【摘要】隨著我國高等教育從精英教育向大眾教育的轉變,以及高等教育內在發展要求,跨地域多校區辦學模式在我國高校普遍存在。為解決多校區分散核算而導致的財務數據“孤島”問題,形成實時、統一財務數據鏈,專線組網方式或事前數據下發,事后數據合并的分散核算方式均不能滿足財務信息化建設的發展需求和財務管理需要。VPN技術因其實時性、安全性、可靠性、經濟性、便移植、支持移動及遠程辦公等特點,必將成為多校區辦學模式下高校財務信息化網絡建設的主要方向。本文通過簡要介紹VPN技術,結合我校如何構建財務VPN網絡平臺及應用系統移植實例,了解VPN在高校財務信息化建設中的具體運用。
【關鍵詞】高校財務;信息化建設;VPN網絡;系統移植;應用前景
隨著我國適應社會主義市場經濟的教育體制及財政體制的逐步建立和完善,高校合并、擴招及高等教育辦學質量提升要求,使高校辦學規模急劇擴大,跨地域多校區辦學模式是很多高校當前發展現狀。由于校區之間地域上的隔離,物理專線連接不經濟、不便移植,而組建局域網又受距離瓶頸限制,各財務核算點的賬務處理系統、學生收費系統及其他財務輔助系統等業務處理平臺獨立門戶,沒有統一的數據庫服務器,造成信息不能實時處理,會計核算、學生繳費等業務處理都受校區的限制,給日常財務核算及管理工作導致極大不便,只有通過技術手段解決多校區辦學模式下的財務系統數據實時處理問題,統一有效地加強全校財務管理,保證財務數據的安全和可靠傳輸。VPN技術特點和高校財務強烈的現實需求,注定了二者結合是完美、典范運用。
一 、VPN技術簡介
虛擬專用網(VPN,Virtual Private Network),被定義為通過一個公用網絡(通常是因特網)上建立一個臨時、安全的連接,就像一條穿過非安全網絡的安全、穩定的隧道[1]。它是對單位內部網在公用網上的擴展,它的架構中采用了多種安全機制,如隧道技術(Tunneling )、加解密技術( Encryption )、身份認證技術( Authentication )及QoS機制,使用網絡管理、資源管理和傳統防火墻的的訪問控制、地址轉換、IP/MAC綁定、內容過濾、入侵防御等功能幫助遠程用戶、分支機構、商業伙伴及供應商同單位的內部網建立可信的安全連接,并保證數據的安全傳輸。由于VPN可以通過互聯網穿越單位內網,達到訪問位于內網上數據庫服務器目的,VPN技術在在電子商務、總公司與分支機構、科研單位、高等院校等相關領域的運用異常活躍。
(一)隧道技術
網絡隧道是指在公用網建立一條數據通道,讓數據包通過這條隧道傳輸。VPN的具體實現是采用隧道技術,將企業網的數據封裝在隧道中進行傳輸。VPN解決方案中采用的隧道技術是一種封裝技術,它利用一種網絡傳輸協議,將其他協議產生的數據報文封裝在它自己報文中。要使數據順利地被封裝、傳送及解封裝,隧道通信協議是保證的根本,隧道協議可分為第二層(數據鏈路層)隧道協議L2TP、PPTP(點到點)等,第三層(網絡層)隧道協議,如IPSEC、GRE。 它們的區別在于用戶的數據包是被封裝在哪種數據包中在隧道中傳輸的,前兩種常用于遠程訪問,即客戶端到網關連接,第三種可以很好實現分支機構互連,即網關到網管的連接。IPSec協議是虛擬專用網絡VPN主要采用的協議是IETF(Internet Engineer Task Force)正在完善的安全標準,受到了眾多廠商的關注和支持。通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。IPSec由Internet密鑰交換協議、IP認證頭AH(Authentication Header)和IP安全載荷封載ESP(Encapsulated Security Payload)組成。
(二)加解密技術
信息加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能了解被保護信息的內容,防止通信線路上的竊聽、泄漏、篡改和破壞。信息發送時,通過數學方法,把這些明文信息翻譯成密碼形式,并附加密鑰,擁有密鑰的人將接收到的加密數據轉換為原來的明文。加解密技術在不段的發展和完善中,種類較多,常用的加密算法有DES(56位密鑰)、三次DES(三重有效的DES密鑰)、AES加密技術(可達256位密鑰)。三重DES和AES強度比較高,可用于敏感的數據信息加密。
(三)用戶認證技術
眾所周知,開放的公用網是很不安全的,來自外部的攻擊和入侵難以避免。高強度的數據加密可以達到保護數據目的,但卻不能對客戶端的合法用戶和非法用戶進行身份鑒別、權限分配及訪問控制。為防止信息不落入“敵手”,用戶認證是防范網絡入侵和威脅的第一道防線。認證可通過傳統的用戶名加口令實現,也可以通過“電子證書(Ukey(u盾))”或“數字證書”來完成。
(四)訪問控制技術
既使通過身份驗證用戶,對資源能否訪問、操作?訪問、操作到什么程度?這就需借助網絡訪問控制來解決,安全就是有控制的訪問。它是對用戶訪問網絡資源權限制訂的條件約束規則,訪問控制實質就是制訂、設置系列訪問策略,是網絡安全防范和保護的基礎策略。
(四)IP地址轉換技術(NAT)
隨著IPV6時代的到來,很可能互聯網IP地址無法滿足網絡用戶的需求的時代即將終結,但基于網絡安全和VPN技術運用,我們不得不了解什么是NAT。由于目前面臨IPV4地址不夠問題,很難為內網中每臺電腦申請到上網的的合法IP,就不得不使用保留地址,由于保留地址不能直接訪問互聯網,保留地址與合法地址互相轉換,就解決了內網與外網相互訪問問題。NAT不僅解決了lP地址不足,而且隱藏內部網絡拓撲及真實IP,能夠有效地避免內網來自網絡外部的攻擊。
網絡管理、資源管理、IP/MAC綁定、內容過濾、入侵防御等內容、方法和功能因涉及基礎網絡知識,在此不再贅述。
(五)VPN的兩種應用連接模式
一是遠程客戶端到網管連接。遠程用戶(如單位流動遠程辦公人員、出差人員或二級核算單位財務報賬點等)要訪問位于單位總部內網中數據信息,先通過撥號接入本地的ISP后,就可以通過專用的VPN客戶端撥號軟件建立與單位總部VPN網關連接,它是一種安全的經濟的連接模式。
二是VPN網管到網管連接。對于分支機構與分支機構之間,分支機構與單位總部之間,為實現局域網與局域網信息間訪問,可分別安裝VPN網關,建立VPN網管到網管的安全連接。
二 、我校財務信息化建設中VPN網絡構建實例
下面以筆者所在高校構建財務VPN網絡系統為例,說明VPN技術在多校區或分級核算模式下高校財務信息化建設中的應用,它是集高安全、便維護、經濟性、適用性的財務VPN解決方案。
(一)學校財務信息處理及網絡現狀
我校目前由獅子山校區、成龍校區、東校區三個部分組成,三個校區相距數公里,因多模式辦學財務管理體制原因,每個校區又存在多個二級核算單位,一級財務核算在獅子山校區完成,財務中心數據機房設置在獅子山校區。由于不可能將各校區及二級核算單位構建財務局域網,也沒有用采用物理專線連接,實行VPN網絡方案之前,各校區及二級核算單位自建局域網,分別安裝核算系統、收費系統及其他財務輔助系統分條塊核算,年末以報表合并方式完成財務工作。造成人員使用、賬務處理、經費控制、統計分析、資金管理、財務預決算極大不便,資金使用效益不高,財務工作量較大。部分客戶端因工作需要,通過校園網加入了不信任的互聯網,沒有通過地址轉換及訪問控制策略,財務數據存在極大的安全風險。
(二)構建高校財務VPN系統
1. 總體方案
由于學校校園網絡已覆蓋每個校區的每個辦公點,因此財務VPN網絡可以依托校園網為基礎平臺,在三個校區(或二級單位)建立Intranet VPN,運用VPN的兩種應用連接模式,建立覆蓋各校區、各二級財務機構及遠程、移動任何辦公點的財務VPN網絡方案,實現能訪問設置在獅子山校區的財務數據庫,達到建立統一實時的財務數據庫目的,借助VPN技術特點,保證財務數據處理、傳輸的穩定性、安全性及經濟性。
2.組網設備
目前,市場上大多數生產廠家把VPN網關集成到防火墻或路由器上,基于防火墻本身具有較強的網絡安全功能,我校實現財務VPN方案時采用了帶內置VPN模塊的企業級防火墻。除獅子山校區外,考慮到成龍校區數據量、安全性及未來發展需求,特配置了一臺帶內置VPN模塊的防火墻,建立網關到網關型VPN連接方式;其他校區(含二級單位核算點、遠程用戶、移動用戶)采用廠商提供的專用撥入軟件,與獅子山校區建立隧道,形成遠程客戶端到網管型連接方式。設備清單如下:
①天融信NGFW 4000 TG-4324-Y防火墻兩臺;
②IPSEC VPN模塊IPSECVPN-MODULE兩塊;
③IPSECVPN-VRC-LICENSE IPSEC VPN隧道并發許可使用權50人;
④TopSEC-KEY用于管理器的USB KEY方式認證及VPN密鑰存儲;
⑤天融信入侵檢測系統TopSentry 2000系列TS-2204-IDS-Y型號;
⑥安全審計服務器(我校未使用);
⑦天融信入侵檢測系統TopSentry 2000系列TS-2204-IDS-Y型號
⑧遠程客戶端撥入VPN軟件;
⑨主財務服務器一臺(可考慮一臺備份服務器)、客戶端主機及交換機(建議用帶管理功能的三層交換機)一批,必要的連網線及UPS電源。
3.具體架構及設置
由高校財務VPN構架方案圖所示,通過在獅子校區和成龍校區分別安裝一臺天融信NGFW4000型防火墻(帶VPN模塊),在兩個校區之間就建立網關對網關型的財務VPN,在防火墻的通信策略中建立基于IPSec協議的通信策略、3DES數據加密的VPN互連。
高校財務VPN構架方案圖
建立VPN系統關鍵是系統配置及各種策略的制訂。第一次配置VPN防火墻可以通過使用串口線將管理計算機與防火墻的CONSOLE口連接后,通過windows操作系統自帶的“超級終端”程序登陸后以命令方式完成基本配置。在兩臺防火墻上先在系統管理中開放相關區域和控制地址的IPSECVPN、TELNET、PING及WEBUI服務;然后添加靜態路由,指明VPN防火墻外網出口網關;接著定義內、外網接口及相應IP地址(兩個校區內網不能在同一個網段,每一個內網為了便于管理控制,可以再劃分為多個WLAN),綁定內網IP地址和MAC ADDRESS;在資源管理中定義和設置地址、屬性和區域;在傳統防火墻設置中,設置阻斷策略、地址轉換(若允許內網能訪問外網設置源轉換,若內網計算機承擔著WEB服務器功能,要設置目的轉換)、訪問策略當中設置為默認情況下禁止對防火墻保護區域的訪問,在此基礎上再配置允許對相關區域所屬資源的訪問服務、訪問端口及訪問權限;在寬帶策略當中設置好各區域的帶寬以充分滿足業務處理的穩定性不因帶寬問題而有所影響;在虛擬專網設置中,為建立靜態隧道,首先進行建立隧道的默認參數設置:在獅子山校區及成龍校區協商模式均設置為主模式、認證方式可設置為共享密鑰或數字證書方式、加密算法設置為3DES、校驗算法設為MD5、IPSEC-Sa的安全政策屬性設置為隧道模式及安全載荷封載ESP;在建立靜態隧道設置中,分別在兩個VPN防火墻中的本地客戶端輸入內網網段和掩碼,遠端主機輸入對端公網IP,遠端客戶端輸入對方內網網段及掩碼,設置完畢后,若隧道建立成功,系統狀態就顯示為“第二階段協商成功”信息。
對于我校東校區、其他二級財務機構、校內各部門、移動及遠程用戶,基于業務量小,使用時間短,考慮成本需要,通過安裝天融信VPN遠程客戶端(VPN Remote Client),建立VRC與獅子山校區網關之間財務型VPN模式。利用虛擬專網的VRC管理功能,在VPN防火墻上建立遠程客戶端相應用戶名、密鑰及虛擬IP,在權限對象設置中,指定開放端口、虛擬IP網段、子網掩碼。在客戶端上,安裝VRC軟件后,設置相應虛擬IP,在撥號設置中輸入獅子山校區VPN網關公網IP地址,利用分配的相應用戶名和密碼撥入VPN,便與位于獅子山校區財務網絡建立一條VPN加密隧道連接,而且這條連接也是一條基于IPSec的安全連接。
在各客戶機上設置內網IP及子網掩碼,網關指向VPN防火墻內網端口IP,若要訪問互聯網,還要進行DNS設置。VPN隧道是否已經建通,可以通過利用前面介紹的先打開防火墻相關區域PING開放服務,然后利用PING命令從一端的電腦去訪問另一端中的電腦。
天融信NGFW4000系列防火墻的系統配置及策略規則制訂非常方便,除前面介紹的使用CONSOLE端口進行本地管理外,還可以通過WEBUI(在IE瀏覽器地址欄輸入https://后跟VPN防火墻外網口IP地址)、SSH 及TELNET方式進行管理,特別是WEBUI方式,可支持網上遠程管理,非常方便。 另外,VPN防火墻也支持強大的用戶認證及PKI管理功能,以進一步加強系統安全。
三、應用系統移植及研發
財務VPN構建完畢后,為加強安全和管理控制需要,將位于獅子山校區的原財務數據服務器升級為主域控制器,加入置于VPN防火墻內網端口管理下內網中,獅子山校區客戶端登陸財務主域訪問。在各客戶機上安裝相應賬務處理及學生收費等軟件后,各連接客戶端賬務處理及學生收費系統參數配置的SERVER項均應設置為主域控制器的內網IP地址。因不在同一個網段,除獅子山校區財務內網客戶機訪問財務數據庫服務器不安裝數據庫客戶端外(我校使用的是MS -SQL2000),其他客戶機均需安裝數據庫客戶端軟件才能連接財務服務器的數據庫。經過一年多的試點、推廣,現在我校成龍校區、東校區、二級財務的財務系統都與獅子山校區的財務系統共用一個數據庫服務器,保證了財務信息實時、同步處理,學校教職工和學生不僅在每個校區均可辦理核算業務和繳納費用(特別說明的是,長期困擾高校的學生現場集中繳費網絡布置,也因VPN系統及無線網絡的運用,實現了直接訪問位于獅子山校區學生收費系統,而不再構建現場收費服務器),每個單位和個人無論身處何處,只要能上互聯網,就可以實時查詢自身的賬務信息。
財務VPN建成后,為加強運用,除將財務處最核心的賬務處理系統、學生收費系統移植到VPN平臺使用外,基于VPN安全性、可靠性、經濟性,實時性、不同網絡互通性,完全可以將財務VPN網絡做為高校財務信息化建設的基礎平臺。為方便財務核算及財務管理需要,我校進一步將高校財務輔助管理系統,如校內預算編制系統、工資管理系統、非工資性收入發放系統、個稅代扣代繳系統、教職工及學生轉儲系統、經費分成系統及政府采購信息錄入系統等等,重新研發為C/S模式(若原為單機運行),直接在財務中心服務器上建立統一數據庫,達到相關單位或個人直接在平臺上經身份認證、分級授權后共享使用,方便信息傳輸、處理、實時查詢、管理目的。另外,財務部門WEB網站的主要功能是提供財務信息查詢,基于信息實時性及安全性考慮,可以將財務WEB服務器加入到財務VPN網絡中,利用數據庫觸發器完成業務系統信息批量或增量更新到財務WEB數據庫中,實現財務信息網上實時查詢,且保證了財務業務系統安全。
財務信息安全是高校財務信息化建設成敗關鍵。VPN技術有較高安全性,但并意味一切高枕無憂。財務信息安全工作重點:一是樹立系統管理員的安全意識,它比任何約束制度更重要;二是未雨綢繆,做好科學、有效的數據備份方案。VPN為高校財務形成實時數據提供了技術保證,但不能保證形成的財務信息對管理工作的有效性。基于VPN模式下,加強對各核算點業務處理遠程指導,并形成業務處理標準化、統一化處理機制,不要多頭為政,尤為關鍵。
高校財務信息化建設的前提是財務管理的軟、硬件系統的信息化和計算機信息統一管理[2]。VPN技術有效、安全地解決了高校財務形成實時完整的數據鏈問題。若學校層面組建VPN系統,實現校內部門信息系統實時互訪和與銀行系統互聯,為構建校園“一卡通”系統打下了堅實基礎。由于VPN技術的復雜性,人們對其利用互聯網傳輸數據安全性擔心和對其技術了解不深,導致VPN技術在我國運用不夠廣泛和深入。但是,隨著更多單位使用及宣傳,以及VPN技術不斷發展和硬件廠商系統設置不斷簡化,VPN技術的應用前景必將非常廣闊。
作者簡介:趙德平(1969-),男,四川岳池人,四川師范大學計劃財務處會計師、副處長。
參考文獻:
[1]天融信《網絡衛士防火墻系統V3.3用戶手冊》.
[2]鐘建平.高校財務信息化建設中VPN技術的應用.
