孫學(xué)勝

（甘肅省武威市涼州區(qū)職業(yè)中等專業(yè)學(xué)校 甘肅 武威 733000）

0 引言

在社會(huì)不斷進(jìn)步的過程中，計(jì)算機(jī)技術(shù)與信息技術(shù)已成為推動(dòng)社會(huì)發(fā)展的主要力量。 然而，在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)日漸成熟的過程中，網(wǎng)絡(luò)系統(tǒng)中仍存在著許多安全隱患。信息安全隱患的存在，會(huì)制約計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用［1］。 為了進(jìn)一步促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展，保障網(wǎng)絡(luò)信息安全，對(duì)有效的計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理方式的探索逐漸深入。 虛擬專用網(wǎng)絡(luò)（virtual private network， VPN）技術(shù)的應(yīng)用，為計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理提供了全新的解決方案。

1 VPN 技術(shù)概述

1.1 VPN 技術(shù)定義

VPN 是在利用互聯(lián)網(wǎng)隧道技術(shù)的基礎(chǔ)上，通過公共網(wǎng)絡(luò)資源建立的私人專用的網(wǎng)絡(luò)。 VPN 技術(shù)屬于保障網(wǎng)絡(luò)信息安全的重要措施，主要通過模擬算法為公用信息網(wǎng)絡(luò)的安全性提供保障，防止安全隱患給網(wǎng)絡(luò)信息造成的不良影響。 VPN 技術(shù)的不同節(jié)點(diǎn)主要通過端與端之間的物理連接實(shí)現(xiàn)交互，同時(shí)利用公用網(wǎng)絡(luò)為用戶提供網(wǎng)絡(luò)交互平臺(tái)，完成局域網(wǎng)模式邏輯連接結(jié)構(gòu)的搭建。 在構(gòu)建虛擬專用網(wǎng)絡(luò)的過程中，更好地發(fā)揮出計(jì)算機(jī)網(wǎng)絡(luò)的優(yōu)勢(shì)，并以技術(shù)優(yōu)勢(shì)為網(wǎng)絡(luò)中數(shù)據(jù)信息的傳輸提供安全保護(hù)。 為了對(duì)通信實(shí)現(xiàn)加密處理，通常在大型機(jī)構(gòu)中不同辦公區(qū)域子網(wǎng)連接中，都會(huì)選用VPN 技術(shù)。 例如，某企業(yè)總部的A網(wǎng)絡(luò)中安裝有企業(yè)資源計(jì)劃（enterprise resource planning，ERP）服務(wù)器，在此基礎(chǔ)上，企業(yè)總部的服務(wù)器可以通過內(nèi)網(wǎng)地址直接訪問。 然而，外地的分公司如果想訪問企業(yè)總部的網(wǎng)址，則需要借助虛擬專用網(wǎng)絡(luò)技術(shù)與A 網(wǎng)絡(luò)局域網(wǎng)建立連接，才能訪問企業(yè)總部的ERP 服務(wù)器。

1.2 VPN 技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中的優(yōu)勢(shì)

1.2.1 技術(shù)優(yōu)勢(shì)

VPN 技術(shù)是一種功能性網(wǎng)絡(luò)，它以物理網(wǎng)絡(luò)為基礎(chǔ)，其優(yōu)勢(shì)在于對(duì)硬件設(shè)施的要求不高，因此，無論在開發(fā)成本還是應(yīng)用成本方面都占有很大優(yōu)勢(shì)。 在VPN 技術(shù)支持下，信息傳輸過程中的相關(guān)內(nèi)容可以實(shí)現(xiàn)加密處理，從而提高保密性［2］。 VPN 技術(shù)的抗干擾能力也很強(qiáng)。 在網(wǎng)絡(luò)信息的傳輸過程中，它還可以有效避免因?yàn)殡姶鸥蓴_產(chǎn)生的信息丟失或信息失真的問題，從而提高信息傳輸?shù)目煽啃浴?VPN 技術(shù)通過將計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行單元?jiǎng)澐?，掌握主?dǎo)控制權(quán)，嚴(yán)格控制用戶權(quán)限，能避免外部非法訪問引起的安全隱患，大幅提高計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性。

1.2.2 應(yīng)用優(yōu)勢(shì)

從用戶的角度看，VPN 技術(shù)的應(yīng)用難度更低。 在該技術(shù)的支持下，實(shí)現(xiàn)了不同用戶之間的互聯(lián)互通。 互聯(lián)網(wǎng)技術(shù)將用戶的地域空間壁壘打破，而VPN 技術(shù)以局域網(wǎng)為基礎(chǔ)，為用戶的安全上網(wǎng)提供了有效的安全防護(hù)，通過構(gòu)建安全穩(wěn)定的通信網(wǎng)絡(luò)的方式，讓用戶的上網(wǎng)環(huán)境具有更高的安全性和可靠性。 使用上的靈活性也給用戶應(yīng)用VPN 技術(shù)提供了更廣闊的空間。 可以根據(jù)信息的價(jià)值或重要程度等靈活增加技術(shù)壁壘，例如隧道技術(shù)、加密技術(shù)等都是比較常用的技術(shù)。 這樣既能避免數(shù)據(jù)信息在傳輸過程中被第三方竊取或者發(fā)生泄露，也能降低用戶保障網(wǎng)絡(luò)信息安全的成本支出。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全管理中常用的VPN 技術(shù)

2.1 隧道技術(shù)

隧道技術(shù)根據(jù)傳輸?shù)臄?shù)據(jù)類型和配置條件的不同，可分為強(qiáng)制隧道和自愿隧道兩種。 通過互聯(lián)網(wǎng)，以隧道協(xié)議封裝數(shù)據(jù)包和數(shù)據(jù)幀，實(shí)現(xiàn)了信息的傳輸，且保障了信息的安全性。 強(qiáng)制隧道就是在VPN 技術(shù)撥號(hào)訪問服務(wù)器后才配置和創(chuàng)建的隧道。 在強(qiáng)制隧道模式下，位于客戶端和服務(wù)器之間的遠(yuǎn)程訪問服務(wù)器成為新的客戶端。 自愿隧道也比較常見，在收到客戶的VPN 技術(shù)請(qǐng)求后，網(wǎng)絡(luò)服務(wù)器自動(dòng)配置和創(chuàng)建形成一條隧道，該隧道需要使用一個(gè)IP 進(jìn)行連接，支持雙方的信息傳輸。

隧道技術(shù)中，隧道協(xié)議是在客戶端和服務(wù)器之間創(chuàng)建隧道的基礎(chǔ)。 目前較常用隧道技術(shù)執(zhí)行的隧道協(xié)議主要有多層協(xié)議和雙層協(xié)議。 雙層協(xié)議是將幀當(dāng)成信息交換載體，如1.2TP、點(diǎn)對(duì)點(diǎn)隧道協(xié)議（point-to-point tunneling protocol， PPTP）等都是常見的雙層協(xié)議，雙層協(xié)議就是在點(diǎn)對(duì)點(diǎn)的協(xié)議幀當(dāng)中將需要傳輸?shù)男畔⒎庋b起來，再利用互聯(lián)網(wǎng)進(jìn)行信息發(fā)送和傳輸。 多層協(xié)議將數(shù)據(jù)包作為信息交換的載體。 常見的多層協(xié)議有IP over IP、互聯(lián)網(wǎng)安全協(xié)議（internet protocol security， IPsec）等［3］。 多層協(xié)議的特點(diǎn)是時(shí)間IP 包封裝在附加的IP 包頭中，隨后利用IP網(wǎng)絡(luò)實(shí)現(xiàn)信息傳輸。 PPTP 協(xié)議屬于一種點(diǎn)對(duì)點(diǎn)隧道協(xié)議，其在數(shù)據(jù)加密、身份驗(yàn)證等方面有著廣泛應(yīng)用，能提升信息在公共網(wǎng)絡(luò)中傳輸?shù)陌踩浴?在PPTP 的支持下，構(gòu)建VPN 技術(shù)服務(wù)器，實(shí)現(xiàn)和遠(yuǎn)程計(jì)算機(jī)連接。 被傳輸?shù)男畔⒁庋b到數(shù)據(jù)包中，通過互聯(lián)網(wǎng)進(jìn)行傳輸。 當(dāng)其傳輸?shù)浇邮辗胶螅山邮辗竭€原數(shù)據(jù)包。 數(shù)據(jù)包經(jīng)過解密后就能得到原始信息，避免信息在傳輸過程中被第三方截取，即便數(shù)據(jù)包被截取也會(huì)無法正常解析，保證了數(shù)據(jù)包中信息的安全性。

2.2 加密技術(shù)

VPN 技術(shù)能支持用戶實(shí)時(shí)與虛擬網(wǎng)絡(luò)連接，還能支持?jǐn)?shù)據(jù)信息的傳輸，該技術(shù)又稱為虛擬網(wǎng)絡(luò)環(huán)境。 加密技術(shù)屬于VPN 技術(shù)應(yīng)用的關(guān)鍵技術(shù)，通過對(duì)數(shù)據(jù)信息進(jìn)行加密，能降低信息面臨的黑客攻擊的風(fēng)險(xiǎn)，使信息在傳輸過程中不易被盜取、篡改和泄露。

加密技術(shù)可以分為主動(dòng)加密和被動(dòng)加密。 主動(dòng)加密即利用專門的加密工具和軟件對(duì)需要傳輸?shù)男畔⑦M(jìn)行加密；被動(dòng)加密則是指計(jì)算機(jī)系統(tǒng)根據(jù)特定程序自動(dòng)加密信息，無須信息發(fā)布者進(jìn)行操作。 在計(jì)算機(jī)網(wǎng)絡(luò)信息傳輸過程中，使用了加密技術(shù)。 首先用戶需要用公鑰對(duì)要傳輸?shù)奈募畔⑦M(jìn)行加密，將普通文件轉(zhuǎn)換成密文。 如果文件在傳輸過程中被第三方竊取，打開文件后只能得到一串亂碼，無法通過文件獲取有價(jià)值信息。 而接收方收到加密的文件后，只需要使用匹配的密鑰對(duì)文件進(jìn)行解密，就可以讀取文件中的信息。 加密技術(shù)相當(dāng)于保護(hù)信息的隧道。當(dāng)用戶使用該隧道進(jìn)行數(shù)據(jù)傳輸時(shí)，外界對(duì)隧道內(nèi)部信息的攻擊就可被隧道阻擋，從而確保計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性。

2.3 IPsec 協(xié)議

IPsec 協(xié)議是一種適用于IPv6 和IPv4 的協(xié)議，能在數(shù)據(jù)傳輸、讀取與存儲(chǔ)等環(huán)節(jié)提高數(shù)據(jù)的機(jī)密性。 IPsec 協(xié)議的應(yīng)用原理類似于包過濾防火墻，通過查詢SPD 選擇相應(yīng)的方案對(duì)接收的IP 數(shù)據(jù)包進(jìn)行妥善處理，主要的處理方式有3 種，分別是丟棄、轉(zhuǎn)發(fā)和IPsec 處理。 例如，防火墻經(jīng)過過濾，發(fā)現(xiàn)存在具有潛在威脅的數(shù)據(jù)包，在協(xié)議之中，可以自動(dòng)拒絕該數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，也能拒絕計(jì)算機(jī)網(wǎng)絡(luò)訪問存在危險(xiǎn)的網(wǎng)站，但數(shù)據(jù)包在傳輸過程中，包過濾防火墻無法避免數(shù)據(jù)包被第三方惡意攔截。 相比而言，IPsec 處理通過對(duì)數(shù)據(jù)包實(shí)施身份認(rèn)證與加密，即便數(shù)據(jù)包在傳輸時(shí)被第三方攔截，第三方也不能解密該數(shù)據(jù)包，能夠確保數(shù)據(jù)包中的信息具有高度的安全性［4］。 在使用IPsec 協(xié)議對(duì)數(shù)據(jù)包進(jìn)行處理后，IP 數(shù)據(jù)包是一個(gè)完整的整體，經(jīng)過加密與認(rèn)證生成新的IPsec 頭部，將它放在原始IP 頭部和數(shù)據(jù)包之間，雙重保護(hù)數(shù)據(jù)包的安全。

2.4 密鑰管理技術(shù)

密鑰管理技術(shù)是常見的密碼系統(tǒng)的核心技術(shù)，在計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理過程中，密鑰技術(shù)的應(yīng)用也是非常廣泛的。 比如對(duì)稱密鑰和公開密鑰兩種形式是比較常見的技術(shù)。 在對(duì)稱密鑰的使用過程中，信息的發(fā)送方和接收方所使用的密鑰是相同的密鑰。 在交換的過程中只有保持兩者一致，才能夠讀取相關(guān)信息。 為了提升密鑰管理技術(shù)的安全性，防止密鑰泄露和篡改，需要使用相應(yīng)的程序。在多重防護(hù)之下，密鑰能確保信息的安全。 由于第三方目前還未能掌握密鑰加密技術(shù)的破譯方法，因此該技術(shù)的應(yīng)用可行性較強(qiáng)。 另外，公開密鑰則是通過信息的接收方和發(fā)送方使用公開密鑰證書進(jìn)行交換。 在國(guó)際上已經(jīng)有比較完備的公開密鑰證書執(zhí)行標(biāo)準(zhǔn)，也能保證整體信息傳輸?shù)陌踩浴?在公開密鑰證書的幫助下可以有效對(duì)信息接收或傳輸方的身份進(jìn)行識(shí)別，在識(shí)別時(shí)一旦發(fā)現(xiàn)被識(shí)別對(duì)象并非信息的發(fā)送者或接收者，自動(dòng)判定不允許查看其中的信息，保障計(jì)算機(jī)網(wǎng)絡(luò)信息的安全。

2.5 身份驗(yàn)證技術(shù)

身份驗(yàn)證技術(shù)在日常生活與工作中發(fā)揮著非常重要的作用，該技術(shù)具有很高的實(shí)用價(jià)值。 身份驗(yàn)證技術(shù)是一項(xiàng)最基礎(chǔ)的安全技術(shù)，用戶在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中登錄用戶名和密碼后才能獲取自身對(duì)應(yīng)的權(quán)限，如在銀行辦理業(yè)務(wù)時(shí)，需要輸入登錄密碼才能取款。 未經(jīng)授權(quán)或者身份不明的用戶自動(dòng)被系統(tǒng)視為惡意訪問用戶。 身份驗(yàn)證的目的就是識(shí)別并杜絕此類用戶訪問網(wǎng)絡(luò)，以減少因用戶惡意訪問網(wǎng)絡(luò)而導(dǎo)致的信息丟失和泄露等問題。 例如，黑客可能會(huì)選擇冒用用戶身份的方式登錄訪問服務(wù)器。 在VPN 技術(shù)的幫助下，利用身份驗(yàn)證技術(shù)可以最大限度地規(guī)避上述問題，這在計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中是一項(xiàng)常用的技術(shù)手段［5］。 身份驗(yàn)證技術(shù)的應(yīng)用體現(xiàn)在多個(gè)方面，如計(jì)算機(jī)登錄時(shí)用于驗(yàn)證用戶身份，自動(dòng)拒絕無訪問權(quán)限的用戶登錄計(jì)算機(jī)，防止越權(quán)操作的問題；身份驗(yàn)證技術(shù)還可以用于打開加密文件的環(huán)節(jié)，未經(jīng)身份驗(yàn)證的用戶無法獲取打開文件的權(quán)限，從而避免文件信息泄露。 從功能角度來看，身份驗(yàn)證技術(shù)的應(yīng)用可以降低文件中信息發(fā)生泄露的風(fēng)險(xiǎn)。

身份驗(yàn)證技術(shù)主要有以下幾種：①基于已知密碼和口令的身份驗(yàn)證：用戶接收來自網(wǎng)絡(luò)的文件后，需要提供加密文件相對(duì)應(yīng)的密碼或密鑰完成身份驗(yàn)證。 ②基于智能卡和令牌的身份驗(yàn)證：動(dòng)態(tài)令牌自動(dòng)刷新口令，用戶需要在規(guī)定時(shí)間內(nèi)輸入與之匹配的口令［6］。 ③基于用戶個(gè)人特征的身份驗(yàn)證：包括用戶的聲音、臉型、虹膜、指紋等的身份驗(yàn)證，該技術(shù)目前的成熟度較高、安全性較強(qiáng)。 ④基于雙因素或多因素的驗(yàn)證：采用上述兩種或以上的身份驗(yàn)證方式，在組合應(yīng)用多種身份驗(yàn)證方式的基礎(chǔ)上，最大限度為計(jì)算機(jī)網(wǎng)絡(luò)信息安全提供保護(hù)。

3 VPN 技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中的應(yīng)用

3.1 企業(yè)管理與合作中的應(yīng)用

VPN 技術(shù)在企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用，能最大限度保護(hù)企業(yè)內(nèi)網(wǎng)信息的安全。 在企業(yè)內(nèi)部通常設(shè)有不同的職能部門，各個(gè)部門負(fù)責(zé)的工作任務(wù)各不相同。 盡管各部門的信息存在一定獨(dú)立性，但在職能分工中各部門之間有著緊密聯(lián)系。 因此，企業(yè)內(nèi)部局域網(wǎng)能支持各部門在生產(chǎn)經(jīng)營(yíng)過程中建立密切關(guān)系。 企業(yè)管理中采用VPN技術(shù)，需要建立在虛擬網(wǎng)絡(luò)構(gòu)建的基礎(chǔ)上。 企業(yè)只需要配備相應(yīng)的網(wǎng)絡(luò)設(shè)備，就能實(shí)現(xiàn)虛擬網(wǎng)絡(luò)的建構(gòu)和應(yīng)用，為信息傳輸?shù)男逝c安全性提供有力保障，尤其是能在信息傳輸時(shí)對(duì)數(shù)據(jù)信息進(jìn)行保障，支持更多有價(jià)值信息的傳播。 例如，應(yīng)用VPN 技術(shù)的身份認(rèn)證技術(shù)，可以自動(dòng)篩選網(wǎng)絡(luò)訪問者是否為企業(yè)內(nèi)部員工，避免外部人員非法訪問網(wǎng)絡(luò)，以此方式降低企業(yè)涉密信息泄露的風(fēng)險(xiǎn)。

3.2 學(xué)校管理中的應(yīng)用

教育信息化背景下，校園網(wǎng)絡(luò)在學(xué)校教學(xué)、管理、生活等領(lǐng)域的應(yīng)用價(jià)值不斷提升。 虛擬專用網(wǎng)絡(luò)技術(shù)在學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理中的應(yīng)用，可以從以下方面入手。

（1）學(xué)校財(cái)務(wù)管理

學(xué)?？梢岳肰PN 技術(shù)建立財(cái)務(wù)信息管理系統(tǒng)。 一些學(xué)校的面積較大，分為多個(gè)校區(qū)。 此類學(xué)校在建立財(cái)務(wù)管理系統(tǒng)后，需要搭建面向多個(gè)校區(qū)的VPN 技術(shù)網(wǎng)絡(luò)，將各校區(qū)的財(cái)務(wù)數(shù)據(jù)實(shí)時(shí)上傳，支持學(xué)校財(cái)務(wù)管理工作的開展。 各校區(qū)財(cái)務(wù)數(shù)據(jù)在上傳過程中，必須保證財(cái)務(wù)數(shù)據(jù)傳輸?shù)陌踩浴?在VPN 技術(shù)的幫助下，如學(xué)費(fèi)收繳、工資管理等財(cái)務(wù)數(shù)據(jù)，都能通過財(cái)務(wù)管理系統(tǒng)實(shí)現(xiàn)安全、高效的辦理。 例如，學(xué)校在建立財(cái)務(wù)管理系統(tǒng)的過程中，可以在各校區(qū)之間建立虛擬專用網(wǎng)絡(luò)，允許客戶端訪問財(cái)務(wù)服務(wù)器，只對(duì)外開放財(cái)務(wù)管理系統(tǒng)的收費(fèi)服務(wù)窗口。 服務(wù)端采用公開透明的方式訪問計(jì)算機(jī)的客戶端，支持管理人員在系統(tǒng)服務(wù)端對(duì)客戶端實(shí)施遠(yuǎn)程控制，幫助學(xué)校解決服務(wù)器與客戶端存在的安全問題。

（2）網(wǎng)絡(luò)安全維護(hù)

學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中保存了大量的學(xué)籍信息，為了對(duì)學(xué)生的信息隱私提供保護(hù)，可以采用VPN 技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)信息安全性提供保障。 學(xué)?？梢圆捎秒p層協(xié)議網(wǎng)絡(luò)與校園局域網(wǎng)進(jìn)行連接，然后利用核心交換機(jī)技術(shù)來保障學(xué)生個(gè)人信息安全，避免學(xué)生在登錄校園網(wǎng)后發(fā)生個(gè)人信息泄露的風(fēng)險(xiǎn)。 學(xué)校在經(jīng)費(fèi)充足或技術(shù)過硬的情況下，還可以單獨(dú)配置VPN 技術(shù)服務(wù)器。 通過利用VPN 技術(shù)服務(wù)器的安全保護(hù)功能，在校園網(wǎng)與外網(wǎng)進(jìn)行連接時(shí)，校園網(wǎng)接收到來自互聯(lián)網(wǎng)的請(qǐng)求后，利用VPN技術(shù)服務(wù)器對(duì)所有請(qǐng)求進(jìn)行過濾，從而為校園網(wǎng)絡(luò)信息的安全性提供保障。

4 結(jié)語

綜上所述，以VPN 技術(shù)為基礎(chǔ)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理是一種能維護(hù)用戶個(gè)人信息安全、維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的技術(shù)，它能避免因?yàn)樾畔⑿孤逗痛鄹牡纫鸬牟槐匾獡p失。 VPN 技術(shù)在現(xiàn)代社會(huì)領(lǐng)域扮演著重要角色，應(yīng)用該技術(shù)能更安全、更可靠地支持網(wǎng)絡(luò)數(shù)據(jù)信息傳遞。 在學(xué)校信息化發(fā)展的需求下，利用VPN 技術(shù)實(shí)現(xiàn)校園信息的安全遠(yuǎn)程互聯(lián)具有深遠(yuǎn)的意義。 在應(yīng)用過程中，也要融合技術(shù)創(chuàng)新，順應(yīng)技術(shù)發(fā)展的趨勢(shì)，從而保障學(xué)校的利益。