当前位置:
  1. 首页
  2. 实用范文
  3. 实用范文_政务服务
  4. 正文

[信息保护系统中sslvpn应用]

摘要:本文主要介绍了sslvpn在信息保护系统模型中的使用,及其建立网络安全通信信道的基本原理和主要实现。关键词:信息保护系统sslvpnssl协议数据收发

1.引言

随着社会信息化的发展,无论是大型企业还是中小规模的公司都拥有对自身发展非常有价值的电子资源,而对于这些重要信息资源的访问和管理是每个企业和公司都非常重视的,并且人们对信息安全的关注也逐渐转移到内网安全领域上来。所谓内网安全是指对在内部网中的合法用户,对敏感信息资源的导入和导出,以及对资源安权限的访问和操作的控制。在建立这样一个有效的内网安全防护系统的同时,一条安全可靠的传输通道在内网安全机制中同样有着不可忽视的作用,而sslvpn正是为内网安全系统建立了一条稳妥可靠的传输通道。

2.信息保护系统中的sslvpn

2.1需求分析

很久以来,从客户到企业,即client-to-enterprise的连接方面,ipsecvpn有着许多不利的方面,原因之一在于随着客户端用户人数的增长,为他们安装ipsecvpn客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外,ipsec隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络的通道。

考虑到ipsecvpn存在这些基本的问题,sslvpn越来越受到it管理员的关注。sslvpn不需要安装其他客户端软件,对基本的b/s(brower/service)类服务客户主机只需要有支持ssl的浏览器就可以了,自然也就不需要对客户端进行维护和支持了。而对于c/s类的服务,只需拥有常用的客户端软件或使用ie浏览器即可。这不但节省了工作人员大量的时间和精力,同时也意味着远程用户在进行远程访问时,不会再受到地域限制,使用者只要有电脑,在有网络的前提下,远程访问就可以完成。

sslvpn是基于应用层的vpn,对企业而言,采用sslvpn不仅可以让外地使用者对web化的企业应用进行访问,而且还可以知道访问应用的数据连接由谁发起、使用者有哪些权限进行操作,这样对企业信息的安全管理提供了很多便利。

2.2信息保护系统模型分析

2.2.1信息保护系统功能概况

本文提出的信息保护系统给使用者提供了一个透明的工作环境,用户只有在这个环境内通过网络才能访问或下载需要的信息资源,而在环境外无法访问。同时只有通过环境内启动的相关软件才可以阅读下载到本地文件。具体保护措施如下:

(1)用户通过网络从受保护服务器上下载的文件在本地都已加密方式保存。

(2)用户在环境内创建新文件或阅读下载的文件时,无法通过复制、粘贴、拷屏等常用手段将文件内容以明文方式转移至环境外的文件或存储设备中。

(3)用户无法通过网络将上述下载的文件或在环境内创建的文件以明文传输到非法服务器上。

(4)用户在环境内创建或修改了文件后,可通过一条可信任的安全通道传送至合法的服务器上。

通过以上的保护措施,用户可以在提供的环境内正常阅读或修改受保护的企业信息资源,但无法将企业受保护信息资源泄漏,因为用户无法在本系统提供的环境外得到明文文件。一旦用户离开工作环境,所有环境内使用过的文件都会被加密存储。同时用户在将修改后的文件提交给企业内部服务器的过程是通过sslvpn提供的安全通道来完成的,因此很难在传输过程中加以拦截和破译。

2.2.2信息保护系统模型结构

本信息保护系统共由三大模块构成:

(1)本地信息防护系统。由文件i/o驱动,进程监控模块等构成,该部分为用户构建一个全透明的工作环境,并对用户在环境内打开的文件进行动态加解密,起到对信息资源的保护作用。

(2)网络监控系统。目的是防止用户通过网络泄漏敏感资源。该系统监控环境内启动的服务(如notepad、vc等),并对环境内的服务发向网络中的数据包进行拦截并对应用层数据进行加解密,从而有效地控制网络传输,防止数据泄漏。

(3)sslvpn系统。该部分为数据的网络传输提供了可靠的加密信道,保证合法数据在网络中安全性。sslvpn在客户端是与网络监控系统一起完成对网络数据的保护。网络监控对环境内进程发出和接受的数据进行加解密,而sslvpn在客户端对进入sslvpn通道的应用层数据进行相反的加解密操作,然后进行重新的封装并发送给sslvpn服务器,这样可以保证用户发出的数据被以明文保存到指定服务器上。同时其与网络监控的配合没有进入sslvpn通道的数据以密文在网络中传输,防止了信息资源在网络中的泄漏。而且客户端用户的身份认证也使用了sslvpn证书对用户身份进行有效核实。

2.2.3信息保护架构架构图

隐藏内容

此处内容需要权限查看

  • 普通用户特权:8.8积分
  • 会员用户特权:免费
  • 网站代理用户特权:免费推荐
会员免费查看

3.3sslvpn服务器的数据处理与转发

sslvpn服务器工作在linux系统下,与客户端相对应也通过虚拟网卡收发数据包,并通过管理员配置相关服务。sslvpn服务器接受到来自sslvpn客户端的数据包后,通过与客户端相反的操作可以还原出受监控用户进程发出的明文数据包,然后通过网络发给相应的客户服务器,从而实现用户与服务器的加密通信。

栏目编辑王胜举