[摘 要]隨著現(xiàn)代高等教育和計算機網(wǎng)絡技術的發(fā)展,許多高校都在“調(diào)整、共建、合作、合并”的高校體制改革中實施一校多區(qū)的辦學實踐。多校區(qū)辦學模式進一步拓展了教育發(fā)展空間,彌補了教育資源的不足。在多校區(qū)辦學模式當中傳統(tǒng)的專線直連方式由于其固有的缺陷和限制越來越不能滿足財務信息化建設的發(fā)展需求,VPN(虛擬專用網(wǎng)絡)技術提供了一種既安全可靠又節(jié)約成本的新型組網(wǎng)方式。本文介紹了VPN的技術核心及工作原理,提出高校財務信息化建設中的具體VPN解決方案,并針對高校財務信息化過程中容易被忽視的財務數(shù)據(jù)安全可靠備份問題提出了較為詳細可行的財務數(shù)據(jù)備份解決方案。
[關鍵詞]VPN 隧道 安全 防火墻 財務信息化
Abstract :Along with the modern higher education and the computer network technology development, many universities all in “the adjustment, altogether constructs, the cooperation, the merge”; the university organizational reform implement school multi-areas the school practice. The multi-school area school pattern has further developed the education development space, has made up the education resources insufficiency. In the middle of multi-school area school pattern traditional special line straight company way because its inherent flaw and the limit more and more cannot satisfy the financial information construction the development demand, VPN (hypothesized private network) the technology provided one kind both safely reliable and to save the cost new network way. This article introduced the VPN technical core and the principle of work, proposed in the university finance information construction concrete VPN solution, and aimed at in the university finance information process the finance data security reliable backup question which neglected to propose easily the more detailed feasible finance data backup solution.
Key words: VPN Tunnel Security Firewall Financial information
前言
隨著我國高等教育體制改革的進一步深化,高校辦學規(guī)模不斷擴大,多校區(qū)辦學已是普遍的發(fā)展狀況。由于校區(qū)之間地域上的隔離,財務處的財務管理系統(tǒng)和學生收費管理系統(tǒng)等業(yè)務處理平臺都沒有統(tǒng)一的數(shù)據(jù)服務器,造成數(shù)據(jù)不能實時同步,教職工差旅費報銷、學生繳費等都受校區(qū)的限制,給日常財務管理工作帶來極大的不便,亟需進一步加強財務信息化建設,通過技術手段解決多校區(qū)辦學模式下的財務系統(tǒng)數(shù)據(jù)同步問題,實現(xiàn)統(tǒng)一、有效地進行異地財務的管理,保證異地財務數(shù)據(jù)的安全和可靠傳輸。
本文通過對虛擬專用網(wǎng)(Virtual Private Network,VPN)相關技術的研究,結合多校區(qū)辦學模式下大部分高校的實際情況,提出了將VPN技術應用于高校財務信息化建設的方案。
1、VPN技術
VPN(Virtual Private Network)即虛擬專用網(wǎng),被定義為通過一個私有的通道在公用網(wǎng)絡(通常是因特網(wǎng))上建立一個安全的連接,是一條穿過非安全網(wǎng)絡的安全、穩(wěn)定的隧道。[1]虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展,它利用開放的公用網(wǎng)絡進行信息傳輸,通過安全隧道、用戶認證和訪問控制等技術幫助遠程用戶、分支機構、商業(yè)伙伴及供應商同企業(yè)的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。
1.1安全隧道技術
由于Internet網(wǎng)絡中IP地址資源的短缺,企業(yè)內(nèi)部大多使用私有IP地址,從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過Internet傳輸?shù)模仨毻ㄟ^網(wǎng)絡地址轉(zhuǎn)換為合法IP地址。常見轉(zhuǎn)換方法如靜態(tài)IP地址轉(zhuǎn)換、動態(tài)IP地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等,通常情況下VPN采用的是數(shù)據(jù)包封裝(隧道)技術。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)包,隧道協(xié)議將這些數(shù)據(jù)包重新封裝在新的包頭中發(fā)送,新的數(shù)據(jù)包頭提供了路由信息,從而使封裝的數(shù)據(jù)能通過Internet網(wǎng)絡進行傳輸。
1.2用戶認證技術
如果數(shù)據(jù)包不經(jīng)過加密就通過不安全的Internet,即使已經(jīng)建立了用戶認證,VPN也不完全是安全的。為保護數(shù)據(jù)在網(wǎng)絡傳輸上的安全性,需利用密碼技術對數(shù)據(jù)進行加密。數(shù)據(jù)加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非授權者不能了解被保護信息的內(nèi)容。加密算法中強度比較高,可用于保護敏感的財務信息的是IPSec的DES和3DES。
除加密和解密外,VPN需要核實信息來源的真實性,確認信息發(fā)送方的身份,防止非授權用戶的非法竊聽和惡意篡改信息。核實發(fā)送方身份的過程稱為“認證”。認證可通過用戶名和口令實現(xiàn),或者通過“電子證書”或“數(shù)字證書”來完成,即證書和密鑰。它包含加密參數(shù),可唯一地用作驗證用戶或系統(tǒng)身分的工具,提供高級別的網(wǎng)絡信息安全傳輸。
1.3、訪問控制技術
訪問控制技術即傳統(tǒng)的防火墻功能,一個完善的VPN應同時提供完善的網(wǎng)絡訪問控制功能,由VPN服務的提供者與最終網(wǎng)絡信息資源的提供者共同協(xié)商確定特定用戶對特定資源的訪問權限,通過對訪問策略的控制實現(xiàn)用戶的細粒度訪問控制,以最大限度地保護信息資源。
財務信息的安全歷來備受人們重視,安全就是受到控制的訪問。因此,實施安全就是訪問控制的過程,密碼和防火墻可幫助我們實現(xiàn)對信息讀取、寫入權限的訪問控制。
1.4、隧道協(xié)議
(1)PPTP(Point – to – Point Tunneling Protocol,點對點隧道協(xié)議)是由PPTP論壇開發(fā)的點到點的安全隧道協(xié)議,是PPP的擴展,它增加了一個新的安全級別,支持通過公用網(wǎng)絡建立按需的、多協(xié)議的虛擬專用網(wǎng)絡。通過啟用PPTP的VPN傳輸數(shù)據(jù)如同在企業(yè)的一個局域網(wǎng)內(nèi)那樣安全。此外還可以使用PPTP建立專用LAN到LAN的網(wǎng)絡。
(2)SSL(Secure Sockets Layer,安全套接字層協(xié)議)是Netscape公司提出的基于Web應用的安全協(xié)議,SSL是一種在Web服務協(xié)議(HTTP)和TCP/IP之間提供數(shù)據(jù)連接安全性的協(xié)議,為TCP/IP連接提供數(shù)據(jù)加密、服務器認證、可選的客戶機認證和消息完整性驗證,SSL被視為Internet上Web瀏覽器和服務器的安全標準。
(3)IPSec(IP Security,IP安全協(xié)議)是一組應用廣泛、開放的協(xié)議總稱,它對應用于IP層的網(wǎng)絡數(shù)據(jù),提供一套安全的體系結構,包括網(wǎng)絡安全協(xié)議AH和ESP、密匙交換協(xié)議IKE和用于網(wǎng)絡驗證及加密的算法等。[2]其中兩個使用最普遍的AH標準是MD5和SHA-1,MD5使用最高到128位的密鑰,而SHA-1通過最高達160位密鑰提供更強的保護,ESP標準是數(shù)據(jù)加密標準(DES),DES最高支持56位密鑰,IPSec同時還支持3DES,因此其密碼算法具有很高的安全性。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和交換密鑰,向上提供訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡安全服務。
1.5、VPN通信方式和連接方式
在VPN通信中,主要有兩種VPN通信方式:遠程訪問VPN(Access VPN )和路由器到路由器VPN,后者又包括企業(yè)內(nèi)聯(lián)VPN(Intranet VPN)和企業(yè)外聯(lián)VPN(Extranet VPN)。[3]
VPN連接方式一般可分為兩類:
(1)撥號VPN:為移動用戶和遠程辦公用戶提供的對單位內(nèi)部網(wǎng)的遠程訪問,通過普通的撥號與公用網(wǎng)絡進行連接,然后再通過建立VPN專用網(wǎng)絡連接,輸入目標網(wǎng)絡IP地址或域名進行連接。
(2)專線VPN:此種方式一般情況下企業(yè)已通過專線方式與公網(wǎng)建立了連接并有靜態(tài)IP地址。
無論何種連接方式都要通過硬件VPN或者軟件VPN來實現(xiàn)。基于財務系統(tǒng)的安全性考慮一般選用硬件VPN。硬件VPN可以是帶VPN模塊的防火墻、路由器或者專用VPN交換機,如Cisco的VPN Concentrator 3000,天融信的網(wǎng)絡衛(wèi)士防火墻4000系列等。在多種硬件VPN當中適用于高校財務信息化建設需求的性價比高的首選帶VPN模塊的企業(yè)級防火墻。
2、高校財務信息化建設中VPN網(wǎng)絡構建實例
下面以我校構建財務VPN網(wǎng)絡系統(tǒng)為例,說明VPN技術在多校區(qū)辦學模式下高校財務信息化建設中的應用。
2.1需求分析
我校目前由三個校區(qū)組成,分別是匯東校區(qū)、鄧關校區(qū)和營盤校區(qū),匯東校區(qū)為主校區(qū),鄧關校區(qū)距離主校區(qū)三十幾公里,三個校區(qū)均要連接財務服務器收取學生學費,其中匯東主校區(qū)和鄧關校區(qū)要對外報賬,財務機房設置在匯東主校區(qū)。要實現(xiàn)通過鄧關校區(qū)和營盤校區(qū)的客戶機都能實時地連接財務中心機房的服務器,達到所有的賬務憑證和收費單據(jù)均寫入同一數(shù)據(jù)庫當中。與此同時,發(fā)布服務器要對外發(fā)布財務信息,學生收費信息要與教務管理系統(tǒng)、學校校園網(wǎng)絡計費認證系統(tǒng)實現(xiàn)數(shù)據(jù)同步,以達到財務數(shù)據(jù)安全穩(wěn)定可靠地傳輸,財務信息在保證安全的前提下在一定程度上與學校其他業(yè)務處理系統(tǒng)資源共享。同時,為最大限度的保障財務數(shù)據(jù)的安全與完整,需建立健全完善的數(shù)據(jù)備份機制。
2.2解決方案
2.2.1網(wǎng)絡架構解決方案
由于學校校園網(wǎng)絡已建成規(guī)模,因此財務VPN網(wǎng)絡可以通過搭建在校園網(wǎng)絡平臺基礎上在三個校區(qū)建立Intranet VPN,這樣既可以提高數(shù)據(jù)傳輸?shù)姆€(wěn)定性,也可以使整個財務VPN網(wǎng)絡受到學校主防火墻的保護,進一步提升系統(tǒng)的安全性,而且還不用租用昂貴的專線以節(jié)約開支。具體方案如圖1所示:
圖1 基于校園網(wǎng)平臺的財務VPN應用方案
如圖1基于校園網(wǎng)平臺的財務VPN應用方案所示,在三個校區(qū)之間建立財務VPN,策略上允許客戶端計算機在一定程度上訪問財務服務器,只開放為客戶端軟件連接財務數(shù)據(jù)進行財務處理和收費業(yè)務處理所必需的服務和端口,服務器端則可以相對透明的開放訪問客戶端計算機的權限,以便于系統(tǒng)管理員從服務器端遠程控制客戶端,解決客戶端與服務器的訪問故障。由于IPSec和L2TP的安全性比PPTP的安全性要高,基于財務信息的安全性要求極高,特別是收費系統(tǒng)的數(shù)據(jù)往往成為計算機專業(yè)的學生攻擊的目標,所以在三個校區(qū)之間的VPN連接采用使用IPSec協(xié)議VPN。盡管財務管理系統(tǒng)和收費管理系統(tǒng)及財務數(shù)據(jù)服務器都采用的是WINDOWS平臺,可以利用WINDOWS系統(tǒng)分別建立VPN路由,但考慮到財務VPN網(wǎng)絡方案的另一個重要因素——穩(wěn)定性,因此我們選用了帶VPN模塊具強大VPN功能的天融信Topsec企業(yè)級網(wǎng)絡衛(wèi)士防火墻NGFW4000系列。
天融信NGFW4000系列防火墻的配置非常方便,可以基于GUI管理器或基于TELNET進行配置,對用戶的管理可在高級管理中的網(wǎng)絡對象中實現(xiàn),并可以通過訪問策略限制非法用戶對系統(tǒng)和網(wǎng)絡資源的訪問。對于移動客戶端需要安裝天融信VPN遠程客戶端(VPN Remote Client),不用再像傳統(tǒng)的遠程網(wǎng)絡訪問那樣,通過長途電話撥號到學校遠程接入端口,要想順利通過VRC客戶端軟件連接到學校財務VPN系統(tǒng),需要使用配套的證書管理系統(tǒng)在NGFW4000系列防火墻當中進行證書交換,以驗證VRC客戶的身分是否合法,從而保證財務信息的安全。利用VRC客戶端軟件可以與財務網(wǎng)絡建立一條VPN加密隧道連接,而且這條連接是一條基于IPSec的安全連接,所以能對IP及上層協(xié)議提供可靠的、靈活的安全保證,以使客戶端安全快速地訪問財務網(wǎng)絡資源。
我們在三個校區(qū)分別安裝一臺NGFW4000系列防火墻,通過在防火墻的通信策略中建立基于IPSec協(xié)議的通信策略的VPN互連。在每臺防火墻上定義該校區(qū)財務網(wǎng)絡的用戶并綁定其IP地址和MAC Address,在訪問策略當中設置為默認情況下禁止對防火墻保護區(qū)域的訪問,在此基礎上再配置允許對相關區(qū)域所屬資源的訪問服務、訪問端口及訪問權限。在帶寬策略當中設置好各區(qū)域的帶寬以充分滿足關鍵業(yè)務的穩(wěn)定性不因帶寬問題而有所影響。在VPN管理當中建立好各個防火墻的證書并互相交換證書以啟用VPN隧道連接,同時導入VRC客戶端的證書以便于VRC用戶對財務資源的訪問。
2.2.2 數(shù)據(jù)存儲與備份解決方案
每一位計算機前的使用者都會有這樣的經(jīng)驗:一旦在操作過程中敲錯了一個鍵,我們幾個小時,甚至是幾天的工作成果便有可能付之東流。據(jù)統(tǒng)計,80%以上的數(shù)據(jù)丟失都是由于人們的錯誤操作引起的。遺憾的是,這樣的錯誤操作對人類來說是永遠無法避免的。另一方面,隨著網(wǎng)絡的普遍建立,人們更多的通過網(wǎng)絡來傳遞大量信息。而在網(wǎng)絡環(huán)境下,除了人為的錯誤操作之外,還有各種各樣的病毒感染、系統(tǒng)故障、線路故障等,使得數(shù)據(jù)信息的安全無法得到保障,我們對網(wǎng)絡的大量投資也失去了意義。在這種情況下,數(shù)據(jù)備份就成為日益重要的措施,通過及時有效的備份,系統(tǒng)管理者就可以高枕無憂了。
在國內(nèi),大多數(shù)人還沒有意識到備份的重要性,這與西方國家強烈的備份意識差距很大。實際上,我們已有了很多前車之鑒,一些重要的科研機構內(nèi)曾經(jīng)不止一次地發(fā)生過災難性的病毒侵入事故,造成了很大的經(jīng)濟損失。隨著國內(nèi)計算機和網(wǎng)絡的不斷普及,網(wǎng)絡環(huán)境已危機四伏,數(shù)據(jù)隨時都有被毀壞的可能,我們必須對系統(tǒng)和數(shù)據(jù)進行備份!備份如今已不是一件繁瑣的事情,軟、硬件產(chǎn)品的不斷研究和推出,使得數(shù)據(jù)備份具有了速度快、可靠性高、自動化強等特點,完全解脫了系統(tǒng)管理員的負擔。在投資上,與興建網(wǎng)絡相比,專用的存儲設備和備份軟件價格很低,根本不會成為用戶的經(jīng)濟負擔。如果每一臺服務器或每一個局域網(wǎng)都配置了數(shù)據(jù)備份設備,并加以合理的利用,那么無論網(wǎng)絡硬件還是軟件出了問題,都能夠輕松地恢復。
也許您目前還沒有發(fā)生過大量的災難性數(shù)據(jù)丟失事故,但這并不意味著災難永遠不會光臨您的網(wǎng)絡系統(tǒng)。而我國網(wǎng)絡環(huán)境和各種防范設施的不健全,也使得病毒的滋生與傳播極為容易,對數(shù)據(jù)安全造成了極大的威脅。
財務數(shù)據(jù)的重要性對任何單位來說都是非常重要的,一旦數(shù)據(jù)丟失將會對單位的整個業(yè)務系統(tǒng)帶來不可估量的損失,恢復數(shù)據(jù)的難度大且代價高昂。因此,我們通過優(yōu)化存儲系統(tǒng)結構以保障財務數(shù)據(jù)的安全,將數(shù)據(jù)丟失的風險降到盡可能最低。具體方案如圖2所示:
圖2 數(shù)據(jù)存儲與備份系統(tǒng)解決方案
我們通過如圖2所示的數(shù)據(jù)存儲與備份系統(tǒng)解決方案,將財務數(shù)據(jù)存儲在磁盤陣列上,然后通過數(shù)據(jù)備份系統(tǒng)軟件定期定時的將財務數(shù)據(jù)上傳到備份服務器上,每個月結賬后將財務數(shù)據(jù)備份到光盤等介質(zhì)上并建立了完善的數(shù)據(jù)備份計劃和災難恢復計劃,以確保財務數(shù)據(jù)的安全完整,保障財務系統(tǒng)的穩(wěn)定可靠運行。
據(jù)考察和了解,目前全國已有個別高校財務信息化建設采用VPN技術,其實施方案與我校財務VPN應用方案有相似之處,這些高校大多有2~3個以上的校區(qū),區(qū)別在于他們大多采用的是軟件VPN技術解決方案,并未采用我校實施的以三臺硬件防火墻組建的財務VPN。同時,為進一步保障財務系統(tǒng)的高可用性,我們選用了兩臺企業(yè)級的對等服務器組建雙機熱備份系統(tǒng),利用雙機高可用軟件通過心跳線對雙機服務器的實時動態(tài)偵測使財務系統(tǒng)在主服務器出現(xiàn)故障時能迅速從熱備份服務器接管整個系統(tǒng)服務,確保了財務系統(tǒng)的穩(wěn)定、高效和安全運行。現(xiàn)在我校鄧關校區(qū)和營盤校區(qū)的財務系統(tǒng)都與主校區(qū)的財務系統(tǒng)共用一個財務服務器,保證了數(shù)據(jù)的同步,財務數(shù)據(jù)的安全性也得到了極大的保障。每日結賬后,先把財務服務器的數(shù)據(jù)備份到中間傳輸主機,再由中間傳輸主機定時傳送到財務發(fā)布服務器,即可實現(xiàn)財務信息查詢數(shù)據(jù)的及時更新。現(xiàn)在我校的教職工和學生不僅在每個校區(qū)均可辦理財務業(yè)務和繳納費用,而且可以非常方便的通過Internet及時查詢自身的財務報賬情況及費用繳納情況,同時通過計財處主頁可以及時發(fā)布財務新聞及財務信息等,大大提高了學校計財處的工作效率。
硬件VPN技術的應用很好地解決了多校區(qū)辦學模式下由于地域隔離所導致的財務數(shù)據(jù)同步問題,并且基于硬件VPN技術建立的財務專網(wǎng)為下一步與學校其他部門的信息系統(tǒng)數(shù)據(jù)同步奠定了良好的基礎,也為與銀行系統(tǒng)聯(lián)網(wǎng)搭建網(wǎng)上銀行業(yè)務處理平臺提供了條件。
3、結語
高校財務信息化建設的前提是財務管理的軟、硬件系統(tǒng)的信息化和計算機信息統(tǒng)一管理,由于多校區(qū)辦學模式下的地域隔離導致財務信息不能數(shù)據(jù)同步、統(tǒng)一管理,而VPN技術能提供遠程訪問、外部網(wǎng)和內(nèi)部網(wǎng)的安全連接,非常適用于對數(shù)據(jù)可靠性和安全性要求高的財務專網(wǎng)建設,特別是以硬件VPN技術組建的財務專網(wǎng)為財務管理工作實現(xiàn)計算機信息統(tǒng)一管理和維護提供了很好的網(wǎng)絡基礎平臺,為財務信息化建設的進一步發(fā)展提供了強有力的技術保障。因此,基于硬件VPN技術搭建的財務專網(wǎng)方案不僅適用于多校區(qū)辦學模式下的現(xiàn)代高等學校,也適用于跨地域的公司、企業(yè)組建虛擬專用網(wǎng)絡。我們有理由相信,隨著VPN技術的不斷發(fā)展和軟硬件技術的進一步革新,VPN技術的應用前景將更加廣闊。
參考文獻:
[1] 王達等,虛擬專用網(wǎng)(VPN)精解 [M],北京:清華大學出版社,2004
[2] Carlton R. Davis著,IPSec VPN的安全實施 [M],周永彬,馮登國等譯,北京:清華大學出版社,2002
[3]何艷輝 王達·網(wǎng)管員必讀—網(wǎng)絡管理 [M] ·電子工業(yè)出版社,2005
