數(shù)字出版安全網(wǎng)絡(luò)的研究與實(shí)踐

針對(duì)出版社與分社、合作伙伴之間的出版信息安全交流，本文嘗試應(yīng)用VPN技術(shù)，利用Internet公眾網(wǎng)的公共資源，通過穿越Internet建立出版社與各分社、出版社與合作伙伴、遠(yuǎn)程用戶安全訪問網(wǎng)絡(luò)，實(shí)現(xiàn)數(shù)字出版信息的安全可靠傳輸。

在當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)和信息數(shù)字化的快速發(fā)展下，時(shí)時(shí)刻刻影響著各個(gè)行業(yè)。文獻(xiàn)、圖書等信息資源的數(shù)字化、信息化也被推上出版信息化建設(shè)的舞臺(tái)上。傳統(tǒng)的新聞出版必須應(yīng)用數(shù)字出版給予豐富和有機(jī)補(bǔ)充，把原來(lái)靜態(tài)的文字、圖片、聲音、圖像等通過計(jì)算機(jī)的處理，變得生動(dòng)形象，而且也節(jié)省資源，便于出版業(yè)信息推廣。數(shù)字出版在我國(guó)雖然起步較晚，但發(fā)展快，目前已經(jīng)形成了網(wǎng)絡(luò)圖書、網(wǎng)絡(luò)期刊等新業(yè)態(tài)。由于一些大的出版社擁有多個(gè)分社，分社與出版社距離相對(duì)較遠(yuǎn)，為了便于出版社與分社、合作伙伴之間的信息安全交流，需要一個(gè)安全使用的網(wǎng)絡(luò)平臺(tái)，避免使用QQ、郵箱等方式造成的不安全因素，引起不必要的糾紛。針對(duì)出版社與分社、合作伙伴之間的出版信息的安全交流，本文嘗試應(yīng)用VPN技術(shù)，利用Internet公眾網(wǎng)的公共資源，通過穿越Internet建立出版社與各分社、出版社與合作伙伴、遠(yuǎn)程用戶安全訪問網(wǎng)絡(luò)，實(shí)現(xiàn)數(shù)字出版信息的安全可靠傳輸。

一、數(shù)字出版VPN網(wǎng)絡(luò)構(gòu)建技術(shù)

數(shù)字出版是建立在計(jì)算機(jī)技術(shù)、通訊技術(shù)、網(wǎng)絡(luò)技術(shù)、流媒體技術(shù)、存儲(chǔ)技術(shù)、顯示技術(shù)等高新技術(shù)基礎(chǔ)上，融合并超越傳統(tǒng)出版內(nèi)容而發(fā)展起來(lái)的新興出版產(chǎn)業(yè)。數(shù)字化出版是在出版的整個(gè)過程中，將所有的信息都以統(tǒng)一的二進(jìn)制代碼數(shù)字化形式存儲(chǔ)于光盤、磁盤等介質(zhì)中，信息的處理與接收則借助計(jì)算機(jī)或終端設(shè)備進(jìn)行，它強(qiáng)調(diào)內(nèi)容的數(shù)字化、生產(chǎn)模式和運(yùn)作流程的數(shù)字化、傳播載體的數(shù)字化和閱讀消費(fèi)、學(xué)習(xí)形態(tài)的數(shù)字化[1]。數(shù)字出版包括創(chuàng)作數(shù)字化、編輯數(shù)字化、出版數(shù)字化、發(fā)行數(shù)字化、標(biāo)識(shí)數(shù)字化、管理數(shù)字化等，這一系列的數(shù)字化，需要一個(gè)安全實(shí)用的網(wǎng)絡(luò)來(lái)支撐。數(shù)字出版是推動(dòng)社會(huì)發(fā)展的強(qiáng)有力工具，改進(jìn)人們的信息交流方式，更加方便地獲取知識(shí)，對(duì)傳統(tǒng)出版業(yè)進(jìn)行改造，使之更加強(qiáng)大，對(duì)社會(huì)作出更大貢獻(xiàn)。

建立數(shù)字出版安全網(wǎng)絡(luò)，便于出版社和分社之間的統(tǒng)一規(guī)劃、統(tǒng)一管理和統(tǒng)一建設(shè)，便于數(shù)字資源共享及安全傳輸與出版信息的安全信息交流；建立數(shù)字出版安全網(wǎng)絡(luò)，方便出版社和合作伙伴之間的數(shù)據(jù)信息安全交流；建立數(shù)字出版安全網(wǎng)絡(luò)，便于像出差用戶這樣的遠(yuǎn)程移動(dòng)用戶安全可靠地訪問出版社的數(shù)字資源。

1. VPN技術(shù)

虛擬專用網(wǎng)（VPN）指的是在公共網(wǎng)絡(luò)Internet上建立一個(gè)虛擬的“隧道”，通過虛擬“隧道”實(shí)現(xiàn)數(shù)據(jù)安全可靠的傳輸。好像在Internet上鋪設(shè)一條虛擬的“專線”，為數(shù)字出版社之間互聯(lián)及遠(yuǎn)程訪問提供安全可靠的數(shù)字資源傳輸，既安全實(shí)用可靠，又節(jié)省成本。VPN包括跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的數(shù)據(jù)封裝、數(shù)據(jù)加密及解密、身份驗(yàn)證和密鑰交換等，實(shí)現(xiàn)遠(yuǎn)程用戶、出版社與分社的安全連接。

（1）IPSec VPN 是基于IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，解決了在公共網(wǎng)絡(luò)復(fù)雜環(huán)境上所面臨的開放性及不安全因素的威脅，實(shí)現(xiàn)在公共網(wǎng)絡(luò)上進(jìn)行數(shù)字出版信息資源的安全傳輸。通過隧道技術(shù)、加密解密技術(shù)、密鑰交換技術(shù)、身份認(rèn)證技術(shù)來(lái)保證IP數(shù)據(jù)報(bào)的安全性、完整性、保密性和可用性。

（2）SSL VPN是基于SSL協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，是一套Internet數(shù)據(jù)安全協(xié)議，位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持，同時(shí)為通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等提供支持，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。

2. 數(shù)字出版網(wǎng)絡(luò)遠(yuǎn)程訪問技術(shù)選擇

IPSec VPN與SSL VPN各有優(yōu)勢(shì)，二者優(yōu)缺點(diǎn)及選擇如圖2所示，IPSec VPN具有高效、安全等優(yōu)點(diǎn)，對(duì)于數(shù)字出版VPN網(wǎng)絡(luò)的建設(shè)，理想的方式是將SSL VPN和IPSec VPN二者結(jié)合起來(lái)使用。一方面為數(shù)出版社與分社、合作伙伴之間采用IPSec VPN連接；另一方面為移動(dòng)用戶，遠(yuǎn)程訪問出版社數(shù)字網(wǎng)絡(luò)采用SSL VPN連接。二者的有機(jī)結(jié)合，不但保障了各個(gè)分社與出版社、合作伙伴的數(shù)字出版等方面的信息安全交流，也保證了遠(yuǎn)程用戶的安全訪問。

二、數(shù)字出版VPN網(wǎng)絡(luò)構(gòu)建與實(shí)踐

1. 數(shù)字出版VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建

根據(jù)數(shù)字出版網(wǎng)絡(luò)建設(shè)的需要，將出版社與分社、合作伙伴、移動(dòng)用戶，利用VPN技術(shù)實(shí)現(xiàn)數(shù)字出版資源的共享及遠(yuǎn)程訪問，如圖2所示。出版社的路由器1上，要求具有IPSec VPN和SSL VPN功能，如Cisco 1906C系列集成多業(yè)務(wù)路由器。路由器1、路由器2和路由器3分部作為隧道的節(jié)點(diǎn)，分別接入Internet，就可實(shí)現(xiàn)數(shù)字出版信息資源共享與交流。

2. 數(shù)字出版VPN網(wǎng)絡(luò)IP規(guī)劃

根據(jù)數(shù)字出版VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，IP地址規(guī)劃如表1所示。

3. 出版社與分社、合作伙伴的IPSec VPN配置

（1）路由器1上配置IPSec VPN，實(shí)現(xiàn)與分社網(wǎng)絡(luò)互聯(lián)。

A. 配置加密和密鑰方法。在路由器1上配置IKE策略，加密方式為3DES，也可用SHA等，但是隧道兩端的加密方式必須一樣，哈希算法MD5，認(rèn)證方式為預(yù)共享密鑰方式，秘鑰算法為group 2（2表示1024位，group 2安全性高，但更耗cpu），與分社路由器3進(jìn)行身份驗(yàn)證的預(yù)共享密鑰是ipsecvpn。主要配置：R1（config）#crypto isakmp key ipsecvpn address 219.33.210.38

B. 配置加密轉(zhuǎn)換規(guī)則及傳輸模式名稱。ipsectest為IPSec傳輸模式名稱，ESP采用DES加密，ESP認(rèn)證的Hash算法為MD 5，IPSec模式為Tunnel，傳輸模式名稱為ipse-test，創(chuàng)建crypto map，映射名稱為ipsecmap。主要配置如下：

R1（config）#crypto map ipsecmap 10 ipsec-isakmp

R1（config-crypto-map）#set peer 219.33.210.38

R1（config-crypto-map）#set transform ipse-test

（2）在分社路由器3和合作伙伴路由器2上配置IPSec VPN，實(shí)現(xiàn)與出版社互聯(lián)。

用類似的方法對(duì)分社路由器3和合作伙伴路由器2進(jìn)行配置，需要注意加密算法、預(yù)共享密鑰、傳輸模式名稱、加密轉(zhuǎn)換規(guī)則與出版社路由器1保持一致，分社及合作伙伴配置的IP地址與出版社路由器1配置的IP地址要相互對(duì)應(yīng)。

4. 出版社與移動(dòng)用戶SSL VPN配置

（1）開啟AAA，并配置SSL VPN Client撥號(hào)的賬戶信息，認(rèn)證方式為AAA 本地認(rèn)證，配置分配給SSL VPN Client地址池范圍。需要注意的是，如果地址池與出版社的內(nèi)網(wǎng)不在一個(gè)網(wǎng)段時(shí)，則需要?jiǎng)?chuàng)建一個(gè)和地址池在同一網(wǎng)段的lookback接口作為SSL VPN Client的網(wǎng)關(guān)。主要配置如下：

R1 （config）# aaa authentication login webvpn local

R1 （config）#ip local pool sslvpn-addpool 192.168.10.150 192.168.10.253

R1 （config）#username libsslvpn password libadmin123

（2）定義Webvpn的策略集，指定SSL VPN Client的訪問IP地址221.26.225.55及端口443，webvpn的名稱為vpnsslgateway，關(guān)聯(lián)IP地址池及AAA認(rèn)證策略，定義SSL VPN Client撥號(hào)的策略及DNS。主要配置如下：

R1 （config-webvpn-context）#gateway vpnssl-gateway

R1 （config-webvpn-context）#aaa authentication list webvpn

R1 （config-webvpn-context）#inservice

R1 （config-webvpn-context）#policy group sslvpnpolicy

R1 （config-webvpn-group）#functions svc-enabled

R1 （config-webvpn-group）#svc address-pool sslvpn-addpool

R1 （config-webvpn-group）#svc split include 192.168.10.0 255.255.255.0

R1 （config-webvpn-context）#default-group-policy sslvpnpolicy

（3）SSL VPN客戶端配置比較簡(jiǎn)單，需要下載SSL VPN Client并安裝，初次需要安裝證書，然后嘗試進(jìn)入SSL VPN Client撥號(hào)，輸入用戶名和密碼，驗(yàn)證成功，即可連入出版社網(wǎng)絡(luò)，進(jìn)行數(shù)字出版安全可靠的交流與訪問。

三、結(jié)束語(yǔ)

該方案充分利用Internet資源，在互聯(lián)網(wǎng)上建立一條安全“隧道”，通過“隧道”為出版社數(shù)字資源建立一個(gè)安全的跨地域網(wǎng)絡(luò)安全傳輸服務(wù)平臺(tái)，經(jīng)過實(shí)踐應(yīng)用，該技術(shù)方案運(yùn)行平穩(wěn)，具有較好的吞吐量和連接數(shù)，保證數(shù)字出版資源安全傳輸及遠(yuǎn)程訪問，不但節(jié)約資源，而且提高了數(shù)字出版的辦公效率。

（作者單位：承德石油高等?？茖W(xué)校）