探究計算機網絡信息安全管理中VPN 技術的應用實踐

孫學勝

（甘肅省武威市涼州區職業中等專業學校 甘肅 武威 733000）

0 引言

在社會不斷進步的過程中，計算機技術與信息技術已成為推動社會發展的主要力量。 然而，在計算機網絡技術日漸成熟的過程中，網絡系統中仍存在著許多安全隱患。信息安全隱患的存在，會制約計算機網絡技術的發展與應用［1］。 為了進一步促進計算機網絡技術發展，保障網絡信息安全，對有效的計算機網絡信息安全管理方式的探索逐漸深入。 虛擬專用網絡（virtual private network， VPN）技術的應用，為計算機網絡信息安全管理提供了全新的解決方案。

1 VPN 技術概述

1.1 VPN 技術定義

VPN 是在利用互聯網隧道技術的基礎上，通過公共網絡資源建立的私人專用的網絡。 VPN 技術屬于保障網絡信息安全的重要措施，主要通過模擬算法為公用信息網絡的安全性提供保障，防止安全隱患給網絡信息造成的不良影響。 VPN 技術的不同節點主要通過端與端之間的物理連接實現交互，同時利用公用網絡為用戶提供網絡交互平臺，完成局域網模式邏輯連接結構的搭建。 在構建虛擬專用網絡的過程中，更好地發揮出計算機網絡的優勢，并以技術優勢為網絡中數據信息的傳輸提供安全保護。 為了對通信實現加密處理，通常在大型機構中不同辦公區域子網連接中，都會選用VPN 技術。 例如，某企業總部的A網絡中安裝有企業資源計劃（enterprise resource planning，ERP）服務器，在此基礎上，企業總部的服務器可以通過內網地址直接訪問。 然而，外地的分公司如果想訪問企業總部的網址，則需要借助虛擬專用網絡技術與A 網絡局域網建立連接，才能訪問企業總部的ERP 服務器。

1.2 VPN 技術在計算機網絡信息安全管理中的優勢

1.2.1 技術優勢

VPN 技術是一種功能性網絡，它以物理網絡為基礎，其優勢在于對硬件設施的要求不高，因此，無論在開發成本還是應用成本方面都占有很大優勢。 在VPN 技術支持下，信息傳輸過程中的相關內容可以實現加密處理，從而提高保密性［2］。 VPN 技術的抗干擾能力也很強。 在網絡信息的傳輸過程中，它還可以有效避免因為電磁干擾產生的信息丟失或信息失真的問題，從而提高信息傳輸的可靠性。 VPN 技術通過將計算機網絡系統進行單元劃分，掌握主導控制權，嚴格控制用戶權限，能避免外部非法訪問引起的安全隱患，大幅提高計算機網絡信息的安全性。

1.2.2 應用優勢

從用戶的角度看，VPN 技術的應用難度更低。 在該技術的支持下，實現了不同用戶之間的互聯互通。 互聯網技術將用戶的地域空間壁壘打破，而VPN 技術以局域網為基礎，為用戶的安全上網提供了有效的安全防護，通過構建安全穩定的通信網絡的方式，讓用戶的上網環境具有更高的安全性和可靠性。 使用上的靈活性也給用戶應用VPN 技術提供了更廣闊的空間。 可以根據信息的價值或重要程度等靈活增加技術壁壘，例如隧道技術、加密技術等都是比較常用的技術。 這樣既能避免數據信息在傳輸過程中被第三方竊取或者發生泄露，也能降低用戶保障網絡信息安全的成本支出。

2 計算機網絡安全管理中常用的VPN 技術

2.1 隧道技術

隧道技術根據傳輸的數據類型和配置條件的不同，可分為強制隧道和自愿隧道兩種。 通過互聯網，以隧道協議封裝數據包和數據幀，實現了信息的傳輸，且保障了信息的安全性。 強制隧道就是在VPN 技術撥號訪問服務器后才配置和創建的隧道。 在強制隧道模式下，位于客戶端和服務器之間的遠程訪問服務器成為新的客戶端。 自愿隧道也比較常見，在收到客戶的VPN 技術請求后，網絡服務器自動配置和創建形成一條隧道，該隧道需要使用一個IP 進行連接，支持雙方的信息傳輸。

隧道技術中，隧道協議是在客戶端和服務器之間創建隧道的基礎。 目前較常用隧道技術執行的隧道協議主要有多層協議和雙層協議。 雙層協議是將幀當成信息交換載體，如1.2TP、點對點隧道協議（point-to-point tunneling protocol， PPTP）等都是常見的雙層協議，雙層協議就是在點對點的協議幀當中將需要傳輸的信息封裝起來，再利用互聯網進行信息發送和傳輸。 多層協議將數據包作為信息交換的載體。 常見的多層協議有IP over IP、互聯網安全協議（internet protocol security， IPsec）等［3］。 多層協議的特點是時間IP 包封裝在附加的IP 包頭中，隨后利用IP網絡實現信息傳輸。 PPTP 協議屬于一種點對點隧道協議，其在數據加密、身份驗證等方面有著廣泛應用，能提升信息在公共網絡中傳輸的安全性。 在PPTP 的支持下，構建VPN 技術服務器，實現和遠程計算機連接。 被傳輸的信息要封裝到數據包中，通過互聯網進行傳輸。 當其傳輸到接收方后，由接收方還原數據包。 數據包經過解密后就能得到原始信息，避免信息在傳輸過程中被第三方截取，即便數據包被截取也會無法正常解析，保證了數據包中信息的安全性。

2.2 加密技術

VPN 技術能支持用戶實時與虛擬網絡連接，還能支持數據信息的傳輸，該技術又稱為虛擬網絡環境。 加密技術屬于VPN 技術應用的關鍵技術，通過對數據信息進行加密，能降低信息面臨的黑客攻擊的風險，使信息在傳輸過程中不易被盜取、篡改和泄露。

加密技術可以分為主動加密和被動加密。 主動加密即利用專門的加密工具和軟件對需要傳輸的信息進行加密；被動加密則是指計算機系統根據特定程序自動加密信息，無須信息發布者進行操作。 在計算機網絡信息傳輸過程中，使用了加密技術。 首先用戶需要用公鑰對要傳輸的文件信息進行加密，將普通文件轉換成密文。 如果文件在傳輸過程中被第三方竊取，打開文件后只能得到一串亂碼，無法通過文件獲取有價值信息。 而接收方收到加密的文件后，只需要使用匹配的密鑰對文件進行解密，就可以讀取文件中的信息。 加密技術相當于保護信息的隧道。當用戶使用該隧道進行數據傳輸時，外界對隧道內部信息的攻擊就可被隧道阻擋，從而確保計算機網絡信息的安全性。

2.3 IPsec 協議

IPsec 協議是一種適用于IPv6 和IPv4 的協議，能在數據傳輸、讀取與存儲等環節提高數據的機密性。 IPsec 協議的應用原理類似于包過濾防火墻，通過查詢SPD 選擇相應的方案對接收的IP 數據包進行妥善處理，主要的處理方式有3 種，分別是丟棄、轉發和IPsec 處理。 例如，防火墻經過過濾，發現存在具有潛在威脅的數據包，在協議之中，可以自動拒絕該數據包進入網絡，也能拒絕計算機網絡訪問存在危險的網站，但數據包在傳輸過程中，包過濾防火墻無法避免數據包被第三方惡意攔截。 相比而言，IPsec 處理通過對數據包實施身份認證與加密，即便數據包在傳輸時被第三方攔截，第三方也不能解密該數據包，能夠確保數據包中的信息具有高度的安全性［4］。 在使用IPsec 協議對數據包進行處理后，IP 數據包是一個完整的整體，經過加密與認證生成新的IPsec 頭部，將它放在原始IP 頭部和數據包之間，雙重保護數據包的安全。

2.4 密鑰管理技術

密鑰管理技術是常見的密碼系統的核心技術，在計算機網絡信息安全管理過程中，密鑰技術的應用也是非常廣泛的。 比如對稱密鑰和公開密鑰兩種形式是比較常見的技術。 在對稱密鑰的使用過程中，信息的發送方和接收方所使用的密鑰是相同的密鑰。 在交換的過程中只有保持兩者一致，才能夠讀取相關信息。 為了提升密鑰管理技術的安全性，防止密鑰泄露和篡改，需要使用相應的程序。在多重防護之下，密鑰能確保信息的安全。 由于第三方目前還未能掌握密鑰加密技術的破譯方法，因此該技術的應用可行性較強。 另外，公開密鑰則是通過信息的接收方和發送方使用公開密鑰證書進行交換。 在國際上已經有比較完備的公開密鑰證書執行標準，也能保證整體信息傳輸的安全性。 在公開密鑰證書的幫助下可以有效對信息接收或傳輸方的身份進行識別，在識別時一旦發現被識別對象并非信息的發送者或接收者，自動判定不允許查看其中的信息，保障計算機網絡信息的安全。

2.5 身份驗證技術

身份驗證技術在日常生活與工作中發揮著非常重要的作用，該技術具有很高的實用價值。 身份驗證技術是一項最基礎的安全技術，用戶在計算機網絡系統中登錄用戶名和密碼后才能獲取自身對應的權限，如在銀行辦理業務時，需要輸入登錄密碼才能取款。 未經授權或者身份不明的用戶自動被系統視為惡意訪問用戶。 身份驗證的目的就是識別并杜絕此類用戶訪問網絡，以減少因用戶惡意訪問網絡而導致的信息丟失和泄露等問題。 例如，黑客可能會選擇冒用用戶身份的方式登錄訪問服務器。 在VPN 技術的幫助下，利用身份驗證技術可以最大限度地規避上述問題，這在計算機網絡信息安全管理中是一項常用的技術手段［5］。 身份驗證技術的應用體現在多個方面，如計算機登錄時用于驗證用戶身份，自動拒絕無訪問權限的用戶登錄計算機，防止越權操作的問題；身份驗證技術還可以用于打開加密文件的環節，未經身份驗證的用戶無法獲取打開文件的權限，從而避免文件信息泄露。 從功能角度來看，身份驗證技術的應用可以降低文件中信息發生泄露的風險。

身份驗證技術主要有以下幾種：①基于已知密碼和口令的身份驗證：用戶接收來自網絡的文件后，需要提供加密文件相對應的密碼或密鑰完成身份驗證。 ②基于智能卡和令牌的身份驗證：動態令牌自動刷新口令，用戶需要在規定時間內輸入與之匹配的口令［6］。 ③基于用戶個人特征的身份驗證：包括用戶的聲音、臉型、虹膜、指紋等的身份驗證，該技術目前的成熟度較高、安全性較強。 ④基于雙因素或多因素的驗證：采用上述兩種或以上的身份驗證方式，在組合應用多種身份驗證方式的基礎上，最大限度為計算機網絡信息安全提供保護。

3 VPN 技術在計算機網絡信息安全管理中的應用

3.1 企業管理與合作中的應用

VPN 技術在企業內部的計算機網絡中的應用，能最大限度保護企業內網信息的安全。 在企業內部通常設有不同的職能部門，各個部門負責的工作任務各不相同。 盡管各部門的信息存在一定獨立性，但在職能分工中各部門之間有著緊密聯系。 因此，企業內部局域網能支持各部門在生產經營過程中建立密切關系。 企業管理中采用VPN技術，需要建立在虛擬網絡構建的基礎上。 企業只需要配備相應的網絡設備，就能實現虛擬網絡的建構和應用，為信息傳輸的效率與安全性提供有力保障，尤其是能在信息傳輸時對數據信息進行保障，支持更多有價值信息的傳播。 例如，應用VPN 技術的身份認證技術，可以自動篩選網絡訪問者是否為企業內部員工，避免外部人員非法訪問網絡，以此方式降低企業涉密信息泄露的風險。

3.2 學校管理中的應用

教育信息化背景下，校園網絡在學校教學、管理、生活等領域的應用價值不斷提升。 虛擬專用網絡技術在學校計算機網絡信息安全管理中的應用，可以從以下方面入手。

（1）學校財務管理

學?？梢岳肰PN 技術建立財務信息管理系統。 一些學校的面積較大，分為多個校區。 此類學校在建立財務管理系統后，需要搭建面向多個校區的VPN 技術網絡，將各校區的財務數據實時上傳，支持學校財務管理工作的開展。 各校區財務數據在上傳過程中，必須保證財務數據傳輸的安全性。 在VPN 技術的幫助下，如學費收繳、工資管理等財務數據，都能通過財務管理系統實現安全、高效的辦理。 例如，學校在建立財務管理系統的過程中，可以在各校區之間建立虛擬專用網絡，允許客戶端訪問財務服務器，只對外開放財務管理系統的收費服務窗口。 服務端采用公開透明的方式訪問計算機的客戶端，支持管理人員在系統服務端對客戶端實施遠程控制，幫助學校解決服務器與客戶端存在的安全問題。

（2）網絡安全維護

學校計算機網絡系統中保存了大量的學籍信息，為了對學生的信息隱私提供保護，可以采用VPN 技術對網絡系統中存儲的數據信息安全性提供保障。 學?？梢圆捎秒p層協議網絡與校園局域網進行連接，然后利用核心交換機技術來保障學生個人信息安全，避免學生在登錄校園網后發生個人信息泄露的風險。 學校在經費充足或技術過硬的情況下，還可以單獨配置VPN 技術服務器。 通過利用VPN 技術服務器的安全保護功能，在校園網與外網進行連接時，校園網接收到來自互聯網的請求后，利用VPN技術服務器對所有請求進行過濾，從而為校園網絡信息的安全性提供保障。

4 結語

綜上所述，以VPN 技術為基礎的計算機網絡信息安全管理是一種能維護用戶個人信息安全、維護計算機網絡信息安全的技術，它能避免因為信息泄露和篡改等引起的不必要損失。 VPN 技術在現代社會領域扮演著重要角色，應用該技術能更安全、更可靠地支持網絡數據信息傳遞。 在學校信息化發展的需求下，利用VPN 技術實現校園信息的安全遠程互聯具有深遠的意義。 在應用過程中，也要融合技術創新，順應技術發展的趨勢，從而保障學校的利益。