vpn技術(shù)論文范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)vpn技術(shù)論文文章,供您閱讀參考。期待這些文章能為您帶來(lái)啟發(fā),助您在寫(xiě)作的道路上更上一層樓。
第1篇
關(guān)鍵詞:虛擬專(zhuān)用網(wǎng)vpn遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)安全
引言
隨著信息時(shí)代的來(lái)臨,企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升,信息管理范圍不斷擴(kuò)大,不論是企業(yè)內(nèi)部職能部門(mén),還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員,都需要同企業(yè)總部之間建立起一個(gè)快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信,實(shí)現(xiàn)企業(yè)外部分支機(jī)構(gòu)遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問(wèn)題。
一、VPN技術(shù)簡(jiǎn)介
VPN(VirtualPrivateNetwork)即虛擬專(zhuān)用網(wǎng)絡(luò),指的是依靠ISP(Internet服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商)在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù),通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸,在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專(zhuān)用網(wǎng)絡(luò)。在隧道的發(fā)起端(即服務(wù)端),用戶(hù)的私有數(shù)據(jù)經(jīng)過(guò)封裝和加密之后在Internet上傳輸,到了隧道的接收端(即客戶(hù)端),接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地到達(dá)用戶(hù)端。
VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境,是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過(guò)隧道加密技術(shù)達(dá)到類(lèi)似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能,具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪問(wèn),通過(guò)安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶(hù)、現(xiàn)場(chǎng)服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來(lái),構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng),此外它還提供了對(duì)移動(dòng)用戶(hù)和漫游用戶(hù)的支持,使網(wǎng)絡(luò)時(shí)代的移動(dòng)辦公成為現(xiàn)實(shí)。
隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展,基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長(zhǎng)足發(fā)展。根據(jù)企業(yè)的商務(wù)活動(dòng),需要一些固定的生意伙伴、供應(yīng)商、客戶(hù)也能夠訪問(wèn)本企業(yè)的局域網(wǎng),從而簡(jiǎn)化信息傳遞的路徑,加快信息交換的速度,提高企業(yè)的市場(chǎng)響應(yīng)速度和決策速度。同時(shí),圍繞企業(yè)自身的發(fā)展戰(zhàn)略,企業(yè)的分支機(jī)構(gòu)越來(lái)越多,企業(yè)需要與各分支機(jī)構(gòu)之間建立起信息相互訪問(wèn)的渠道。面對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問(wèn)題,VPN技術(shù)無(wú)疑給我們提供了一個(gè)很好的解決思路。VPN可以幫助遠(yuǎn)程用戶(hù)同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上,大幅度地減少了企業(yè)、分支機(jī)構(gòu)、供應(yīng)商和客戶(hù)花在信息傳遞環(huán)節(jié)的時(shí)間,降低了企業(yè)局域網(wǎng)和Internet安全對(duì)接的成本。VPN的應(yīng)用建立在一個(gè)全開(kāi)放的Internet環(huán)境之中,這樣就大大簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理,滿足了不斷增長(zhǎng)的移動(dòng)用戶(hù)和Internet用戶(hù)的接入,以實(shí)現(xiàn)安全快捷的網(wǎng)絡(luò)連接。
二、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析
VPN技術(shù)類(lèi)型有很多種,在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天,可以利用Internet網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)VPN服務(wù)器架構(gòu)以及客戶(hù)端連接應(yīng)用,基于Internet環(huán)境的VPN技術(shù)具有成本低、安全性好、接入方便等特點(diǎn),能夠很好的滿足企業(yè)對(duì)VPN的常規(guī)需求。
2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶(hù)端、VPN連接、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端,用戶(hù)的私有數(shù)據(jù)經(jīng)過(guò)隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸,通過(guò)虛擬隧道到達(dá)接收端,接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地傳送給終端用戶(hù),最終形成數(shù)據(jù)交互。基于Internet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個(gè)部分組成:隧道技術(shù),數(shù)據(jù)加密和用戶(hù)認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式,并利用IP協(xié)議以安全方式在Internet上傳送;數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜取;用戶(hù)認(rèn)證則保證未獲認(rèn)證的用戶(hù)無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸,因此安全問(wèn)題是VPN技術(shù)的核心問(wèn)題,目前,VPN的安全保證主要是通過(guò)防火墻和路由器,配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的,以此確保遠(yuǎn)程客戶(hù)端能夠安全地訪問(wèn)VPN服務(wù)器。
在運(yùn)行性能方面,隨著企業(yè)電子商務(wù)活動(dòng)的激增,信息處理量日益增加,網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來(lái)極大的影響。因此制定VPN方案時(shí)應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進(jìn)行控制來(lái)確保其性能。我們可以通過(guò)VPN管理平臺(tái)來(lái)定義管理策略,分配基于數(shù)據(jù)傳輸重要性的接口帶寬,這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則,又不會(huì)屏蔽低優(yōu)先級(jí)的應(yīng)用。考慮到網(wǎng)絡(luò)設(shè)施的日益完善、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶(hù)數(shù)量的快速增長(zhǎng),對(duì)與復(fù)雜的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵。因此VPN方案要有一個(gè)固定的管理策略以減輕管理、報(bào)告等方面的負(fù)擔(dān),管理平臺(tái)要有一個(gè)定義安全策略的簡(jiǎn)單方法,將安全策略進(jìn)行合理分布,并能管理大量網(wǎng)絡(luò)設(shè)備,確保整個(gè)運(yùn)行環(huán)境的安全穩(wěn)定。
三、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計(jì)與應(yīng)用
企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計(jì)出VPN網(wǎng)絡(luò),無(wú)需鋪設(shè)專(zhuān)用的網(wǎng)絡(luò)通訊線路,即可實(shí)現(xiàn)遠(yuǎn)程終端對(duì)企業(yè)資源的訪問(wèn)和共享。在實(shí)際應(yīng)用中,VPN服務(wù)端需要建立在Windows服務(wù)器的運(yùn)行環(huán)境中,客戶(hù)端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶(hù)端的配置。
3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱(chēng)之為“路由和遠(yuǎn)程訪問(wèn)”,需要對(duì)此服務(wù)進(jìn)行必要的配置使其生效。
3.1.1VPN服務(wù)的配置。桌面上選擇“開(kāi)始”“管理工具”“路由和遠(yuǎn)程訪問(wèn)”,打開(kāi)“路由和遠(yuǎn)程訪問(wèn)”服務(wù)窗口;鼠標(biāo)右鍵點(diǎn)擊本地計(jì)算機(jī)名,選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”;在出現(xiàn)的配置向?qū)Т翱邳c(diǎn)下一步,進(jìn)入服務(wù)選擇窗口;標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡(分別對(duì)應(yīng)內(nèi)網(wǎng)和外網(wǎng)),選擇“遠(yuǎn)程訪問(wèn)(撥號(hào)或VPN)”;外網(wǎng)使用的是Internet撥號(hào)上網(wǎng),因此在彈出的窗口中選擇“VPN”;下一步連接到Internet的網(wǎng)絡(luò)接口,此時(shí)會(huì)看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址,選擇連接外網(wǎng)的網(wǎng)卡;在對(duì)遠(yuǎn)程客戶(hù)端指派地址的時(shí)候,一般選擇“來(lái)自一個(gè)指定的地址范圍”,根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址,新建一個(gè)指定的起始IP地址和結(jié)束IP地址。最后,“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成。
3.1.2賦予用戶(hù)撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶(hù)均被拒絕撥入到VPN服務(wù)器上,因此需要為遠(yuǎn)端用戶(hù)賦予撥入權(quán)限。在“管理工具”中打開(kāi)“計(jì)算機(jī)管理”控制臺(tái);依次展開(kāi)“本地用戶(hù)和組”“用戶(hù)”,選中用戶(hù)并進(jìn)入用戶(hù)屬性設(shè)置;轉(zhuǎn)到“撥入”選項(xiàng)卡,在“選擇訪問(wèn)權(quán)限(撥入或VPN)”選項(xiàng)組下選擇“允許訪問(wèn)”,即賦予了遠(yuǎn)端用戶(hù)撥入VPN服務(wù)器的權(quán)限。
3.2VPN客戶(hù)端配置VPN客戶(hù)端適用范圍更廣,這里以Windows2003為例說(shuō)明,其它的Windows操作系統(tǒng)配置步驟類(lèi)似。
在桌面“網(wǎng)上鄰居”圖標(biāo)點(diǎn)右鍵選屬性,之后雙擊“新建連接向?qū)А贝蜷_(kāi)向?qū)Т翱诤簏c(diǎn)下一步;接著在“網(wǎng)絡(luò)連接類(lèi)型”窗口里選擇“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”;在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專(zhuān)用網(wǎng)絡(luò)連接”;接著為此連接命名后點(diǎn)下一步;在“VPN服務(wù)器選擇”窗口里,輸入VPN服務(wù)端地址,可以是固定IP,也可以是服務(wù)器域名;點(diǎn)下一步依次完成客戶(hù)端設(shè)置。在連接的登陸窗口中輸入服務(wù)器所指定的用戶(hù)名和密碼,即可連接上VPN服務(wù)器端。:
3.3連接后的共享操作當(dāng)VPN客戶(hù)端撥入連接以后,即可訪問(wèn)服務(wù)器所在局域網(wǎng)里的信息資源,就像并入局域網(wǎng)一樣適用。遠(yuǎn)程用戶(hù)既可以使用企業(yè)OA,ERP等信息管理系統(tǒng),也可以使用文件共享和打印等共享資源。
四、小結(jié)
現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò),在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)以及企業(yè)電子商務(wù)環(huán)境中,虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個(gè)很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專(zhuān)用網(wǎng)絡(luò),從而為企業(yè)用戶(hù)提供了一個(gè)低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù),是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價(jià)值,在未來(lái)的企業(yè)信息化建設(shè)中具有廣闊的前景。
參考文獻(xiàn):
第2篇
一、現(xiàn)代金融網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀
就金融業(yè)目前的大部分網(wǎng)絡(luò)應(yīng)用而言,典型的省內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)一般是由一個(gè)總部(省級(jí)網(wǎng)絡(luò)中心)和若干個(gè)地市分支機(jī)構(gòu)、以及數(shù)量不等的合作伙伴和移動(dòng)遠(yuǎn)程(撥號(hào))用戶(hù)所組成。除遠(yuǎn)程用戶(hù)外,其余各地市分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)系統(tǒng)。其中省級(jí)局域網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心,為金融機(jī)構(gòu)中心服務(wù)所在地,同時(shí)也是該金融企業(yè)的省級(jí)網(wǎng)絡(luò)管理中心。而各地市及合作伙伴之間的聯(lián)接方式則多種多樣,包括遠(yuǎn)程撥號(hào)、專(zhuān)線、Internet等。
從省級(jí)和地市金融機(jī)構(gòu)的互聯(lián)方式來(lái)看,可以分為以下三種模式:(1)移動(dòng)用戶(hù)和遠(yuǎn)程機(jī)構(gòu)用戶(hù)通過(guò)撥號(hào)訪問(wèn)網(wǎng)絡(luò),撥號(hào)訪問(wèn)本身又可分為通過(guò)電話網(wǎng)絡(luò)撥入管理中心訪問(wèn)服務(wù)器和撥入網(wǎng)絡(luò)服務(wù)提供商兩種方式;(2)各地市遠(yuǎn)程金融分支機(jī)構(gòu)局域網(wǎng)通過(guò)專(zhuān)線或公共網(wǎng)絡(luò)與總部局域網(wǎng)絡(luò)連接;(3)合作伙伴(客戶(hù)、供應(yīng)商)局域網(wǎng)通過(guò)專(zhuān)線或公共網(wǎng)絡(luò)與總部局域網(wǎng)連接。
由于各類(lèi)金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)均有其特定的發(fā)展歷史,其網(wǎng)絡(luò)技術(shù)的運(yùn)用也是傳統(tǒng)技術(shù)和先進(jìn)技術(shù)兼收并蓄。通常在金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)建設(shè)過(guò)程中,主要側(cè)重于網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性并確保金融機(jī)構(gòu)的正常生產(chǎn)營(yíng)運(yùn)。
就網(wǎng)絡(luò)信息系統(tǒng)安全而言,目前金融機(jī)構(gòu)的安全防范機(jī)制仍然是脆弱的,一般金融機(jī)構(gòu)僅利用了一些常規(guī)的安全防護(hù)措施,這些措施包括利用操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)自身的安全設(shè)施;購(gòu)買(mǎi)并部署商用的防火墻和防病毒產(chǎn)品等。在應(yīng)用程序的設(shè)計(jì)中,也僅考慮到了部分信息安全問(wèn)題。應(yīng)該說(shuō)這在金融業(yè)務(wù)網(wǎng)絡(luò)建設(shè)初期的客觀環(huán)境下是可行的,也是客觀條件限制下的必然。由于業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中大量采用不是專(zhuān)為安全系統(tǒng)設(shè)計(jì)的各種版本的商用基礎(chǔ)軟件,這些軟件通常僅具備一些基本的安全功能,而且在安裝時(shí)的缺省配置往往更多地照顧了使用的方便性而忽略了系統(tǒng)的安全性,如考慮不周很容易留下安全漏洞。此外,金融機(jī)構(gòu)在獲得公共Internet信息服務(wù)的同時(shí)并不能可靠地獲得安全保障,Internet服務(wù)提供商(ISP)采取的安全手段都是為了保護(hù)他們自身和他們核心服務(wù)的可靠性,而不是保護(hù)他們的客戶(hù)不被攻擊,他們對(duì)于你的安全問(wèn)題的反應(yīng)可能是提供建議,也可能是盡力幫助,或者只是關(guān)閉你的連接直到你恢復(fù)正常。因此,總的來(lái)說(shuō)金融系統(tǒng)中的大部分網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)沒(méi)有達(dá)到與金融系統(tǒng)信息的重要性相稱(chēng)的安全級(jí)別,有的甚至對(duì)于一些常規(guī)的攻擊手段也無(wú)法抵御,這些都是金融管理信息系統(tǒng)亟待解決的安全問(wèn)題。
二、現(xiàn)代金融網(wǎng)絡(luò)面臨的威脅及安全需求
目前金融系統(tǒng)存在的網(wǎng)絡(luò)安全威脅,就其攻擊手段而言可分為針對(duì)信息的攻擊、針對(duì)系統(tǒng)的攻擊、針對(duì)使用者的攻擊以及針對(duì)系統(tǒng)資源的攻擊等四類(lèi),而實(shí)施安全攻擊的人員則可能是外部人員,也可能是機(jī)構(gòu)內(nèi)部人員。
針對(duì)信息的攻擊是最常見(jiàn)的攻擊行為,信息攻擊是針對(duì)處于傳輸和存儲(chǔ)形態(tài)的信息進(jìn)行的,其攻擊地點(diǎn)既可以在局域網(wǎng)內(nèi),也可以在廣域網(wǎng)上。針對(duì)信息的攻擊手段的可怕之處在于其隱蔽性和突然性,攻擊者可以不動(dòng)聲色地竊取并利用信息,而無(wú)慮被發(fā)現(xiàn);犯罪者也可以在積聚足夠的信息后驟起發(fā)難,進(jìn)行敲詐勒索。此類(lèi)案件見(jiàn)諸報(bào)端層出不窮,而未公開(kāi)案例與之相比更是數(shù)以倍數(shù)。
利用系統(tǒng)(包括操作系統(tǒng)、支撐軟件及應(yīng)用系統(tǒng))固有的或系統(tǒng)配置及管理過(guò)程中的安全漏洞,穿透或繞過(guò)安全設(shè)施的防護(hù)策略,達(dá)到非法訪問(wèn)直至控制系統(tǒng)的目的,并以此為跳板,繼續(xù)攻擊其他系統(tǒng)。由于我國(guó)的網(wǎng)絡(luò)信息系統(tǒng)中大量采用不是專(zhuān)為安全系統(tǒng)設(shè)計(jì)的基礎(chǔ)軟件和支撐平臺(tái),為了照顧使用的方便性而忽略了安全性,導(dǎo)致許多安全漏洞的產(chǎn)生,如果再考慮到某些軟件供應(yīng)商出于政治或經(jīng)濟(jì)的目的,可能在系統(tǒng)中預(yù)留“后門(mén)”,因此必須采用有效的技術(shù)手段加以預(yù)防。
針對(duì)使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑,攻擊者多利用管理者和使用者安全意識(shí)不強(qiáng)、管理制度松弛、認(rèn)證技術(shù)不嚴(yán)密的特點(diǎn),通過(guò)種種手段竊取系統(tǒng)權(quán)限,通過(guò)合法程序來(lái)達(dá)到非法目的,并可在事后嫁禍他人或毀滅證據(jù),導(dǎo)致此類(lèi)攻擊難以取證。
針對(duì)資源的攻擊是以各種手段耗盡系統(tǒng)某一資源,使之喪失繼續(xù)提供服務(wù)的能力,因此又稱(chēng)為拒絕服務(wù)類(lèi)攻擊。拒絕服務(wù)攻擊的高級(jí)形式為分布式拒絕服務(wù)攻擊,即攻擊者利用其所控制的成百上千個(gè)系統(tǒng)同時(shí)發(fā)起攻擊,迫使攻擊對(duì)象癱瘓。由于針對(duì)資源的攻擊利用的是現(xiàn)有的網(wǎng)絡(luò)架構(gòu),尤其是Internet以及TCP/IP協(xié)議的固有缺陷,因此在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒(méi)有得到大的改進(jìn)前,難以徹底解決。
金融的安全需求安全包括五個(gè)基本要素:機(jī)密性、完整性、可用性、可審查性和可控性。目前國(guó)內(nèi)金融機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)重點(diǎn)解決好網(wǎng)絡(luò)內(nèi)部的信息流動(dòng)及操作層面所面臨的安全問(wèn)題,即總部和分支機(jī)構(gòu)及合作伙伴之間在各個(gè)層次上的信息傳輸安全和網(wǎng)絡(luò)訪問(wèn)控制問(wèn)題。網(wǎng)絡(luò)系統(tǒng)需要解決的關(guān)鍵安全問(wèn)題概括起來(lái)主要有:傳輸信息的安全、節(jié)點(diǎn)身份認(rèn)證、交易的不可抵賴(lài)性和對(duì)非法攻擊事件的可追蹤性。
必須指出:網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息環(huán)境,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。金融行業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。
三、網(wǎng)絡(luò)安全基本技術(shù)與VPN技術(shù)
解決網(wǎng)絡(luò)信息系統(tǒng)安全保密問(wèn)題的兩項(xiàng)主要基礎(chǔ)技術(shù)為網(wǎng)絡(luò)訪問(wèn)控制技術(shù)和密碼技術(shù)。網(wǎng)絡(luò)訪問(wèn)控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù),抵抗各種外來(lái)攻擊。密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶(hù)身份、抗否認(rèn)等。
密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一,實(shí)際上,數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下,數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法。一個(gè)加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶(hù)的搭線竊聽(tīng)和入網(wǎng),而且也是對(duì)付惡意軟件的有效方法,這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù),在現(xiàn)代金融的網(wǎng)絡(luò)安全的應(yīng)用上起著非常關(guān)鍵的作用。
虛擬專(zhuān)用網(wǎng)絡(luò)(VPN:VirtualPrivateNetwork)技術(shù)就是在網(wǎng)絡(luò)層通過(guò)數(shù)據(jù)包封裝技術(shù)和密碼技術(shù),使數(shù)據(jù)包在公共網(wǎng)絡(luò)中通過(guò)“加密管道”傳播,從而在公共網(wǎng)絡(luò)中建立起安全的“專(zhuān)用”網(wǎng)絡(luò)。利用VPN技術(shù),金融機(jī)構(gòu)只需要租用本地的數(shù)據(jù)專(zhuān)線,連接上本地的公眾信息網(wǎng),各地的機(jī)構(gòu)就可以互相安全的傳遞信息;另外,金融機(jī)構(gòu)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶(hù)撥號(hào)到公眾信息網(wǎng)上,就可以安全的連接進(jìn)入金融機(jī)構(gòu)網(wǎng)絡(luò)中,進(jìn)行各類(lèi)網(wǎng)絡(luò)結(jié)算和匯兌。
綜合利用網(wǎng)絡(luò)互聯(lián)的隧道技術(shù)、數(shù)據(jù)加密技術(shù)、網(wǎng)絡(luò)訪問(wèn)控制技術(shù),并通過(guò)適當(dāng)?shù)拿荑€管理機(jī)制,在公共的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的虛擬專(zhuān)用網(wǎng)絡(luò)系統(tǒng),可以實(shí)現(xiàn)完整的集成化金融機(jī)構(gòu)范圍VPN安全解決方案。對(duì)于現(xiàn)行的金融行業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng),采用VPN技術(shù)可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下,極大地提高系統(tǒng)的安全性能,是一種較為理想的基礎(chǔ)解決方案。
當(dāng)今VPN技術(shù)中對(duì)數(shù)據(jù)包的加解密一般應(yīng)用在網(wǎng)絡(luò)層(對(duì)于TCP/IP網(wǎng)絡(luò),發(fā)生在IP層),從而既克服了傳統(tǒng)的鏈(線)路加密技術(shù)對(duì)通訊方式、傳輸介質(zhì)、傳輸協(xié)議依賴(lài)性高,適應(yīng)性差,無(wú)統(tǒng)一標(biāo)準(zhǔn)等缺陷,又避免了應(yīng)用層端——端加密管理復(fù)雜、互通性差、安裝和系統(tǒng)遷移困難等問(wèn)題,使得VPN技術(shù)具有節(jié)省成本、適應(yīng)性好、標(biāo)準(zhǔn)化程度高、便于管理、易于與其他安全和系統(tǒng)管理技術(shù)融合等優(yōu)勢(shì),成為目前和今后金融安全網(wǎng)絡(luò)發(fā)展的一個(gè)必然趨勢(shì)。
從應(yīng)用上看虛擬專(zhuān)用網(wǎng)可以分為虛擬企業(yè)網(wǎng)和虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)(VPDN)。虛擬企業(yè)網(wǎng)主要是使用專(zhuān)線上網(wǎng)的部分企業(yè)、合作伙伴間的虛擬專(zhuān)網(wǎng);虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)是使用電話撥號(hào)(PPP撥號(hào))上網(wǎng)的遠(yuǎn)程用戶(hù)與企業(yè)網(wǎng)間的虛擬專(zhuān)網(wǎng)。虛擬專(zhuān)網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道,構(gòu)造這條安全通道的協(xié)議應(yīng)該具備以下條件:保證數(shù)據(jù)的真實(shí)性,通訊主機(jī)必須是經(jīng)過(guò)授權(quán)的,要有抵抗地址假冒(IPSpoofing)的能力。保證數(shù)據(jù)的完整性,接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致,要有抵抗不法分子篡改數(shù)據(jù)的能力。保證通道的機(jī)密性,提供強(qiáng)有力的加密手段,必須使竊聽(tīng)者不能破解攔截到的通道數(shù)據(jù)。提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)。提供安全保護(hù)措施和訪問(wèn)控制,具有抵抗黑客通過(guò)VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力,并且可以對(duì)VPN通道進(jìn)行訪問(wèn)控制。
第3篇
在南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)中的應(yīng)用按照南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)業(yè)務(wù)網(wǎng)的高安全可靠性要求,結(jié)合南水北調(diào)中線工程需求,一方面在網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)上采用層次化結(jié)構(gòu),按照業(yè)務(wù)類(lèi)別進(jìn)行物理劃分;另一方面,利用MPLSVPN技術(shù)將各應(yīng)用系統(tǒng)在邏輯上劃分為獨(dú)立的網(wǎng)絡(luò)。根據(jù)現(xiàn)有MPLSVPN計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)技術(shù),整個(gè)網(wǎng)絡(luò)配置成一個(gè)MPLS域,將核心層、骨干層路由器配置成P設(shè)備,區(qū)域?qū)雍徒尤雽勇酚善髟O(shè)備全部配置成PE設(shè)備;P和PE設(shè)備之間運(yùn)行MPLSLDP協(xié)議,所有PE路由器之間運(yùn)行MP-iBGP協(xié)議。將接入層交換機(jī)作為CE,經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備;PE設(shè)備為每個(gè)接入的VPN用戶(hù)建立并維護(hù)獨(dú)立的VRF,根據(jù)CE設(shè)備接入端口的不同,控制其進(jìn)入相應(yīng)的VPN中,實(shí)現(xiàn)與其他VPN應(yīng)用系統(tǒng)和網(wǎng)管類(lèi)流量的隔離。總公司、分公司、管理處的各應(yīng)用系統(tǒng)都通過(guò)專(zhuān)用的應(yīng)用系統(tǒng)LAN交換機(jī)接入,局域網(wǎng)主干交換機(jī)作為CE,經(jīng)二層鏈路采用靜態(tài)路由連接到接入層PE設(shè)備;PE設(shè)備為每個(gè)應(yīng)用系統(tǒng)建立并維護(hù)獨(dú)立的VRF,根據(jù)CE設(shè)備接入端口的不同,控制其進(jìn)入相應(yīng)的應(yīng)用系統(tǒng)VPN中,實(shí)現(xiàn)與其他應(yīng)用系統(tǒng)和網(wǎng)管類(lèi)流量的隔離。
2MPLSVPN互訪策略
在南水北調(diào)自動(dòng)化業(yè)務(wù)系統(tǒng)中的應(yīng)用按照MPLSVPN劃分的原則,不同MPLSVPN之間不能互相訪問(wèn),這確保了VPN的安全可靠性。但是,南水北調(diào)中線干線工程自動(dòng)化應(yīng)用系統(tǒng)之間存在MPLSVPN子系統(tǒng)之間、用戶(hù)至不同業(yè)務(wù)系統(tǒng)服務(wù)器之間的受控互訪的需求。也就是說(shuō),網(wǎng)絡(luò)需要方便地控制不同MPLSVPN之間的互訪,而且要實(shí)現(xiàn)嚴(yán)格控制互訪;同時(shí),為保障各業(yè)務(wù)系統(tǒng)安全,需要對(duì)用戶(hù)訪問(wèn)采取控制措施。
2.1MPLSVPN子系統(tǒng)之間互訪
通過(guò)BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式,通過(guò)MP-BGP協(xié)議配置建立路由信息,來(lái)達(dá)到不同VPN之間的路由擴(kuò)散;通過(guò)VPN內(nèi)部的路由器(或防火墻)做地址過(guò)濾、報(bào)文過(guò)濾等方式控制訪問(wèn)的用戶(hù)。上述兩種方式結(jié)合使用,實(shí)現(xiàn)了子系統(tǒng)的靈活受控互訪。
2.2應(yīng)用終端交互訪問(wèn)不同MPLSVPN
2.2.1方案一
NAT方案此種方案是將多用途終端主機(jī)的業(yè)務(wù)流在CE進(jìn)行分類(lèi),不同的業(yè)務(wù)流進(jìn)行不同的靜態(tài)NAT(映射不同的IP地址)。對(duì)每個(gè)業(yè)務(wù)系統(tǒng)的主機(jī)/服務(wù)器可以分配連續(xù)的地址空間,PE設(shè)備只需要維護(hù)較為簡(jiǎn)單的路由表,CE配置確定后一般不需要修改。
2.2.2方案二
PE節(jié)點(diǎn)作訪問(wèn)控制在PE設(shè)備上,通過(guò)多角色主機(jī)技術(shù),將某個(gè)VRF中指定的路由(特殊終端的路由),引入到另外一個(gè)VRF中,在PE的CE側(cè)接口上配置策略路由,當(dāng)流量匹配ACL,則重定向到VPN組,查找并轉(zhuǎn)發(fā),從而實(shí)現(xiàn)不同的MPLSVPN可以同時(shí)訪問(wèn)該特殊終端。
2.2.3方案三
802.1X強(qiáng)制認(rèn)證+Windows域管理802.1X協(xié)議在利用IEEE802局域網(wǎng)優(yōu)勢(shì)的基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)的用戶(hù)進(jìn)行認(rèn)證和授權(quán)的手段,與VRF路由表的導(dǎo)入導(dǎo)出機(jī)制結(jié)合使用,從而達(dá)到接受合法用戶(hù)接入、保護(hù)網(wǎng)絡(luò)安全的目的。用戶(hù)訪問(wèn)其他MPLSVPN,需要禁用、再啟用網(wǎng)卡,重新輸入不同MPLSVPN的不同身份信息實(shí)現(xiàn)。顯然,基于PE節(jié)點(diǎn)作訪問(wèn)控制的方案配置簡(jiǎn)單,傳輸效率高,互通網(wǎng)絡(luò)可靠性強(qiáng),無(wú)論從網(wǎng)絡(luò)實(shí)現(xiàn)、網(wǎng)絡(luò)性能、網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)管理各方面分析,更適用于南水北調(diào)中線干線工程自動(dòng)化各系統(tǒng)應(yīng)用終端交互訪問(wèn)不同的MPLSVPN。
3結(jié)語(yǔ)