基于VPN技術(shù)的通信服務(wù)迅速發(fā)展,但帶來日益突出的信息安全問題。政府部門對VPN業(yè)務(wù)的管理做出了一些規(guī)定,但由于針對VPN加密隧道通信技術(shù)尚缺乏有效的安全監(jiān)測手段,信息安全管理存在空白,違規(guī)信息很容易躲避網(wǎng)絡(luò)監(jiān)控系統(tǒng)的過濾及監(jiān)管。
對此,業(yè)界應(yīng)以技術(shù)攻關(guān)為重點(diǎn),盡快研究針對VPN加密隧道通信技術(shù)的監(jiān)測手段,提升相關(guān)信息安全系統(tǒng)能力,同時加大管理力度,提升信息安全管控水平,實(shí)現(xiàn)VPN業(yè)務(wù)健康發(fā)展。
VPN技術(shù)通信服務(wù)迅速發(fā)展
VPN(Virtual Private Network,虛擬專用網(wǎng))指通過對連接到公共網(wǎng)絡(luò)環(huán)境中特定節(jié)點(diǎn)集合施加特定的控制策略,所形成的相互間具有可達(dá)連接的閉合性用戶群網(wǎng)絡(luò)。
VPN技術(shù)的特性是利用共享的公眾網(wǎng)絡(luò)資源為特定用戶提供具有一定安全性和保密性的邏輯通道,將分散的用戶側(cè)網(wǎng)絡(luò)、主機(jī)連接起來,實(shí)現(xiàn)虛擬專網(wǎng)內(nèi)用戶數(shù)據(jù)包透明傳送;同時,用戶可在一定程度上自主地對VPN通道的相關(guān)控制策略進(jìn)行操作和管理。
按所屬節(jié)點(diǎn)接入形式的不同,VPN技術(shù)應(yīng)用主要有網(wǎng)絡(luò)到網(wǎng)絡(luò)互聯(lián)和主機(jī)到網(wǎng)絡(luò)互聯(lián)兩種形式。對于主機(jī)到網(wǎng)絡(luò)互聯(lián)形式,目前尚無相應(yīng)的管理法規(guī);屬于網(wǎng)絡(luò)到網(wǎng)絡(luò)互聯(lián)形式的應(yīng)用有6類,其中兩類無管理法規(guī),其他4類有管理法規(guī)。
《電信業(yè)務(wù)分類目錄》對這4類業(yè)務(wù)做了明確規(guī)定:1)依托國內(nèi)互聯(lián)網(wǎng)實(shí)現(xiàn)的閉合性用戶群VPN服務(wù),屬于第一類增值電信業(yè)務(wù)(B13);2)基于國內(nèi)公共數(shù)據(jù)網(wǎng)絡(luò)(承載網(wǎng)、幀中繼和ATM等)實(shí)現(xiàn)的國內(nèi)端到端數(shù)據(jù)傳送業(yè)務(wù),屬于第二類基礎(chǔ)電信業(yè)務(wù)(A23-1);3)通過互聯(lián)網(wǎng)國際出入口提供的國際閉合用戶群數(shù)據(jù)業(yè)務(wù),屬于第一類基礎(chǔ)電信業(yè)務(wù)(A14-1);4)利用國際線路或國際專線等數(shù)據(jù)網(wǎng)絡(luò)資源提供的國際數(shù)據(jù)通信業(yè)務(wù),屬于第一類基礎(chǔ)電信業(yè)務(wù)(A14-4)。
目前國內(nèi)VPN業(yè)務(wù)的主要市場份額集中于基礎(chǔ)運(yùn)營商,其中中國電信占據(jù)40%,中國聯(lián)通30%。其他獲得國內(nèi)VPN業(yè)務(wù)牌照的中小型增值運(yùn)營商,主要運(yùn)營模式是以低價租用電信、聯(lián)通的電路構(gòu)建骨干網(wǎng),再向其客戶提供VPN服務(wù)。國際VPN業(yè)務(wù)也以中國電信、中國聯(lián)通為主,均在10億元人民幣規(guī)模,屬于高增長業(yè)務(wù),業(yè)務(wù)年增長率基本在30%左右。
基于VPN的信息安全問題日益突出
各類基于VPN技術(shù)的通信服務(wù)迅速發(fā)展,與市場高速增長形成強(qiáng)烈對比的是,近年來所產(chǎn)生的信息安全問題日益突出。以谷歌云(Google drive)為例,該應(yīng)用目前在我國屬于違規(guī)禁用范疇,但通過VPN加密管道,用戶可以繞過監(jiān)測管控環(huán)節(jié)進(jìn)行訪問并使用谷歌云服務(wù),從而實(shí)現(xiàn)與境外節(jié)點(diǎn)的不受控的信息交互。
目前,一些基于VPN技術(shù)的網(wǎng)絡(luò)服務(wù)和應(yīng)用已納入電信業(yè)務(wù)管理范疇,業(yè)務(wù)分類、經(jīng)營主體和權(quán)限等在有關(guān)規(guī)定中都有明確的界定,但在信息安全管理上還是一個空白,究其原因,主要是缺乏針對VPN加密隧道通信技術(shù)的監(jiān)控手段。
一、對VPN加密隧道技術(shù)缺乏監(jiān)控手段。
VPN技術(shù)(主要是IP隧道技術(shù))具有專用(用戶間數(shù)據(jù)實(shí)現(xiàn)邏輯隔離)、安全(以加密通道對用戶通信數(shù)據(jù)進(jìn)行保護(hù))、自主(用戶自主控制、承載業(yè)務(wù)多樣)等特性,導(dǎo)致難以借助現(xiàn)有技術(shù)手段對VPN用戶(自主加密)的業(yè)務(wù)(數(shù)據(jù))實(shí)施有效的安全監(jiān)測和管理。
VPN技術(shù)是使用正常的信道(公用網(wǎng)絡(luò))建立一條專屬的加密信道(專用網(wǎng)絡(luò))。國內(nèi)用戶可以通過VPN方式連接到境外虛擬專用網(wǎng)絡(luò),用戶的下載及瀏覽請求就會傳送到境外虛擬專用網(wǎng)絡(luò),然后境外虛擬專用網(wǎng)絡(luò)完成下載或?yàn)g覽操作,并將國內(nèi)用戶請求的資源加密傳輸回來。
對于這種加密信道通信方式,目前還不具備相應(yīng)的監(jiān)控技術(shù)手段,主管部門、業(yè)務(wù)運(yùn)營商無法監(jiān)測VPN用戶的業(yè)務(wù)應(yīng)用行為和數(shù)據(jù)流量屬性,也不能對潛在的從事境外違規(guī)信息瀏覽和交互等行為進(jìn)行查處,因此違規(guī)信息很容易躲避網(wǎng)絡(luò)監(jiān)控系統(tǒng)的過濾及監(jiān)管,信息安全管理要求無法落實(shí)。
二、對境外資源的訪問和應(yīng)用無法控制。
目前,除了由國內(nèi)運(yùn)營商提供的VPN業(yè)務(wù),網(wǎng)絡(luò)上還存在或免費(fèi)、或收費(fèi)的其他VPN服務(wù),這些VPN服務(wù)主要面向個人,采用L2TP、PPTP、IPsec等加密隧道協(xié)議,通過租用國外運(yùn)營商的網(wǎng)絡(luò)資源,向國內(nèi)用戶提供相關(guān)服務(wù)。用戶可使用撥號等客戶端軟件通過架設(shè)在國外的服務(wù)器,獲取國外IP地址,實(shí)現(xiàn)對境外資源不受控訪問和應(yīng)用。
在這個過程中,用戶數(shù)據(jù)經(jīng)過L2TP、PPTP等協(xié)議加密封裝后,在公網(wǎng)中傳輸,而VPN的運(yùn)營者通過向國內(nèi)用戶銷售賬號獲取利潤。由于缺乏對VPN加密管道技術(shù)的有效監(jiān)管手段,同時此類VPN賬號都是通過網(wǎng)絡(luò)銷售,服務(wù)器架設(shè)在國外,這類應(yīng)用對我國信息安全已構(gòu)成威脅。
信息安全管控對策和建議
VPN業(yè)務(wù)市場需求大,發(fā)展快,同時在監(jiān)控技術(shù)上又存在難點(diǎn),影響了信息安全管理的落實(shí)。我們建議業(yè)界各方從多個方面采取措施,加強(qiáng)有效管控。
一是組織技術(shù)攻關(guān)。盡快研究針對VPN加密隧道通信技術(shù)的監(jiān)控手段,適時改造和提升相關(guān)信息安全系統(tǒng)能力,應(yīng)對更加復(fù)雜的挑戰(zhàn);同時進(jìn)一步強(qiáng)化國內(nèi)網(wǎng)絡(luò)環(huán)境的VPN業(yè)務(wù)信息安全監(jiān)管,嚴(yán)格限制撥號接入點(diǎn)位于境外的主機(jī)撥號接入式VPN應(yīng)用。
二是加大管理力度。行業(yè)主管部門應(yīng)進(jìn)一步加強(qiáng)市場監(jiān)管,要求業(yè)務(wù)運(yùn)營商通過簽訂協(xié)議、技術(shù)手段監(jiān)測等方式,對用戶及其業(yè)務(wù)應(yīng)用行為進(jìn)行切實(shí)有效的信息安全管理和監(jiān)督。應(yīng)明確業(yè)務(wù)定位僅面向企業(yè)用戶,不得向個人用戶提供VPN業(yè)務(wù),承擔(dān)業(yè)務(wù)合作和經(jīng)營過程中對合作單位行為的規(guī)范與監(jiān)督責(zé)任,嚴(yán)格履行VPN業(yè)務(wù)信息安全數(shù)據(jù)上報(bào)、信息備案的義務(wù)。
三是業(yè)務(wù)運(yùn)營商切實(shí)負(fù)起責(zé)任。運(yùn)營商要完善各類技術(shù)業(yè)務(wù)管理制度,包括用戶接入認(rèn)證和授權(quán)、網(wǎng)絡(luò)及資源控制管理、用戶間數(shù)據(jù)流量隔離、安全日志記錄與留存、異常事件發(fā)現(xiàn)和處置、業(yè)務(wù)信息安全巡查、用戶舉報(bào)和投訴等,落實(shí)保障機(jī)制和技術(shù)措施,實(shí)現(xiàn)VPN業(yè)務(wù)健康發(fā)展。
京公網(wǎng)安備 11010502049343號