淺談虛擬專用網絡VPN的應用安全

余維萍 國網江西省電力有限公司樂平市分公司

1 有關虛擬專用網絡VPN的概述

VPN網絡已經廣泛應用于社會中的各個領域，那么網絡安全是否得到一定程度的保障，也是網絡管理人員不得不考慮的一個問題[1]。針對虛擬專用網絡VPN，首先了解到的是，它主要由加密技術、解密技術、隧道技術、密鑰技術以及使用者登錄身份驗證技術組成。其中涉及到的SSL加密協議與虛擬專用網絡VPN緊密相關，也就是在用戶進行網絡驗證的過程當中和電腦服務器公用密鑰之間的協議，SSL加密協議使得虛擬網絡VPN的安全性能相對較高。

在修整網絡中用戶位置區的具體參數信號時，VPN網絡在理論上應該比其他網絡的安全性能高。但是網絡中沒有絕對的安全，或多或少的都會有一定的安全隱患存在，特別是現已普遍的虛擬專用網絡VPN。它在獲取用戶信息的手段上可通過變更自身網絡客戶端，讓網絡信號受到強烈的干擾，而且還會通過這種方式暴露用戶的具體位置信息。

2 有關虛擬專用網絡VPN的形態及影響

隨著技術的不斷更新，虛擬專用網絡VPN的形態與功能性也越來越先進。在此基礎上，一些不法分子將VPN網絡作為傳播非法消息的媒介，利用網絡隱蔽性強的特點，獲取網絡連接密碼、用戶信息、終端數據等，對社會和網民的生活造成極其惡劣的影響。

2.1 VPN的基本形態

虛擬專用網絡VPN是由若干個自動化軟件構成，相較于其他系統軟件站點來說，已經是一個比較完善的對于網絡流量自動化的檢測系統技術，它的主要形態在是否可移動的條件下大致分為兩種：非定點式和定點式。例如，非定點式的網絡在大眾用戶系統中較為普遍，通常情況下VPN網絡作用于電腦系統中的電子圍欄處，路口位置穩定且形狀的變化不顯著，給網民在日常瀏覽網站獲取有效信息時造成極大的困擾，它阻礙了網站信息與搜索內容之間的聯系；定點式的VPN網站大多數存在于用戶管理賬戶中，其形態各式多樣，具有潛伏周期長，隱蔽性強等特征[2]。

2.2 VPN網絡的影響

目前發現的虛擬專用網絡所帶來的影響，主要涉及到電信詐騙，以及用戶賬戶系統等領域。由于VPN網絡采用的是將站點與偽終客戶端相結合的方式，用冒充的名義給用戶發起電話呼叫或者直接發送類似中獎的短信等方式，騙取用戶的有效信息。對于現階段部分網絡安全意識比較薄弱的網民而言，這種欺騙方式無疑成為大多數人的噩夢，因為在用戶進行短信回復或者透露給對方有效證件信息時，自己的合法權益就已經受到侵害。VPN網絡中的安全隱患就是攻擊者通過在客戶端收集到的數據，直接反饋到系統，致使誘騙成功。另外，虛擬專用網絡VPN在對用戶系統進行干擾時，所產生的功率可能會嚴重影響到周圍用戶的網絡環境，給其他人以及自身的網絡安全造成隱患，直接影響到網民的日常生活。

3 VPN網絡安全隱患

由于SSL VPN不需要通過特殊的客戶端軟件，而是用Web瀏覽器替代，因此SSL VPN的安全隱患主要集中在瀏覽器和服務器上。

首先，瀏覽器中的用戶客戶端存在的威脅在于臨時文件的不主動清除，許多用戶在公眾場合的電腦上進行登錄個人信息時，不知道如何正確退出VPN系統，一般都是直接關閉瀏覽器，其實這并沒有真正退出VPN系統，單位管理人員也不會刻意要求用戶及時退出系統。其中用戶事后產生的臨時文件包括系統運行和上網瀏覽所產生的文件沒有技術清除，尤其是SSL VPN通過瀏覽器與服務器進行通信活動的臨時文件，瀏覽器中有緩存的信息，這就給攻擊者在遠程登錄電腦中的病毒隧道感染提供了契機。這些病毒將會通過VPN隧道感染SSL VPN網絡內部的數據，即使部分用戶網絡中設有防火墻，但這些病毒仍然會借他人的臨時身份，進入用戶內部網絡進行訪問。

其次，服務器端的安全問題。WINDOWS系統中的應用層是通過兩個方法實現：一是基于VPN SSL的系統平臺是Web服務器，兩者之間的聯系是緊密相關的，所以一臺設備的損壞必然會牽連到其他的系統設備。另外，系統中的多功能網絡終端認證是運用網絡把計算機與系統服務器中的設備通過程控的方式連接的。在需要時，必須令Web服務器與VPN SSL的系統平臺之間形成配合的狀態[3]。二是內部網絡應用程序的服務器是網絡IP地址的內部機器名，遠程用戶使用VPN SSL虛擬專用網絡應用程序時，VPN SSL需將這些內部網址轉化為可識別的因特網，通過獨立設備中的VPN SSL進行操控時，其安全性能比較高。經過一段時間后，這種方式也會隨著經濟的不斷進步，將自身的弊端逐漸顯現出來，獨立硬件的漏洞影響了整個系統的安全性。

再次，用戶的身份認證容易出現安全隱患。用戶在通過任意獨立設備登入到VPN系統的過程中，需要對VPN系統頁面進行驗證時，有可能會使用戶的名稱或者密碼泄露。所以在服務器端對請求接入的賬號的過程中要加大其驗證復雜程度，這也是從另一方面增強服務器的安全性，保證廣大用戶的隱私。

4 VPN網絡安全解決方案

因為VPN SSL技術已經是相當普及，網絡管理人員在利用網絡安全性能的基礎上，需要對VPN網絡異常情況進行評定。但是由于系統網絡的不可復制性，許多技術無法做到復制、粘貼的功能，所以目前虛擬專用網絡VPN技術還在進一步的探究過程當中。這就要求各網絡管理人員建立相應的機制來解決以上的問題，具體體現在一下三個方面：

4.1 對網絡信息加密

現階段，設備登錄頁面都具有掃描功能，用戶使用掃一掃可進行頁面成功登錄，但是正是這種簡捷的快速登錄，使得設備主機名稱、IP地址等信息暴露，成為攻擊者侵害的常用手段。因此需將 VPN SSL應對的網內主機名、服務器IP地址等網絡信息進行加密，具體方法就是在服務器端使用一定時間內，用戶需要修改數字身份驗證的密碼，預防身份驗證設備被人“借用”。

4.2 臨時文件信息處理

用戶在瀏覽網頁時，對文件痕跡的不及時清除，就很有可能給攻擊者乘機而入的機會，從而盜取用戶個人的相關數據，造成隱私的泄露。因此在客戶端自動下載運行過程中，應重視數字證書的作用，如果數字證書長期與電腦連接，這種情況不僅會擾亂單位制定的操作規章，還會給系統造成超時進程機制的后果。當用戶在一定時間內沒有進行相關的操作時，系統應該自動化斷開VPN的連接，及時對臨時文件進行處理，用戶在下次連接使用時需要重新進行驗證[4]。

4.3 認證機制的使用

取消傳統的靜態用戶名以及口令類型的身份認證，使用更為強制的認證機制。例如，用戶手機短信驗證，用戶一段時間內要修改數字證書的密碼等，這樣可以有效地抵制黑客對服務端應用層的漏洞進行攻擊，防止電腦病毒的傳播。

5 結束語

綜上所述，虛擬專用網絡VPN作為一種安全技術的前提，就是排除各種外界因素以及人為因素的影響，對于其中存在的安全隱患，應從多個角度進行解決，使VPN網絡安全更上一層樓。本文就是從有關虛擬專用網絡VPN的概述、虛擬專用網絡VPN的形態及影響、VPN網絡安全隱患以及VPN網絡安全解決方案四個方面進行淺析，希望能夠對廣大讀者具有一定的參考價值。