VPN在信息系統(tǒng)安全等級(jí)保護(hù)中的應(yīng)用
1.引言
隨著因特網(wǎng)技術(shù)應(yīng)用的普及,以及政府。企業(yè)和各部門(mén)及其分支結(jié)構(gòu)網(wǎng)絡(luò)建設(shè)和安全互聯(lián)互通需求的不斷增長(zhǎng),VPN技術(shù)為企業(yè)提供了一種低成本的組網(wǎng)方式。同時(shí),我國(guó)現(xiàn)行的“計(jì)算機(jī)安全等級(jí)保護(hù)”也為企業(yè)在建設(shè)信息系統(tǒng)時(shí)提供了安全整體設(shè)計(jì)思路和標(biāo)準(zhǔn)。如何充分利用VPN技術(shù)和相關(guān)產(chǎn)品,為企業(yè)提供符合安全等級(jí)保護(hù)要求。性價(jià)比高的網(wǎng)絡(luò)安全總體解決方案,是當(dāng)前企業(yè)信息系統(tǒng)設(shè)計(jì)中面臨的挑戰(zhàn)。
2.信息安全管理體系發(fā)展軌跡
對(duì)于信息安全管理問(wèn)題,在上世紀(jì)90年代初引起世界主要發(fā)達(dá)國(guó)家的注意,并投入大量的資金和人力進(jìn)行分析和研究。英國(guó)分別于1995年和1998年出版BS7799標(biāo)準(zhǔn)的第一部分《信息安全管理實(shí)施細(xì)則》和第二部分《信息安全管理體系規(guī)范》,規(guī)定信息安全管理體系與控制要求和實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),是一個(gè)全面信息安全管理體系評(píng)估的基礎(chǔ)和正式認(rèn)證方案的根據(jù)。國(guó)際標(biāo)準(zhǔn)化組織(ISO)聯(lián)合國(guó)際電工委員會(huì)(IEC)分別于2000年和2005年將BS7799標(biāo)準(zhǔn)轉(zhuǎn)換為ISO/IEC 17799《信息安全管理體系 實(shí)施細(xì)則》和ISO/IEC 27001《信息安全管理體系 要求》,并向全世界推廣。中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)(SAC)于1999年發(fā)布了GB/T 17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》標(biāo)準(zhǔn),把信息安全管理劃分為五個(gè)等級(jí),分別針對(duì)不同組織性質(zhì)和對(duì)社會(huì)。國(guó)家危害程度大小進(jìn)行了不同等級(jí)的劃分,并提出了監(jiān)管方法。2008年制訂并下發(fā)了與ISO/IEC 17799和ISO/IEC27001相對(duì)應(yīng)的GBT 22081-2008《信息安全管理體系 實(shí)用規(guī)則》和GBT 22080-2008《信息安全管理體系 要求》。
3.信息系統(tǒng)安全的等級(jí)
為加快推進(jìn)信息安全等級(jí)保護(hù),規(guī)范信息安全等級(jí)保護(hù)管理,提高信息安全保障能力和水平,維護(hù)國(guó)家安全。社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè), 國(guó)家公安部。保密局。密碼管理局和國(guó)務(wù)院信息化工作辦公室等,于2007年聯(lián)合發(fā)布了《信息安全等級(jí)保護(hù)管理辦法》,就全國(guó)機(jī)構(gòu)/企業(yè)的信息安全保護(hù)問(wèn)題,進(jìn)行了行政法規(guī)方面的規(guī)范,并組織和開(kāi)展對(duì)全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。同時(shí),制訂了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》等相應(yīng)技術(shù)規(guī)范(國(guó)家標(biāo)準(zhǔn)審批稿),來(lái)指導(dǎo)國(guó)內(nèi)機(jī)構(gòu)/企業(yè)進(jìn)行信息安全保護(hù)。
在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中,要求從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、系統(tǒng)運(yùn)維管理、安全管理機(jī)構(gòu)等幾方面,按照身份鑒別、訪問(wèn)控制、介質(zhì)管理、密碼管理、通信和數(shù)據(jù)的完整。保密性以及數(shù)據(jù)備份與恢復(fù)等具體要求,對(duì)信息流進(jìn)行不同等級(jí)的劃分,從而達(dá)到有效保護(hù)的目的。信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí):第一級(jí)為自主保護(hù)級(jí),第二級(jí)指導(dǎo)保護(hù)級(jí),第三級(jí)為監(jiān)督保護(hù)級(jí),第四級(jí)為強(qiáng)制保護(hù)級(jí),第五級(jí)為專控保護(hù)級(jí)。
針對(duì)政府、企業(yè)常用的三級(jí)安全保護(hù)設(shè)計(jì)中,主要是以三級(jí)安全的密碼技術(shù)、系統(tǒng)安全技術(shù)及通信網(wǎng)絡(luò)安全技術(shù)為基礎(chǔ)的具有三級(jí)安全的信息安全機(jī)制和服務(wù)支持下,實(shí)現(xiàn)三級(jí)安全計(jì)算環(huán)境、三級(jí)安全通信網(wǎng)絡(luò)、三級(jí)安全區(qū)域邊界防護(hù)和三級(jí)安全管理中心的設(shè)計(jì)。
4.VPN技術(shù)及其發(fā)展趨勢(shì)
VPN即虛擬專用網(wǎng),是通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的。安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常,VPN 是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過(guò)它可以幫助遠(yuǎn)程用戶。公司分支機(jī)構(gòu)。商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
VPN使用三個(gè)方面的技術(shù)保證了通信的安全性:隧道協(xié)議。身份驗(yàn)證和數(shù)據(jù)加密。
VPN通道的加密方式成為主要的技術(shù)要求,目前VPN技術(shù)主要包括IPSec VPN,非IPSecVPN(如PPTP,L2TP等),基于WEB的SSLVPN等。
IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品,由IPSec協(xié)議提供隧道安全保障,協(xié)議包括AH、ESP、ISAKMP等協(xié)議。其通過(guò)對(duì)數(shù)據(jù)加密、認(rèn)證完整性檢查來(lái)保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性、通過(guò)采用加密封裝技術(shù),對(duì)所有網(wǎng)絡(luò)層上的數(shù)據(jù)進(jìn)行加密透明保護(hù)。IPSec協(xié)議最適合于LAN到LAN之間的虛擬專用網(wǎng)構(gòu)建。
SSL VPN是基于SSL協(xié)議的VPN產(chǎn)品。在企業(yè)中心部署SSL VPN設(shè)備,無(wú)需安裝客戶端軟件,授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的WEB瀏覽器和互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)資源。
SSL VPN產(chǎn)品最適合于遠(yuǎn)程單機(jī)用戶與中心之間的虛擬網(wǎng)構(gòu)建。
整個(gè)VPN通信過(guò)程可以簡(jiǎn)化為以下4個(gè)步驟:
?。?)客戶機(jī)向VPN服務(wù)器發(fā)出連接請(qǐng)求。
?。?)VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份認(rèn)證的請(qǐng)求,客戶機(jī)與VPN服務(wù)器通過(guò)信息的交換確認(rèn)對(duì)方的身份,這種身份確認(rèn)是雙向的。
(3)VPN服務(wù)器與客戶機(jī)在確認(rèn)身份的前提下開(kāi)始協(xié)商安全隧道以及相應(yīng)的安全參數(shù),形成安全隧道。
?。?)最后VPN服務(wù)器將在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密,然后通過(guò)VPN隧道技術(shù)進(jìn)行封裝。加密。傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。
目前國(guó)外公開(kāi)的相關(guān)VPN產(chǎn)品多數(shù)采用軟件加密的方式,加解密算法也多使用通用的3DES。RSA加解密算法,不符合國(guó)家密碼產(chǎn)品管理和應(yīng)用的要求。《商用密碼管理?xiàng)l例》(中華人民共和國(guó)國(guó)務(wù)院第273號(hào)令,1999年10月7日發(fā)布)第四章第十四條規(guī)定:任何單位或者個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品,不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品。國(guó)家密碼管理局在2009年針對(duì)VPN產(chǎn)品下發(fā)了《IPSec VPN技術(shù)規(guī)范》和《SSL VPN技術(shù)規(guī)范》,明確要求了VPN產(chǎn)品的技術(shù)體系和算法要求。
5.VPN技術(shù)在等級(jí)保護(hù)中的應(yīng)用
在三級(jí)防護(hù)四大方面的設(shè)計(jì)要求中,VPN技術(shù)可以說(shuō)是在四大方面的設(shè)計(jì)要求中都有廣泛的應(yīng)用:
在安全計(jì)算環(huán)境的設(shè)計(jì)要求中:首先在實(shí)現(xiàn)身份鑒別方面,在用戶訪問(wèn)的中心,系統(tǒng)管理員都統(tǒng)一建立的有用戶的用戶組和用戶名,用戶會(huì)通過(guò)VPN的設(shè)備登錄訪問(wèn)中心的應(yīng)用系統(tǒng),當(dāng)身份得到鑒別通過(guò)時(shí)才可訪問(wèn)應(yīng)用系統(tǒng);其次在數(shù)據(jù)的完整性保護(hù)和保密性保護(hù)上都能夠防止用戶的數(shù)據(jù)在傳輸過(guò)程中被惡意篡改和盜取。
在安全區(qū)域邊界的設(shè)計(jì)要求中:網(wǎng)絡(luò)邊界子系統(tǒng)的邊界控制與VPN功能一體化實(shí)現(xiàn),在保證傳輸安全性的同時(shí)提高網(wǎng)絡(luò)數(shù)據(jù)包處理效率。
在安全通信網(wǎng)絡(luò)的設(shè)計(jì)要求中:網(wǎng)絡(luò)安全通信的子系統(tǒng)主要是為跨區(qū)域邊界的通信雙方建立安全的通道,通過(guò)IPSEC協(xié)議建立安全的VPN隧道傳輸數(shù)據(jù)。完成整個(gè)應(yīng)用系統(tǒng)中邊界或部門(mén)服務(wù)器邊界的安全防護(hù),為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的間的信息的安全傳輸提供加密。身份鑒別及訪問(wèn)控制等安全機(jī)制。在客戶端和應(yīng)用服務(wù)器進(jìn)出的總路由前添加網(wǎng)絡(luò)VPN網(wǎng)關(guān),通過(guò)IPSEC協(xié)議或者SSL協(xié)議建立VPN隧道為進(jìn)出的數(shù)據(jù)提供加密傳輸,實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的加密通信。
在安全管理中心的設(shè)計(jì)要求中:系統(tǒng)管理中,VPN技術(shù)在主機(jī)資源和用戶管理能夠?qū)崿F(xiàn)很好的保護(hù),對(duì)用戶登錄、外設(shè)接口、網(wǎng)絡(luò)通信、文件操作及進(jìn)程服務(wù)等方面進(jìn)行監(jiān)視機(jī)制,確保重要信息安全可控,滿足對(duì)主機(jī)的安全監(jiān)管需要。
6.結(jié)束語(yǔ)
VPN技術(shù)不僅會(huì)大大節(jié)省企業(yè)網(wǎng)的建設(shè)和運(yùn)行維護(hù)費(fèi)用,而且增強(qiáng)了網(wǎng)絡(luò)的可靠性和安全性,滿足信息系統(tǒng)安全等級(jí)保護(hù)要求,VPN技術(shù)和產(chǎn)品對(duì)推動(dòng)信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)將起到不可低估的作用。