在國外,***已經迅速發展起來,2001年全球***市場將達到120億美元。在中國,雖然人們對***的定義還有些模糊不清,對***的安全性、服務質量(QoS)等方面存有疑慮,但互聯網和電子商務的快速發展使我們有理由相信,中國的***市場將逐漸熱起來。
對國內的用戶來說,***(虛擬專用網,Virtual Private Network)最大的吸引力在哪裏?是價格。據估算,如果企業放棄租用專線而採用***,其整個網絡的成本可節約21%-45%,至於那些以電話撥號方式連網存取數據的公司,採用***則可以節約通訊成本50%-80%。
爲什麼***可以節約這麼多的成本?這就先要從***的概念談起。
認識***
現在有很多連接都被稱作***,用戶經常分不清楚,那麼一般所說的***到底是什麼呢?顧名思義,虛擬專用網不是真的專用網絡,但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是利用某種公衆網的資源動態組成的。IETF草案理解基於IP的***爲:"使用 IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公衆數據網絡的長途數據線路。所謂專用網絡,是指用戶可以爲自己制定一個最符合自己需求的網絡。
用戶現在在電信部門租用的幀中繼(Frame Relay)與ATM等數據網絡提供固定虛擬線路(PVC-Permanent Virtual Circuit)來連接需要通訊的單位,所有的權限掌握在別人的手中。如果用戶需要一些別的服務,需要填寫許多的單據,再等上相當一段時間,才能享受到新的服務。更爲重要的是兩端的終端設備不但價格昂貴,而且管理也需要一定的專業技術人員,無疑增加了成本,而且幀中繼、ATM數據網絡也不會像 Internet那樣,可立即與世界上任何一個使用Internet網絡的單位連接。而在Internet上,***使用者可以控制自己與其他使用者的聯繫,同時支持撥號的用戶。
所以我們說的虛擬專用網一般指的是建築在Internet上能夠自我管理的專用網絡,而不是Frame Relay或ATM等提供虛擬固定線路(PVC)服務的網絡。以IP爲主要通訊協議的***,也可稱之爲IP-***。
由於***是在Internet上臨時建立的安全專用虛擬網絡,用戶就節省了租用專線的費用,在運行的資金支出上,除了購買***設備,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。這就是***價格低廉的原因。
越來越多的用戶認識到,隨着Internet和電子商務的蓬勃發展,經濟全球化的最佳途徑是發展基於Internet的商務應用。隨着商務活動的日益頻繁,各企業開始允許其生意夥伴、供應商也能夠訪問本企業的局域網,從而大大簡化信息交流的途徑,增加信息交換速度。這些合作和聯繫是動態的,並依靠網絡來維持和加強,於是各企業發現,這樣的信息交流不但帶來了網絡的複雜性,還帶來了管理和安全性的問題,因爲Internet是一個全球性和開放性的、基於 TCP/IP 技術的、不可管理的國際互聯網絡,因此,基於Internet的商務活動就面臨非善意的信息威脅和安全隱患。
還有一類用戶,隨着自身的的發展壯大與跨國化,企業的分支機構不僅越來越多,而且相互間的網絡基礎設施互不兼容也更爲普遍。因此,用戶的信息技術部門在連接分支機構方面也感到日益棘手。
用戶的需求正是虛擬專用網技術誕生的直接原因。
用戶需要的***
一.***的特點
在實際應用中,用戶需要的是什麼樣的***呢?一般情況下,一個高效、成功的***應具備以下幾個特點:
1.安全保障
雖然實現***的技術和方式很多,但所有的***均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接,稱之爲建立一個隧道,可以利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者瞭解,從而保證了數據的私有性和安全性。在安全性方面,由於***直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更爲突出。企業必須確保其***上傳送的數據不被***者窺視和篡改,並且要防止非法用戶對網絡資源或私有信息的訪問。Extranet***將企業網擴展到合作伙伴和客戶,對安全性提出了更高的要求。
2.服務質量保證(QoS)
***網應當爲企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證 ***服務的一個主要因素;而對於擁有衆多分支機構的專線***網絡,交互式的內部企業網應用則要求網絡能提供良好的穩定性;對於其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。在網絡優化方面,構建***的另一重要需求是充分有效地利用有限的廣域網資源,爲重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峯時引起網絡阻塞,產生網絡瓶頸,使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閒。QoS通過流量預測與流量控制策略,可以按照優先級分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先後發送,並預防阻塞的發生。
3.可擴充性和靈活性
***必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。在***管理方面,***要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業自己仍需要完成許多網絡管理任務。所以,一個完善的***管理系統是必不可少的。*** 管理的目標爲:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,***管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、 QoS管理等內容。
二.自建還是外包
由於***低廉的使用成本和良好的安全性,許多大型企業及其分佈在各地的辦事處或分支機構成了***順理成章的用戶羣。對於那些最需要***業務的中小企業來說,一樣有適合的***策略。當然,不論何種***策略,它們都有一個基本目標:在提供與現有專用網絡基礎設施相當或更高的可管理性、可擴展性以及簡單性的基礎之上,進一步擴展公司的網絡連接。
1.大型企業自建***
大型企業用戶由於有雄厚的資金投入做保證,可以自己建立***,將***設備安裝在其總部和分支機構中,將各個機構低成本且安全地連接在一起。企業建立自己的***,最大的優勢在於高控制性,尤其是基於安全基礎之上的控制。一個內部***能使企業對所有的安全認證、網絡系統以及網絡訪問情況進行控制,建立端到端的安全結構,集成和協調現有的內部安全技術。
企業還可以確保得到業內最好的技術以滿足自身的特殊需要,這要優於ISP所提供的普通服務。而且,建立內部***能使企業有效節省***的運作費用。企業可以節省用於外包管理設備的額外費用,並且能將現有的遠程訪問和端到端的網絡集成起來,以獲取最佳性價比的***。
雖然***外包能避免技術過時,但並不意味着企業可以節省開支。因爲,企業最終還要爲高額產品支付費用,以作爲使用新技術的代價。雖然***外包可以簡化企業網絡部署,但這同樣降低了企業對公司網的控制等級。網絡越大,企業就越依賴於外包***供應商。因此,自建***是大型企業的最好選擇。
2.中小型企業外包***
雖然每個中小型企業都是相對集中和固定的,但是部門與部門之間、企業與其業務相關企業之間的聯繫依然需要廉價而安全的信息溝通,在這種情況下就用得上 ***。電信企業、IDC目前提供的***服務,更多的是面向中小企業,因爲可以整合現有資源,包括網絡優勢、託管和技術力量來爲中小企業提供整體的服務。中小型企業如果自己購買***設備,則財務成本較高,而且一般中小型企業的IT人員短缺、技能水平不足、資金能力有限,不足以支持***,所以,外包 ***是較好的選擇。
* 外包***比企業自己動手建立***要快得多,也更爲容易。
* 外包***的可擴展性很強,易於企業管理。有統計表明,使用外包***方式的企業,可以支持多於2300名用戶,而內部***平均只能支持大約150名用戶。而且,隨着用戶數目的增長,對用於監控、管理、提供IT資源和人力資源的要求也將呈指數增長。
* 企業***必須將安全和性能結合在一起,然而,實際情況中兩者不能兼顧。例如,對安全加密級別的配置經常降低***的整體性能。而通過提供***外包業務的專業ISP的統一管理,可大大提高***的性能和安全。ISP的***專家還可幫助企業進行***決策。
* 對服務水平協議(SLA)的改進和服務質量(QoS)保證,爲企業外包***方式提供了進一步的保證。
三.***安全技術
由於傳輸的是私有信息,***用戶對數據的安全性都比較關心。
目前***主要採用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
1.隧道技術是***的基本技術,類似於點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分爲第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F 、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F 而形成。
第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
2.加解密技術是數據通信中一項較成熟的技術,***可直接利用現有技術。
3.密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分爲SKIP與ISAKMP/OAKLEY兩種。SKIP 主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用於公用、私用。
4.身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
四.堵住安全漏洞
安全問題是***的核心問題。目前,***的安全保證主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全密鑰來實現的,可以保證企業員工安全地訪問公司網絡。
但是,如果一個企業的***需要擴展到遠程訪問時,就要注意,這些對公司網直接或始終在線的連接將會是******的主要目標。因爲,遠程工作員工通過防火牆之外的個人計算機可以接觸到公司預算、戰略計劃以及工程項目等核心內容,這就構成了公司安全防禦系統中的弱點。雖然,員工可以雙倍地提高工作效率,並減少在交通上所花費的時間,但同時也爲***、競爭對手以及商業間諜提供了無數進入公司網絡核心的機會。
但是,企業並沒有對遠距離工作的安全性予以足夠的重視。大多數公司認爲,公司網絡處於一道網絡防火牆之後是安全的,員工可以撥號進入系統,而防火牆會將一切非法請求拒之其外;還有一些網絡管理員認爲,爲網絡建立防火牆併爲員工提供***,使他們可以通過一個加密的隧道撥號進入公司網絡就是安全的。這些看法都是不對的。
在家辦公是不錯,但從安全的觀點來看,它是一種極大的威脅,因爲,公司使用的大多數安全軟件並沒有爲家用計算機提供保護。一些員工所做的僅僅是進入一臺家用計算機,跟隨它通過一條授權的連接進入公司網絡系統。雖然,公司的防火牆可以將侵入者隔離在外,並保證主要辦公室和家庭辦公室之間***的信息安全。但問題在於,侵入者可以通過一個被信任的用戶進入網絡。因此,加密的隧道是安全的,連接也是正確的,但這並不意味着家庭計算機是安全的。
***爲了侵入員工的家用計算機,需要探測IP地址。有統計表明,使用撥號連接的IP地址幾乎每天都受到***的掃描。因此,如果在家辦公人員具有一條諸如 DSL的不間斷連接鏈路(通常這種連接具有一個固定的IP地址),會使***的***更爲容易。因爲,撥號連接在每次接入時都被分配不同的IP地址,雖然它也能被侵入,但相對要困難一些。一旦***侵入了家庭計算機,他便能夠遠程運行員工的***客戶端軟件。因此,必須有相應的解決方案堵住遠程訪問***的安全漏洞,使員工與網絡的連接既能充分體現***的優點,又不會成爲安全的威脅。在個人計算機上安裝個人防火牆是極爲有效的解決方法,它可以使非法侵入者不能進入公司網絡。當然,還有一些提供給遠程工作人員的實際解決方法:
* 所有遠程工作人員必須被批准使用***;
* 所有遠程工作人員需要有個人防火牆,它不僅防止計算機被侵入,還能記錄連接被掃描了多少次;
* 所有的遠程工作人員應具有***檢測系統,提供對******信息的記錄;
* 監控安裝在遠端系統中的軟件,並將其限制只能在工作中使用;
* IT人員需要對這些系統進行與辦公室系統同樣的定期性預定檢查;
* 外出工作人員應對敏感文件進行加密;
* 安裝要求輸入密碼的訪問控制程序,如果輸入密碼錯誤,則通過Modem向系統管理員發出警報;
* 當選擇DSL供應商時,應選擇能夠提供安全防護功能的供應商。
對國內的用戶來說,***(虛擬專用網,Virtual Private Network)最大的吸引力在哪裏?是價格。據估算,如果企業放棄租用專線而採用***,其整個網絡的成本可節約21%-45%,至於那些以電話撥號方式連網存取數據的公司,採用***則可以節約通訊成本50%-80%。
爲什麼***可以節約這麼多的成本?這就先要從***的概念談起。
認識***
現在有很多連接都被稱作***,用戶經常分不清楚,那麼一般所說的***到底是什麼呢?顧名思義,虛擬專用網不是真的專用網絡,但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路,而是利用某種公衆網的資源動態組成的。IETF草案理解基於IP的***爲:"使用 IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公衆數據網絡的長途數據線路。所謂專用網絡,是指用戶可以爲自己制定一個最符合自己需求的網絡。
用戶現在在電信部門租用的幀中繼(Frame Relay)與ATM等數據網絡提供固定虛擬線路(PVC-Permanent Virtual Circuit)來連接需要通訊的單位,所有的權限掌握在別人的手中。如果用戶需要一些別的服務,需要填寫許多的單據,再等上相當一段時間,才能享受到新的服務。更爲重要的是兩端的終端設備不但價格昂貴,而且管理也需要一定的專業技術人員,無疑增加了成本,而且幀中繼、ATM數據網絡也不會像 Internet那樣,可立即與世界上任何一個使用Internet網絡的單位連接。而在Internet上,***使用者可以控制自己與其他使用者的聯繫,同時支持撥號的用戶。
所以我們說的虛擬專用網一般指的是建築在Internet上能夠自我管理的專用網絡,而不是Frame Relay或ATM等提供虛擬固定線路(PVC)服務的網絡。以IP爲主要通訊協議的***,也可稱之爲IP-***。
由於***是在Internet上臨時建立的安全專用虛擬網絡,用戶就節省了租用專線的費用,在運行的資金支出上,除了購買***設備,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。這就是***價格低廉的原因。
越來越多的用戶認識到,隨着Internet和電子商務的蓬勃發展,經濟全球化的最佳途徑是發展基於Internet的商務應用。隨着商務活動的日益頻繁,各企業開始允許其生意夥伴、供應商也能夠訪問本企業的局域網,從而大大簡化信息交流的途徑,增加信息交換速度。這些合作和聯繫是動態的,並依靠網絡來維持和加強,於是各企業發現,這樣的信息交流不但帶來了網絡的複雜性,還帶來了管理和安全性的問題,因爲Internet是一個全球性和開放性的、基於 TCP/IP 技術的、不可管理的國際互聯網絡,因此,基於Internet的商務活動就面臨非善意的信息威脅和安全隱患。
還有一類用戶,隨着自身的的發展壯大與跨國化,企業的分支機構不僅越來越多,而且相互間的網絡基礎設施互不兼容也更爲普遍。因此,用戶的信息技術部門在連接分支機構方面也感到日益棘手。
用戶的需求正是虛擬專用網技術誕生的直接原因。
用戶需要的***
一.***的特點
在實際應用中,用戶需要的是什麼樣的***呢?一般情況下,一個高效、成功的***應具備以下幾個特點:
1.安全保障
雖然實現***的技術和方式很多,但所有的***均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接,稱之爲建立一個隧道,可以利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者瞭解,從而保證了數據的私有性和安全性。在安全性方面,由於***直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更爲突出。企業必須確保其***上傳送的數據不被***者窺視和篡改,並且要防止非法用戶對網絡資源或私有信息的訪問。Extranet***將企業網擴展到合作伙伴和客戶,對安全性提出了更高的要求。
2.服務質量保證(QoS)
***網應當爲企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證 ***服務的一個主要因素;而對於擁有衆多分支機構的專線***網絡,交互式的內部企業網應用則要求網絡能提供良好的穩定性;對於其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。在網絡優化方面,構建***的另一重要需求是充分有效地利用有限的廣域網資源,爲重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峯時引起網絡阻塞,產生網絡瓶頸,使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閒。QoS通過流量預測與流量控制策略,可以按照優先級分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先後發送,並預防阻塞的發生。
3.可擴充性和靈活性
***必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。在***管理方面,***要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業自己仍需要完成許多網絡管理任務。所以,一個完善的***管理系統是必不可少的。*** 管理的目標爲:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,***管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、 QoS管理等內容。
二.自建還是外包
由於***低廉的使用成本和良好的安全性,許多大型企業及其分佈在各地的辦事處或分支機構成了***順理成章的用戶羣。對於那些最需要***業務的中小企業來說,一樣有適合的***策略。當然,不論何種***策略,它們都有一個基本目標:在提供與現有專用網絡基礎設施相當或更高的可管理性、可擴展性以及簡單性的基礎之上,進一步擴展公司的網絡連接。
1.大型企業自建***
大型企業用戶由於有雄厚的資金投入做保證,可以自己建立***,將***設備安裝在其總部和分支機構中,將各個機構低成本且安全地連接在一起。企業建立自己的***,最大的優勢在於高控制性,尤其是基於安全基礎之上的控制。一個內部***能使企業對所有的安全認證、網絡系統以及網絡訪問情況進行控制,建立端到端的安全結構,集成和協調現有的內部安全技術。
企業還可以確保得到業內最好的技術以滿足自身的特殊需要,這要優於ISP所提供的普通服務。而且,建立內部***能使企業有效節省***的運作費用。企業可以節省用於外包管理設備的額外費用,並且能將現有的遠程訪問和端到端的網絡集成起來,以獲取最佳性價比的***。
雖然***外包能避免技術過時,但並不意味着企業可以節省開支。因爲,企業最終還要爲高額產品支付費用,以作爲使用新技術的代價。雖然***外包可以簡化企業網絡部署,但這同樣降低了企業對公司網的控制等級。網絡越大,企業就越依賴於外包***供應商。因此,自建***是大型企業的最好選擇。
2.中小型企業外包***
雖然每個中小型企業都是相對集中和固定的,但是部門與部門之間、企業與其業務相關企業之間的聯繫依然需要廉價而安全的信息溝通,在這種情況下就用得上 ***。電信企業、IDC目前提供的***服務,更多的是面向中小企業,因爲可以整合現有資源,包括網絡優勢、託管和技術力量來爲中小企業提供整體的服務。中小型企業如果自己購買***設備,則財務成本較高,而且一般中小型企業的IT人員短缺、技能水平不足、資金能力有限,不足以支持***,所以,外包 ***是較好的選擇。
* 外包***比企業自己動手建立***要快得多,也更爲容易。
* 外包***的可擴展性很強,易於企業管理。有統計表明,使用外包***方式的企業,可以支持多於2300名用戶,而內部***平均只能支持大約150名用戶。而且,隨着用戶數目的增長,對用於監控、管理、提供IT資源和人力資源的要求也將呈指數增長。
* 企業***必須將安全和性能結合在一起,然而,實際情況中兩者不能兼顧。例如,對安全加密級別的配置經常降低***的整體性能。而通過提供***外包業務的專業ISP的統一管理,可大大提高***的性能和安全。ISP的***專家還可幫助企業進行***決策。
* 對服務水平協議(SLA)的改進和服務質量(QoS)保證,爲企業外包***方式提供了進一步的保證。
三.***安全技術
由於傳輸的是私有信息,***用戶對數據的安全性都比較關心。
目前***主要採用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
1.隧道技術是***的基本技術,類似於點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分爲第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L
第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
2.加解密技術是數據通信中一項較成熟的技術,***可直接利用現有技術。
3.密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分爲SKIP與ISAKMP/OAKLEY兩種。SKIP 主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用於公用、私用。
4.身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
四.堵住安全漏洞
安全問題是***的核心問題。目前,***的安全保證主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全密鑰來實現的,可以保證企業員工安全地訪問公司網絡。
但是,如果一個企業的***需要擴展到遠程訪問時,就要注意,這些對公司網直接或始終在線的連接將會是******的主要目標。因爲,遠程工作員工通過防火牆之外的個人計算機可以接觸到公司預算、戰略計劃以及工程項目等核心內容,這就構成了公司安全防禦系統中的弱點。雖然,員工可以雙倍地提高工作效率,並減少在交通上所花費的時間,但同時也爲***、競爭對手以及商業間諜提供了無數進入公司網絡核心的機會。
但是,企業並沒有對遠距離工作的安全性予以足夠的重視。大多數公司認爲,公司網絡處於一道網絡防火牆之後是安全的,員工可以撥號進入系統,而防火牆會將一切非法請求拒之其外;還有一些網絡管理員認爲,爲網絡建立防火牆併爲員工提供***,使他們可以通過一個加密的隧道撥號進入公司網絡就是安全的。這些看法都是不對的。
在家辦公是不錯,但從安全的觀點來看,它是一種極大的威脅,因爲,公司使用的大多數安全軟件並沒有爲家用計算機提供保護。一些員工所做的僅僅是進入一臺家用計算機,跟隨它通過一條授權的連接進入公司網絡系統。雖然,公司的防火牆可以將侵入者隔離在外,並保證主要辦公室和家庭辦公室之間***的信息安全。但問題在於,侵入者可以通過一個被信任的用戶進入網絡。因此,加密的隧道是安全的,連接也是正確的,但這並不意味着家庭計算機是安全的。
***爲了侵入員工的家用計算機,需要探測IP地址。有統計表明,使用撥號連接的IP地址幾乎每天都受到***的掃描。因此,如果在家辦公人員具有一條諸如 DSL的不間斷連接鏈路(通常這種連接具有一個固定的IP地址),會使***的***更爲容易。因爲,撥號連接在每次接入時都被分配不同的IP地址,雖然它也能被侵入,但相對要困難一些。一旦***侵入了家庭計算機,他便能夠遠程運行員工的***客戶端軟件。因此,必須有相應的解決方案堵住遠程訪問***的安全漏洞,使員工與網絡的連接既能充分體現***的優點,又不會成爲安全的威脅。在個人計算機上安裝個人防火牆是極爲有效的解決方法,它可以使非法侵入者不能進入公司網絡。當然,還有一些提供給遠程工作人員的實際解決方法:
* 所有遠程工作人員必須被批准使用***;
* 所有遠程工作人員需要有個人防火牆,它不僅防止計算機被侵入,還能記錄連接被掃描了多少次;
* 所有的遠程工作人員應具有***檢測系統,提供對******信息的記錄;
* 監控安裝在遠端系統中的軟件,並將其限制只能在工作中使用;
* IT人員需要對這些系統進行與辦公室系統同樣的定期性預定檢查;
* 外出工作人員應對敏感文件進行加密;
* 安裝要求輸入密碼的訪問控制程序,如果輸入密碼錯誤,則通過Modem向系統管理員發出警報;
* 當選擇DSL供應商時,應選擇能夠提供安全防護功能的供應商。