計算機(jī)網(wǎng)絡(luò)信息安全中虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用

王華永

(黑龍江職業(yè)學(xué)院，哈爾濱 150080)

計算機(jī)網(wǎng)絡(luò)具有開放性特征，容易被不法分子竊取、修改網(wǎng)絡(luò)信息，導(dǎo)致出現(xiàn)一系列網(wǎng)絡(luò)安全事故。信息泄露會對個人造成經(jīng)濟(jì)損失，使企業(yè)陷入危機(jī)與困境。作為保障信息安全的重要技術(shù)之一，虛擬專用網(wǎng)絡(luò)目前已逐步應(yīng)用于計算機(jī)網(wǎng)絡(luò)信息安全保護(hù)中，應(yīng)用成效顯著，可通過虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用解決計算機(jī)網(wǎng)絡(luò)信息安全問題。

1 虛擬專用網(wǎng)絡(luò)技術(shù)及類型

1.1 技術(shù)

虛擬專用網(wǎng)絡(luò)技術(shù)(VPN)是信息安全保障技術(shù)之一，可為計算機(jī)網(wǎng)絡(luò)運(yùn)行中的信息安全提供保護(hù)。此技術(shù)是專用網(wǎng)絡(luò)的延伸，存在與Internet共享極為相似的公共網(wǎng)絡(luò)鏈接。模擬兩點(diǎn)之間鏈路時，可在數(shù)據(jù)壓縮處理的基礎(chǔ)上在相對安全的環(huán)境下將數(shù)據(jù)傳送到目的地。專用鏈接是基于公用網(wǎng)絡(luò)模擬而成的，需要在專用網(wǎng)絡(luò)建設(shè)后做加密處理，只有掌握密鑰的人才可解壓并閱讀數(shù)據(jù)，以強(qiáng)化對計算機(jī)網(wǎng)絡(luò)的保護(hù)效果。相較于傳統(tǒng)的計算機(jī)網(wǎng)絡(luò)安全技術(shù)，虛擬專用網(wǎng)絡(luò)技術(shù)具備應(yīng)用便捷、任務(wù)量簡化的優(yōu)勢，在計算機(jī)網(wǎng)絡(luò)信息安全方面投入的資金較少，無需耗費(fèi)大量的精力，可通過內(nèi)部線路解決鋪設(shè)問題，提高了線路鋪設(shè)效率及質(zhì)量。

1.2 類型

1.2.1 身份認(rèn)證技術(shù)

身份認(rèn)證是保障計算機(jī)網(wǎng)絡(luò)信息安全的虛擬專用網(wǎng)絡(luò)技術(shù)之一，應(yīng)用率較高，如注冊軟件賬號時，常需填入個人信息，并實(shí)現(xiàn)個人信息與賬戶的綁定，掌握用戶名、登錄密碼的人才可登錄軟件并實(shí)施操作，這就是身份認(rèn)證技術(shù)。網(wǎng)銀交易、微信支付時，通常要通過賬號注冊時所綁定的手機(jī)號接收驗(yàn)證信息，在填入正確的驗(yàn)證信息之后方可完成支付操作，應(yīng)用身份認(rèn)證技術(shù)，可防止用戶賬戶資金被盜取，實(shí)現(xiàn)個人財產(chǎn)的安全保管。身份認(rèn)證技術(shù)的應(yīng)用在不斷優(yōu)化，發(fā)展空間廣闊。

1.2.2 隧道技術(shù)

隧道技術(shù)是基于壓縮包技術(shù)而實(shí)現(xiàn)的零散數(shù)據(jù)集中，再集中性地完成信息傳送。此種信息傳送方式可降低數(shù)據(jù)丟失風(fēng)險，強(qiáng)化信息保護(hù)效果。當(dāng)前，計算機(jī)網(wǎng)絡(luò)存在共享系統(tǒng)建設(shè)不完善的問題，數(shù)據(jù)傳輸利用打包、再壓縮，可實(shí)現(xiàn)局域網(wǎng)的二次封裝，使計算機(jī)網(wǎng)絡(luò)的安全性得到有效強(qiáng)化，而壓縮數(shù)據(jù)包的渠道稱為隧道。隧道技術(shù)是虛擬專用網(wǎng)絡(luò)技術(shù)的重要組成部分，多用于交流軟件、郵件等信息傳送。

1.2.3 密鑰管理技術(shù)

密鑰管理技術(shù)是通過公開密鑰加密技術(shù)的應(yīng)用來管理密鑰，以強(qiáng)化信息保護(hù)效果。依據(jù)其原理的不同，密鑰管理技術(shù)可分為對稱密鑰管理技術(shù)和公開密鑰管理技術(shù)。前者是對傳統(tǒng)密鑰加密技術(shù)進(jìn)行增強(qiáng)，以強(qiáng)化信息保護(hù)，后者則是通過公開密鑰交換，利用證書完成對方標(biāo)識而實(shí)現(xiàn)信息的有效傳輸。這兩種密鑰管理技術(shù)均包含兩個結(jié)構(gòu)：一是基于Diffie法則的SKIP技術(shù)，網(wǎng)絡(luò)中密鑰傳送極為安全，難以被公開。二是ISAKMP技術(shù)，此技術(shù)涉及的所有密鑰均是公開的，不僅所有人均能掌握密鑰，且密鑰掌握方法具有多元化特征。

1.2.4 加密技術(shù)

加密技術(shù)是防止未被授權(quán)的人員采取非法途徑侵入計算機(jī)而盜取機(jī)密信息，可通過信息加密實(shí)現(xiàn)信息安全傳輸，確保數(shù)據(jù)信息的精準(zhǔn)、完整傳送。加密技術(shù)可攔截黑客、阻隔病毒，防止有害程序侵入計算機(jī)網(wǎng)絡(luò)，避免出現(xiàn)信息竊取問題，是保障計算機(jī)網(wǎng)絡(luò)用戶利益的重要舉措。加密技術(shù)的應(yīng)用可保護(hù)重要信息，是極為有效的虛擬專用網(wǎng)絡(luò)技術(shù)。

2 虛擬專用網(wǎng)絡(luò)技術(shù)的具體應(yīng)用

2.1 在總公司與分公司間的應(yīng)用

規(guī)模較大的企業(yè)會在全國各地或其他國家設(shè)置分公司，以實(shí)現(xiàn)業(yè)務(wù)開展范圍的擴(kuò)充。由于總公司及分公司所在區(qū)域不同，因此信息傳送時要求計算機(jī)網(wǎng)絡(luò)具備較高的安全性，需要通過虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用，通過虛擬局域網(wǎng)的構(gòu)建而使信息傳送過程得到安全保障。在虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用的支持下建立一個總公司及分公司相互連接的局域網(wǎng)，實(shí)現(xiàn)內(nèi)部資源信息的共享與互換，從而避免外網(wǎng)接入所產(chǎn)生的信息被盜取或損壞問題。構(gòu)建這一局域網(wǎng)絡(luò)時，需要利用加密速度更快的硬件式虛擬專用網(wǎng)絡(luò)裝置，通過密鑰管理有效性的提升，降低其遭到破壞的幾率，可對公司網(wǎng)絡(luò)信息傳輸實(shí)施高強(qiáng)度保護(hù)，取得更為理想的信息傳送保護(hù)效果?？偣九c分公司間虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用示意圖見圖1。

圖1 總公司與分公司間虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用示意圖Fig.1 Sketch map of virtual private network technology application of central and branch company

2.2 在企業(yè)網(wǎng)及遠(yuǎn)程員工中的應(yīng)用

企業(yè)經(jīng)營過程中，員工需要與企業(yè)網(wǎng)之間實(shí)現(xiàn)遠(yuǎn)程信息傳送，如銷售人員需要在外地接收企業(yè)為其傳送的生產(chǎn)成本、產(chǎn)品參數(shù)等信息?？赏ㄟ^虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用構(gòu)建遠(yuǎn)程訪問式虛擬專用網(wǎng)絡(luò)平臺，實(shí)現(xiàn)企業(yè)內(nèi)部信息的遠(yuǎn)程共享。以帶有虛擬專用網(wǎng)絡(luò)技術(shù)功能的防火墻設(shè)置作為互聯(lián)網(wǎng)的出口網(wǎng)關(guān)，在此基礎(chǔ)上實(shí)現(xiàn)員工電腦、智能手機(jī)或遠(yuǎn)程客戶機(jī)的接入，使員工可遠(yuǎn)程登錄虛擬專用網(wǎng)絡(luò)，實(shí)現(xiàn)信息的獲取與利用，此過程可實(shí)現(xiàn)對信息的有效保護(hù)。通常應(yīng)用的是復(fù)合型虛擬專用網(wǎng)絡(luò)裝置，此裝置具有經(jīng)濟(jì)性強(qiáng)、安全保護(hù)效果極佳的優(yōu)勢。企業(yè)網(wǎng)與遠(yuǎn)程員工間的虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用示意圖見圖2。

圖2 企業(yè)網(wǎng)與遠(yuǎn)程員工間虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用示意圖Fig.2 Sketch map of virtual private network technology application of enterprise and long-distance staff

2.3 在企業(yè)間的應(yīng)用

企業(yè)需要在產(chǎn)業(yè)鏈間運(yùn)行，需要與產(chǎn)業(yè)鏈上、下游的企業(yè)進(jìn)行信息互換，但企業(yè)之間并不共享所有信息，只需實(shí)現(xiàn)部分信息向其他企業(yè)的傳送即可。應(yīng)用虛擬專用網(wǎng)絡(luò)技術(shù)，可建立專用的共享文件夾，通過防火墻的安裝，使此文件夾與其他信息相分離，這樣產(chǎn)業(yè)鏈中其他企業(yè)查詢共享信息時，無法突破防火墻的阻隔而查閱其他信息內(nèi)容，只能查看放置于共享文件中允許查看的內(nèi)容，既實(shí)現(xiàn)了信息共享，也增強(qiáng)了企業(yè)之間信息共享利用的安全性。

3 有效應(yīng)用虛擬專用網(wǎng)絡(luò)技術(shù)的措施

3.1 加大VPN研發(fā)設(shè)計力度

虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用需求持續(xù)增長，當(dāng)前的VPN設(shè)計與實(shí)際需求不相符，需要進(jìn)一步拓展防護(hù)范圍。虛擬專用網(wǎng)絡(luò)面臨著漏洞威脅，存在遭受惡意攻擊的隱患。據(jù)統(tǒng)計，漏洞補(bǔ)丁推出后，僅有少數(shù)公司會快速完成補(bǔ)丁部署，未利用補(bǔ)丁及時修復(fù)漏洞的企業(yè)占比高達(dá)70%。為解決這一問題，虛擬專用網(wǎng)絡(luò)供應(yīng)商應(yīng)加強(qiáng)VPN研究設(shè)計力度，通過VPN產(chǎn)品品質(zhì)及安全性的提升，保障用戶的數(shù)據(jù)安全。應(yīng)根據(jù)計算機(jī)網(wǎng)絡(luò)信息安全需求，分析與發(fā)現(xiàn)VPN技術(shù)的缺陷與不足并針對性做出優(yōu)化與完善，以確保虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用價值的最大化發(fā)揮。

3.2 提高 VPN 產(chǎn)品的優(yōu)質(zhì)性與安全性

虛擬專用網(wǎng)絡(luò)是外網(wǎng)向內(nèi)網(wǎng)進(jìn)入的關(guān)鍵，一旦被攻破可能會面臨黑客攻擊等網(wǎng)絡(luò)安全威脅，黑客入侵計算機(jī)時常以VPN作為攻擊目標(biāo)，因而VPN存在一定的漏洞隱患，應(yīng)提高 VPN 產(chǎn)品的優(yōu)質(zhì)性與安全性。

3.2.1 加大安全投入，增強(qiáng)漏洞信息透明度

虛擬專用網(wǎng)絡(luò)技術(shù)供應(yīng)商應(yīng)針對VPN的安全保障提供充足的資金支持，及時向客戶傳送漏洞信息，通過漏洞信息透明度的提升確保漏洞問題的及時防范與化解。應(yīng)用虛擬專用網(wǎng)絡(luò)的企業(yè)還應(yīng)進(jìn)一步優(yōu)化軟件安全研發(fā)流程，加強(qiáng)SDL應(yīng)用，也可引入DevOps，應(yīng)在做好需求側(cè)、設(shè)計環(huán)節(jié)安全防護(hù)的同時，加強(qiáng)發(fā)布、運(yùn)營等各個環(huán)節(jié)的防護(hù)力度，通過安全培訓(xùn)、威脅模型構(gòu)建及安全測試等多種方式預(yù)先識別與有效控制VPN漏洞。依托嚴(yán)格的VPN產(chǎn)品質(zhì)量安全控制，確保產(chǎn)品安全水平有效提升。

3.2.2 加強(qiáng)安全情報收集，確保應(yīng)急響應(yīng)機(jī)制的有效實(shí)施

企業(yè)應(yīng)全面與及時地收集安全情報，科學(xué)制定應(yīng)急響應(yīng)機(jī)制，以便在安全隱患發(fā)生時能第一時間響應(yīng)與處理，將安全事件所產(chǎn)生的影響降至最低，減少對用戶造成的損失。安全廠家應(yīng)對維護(hù)機(jī)制進(jìn)行完善與優(yōu)化，通過對漏洞管理流程的梳理，引入商業(yè)化工具，利用內(nèi)部構(gòu)建工具進(jìn)行軟件漏洞掃描，改進(jìn)質(zhì)量保證流程，保障軟件的應(yīng)用安全。此外，還可建立漏洞管理團(tuán)隊(duì)，由其負(fù)責(zé)漏洞跟蹤及修復(fù)，以便VPN漏洞在出現(xiàn)的第一時間得到及時修復(fù)。

3.3 強(qiáng)化用戶安全意識

應(yīng)用虛擬專用網(wǎng)絡(luò)的用戶應(yīng)具備良好的安全意識，了解系統(tǒng)邊界中VPN所處的地位，重視系統(tǒng)發(fā)出的漏洞預(yù)警提示，確保能夠及時做出響應(yīng)及處理。用戶應(yīng)以計算機(jī)網(wǎng)絡(luò)信息特點(diǎn)為依據(jù)，選用適合的虛擬專用網(wǎng)絡(luò)技術(shù)，建立完善的安全防護(hù)機(jī)制，通過VPN技術(shù)保障計算機(jī)網(wǎng)絡(luò)信息安全。應(yīng)用計算機(jī)網(wǎng)絡(luò)時，要做到規(guī)范操作、安全使用，有效預(yù)防與控制風(fēng)險。應(yīng)定期排查系統(tǒng)的安全風(fēng)險，做好重要系統(tǒng)及數(shù)據(jù)信息的備份處理，制定安全風(fēng)險發(fā)生時的應(yīng)急補(bǔ)救措施，有效減少因系統(tǒng)漏洞等問題所產(chǎn)生的損失。政府及公安等部門應(yīng)加強(qiáng)聯(lián)合，定期檢測計算機(jī)網(wǎng)絡(luò)風(fēng)險，針對發(fā)現(xiàn)的重大安全風(fēng)險或安全事件做出限期整改要求，并對相關(guān)責(zé)任單位或責(zé)任人給予嚴(yán)厲處罰，促進(jìn)計算機(jī)網(wǎng)絡(luò)安全意識的有效提升。

3.4 有效拓展安全防護(hù)范圍

黑客是計算機(jī)網(wǎng)絡(luò)信息安全中虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用所面臨的重要威脅。在虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用中，應(yīng)加強(qiáng)物理風(fēng)險防范力度，同時也要針對人為風(fēng)險進(jìn)行有效預(yù)防。因人為破壞所導(dǎo)致的安全風(fēng)險，可在極短的時間內(nèi)使被侵害者遭受高達(dá)上億元的損失。虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用者要強(qiáng)化自身的安全風(fēng)險意識，要在健全有效的安全防護(hù)機(jī)制實(shí)施下，以計算機(jī)網(wǎng)絡(luò)、虛擬專用網(wǎng)絡(luò)技術(shù)的安全應(yīng)用為核心，展開更加全面的安全防護(hù)，通過防護(hù)范圍的擴(kuò)大，依托網(wǎng)絡(luò)信息安全的有效控制，為企業(yè)創(chuàng)造更大的安全效益。

3.5 健全與優(yōu)化網(wǎng)絡(luò)架構(gòu)

虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用時，需要將安全管理作為核心，應(yīng)將網(wǎng)絡(luò)架構(gòu)的完善作為重點(diǎn)，密切監(jiān)控非法接入、非法訪問等情況，做好IP地址與MAC地址的綁定，以增強(qiáng)安全防護(hù)的全面性與有效性。對用戶的操作行為給予嚴(yán)格規(guī)范，通過密碼認(rèn)證方式的有效應(yīng)用，降低網(wǎng)絡(luò)安全風(fēng)險。應(yīng)增強(qiáng)高安全性網(wǎng)絡(luò)技術(shù)的應(yīng)用，提高網(wǎng)絡(luò)安全風(fēng)險防御力度，促進(jìn)安全管理水平的提升。應(yīng)在應(yīng)用虛擬專用網(wǎng)絡(luò)技術(shù)的同時，聯(lián)合應(yīng)用其他安全防護(hù)技術(shù)，建立科學(xué)、完善的安全防護(hù)系統(tǒng)，在完善的網(wǎng)絡(luò)架構(gòu)支持下強(qiáng)化網(wǎng)絡(luò)安全防護(hù)效果。

4 結(jié)語

目前，已研發(fā)出了加密技術(shù)、密鑰技術(shù)、隧道技術(shù)等多種虛擬專用網(wǎng)絡(luò)技術(shù)，在計算機(jī)網(wǎng)絡(luò)應(yīng)用中起到了一定的安全防護(hù)效果，保障了總公司與分公司間、公司與遠(yuǎn)程員工間、產(chǎn)業(yè)鏈中企業(yè)間的信息傳送與共享過程的安全性，防止因信息泄露而對企業(yè)造成損失。未來，虛擬專用網(wǎng)絡(luò)技術(shù)還將進(jìn)一步優(yōu)化與更新，在計算機(jī)網(wǎng)絡(luò)應(yīng)用中的信息保障價值也將進(jìn)一步提升。