手机VPN 技术对网络安全监管挑战分析
来源:信息网络安全杂志 更新时间:2014-03-02
 
当前,在智能手机操作系统市场上占有率最高的Android 和iPhoneOS 都在系统中集成了VPN 技术应用服务,使用手机VPN 的用户也在迅速增多。由于境外VPN 服务具有躲避信息网络监管、隐藏用户真实IP 的特点,极易成为威胁我国信息网络安全的巨大隐患和严峻挑战。文章提出将境外VPN 服务纳入到我国法律管理,加强境外VPN 服务市场管理等对策,旨在从根本上解决手机VPN 技术应用在信息网络安全领域带来的冲击。
    根据《第31 次CNNIC 互联网发展报告》,截至2012 年12 月底,我国网民规模达5.64 亿,手机网民规模为4.2 亿,较2011年底增加约6440 万人,网民中使用手机上网的人群比例由2011 年底的69.3% 提升至74.5%。然而信息技术是一把双刃剑,它在给人类带来文明、便利和进步的同时,也给信息网络安全带来新的安全隐患和威胁。虚拟专用网络(Virtual Private Network ,VPN) 指的是在公用网络上建立专用网络的技术,其目的旨在帮助企业员工或分支机构安全访问企业内部信息或传输私密信息,保证访问的可控性和信息在传输过程中的安全性。目前Android 和iPhoneOS 操作系统的智能手机都提供了接入VPN 服务的功能,随着移动网络技术的迅速发展,使用手机VPN 的网民将会呈现出指数级增加趋势。面对当前规模宏大、结构复杂的网络环境,对网络进行有效监管,及时有效地追踪到违法犯罪源头, 给违法者法律上的制裁, 是遏制网络违法犯罪, 保障信息网络安全最有效的措施之一。使用VPN 技术登陆到境外VPN 服务器,不但绕过了国家对信息网络的监管,而且在实施各类网上违法犯罪活动时,由于隐藏了用户真实IP,导致难于追踪IP 源头,给信息网络安全监管及打击网络违法犯罪带来巨大挑战。
  1.手机VPN 技术介绍
  手机VPN 技术,即通过手机应用VPN 服务。目前智能手机主流操作系统已经集成VPN 应用服务,不用安装专门VPN 工具,即可通过手机连网后使用VPN 服务。常见的VPN 服务业务类型有两种,拨号VPN 和专线VPN,后者又可以分为内部网VPN 和外联网VPN。拨号VPN 也称作虚拟专用拨号网络(VPDN),它是一种用户到LAN 的连接。内网VPN 是企业总部与分支机构间通过公网构筑的虚拟网,外网VPN 是指多个具有合作关系的企业单位,通过公网来构筑的虚拟网络。根据目前提供境外VPN 服务商提供的服务来看,使用手机登陆到境外VPN 服务器的技术方式属于拨号VPN 接入。首先要在VPN 服务运营商提供的网络访问服务器(NAS)上提交注册信息,申请开通手机VPN 服务,得NAS 授权后,才可以访问境外VPN 服务器,获得VPN 服务。
  1.1 常见手机VPN协议类型
  常用的VPN 网络协议有PPTP( 点对点隧道协议),L2TP( 第二层隧道协议),IPSec(Internet Protocol Security,IP安全协议)等,以及PPTP、L2TP 协议与IPSec 协议的混合使用。目前,市场智能手机以Android 操作系统和iPhoneOS 操作系统占有率最高,两种操作系统的手机都提供了VPN 服务。国产Android 操作系统手机以华为U8860 为提供了四种VPN协议方式:PP TP(点对点隧道协议)、L2TP(第二层隧道协议)、L2TP/IPSec PSK( 基于预共享密钥的L2TP/IPSec VPN)、L2TP/IPSec CRT(基于证书的L2TP/IPSec VPN);国外品牌苹果4S 手机提供了三种VPN 协议方式:PPTP、L2TP、IPSec。根据VPN 各协议的特点,在使用IPSec 或L2TP/IPSec 协议时,实现数据的加密传输,增强信息的安全性,防止监听,但也躲避了对网络的正常监管。
  1.2 手机VPN应用使用方法
  要使用手机VPN 应用服务,首先要在提供VPN 服务的运营商那里获得一个授权用户,有收费和免费用户两种。免费用户一般受到流量和同时登陆人数的限制,并间断性掉线。注册好用户后,配置手机VPN 服务,连接到VPN 服务器即可。以添加一个PPTP 协议VPN 为例:1)打开手机主菜单,选择“设置”中“无线和网络”;2)选择“虚拟专用网设置”;3)选择“添加虚拟专用网”;4)选择“添加VPN‘PP TP’”;5)进入PPTP 连接设置界面;6)输入虚拟专用网名称“PPTP” ;7)填写所登录的服务器地址,点击“确定”;8)DNS 搜索范围可不填;9)VPN 连接登录,输入账号和密码后点击“连接”。
  1.3 常见手机VPN服务提供商
  百度搜索关键词“VPN 服务”,得到相关结果约4,750,000个,搜索关键词“手机 VPN”,得到相关结果约2,900,000 个,网上充斥着大量关于VPN 服务和手机VPN 的介绍、使用方法、业务服务等信息,用户可以很容易的获得一个VPN 服务账号,并免费获得VPN 服务。目前手机VPN 服务提供商主要有VPNCUP、51VPN 等,见表1 ; Android VPN 软件主要有EvoVPN、1VPN 等,见表2。
  2.手机VPN 技术与应用对我国信息网络安全挑战
  2.1 利用手机VPN技术躲避国家对网络合理监管
  根据维基百科中“互联网审查”条目显示,世界各国和地区,为了防止有关国家安全信息的传播,访问赌博、色情等违法网站,访问暴力、违反伦理等不道德网站,保护企业、研究机构的机密资料不在互联网流传,保障版权与个人隐私的不被非法传播等情况发生都对网络采取了一定的监管措施。根据开放网络促进会(OpenNet Initiative)研究报告显示,美国、加拿大及一些西欧国家被列入“非直接监视”一档(Nominal Watchlist),韩国、澳大利亚等被列入“监控之下”(Under Surveillance),虽然各国对网络监管程度不同,但在世界范围内是绝不存在没有监管的网络,对网络的必要监管已经成为世界性趋势。
  手机VPN 通过连接到境外VPN 服务器后,网络活动不再受监管,对维护国家安全、信息网络安全带来巨大冲击。
  2.2 手机VPN技术应用隐藏用户真实IP
  网络犯罪是指运用计算机技术,借助网络对计算机系统或信息进行攻击破坏或利用网络进行其他犯罪的总称。网络的普及程度越高,网络犯罪的数量就越多,危害也就越大,其危害性远非一般传统犯罪能比,不仅会造成财产损失,更可能严重危及公共安全和国家安全。在科技迅猛发展的今天,世界各国对网络的利用和依赖将会越来越多,因而网络安全的维护变的更加重要,及时有效地追踪到犯罪源头, 给网络违法犯罪者在法律上的制裁,是遏制网络犯罪, 保障网络安全最有效的措施之一。
  随着移动网络技术的快速发展,3G、4G 移动上网服务全面推广,手机的上网速度大幅提高,原来必须通过固网设施才能够应用的服务,通过手机已经可以实现。原来只能通过固网设备才能够进行的网络违法犯罪活动也可以通过手机性能的不断提高来实现,这样使用手机上网实施违法犯罪活动的人数也可能大幅提高。同时手机VPN 技术的应用给追踪犯罪源头带来了巨大的挑战。如果使用手机VPN技术实施网络违法犯罪活动后,只能得到VPN 服务器的IP 地址,要想追踪到手机用户,必须对所使用的手机VPN 服务器、注册时的NAS 服务器进行调查取证,获取相关证据,才能查出在NAS注册时或连接到VPN 服务器时使用的真实IP,再追踪到手机用户。为达到追踪手机用户的目的,在对NAS 和VPN 服务器调查取证时至少要获取到以下信息:在NAS 服务器上通过日志信息,得到用户注册信息、注册时登陆的IP 地址、维护时登陆的IP 地址、注册邮箱等信息;在手机VPN 服务器上通过日志信息,得到已授权用户连接服务器时的IP 地址、连接时间、连接时长、使用的端口等信息。对得到的以上信息再进行IP 追踪,查到手机用户注册时或使用时的地址。
  3.手机VPN 技术对信息网络安全挑战对策分析
  VPN 技术的应用,满足了用户安全访问内部资源,安全交换信息的需要,给不同需求的用户提供了极大的便利,体现了网络新技术新应用对社会经济发展起到的推动、促进作用,但通过上面文章的介绍,手机VPN 技术应用将会给我国网络安全带来巨大的挑战。那么面向中国用户提供境外VPN 服务业务是否违法,违反了哪些法律法规或管理办法有待探讨。作者认为,回答上面问题应分两种情况。
  我国电信业务分为基础电信业务和增值电信业务。电信增值业务是指利用公共网络基础设施提供的电信与信息服务的业务,为提供虚拟专网服务的VPN 服务业务自然属于电信增值业务,属于电信业务的一种。根据《中华人民共和国电信条例》规定,在我国境内从事电信活动或者与电信有关的活动,必须遵守该条例。根据我国《电信条例》规定,得出以下结论:
  1)如果提供境外手机VPN 服务业务的运营商在我国境内,适用该条例规定进行管理,应该不会有问题,应遵守我国《电信条例》。经营增值电信业务,根据其业务覆盖范围不同,须经国务院或省、自治区、直辖市的信息产业主管部门审查批准,取得《增值电信业务经营许可证》,否则不能开展面向我国网民提供境外VPN 服务业务。对未经审批非法经营境外VPN 服务业务的经营者应采取进行处罚、取缔等措施。
  2)如果提供此服务的经营者不在境内,手机VPN 服务器也不在境内,只是面向我国网民提供此项服务,就现有的法律规定来说,向中国网民用户提供境外VPN 服务业务存在立法上的空白。
  3.1 将境外VPN服务纳入我国法律管理范围
  信息产业主管部门应就目前针对我国网民提供境外VPN 服务的业务纳入到我国有关法律法规规章的管理范围,主要有《中华人民共和国电信条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》等。纳入到我国法律管理范围后,根据《中华人民共和国电信条例》规定,从事此项业务经营者须到有关主管部门申请,实行许可准入机制;根据《计算机信息网络国际联网安全保护管理办法》规定,经营者应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为;根据《互联网信息服务管理办法》规定,手机VPN 服务提供者,应当记录并提供手机用户注册信息、注册时IP 地址、维护时IP 地址,使用时IP 地址以及连接时间、连接时长、使用的端口等信息。
  3.2 加强境外VPN服务市场管理
    在当前不能将境外VPN 服务业务纳入到我国法律进行管理的情况下,一方面电信业务主管部门、网络安全监管部门应加强对VPN 服务行业的监管,对旨在为国内网民提供躲避国家网络管理的业务采取过滤、控制等措施,对没有取得境外VPN服务经营许可的服务器加强封堵,减少对我国信息网络安全的危害。另一方面,有关部门要加强手机VPN 用户信息网络安全意识宣传和引导,增强安全意识。手机中大量存储着用户个人信息,在当前没有国内有关部门管理的情况下,提供境外VPN服务的经营者资质必然鱼龙混杂,不排除有不法份子打着提供手机VPN 业务的名号,在为用户提供境外VPN 服务时对手机内的信息进行窃取,从而实施进一步违法犯罪活动。
    4.结束语
    网络新技术与新应用对人类社会发展必将起到推波助澜的作用,其中机遇与风险并存,要用发展的眼光去看待和解决新出现的问题,既不能排斥新技术的应用,也不能对新技术对信息网络安全带来的挑战置之不理。本文通过对手机VPN 技术应用使用背景,使用趋势以及对我国网络安全带来的冲击进行阐述,分析在给我们生活带来便利的同时,提出了需要通过法律、监管等措施加强面向中国网民提供境外手机VPN 服务业务的管理,更好地维护我国信息网络安全。