VPN在信息系统安全等级保护中的应用

　　1.引言

　　随着因特网技术应用的普及，以及政府。企业和各部门及其分支结构网络建设和安全互联互通需求的不断增长，VPN技术为企业提供了一种低成本的组网方式。同时，我国现行的"计算机安全等级保护"也为企业在建设信息系统时提供了安全整体设计思路和标准。如何充分利用VPN技术和相关产品，为企业提供符合安全等级保护要求。性价比高的网络安全总体解决方案，是当前企业信息系统设计中面临的挑战。

　　2.信息安全管理体系发展轨迹

　　对于信息安全管理问题，在上世纪90年代初引起世界主要发达国家的注意，并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》，规定信息安全管理体系与控制要求和实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织（ISO）联合国际电工委员会（IEC）分别于2000年和2005年将BS7799标准转换为ISO/IEC 17799《信息安全管理体系 实施细则》和ISO/IEC 27001《信息安全管理体系 要求》，并向全世界推广。中国国家标准化管理委员会（SAC）于1999年发布了GB/T 17859《计算机信息系统安全保护等级划分准则》标准，把信息安全管理划分为五个等级，分别针对不同组织性质和对社会。国家危害程度大小进行了不同等级的划分，并提出了监管方法。2008年制订并下发了与ISO/IEC 17799和ISO/IEC27001相对应的GBT 22081-2008《信息安全管理体系 实用规则》和GBT 22080-2008《信息安全管理体系 要求》。

　　3.信息系统安全的等级

　　为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全。社会稳定和公共利益，保障和促进信息化建设， 国家公安部。保密局。密码管理局和国务院信息化工作办公室等，于2007年联合发布了《信息安全等级保护管理办法》，就全国机构/企业的信息安全保护问题，进行了行政法规方面的规范，并组织和开展对全国重要信息系统安全等级保护定级工作。同时，制订了《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范（国家标准审批稿），来指导国内机构/企业进行信息安全保护。

　　在《信息系统安全等级保护基本要求》中，要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面，按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完整。保密性以及数据备份与恢复等具体要求，对信息流进行不同等级的划分，从而达到有效保护的目的。信息系统的安全保护等级分为五级：第一级为自主保护级，第二级指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。

　　针对政府、企业常用的三级安全保护设计中，主要是以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务支持下，实现三级安全计算环境、三级安全通信网络、三级安全区域边界防护和三级安全管理中心的设计。

　　4.VPN技术及其发展趋势

　　VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的。安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN 是对企业内部网的扩展，通过它可以帮助远程用户。公司分支机构。商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

　　VPN使用三个方面的技术保证了通信的安全性：隧道协议。身份验证和数据加密。

　　VPN通道的加密方式成为主要的技术要求，目前VPN技术主要包括IPSec VPN，非IPSecVPN（如PPTP，L2TP等），基于WEB的SSLVPN等。

　　IPSec VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障，协议包括AH、ESP、ISAKMP等协议。其通过对数据加密、认证完整性检查来保证数据传输的可靠性、私有性和保密性、通过采用加密封装技术，对所有网络层上的数据进行加密透明保护。IPSec协议最适合于LAN到LAN之间的虚拟专用网构建。

SSL VPN是基于SSL协议的VPN产品。在企业中心部署SSL VPN设备，无需安装客户端软件，授权用户