VPN在信息系統(tǒng)安全等級保護(hù)中的應(yīng)用

　　1.引言

　　隨著因特網(wǎng)技術(shù)應(yīng)用的普及，以及政府。企業(yè)和各部門及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長，VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí)，我國現(xiàn)行的“計(jì)算機(jī)安全等級保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品，為企業(yè)提供符合安全等級保護(hù)要求。性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案，是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。

　　2.信息安全管理體系發(fā)展軌跡

　　對于信息安全管理問題，在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國家的注意，并投入大量的資金和人力進(jìn)行分析和研究。英國分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》，規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，是一個(gè)全面信息安全管理體系評估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國際標(biāo)準(zhǔn)化組織（ISO）聯(lián)合國際電工委員會（IEC）分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國國家標(biāo)準(zhǔn)化管理委員會（SAC）于1999年發(fā)布了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》標(biāo)準(zhǔn)，把信息安全管理劃分為五個(gè)等級，分別針對不同組織性質(zhì)和對社會。國家危害程度大小進(jìn)行了不同等級的劃分，并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC27001相對應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。

　　3.信息系統(tǒng)安全的等級

　　為加快推進(jìn)信息安全等級保護(hù)，規(guī)范信息安全等級保護(hù)管理，提高信息安全保障能力和水平，維護(hù)國家安全。社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)， 國家公安部。保密局。密碼管理局和國務(wù)院信息化工作辦公室等，于2007年聯(lián)合發(fā)布了《信息安全等級保護(hù)管理辦法》，就全國機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問題，進(jìn)行了行政法規(guī)方面的規(guī)范，并組織和開展對全國重要信息系統(tǒng)安全等級保護(hù)定級工作。同時(shí)，制訂了《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》和《信息系統(tǒng)安全等級保護(hù)定級指南》等相應(yīng)技術(shù)規(guī)范（國家標(biāo)準(zhǔn)審批稿），來指導(dǎo)國內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。

　　在《信息系統(tǒng)安全等級保護(hù)基本要求》中，要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面，按照身份鑒別、訪問控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整。保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求，對信息流進(jìn)行不同等級的劃分，從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級分為五級：第一級為自主保護(hù)級，第二級指導(dǎo)保護(hù)級，第三級為監(jiān)督保護(hù)級，第四級為強(qiáng)制保護(hù)級，第五級為?？乇Ｗo(hù)級。

　　針對政府、企業(yè)常用的三級安全保護(hù)設(shè)計(jì)中，主要是以三級安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級安全的信息安全機(jī)制和服務(wù)支持下，實(shí)現(xiàn)三級安全計(jì)算環(huán)境、三級安全通信網(wǎng)絡(luò)、三級安全區(qū)域邊界防護(hù)和三級安全管理中心的設(shè)計(jì)。

　　4.VPN技術(shù)及其發(fā)展趨勢

　　VPN即虛擬專用網(wǎng)，是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的。安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN 是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶。公司分支機(jī)構(gòu)。商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

　　VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議。身份驗(yàn)證和數(shù)據(jù)加密。

　　VPN通道的加密方式成為主要的技術(shù)要求，目前VPN技術(shù)主要包括IPSec VPN，非IPSecVPN（如PPTP，L2TP等），基于WEB的SSLVPN等。

　　IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障，協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過對數(shù)據(jù)加密、認(rèn)證完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃浴⑺接行院捅Ｃ苄?、通過采用加密封裝技術(shù)，對所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。

　　SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備，無需安裝客戶端軟件，授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。

　　SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。

　　整個(gè)VPN通信過程可以簡化為以下4個(gè)步驟：

　?。?）客戶機(jī)向VPN服務(wù)器發(fā)出連接請求。

　　（2）VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份認(rèn)證的請求，客戶機(jī)與VPN服務(wù)器通過信息的交換確認(rèn)對方的身份，這種身份確認(rèn)是雙向的。

　?。?）VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開始協(xié)商安全隧道以及相應(yīng)的安全參數(shù)，形成安全隧道。

　?。?）最后VPN服務(wù)器將在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密，然后通過VPN隧道技術(shù)進(jìn)行封裝。加密。傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

　　目前國外公開的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式，加解密算法也多使用通用的3DES。RSA加解密算法，不符合國家密碼產(chǎn)品管理和應(yīng)用的要求?！渡逃妹艽a管理?xiàng)l例》（中華人民共和國國務(wù)院第273號令，1999年10月7日發(fā)布）第四章第十四條規(guī)定：任何單位或者個(gè)人只能使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國家密碼管理局在2009年針對VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》，明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。

　　5.VPN技術(shù)在等級保護(hù)中的應(yīng)用

　　在三級防護(hù)四大方面的設(shè)計(jì)要求中，VPN技術(shù)可以說是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用：

　　在安全計(jì)算環(huán)境的設(shè)計(jì)要求中：首先在實(shí)現(xiàn)身份鑒別方面，在用戶訪問的中心，系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名，用戶會通過VPN的設(shè)備登錄訪問中心的應(yīng)用系統(tǒng)，當(dāng)身份得到鑒別通過時(shí)才可訪問應(yīng)用系統(tǒng);其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過程中被惡意篡改和盜取。

　　在安全區(qū)域邊界的設(shè)計(jì)要求中：網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn)，在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。

　　在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中：網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道，通過IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門服務(wù)器邊界的安全防護(hù)，為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密。身份鑒別及訪問控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān)，通過IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。

　　在安全管理中心的設(shè)計(jì)要求中：系統(tǒng)管理中，VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù)，對用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制，確保重要信息安全可控，滿足對主機(jī)的安全監(jiān)管需要。

　　6.結(jié)束語

　　VPN技術(shù)不僅會大大節(jié)省企業(yè)網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用，而且增強(qiáng)了網(wǎng)絡(luò)的可靠性和安全性，滿足信息系統(tǒng)安全等級保護(hù)要求，VPN技術(shù)和產(chǎn)品對推動信息系統(tǒng)安全等級保護(hù)建設(shè)將起到不可低估的作用。