【摘要】隨著現代高等教育和科學技術的發展,許多高校都在實施一校多區的辦學實踐。多校區辦學模式進一步拓展了教育發展空間,彌補了教育資源的不足。在多校區辦學模式當中傳統的專線直連方式越來越不能滿足財務信息化建設的發展需求,VPN(虛擬專用網絡)技術提供了一種既安全可靠又節約成本的新型組網方式。本文主要介紹了VPN的技術核心及工作原理,提出高校財務信息化建設中如何具體解決VPN方案。
前言
隨著我國高等教育體制改革的進一步深化,高校辦學規模不斷擴大,多校區辦學已是普遍的發展狀況。由于校區之間地域上的隔離,財務處的財務管理系統和學生收費管理系統等業務處理平臺都沒有統一的數據服務器,造成數據不能實時同步,教職工差旅費報銷、學生繳費等都受校區的限制,給日常財務管理工作帶來了極大的不便,亟需進一步加強財務信息化建設,通過技術手段解決多校區辦學模式下的財務系統數據同步問題,實現統一、有效地進行異地財務的管理,保證異地財務數據的安全和可靠傳輸。
筆者通過對虛擬專用網(Virtual Private Network,VPN)相關技術的研究,結合多校區辦學模式下大部分高校的實際情況,提出了將VPN技術應用于高校財務信息化建設的方案。
一、VPN技術
VPN(Virtual Private Network)即虛擬專用網,被定義為通過一個私有的通道在公用網絡(通常是因特網)上建立一個安全的連接,是一條穿過非安全網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展,它利用開放的公用網絡進行信息傳輸,通過安全隧道、用戶認證和訪問控制等技術幫助遠程用戶、分支機構、商業伙伴及供應商同企業的內部網建立可信的安全連接,并保證數據的安全傳輸。
(一)安全隧道技術
由于Internet網絡中IP地址資源的短缺,企業內部大多使用私有IP地址,從這些地址發出的數據包是不能直接通過Internet傳輸的,必須通過網絡地址轉換為合法IP地址。常見轉換方法如靜態IP地址轉換、動態IP地址轉換、端口替換、數據包封裝等,通常情況下VPN采用的是數據包封裝(隧道)技術。使用隧道傳遞的數據可以是不同協議的數據包,隧道協議將這些數據包重新封裝在新的包頭中發送,新的數據包頭提供了路由信息,從而使封裝的數據能通過Internet網絡進行傳輸。
(二)用戶認證技術
如果數據包不經過加密就通過不安全的Internet,即使已經建立了用戶認證,VPN也不完全是安全的。為保護數據在網絡傳輸上的安全性,需利用密碼技術對數據進行加密。數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能了解被保護信息的內容。加密算法中強度比較高,可用于保護敏感的財務信息的是IPSec的DES和3DES。
除加密和解密外,VPN需要核實信息來源的真實性,確認信息發送方的身份,防止非授權用戶的非法竊聽和惡意篡改信息。核實發送方身份的過程稱為“認證”。認證可通過用戶名和口令實現,或者通過“電子證書”或“數字證書”來完成,即證書和密鑰。它包含加密參數,可唯一地用作驗證用戶或系統身份的工具,提供高級別的網絡信息安全傳輸。
(三)訪問控制技術
訪問控制技術即傳統的防火墻功能,一個完善的VPN應同時提供完善的網絡訪問控制功能,由VPN服務的提供者與最終網絡信息資源的提供者共同協商確定特定用戶對特定資源的訪問權限,通過對訪問策略的控制實現用戶的細粒度訪問控制,以最大限度地保護信息資源。
財務信息的安全歷來備受人們重視,安全就是受到控制的訪問。因此,實施安全就是訪問控制的過程,密碼和防火墻可幫助我們實現對信息讀取、寫入權限的訪問控制。
(四)隧道協議
1. PPTP(PointtoPoint Tunneling
Protocol,點對點隧道協議)是由PPTP論壇開發的點到點的安全隧道協議,是PPP的擴展,它增加了一個新的安全級別,支持通過公用網絡建立按需的、多協議的虛擬專用網絡。通過啟用PPTP的VPN傳輸數據如同在企業的一個局域網內那樣安全。此外還可以使用PPTP建立專用LAN到LAN的網絡。
2. SSL(Secure Sockets Layer,安全套接字層協議)是Netscape公司提出的基于Web應用的安全協議,SSL是一種在Web服務協議(HTTP)和TCP/IP之間提供數據連接安全性的協議,為TCP/IP連接提供數據加密、服務器認證、可選的客戶機認證和消息完整性驗證,SSL被視為Internet上Web瀏覽器和服務器的安全標準。
3. IPSec(IP Security,IP安全協議)是一組應用廣泛、開放的協議總稱,它對應用于IP層的網絡數據,提供一套安全的體系結構,包括網絡安全協議AH和ESP、密匙交換協議IKE和用于網絡驗證及加密的算法等,其中兩個使用最普遍的AH標準是MD5和SHA-1,MD5使用最高到128位的密鑰,而SHA-1通過最高達160位密鑰提供更強的保護,ESP標準是數據加密標準(DES),DES最高支持56位密鑰,IPSec同時還支持3DES,因此其密碼算法具有很高的安全性。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和交換密鑰,向上提供訪問控制、數據源驗證、數據加密等網絡安全服務。
(五)VPN通信方式和連接方式
在VPN通信中,主要有兩種VPN通信方式:遠程訪問VPN(Access VPN )和路由器到路由器VPN,后者又包括企業內聯VPN(Intranet VPN)和企業外聯VPN(Extranet VPN)。
VPN連接方式一般可分為兩類:
1. 撥號VPN:為移動用戶和遠程辦公用戶提供的對單位內部網的遠程訪問,通過普通的撥號與公用網絡進行鏈接;然后再通過建立VPN專用網絡鏈接,輸入目標網絡IP地址或域名進行鏈接。
2.專線VPN:此種方式一般情況下企業已通過專線方式與公網建立了鏈接并有靜態IP地址。
無論何種連接方式都要通過硬件VPN或者軟件VPN來實現。基于財務系統的安全性考慮一般選用硬件VPN。硬件VPN可以是帶VPN模塊的防火墻、路由器或者專用VPN交換機,如Cisco的VPN Concentrator 3000,天融信的網絡衛士防火墻4000系列等。在多種硬件VPN當中適用于高校財務信息化建設需求的性價比高的首選帶VPN模塊的企業級防火墻。
二、高校財務信息化建設中VPN網絡構建實例
下面以筆者所在院校構建財務VPN網絡系統為例,說明VPN技術在多校區辦學模式下高校財務信息化建設中的應用。
(一)需求分析
我校目前由三個校區組成,分別是匯東校區、鄧關校區和營盤校區,匯東校區為主校區,鄧關校區距離主校區三十幾公里,三個校區均要鏈接財務服務器收取學生學費,其中匯東主校區和鄧關校區要對外報賬,財務機房設置在匯東主校區。要實現通過鄧關校區和營盤校區的客戶機都能實時地連接財務中心機房的服務器,達到所有的賬務憑證和收費單據均寫入同一數據庫當中。與此同時,發布服務器要對外發布財務信息,學生收費信息要與教務管理系統、學校校園網絡計費認證系統實現數據同步,以達到財務數據安全穩定可靠地傳輸,財務信息在保證安全的前提下在一定程度上與學校其他業務處理系統資源共享。同時,為最大限度地保障財務數據的安全與完整,需建立健全完善的數據備份機制。
(二)解決方案
1. 網絡架構解決方案
由于學校校園網絡已建成規模,因此財務VPN網絡可以通過搭建在校園網絡平臺基礎上在三個校區建立Intranet VPN,這樣既可以提高數據傳輸的穩定性,也可以使整個財務VPN網絡受到學校主防火墻的保護,進一步提升系統的安全性,而且還不用租用昂貴的專線以節約開支。具體方案如圖1所示:
如圖1基于校園網平臺的財務VPN應用方案所示,在三個校區之間建立財務VPN,策略上允許客戶端計算機在一定程度上訪問財務服務器,只開放為客戶端軟件連接財務數據進行財務處理和收費業務處理所必需的服務和端口,服務器端則可以相對透明地開放訪問客戶端計算機的權限,以便于系統管理員從服務器端遠程控制客戶端,解決客戶端與服務器的訪問故障。由于IPSec和L2TP的安全性比PPTP的安全性要高,基于財務信息的安全性要求極高,特別是收費系統的數據往往成為計算機專業學生攻擊的目標,所以在三個校區之間的VPN鏈接采用使用IPSec協議VPN。盡管財務管理系統和收費管理系統及財務數據服務器都采用的是WINDOWS平臺,可以利用WINDOWS系統分別建立VPN路由,但考慮到財務VPN網絡方案的另一個重要因素——穩定性,因此我們選用了帶VPN模塊具強大VPN功能的天融信Topsec企業級網絡衛士防火墻NGFW4000系列。
天融信NGFW4000系列防火墻的配置非常方便,可以基于GUI管理器或基于TELNET進行配置,對用戶的管理可在高級管理中的網絡對象中實現,并可以通過訪問策略限制非法用戶對系統和網絡資源的訪問。對于移動客戶端需要安裝天融信VPN遠程客戶端(VPN Remote Client),不用再像傳統的遠程網絡訪問那樣,通過長途電話撥號到學校遠程接入端口,要想順利通過VRC客戶端軟件連接到學校財務VPN系統,需要使用配套的證書管理系統在NGFW4000系列防火墻當中進行證書交換,以驗證VRC客戶的身份是否合法,從而保證財務信息的安全。利用VRC客戶端軟件可以與財務網絡建立一條VPN加密隧道鏈接,而且這條鏈接是一條基于IPSec的安全鏈接,所以能對IP及上層協議提供可靠的、靈活的安全保證,以使客戶端安全快速地訪問財務網絡資源。
我們在三個校區分別安裝一臺NGFW4000系列防火墻,通過在防火墻的通信策略中建立基于IPSec協議的通信策略的VPN互連。在每臺防火墻上定義該校區財務網絡的用戶并綁定其IP地址和MAC Address,在訪問策略當中設置為默認情況下禁止對防火墻保護區域的訪問,在此基礎上再配置允許對相關區域所屬資源的訪問服務、訪問端口及訪問權限。在帶寬策略當中設置好各區域的帶寬以充分滿足關鍵業務的穩定性不因帶寬問題而有所影響。在VPN管理當中建立好各個防火墻的證書并互相交換證書以啟用VPN隧道連接,同時導入VRC客戶端的證書以便于VRC用戶對財務資源的訪問。
2. 數據存儲與備份解決方案
每一位計算機前的使用者都會有這樣的經驗:一旦在操作過程中敲錯了一個鍵,我們幾個小時,甚至是幾天的工作成果便有可能付之東流。據統計,80%以上的數據丟失都是由于人們的錯誤操作引起的。遺憾的是,這樣的錯誤操作對人類來說是永遠無法避免的。另一方面,隨著網絡的普遍建立,人們更多的通過網絡來傳遞大量信息。而在網絡環境下,除了人為的錯誤操作之外,還有各種各樣的病毒感染、系統故障、線路故障等,使得數據信息的安全無法得到保障,我們對網絡的大量投資也失去了意義。在這種情況下,數據備份就成為日益重要的措施,通過及時有效的備份,系統管理者就可以高枕無憂了。
在國內,大多數人還沒有意識到備份的重要性,這與西方國家強烈的備份意識差距很大。實際上,我國已有了很多前車之鑒,一些重要的科研機構內曾經不止一次地發生過災難性的病毒侵入事故,造成了很大的經濟損失。隨著國內計算機和網絡的不斷普及,網絡環境已危機四伏,數據隨時都有被毀壞的可能,我們必須對系統和數據進行備份!備份如今已不是一件繁瑣的事情,軟、硬件產品的不斷研究和推出,使得數據備份具有了速度快、可靠性高、自動化強等特點,完全解脫了系統管理員的負擔。在投資上,與興建網絡相比,專用的存儲設備和備份軟件價格很低,根本不會成為用戶的經濟負擔。如果每一臺服務器或每一個局域網都配置了數據備份設備,并加以合理的利用,那么無論網絡硬件還是軟件出了問題,都能夠輕松地恢復。
也許您目前還沒有發生過大量的災難性數據丟失事故,但這并不意味著災難永遠不會光臨您的網絡系統。而我國網絡環境和各種防范設施的不健全,也使得病毒的滋生與傳播極為容易,對數據安全造成了極大的威脅。
財務數據的重要性對任何單位來說都是非常重要的,一旦數據丟失將會對單位的整個業務系統帶來不可估量的損失,恢復數據的難度大且代價高昂。因此,我們通過優化存儲系統結構以保障財務數據的安全,將數據丟失的風險降到盡可能最低。具體方案如圖2所示:
筆者通過如圖2所示的數據存儲與備份系統解決方案,將財務數據存儲在磁盤陣列上;然后通過數據備份系統軟件定期定時地將財務數據上傳到備份服務器上,每個月結賬后將財務數據備份到光盤等介質上并建立了完善的數據備份計劃和災難恢復計劃,以確保財務數據的安全完整,保障財務系統的穩定可靠運行。
據考察和了解,目前全國已有個別高校財務信息化建設采用VPN技術,其實施方案與我校財務VPN應用方案有相似之處,這些高校大多有2~3個以上的校區,區別在于他們大多采用的是軟件VPN技術解決方案,并未采用我校實施的以三臺硬件防火墻組建的財務VPN。同時,為進一步保障財務系統的高可用性,我們選用了兩臺企業級的對等服務器組建雙機熱備份系統,利用雙機高可用軟件通過心跳線對雙機服務器的實時動態偵測使財務系統在主服務器出現故障時能迅速從熱備份服務器接管整個系統服務,確保了財務系統的穩定、高效和安全運行。現在我校鄧關校區和營盤校區的財務系統都與主校區的財務系統共用一個財務服務器,保證了數據的同步,財務數據的安全性也得到了極大的保障。每日結賬后,先把財務服務器的數據備份到中間傳輸主機,再由中間傳輸主機定時傳送到財務發布服務器,即可實現財務信息查詢數據的及時更新。現在我校的教職工和學生不僅在每個校區均可辦理財務業務和繳納費用,而且可以非常方便地通過Internet及時查詢自身的財務報賬情況及費用繳納情況,同時通過計財處主頁可以及時發布財務新聞及財務信息等,大大提高了學校計財處的工作效率。
硬件VPN技術的應用很好地解決了多校區辦學模式下由于地域隔離所導致的財務數據同步問題,并且基于硬件VPN技術建立的財務專網為下一步與學校其他部門的信息系統數據同步奠定了良好的基礎,也為與銀行系統聯網搭建網上銀行業務處理平臺提供了條件。
三、結語
高校財務信息化建設的前提是財務管理的軟、硬件系統的信息化和計算機信息統一管理,由于多校區辦學模式下的地域隔離導致財務信息不能數據同步、統一管理,而VPN技術能提供遠程訪問、外部網和內部網的安全鏈接,非常適用于對數據可靠性和安全性要求高的財務專網建設,特別是以硬件VPN技術組建的財務專網為財務管理工作實現計算機信息統一管理和維護提供了很好的網絡基礎平臺,為財務信息化建設的進一步發展提供了強有力的技術保障。因此,基于硬件VPN技術搭建的財務專網方案不僅適用于多校區辦學模式下的現代高等學校,也適用于跨地域的公司、企業組建虛擬專用網絡。筆者相信,隨著VPN技術的不斷發展和軟硬件技術的進一步革新,VPN技術的應用前景將更加廣闊。
