随着Internet访问的增加,传统的Internet接入服务已越来越满足不了用户需求,因为传统的Internet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,VPN的提出就解决了这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施,并增加了企业网络功能,扩大了其专用网的范围。本文分析了电力行业信息网络工程中的深层次需求,探讨利用公共信息网络建立虚拟专用网络(VPN)的传输连接,构架安全的电力行业各部门网络。
随着社会信息化步伐的临近,各行各业都纷纷结合自身条件加快行业信息化的进程。电力行业各部门利用先进的信息管理和网络传播技术可以直接有效地调整企业管理的模式,为社会和公众提供便捷有效、高质量的服务,这也是电力行业建立信息网络的主要原因。
一.打造电力行业信息网络工程。
电力行业信息网络工程首先可以在网上公开电力行业各部门的组织机构、职能、办事章程和文件汇编,使人们能迅速了解各项相关的政策法规。同时也可以设立交互形式的信息反馈机制,自觉接受公众的监督,树立完好的形象,这本身将具有极其深远的意义。
电力行业信息网络工程的另一个作用就是使网上办公的交互实现成为可能。通过电力行业信息网络就可以实施网上注册登记、项目审批以及网上纳费等(除了一些必要的实物证明之外)各项工作,同时行业内部、各部门之间也可以通过网络相互联系,各级领导也可以在网上对分处于不同地区的所属部门作出指示,指导部门机构的工作,并及时收集意见反馈,这样就可以大大提高工作效率,同时降低办公成本。
针对电力行业信息网络工程的功能需求,是建立一个封闭的行业内部网络,然后对外开放部分公共网络窗口,还是借助于现有公共通信网络平台,实施跨部门跨地区网络的连接?答案显然应该是充分利用现有基础通信网络设施,避免盲目的重复建设。虽然从经济、效率因素决定了电力行业信息网络工程可以借助于公共通信网络平台 (如:中国电信的169公众多媒体通信网)来实施,可达到投资少见效快的理想结果,但是在电力行业各部门之间所传递的某些信息,并不适合于对公众开放,将这些信息直接透过基于Internet并缺乏信息传输安全防范功能的公共通信网络平台显然是不合适的。为此在电力行业内部各部门之间 (主要指处于不同地理位置的部门之间)可以利用VPN技术建立起一条安全传输通道,而且这一安全传输通道仍然是建立在公共传输网络平台的基础上的。
二.VPN原理全接触。
VPN(Virtual Private Networks)是一种利用公共通信网络来传输企业内部数据的虚拟专用网络。VPN技术引入电力行业信息网络工程,既可以大大降低网络工程的创建投入,又可以摆脱部分繁重的网络升级和维护工作量。在VPN技术的支持下,位于不同地区的同一行业部门只需分别联入当地的Internet接入网就可以组成一个高效统一的行业网络。这样,电力行业各部门就不必支付大量的长途电话费用,同时网络的可扩展性也大为提高,并且可以灵活调整电力行业各部门之间的协调网络,对电力行业各部门参与一些突发事件的处理提供高效的网络支持,降低协调办公的费用。
VPN技术实际上包含了遂道技术、加密技术、身份认证技术,以此来保证在公共网络上构建出的企业网络的有效连通性和网络安全性。
1.隧道技术
隧道技术是VPN的核心,它是一种基于网络层协议的规范,用于确保两点之间或两端之间数据传输隧道的建立和拆除。目前VPN使用的协议主要有三种:点到点隧道协议 (PPTP-Point-to-Poin Tunneling Protocol),第二层隧道协议(L2TP-Layer2 Tunneling Protocol),以及IPSec(Secure IP)。
根据具体应用的不同,隧道可分为点到点和端到端两种。点对点的隧道就是针对于远程用户接入去访问企业内部服务器,在两台主机之间建立起的安全传输通道。对于两个局域网络的跨Internet连接,则是采用端到端的隧道技术,隧道是建立在两个局域网各自的防火墙、路由器等边缘网络设备之间。
2.加密和解密技术
VPN技术的安全保障主要就是靠加密、解密技术来实现的,除了用隧道技术确保在两点或两端之间建立一条通信专用通道之外,两边的设备还必须增加建立于信任关系基础之上的加密、解密功能,VPN使用标准的Internet安全技术,如IPSec协议用来增强VPN的安全性,规定了用以在两个IP工作站之间的加密、解密、数字签名等安全规范。
3.身份认证和安全策略
由于VPN跨越了无安全保障的公共网络平台,一些非授权的隧道建立请求和冒名连接的闯入不可避免。因此在VPN技术中严格规范了合法用户安全认证体系,在一个VPN网络中至少应有一个或多个安全认证服务器。如远程拨入用户安全服务器(RADIUS-Remota Authorization Dial-InUser Service),当用户远程接入并要求建立安全隧道时,VPN就根据 RADIUS服务器上的用户中心数据库对访问用户进行权限认证,核准此用户是否拥有相关访问存取权限,如果没有应有权限隧道就被立即终止。VPN的安全认证还可以从请求访问、IP分配、用户最长接入限制以及用户被允许的拨接地点等方面加以验证限制,以确保VPN的安全性。在VPN中用户身份级别越高,身份认证过程就越严格。
三.VPN技术运用于电力行业信息网络工程。
1.VPN技术的实现依赖于固化于网络设备上的控制软件,VPN具体的实施也并不困难。在大规模起动的电力行业信息网络工程的最初设计时就应将可能需要的VPN 功能考虑进去,否则尽管可以对已有设备(路由、服务器和防火墙)升级为具有VPN功能的设备,其次,在额外增加费用的情况下,其性能下难以得到很好的保证。VPN技术中的隧道通信和加密、解密会使原有网络设备增加数据包的数量,网络硬件的负载将加重30%左右,进而可能影响原有网络的性能。所以最好是在规划网络之初考虑采用专用的VPN设备,由专用的VPN设备来完成隧道通信和加密、解密任务。
2.VPN的实施需要结合原有网络的现状。电力行业各部门的网络建设参差不齐,有的已初具规模,也有的刚刚起步。VPN可以由多种协议来实现,也可以多种协议并存,因此在选择VPN的协议实施时就应考虑与现有网络上使用的协议匹配。
3. VPN安全保障的关键是认证策略的设计和规范,每个拟建VPN的电力行业各部门应认真制定出某种安全认证策略,合理选用VPN技术采用的密钥技术,选择适当的加密方法和密钥长度,以达到安全性和网络负载之间的平衡选择。此外,对于安全认证体系进行严格的管理,对于哪些部门的互联是可授权的,哪些部门是非授权的都应有完整的设定。
4.VPN实施中还需注意一些具体问题,现在不同的网络厂家都有推出的VPN产品,由于不同生产厂商在具体设计中选择了不同的算法,融入了特殊的性能,因此在不同厂家的网络设备之间建立VPN就有可能出现衔接的性能不良或根本无法实施。此外一些厂家为了提高VPN的交换能力,推出了VPN交换机产品,用隧道交换可以将访问直接导向相应的隧道终端,使不同的网络用户可以进入不同的网段。
VPN 交换机是建立交换式VPN的关键设备,它为下一代域网络和远程访问奠定了基础。目前各大网络公司都开发出了提供路由、防火墙和VPN于一体的交换机集成平台,并作为一个系统加以管理,内置的网络地址翻译能力使用户的VPN连接可以随意终止于网络中的任何地点,从而可以经济高效地从原有的远程访问网络和办公室与办公室之间的路由型专用网络转移到新一代的VPN。然而值得注意的是,有些高效的隧道交换通常还需要在跨越各电力行业各部门之间的公共网络通信平台中的设备对VPN交换的支持,因此在VPN产品的选择时也不能一味地相信厂商提供的网络评测结果的性能指标,需要客观务实地分析产品性能和现行需求。
四.前景非常广阔!
VPN技术使电力行业各部门的内部信息可以跨越公共网络进行传输,如同在各电力行业各部门之间架起众多的“虚拟专用”的网络连接线,同时,VPN为每个用户定义出各自相应的网络空间,根据使用者的身份和权限,直接将他们引导到应该接触的信息环境中去。总之,VPN技术拥有很吸引人的优点,它在电力行业信息网络工程建设中必将有美好的应用前景。
