孙学胜
(甘肃省武威市凉州区职业中等专业学校 甘肃 武威 733000)
在社会不断进步的过程中,计算机技术与信息技术已成为推动社会发展的主要力量。 然而,在计算机网络技术日渐成熟的过程中,网络系统中仍存在着许多安全隐患。信息安全隐患的存在,会制约计算机网络技术的发展与应用[1]。 为了进一步促进计算机网络技术发展,保障网络信息安全,对有效的计算机网络信息安全管理方式的探索逐渐深入。 虚拟专用网络(virtual private network, VPN)技术的应用,为计算机网络信息安全管理提供了全新的解决方案。
VPN 是在利用互联网隧道技术的基础上,通过公共网络资源建立的私人专用的网络。 VPN 技术属于保障网络信息安全的重要措施,主要通过模拟算法为公用信息网络的安全性提供保障,防止安全隐患给网络信息造成的不良影响。 VPN 技术的不同节点主要通过端与端之间的物理连接实现交互,同时利用公用网络为用户提供网络交互平台,完成局域网模式逻辑连接结构的搭建。 在构建虚拟专用网络的过程中,更好地发挥出计算机网络的优势,并以技术优势为网络中数据信息的传输提供安全保护。 为了对通信实现加密处理,通常在大型机构中不同办公区域子网连接中,都会选用VPN 技术。 例如,某企业总部的A网络中安装有企业资源计划(enterprise resource planning,ERP)服务器,在此基础上,企业总部的服务器可以通过内网地址直接访问。 然而,外地的分公司如果想访问企业总部的网址,则需要借助虚拟专用网络技术与A 网络局域网建立连接,才能访问企业总部的ERP 服务器。
1.2.1 技术优势
VPN 技术是一种功能性网络,它以物理网络为基础,其优势在于对硬件设施的要求不高,因此,无论在开发成本还是应用成本方面都占有很大优势。 在VPN 技术支持下,信息传输过程中的相关内容可以实现加密处理,从而提高保密性[2]。 VPN 技术的抗干扰能力也很强。 在网络信息的传输过程中,它还可以有效避免因为电磁干扰产生的信息丢失或信息失真的问题,从而提高信息传输的可靠性。 VPN 技术通过将计算机网络系统进行单元划分,掌握主导控制权,严格控制用户权限,能避免外部非法访问引起的安全隐患,大幅提高计算机网络信息的安全性。
1.2.2 应用优势
从用户的角度看,VPN 技术的应用难度更低。 在该技术的支持下,实现了不同用户之间的互联互通。 互联网技术将用户的地域空间壁垒打破,而VPN 技术以局域网为基础,为用户的安全上网提供了有效的安全防护,通过构建安全稳定的通信网络的方式,让用户的上网环境具有更高的安全性和可靠性。 使用上的灵活性也给用户应用VPN 技术提供了更广阔的空间。 可以根据信息的价值或重要程度等灵活增加技术壁垒,例如隧道技术、加密技术等都是比较常用的技术。 这样既能避免数据信息在传输过程中被第三方窃取或者发生泄露,也能降低用户保障网络信息安全的成本支出。
隧道技术根据传输的数据类型和配置条件的不同,可分为强制隧道和自愿隧道两种。 通过互联网,以隧道协议封装数据包和数据帧,实现了信息的传输,且保障了信息的安全性。 强制隧道就是在VPN 技术拨号访问服务器后才配置和创建的隧道。 在强制隧道模式下,位于客户端和服务器之间的远程访问服务器成为新的客户端。 自愿隧道也比较常见,在收到客户的VPN 技术请求后,网络服务器自动配置和创建形成一条隧道,该隧道需要使用一个IP 进行连接,支持双方的信息传输。
隧道技术中,隧道协议是在客户端和服务器之间创建隧道的基础。 目前较常用隧道技术执行的隧道协议主要有多层协议和双层协议。 双层协议是将帧当成信息交换载体,如1.2TP、点对点隧道协议(point-to-point tunneling protocol, PPTP)等都是常见的双层协议,双层协议就是在点对点的协议帧当中将需要传输的信息封装起来,再利用互联网进行信息发送和传输。 多层协议将数据包作为信息交换的载体。 常见的多层协议有IP over IP、互联网安全协议(internet protocol security, IPsec)等[3]。 多层协议的特点是时间IP 包封装在附加的IP 包头中,随后利用IP网络实现信息传输。 PPTP 协议属于一种点对点隧道协议,其在数据加密、身份验证等方面有着广泛应用,能提升信息在公共网络中传输的安全性。 在PPTP 的支持下,构建VPN 技术服务器,实现和远程计算机连接。 被传输的信息要封装到数据包中,通过互联网进行传输。 当其传输到接收方后,由接收方还原数据包。 数据包经过解密后就能得到原始信息,避免信息在传输过程中被第三方截取,即便数据包被截取也会无法正常解析,保证了数据包中信息的安全性。
VPN 技术能支持用户实时与虚拟网络连接,还能支持数据信息的传输,该技术又称为虚拟网络环境。 加密技术属于VPN 技术应用的关键技术,通过对数据信息进行加密,能降低信息面临的黑客攻击的风险,使信息在传输过程中不易被盗取、篡改和泄露。
加密技术可以分为主动加密和被动加密。 主动加密即利用专门的加密工具和软件对需要传输的信息进行加密;被动加密则是指计算机系统根据特定程序自动加密信息,无须信息发布者进行操作。 在计算机网络信息传输过程中,使用了加密技术。 首先用户需要用公钥对要传输的文件信息进行加密,将普通文件转换成密文。 如果文件在传输过程中被第三方窃取,打开文件后只能得到一串乱码,无法通过文件获取有价值信息。 而接收方收到加密的文件后,只需要使用匹配的密钥对文件进行解密,就可以读取文件中的信息。 加密技术相当于保护信息的隧道。当用户使用该隧道进行数据传输时,外界对隧道内部信息的攻击就可被隧道阻挡,从而确保计算机网络信息的安全性。
IPsec 协议是一种适用于IPv6 和IPv4 的协议,能在数据传输、读取与存储等环节提高数据的机密性。 IPsec 协议的应用原理类似于包过滤防火墙,通过查询SPD 选择相应的方案对接收的IP 数据包进行妥善处理,主要的处理方式有3 种,分别是丢弃、转发和IPsec 处理。 例如,防火墙经过过滤,发现存在具有潜在威胁的数据包,在协议之中,可以自动拒绝该数据包进入网络,也能拒绝计算机网络访问存在危险的网站,但数据包在传输过程中,包过滤防火墙无法避免数据包被第三方恶意拦截。 相比而言,IPsec 处理通过对数据包实施身份认证与加密,即便数据包在传输时被第三方拦截,第三方也不能解密该数据包,能够确保数据包中的信息具有高度的安全性[4]。 在使用IPsec 协议对数据包进行处理后,IP 数据包是一个完整的整体,经过加密与认证生成新的IPsec 头部,将它放在原始IP 头部和数据包之间,双重保护数据包的安全。
密钥管理技术是常见的密码系统的核心技术,在计算机网络信息安全管理过程中,密钥技术的应用也是非常广泛的。 比如对称密钥和公开密钥两种形式是比较常见的技术。 在对称密钥的使用过程中,信息的发送方和接收方所使用的密钥是相同的密钥。 在交换的过程中只有保持两者一致,才能够读取相关信息。 为了提升密钥管理技术的安全性,防止密钥泄露和篡改,需要使用相应的程序。在多重防护之下,密钥能确保信息的安全。 由于第三方目前还未能掌握密钥加密技术的破译方法,因此该技术的应用可行性较强。 另外,公开密钥则是通过信息的接收方和发送方使用公开密钥证书进行交换。 在国际上已经有比较完备的公开密钥证书执行标准,也能保证整体信息传输的安全性。 在公开密钥证书的帮助下可以有效对信息接收或传输方的身份进行识别,在识别时一旦发现被识别对象并非信息的发送者或接收者,自动判定不允许查看其中的信息,保障计算机网络信息的安全。
身份验证技术在日常生活与工作中发挥着非常重要的作用,该技术具有很高的实用价值。 身份验证技术是一项最基础的安全技术,用户在计算机网络系统中登录用户名和密码后才能获取自身对应的权限,如在银行办理业务时,需要输入登录密码才能取款。 未经授权或者身份不明的用户自动被系统视为恶意访问用户。 身份验证的目的就是识别并杜绝此类用户访问网络,以减少因用户恶意访问网络而导致的信息丢失和泄露等问题。 例如,黑客可能会选择冒用用户身份的方式登录访问服务器。 在VPN 技术的帮助下,利用身份验证技术可以最大限度地规避上述问题,这在计算机网络信息安全管理中是一项常用的技术手段[5]。 身份验证技术的应用体现在多个方面,如计算机登录时用于验证用户身份,自动拒绝无访问权限的用户登录计算机,防止越权操作的问题;身份验证技术还可以用于打开加密文件的环节,未经身份验证的用户无法获取打开文件的权限,从而避免文件信息泄露。 从功能角度来看,身份验证技术的应用可以降低文件中信息发生泄露的风险。
身份验证技术主要有以下几种:①基于已知密码和口令的身份验证:用户接收来自网络的文件后,需要提供加密文件相对应的密码或密钥完成身份验证。 ②基于智能卡和令牌的身份验证:动态令牌自动刷新口令,用户需要在规定时间内输入与之匹配的口令[6]。 ③基于用户个人特征的身份验证:包括用户的声音、脸型、虹膜、指纹等的身份验证,该技术目前的成熟度较高、安全性较强。 ④基于双因素或多因素的验证:采用上述两种或以上的身份验证方式,在组合应用多种身份验证方式的基础上,最大限度为计算机网络信息安全提供保护。
VPN 技术在企业内部的计算机网络中的应用,能最大限度保护企业内网信息的安全。 在企业内部通常设有不同的职能部门,各个部门负责的工作任务各不相同。 尽管各部门的信息存在一定独立性,但在职能分工中各部门之间有着紧密联系。 因此,企业内部局域网能支持各部门在生产经营过程中建立密切关系。 企业管理中采用VPN技术,需要建立在虚拟网络构建的基础上。 企业只需要配备相应的网络设备,就能实现虚拟网络的建构和应用,为信息传输的效率与安全性提供有力保障,尤其是能在信息传输时对数据信息进行保障,支持更多有价值信息的传播。 例如,应用VPN 技术的身份认证技术,可以自动筛选网络访问者是否为企业内部员工,避免外部人员非法访问网络,以此方式降低企业涉密信息泄露的风险。
教育信息化背景下,校园网络在学校教学、管理、生活等领域的应用价值不断提升。 虚拟专用网络技术在学校计算机网络信息安全管理中的应用,可以从以下方面入手。
(1)学校财务管理
学校可以利用VPN 技术建立财务信息管理系统。 一些学校的面积较大,分为多个校区。 此类学校在建立财务管理系统后,需要搭建面向多个校区的VPN 技术网络,将各校区的财务数据实时上传,支持学校财务管理工作的开展。 各校区财务数据在上传过程中,必须保证财务数据传输的安全性。 在VPN 技术的帮助下,如学费收缴、工资管理等财务数据,都能通过财务管理系统实现安全、高效的办理。 例如,学校在建立财务管理系统的过程中,可以在各校区之间建立虚拟专用网络,允许客户端访问财务服务器,只对外开放财务管理系统的收费服务窗口。 服务端采用公开透明的方式访问计算机的客户端,支持管理人员在系统服务端对客户端实施远程控制,帮助学校解决服务器与客户端存在的安全问题。
(2)网络安全维护
学校计算机网络系统中保存了大量的学籍信息,为了对学生的信息隐私提供保护,可以采用VPN 技术对网络系统中存储的数据信息安全性提供保障。 学校可以采用双层协议网络与校园局域网进行连接,然后利用核心交换机技术来保障学生个人信息安全,避免学生在登录校园网后发生个人信息泄露的风险。 学校在经费充足或技术过硬的情况下,还可以单独配置VPN 技术服务器。 通过利用VPN 技术服务器的安全保护功能,在校园网与外网进行连接时,校园网接收到来自互联网的请求后,利用VPN技术服务器对所有请求进行过滤,从而为校园网络信息的安全性提供保障。
综上所述,以VPN 技术为基础的计算机网络信息安全管理是一种能维护用户个人信息安全、维护计算机网络信息安全的技术,它能避免因为信息泄露和篡改等引起的不必要损失。 VPN 技术在现代社会领域扮演着重要角色,应用该技术能更安全、更可靠地支持网络数据信息传递。 在学校信息化发展的需求下,利用VPN 技术实现校园信息的安全远程互联具有深远的意义。 在应用过程中,也要融合技术创新,顺应技术发展的趋势,从而保障学校的利益。