跨越Internet的中小型企业网络安全实践的路径建设

　1 概述
　　在计算机网络飞速发展的今天，网络营销，电子商务等快速进入企业业务活动中，企业总部、企业地方分支机构、移动出差人员，充分利用Internet的公共资源及便利条件，通过VPN（Virtual Private Network，虚拟专用网）技术它们连接在一起，形成一个跨地域更大的网络，方便企业用户、分支机构及合作伙伴随时随地的接入并访问企业网络，与企业总部网络进行数据信息安全传输与交流，不但给企业带来数字化时代，方便信息交流与企业的管理，而且也给企业带来不菲的经济效益，与此同时，也给企业网带来了安全隐患，数据信息如何跨越公共网络的复杂环境进行安全的远程传输成为关键。对于中小型企业资金相对比较贫乏，技术力量薄弱这种情况，研究经济实用的远程数据信息安全性传输就显得非常重要。
　　2 中小型企业网络现状及需求
　　国有大中型企业是我国的经济支柱，中小企业是我国经济组成的重要组成部分，我国中小型企业众多，对计算机网络技术应用比较简单，没有很好的利用Internet的优势，实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公，数据处理，属于“单机版”类型，或者企业分支机构与总部就是简单通过电子邮件，或者qq进行企业数据信息传输，这样安全保密性太差。主要原因是：
　　1） 中小型企业资金比较贫乏，没有更多的资金来购买成熟网络安全产品，而且成熟的网络安全产品价格一般比较昂贵，主要面向大型企业。中小型企业分布广，业务灵活，经济实惠的远程数据安全传输解决方案甚少，而且技术复杂，维护较难，不能满足中小企业的需要。
　　2） 中小型企业技术力量薄弱，没有专业的网络技术人员，一般是企业年轻的懂点计算机的员工兼职网络管理，与专业网络管理员还有一定的差距。
　　3） 中小型企业网络基本属于一个“信息孤岛”，与外界进行数据通信不能做到安全可靠传输，不能确保数据信息不泄露、不丢失、不被篡改等，影响企业的快速发展。
　　3） 中小型企业领导重视网络建设还不够，网络建设相对比较简单，根据中小型企业目前对网络的需要及依赖，进行简单网络建设，没有长远的网络建设规划，致使企业在壮大的过程中，网络建设不能快步跟上，往往被忽视。中小企业网络由于资金贫乏，技术力量不足等原因，在建设的初期就还可能留下许多漏洞与不足，这样更容易被黑客攻击。
　　4） 中小型企业用户不能进行远程数据信息的安全可靠传输，企业员工，或者领导外地出差，或者分支机构的网络，就不能访问企业网络，不能远程进行办公，远程快速的进行事务处理。
　　5） 中小型企业与合作伙伴之间没有利用互联网的优势，在它们之间没有建立一个企业扩展网络，导致数据信息的安全交流和企业的密切合作收到影响。
　　在复杂的网络环境下，解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了，还需考虑方案的经济实用，维护简单容易。对于中小企业网络中传输的重要数据信息，如财务报表等，必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改，没有被破坏，没有被丢失等；可用性是数据信息可被授权实体访问，并按需求使用的特性，即指定用户访问指定数据资源；机密性是保证数据信息网络传输保密性和数据存储的保密性，数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源，其他人限制对数据信息的读写等操作。
　　3 经济实用安全方案
　　从中小型企业网络现状及需求，利用VPN技术跨越Internet组建中小企业扩展网络，保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验，研究出经济实用，安全可靠，配置和维护比较容易的中小型企业网络安全性解决方案，如图1所示。VPN服务器也称为VPN网关，可以使用高性能的计算机来担当，并且安装两块网络适配器，一块网络适配器用于连接中小型企业内部网络，分配内网IP地址，另一块网络适配器连接外部网络，分配外网IP地址。VPN服务器是内网和外网连接的必经之路，服务于内外两个网络，也是内网的安全屏障，相当于中小型企业的防火墙，它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统，充分利用公共网络Internet的资源，通过VPN技术，实现中小企业远程数据信息传输的安全性、完整性，可用性和保密性。
　　3.1 IPSec VPN保证数据信息远程安全传输
　　1） VPN技术
　　VPN又称虚拟专用网，是在公共网络中建立专用网络，数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输，即充分利用公共网络如Internet的资源，达到公网“私用”的效果。中小企业只需接入Internet，就可以实现全国各地分支机构，甚至全世界各地的分支机构，都可以随时随地的访问企业网络，实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处，是企业网络发展的趋势。
　　2） IPSec协议
　　IPSec是一个开放的应用范围广泛的网络层VPN协议标准，是一套安全系统，包括安全协议选择、安全算法、确定服务所使用的密钥等服务，在网络层为IP协议提供安全的保障，即IPSec可有效保护IP数据报的安全，如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证，保证经过网络传输过程中数据信息完整性检查，加密IP地址及数据信息保证其私有性和安全性。
　　3） 基于IPSec的VPN技术
　　基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁，实现在不信任公共网络中，通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层，基于TCP/IP的所有应用都要通过IP层，将数据封装成一个IP数据包后再进行传输，所有要实现对上层网络应用软件的全透明控制，即同时对上层多种应用提供安全网络服务，只需要在网络层上采用VPN技术，基于IPSec的VPN技术提供了5种安全机制，即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术，通过基于IPSe c的VPN技术，来保证传输数据的安全性、可用性、完整性和保密性[1]。
　　（1）隧道技术，隧道也可称为通道，是在公用网中建立一条虚拟加密通道，让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议，第二层隧道协议先把各种网络协议封装到PPP中，再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输，第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中，形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子协议保护IP数据包和IP数据首部不被第三方侵入，在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户，通过IPSec安全策略的配置实现对网络安全通信的保护意图，其安全策略包括什么时候什么地方对AH和ESP保护，保护什么样的通信数据，什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。
　　（2）加密解密技术，是为了保障虚拟“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取数据信息的能力，同时保证必须使偷听者不能破解或解密拦截到的的数据信息，但是授权用户可以通过解密技术，完整的访问数据资源。
　　（3）身份认证技术是通过对企业分支用户或远程用户进行身份进行验证，提供安全防护措施与访问控制，包括对VPN“安全隧道”访问控制的功能，有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证，严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息，包括用户名及密码，并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。
　　（4）密钥交换技术，为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器，现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发，实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接，还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书；如果不安装证书，则需要配置预共享的IPSec密钥。
　　（5）防重演保护。具备防止数据重演的功能，而且保证通道不能被重演。确保每个IP包的合法性和惟一性，保证信息万一被截取复制后，或者攻击者截取破译信息后，再用相同的信息包获取非法访问权，确保数据信息不会被重新利用、重新传回目标网络，
　　3.2其他辅助安全措施
　　对VPN服务器，还可以启动软件防火墙功能，如安全访问策略、日志监控等功能，还可以安装杀毒软件，为内网提供安全屏障，再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则，分析IP数据报、TCP报文段、UDP报文段等，决定数据包是被阻止，还是继续转发，从网络层和传输层上再次给予安全控制，提供了多层次安全保障体系。还可以增加应用层的过滤规则配置，再次提升VPN服务器安全性。
　　4 实践应用分析
　　通过实践应用，跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障，该方案充分利用VPN的“公网专用”的特点，允许中小型企业拥有一个世界范围的专用网络，在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性；通过辅助的防火墙功能，进一步增加其安全。该方案使用高性能的PC充当VPN服务器，并配以Windows Server 2003操作系统，无需额外的复杂硬件设备与高昂的系统软件，成本低、经济实用、容易实现、维护简单，是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外，还是一个中小企业的防火墙，安全配置、安全策略容易实现，一旦出现较大安全威胁，便于快速隔离网络。
　　当然此方案也存在一些缺陷，主要是有依赖操作系统的安全性，操作系统本身的漏洞可能会造成安全隐患；VPN服务器是集多种服务于一体，需要较高高性能的计算机；VPN服务器故障会导致网络连接失效；由软件实现数据加密与解密、包过滤等，一定程度会占用系统资源，也会使通信效率略有降低；同时重注企业内部员工的安全培训，有效地抑制社会学的攻击，对来自企业内部员工的攻击显得无能为力。
　　5 结束语
　　跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单，为中小企业打造一个世界范围的网络提供了较有力的技术支持，使得中小企业网络也融入到互联网这个“大家庭”中，不仅提高了中小型企业的工作效率，而且增强了其竞争力，将推动中小型企业电子商务，电子贸易，网络营销走向繁荣，加快了中小企业网络信息化和经济快速发展的步伐。
　　参考文献：
　　[1] 郝春雷， 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代，2007，（21）：45.
　　[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地，2007，（7）：46-47.
　　[3] 李春泉，周德俭，吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报，2004，3：365-368.
　　[4] 韩儒博，邬钧霆，徐孟春.虚拟专用网络及其隧道实现技术[J]. 微计算机信息，2005，14：1-3.
　　[5] 刘凯燕，武俊琢. VPN技术及其在现代企业网中的应用[J].电脑与电信，2007，03：63-65.
　　[6] 曾志峰，杨义先.基于操作系统内核的包过滤防火墙与VPN系统的研究与实现[J].计算机工程与应用，2001，21：40-43.