VPN在信息系統安全等級保護中的應用

武漢三江航天網絡通信有限公司 查振興 王 振

1.引言

隨著因特網技術應用的普及，以及政府、企業和各部門及其分支結構網絡建設和安全互聯互通需求的不斷增長，VPN技術為企業提供了一種低成本的組網方式。同時，我國現行的“計算機安全等級保護”也為企業在建設信息系統時提供了安全整體設計思路和標準。如何充分利用VPN技術和相關產品，為企業提供符合安全等級保護要求、性價比高的網絡安全總體解決方案，是當前企業信息系統設計中面臨的挑戰。

2.信息安全管理體系發展軌跡

對于信息安全管理問題，在上世紀90年代初引起世界主要發達國家的注意，并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規范》，規定信息安全管理體系與控制要求和實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準，是一個全面信息安全管理體系評估的基礎和正式認證方案的根據。國際標準化組織（ISO）聯合國際電工委員會（IEC）分別于2000年和2005年將BS7799標準轉換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》，并向全世界推廣。中國國家標準化管理委員會（SAC）于1999年發布了GB/T 17859《計算機信息系統安全保護等級劃分準則》標準，把信息安全管理劃分為五個等級，分別針對不同組織性質和對社會、國家危害程度大小進行了不同等級的劃分，并提出了監管方法。2008年制訂并下發了與ISO/IEC 17799和ISO/IEC 27001相對應的GBT 22081-2008《信息安全管理體系 實用規則》和GBT 22080-2008《信息安全管理體系 要求》。

3.信息系統安全的等級

為加快推進信息安全等級保護，規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，國家公安部、保密局、密碼管理局和國務院信息化工作辦公室等，于2007年聯合發布了《信息安全等級保護管理辦法》，就全國機構/企業的信息安全保護問題，進行了行政法規方面的規范，并組織和開展對全國重要信息系統安全等級保護定級工作。同時，制訂了《信息系統安全等級保護基本要求》、《信息系統安全等級保護實施指南》、《信息系統安全等級保護測評準則》和《信息系統安全等級保護定級指南》等相應技術規范（國家標準審批稿），來指導國內機構/企業進行信息安全保護。

在《信息系統安全等級保護基本要求》中，要求從網絡安全、主機安全、應用安全、數據安全及備份恢復、系統運維管理、安全管理機構等幾方面，按照身份鑒別、訪問控制、介質管理、密碼管理、通信和數據的完整、保密性以及數據備份與恢復等具體要求，對信息流進行不同等級的劃分，從而達到有效保護的目的。信息系統的安全保護等級分為五級：第一級為自主保護級，第二級指導保護級，第三級為監督保護級，第四級為強制保護級，第五級為專控保護級。

針對政府、企業常用的三級安全保護設計中，主要是以三級安全的密碼技術、系統安全技術及通信網絡安全技術為基礎的具有三級安全的信息安全機制和服務支持下，實現三級安全計算環境、三級安全通信網絡、三級安全區域邊界防護和三級安全管理中心的設計。

圖1 三級系統安全保護示意圖

圖2 VPN產品部署示意圖

4.VPN技術及其發展趨勢

VPN即虛擬專用網，是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

VPN使用三個方面的技術保證了通信的安全性：隧道協議、身份驗證和數據加密。VPN通道的加密方式成為主要的技術要求，目前VPN技術主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec協議的VPN產品，由IPSec協議提供隧道安全保障，協議包括AH、ESP、ISAKMP等協議。其通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。通過采用加密封裝技術，對所有網絡層上的數據進行加密透明保護。IPSec協議最適合于LAN到LAN之間的虛擬專用網構建。

SSL VPN是基于SSL協議的VPN產品。在企業中心部署SSL VPN設備，無需安裝客戶端軟件，授權用戶能夠從任何標準的WEB瀏覽器和互聯網安全地連接到企業網絡資源。SSL VPN產品最適合于遠程單機用戶與中心之間的虛擬網構建。

整個VPN通信過程可以簡化為以下4個步驟：

(1)客戶機向VPN服務器發出連接請求。

(2)VPN服務器響應請求并向客戶機發出身份認證的請求，客戶機與VPN服務器通過信息的交換確認對方的身份，這種身份確認是雙向的。

(3)VPN服務器與客戶機在確認身份的前提下開始協商安全隧道以及相應的安全參數，形成安全隧道。

(4)最后VPN服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密，然后通過VPN隧道技術進行封裝、加密、傳輸到目的內部網絡。

目前國外公開的相關VPN產品多數采用軟件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合國家密碼產品管理和應用的要求。《商用密碼管理條例》（中華人民共和國國務院第273號令，1999年10月7日發布）第四章第十四條規定：任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品，不得使用自行研制的或者境外生產的密碼產品。國家密碼管理局在2009年針對VPN產品下發了《IPSec VPN技術規范》和《SSL VPN技術規范》，明確要求了VPN產品的技術體系和算法要求。

5.VPN技術在等級保護中的應用

在三級防護四大方面的設計要求中，VPN技術可以說是在四大方面的設計要求中都有廣泛的應用：

在安全計算環境的設計要求中：首先在實現身份鑒別方面，在用戶訪問的中心，系統管理員都統一建立的有用戶的用戶組和用戶名，用戶會通過VPN的設備登錄訪問中心的應用系統，當身份得到鑒別通過時才可訪問應用系統；其次在數據的完整性保護和保密性保護上都能夠防止用戶的數據在傳輸過程中被惡意篡改和盜取。

在安全區域邊界的設計要求中：網絡邊界子系統的邊界控制與VPN功能一體化實現，在保證傳輸安全性的同時提高網絡數據包處理效率。

在安全通信網絡的設計要求中：網絡安全通信的子系統主要是為跨區域邊界的通信雙方建立安全的通道，通過IPSEC協議建立安全的VPN隧道傳輸數據。完成整個應用系統中邊界或部門服務器邊界的安全防護，為內部網絡與外部網絡的間的信息的安全傳輸提供加密、身份鑒別及訪問控制等安全機制。在客戶端和應用服務器進出的總路由前添加網絡VPN網關，通過IPSEC協議或者SSL協議建立VPN隧道為進出的數據提供加密傳輸，實現應用數據的加密通信。

在安全管理中心的設計要求中：系統管理中，VPN技術在主機資源和用戶管理能夠實現很好的保護，對用戶登錄、外設接口、網絡通信、文件操作及進程服務等方面進行監視機制，確保重要信息安全可控，滿足對主機的安全監管需要。

在信息系統安全等級保護設計中VPN產品的部署示意圖如圖2所示。

6.結束語

VPN技術不僅會大大節省企業網的建設和運行維護費用，而且增強了網絡的可靠性和安全性，滿足信息系統安全等級保護要求，VPN技術和產品對推動信息系統安全等級保護建設將起到不可低估的作用。