[信息保护系统中ｓｓｌｖｐｎ应用]摘要：本文主要介绍了sslvpn在信息保护系统模型中的使用及其建立网络安全通信信道的基本原理和主要实现。关键词：信息保护系统sslvpnssl协议数据收发1.引言随着社会信息化的发展无论是大型企业还是中小规模的公司都拥有对自身发展非常有价值的电子资源而对于这些重要信息资源的访问和管理是每个企业和公司都非常重视的并且人们对信息安全的关注也逐渐转移到内网安全领域上来。所谓内网安全是指对在内部网中的合法用户对敏感信息资源的导入和导出以及对资源安权限的访问和操作的控制。在建立这样一个有效的内网安全防护系统的同时一条安全可靠的传输通道在内网安全机制中同样有着不可忽视的作用而sslvpn正是为内网安全系统建立了一条稳妥可靠的传输通道。2.信息保护系统中的sslvpn2.1需求分析很久以来从客户到企业即client-to-enterprise的连接方面ipsecvpn有着许多不利的方面原因之一在于随着客户端用户人数的增长为他们安装ipsecvpn客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外ipsec隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络的通道。考虑到ipsecvpn存在这些基本的问题sslvpn越来越受到it管理员的关注。sslvpn不需要安装其他客户端软件对基本的b/s（brower/service）类服务客户主机只需要有支持ssl的浏览器就可以了自然也就不需要对客户端进行维护和支持了。而对于c/s类的服务只需拥有常用的客户端软件或使用ie浏览器即可。这不但节省了工作人员大量的时间和精力同时也意味着远程用户在进行远程访问时不会再受到地域限制使用者只要有电脑在有网络的前提下远程访问就可以完成。sslvpn是基于应用层的vpn对企业而言采用sslvpn不仅可以让外地使用者对web化的企业应用进行访问而且还可以知道访问应用的数据连接由谁发起、使用者有哪些权限进行操作这样对企业信息的安全管理提供了很多便利。2.2信息保护系统模型分析2.2.1信息保护系统功能概况本文提出的信息保护系统给使用者提供了一个透明的工作环境用户只有在这个环境内通过网络才能访问或下载需要的信息资源而在环境外无法访问。同时只有通过环境内启动的相关软件才可以阅读下载到本地文件。具体保护措施如下：（1）用户通过网络从受保护服务器上下载的文件在本地都已加密方式保存。（2）用户在环境内创建新文件或阅读下载的文件时无法通过复制、粘贴、拷屏等常用手段将文件内容以明文方式转移至环境外的文件或存储设备中。（3）用户无法通过网络将上述下载的文件或在环境内创建的文件以明文传输到非法服务器上。（4）用户在环境内创建或修改了文件后可通过一条可信任的安全通道传送至合法的服务器上。通过以上的保护措施用户可以在提供的环境内正常阅读或修改受保护的企业信息资源但无法将企业受保护信息资源泄漏因为用户无法在本系统提供的环境外得到明文文件。一旦用户离开工作环境所有环境内使用过的文件都会被加密存储。同时用户在将修改后的文件提交给企业内部服务器的过程是通过sslvpn提供的安全通道来完成的因此很难在传输过程中加以拦截和破译。2.2.2信息保护系统模型结构本信息保护系统共由三大模块构成：（1）本地信息防护系统。由文件i/o驱动进程监控模块等构成该部分为用户构建一个全透明的工作环境并对用户在环境内打开的文件进行动态加解密起到对信息资源的保护作用。（2）网络监控系统。目的是防止用户通过网络泄漏敏感资源。该系统监控环境内启动的服务（如notepad、vc等）并对环境内的服务发向网络中的数据包进行拦截并对应用层数据进行加解密从而有效地控制网络传输防止数据泄漏。（3）sslvpn系统。该部分为数据的网络传输提供了可靠的加密信道保证合法数据在网络中安全性。sslvpn在客户端是与网络监控系统一起完成对网络数据的保护。网络监控对环境内进程发出和接受的数据进行加解密而sslvpn在客户端对进入sslvpn通道的应用层数据进行相反的加解密操作然后进行重新的封装并发送给sslvpn服务器这样可以保证用户发出的数据被以明文保存到指定服务器上。同时其与网络监控的配合没有进入sslvpn通道的数据以密文在网络中传输防止了信息资源在网络中的泄漏。而且客户端用户的身份认证也使用了sslvpn证书对用户身份进行有效核实。2.2.3信息保护架构架构图（1）本地信息系统架构如图1。（2）网络监控与sslvpn架构如图2。3.sslvpn