乜大伟

（山东医学高等专科学校信息中心 山东省临沂市 276000）

信息技术处理具有高效、高精度以及高可靠性等优势，但受到网络技术自身特殊性的影响，在安全性要求上非常高，容易出现信息泄露、数据丢失等现象，如何保护好计算机网络信息安全是我们需要解决的问题。随着网络互联应用的增加，也提高了风险隐患，尤其是企业跨地区网络应用、政府部门纵向分级网络管理等，均存在严重的网络信息安全风险。在此背景下，虚拟专用网络技术逐步发展起来，通过在公共网络中建立的临时安全连接，形成安全稳定的信息通道，为计算机网络信息安全提供了有力保护。

1 虚拟专用网络技术特点

通过深入分析虚拟专用网络发现，由于节点交互存在差异，这通以前端到端进行连接的情况不同，借助Internet、ATM 等网络交互平台，构建局域网，是一种逻辑连接结构，如此计算机网络能够顺利运行，各方面优势可以得到发挥，信息数据在网络中传输将变得快捷与稳定[1]。一般情况下该技术优势包括以下几点：

（1）安全有保障。分析技术运行原理可知，以VPN 为支撑，在互联网内传输信息数据的时候，不仅安全可靠，也能达到专用的目的。有利于采用了点到点逻辑交互形式，通过一定加密手段，避免各项信息数据被非法窃取，可以让计算机网络信息安全系数从整体上得到提升。

（2）可扩展性较强。发挥VPN 服务功能，让数据信息在网络中正常传输有可靠保障，节点增添方面也得到了简化，显得更加方便。由于传输介质的多样化，音频、视频和图像等可以顺利传输，不会出现数据丢失的现象。

（3）有利于控制。以虚拟专用网络为基础，在对网络运行情况进行管理的时候，在再局限于以往的局域网中，而是逐步发展到公共网络平台。部分网络管理服务由于价值偏低，可以由服务商进行把控[2]。这样既实现了网络管理效率的提升，也让网络安全系数变得更高。

2 常用的虚拟专用网络技术

2.1 信息加密技术

信息加密技术作为虚拟专用网络技术中的关键部分，也是最为核心的内容。在网络技术快速发展的今天，加密技术逐步应用于社会各领域过程中，可以发挥出一定的价值，然而加密方式由于缺陷的出现，让不法分子有了可乘之机，在该技术支持下将作出各种违法行为。要想避免违法行为的出现，需要对运行在网络中的数据信息进行加密，在安全上给予足够的保障，这样用户的信息才更加安全，防止重要数据落入犯罪分子手中[3]。分析加密原理可知，主要引入了专门的机构负责加密所有的信息数据，确保在网络中传输时不被他人窃密，达到了安全方面的要求。

2.2 隧道技术

图1：用户密钥管理流程图

通常来说，在计算机加密过程中必须维持统一性，通过这样加密方式后，在保护计算机网络信息安全时容易引起很多问题，包括关键数据的丢失与泄密等，从而极大增加了安全方面的风险。发挥出隧道技术的作用，其加密能力较强，安全上有保障，且功能多样，有利于计算机网络内信息得到有力保护，也让用户信息更加安全，促使网络信息加密保护性能得到改善，完成对计算机网络信息的二次加密[4]。在隧道技术应用中，有效保护了各种信息，必须多方位了解各项情况，通过采取数据包、压缩包等格式，解决数据面临的风险问题。在Tunneling G 支持下，能够再次对计算机网络信息进行加密，让数据得到有力保护，确保数据在流动中获得可靠环境。

2.3 密钥管理技术

该技术主要分为SKIP、ISAKMP 等部分，确保个人信息在传输时有安全保障。对SKIP 来说，是保护虚拟网络环境下数据的正常运行，能够发挥有效的保护作用。然而SKIP 也存在一定的缺点，主要是不能在网络安全的基础上让各种数据有效传输，当然也无法发挥数据的共享价值。对SAKMP 来说，既保证了关键性数据信息的正常传输，同时让密钥管理技术更加安全和稳定，避免数据信息被网络黑客窃取的现象。个人采取DES 密钥的方式，实现数据信息的二次加密。针对不清楚最开始设置的密码情况，在RSA 密钥的支持下，有利于数据第一时间被查找到。此外，ISAKMP 与SKIP 也存在一定的区别，对密钥进行公开，所有人均能够使用。基于此需要实时使用密钥管理技术，解决数据泄露的问题[5]。如图1 所示，为虚拟网络专用技术应用过程中的用户密钥管理流程图。

2.3 身份认证技术

虚拟专用通信网络也必须使用身份认证技术，这是维持网络通信正常的关键，通过身份认证后登录至虚拟专用网络后，才允许利用其中的各种资源。对身份认证技术而言，一般借助留下的密码与信息核对确认用户身份，在用户登录系统的过程中，先验证账户和密码，通过验证后才允许登录至系统中，否则将无法与虚拟专用网络保持联系。身份认证技术主要采取短信密码认证的方式，要求用户输入正确的短信验证码，才能正常登录系统[6]。将身份认证技术应用到企业中，能够让企业工作者在利用与查询信息时得到授权，防止员工账号信息、身份信息等出现泄露的现象，这样就解决了企业网络安全隐患，提高了企业网络安全水平。

表1：最大并发用户数测试表

表2：VPN 服务器FTP 测试性能数据表（KB/S）

3 虚拟专用网络技术在计算机网络信息安全中应用实践

3.1 校园网VPN系统的实现

3.1.1 Open VPN 简介

Open VPN最早在2001年出现，并于当年12月发布第一个版本，在多年来应用与改进中越来越成熟，具有强大的功能，安全性与可靠性有保障，拥有其他企业级VPN 难以替代的优势。对Open VPN软件而言，是各自在通信中具有合法的权限，为数据保密提供了基础，可以全面呈现出来，为了发挥VPN 服务功能，Open VPN 属于最佳方案。SSL VPN 以网络层与应用层为主，其中网络层将对资源读取进行控制，应用层则采取过滤技术，对访问进行限制。然而这样效率不高，通常会有多种应用复杂的网络环境，必须先解决认证与控制等问题。Open VPN 作为典型的SSL VPN，在OSI 模型内的二、三层建有隧道，借助SSL/TLS 加密算法，并通过ESP 完成隧道数据的封装。Open VPN 支持虚拟网卡与WIN32 驱动扩展网络，认证方式也非常灵活，利用防火墙控制用户或组的访问控制[7]。Open VPN 能够选择远程、站到站等多种环境，支持各种加密算法，安全性极高，是一种开源软件，有利于节约成本。

3.1.2 Open VPN 的实现

通过Open VPN 在学校内网中建立虚拟专用网络，选择客户端服务器模式，这样实现客户端服务器模式的SSL VPN，不同于以前的客户端/服务器情况，通过设置VPN 网关，让各自子网之间顺利完成连接，各VPN 均设有VPN 网关。在校园本部设置专门的服务器，因为服务器端需要进行加解密等过程，这样网络速度将在一定程度股面临影响，需要使用专门的服务器，避免发生这样的现象。服务器配置为CPU intel core i7；内存16GB；网卡 1000M 自适应；操作系统为 LINUX REDHAT 10。

VPN 客户端在校园内2 台服务器上进行设置，服务器负责对内网NAT 转换进行处理，提供VPN 服务等功能。还安装了2 个网卡，分别用于对内/外网的连接，操作系统为WINDOWS 2008 SERVER。Open VPN 的基本模式包括Routed IP tunnels 与Brided Etherent Tunnels，其中Routed IP tunnels 省去了点对点IP 通信，大大提高了效率，也简化了配置。而Brided Etherent Tunnels 的配置则较为复杂，一般在IP 协议与非IP 协议隧道中应用，因此在设置时一般考虑第一种方式。Open VPN 验证有2 种，分别是借助RSA证书与密匙的公钥体和提前通过存好的静态密码，可以保证顺利验证。第一种严验证方法安全性较高，然而配置较为繁琐，增加了系统开销，而第二种配置更加简化，只有安全性方面略有不足。本研究中校园内部分为RSA 公钥，远程访问则选择静态密码，达到验证客户端的作用。

3.2 校园网VPN系统测试

3.2.1 最大并发用户数

（1）先确定测试脚本ClientTest，呈现个人进入VPN 服务器等环节情况。通过SSLVPN 服务器进入权限后，可以拥有CA 证书，让客户端开始处于工作状态。

（2）SSLVPN 服务器数据库中设置20 组共1000 个用户。

（3）虚拟机在运行中无故障后，先进行测试，分析测试脚本的情况，在测试机中完成对250 个用户的并发，相关结果统计在表1 中，并得出VPN 服务器最大并发数为800 个用户，能够满足学校相关要求。

3.2.2 服务器使用性能测试

由于选择的加密算法存在差异，FTP 服务器上下载50M、100M、150M、200M、250M，对访问平均速度记录下来，具体如表2。分析表中数据能够得出，忽视网络影响条件下，加密算法对数据传输速度影响很大，加密算法安全性能越高，数据传输速度越慢，性能越好，则传输速率越快[8]。分析表中数据后可知，入关选择128位RCZ-CBC 加密算法，相比于不加密条件，数据传输速度降低了约46%。在DES 算法加密下，这个值则降低约48%。由此可见，数据的安全主要是降低系统性能和抢占CPU、消耗内存等方式实现。

3.3 安全性能分析

为了对系统安全情况进行深入的了解，在计算中视计算机面临病毒、黑客等威胁的几率是P1、P2，同时各自独立存在，双方无干预。若客户端感染病毒且无法清除的概率为E1，不能成功抵御黑客的概率为E2，同时设置了N 个客户端，那么：第一，针对SSL VPN系统未进行安全状态检测，且缺少访问控制的情况，由独立事件角度上分析，P（1）为1 个客户端不出现风险的概率，那么有：

根据二项分布规律，N 个客户端均为安全的几率是P（N），则计算为：

如果客户端能够进行安全状态检测，且具备访问控制功能，这样需要结合事件独立理论与条件概率理论，1 台客户端不出现威胁的概率为Q（1）,那么有：

根据二项分布规律，N 个客户端均为安全的几率是Q（N），则计算为：

由（3）和（4）可得，对SSL VPN 而言，若是杀毒软件与防火墙更新比较及时，则能够让e1 与e2 值降低。站在理论上说,e1与e2 越靠近0，Q(N)值则会无限靠近1。若是SSL VPN 系统内有客户端安全状态检测与控制访问，那么网络环境中N 台机器安全率基本上靠近1。根据（1）、（2）、（3）和（4）可知，SSL VPN内客户端安全机制无法获得保障，P1 与P2 数值在危险程度加大后不断加大。即随着客户端数量的增加，N 值将越来越小，且SSL VPN 系统更新后，以前系统中能保证客户端安全的几率也更低，在改进后SSL VPN 系统内系统安全率可以接近于1。从计算机测试结果发现，客户端能够安全运行，发挥检测技术与访问控制等作用，安全方面的性能将显著提升，不仅解决了系统漏洞的问题，也防止系统内部资源更少受到外部网络的威胁，提高了计算机网络信息的安全性与可靠性。

4 结语

总之，运用虚拟专用网络保护计算机网络信息安全，可以取得较好的效果，在操作方面也更加简化和便捷。因此我们要充分认识到虚拟专用网络的优势，积极运用数据加密技术、隧道技术、身份认证技术与密钥管理技术，在虚拟专用网络内保证计算机网络信息的安全，让用户信息数据更加安全，避免出现重要信息丢失以及被窃取的问题，减少经济损失。