隨著Internet訪問的增加,傳統的Internet接入服務已越來越滿足不了用戶需求,因為傳統的Internet只提供瀏覽、電子郵件等單一服務,沒有服務質量保證,沒有權限和安全機制,界面復雜不易掌握,VPN的提出就解決了這些問題。VPN的組網方式為企業提供了一種低成本的網絡基礎設施,并增加了企業網絡功能,擴大了其專用網的范圍。本文分析了電力行業信息網絡工程中的深層次需求,探討利用公共信息網絡建立虛擬專用網絡(VPN)的傳輸連接,構架安全的電力行業各部門網絡。
隨著社會信息化步伐的臨近,各行各業都紛紛結合自身條件加快行業信息化的進程。電力行業各部門利用先進的信息管理和網絡傳播技術可以直接有效地調整企業管理的模式,為社會和公眾提供便捷有效、高質量的服務,這也是電力行業建立信息網絡的主要原因。
一.打造電力行業信息網絡工程。
電力行業信息網絡工程首先可以在網上公開電力行業各部門的組織機構、職能、辦事章程和文件匯編,使人們能迅速了解各項相關的政策法規。同時也可以設立交互形式的信息反饋機制,自覺接受公眾的監督,樹立完好的形象,這本身將具有極其深遠的意義。
電力行業信息網絡工程的另一個作用就是使網上辦公的交互實現成為可能。通過電力行業信息網絡就可以實施網上注冊登記、項目審批以及網上納費等(除了一些必要的實物證明之外)各項工作,同時行業內部、各部門之間也可以通過網絡相互聯系,各級領導也可以在網上對分處于不同地區的所屬部門作出指示,指導部門機構的工作,并及時收集意見反饋,這樣就可以大大提高工作效率,同時降低辦公成本。
針對電力行業信息網絡工程的功能需求,是建立一個封閉的行業內部網絡,然后對外開放部分公共網絡窗口,還是借助于現有公共通信網絡平臺,實施跨部門跨地區網絡的連接?答案顯然應該是充分利用現有基礎通信網絡設施,避免盲目的重復建設。雖然從經濟、效率因素決定了電力行業信息網絡工程可以借助于公共通信網絡平臺 (如:中國電信的169公眾多媒體通信網)來實施,可達到投資少見效快的理想結果,但是在電力行業各部門之間所傳遞的某些信息,并不適合于對公眾開放,將這些信息直接透過基于Internet并缺乏信息傳輸安全防范功能的公共通信網絡平臺顯然是不合適的。為此在電力行業內部各部門之間 (主要指處于不同地理位置的部門之間)可以利用VPN技術建立起一條安全傳輸通道,而且這一安全傳輸通道仍然是建立在公共傳輸網絡平臺的基礎上的。
二.VPN原理全接觸。
VPN(Virtual Private Networks)是一種利用公共通信網絡來傳輸企業內部數據的虛擬專用網絡。VPN技術引入電力行業信息網絡工程,既可以大大降低網絡工程的創建投入,又可以擺脫部分繁重的網絡升級和維護工作量。在VPN技術的支持下,位于不同地區的同一行業部門只需分別聯入當地的Internet接入網就可以組成一個高效統一的行業網絡。這樣,電力行業各部門就不必支付大量的長途電話費用,同時網絡的可擴展性也大為提高,并且可以靈活調整電力行業各部門之間的協調網絡,對電力行業各部門參與一些突發事件的處理提供高效的網絡支持,降低協調辦公的費用。
VPN技術實際上包含了遂道技術、加密技術、身份認證技術,以此來保證在公共網絡上構建出的企業網絡的有效連通性和網絡安全性。
1.隧道技術
隧道技術是VPN的核心,它是一種基于網絡層協議的規范,用于確保兩點之間或兩端之間數據傳輸隧道的建立和拆除。目前VPN使用的協議主要有三種:點到點隧道協議 (PPTP-Point-to-Poin Tunneling Protocol),第二層隧道協議(L2TP-Layer2 Tunneling Protocol),以及IPSec(Secure IP)。
根據具體應用的不同,隧道可分為點到點和端到端兩種。點對點的隧道就是針對于遠程用戶接入去訪問企業內部服務器,在兩臺主機之間建立起的安全傳輸通道。對于兩個局域網絡的跨Internet連接,則是采用端到端的隧道技術,隧道是建立在兩個局域網各自的防火墻、路由器等邊緣網絡設備之間。
2.加密和解密技術
VPN技術的安全保障主要就是靠加密、解密技術來實現的,除了用隧道技術確保在兩點或兩端之間建立一條通信專用通道之外,兩邊的設備還必須增加建立于信任關系基礎之上的加密、解密功能,VPN使用標準的Internet安全技術,如IPSec協議用來增強VPN的安全性,規定了用以在兩個IP工作站之間的加密、解密、數字簽名等安全規范。
3.身份認證和安全策略
由于VPN跨越了無安全保障的公共網絡平臺,一些非授權的隧道建立請求和冒名連接的闖入不可避免。因此在VPN技術中嚴格規范了合法用戶安全認證體系,在一個VPN網絡中至少應有一個或多個安全認證服務器。如遠程撥入用戶安全服務器(RADIUS-Remota Authorization Dial-InUser Service),當用戶遠程接入并要求建立安全隧道時,VPN就根據 RADIUS服務器上的用戶中心數據庫對訪問用戶進行權限認證,核準此用戶是否擁有相關訪問存取權限,如果沒有應有權限隧道就被立即終止。VPN的安全認證還可以從請求訪問、IP分配、用戶最長接入限制以及用戶被允許的撥接地點等方面加以驗證限制,以確保VPN的安全性。在VPN中用戶身份級別越高,身份認證過程就越嚴格。
三.VPN技術運用于電力行業信息網絡工程。
1.VPN技術的實現依賴于固化于網絡設備上的控制軟件,VPN具體的實施也并不困難。在大規模起動的電力行業信息網絡工程的最初設計時就應將可能需要的VPN 功能考慮進去,否則盡管可以對已有設備(路由、服務器和防火墻)升級為具有VPN功能的設備,其次,在額外增加費用的情況下,其性能下難以得到很好的保證。VPN技術中的隧道通信和加密、解密會使原有網絡設備增加數據包的數量,網絡硬件的負載將加重30%左右,進而可能影響原有網絡的性能。所以最好是在規劃網絡之初考慮采用專用的VPN設備,由專用的VPN設備來完成隧道通信和加密、解密任務。
2.VPN的實施需要結合原有網絡的現狀。電力行業各部門的網絡建設參差不齊,有的已初具規模,也有的剛剛起步。VPN可以由多種協議來實現,也可以多種協議并存,因此在選擇VPN的協議實施時就應考慮與現有網絡上使用的協議匹配。
3. VPN安全保障的關鍵是認證策略的設計和規范,每個擬建VPN的電力行業各部門應認真制定出某種安全認證策略,合理選用VPN技術采用的密鑰技術,選擇適當的加密方法和密鑰長度,以達到安全性和網絡負載之間的平衡選擇。此外,對于安全認證體系進行嚴格的管理,對于哪些部門的互聯是可授權的,哪些部門是非授權的都應有完整的設定。
4.VPN實施中還需注意一些具體問題,現在不同的網絡廠家都有推出的VPN產品,由于不同生產廠商在具體設計中選擇了不同的算法,融入了特殊的性能,因此在不同廠家的網絡設備之間建立VPN就有可能出現銜接的性能不良或根本無法實施。此外一些廠家為了提高VPN的交換能力,推出了VPN交換機產品,用隧道交換可以將訪問直接導向相應的隧道終端,使不同的網絡用戶可以進入不同的網段。
VPN 交換機是建立交換式VPN的關鍵設備,它為下一代域網絡和遠程訪問奠定了基礎。目前各大網絡公司都開發出了提供路由、防火墻和VPN于一體的交換機集成平臺,并作為一個系統加以管理,內置的網絡地址翻譯能力使用戶的VPN連接可以隨意終止于網絡中的任何地點,從而可以經濟高效地從原有的遠程訪問網絡和辦公室與辦公室之間的路由型專用網絡轉移到新一代的VPN。然而值得注意的是,有些高效的隧道交換通常還需要在跨越各電力行業各部門之間的公共網絡通信平臺中的設備對VPN交換的支持,因此在VPN產品的選擇時也不能一味地相信廠商提供的網絡評測結果的性能指標,需要客觀務實地分析產品性能和現行需求。
四.前景非常廣闊!
VPN技術使電力行業各部門的內部信息可以跨越公共網絡進行傳輸,如同在各電力行業各部門之間架起眾多的“虛擬專用”的網絡連接線,同時,VPN為每個用戶定義出各自相應的網絡空間,根據使用者的身份和權限,直接將他們引導到應該接觸的信息環境中去。總之,VPN技術擁有很吸引人的優點,它在電力行業信息網絡工程建設中必將有美好的應用前景。
