余維萍 國網(wǎng)江西省電力有限公司樂平市分公司

1 有關(guān)虛擬專用網(wǎng)絡(luò)VPN的概述

VPN網(wǎng)絡(luò)已經(jīng)廣泛應(yīng)用于社會中的各個領(lǐng)域，那么網(wǎng)絡(luò)安全是否得到一定程度的保障，也是網(wǎng)絡(luò)管理人員不得不考慮的一個問題[1]。針對虛擬專用網(wǎng)絡(luò)VPN，首先了解到的是，它主要由加密技術(shù)、解密技術(shù)、隧道技術(shù)、密鑰技術(shù)以及使用者登錄身份驗證技術(shù)組成。其中涉及到的SSL加密協(xié)議與虛擬專用網(wǎng)絡(luò)VPN緊密相關(guān)，也就是在用戶進(jìn)行網(wǎng)絡(luò)驗證的過程當(dāng)中和電腦服務(wù)器公用密鑰之間的協(xié)議，SSL加密協(xié)議使得虛擬網(wǎng)絡(luò)VPN的安全性能相對較高。

在修整網(wǎng)絡(luò)中用戶位置區(qū)的具體參數(shù)信號時，VPN網(wǎng)絡(luò)在理論上應(yīng)該比其他網(wǎng)絡(luò)的安全性能高。但是網(wǎng)絡(luò)中沒有絕對的安全，或多或少的都會有一定的安全隱患存在，特別是現(xiàn)已普遍的虛擬專用網(wǎng)絡(luò)VPN。它在獲取用戶信息的手段上可通過變更自身網(wǎng)絡(luò)客戶端，讓網(wǎng)絡(luò)信號受到強烈的干擾，而且還會通過這種方式暴露用戶的具體位置信息。

2 有關(guān)虛擬專用網(wǎng)絡(luò)VPN的形態(tài)及影響

隨著技術(shù)的不斷更新，虛擬專用網(wǎng)絡(luò)VPN的形態(tài)與功能性也越來越先進(jìn)。在此基礎(chǔ)上，一些不法分子將VPN網(wǎng)絡(luò)作為傳播非法消息的媒介，利用網(wǎng)絡(luò)隱蔽性強的特點，獲取網(wǎng)絡(luò)連接密碼、用戶信息、終端數(shù)據(jù)等，對社會和網(wǎng)民的生活造成極其惡劣的影響。

2.1 VPN的基本形態(tài)

虛擬專用網(wǎng)絡(luò)VPN是由若干個自動化軟件構(gòu)成，相較于其他系統(tǒng)軟件站點來說，已經(jīng)是一個比較完善的對于網(wǎng)絡(luò)流量自動化的檢測系統(tǒng)技術(shù)，它的主要形態(tài)在是否可移動的條件下大致分為兩種：非定點式和定點式。例如，非定點式的網(wǎng)絡(luò)在大眾用戶系統(tǒng)中較為普遍，通常情況下VPN網(wǎng)絡(luò)作用于電腦系統(tǒng)中的電子圍欄處，路口位置穩(wěn)定且形狀的變化不顯著，給網(wǎng)民在日常瀏覽網(wǎng)站獲取有效信息時造成極大的困擾，它阻礙了網(wǎng)站信息與搜索內(nèi)容之間的聯(lián)系；定點式的VPN網(wǎng)站大多數(shù)存在于用戶管理賬戶中，其形態(tài)各式多樣，具有潛伏周期長，隱蔽性強等特征[2]。

2.2 VPN網(wǎng)絡(luò)的影響

目前發(fā)現(xiàn)的虛擬專用網(wǎng)絡(luò)所帶來的影響，主要涉及到電信詐騙，以及用戶賬戶系統(tǒng)等領(lǐng)域。由于VPN網(wǎng)絡(luò)采用的是將站點與偽終客戶端相結(jié)合的方式，用冒充的名義給用戶發(fā)起電話呼叫或者直接發(fā)送類似中獎的短信等方式，騙取用戶的有效信息。對于現(xiàn)階段部分網(wǎng)絡(luò)安全意識比較薄弱的網(wǎng)民而言，這種欺騙方式無疑成為大多數(shù)人的噩夢，因為在用戶進(jìn)行短信回復(fù)或者透露給對方有效證件信息時，自己的合法權(quán)益就已經(jīng)受到侵害。VPN網(wǎng)絡(luò)中的安全隱患就是攻擊者通過在客戶端收集到的數(shù)據(jù)，直接反饋到系統(tǒng)，致使誘騙成功。另外，虛擬專用網(wǎng)絡(luò)VPN在對用戶系統(tǒng)進(jìn)行干擾時，所產(chǎn)生的功率可能會嚴(yán)重影響到周圍用戶的網(wǎng)絡(luò)環(huán)境，給其他人以及自身的網(wǎng)絡(luò)安全造成隱患，直接影響到網(wǎng)民的日常生活。

3 VPN網(wǎng)絡(luò)安全隱患

由于SSL VPN不需要通過特殊的客戶端軟件，而是用Web瀏覽器替代，因此SSL VPN的安全隱患主要集中在瀏覽器和服務(wù)器上。

首先，瀏覽器中的用戶客戶端存在的威脅在于臨時文件的不主動清除，許多用戶在公眾場合的電腦上進(jìn)行登錄個人信息時，不知道如何正確退出VPN系統(tǒng)，一般都是直接關(guān)閉瀏覽器，其實這并沒有真正退出VPN系統(tǒng)，單位管理人員也不會刻意要求用戶及時退出系統(tǒng)。其中用戶事后產(chǎn)生的臨時文件包括系統(tǒng)運行和上網(wǎng)瀏覽所產(chǎn)生的文件沒有技術(shù)清除，尤其是SSL VPN通過瀏覽器與服務(wù)器進(jìn)行通信活動的臨時文件，瀏覽器中有緩存的信息，這就給攻擊者在遠(yuǎn)程登錄電腦中的病毒隧道感染提供了契機。這些病毒將會通過VPN隧道感染SSL VPN網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，即使部分用戶網(wǎng)絡(luò)中設(shè)有防火墻，但這些病毒仍然會借他人的臨時身份，進(jìn)入用戶內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問。

其次，服務(wù)器端的安全問題。WINDOWS系統(tǒng)中的應(yīng)用層是通過兩個方法實現(xiàn)：一是基于VPN SSL的系統(tǒng)平臺是Web服務(wù)器，兩者之間的聯(lián)系是緊密相關(guān)的，所以一臺設(shè)備的損壞必然會牽連到其他的系統(tǒng)設(shè)備。另外，系統(tǒng)中的多功能網(wǎng)絡(luò)終端認(rèn)證是運用網(wǎng)絡(luò)把計算機與系統(tǒng)服務(wù)器中的設(shè)備通過程控的方式連接的。在需要時，必須令Web服務(wù)器與VPN SSL的系統(tǒng)平臺之間形成配合的狀態(tài)[3]。二是內(nèi)部網(wǎng)絡(luò)應(yīng)用程序的服務(wù)器是網(wǎng)絡(luò)IP地址的內(nèi)部機器名，遠(yuǎn)程用戶使用VPN SSL虛擬專用網(wǎng)絡(luò)應(yīng)用程序時，VPN SSL需將這些內(nèi)部網(wǎng)址轉(zhuǎn)化為可識別的因特網(wǎng)，通過獨立設(shè)備中的VPN SSL進(jìn)行操控時，其安全性能比較高。經(jīng)過一段時間后，這種方式也會隨著經(jīng)濟(jì)的不斷進(jìn)步，將自身的弊端逐漸顯現(xiàn)出來，獨立硬件的漏洞影響了整個系統(tǒng)的安全性。

再次，用戶的身份認(rèn)證容易出現(xiàn)安全隱患。用戶在通過任意獨立設(shè)備登入到VPN系統(tǒng)的過程中，需要對VPN系統(tǒng)頁面進(jìn)行驗證時，有可能會使用戶的名稱或者密碼泄露。所以在服務(wù)器端對請求接入的賬號的過程中要加大其驗證復(fù)雜程度，這也是從另一方面增強服務(wù)器的安全性，保證廣大用戶的隱私。

4 VPN網(wǎng)絡(luò)安全解決方案

因為VPN SSL技術(shù)已經(jīng)是相當(dāng)普及，網(wǎng)絡(luò)管理人員在利用網(wǎng)絡(luò)安全性能的基礎(chǔ)上，需要對VPN網(wǎng)絡(luò)異常情況進(jìn)行評定。但是由于系統(tǒng)網(wǎng)絡(luò)的不可復(fù)制性，許多技術(shù)無法做到復(fù)制、粘貼的功能，所以目前虛擬專用網(wǎng)絡(luò)VPN技術(shù)還在進(jìn)一步的探究過程當(dāng)中。這就要求各網(wǎng)絡(luò)管理人員建立相應(yīng)的機制來解決以上的問題，具體體現(xiàn)在一下三個方面：

4.1 對網(wǎng)絡(luò)信息加密

現(xiàn)階段，設(shè)備登錄頁面都具有掃描功能，用戶使用掃一掃可進(jìn)行頁面成功登錄，但是正是這種簡捷的快速登錄，使得設(shè)備主機名稱、IP地址等信息暴露，成為攻擊者侵害的常用手段。因此需將 VPN SSL應(yīng)對的網(wǎng)內(nèi)主機名、服務(wù)器IP地址等網(wǎng)絡(luò)信息進(jìn)行加密，具體方法就是在服務(wù)器端使用一定時間內(nèi)，用戶需要修改數(shù)字身份驗證的密碼，預(yù)防身份驗證設(shè)備被人“借用”。

4.2 臨時文件信息處理

用戶在瀏覽網(wǎng)頁時，對文件痕跡的不及時清除，就很有可能給攻擊者乘機而入的機會，從而盜取用戶個人的相關(guān)數(shù)據(jù)，造成隱私的泄露。因此在客戶端自動下載運行過程中，應(yīng)重視數(shù)字證書的作用，如果數(shù)字證書長期與電腦連接，這種情況不僅會擾亂單位制定的操作規(guī)章，還會給系統(tǒng)造成超時進(jìn)程機制的后果。當(dāng)用戶在一定時間內(nèi)沒有進(jìn)行相關(guān)的操作時，系統(tǒng)應(yīng)該自動化斷開VPN的連接，及時對臨時文件進(jìn)行處理，用戶在下次連接使用時需要重新進(jìn)行驗證[4]。

4.3 認(rèn)證機制的使用

取消傳統(tǒng)的靜態(tài)用戶名以及口令類型的身份認(rèn)證，使用更為強制的認(rèn)證機制。例如，用戶手機短信驗證，用戶一段時間內(nèi)要修改數(shù)字證書的密碼等，這樣可以有效地抵制黑客對服務(wù)端應(yīng)用層的漏洞進(jìn)行攻擊，防止電腦病毒的傳播。

5 結(jié)束語

綜上所述，虛擬專用網(wǎng)絡(luò)VPN作為一種安全技術(shù)的前提，就是排除各種外界因素以及人為因素的影響，對于其中存在的安全隱患，應(yīng)從多個角度進(jìn)行解決，使VPN網(wǎng)絡(luò)安全更上一層樓。本文就是從有關(guān)虛擬專用網(wǎng)絡(luò)VPN的概述、虛擬專用網(wǎng)絡(luò)VPN的形態(tài)及影響、VPN網(wǎng)絡(luò)安全隱患以及VPN網(wǎng)絡(luò)安全解決方案四個方面進(jìn)行淺析，希望能夠?qū)V大讀者具有一定的參考價值。