[摘 要]随着现代高等教育和计算机网络技术的发展,许多高校都在“调整、共建、合作、合并”的高校体制改革中实施一校多区的办学实践。多校区办学模式进一步拓展了教育发展空间,弥补了教育资源的不足。在多校区办学模式当中传统的专线直连方式由于其固有的缺陷和限制越来越不能满足财务信息化建设的发展需求,VPN(虚拟专用网络)技术提供了一种既安全可靠又节约成本的新型组网方式。本文介绍了VPN的技术核心及工作原理,提出高校财务信息化建设中的具体VPN解决方案,并针对高校财务信息化过程中容易被忽视的财务数据安全可靠备份问题提出了较为详细可行的财务数据备份解决方案。
[关键词]VPN 隧道 安全 防火墙 财务信息化
Abstract :Along with the modern higher education and the computer network technology development, many universities all in “the adjustment, altogether constructs, the cooperation, the merge”; the university organizational reform implement school multi-areas the school practice. The multi-school area school pattern has further developed the education development space, has made up the education resources insufficiency. In the middle of multi-school area school pattern traditional special line straight company way because its inherent flaw and the limit more and more cannot satisfy the financial information construction the development demand, VPN (hypothesized private network) the technology provided one kind both safely reliable and to save the cost new network way. This article introduced the VPN technical core and the principle of work, proposed in the university finance information construction concrete VPN solution, and aimed at in the university finance information process the finance data security reliable backup question which neglected to propose easily the more detailed feasible finance data backup solution.
Key words: VPN Tunnel Security Firewall Financial information
前言
随着我国高等教育体制改革的进一步深化,高校办学规模不断扩大,多校区办学已是普遍的发展状况。由于校区之间地域上的隔离,财务处的财务管理系统和学生收费管理系统等业务处理平台都没有统一的数据服务器,造成数据不能实时同步,教职工差旅费报销、学生缴费等都受校区的限制,给日常财务管理工作带来极大的不便,亟需进一步加强财务信息化建设,通过技术手段解决多校区办学模式下的财务系统数据同步问题,实现统一、有效地进行异地财务的管理,保证异地财务数据的安全和可靠传输。
本文通过对虚拟专用网(Virtual Private Network,VPN)相关技术的研究,结合多校区办学模式下大部分高校的实际情况,提出了将VPN技术应用于高校财务信息化建设的方案。
1、VPN技术
VPN(Virtual Private Network)即虚拟专用网,被定义为通过一个私有的通道在公用网络(通常是因特网)上建立一个安全的连接,是一条穿过非安全网络的安全、稳定的隧道。[1]虚拟专用网是对企业内部网的扩展,它利用开放的公用网络进行信息传输,通过安全隧道、用户认证和访问控制等技术帮助远程用户、分支机构、商业伙伴及供应商同企业的内部网建立可信的安全连接,并保证数据的安全传输。
1.1安全隧道技术
由于Internet网络中IP地址资源的短缺,企业内部大多使用私有IP地址,从这些地址发出的数据包是不能直接通过Internet传输的,必须通过网络地址转换为合法IP地址。常见转换方法如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等,通常情况下VPN采用的是数据包封装(隧道)技术。使用隧道传递的数据可以是不同协议的数据包,隧道协议将这些数据包重新封装在新的包头中发送,新的数据包头提供了路由信息,从而使封装的数据能通过Internet网络进行传输。
1.2用户认证技术
如果数据包不经过加密就通过不安全的Internet,即使已经建立了用户认证,VPN也不完全是安全的。为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法中强度比较高,可用于保护敏感的财务信息的是IPSec的DES和3DES。
除加密和解密外,VPN需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成,即证书和密钥。它包含加密参数,可唯一地用作验证用户或系统身分的工具,提供高级别的网络信息安全传输。
1.3、访问控制技术
访问控制技术即传统的防火墙功能,一个完善的VPN应同时提供完善的网络访问控制功能,由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限,通过对访问策略的控制实现用户的细粒度访问控制,以最大限度地保护信息资源。
财务信息的安全历来备受人们重视,安全就是受到控制的访问。因此,实施安全就是访问控制的过程,密码和防火墙可帮助我们实现对信息读取、写入权限的访问控制。
1.4、隧道协议
(1)PPTP(Point – to – Point Tunneling Protocol,点对点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,是PPP的扩展,它增加了一个新的安全级别,支持通过公用网络建立按需的、多协议的虚拟专用网络。通过启用PPTP的VPN传输数据如同在企业的一个局域网内那样安全。此外还可以使用PPTP建立专用LAN到LAN的网络。
(2)SSL(Secure Sockets Layer,安全套接字层协议)是Netscape公司提出的基于Web应用的安全协议,SSL是一种在Web服务协议(HTTP)和TCP/IP之间提供数据连接安全性的协议,为TCP/IP连接提供数据加密、服务器认证、可选的客户机认证和消息完整性验证,SSL被视为Internet上Web浏览器和服务器的安全标准。
(3)IPSec(IP Security,IP安全协议)是一组应用广泛、开放的协议总称,它对应用于IP层的网络数据,提供一套安全的体系结构,包括网络安全协议AH和ESP、密匙交换协议IKE和用于网络验证及加密的算法等。[2]其中两个使用最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位的密钥,而SHA-1通过最高达160位密钥提供更强的保护,ESP标准是数据加密标准(DES),DES最高支持56位密钥,IPSec同时还支持3DES,因此其密码算法具有很高的安全性。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和交换密钥,向上提供访问控制、数据源验证、数据加密等网络安全服务。
1.5、VPN通信方式和连接方式
在VPN通信中,主要有两种VPN通信方式:远程访问VPN(Access VPN )和路由器到路由器VPN,后者又包括企业内联VPN(Intranet VPN)和企业外联VPN(Extranet VPN)。[3]
VPN连接方式一般可分为两类:
(1)拨号VPN:为移动用户和远程办公用户提供的对单位内部网的远程访问,通过普通的拨号与公用网络进行连接,然后再通过建立VPN专用网络连接,输入目标网络IP地址或域名进行连接。
(2)专线VPN:此种方式一般情况下企业已通过专线方式与公网建立了连接并有静态IP地址。
无论何种连接方式都要通过硬件VPN或者软件VPN来实现。基于财务系统的安全性考虑一般选用硬件VPN。硬件VPN可以是带VPN模块的防火墙、路由器或者专用VPN交换机,如Cisco的VPN Concentrator 3000,天融信的网络卫士防火墙4000系列等。在多种硬件VPN当中适用于高校财务信息化建设需求的性价比高的首选带VPN模块的企业级防火墙。
2、高校财务信息化建设中VPN网络构建实例
下面以我校构建财务VPN网络系统为例,说明VPN技术在多校区办学模式下高校财务信息化建设中的应用。
2.1需求分析
我校目前由三个校区组成,分别是汇东校区、邓关校区和营盘校区,汇东校区为主校区,邓关校区距离主校区三十几公里,三个校区均要连接财务服务器收取学生学费,其中汇东主校区和邓关校区要对外报账,财务机房设置在汇东主校区。要实现通过邓关校区和营盘校区的客户机都能实时地连接财务中心机房的服务器,达到所有的账务凭证和收费单据均写入同一数据库当中。与此同时,发布服务器要对外发布财务信息,学生收费信息要与教务管理系统、学校校园网络计费认证系统实现数据同步,以达到财务数据安全稳定可靠地传输,财务信息在保证安全的前提下在一定程度上与学校其他业务处理系统资源共享。同时,为最大限度的保障财务数据的安全与完整,需建立健全完善的数据备份机制。
2.2解决方案
2.2.1网络架构解决方案
由于学校校园网络已建成规模,因此财务VPN网络可以通过搭建在校园网络平台基础上在三个校区建立Intranet VPN,这样既可以提高数据传输的稳定性,也可以使整个财务VPN网络受到学校主防火墙的保护,进一步提升系统的安全性,而且还不用租用昂贵的专线以节约开支。具体方案如图1所示:
图1 基于校园网平台的财务VPN应用方案
如图1基于校园网平台的财务VPN应用方案所示,在三个校区之间建立财务VPN,策略上允许客户端计算机在一定程度上访问财务服务器,只开放为客户端软件连接财务数据进行财务处理和收费业务处理所必需的服务和端口,服务器端则可以相对透明的开放访问客户端计算机的权限,以便于系统管理员从服务器端远程控制客户端,解决客户端与服务器的访问故障。由于IPSec和L2TP的安全性比PPTP的安全性要高,基于财务信息的安全性要求极高,特别是收费系统的数据往往成为计算机专业的学生攻击的目标,所以在三个校区之间的VPN连接采用使用IPSec协议VPN。尽管财务管理系统和收费管理系统及财务数据服务器都采用的是WINDOWS平台,可以利用WINDOWS系统分别建立VPN路由,但考虑到财务VPN网络方案的另一个重要因素——稳定性,因此我们选用了带VPN模块具强大VPN功能的天融信Topsec企业级网络卫士防火墙NGFW4000系列。
天融信NGFW4000系列防火墙的配置非常方便,可以基于GUI管理器或基于TELNET进行配置,对用户的管理可在高级管理中的网络对象中实现,并可以通过访问策略限制非法用户对系统和网络资源的访问。对于移动客户端需要安装天融信VPN远程客户端(VPN Remote Client),不用再像传统的远程网络访问那样,通过长途电话拨号到学校远程接入端口,要想顺利通过VRC客户端软件连接到学校财务VPN系统,需要使用配套的证书管理系统在NGFW4000系列防火墙当中进行证书交换,以验证VRC客户的身分是否合法,从而保证财务信息的安全。利用VRC客户端软件可以与财务网络建立一条VPN加密隧道连接,而且这条连接是一条基于IPSec的安全连接,所以能对IP及上层协议提供可靠的、灵活的安全保证,以使客户端安全快速地访问财务网络资源。
我们在三个校区分别安装一台NGFW4000系列防火墙,通过在防火墙的通信策略中建立基于IPSec协议的通信策略的VPN互连。在每台防火墙上定义该校区财务网络的用户并绑定其IP地址和MAC Address,在访问策略当中设置为默认情况下禁止对防火墙保护区域的访问,在此基础上再配置允许对相关区域所属资源的访问服务、访问端口及访问权限。在带宽策略当中设置好各区域的带宽以充分满足关键业务的稳定性不因带宽问题而有所影响。在VPN管理当中建立好各个防火墙的证书并互相交换证书以启用VPN隧道连接,同时导入VRC客户端的证书以便于VRC用户对财务资源的访问。
2.2.2 数据存储与备份解决方案
每一位计算机前的使用者都会有这样的经验:一旦在操作过程中敲错了一个键,我们几个小时,甚至是几天的工作成果便有可能付之东流。据统计,80%以上的数据丢失都是由于人们的错误操作引起的。遗憾的是,这样的错误操作对人类来说是永远无法避免的。另一方面,随着网络的普遍建立,人们更多的通过网络来传递大量信息。而在网络环境下,除了人为的错误操作之外,还有各种各样的病毒感染、系统故障、线路故障等,使得数据信息的安全无法得到保障,我们对网络的大量投资也失去了意义。在这种情况下,数据备份就成为日益重要的措施,通过及时有效的备份,系统管理者就可以高枕无忧了。
在国内,大多数人还没有意识到备份的重要性,这与西方国家强烈的备份意识差距很大。实际上,我们已有了很多前车之鉴,一些重要的科研机构内曾经不止一次地发生过灾难性的病毒侵入事故,造成了很大的经济损失。随着国内计算机和网络的不断普及,网络环境已危机四伏,数据随时都有被毁坏的可能,我们必须对系统和数据进行备份!备份如今已不是一件繁琐的事情,软、硬件产品的不断研究和推出,使得数据备份具有了速度快、可靠性高、自动化强等特点,完全解脱了系统管理员的负担。在投资上,与兴建网络相比,专用的存储设备和备份软件价格很低,根本不会成为用户的经济负担。如果每一台服务器或每一个局域网都配置了数据备份设备,并加以合理的利用,那么无论网络硬件还是软件出了问题,都能够轻松地恢复。
也许您目前还没有发生过大量的灾难性数据丢失事故,但这并不意味着灾难永远不会光临您的网络系统。而我国网络环境和各种防范设施的不健全,也使得病毒的滋生与传播极为容易,对数据安全造成了极大的威胁。
财务数据的重要性对任何单位来说都是非常重要的,一旦数据丢失将会对单位的整个业务系统带来不可估量的损失,恢复数据的难度大且代价高昂。因此,我们通过优化存储系统结构以保障财务数据的安全,将数据丢失的风险降到尽可能最低。具体方案如图2所示:
图2 数据存储与备份系统解决方案
我们通过如图2所示的数据存储与备份系统解决方案,将财务数据存储在磁盘阵列上,然后通过数据备份系统软件定期定时的将财务数据上传到备份服务器上,每个月结账后将财务数据备份到光盘等介质上并建立了完善的数据备份计划和灾难恢复计划,以确保财务数据的安全完整,保障财务系统的稳定可靠运行。
据考察和了解,目前全国已有个别高校财务信息化建设采用VPN技术,其实施方案与我校财务VPN应用方案有相似之处,这些高校大多有2~3个以上的校区,区别在于他们大多采用的是软件VPN技术解决方案,并未采用我校实施的以三台硬件防火墙组建的财务VPN。同时,为进一步保障财务系统的高可用性,我们选用了两台企业级的对等服务器组建双机热备份系统,利用双机高可用软件通过心跳线对双机服务器的实时动态侦测使财务系统在主服务器出现故障时能迅速从热备份服务器接管整个系统服务,确保了财务系统的稳定、高效和安全运行。现在我校邓关校区和营盘校区的财务系统都与主校区的财务系统共用一个财务服务器,保证了数据的同步,财务数据的安全性也得到了极大的保障。每日结账后,先把财务服务器的数据备份到中间传输主机,再由中间传输主机定时传送到财务发布服务器,即可实现财务信息查询数据的及时更新。现在我校的教职工和学生不仅在每个校区均可办理财务业务和缴纳费用,而且可以非常方便的通过Internet及时查询自身的财务报账情况及费用缴纳情况,同时通过计财处主页可以及时发布财务新闻及财务信息等,大大提高了学校计财处的工作效率。
硬件VPN技术的应用很好地解决了多校区办学模式下由于地域隔离所导致的财务数据同步问题,并且基于硬件VPN技术建立的财务专网为下一步与学校其他部门的信息系统数据同步奠定了良好的基础,也为与银行系统联网搭建网上银行业务处理平台提供了条件。
3、结语
高校财务信息化建设的前提是财务管理的软、硬件系统的信息化和计算机信息统一管理,由于多校区办学模式下的地域隔离导致财务信息不能数据同步、统一管理,而VPN技术能提供远程访问、外部网和内部网的安全连接,非常适用于对数据可靠性和安全性要求高的财务专网建设,特别是以硬件VPN技术组建的财务专网为财务管理工作实现计算机信息统一管理和维护提供了很好的网络基础平台,为财务信息化建设的进一步发展提供了强有力的技术保障。因此,基于硬件VPN技术搭建的财务专网方案不仅适用于多校区办学模式下的现代高等学校,也适用于跨地域的公司、企业组建虚拟专用网络。我们有理由相信,随着VPN技术的不断发展和软硬件技术的进一步革新,VPN技术的应用前景将更加广阔。
参考文献:
[1] 王达等,虚拟专用网(VPN)精解 [M],北京:清华大学出版社,2004
[2] Carlton R. Davis著,IPSec VPN的安全实施 [M],周永彬,冯登国等译,北京:清华大学出版社,2002
[3]何艳辉 王达·网管员必读—网络管理 [M] ·电子工业出版社,2005
