跨越Internet的中小型企业网络安全实践的路径建设(二)

服务器安装Windows Server 2003操作系统，充分利用公共网络Internet的资源，通过VPN技术，实现中小企业远程数据信息传输的安全性、完整性，可用性和保密性。  

　　4.1 IPSec VPN保证数据信息远程安全传输 

　　4.1.1） VPN技术 

　　VPN又称虚拟专用网，是在公共网络中建立专用网络，数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输，即充分利用公共网络如Internet的资源，达到公网“私用”的效果。中小企业只需接入Internet，就可以实现全国各地分支机构，甚至全世界各地的分支机构，都可以随时随地的访问企业网络，实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处，是企业网络发展的趋势。 

　　4.1.2） IPSec协议

　　IPSec是一个开放的应用范围广泛的网络层VPN协议标准，是一套安全系统，包括安全协议选择、安全算法、确定服务所使用的密钥等服务，在网络层为IP协议提供安全的保障，即IPSec可有效保护IP数据报的安全，如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证，保证经过网络传输过程中数据信息完整性检查，加密IP地址及数据信息保证其私有性和安全性。 

　　4.1.3） 基于IPSec的VPN技术 

基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁，实现在不信任公共网络中，通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层，基于TCP/IP的所有应用都要通过IP层，将数据封装成一个IP数据包后再进行传输，所有要实现对上层网络应用软件的全透明控制，即同时对上层多种应用提供安全网络服务，只需要在网络层上采用VPN技术，基于IPSec的VPN技术提供了5种安全机制，即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术，通过基于IPSec的VPN技术，来保证传输数据的安全性、可用性、完整性和保密性[1]。 

　　（1）隧道技术，隧道也可称为通道，是在公用网中建立一条虚拟加密通道，让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议，第二层隧道协议先把各种网络协议封装到PPP中，再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输，第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中，形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子协议保护IP数据包和IP数据首部不被第三方侵入，在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户，通过IPSec安全策略的配置实现对网络安全通信的保护意图，其安全策略包括什么时候什么地方对AH和ESP保护，保护什么样的通信数据，什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。 总结大全。

　　（2）加密解密技术，是为了保障虚拟“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取数据信息的能力，同时保证必须使偷听者不能破解或解密拦截到的的数据信息，但是授权用户可以通过

                               【第3页】

解密技术，完整的访问数据资源。 

　　（3）身份认证技术是通过对企业分支用户或远程用户进行身份进行验证，提供安全防护措施与访问控制，包括对VPN“安全隧道”访问控制的功能，有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证，严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息，包括用户名及密码，并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。 

　　（4）密钥交换技术，为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器，现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发，实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接，还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书；如果不安装证书，则需要配置预共享的IPSec密钥。 

　　（5）防重演保护。具备防止数据重演的功能，而且保证通道不能被重演。确保每个IP包的合法性和惟一性，保证信息万一被截取复制后，或者攻击者截取破译信息后，再用相同的信息包获取非法访问权，确保数据信息不会被重新利用、重新传回目标网络， 

　　4.2其他辅助安全措施 

　　对VPN服务器，还可以启动软件防火墙功能，如安全访问策略、日志监控等功能，还可以安装杀毒软件，为内网提供安全屏障，再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则，分析IP数据报、TCP报文段、UDP报文段等，决定数据包是被阻止，还是继续转发，从网络层和传输层上再次给予安全控制，提供了多层次安全保障体系。还可以增加应用层的过滤规则配置，再次提升VPN服务器安全性。 

　　5 实践应用分析 

　　通过实践应用，跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障，该方案充分利用VPN的“公网专用”的特点，允许中小型企业拥有一个世界范围的专用网络，在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性；通过辅助的防火墙功能，进一步增加其安全。该方案使用高性能的PC充当VPN服务器，并配以Windows Server 2003操作系统，无需额外的复杂硬件设备与高昂的系统软件，成本低、经济实用、容易实现、维护简单，是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外，还是一个中小企业的防火墙，安全配置、安全策略容易实现，一旦出现较大安全威胁，便于快速隔离网络。

　　当然此方案也存在一些缺陷，主要是有依赖操作系统的安全性，操作系统本身的漏洞可能会造成安全隐患；VPN服务器是集多种服务于一体，需要较高高性能的计算机；VPN服务器故障会导致网络连接失效；由软件实现数据加密与解密、包过滤等，一定程度会占用系统资源，也会使通信效率略有降低；同时重注企业内部员工的安全培训，有效地抑制社会学的攻击，对来自企业内部员工的攻击显得无能为力。 

       6互联网的发展

        近年来，中国互联网络呈现高速发展的态势。网民数、Ipv4地址数、中国网站数量等互联网基础资源有了极大程度地增长。与此同时，微博、社交网站、团购等新型互联网应用不断创新与发展。研究网络发展态势，一方面，将定性化与定量化相结合的研究方法应用于互联网发展态势研究，加速总体网络发展研究由定性化向定量化方向的转变；另一方面，研究结论也可以为我国相关行业提供参考。

【第4页】

  6.1 对互联网产业的影响 

　　互联网产业是以互联网为依托、以信息技术为主要支撑手段的现代服务业。随着中国互联网发展态势指数的不断攀升，中国互联网产业也呈现了不断攀升的发展趋势。根据艾瑞咨询统计的数据显示，2005年中国网络经济市场规模为146亿元；2012年，中国网络经济市场规模达3850.4亿元，同比增长54.1%；从季度来看，2012年第四季度，中国网络经济市场规模为1167.6亿元，同比增速和环比增速分别为50.5%和13.3%。三网融合、电子商务、微博等受到人们的广泛关注。可以预见，互联网产业将在未来的经济、社会生活等领域发挥出不可估量的作用。 

　　6.2 对大学生生活的影响 

　　随着中国互联网络的飞速发展，互联网已经几乎走进了每一个大学生的生活。他们在互联网上冲浪，获得大量的信息。大学生作为网民规模的重要组成部分，其上网呈现高速发展态势。互联网在促进大学生学习教育上，通过多媒体与网络辅助等技术，合作学习，以掌握面对信息爆炸时代所必须的知识与技能。同时，网络的多样化与动态性也能很好地锻炼大学生的独立思考能力与实践能力。互联网的发展在提升全民特别是年轻一代的素质都起到了不可磨灭的积极作用。  

　6.3 对社会文化的影响 

　　中国互联网的飞速发展，从数量上即中国互联网络发展态势指数的快速增长，且其增长速度越来越快，这也带动了大众社会生活的较大变化。在信息生活上，体现了全民媒体化的发展态势：论坛、个人博客、微博、SNS的兴起与发展，促进了媒体由传统媒体向自媒体的转变，使得信息传播更加私人化、平民化与自主化。在社区生活中，互联网发展态势指数的不断提高也导致了虚拟世界的出现与发展。网络不断发展所带来的松散性、对话性、广泛性的特点使得虚拟世界出现了去中心化的发展态势。主体相对平等、限制相对较少，促进互联网资源共享与决策公开的发展进程。 

　　7 结束语 

　　跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单，为中小企业打造一个世界范围的网络提供了较有力的技术支持，使得中小企业网络也融入到互联网这个“大家庭”中，不仅提高了中小型企业的工作效率，而且增强了其竞争力，将推动中小型企业电子商务，电子贸易，网络营销走向繁荣，加快了中小企业网络信息化和经济快速发展的步伐。 

　　8 参考文献： 

　　[1] 郝春雷， 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代，2007，（21）：45. 

　　[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地，2007，（7）：46-47. 

　　[3] 李春泉，周德俭，吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报，2004，3：365-368. 

[4] 韩儒博，邬钧霆，徐孟春.虚拟专用网络及其隧道实现技术[J]. 微计算机信息，2005，14：1-3. 

　　[5] 刘凯燕，武俊琢. VPN技术及其在现代企业网中的应用[J].电脑与电信，2007，03：63-65. 

　　[6] 曾志峰，杨义先.基于操作系统内核的包过滤防火墙与VPN系统的研究与实现[J].计算机工程与应用，2001，21：40-43.

【第5页】