当前位置:安全VPN → 正文

VPN服务信息安全管理存空白 三大措施可应对

责任编辑:editor006 作者:钱康 |来源:企业网D1Net  2016-08-23 17:26:37 本文摘自:通信世界网

基于VPN技术的通信服务迅速发展,但带来日益突出的信息安全问题。政府部门对VPN业务的管理做出了一些规定,但由于针对VPN加密隧道通信技术尚缺乏有效的安全监测手段,信息安全管理存在空白,违规信息很容易躲避网络监控系统的过滤及监管。

对此,业界应以技术攻关为重点,尽快研究针对VPN加密隧道通信技术的监测手段,提升相关信息安全系统能力,同时加大管理力度,提升信息安全管控水平,实现VPN业务健康发展。

VPN技术通信服务迅速发展

VPN(Virtual Private Network,虚拟专用网)指通过对连接到公共网络环境中特定节点集合施加特定的控制策略,所形成的相互间具有可达连接的闭合性用户群网络。

VPN技术的特性是利用共享的公众网络资源为特定用户提供具有一定安全性和保密性的逻辑通道,将分散的用户侧网络、主机连接起来,实现虚拟专网内用户数据包透明传送;同时,用户可在一定程度上自主地对VPN通道的相关控制策略进行操作和管理。

按所属节点接入形式的不同,VPN技术应用主要有网络到网络互联和主机到网络互联两种形式。对于主机到网络互联形式,目前尚无相应的管理法规;属于网络到网络互联形式的应用有6类,其中两类无管理法规,其他4类有管理法规。

《电信业务分类目录》对这4类业务做了明确规定:1)依托国内互联网实现的闭合性用户群VPN服务,属于第一类增值电信业务(B13);2)基于国内公共数据网络(承载网、帧中继和ATM等)实现的国内端到端数据传送业务,属于第二类基础电信业务(A23-1);3)通过互联网国际出入口提供的国际闭合用户群数据业务,属于第一类基础电信业务(A14-1);4)利用国际线路或国际专线等数据网络资源提供的国际数据通信业务,属于第一类基础电信业务(A14-4)。

目前国内VPN业务的主要市场份额集中于基础运营商,其中中国电信占据40%,中国联通30%。其他获得国内VPN业务牌照的中小型增值运营商,主要运营模式是以低价租用电信、联通的电路构建骨干网,再向其客户提供VPN服务。国际VPN业务也以中国电信、中国联通为主,均在10亿元人民币规模,属于高增长业务,业务年增长率基本在30%左右。

基于VPN信息安全问题日益突出

各类基于VPN技术的通信服务迅速发展,与市场高速增长形成强烈对比的是,近年来所产生的信息安全问题日益突出。以谷歌云(Google drive)为例,该应用目前在我国属于违规禁用范畴,但通过VPN加密管道,用户可以绕过监测管控环节进行访问并使用谷歌云服务,从而实现与境外节点的不受控的信息交互。

目前,一些基于VPN技术的网络服务和应用已纳入电信业务管理范畴,业务分类、经营主体和权限等在有关规定中都有明确的界定,但在信息安全管理上还是一个空白,究其原因,主要是缺乏针对VPN加密隧道通信技术的监控手段。

一、对VPN加密隧道技术缺乏监控手段

VPN技术(主要是IP隧道技术)具有专用(用户间数据实现逻辑隔离)、安全(以加密通道对用户通信数据进行保护)、自主(用户自主控制、承载业务多样)等特性,导致难以借助现有技术手段对VPN用户(自主加密)的业务(数据)实施有效的安全监测和管理。

VPN技术是使用正常的信道(公用网络)建立一条专属的加密信道(专用网络)。国内用户可以通过VPN方式连接到境外虚拟专用网络,用户的下载及浏览请求就会传送到境外虚拟专用网络,然后境外虚拟专用网络完成下载或浏览操作,并将国内用户请求的资源加密传输回来。

对于这种加密信道通信方式,目前还不具备相应的监控技术手段,主管部门、业务运营商无法监测VPN用户的业务应用行为和数据流量属性,也不能对潜在的从事境外违规信息浏览和交互等行为进行查处,因此违规信息很容易躲避网络监控系统的过滤及监管,信息安全管理要求无法落实。

二、对境外资源的访问和应用无法控制

目前,除了由国内运营商提供的VPN业务,网络上还存在或免费、或收费的其他VPN服务,这些VPN服务主要面向个人,采用L2TP、PPTP、IPsec等加密隧道协议,通过租用国外运营商的网络资源,向国内用户提供相关服务。用户可使用拨号等客户端软件通过架设在国外的服务器,获取国外IP地址,实现对境外资源不受控访问和应用。

在这个过程中,用户数据经过L2TP、PPTP等协议加密封装后,在公网中传输,而VPN的运营者通过向国内用户销售账号获取利润。由于缺乏对VPN加密管道技术的有效监管手段,同时此类VPN账号都是通过网络销售,服务器架设在国外,这类应用对我国信息安全已构成威胁。

信息安全管控对策建议

VPN业务市场需求大,发展快,同时在监控技术上又存在难点,影响了信息安全管理的落实。我们建议业界各方从多个方面采取措施,加强有效管控。

一是组织技术攻关。尽快研究针对VPN加密隧道通信技术的监控手段,适时改造和提升相关信息安全系统能力,应对更加复杂的挑战;同时进一步强化国内网络环境的VPN业务信息安全监管,严格限制拨号接入点位于境外的主机拨号接入式VPN应用。

二是加大管理力度。行业主管部门应进一步加强市场监管,要求业务运营商通过签订协议、技术手段监测等方式,对用户及其业务应用行为进行切实有效的信息安全管理和监督。应明确业务定位仅面向企业用户,不得向个人用户提供VPN业务,承担业务合作和经营过程中对合作单位行为的规范与监督责任,严格履行VPN业务信息安全数据上报、信息备案的义务。

三是业务运营商切实负起责任。运营商要完善各类技术业务管理制度,包括用户接入认证和授权、网络及资源控制管理、用户间数据流量隔离、安全日志记录与留存、异常事件发现和处置、业务信息安全巡查、用户举报和投诉等,落实保障机制和技术措施,实现VPN业务健康发展。

关键字:VPN技术信息安全管理

本文摘自:通信世界网

x VPN服务信息安全管理存空白   三大措施可应对 扫一扫
分享本文到朋友圈
当前位置:安全VPN → 正文

VPN服务信息安全管理存空白 三大措施可应对

责任编辑:editor006 作者:钱康 |来源:企业网D1Net  2016-08-23 17:26:37 本文摘自:通信世界网

基于VPN技术的通信服务迅速发展,但带来日益突出的信息安全问题。政府部门对VPN业务的管理做出了一些规定,但由于针对VPN加密隧道通信技术尚缺乏有效的安全监测手段,信息安全管理存在空白,违规信息很容易躲避网络监控系统的过滤及监管。

对此,业界应以技术攻关为重点,尽快研究针对VPN加密隧道通信技术的监测手段,提升相关信息安全系统能力,同时加大管理力度,提升信息安全管控水平,实现VPN业务健康发展。

VPN技术通信服务迅速发展

VPN(Virtual Private Network,虚拟专用网)指通过对连接到公共网络环境中特定节点集合施加特定的控制策略,所形成的相互间具有可达连接的闭合性用户群网络。

VPN技术的特性是利用共享的公众网络资源为特定用户提供具有一定安全性和保密性的逻辑通道,将分散的用户侧网络、主机连接起来,实现虚拟专网内用户数据包透明传送;同时,用户可在一定程度上自主地对VPN通道的相关控制策略进行操作和管理。

按所属节点接入形式的不同,VPN技术应用主要有网络到网络互联和主机到网络互联两种形式。对于主机到网络互联形式,目前尚无相应的管理法规;属于网络到网络互联形式的应用有6类,其中两类无管理法规,其他4类有管理法规。

《电信业务分类目录》对这4类业务做了明确规定:1)依托国内互联网实现的闭合性用户群VPN服务,属于第一类增值电信业务(B13);2)基于国内公共数据网络(承载网、帧中继和ATM等)实现的国内端到端数据传送业务,属于第二类基础电信业务(A23-1);3)通过互联网国际出入口提供的国际闭合用户群数据业务,属于第一类基础电信业务(A14-1);4)利用国际线路或国际专线等数据网络资源提供的国际数据通信业务,属于第一类基础电信业务(A14-4)。

目前国内VPN业务的主要市场份额集中于基础运营商,其中中国电信占据40%,中国联通30%。其他获得国内VPN业务牌照的中小型增值运营商,主要运营模式是以低价租用电信、联通的电路构建骨干网,再向其客户提供VPN服务。国际VPN业务也以中国电信、中国联通为主,均在10亿元人民币规模,属于高增长业务,业务年增长率基本在30%左右。

基于VPN信息安全问题日益突出

各类基于VPN技术的通信服务迅速发展,与市场高速增长形成强烈对比的是,近年来所产生的信息安全问题日益突出。以谷歌云(Google drive)为例,该应用目前在我国属于违规禁用范畴,但通过VPN加密管道,用户可以绕过监测管控环节进行访问并使用谷歌云服务,从而实现与境外节点的不受控的信息交互。

目前,一些基于VPN技术的网络服务和应用已纳入电信业务管理范畴,业务分类、经营主体和权限等在有关规定中都有明确的界定,但在信息安全管理上还是一个空白,究其原因,主要是缺乏针对VPN加密隧道通信技术的监控手段。

一、对VPN加密隧道技术缺乏监控手段

VPN技术(主要是IP隧道技术)具有专用(用户间数据实现逻辑隔离)、安全(以加密通道对用户通信数据进行保护)、自主(用户自主控制、承载业务多样)等特性,导致难以借助现有技术手段对VPN用户(自主加密)的业务(数据)实施有效的安全监测和管理。

VPN技术是使用正常的信道(公用网络)建立一条专属的加密信道(专用网络)。国内用户可以通过VPN方式连接到境外虚拟专用网络,用户的下载及浏览请求就会传送到境外虚拟专用网络,然后境外虚拟专用网络完成下载或浏览操作,并将国内用户请求的资源加密传输回来。

对于这种加密信道通信方式,目前还不具备相应的监控技术手段,主管部门、业务运营商无法监测VPN用户的业务应用行为和数据流量属性,也不能对潜在的从事境外违规信息浏览和交互等行为进行查处,因此违规信息很容易躲避网络监控系统的过滤及监管,信息安全管理要求无法落实。

二、对境外资源的访问和应用无法控制

目前,除了由国内运营商提供的VPN业务,网络上还存在或免费、或收费的其他VPN服务,这些VPN服务主要面向个人,采用L2TP、PPTP、IPsec等加密隧道协议,通过租用国外运营商的网络资源,向国内用户提供相关服务。用户可使用拨号等客户端软件通过架设在国外的服务器,获取国外IP地址,实现对境外资源不受控访问和应用。

在这个过程中,用户数据经过L2TP、PPTP等协议加密封装后,在公网中传输,而VPN的运营者通过向国内用户销售账号获取利润。由于缺乏对VPN加密管道技术的有效监管手段,同时此类VPN账号都是通过网络销售,服务器架设在国外,这类应用对我国信息安全已构成威胁。

信息安全管控对策建议

VPN业务市场需求大,发展快,同时在监控技术上又存在难点,影响了信息安全管理的落实。我们建议业界各方从多个方面采取措施,加强有效管控。

一是组织技术攻关。尽快研究针对VPN加密隧道通信技术的监控手段,适时改造和提升相关信息安全系统能力,应对更加复杂的挑战;同时进一步强化国内网络环境的VPN业务信息安全监管,严格限制拨号接入点位于境外的主机拨号接入式VPN应用。

二是加大管理力度。行业主管部门应进一步加强市场监管,要求业务运营商通过签订协议、技术手段监测等方式,对用户及其业务应用行为进行切实有效的信息安全管理和监督。应明确业务定位仅面向企业用户,不得向个人用户提供VPN业务,承担业务合作和经营过程中对合作单位行为的规范与监督责任,严格履行VPN业务信息安全数据上报、信息备案的义务。

三是业务运营商切实负起责任。运营商要完善各类技术业务管理制度,包括用户接入认证和授权、网络及资源控制管理、用户间数据流量隔离、安全日志记录与留存、异常事件发现和处置、业务信息安全巡查、用户举报和投诉等,落实保障机制和技术措施,实现VPN业务健康发展。

关键字:VPN技术信息安全管理

本文摘自:通信世界网

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^