虛擬專用網絡在信息安全管理中的有效應用

高俊　鄒金萍

摘要：虛擬專用網絡（VPN）是基于公共網絡構建的網絡隧道，并通過數據加密、用戶認證、訪問控制等實現的虛擬專用網絡技術。在創建虛擬專用網絡的過程中，不用專門搭建物理網絡也可以保證網絡信息安全，降低了資金成本。該文提出將虛擬專用網絡應用于校園信息安全管理建設中，可以有效保證校園數據信息安全。

關鍵詞：虛擬專用網絡；信息安全；校園網絡

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）02-0023-02

近幾年來，隨著計算機技術、互聯網技術的飛速發展，校園信息化建設已經成為了高校推進教學改革中的重點工作內容，越來越多的高校提高了對校園信息化發展的重視程度，校園網絡成為了校園信息化建設中的關鍵組成部分。但是，由于校園網絡屬于一個開放式網絡環境，很容易遭到外部入侵者的惡意攻擊，同時，計算機操作系統本身也會存在很多安全漏洞問題，如果校園網絡受到黑客入侵或病毒感染，就會引發各種信息安全問題，包括竊取學生個人隱私信息、盜取校園一卡通賬戶金額、篡改校園門戶網站信息等。因此，如何有效確保校園網絡信息安全已經成為了現代社會信息安全領域廣泛重視的熱點問題。

1 虛擬專用網絡的信息安全技術

1.1 隧道技術

隧道技術使虛擬專用網絡的關鍵技術之一。隧道技術是通過某種網絡協議實現的其他協議傳輸技術。隧道技術中包括三種協議：隧道協議、傳輸協議和乘客協議。首先，由隧道協議建立隧道；其次，通過傳輸協議負責傳送隧道協議；最后，由乘客協議實現對該協議的封裝，再由隧道協議將隧道拆除。利用隧道技術進行傳輸的數據信息通常情況下都是以不同協議方式存在的數據幀、數據包，再通過隧道協議進行封裝之后實現數據信息的傳輸。

1.2 用戶認證技術

在創建隧道之前，一般會采用用戶認證技術對用戶身份進行驗證，確保合法用戶授權的唯一性，以及實現對數據信息資源的訪問控制。用戶認證技術中的認證協議利用的是摘要技術，通過哈希函數的算法將長報文的長度進行變換之后，得到一個固定長度的摘要。但是，由于哈希函數的變換特性不容易控制，導致將不同報文變換為固定長度的摘要過程非常困難。

1.3 數據加密技術

虛擬專用網絡的另一個關鍵技術是利用數據加密技術對數據包進行隱藏傳輸，如果數據包傳輸處于一個開放式不安全的網絡環境中，即使進行了用戶認證也不能保證數據安全。首先，在隧道發送端必須經過用戶認證和數據加密，再對數據包進行傳輸，用戶在隧道接收端對數據包進行解密后讀取數據。數據加密形式包括對稱加密和非對稱加密，如果數據量較大可選擇對稱加密方式，如果存在保密級別較高的核心數據可選擇公鑰密碼機制實現數據加密。

1.4 訪問控制技術

訪問控制技術主要是對用戶發起對系統的訪問進行控制，以及用戶可以訪問系統中的那部分資源，防止未授權的用戶獲取系統資源，由此起到控制訪問的作用。

2 虛擬專用網絡在校園信息安全管理中的應用

2.1 虛擬專用網絡設計原則

1）保障信息安全

建立虛擬專用網絡的目的是有效確保信息安全，采用用戶認證、數據加密等機制來提高數據傳輸的安全性和完整性。因此，校園虛擬專用網絡的建立必須具有數據保密、信息完整和用戶認證功能。

2）兼容多平臺

校園虛擬專用網絡的一個重要作用是不受時間和地域的限制，用戶可以隨時發起對校園網的訪問，保證不同校區之間和移動辦公人員發起遠程訪問時的網絡連接安全。

3）提供訪問控制

校園虛擬專用網絡要實現為不同需求的用戶提供信息安全保護，必須采取相應的訪問控制方法，不同授權用戶的訪問權限不同。

4）完善管理平臺

校園虛擬專用網絡服務器應該為校園網用戶提供友好的界面設置，提高系統的可操作性。同時，要實現用戶訪問網絡服務器的日志記錄、安全審計功能，為網絡安全監控提供數據支持。

2.2 VPN在校園信息安全管理中的應用方案

1）建立校園內部虛擬網（Intranet VPN）

高校在不同校區之間創建校園內部虛擬網（Intranet VPN），可以實現不同校區在不同地域條件下校園內部分支結構的網絡連接。不同校區之間建立光纖鏈路實現網絡連接，同時將網絡出口設置在新校區，校園網中有多項業務需要經過光纖聯絡與新校區連接，包括校園一卡通業務、學生成績管理業務、學生檔案管理業務等，這些數據信息涉及個人隱私，因此，可以采用IPSec VPN技術在不同校區之間的網絡連路上進行數據加密，以確保校園數據信息安全。

對于校園網的普通用戶來說，可以設置相應的安全策略實現不同校區之間的相互訪問，安全級別設置為中等即可，否則會給網絡系統資源造成浪費，使用戶訪問校園網時出現速度過慢、無法登陸的問題。對于高校檔案、人事、財務等涉及隱私數據部門的用戶來說，要采用安全級別較高的二層隔離的方式使用戶先與校園網絡連接，再通過OSPF路由器選擇協議將這些數據信息傳輸到核心交換機中，最后經過數據加密之后在不同校區之間進行數據傳輸。

在高校不同校區之間要配置網絡路由設備，使對校園網絡資源發起訪問的用戶必須經過虛擬專用網絡，同時確保論文路由設備具有足夠強大的性能，但也要考慮到網絡路由設備成本問題。因此，在兩個校區都應該配置具有虛擬專用網功能的網絡路由設備，再對網絡路由設備設置相應的用戶訪問策略，在不同校區之間創建一個虛擬專用網絡通道，確保數據安全傳輸到指定地址。校園內部虛擬網構建方案如圖1所示：

2）建立遠程訪問虛擬網（Access VPN）

創建校園遠程訪問虛擬網Access VPN指的是在校園內部配置一臺虛擬專用網絡服務器，遠程用戶和移動用戶可以利用虛擬專用網絡系統客戶端、虛擬專用網絡協議的數據加密及數據封裝功能，通過并不安全的開放式互聯網接入到校園網中。移動用戶和遠程用戶通過校園遠程訪問虛擬網絡可以使用當地互聯網服務商提供的網絡接入到校園網絡。

由于校園內部網絡已經配置了路由設備和防火墻設備，且SSL VPN可以嵌入用戶瀏覽器中，工作于網絡傳輸層之上，因此，遠程用戶可以隨時隨地連接到校園網絡中。但是，遠程用戶與校園網絡的連接需要校園內部網絡IP地址，首先要在校園網絡中配置一臺DHCP主機服務器，負責為遠程用戶提供校園內部網絡的IP地址。其次，遠程用戶與校園網絡服務器了連接需要獲取虛擬專用網絡服務器域名，還需要在計算機域名系統中配置虛擬專用網絡服務器域名，同時確保遠程用戶可以隨時解析該域名。最后，由校園網絡為遠程用戶提供URL虛擬網絡地址，當遠程用戶提出訪問校園網絡資源時，該請求會發送到SSL VPN服務器中，經過用戶認證之后根據授權分配到不同服務器中，有效保護校園內部網絡結構不受到外部非法入侵者的攻擊。校園遠程訪問虛擬網構建方案如圖2所示：

3 結束語

目前，隨著國家教育教學改革的推進，校園信息化建設也被提上了日常，各大高校相繼建立了屬于自己的校園網絡，但校園網絡信息安全管理水平普遍不高。本文提出了將虛擬專用網絡應用于校園網絡中實現信息安全管理，防止校園網絡重要數據信息丟失、外界非法入侵、計算機病毒感染等問題，具有一定的理論與現實意義。

參考文獻：

[1] 羅天蘭. 虛擬專用網技術在校園網中的應用研究[J]. 電子技術與軟件工程，2015（22）：15-16.

[2] 崔升廣. 虛擬專用網技術的應用與研究[J]. 遼寧省交通高等專科學校學報，2015（4）：35-37.

[3] 趙柳榕，梅姝娥，仲偉俊. 虛擬專用網和入侵檢測系統最優配置策略的博弈分析[J]. 管理工程學報，2014（4）：187-192.

[4] 張瑩. 計算機網絡信息系統中虛擬專用網路技術的應用研究[J]. 信息與電腦：理論版，2014（9）：152-153.

[5] 黃曦. 虛擬專用網VPN各種技術的實現機制與應用分析[J]. 信息通信，2013（4）：76.