1、跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全實(shí)踐的路徑建設(shè)1 概述在計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的今天，網(wǎng)絡(luò)營銷，電子商務(wù)等快速進(jìn)入企業(yè)業(yè)務(wù)活動中，企業(yè)總部、企業(yè)地方分支機(jī)構(gòu)、移動出差人員，充分利用Internet的公共資源及便利條件，通過VPN（Virtual Private Network，虛擬專用網(wǎng)）技術(shù)它們連接在一起，形成一個(gè)跨地域更大的網(wǎng)絡(luò)，方便企業(yè)用戶、分支機(jī)構(gòu)及合作伙伴隨時(shí)隨地的接入并訪問企業(yè)網(wǎng)絡(luò)，與企業(yè)總部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)信息安全傳輸與交流，不但給企業(yè)帶來數(shù)字化時(shí)代，方便信息交流與企業(yè)的管理，而且也給企業(yè)帶來不菲的經(jīng)濟(jì)效益，與此同時(shí)，也給企業(yè)網(wǎng)帶來了安全隱患，數(shù)據(jù)信息如何跨越公共網(wǎng)絡(luò)的復(fù)雜環(huán)境進(jìn)

2、行安全的遠(yuǎn)程傳輸成為關(guān)鍵。對于中小型企業(yè)資金相對比較貧乏，技術(shù)力量薄弱這種情況，研究經(jīng)濟(jì)實(shí)用的遠(yuǎn)程數(shù)據(jù)信息安全性傳輸就顯得非常重要。2 中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需求國有大中型企業(yè)是我國的經(jīng)濟(jì)支柱，中小企業(yè)是我國經(jīng)濟(jì)組成的重要組成部分，我國中小型企業(yè)眾多，對計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用比較簡單，沒有很好的利用Internet的優(yōu)勢，實(shí)現(xiàn)企業(yè)經(jīng)濟(jì)的騰飛及壯大。中小型企業(yè)網(wǎng)絡(luò)主要應(yīng)用是日常辦公，數(shù)據(jù)處理，屬于單機(jī)版;類型，或者企業(yè)分支機(jī)構(gòu)與總部就是簡單通過電子郵件，或者qq進(jìn)行企業(yè)數(shù)據(jù)信息傳輸，這樣安全保密性太差。主要原因是：1） 中小型企業(yè)資金比較貧乏，沒有更多的資金來購買成熟網(wǎng)絡(luò)安全產(chǎn)品，而且成熟的網(wǎng)絡(luò)安全產(chǎn)

3、品價(jià)格一般比較昂貴，主要面向大型企業(yè)。中小型企業(yè)分布廣，業(yè)務(wù)靈活，經(jīng)濟(jì)實(shí)惠的遠(yuǎn)程數(shù)據(jù)安全傳輸解決方案甚少，而且技術(shù)復(fù)雜，維護(hù)較難，不能滿足中小企業(yè)的需要。2） 中小型企業(yè)技術(shù)力量薄弱，沒有專業(yè)的網(wǎng)絡(luò)技術(shù)人員，一般是企業(yè)年輕的懂點(diǎn)計(jì)算機(jī)的員工兼職網(wǎng)絡(luò)管理，與專業(yè)網(wǎng)絡(luò)管理員還有一定的差距。3） 中小型企業(yè)網(wǎng)絡(luò)基本屬于一個(gè)信息孤島;，與外界進(jìn)行數(shù)據(jù)通信不能做到安全可靠傳輸，不能確保數(shù)據(jù)信息不泄露、不丟失、不被篡改等，影響企業(yè)的快速發(fā)展。3） 中小型企業(yè)領(lǐng)導(dǎo)重視網(wǎng)絡(luò)建設(shè)還不夠，網(wǎng)絡(luò)建設(shè)相對比較簡單，根據(jù)中小型企業(yè)目前對網(wǎng)絡(luò)的需要及依賴，進(jìn)行簡單網(wǎng)絡(luò)建設(shè)，沒有長遠(yuǎn)的網(wǎng)絡(luò)建設(shè)規(guī)劃，致使企業(yè)在壯大的過程中，

4、網(wǎng)絡(luò)建設(shè)不能快步跟上，往往被忽視。中小企業(yè)網(wǎng)絡(luò)由于資金貧乏，技術(shù)力量不足等原因，在建設(shè)的初期就還可能留下許多漏洞與不足，這樣更容易被黑客攻擊。4） 中小型企業(yè)用戶不能進(jìn)行遠(yuǎn)程數(shù)據(jù)信息的安全可靠傳輸，企業(yè)員工，或者領(lǐng)導(dǎo)外地出差，或者分支機(jī)構(gòu)的網(wǎng)絡(luò)，就不能訪問企業(yè)網(wǎng)絡(luò)，不能遠(yuǎn)程進(jìn)行辦公，遠(yuǎn)程快速的進(jìn)行事務(wù)處理。5） 中小型企業(yè)與合作伙伴之間沒有利用互聯(lián)網(wǎng)的優(yōu)勢，在它們之間沒有建立一個(gè)企業(yè)擴(kuò)展網(wǎng)絡(luò)，導(dǎo)致數(shù)據(jù)信息的安全交流和企業(yè)的密切合作收到影響。在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，解決中小型企業(yè)的遠(yuǎn)程數(shù)據(jù)信息安全可靠的傳輸就變得越來越重要了，還需考慮方案的經(jīng)濟(jì)實(shí)用，維護(hù)簡單容易。對于中小企業(yè)網(wǎng)絡(luò)中傳輸?shù)闹匾獢?shù)據(jù)信息

5、，如財(cái)務(wù)報(bào)表等，必須保證數(shù)據(jù)信息完整性、可用性和機(jī)密性。完整性是數(shù)據(jù)信息在傳輸或存儲過程中保證沒有被修改，沒有被破壞，沒有被丟失等；可用性是數(shù)據(jù)信息可被授權(quán)實(shí)體訪問，并按需求使用的特性，即指定用戶訪問指定數(shù)據(jù)資源；機(jī)密性是保證數(shù)據(jù)信息網(wǎng)絡(luò)傳輸保密性和數(shù)據(jù)存儲的保密性，數(shù)據(jù)信息不會泄露給非授權(quán)的用戶、實(shí)體或過程。確保只有授權(quán)用戶才可以訪問指定數(shù)據(jù)資源，其他人限制對數(shù)據(jù)信息的讀寫等操作。3 經(jīng)濟(jì)實(shí)用安全方案從中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀及需求，利用VPN技術(shù)跨越Internet組建中小企業(yè)擴(kuò)展網(wǎng)絡(luò)，保證遠(yuǎn)程移動用戶、企業(yè)分支機(jī)構(gòu)和企業(yè)合作伙伴之間安全可靠的進(jìn)行遠(yuǎn)程數(shù)據(jù)信息傳輸。通過實(shí)踐實(shí)驗(yàn)，研究出經(jīng)濟(jì)實(shí)用，

6、安全可靠，配置和維護(hù)比較容易的中小型企業(yè)網(wǎng)絡(luò)安全性解決方案，如圖1所示。VPN服務(wù)器也稱為VPN網(wǎng)關(guān)，可以使用高性能的計(jì)算機(jī)來擔(dān)當(dāng)，并且安裝兩塊網(wǎng)絡(luò)適配器，一塊網(wǎng)絡(luò)適配器用于連接中小型企業(yè)內(nèi)部網(wǎng)絡(luò)，分配內(nèi)網(wǎng)IP地址，另一塊網(wǎng)絡(luò)適配器連接外部網(wǎng)絡(luò)，分配外網(wǎng)IP地址。VPN服務(wù)器是內(nèi)網(wǎng)和外網(wǎng)連接的必經(jīng)之路，服務(wù)于內(nèi)外兩個(gè)網(wǎng)絡(luò)，也是內(nèi)網(wǎng)的安全屏障，相當(dāng)于中小型企業(yè)的防火墻，它可以完成對訪問企業(yè)網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證、數(shù)據(jù)進(jìn)行加密解密處理、密鑰交換等。VPN服務(wù)器安裝Windows Server 2003操作系統(tǒng)，充分利用公共網(wǎng)絡(luò)Internet的資源，通過VPN技術(shù)，實(shí)現(xiàn)中小企業(yè)遠(yuǎn)程數(shù)據(jù)信息傳輸?shù)陌?/p>

7、全性、完整性，可用性和保密性。3.1 IPSec VPN保證數(shù)據(jù)信息遠(yuǎn)程安全傳輸1） VPN技術(shù)VPN又稱虛擬專用網(wǎng)，是在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)信息通過建立的虛擬加密安全隧道;在公共網(wǎng)絡(luò)上進(jìn)行傳輸，即充分利用公共網(wǎng)絡(luò)如Internet的資源，達(dá)到公網(wǎng)私用;的效果。中小企業(yè)只需接入Internet，就可以實(shí)現(xiàn)全國各地分支機(jī)構(gòu)，甚至全世界各地的分支機(jī)構(gòu)，都可以隨時(shí)隨地的訪問企業(yè)網(wǎng)絡(luò)，實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)信息的安全可靠傳輸。而且VPN具有節(jié)省成本、配置相對簡單、提供遠(yuǎn)程訪問、擴(kuò)展性較強(qiáng)、便于管理維護(hù)、實(shí)現(xiàn)全面控制等好處，是企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。2） IPSec協(xié)議IPSec是一個(gè)開放的應(yīng)用范圍廣泛的網(wǎng)絡(luò)

8、層VPN協(xié)議標(biāo)準(zhǔn)，是一套安全系統(tǒng)，包括安全協(xié)議選擇、安全算法、確定服務(wù)所使用的密鑰等服務(wù)，在網(wǎng)絡(luò)層為IP協(xié)議提供安全的保障，即IPSec可有效保護(hù)IP數(shù)據(jù)報(bào)的安全，如數(shù)據(jù)源驗(yàn)證、完整性校驗(yàn)、數(shù)據(jù)內(nèi)容加密解密和防重演保護(hù)等。保證企業(yè)網(wǎng)絡(luò)用戶的身份驗(yàn)證，保證經(jīng)過網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)信息完整性檢查，加密IP地址及數(shù)據(jù)信息保證其私有性和安全性。3） 基于IPSec的VPN技術(shù)基于IPSec的VPN技術(shù)解決了在Internet復(fù)雜的公網(wǎng)上所面臨的開放性及不安全因素的威脅，實(shí)現(xiàn)在不信任公共網(wǎng)絡(luò)中，通過虛擬安全隧道;進(jìn)行數(shù)據(jù)信息的安全傳輸。IPSec協(xié)議應(yīng)用于OSI參考模型的第三層網(wǎng)絡(luò)層，基于TCP/IP的所

9、有應(yīng)用都要通過IP層，將數(shù)據(jù)封裝成一個(gè)IP數(shù)據(jù)包后再進(jìn)行傳輸，所有要實(shí)現(xiàn)對上層網(wǎng)絡(luò)應(yīng)用軟件的全透明控制，即同時(shí)對上層多種應(yīng)用提供安全網(wǎng)絡(luò)服務(wù)，只需要在網(wǎng)絡(luò)層上采用VPN技術(shù)，基于IPSec的VPN技術(shù)提供了5種安全機(jī)制，即隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)、身份驗(yàn)證技術(shù)和防重演保護(hù)技術(shù)，通過基于IPSec的VPN技術(shù)，來保證傳輸數(shù)據(jù)的安全性、可用性、完整性和保密性【1】。（1）隧道技術(shù)，隧道也可稱為通道，是在公用網(wǎng)中建立一條虛擬加密通道，讓數(shù)據(jù)包或者數(shù)據(jù)幀通過這條隧道安全傳輸。使用虛擬安全隧道;傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或數(shù)據(jù)包。隧道;協(xié)議分為二、三層隧道協(xié)議，第二層隧道協(xié)議先把各種網(wǎng)

10、絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)幀裝入到隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)幀依靠第二層協(xié)議來傳輸，第二層協(xié)議包括PPTP、L2TP等。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入到隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層協(xié)議有GRE、IPSec等。這里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子協(xié)議保護(hù)IP數(shù)據(jù)包和IP數(shù)據(jù)首部不被第三方侵入，在兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)虛擬安全隧道; 用于數(shù)據(jù)信息的安全傳輸。授權(quán)用戶，通過IPSec安全策略的配置實(shí)現(xiàn)對網(wǎng)絡(luò)安全通信的保護(hù)意圖，其安全策略包括什

11、么時(shí)候什么地方對AH和ESP保護(hù)，保護(hù)什么樣的通信數(shù)據(jù)，什么時(shí)候什么地方進(jìn)行密鑰及保護(hù)強(qiáng)度的協(xié)商。IPSec通過認(rèn)證和鑰匙交換機(jī)制確保中小型網(wǎng)絡(luò)與其分支機(jī)構(gòu)網(wǎng)絡(luò)或合作伙伴進(jìn)行既安全又保密的信息傳輸。在計(jì)算機(jī)上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網(wǎng)絡(luò)的安全訪問。（2）加密解密技術(shù)，是為了保障虛擬安全隧道;的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取數(shù)據(jù)信息的能力，同時(shí)保證必須使偷聽者不能破解或解密攔截到的的數(shù)據(jù)信息，但是授權(quán)用戶可以通過解密技術(shù)，完整的訪問數(shù)據(jù)資源。（3）身份認(rèn)證技術(shù)是通過對企業(yè)分支用戶或遠(yuǎn)程用戶進(jìn)行

12、身份進(jìn)行驗(yàn)證，提供安全防護(hù)措施與訪問控制，包括對VPN安全隧道;訪問控制的功能，有效的抵抗黑客通過VPN通道攻擊中小型企業(yè)網(wǎng)絡(luò)的能力。通過VPN服務(wù)器對授權(quán)用戶的身份及權(quán)限的驗(yàn)證，嚴(yán)格控制授權(quán)的用戶訪問資源的權(quán)限。在每個(gè)VPN服務(wù)器上為遠(yuǎn)端用戶的身份驗(yàn)證憑據(jù)添加用戶信息，包括用戶名及密碼，并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。（4）密鑰交換技術(shù)，為了防止密鑰在Internet復(fù)雜的公網(wǎng)上傳輸過程中而不被竊取。提供密鑰中心管理服務(wù)器，現(xiàn)行的密鑰管理技術(shù)分為SKIP和ISAKMP/OAKLEY兩種。VPN技術(shù)能夠生成并更新客戶端和服務(wù)器的加密密鑰和密鑰的分發(fā)，實(shí)現(xiàn)動態(tài)密鑰管

13、理。如果采用L2TP/IPSec模式的站點(diǎn)到站點(diǎn)VPN連接，還需要在每個(gè)VPN服務(wù)器上同時(shí)安裝客戶端身份驗(yàn)證證書和服務(wù)器身份驗(yàn)證證書；如果不安裝證書，則需要配置預(yù)共享的IPSec密鑰。（5）防重演保護(hù)。具備防止數(shù)據(jù)重演的功能，而且保證通道不能被重演。確保每個(gè)IP包的合法性和惟一性，保證信息萬一被截取復(fù)制后，或者攻擊者截取破譯信息后，再用相同的信息包獲取非法訪問權(quán)，確保數(shù)據(jù)信息不會被重新利用、重新傳回目標(biāo)網(wǎng)絡(luò)，3.2其他輔助安全措施對VPN服務(wù)器，還可以啟動軟件防火墻功能，如安全訪問策略、日志監(jiān)控等功能，還可以安裝殺毒軟件，為內(nèi)網(wǎng)提供安全屏障，再次增加網(wǎng)絡(luò)安全可靠性能。軟件防火墻通過設(shè)置的包過濾

14、規(guī)則，分析IP數(shù)據(jù)報(bào)、TCP報(bào)文段、UDP報(bào)文段等，決定數(shù)據(jù)包是被阻止，還是繼續(xù)轉(zhuǎn)發(fā)，從網(wǎng)絡(luò)層和傳輸層上再次給予安全控制，提供了多層次安全保障體系。還可以增加應(yīng)用層的過濾規(guī)則配置，再次提升VPN服務(wù)器安全性。4 實(shí)踐應(yīng)用分析通過實(shí)踐應(yīng)用，跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全解決方案分別從網(wǎng)絡(luò)層、傳輸層和應(yīng)用層三個(gè)層次上給予安全保障，該方案充分利用VPN的公網(wǎng)專用;的特點(diǎn)，允許中小型企業(yè)擁有一個(gè)世界范圍的專用網(wǎng)絡(luò)，在公用網(wǎng)中開辟虛擬安全隧道;來保證遠(yuǎn)程數(shù)據(jù)信息傳輸?shù)目煽啃院桶踩裕煌ㄟ^輔助的防火墻功能，進(jìn)一步增加其安全。該方案使用高性能的PC充當(dāng)VPN服務(wù)器，并配以Windows Serve

15、r 2003操作系統(tǒng)，無需額外的復(fù)雜硬件設(shè)備與高昂的系統(tǒng)軟件，成本低、經(jīng)濟(jì)實(shí)用、容易實(shí)現(xiàn)、維護(hù)簡單，是中小型企業(yè)網(wǎng)絡(luò)擴(kuò)展不錯(cuò)的選擇方案。VPN服務(wù)器不但具備VPN技術(shù)的功能外，還是一個(gè)中小企業(yè)的防火墻，安全配置、安全策略容易實(shí)現(xiàn)，一旦出現(xiàn)較大安全威脅，便于快速隔離網(wǎng)絡(luò)。當(dāng)然此方案也存在一些缺陷，主要是有依賴操作系統(tǒng)的安全性，操作系統(tǒng)本身的漏洞可能會造成安全隱患；VPN服務(wù)器是集多種服務(wù)于一體，需要較高高性能的計(jì)算機(jī)；VPN服務(wù)器故障會導(dǎo)致網(wǎng)絡(luò)連接失效；由軟件實(shí)現(xiàn)數(shù)據(jù)加密與解密、包過濾等，一定程度會占用系統(tǒng)資源，也會使通信效率略有降低；同時(shí)重注企業(yè)內(nèi)部員工的安全培訓(xùn)，有效地抑制社會學(xué)的攻擊，對來自企業(yè)內(nèi)部員工的攻擊顯得無能為力。5 結(jié)束語跨越Internet的中小型企業(yè)網(wǎng)絡(luò)安全技術(shù)方案比較經(jīng)濟(jì)、實(shí)用、安全、配置簡單，為中小企業(yè)打造一個(gè)世界范圍的網(wǎng)絡(luò)提供了較有力的技術(shù)支持，使得中小企業(yè)網(wǎng)絡(luò)也融入到互聯(lián)網(wǎng)這個(gè)大家庭;中，不僅提高了中小型企業(yè)的工作效率，而且增強(qiáng)了其競爭力，將推動中小型企業(yè)電子商務(wù)，電子貿(mào)易，網(wǎng)絡(luò)營銷走向繁榮，加快了中小企業(yè)網(wǎng)絡(luò)信息化和經(jīng)濟(jì)快速發(fā)展的步伐。參考文獻(xiàn)：【1】 郝春雷， 鄭陽平.中小型企業(yè)敏感分支網(wǎng)絡(luò)安全解決方案.商業(yè)時(shí)代，2007，（21）：45.【2】 阿楠. VPN虛擬專用網(wǎng)的安