fèi)，而且用戶需要租用一條專(zhuān)用通信線路，因此通訊及維護(hù)費(fèi)用非常昂貴。

傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全性存在問(wèn)題。計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引伸，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。企業(yè)網(wǎng)絡(luò)安全是企業(yè)內(nèi)部網(wǎng)絡(luò)賴(lài)以生存的保障，只有網(wǎng)絡(luò)安全得到保障，企業(yè)網(wǎng)絡(luò)才能更好地實(shí)現(xiàn)自身的價(jià)值。

影響企業(yè)網(wǎng)絡(luò)安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，主要包括以下幾個(gè)方面：①病毒的感染。如蠕蟲(chóng)病毒，木馬程序等，計(jì)算機(jī)病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅。病毒依靠網(wǎng)絡(luò)迅速傳播，它很容易的通過(guò)代理服務(wù)器以軟件下載，郵件接收等方式進(jìn)入企業(yè)網(wǎng)絡(luò)，竊取企業(yè)機(jī)密文件等，從而給企業(yè)造成很大的損失。②來(lái)自外部網(wǎng)絡(luò)的攻擊。外部網(wǎng)絡(luò)入侵者偽裝為合法用戶，惡意修改網(wǎng)絡(luò)數(shù)據(jù)，竊取或破壞企業(yè)機(jī)密信息等。③來(lái)自企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊。在企業(yè)局域網(wǎng)內(nèi)部，如非法盜用別人的用戶口令，以合法身份盜用機(jī)密信息，破壞信息內(nèi)容等。實(shí)際上，企業(yè)網(wǎng)絡(luò)的安全性并不是十分樂(lè)觀，目前歐州各國(guó)的小型企業(yè)每年因計(jì)算機(jī)病毒導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億歐元，而這些病毒主要是通過(guò)電子郵件進(jìn)行傳播的。而包括從身份盜用到網(wǎng)絡(luò)間諜在內(nèi)的其他網(wǎng)絡(luò)安全問(wèn)題造成的損失則很難量化，網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的損失由此可見(jiàn)一斑。

2 虛擬網(wǎng)絡(luò)技術(shù)介紹

為了解決企業(yè)內(nèi)部網(wǎng)絡(luò)存在的以上問(wèn)題，可以采用更為先進(jìn)的虛擬專(zhuān)用網(wǎng)絡(luò)(Virtual Private Network, VPN)技術(shù)。它是一種利用 Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，為用戶提供具有安全性和可靠性的專(zhuān)用網(wǎng)絡(luò)的技術(shù)。顧名思義，它并不是像前面提到的數(shù)字?jǐn)?shù)據(jù)網(wǎng)(DDN)那樣的真正的專(zhuān)用網(wǎng)絡(luò)，但是卻能夠?qū)崿F(xiàn)專(zhuān)用網(wǎng)絡(luò)的功能。所謂虛擬，是指在虛擬專(zhuān)用網(wǎng)中，不再需要在兩個(gè)節(jié)點(diǎn)之間建立傳統(tǒng)的端到端的物理鏈路，而是利用公共網(wǎng)的資源動(dòng)態(tài)組成的。所謂專(zhuān)用網(wǎng)絡(luò)，是指用戶可以根據(jù)自己的需求，建立一個(gè)“量身定做”的專(zhuān)用網(wǎng)絡(luò)。由于 VPN是在公共網(wǎng)絡(luò)上臨時(shí)建立的專(zhuān)用虛擬網(wǎng)絡(luò)，企業(yè)用戶就省去了租用專(zhuān)線的費(fèi)用，而所需的資金支出，僅僅是需要購(gòu)買(mǎi)一套 VPN設(shè)備，以及向企業(yè)所在地的網(wǎng)絡(luò)服務(wù)提供商(ISP)支付一定的上網(wǎng)費(fèi)用。相比DDN專(zhuān)線而言，采用VPN技術(shù)的運(yùn)營(yíng)成本大大降低。

在確保網(wǎng)絡(luò)安全性方面，VPN主要采用隧道技術(shù)，加解密技術(shù)，密鑰管理技術(shù)以及使用者與設(shè)備身份認(rèn)證技術(shù)。實(shí)現(xiàn) VPN的最關(guān)鍵部分是在公共網(wǎng)絡(luò)上建立虛信道，而建立虛信道就是利用隧道技術(shù)實(shí)現(xiàn)的，隧道是利用一種協(xié)議傳輸另一種協(xié)議的技術(shù)，即用隧道協(xié)議來(lái)實(shí)現(xiàn) VPN功能。為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器必須使用同樣的隧道協(xié)議。常用的VPN隧道協(xié)議主要包括第二層隧道協(xié)議--L2TP，第三層隧道協(xié)議--IPSec以及安全套接層協(xié)議--SSL。

一種方案是采用L2TP協(xié)議，它主要由L2TP訪問(wèn)集中器(L2TP Access Concentrator, LAC)和L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server, LNS)構(gòu)成，企業(yè)用戶通過(guò)公用電話網(wǎng)或ISDN撥號(hào)呼叫本地接入服務(wù)器LAC；LAC接受呼叫并進(jìn)行基本的識(shí)別過(guò)程，這一過(guò)程可以采用幾種標(biāo)準(zhǔn)，如域名、呼叫線路識(shí)別(CLID)或撥號(hào) ID業(yè)務(wù)(DNIS)等，當(dāng)用戶被確認(rèn)為合法企業(yè)用戶時(shí)，就建立一個(gè)通向LNS的撥號(hào)VPN隧道，LAC將用戶的PPP幀封裝后通過(guò)隧道傳送到LNS，后者去掉封裝包頭，取出PPP幀，再去掉PPP幀頭，最后獲得網(wǎng)絡(luò)層數(shù)據(jù)包。L2TP的優(yōu)點(diǎn)在于通過(guò)使用Nr(下一個(gè)希望接受的信息序列號(hào))和Ns(當(dāng)前發(fā)送的數(shù)據(jù)包序列號(hào))字段進(jìn)行流量和差錯(cuò)控制。雙方通過(guò)序列號(hào)來(lái)確定數(shù)據(jù)包的順序和緩沖區(qū)，一旦丟失數(shù)據(jù)，根據(jù)序列號(hào)可以進(jìn)行重發(fā)。作為PPP的擴(kuò)展協(xié)議，L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身份認(rèn)證。L2TP定義了控制包的加密傳輸，每個(gè)被建立的隧道分別生成一個(gè)獨(dú)一無(wú)二的隨機(jī)密鑰，以便對(duì)付欺騙性的攻擊。但是由于它對(duì)傳輸中的數(shù)據(jù)并不進(jìn)行加密，所以更加安全的一種做法是與IPSce協(xié)議相結(jié)合使用。IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議認(rèn)證頭(Authentication Header, AH)、封裝安全載荷(Encapsulating Security Payload, ESP)、因特網(wǎng)密鑰交換(Internet Key Exchange, IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。認(rèn)證機(jī)制使 IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否遭篡改。加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算來(lái)保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)。IPsec協(xié)議中的AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證；ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)可靠性保證，IKE協(xié)議通過(guò)一系列數(shù)據(jù)的交換，最終計(jì)算出雙方共享的密鑰。

對(duì)于一般企業(yè)來(lái)說(shuō)，以上兩種協(xié)議相結(jié)合的虛擬網(wǎng)絡(luò)配置方案，已經(jīng)提供了足夠的網(wǎng)絡(luò)訪問(wèn)安全性，可以保證在公網(wǎng)中建立的虛信道不被非法用戶篡改。但是，如果需要訪問(wèn)內(nèi)部網(wǎng)絡(luò)人員的身份多種多樣，比如可能有自己企業(yè)的員工、控股公司的工作人員、供貨商、分銷(xiāo)商、商業(yè)合作伙伴等，那么除了保證網(wǎng)絡(luò)訪問(wèn)的安全性以外，還要具備根據(jù)不同用戶的不同身份，給予不同的訪問(wèn)權(quán)限，以達(dá)到保護(hù)敏感數(shù)據(jù)安全性的目的。這時(shí)涉及到另一種方案，采用安全套接層協(xié)議(SSL)的VPN網(wǎng)絡(luò)。在安全性方面，SSL安全通道是在客戶與所訪問(wèn)的網(wǎng)絡(luò)資源之間建立的，無(wú)論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的，客戶對(duì)資源的每一次操作都需要經(jīng)過(guò)安全的身份驗(yàn)證和加密，這樣可以確保點(diǎn)到點(diǎn)的真正安全。不同身份的用戶雖然都可以通過(guò)SSL安全同道進(jìn)入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問(wèn)的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上，不僅可以控制訪問(wèn)人員的權(quán)限，還可以對(duì)訪問(wèn)人員的每個(gè)訪問(wèn)，做的每筆交易、每個(gè)操作進(jìn)行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴(lài)性和不可否認(rèn)性，為事后追蹤提供了依據(jù)。

3 結(jié)論

通過(guò)上面提到的幾種方案，可以說(shuō)明 VPN技術(shù)已經(jīng)能夠提供足夠的網(wǎng)絡(luò)安全保障，可以保證用戶數(shù)據(jù)不被非法訪問(wèn)與修改，所以用戶不必?fù)?dān)心企業(yè)內(nèi)部的數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩?。另外，隨著ADSL、DWDM等技術(shù)的大規(guī)模應(yīng)用和推廣，互聯(lián)網(wǎng)帶寬的不斷增加，企業(yè)用戶不再需要花費(fèi)大量的經(jīng)費(fèi)去投資自己的專(zhuān)用網(wǎng)絡(luò)，甚至花費(fèi)巨額的長(zhǎng)途話費(fèi)進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)接入。企業(yè)用戶可以根據(jù)自身需求，選擇適合自己的虛擬網(wǎng)絡(luò)應(yīng)用，這樣不僅會(huì)大大節(jié)省廣域網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用，而且增強(qiáng)了網(wǎng)絡(luò)的可靠性和安全性。從企業(yè)自身的發(fā)展來(lái)看，VPN會(huì)加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國(guó)各地分公司的局域網(wǎng)連起來(lái)，從而真正發(fā)揮整個(gè)網(wǎng)絡(luò)的作用。在不遠(yuǎn)的將來(lái)，VPN技術(shù)必將成為企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的最佳解決方案之一。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第 4版)[M].北京:電子工業(yè)出版社.2003.

[2]王晶晶.基于IPSec協(xié)議的VPN技術(shù)探索與研究[J].電腦知識(shí)與技術(shù).2008.

[3]羅愛(ài)玲,馬范援.虛擬專(zhuān)網(wǎng)安全性的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程.2004.

[4]張建軍,田偉.VPN 在企業(yè)信息網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2006.