【正文】 問 控 制 報 文 加 密 報 文 鑒 別 IP 封 裝 源 VPN設(shè)備 訪 問 控 制 報 文 加 密 報 文 鑒 別 IP 封 裝 目的 VPN設(shè)備 發(fā) 送 者 接收 者 明文 明文 LAN1 LAN2 公共網(wǎng)絡(luò) IP隧道 (4)VPN的主要技術(shù) ? 隧道技術(shù)（ Tunneling） ? 加解密技術(shù)（ Encryption amp。 隧道技術(shù) ? 利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。 ? 有兩種類型的隧道協(xié)議： – 二層隧道協(xié)議：如 L2F、 PPTP、 L2TP等； – 三層隧道協(xié)議：如 GRE協(xié)議、 IPsec協(xié)議等。 通用路由封裝 GRE協(xié)議 ? GRE隧道建立于源路由器和目的路由器之間。 ? GRE 只提供了數(shù)據(jù)包的封裝，它并沒有加密功能 ,在實際環(huán)境中它常和 IPsec在一起使用。 點到點隧道協(xié)議（ PPTP） ? 是由 Microsoft和 Ascend在 PPP協(xié)議的基礎(chǔ)上開發(fā)的。 通過撥號連接的 PPTP協(xié)議棧 PPTP協(xié)議的優(yōu)越性 ? 通過 PPTP，遠程用戶可經(jīng)由因特網(wǎng)訪問企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再需要直接撥號至企業(yè)的網(wǎng)絡(luò)。 ? 其隧道機制采用現(xiàn)有的安全檢測和鑒別策略，還允許管理員和用戶對現(xiàn)有數(shù)據(jù)進行加密，使數(shù)據(jù)更安全。 PPTP與 IPSec的比較 ? 在安全性方面 – PPTP工作在第二層，可以發(fā)送 IP之外的數(shù)據(jù)包，如 IPX或 NetBEUI數(shù)據(jù)包； – IPSec在第三層運行 ，只能提供 IP包的隧道傳輸； – 從加密強度和數(shù)據(jù)集成方面來說，一般認為 IPSec優(yōu)于 PPTP； – PPTP 無鑒別功能。 第二層隧道協(xié)議（ L2TP） ? 綜合了 PPTP和 L2F兩者的特點： – 隧道控制沿用了 PPTP的協(xié)議； – 認證過程沿襲了 L2F協(xié)議； – 模塊化采用了獨立的 L2TP報頭。 PPTP與 L2TP的比較 ? PPTP是主動隧道模式 – 撥號用戶有權(quán)在初始 PPP協(xié)商之后 選擇 PPTP隧道的目的端 。 – PPTP的模型是一個 單獨的端用戶 ，所建立的 VPN結(jié)構(gòu)是端到端隧道（由客戶端到 PPTP服務(wù)器）。這在用戶需要通過 ISP撥入到 ICP時很有作用。其隧道始于 NAS，止于 L2TP服務(wù)器。 ?使用者身份鑒別：通常采用遠程身份驗證撥入用戶服務(wù) RADIUS。 ?設(shè)備身份鑒別：通常采用證書（ Certificate）。 采用二層隧道協(xié)議，實現(xiàn)二層網(wǎng)絡(luò)協(xié)議傳輸。 ?內(nèi)部網(wǎng) VPN（ Intra VPN ） ； 進行企業(yè)內(nèi)部各分支機構(gòu)的互聯(lián)。 ?外聯(lián)網(wǎng) VPN（ Extra VPN） 。既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)安全。 撥號 VPN 撥號 VPN通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施， 提供 對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠程訪問 。 包括模擬、撥號、 ISDN、數(shù)字用戶線路 (xDSL)、 移動 IP和電纜技術(shù)，能夠安全地連接移動用戶、遠程工作者或分支機構(gòu)。 RADIUS服務(wù)器可對員工進行驗證和授權(quán)，保證連接的安全，同時負擔(dān)的電話費用大大降低。 ? 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費用，簡化網(wǎng)絡(luò)； ? 實現(xiàn)本地撥號接入的功能來取代遠距離接入或 800電話接入，這樣能顯著降低遠距離通信的費用； ? 極大的可擴展性，簡便地對加入網(wǎng)絡(luò)的新用戶進行調(diào)度； ? 遠端驗證撥入用戶服務(wù)（ RADIUS）基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)； ? 將工作重心從管理和保留運作撥號網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。 利用 Inter的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等 VPN特性可以保證信息在整個 Intra VPN上安全傳輸。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、 可管理性和可靠性。 ? 減少 WAN帶寬的費用； ? 能使用靈活的拓撲結(jié)構(gòu)，包括全網(wǎng)絡(luò)連接； ? 新的站點能更快、更容易地被連接； ? 通過設(shè)備供應(yīng)商 WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時間。希望可以提供給客戶最快捷方便的信息服務(wù)，通過各種方式了解客戶的需要，同時企業(yè)間的合作關(guān)系也越來越多，信息交換日益頻繁。利用 VPN技術(shù)可以組建安全的 Extra， 既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證內(nèi)部網(wǎng)絡(luò)的安全。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、 可管理性和可靠性。 ? 能容易地對外部網(wǎng)進行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠端訪問 VPN相同的架構(gòu)和協(xié)議進行部署。 ? 病毒 是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù) ， 并自我復(fù)制的一組計算機指令或程序代碼 。 （ 3） 邏輯炸彈 ： 嵌在合法程序中 ， 只有當(dāng)特定的事件出現(xiàn)時才會進行破壞的一組程序代碼； （ 4） 特洛伊木馬 ： 表面上具有某種有用功能的程序 ， 它的內(nèi)部含有隱蔽代碼 ， 當(dāng)其被調(diào)用時會產(chǎn)生意想不到的后果； （ 5） 陷阱 （ 后門 ） ： 程序的一個秘密入口 ， 用戶通過它可以不按照通常的訪問步驟就能獲得訪問權(quán)； (2)網(wǎng)絡(luò)反病毒技術(shù) （ 1） 預(yù)防病毒技術(shù) ： 在第一時間阻止病毒進入系統(tǒng) 。 （ 2） 病毒檢測技術(shù) ： 一旦系統(tǒng)被感染，就立即斷定病毒的存在 并對其進行定位。 （ 4）病毒消除技術(shù) ： 在確定病毒的類型后，從受染文件中刪除所有病毒并恢復(fù)程序正常狀態(tài)。 如果對病毒檢測成功但鑒別或清除失敗，則必須刪除受染文件并重新裝入無毒文件的備份。 首先需要根據(jù)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、應(yīng)用類型及安全要求 選擇配置適當(dāng)類型的防火墻 ，或采用合適的協(xié)議 建立虛擬 專用網(wǎng) ，對系統(tǒng)進行保護（防護），同時 運用入侵檢測技 術(shù) 對網(wǎng)絡(luò)系統(tǒng)的若干關(guān)鍵點實時監(jiān)控，在發(fā)現(xiàn)入侵行為以 后通過系統(tǒng)管理員或設(shè)置的安全策略自動對系統(tǒng)進行調(diào)整 （如通知防火墻關(guān)閉某類應(yīng)用，或阻塞某個地址等）。 4 企業(yè)信息安全解決方案 ? Inter的強勁旋風(fēng)以驚人的速度滲透到各行各業(yè)?？傊?，電子商務(wù)為企業(yè)提供了更為廣泛的信息來源空間，為員工提供了更為廣闊的施展才能的舞臺，為市場提供了一種更為靈活的交易方式。近幾年，不斷有大型企業(yè)的網(wǎng)絡(luò)被“黑客”入侵，造成重大經(jīng)濟損失和惡劣影響的消息見諸報端。 確定企業(yè)網(wǎng)絡(luò)安全等級 ?企業(yè)由于其應(yīng)用不同，對安全的等級需求也不一樣； ?在企業(yè)內(nèi)部，不同的部門安全等級需求也不一樣。 (1)安全風(fēng)險 ?企業(yè)信息系統(tǒng)的安全風(fēng)險主要來自網(wǎng)絡(luò)設(shè)施物理特性的 安全、網(wǎng)絡(luò)系統(tǒng)平臺的安全、網(wǎng)上交易的安全、數(shù)據(jù)存 儲的安全。 (2)解決方案 企業(yè)網(wǎng)絡(luò)的安全體系涉及到網(wǎng)絡(luò)物理安全和系統(tǒng)安全的各個層面。 ?物理安全 ： 保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算 機信息系統(tǒng)安全的前提。 (2)解決方案 — 安全體系 安全管理體系 安全保障體系 安全技術(shù)體系 數(shù)據(jù)安全 交易安全 系統(tǒng)安全 物理安全 安 全 管 理 安 全 服 務(wù) (2)解決方案 — 物理安全 保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提。 它主要包括三個方面： （ 1） 環(huán)境安全 （ 2） 設(shè)備安全 （ 3） 媒體安全： 媒體數(shù)據(jù)的安全和媒體本身的安全 (2)解決方案 — 系統(tǒng)安全 系統(tǒng)安全采用的技術(shù)和手段有 : ?冗余技術(shù) ； ?網(wǎng)絡(luò)隔離技術(shù) ； ?訪問控制技術(shù) ； ?身份鑒別技術(shù) ； ?加密技術(shù) ； ?監(jiān)控審計技術(shù) ； ?安全評估技術(shù)。 應(yīng)用安全 系統(tǒng)掃描 辦公系統(tǒng)安全 業(yè)務(wù)系統(tǒng)安全 交易安全標(biāo)準(zhǔn)： SET、 SSL 交易安全基礎(chǔ)體系 交易安全的實現(xiàn) 數(shù)據(jù)庫安全 數(shù)據(jù)安全 (2)解決方案 — 安全管理 面對網(wǎng)絡(luò)安全的脆弱性，除了運用先進的網(wǎng)絡(luò)安全 技術(shù)和安全系統(tǒng)外，完善的網(wǎng)絡(luò)安全管理將是信息系統(tǒng) 建設(shè)重要組成部分，許多不安全的因素恰恰反映在組織 資源管理上，安全管理應(yīng)該貫穿在安全的各個層次上。 （ 2）安全目標(biāo)管理 1. 按照技術(shù)管理目標(biāo) 2. 按照資源管理目標(biāo) 信息系統(tǒng)安全管理的實現(xiàn) (3)構(gòu)建企業(yè)安全體系的原則 ?企業(yè)安全是一個循環(huán)的過程 ，部署了安全產(chǎn)品并不意味著安全方案 的結(jié)束。 ?無論企業(yè)采用什么樣的安全技術(shù)和部署什么安全產(chǎn)品，從實際應(yīng)用 角度來看， 沒有絕對或沒有 100%的安全 ，因此企業(yè)要根據(jù)自己的實 際情況，選擇適合自己的安全技術(shù)和方案。 ?在實施安全方案的過程中必須保證業(yè)務(wù)的連續(xù)性和可用性。 (5)典型應(yīng)用案例 某證券公司信息安全解決方案 該應(yīng)用實例是典型的總部模式 ： 防火墻 設(shè)立在公司總部及營業(yè)部入口，通過 訪問控制 可防止非法入侵并能做內(nèi)部的安全代理。 安全控制中心 用作證券公司網(wǎng)絡(luò)監(jiān)控預(yù)警系統(tǒng)，具有主動、實時的特性。 證券公司的 Web服務(wù)器、郵件服務(wù)器等應(yīng)用系統(tǒng)的保護由 頁面保護系統(tǒng) 、 安全郵件系統(tǒng) 完成。 建立公司的數(shù)字證書 CA中心 ， 向股民發(fā)放相應(yīng)的數(shù)字證書。 采用安全控件組成安全數(shù)據(jù)庫，定期進行數(shù)據(jù)庫 漏洞掃描 和 數(shù)據(jù)備份 。 文電辦公加密系統(tǒng) 用于辦公文件（郵件）加密傳輸、存儲。安全技術(shù)及產(chǎn)品的行業(yè)標(biāo)準(zhǔn)在一定范圍內(nèi)逐步統(tǒng)一，同時與網(wǎng)絡(luò)的開放性趨于一致。 安全保障體系：安全保障最終落實在安全服務(wù)上，因為它是動態(tài)的、持久的、專業(yè)的。有特色安全服務(wù)越來越成為網(wǎng)絡(luò)安全公司品牌的