1.引言

　　隨著因特網(wǎng)技術應用的普及，以及政府。企業(yè)和各部門及其分支結構網(wǎng)絡建設和安全互聯(lián)互通需求的不斷增長，VPN技術為企業(yè)提供了一種低成本的組網(wǎng)方式。同時，我國現(xiàn)行的“計算機安全等級保護”也為企業(yè)在建設信息系統(tǒng)時提供了安全整體設計思路和標準。如何充分利用VPN技術和相關產品，為企業(yè)提供符合安全等級保護要求。性價比高的網(wǎng)絡安全總體解決方案，是當前企業(yè)信息系統(tǒng)設計中面臨的挑戰(zhàn)。

　　2.信息安全管理體系發(fā)展軌跡

　　對于信息安全管理問題，在上世紀90年代初引起世界主要發(fā)達國家的注意，并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準，是一個全面信息安全管理體系評估的基礎和正式認證方案的根據(jù)。國際標準化組織（ISO）聯(lián)合國際電工委員會（IEC）分別于2000年和2005年將BS7799標準轉換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國國家標準化管理委員會（SAC）于1999年發(fā)布了GB/T 17859《計算機信息系統(tǒng)安全保護等級劃分準則》標準，把信息安全管理劃分為五個等級，分別針對不同組織性質和對社會。國家危害程度大小進行了不同等級的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC27001相對應的GBT 22081-2008《信息安全管理體系 實用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

　　3.信息系統(tǒng)安全的等級

　　為加快推進信息安全等級保護，規(guī)范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全。社會穩(wěn)定和公共利益，保障和促進信息化建設， 國家公安部。保密局。密碼管理局和國務院信息化工作辦公室等，于2007年聯(lián)合發(fā)布了《信息安全等級保護管理辦法》，就全國機構/企業(yè)的信息安全保護問題，進行了行政法規(guī)方面的規(guī)范，并組織和開展對全國重要信息系統(tǒng)安全等級保護定級工作。同時，制訂了《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準則》和《信息系統(tǒng)安全等級保護定級指南》等相應技術規(guī)范（國家標準審批稿），來指導國內機構/企業(yè)進行信息安全保護。

　　在《信息系統(tǒng)安全等級保護基本要求》中，要求從網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復、系統(tǒng)運維管理、安全管理機構等幾方面，按照身份鑒別、訪問控制、介質管理、密碼管理、通信和數(shù)據(jù)的完整。保密性以及數(shù)據(jù)備份與恢復等具體要求，對信息流進行不同等級的劃分，從而達到有效保護的目的。信息系統(tǒng)的安全保護等級分為五級：第一級為自主保護級，第二級指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為專控保護級。

　　針對政府、企業(yè)常用的三級安全保護設計中，主要是以三級安全的密碼技術、系統(tǒng)安全技術及通信網(wǎng)絡安全技術為基礎的具有三級安全的信息安全機制和服務支持下，實現(xiàn)三級安全計算環(huán)境、三級安全通信網(wǎng)絡、三級安全區(qū)域邊界防護和三級安全管理中心的設計。

　　4.VPN技術及其發(fā)展趨勢

　　VPN即虛擬專用網(wǎng)，是通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的。安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。通常，VPN 是對企業(yè)內部網(wǎng)的擴展，通過它可以幫助遠程用戶。公司分支機構。商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

　　VPN使用三個方面的技術保證了通信的安全性：隧道協(xié)議。身份驗證和數(shù)據(jù)加密。

　　VPN通道的加密方式成為主要的技術要求，目前VPN技術主要包括IPSec VPN，非IPSecVPN（如PPTP，L2TP等），基于WEB的SSLVPN等。

　　IPSec VPN是基于IPSec協(xié)議的VPN產品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認證完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性、通過采用加密封裝技術，對所有網(wǎng)絡層上的數(shù)據(jù)進行加密透明保護。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構建。

　　SSL VPN是基于SSL協(xié)議的VPN產品。在企業(yè)中心部署SSL VPN設備，無需安裝客戶端軟件，授權用戶能夠從任何標準的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡資源。

　　SSL VPN產品最適合于遠程單機用戶與中心之間的虛擬網(wǎng)構建。

　　整個VPN通信過程可以簡化為以下4個步驟：

　　（1）客戶機向VPN服務器發(fā)出連接請求。

　?。?）VPN服務器響應請求并向客戶機發(fā)出身份認證的請求，客戶機與VPN服務器通過信息的交換確認對方的身份，這種身份確認是雙向的。

　?。?）VPN服務器與客戶機在確認身份的前提下開始協(xié)商安全隧道以及相應的安全參數(shù)，形成安全隧道。

　?。?）最后VPN服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數(shù)據(jù)進行加密，然后通過VPN隧道技術進行封裝。加密。傳輸?shù)侥康膬炔烤W(wǎng)絡。

　　目前國外公開的相關VPN產品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES。RSA加解密算法，不符合國家密碼產品管理和應用的要求?！渡逃妹艽a管理條例》（中華人民共和國國務院第273號令，1999年10月7日發(fā)布）第四章第十四條規(guī)定：任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品，不得使用自行研制的或者境外生產的密碼產品。國家密碼管理局在2009年針對VPN產品下發(fā)了《IPSec VPN技術規(guī)范》和《SSL VPN技術規(guī)范》，明確要求了VPN產品的技術體系和算法要求。

　　5.VPN技術在等級保護中的應用

　　在三級防護四大方面的設計要求中，VPN技術可以說是在四大方面的設計要求中都有廣泛的應用：

　　在安全計算環(huán)境的設計要求中：首先在實現(xiàn)身份鑒別方面，在用戶訪問的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會通過VPN的設備登錄訪問中心的應用系統(tǒng)，當身份得到鑒別通過時才可訪問應用系統(tǒng);其次在數(shù)據(jù)的完整性保護和保密性保護上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

　　在安全區(qū)域邊界的設計要求中：網(wǎng)絡邊界子系統(tǒng)的邊界控制與VPN功能一體化實現(xiàn)，在保證傳輸安全性的同時提高網(wǎng)絡數(shù)據(jù)包處理效率。

　　在安全通信網(wǎng)絡的設計要求中：網(wǎng)絡安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個應用系統(tǒng)中邊界或部門服務器邊界的安全防護，為內部網(wǎng)絡與外部網(wǎng)絡的間的信息的安全傳輸提供加密。身份鑒別及訪問控制等安全機制。在客戶端和應用服務器進出的總路由前添加網(wǎng)絡VPN網(wǎng)關，通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進出的數(shù)據(jù)提供加密傳輸，實現(xiàn)應用數(shù)據(jù)的加密通信。

　　在安全管理中心的設計要求中：系統(tǒng)管理中，VPN技術在主機資源和用戶管理能夠實現(xiàn)很好的保護，對用戶登錄、外設接口、網(wǎng)絡通信、文件操作及進程服務等方面進行監(jiān)視機制，確保重要信息安全可控，滿足對主機的安全監(jiān)管需要。

　　6.結束語

　　VPN技術不僅會大大節(jié)省企業(yè)網(wǎng)的建設和運行維護費用，而且增強了網(wǎng)絡的可靠性和安全性，滿足信息系統(tǒng)安全等級保護要求，VPN技術和產品對推動信息系統(tǒng)安全等級保護建設將起到不可低估的作用。