【摘要】随着我国高等教育从精英教育向大众教育的转变，以及高等教育内在发展要求，跨地域多校区办学模式在我国高校普遍存在。为解决多校区分散核算而导致的财务数据“孤岛”问题，形成实时、统一财务数据链，专线组网方式或事前数据下发，事后数据合并的分散核算方式均不能满足财务信息化建设的发展需求和财务管理需要。VPN技术因其实时性、安全性、可靠性、经济性、便移植、支持移动及远程办公等特点，必将成为多校区办学模式下高校财务信息化网络建设的主要方向。本文通过简要介绍VPN技术，结合我校如何构建财务VPN网络平台及应用系统移植实例，了解VPN在高校财务信息化建设中的具体运用。
　【关键词】高校财务；信息化建设；VPN网络；系统移植；应用前景
　　
随着我国适应社会主义市场经济的教育体制及财政体制的逐步建立和完善，高校合并、扩招及高等教育办学质量提升要求，使高校办学规模急剧扩大，跨地域多校区办学模式是很多高校当前发展现状。由于校区之间地域上的隔离，物理专线连接不经济、不便移植，而组建局域网又受距离瓶颈限制，各财务核算点的账务处理系统、学生收费系统及其他财务辅助系统等业务处理平台独立门户，没有统一的数据库服务器，造成信息不能实时处理，会计核算、学生缴费等业务处理都受校区的限制，给日常财务核算及管理工作导致极大不便，只有通过技术手段解决多校区办学模式下的财务系统数据实时处理问题，统一有效地加强全校财务管理，保证财务数据的安全和可靠传输。VPN技术特点和高校财务强烈的现实需求，注定了二者结合是完美、典范运用。
　　一 、VPN技术简介
虚拟专用网（VPN,Virtual Private Network）,被定义为通过一个公用网络(通常是因特网)上建立一个临时、安全的连接，就像一条穿过非安全网络的安全、稳定的隧道[1]。它是对单位内部网在公用网上的扩展,它的架构中采用了多种安全机制,如隧道技术(Tunneling ）、加解密技术（ Encryption ）、身份认证技术（ Authentication ）及QoS机制，使用网络管理、资源管理和传统防火墙的的访问控制、地址转换、IP/MAC绑定、内容过滤、入侵防御等功能帮助远程用户、分支机构、商业伙伴及供应商同单位的内部网建立可信的安全连接，并保证数据的安全传输。由于VPN可以通过互联网穿越单位内网，达到访问位于内网上数据库服务器目的，VPN技术在在电子商务、总公司与分支机构、科研单位、高等院校等相关领域的运用异常活跃。　　
　　（一）隧道技术
　　网络隧道是指在公用网建立一条数据通道，让数据包通过这条隧道传输。VPN的具体实现是采用隧道技术，将企业网的数据封装在隧道中进行传输。VPN解决方案中采用的隧道技术是一种封装技术，它利用一种网络传输协议，将其他协议产生的数据报文封装在它自己报文中。要使数据顺利地被封装、传送及解封装，隧道通信协议是保证的根本，隧道协议可分为第二层（数据链路层）隧道协议L2TP、PPTP（点到点）等，第三层（网络层）隧道协议，如IPSEC、GRE。 它们的区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的，前两种常用于远程访问，即客户端到网关连接，第三种可以很好实现分支机构互连，即网关到网管的连接。IPSec协议是虚拟专用网络VPN主要采用的协议是IETF(Internet Engineer Task Force)正在完善的安全标准，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由Internet密钥交换协议、IP认证头AH(Authentication Header)和IP安全载荷封载ESP(Encapsulated Security Payload)组成。 　
（二）加解密技术
信息加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容，防止通信线路上的窃听、泄漏、篡改和破坏。信息发送时，通过数学方法，把这些明文信息翻译成密码形式，并附加密钥，拥有密钥的人将接收到的加密数据转换为原来的明文。加解密技术在不段的发展和完善中，种类较多，常用的加密算法有DES（56位密钥）、三次DES（三重有效的DES密钥）、AES加密技术（可达256位密钥）。三重DES和AES强度比较高，可用于敏感的数据信息加密。
（三）用户认证技术
众所周知,开放的公用网是很不安全的,来自外部的攻击和入侵难以避免。高强度的数据加密可以达到保护数据目的，但却不能对客户端的合法用户和非法用户进行身份鉴别、权限分配及访问控制。为防止信息不落入“敌手”，用户认证是防范网络入侵和威胁的第一道防线。认证可通过传统的用户名加口令实现，也可以通过“电子证书（Ukey(u盾)）”或“数字证书”来完成。　　
　　（四）访问控制技术
既使通过身份验证用户，对资源能否访问、操作?访问、操作到什么程度？这就需借助网络访问控制来解决,安全就是有控制的访问。它是对用户访问网络资源权限制订的条件约束规则，访问控制实质就是制订、设置系列访问策略，是网络安全防范和保护的基础策略。
（四）IP地址转换技术（NAT）
随着IPV6时代的到来，很可能互联网IP地址无法满足网络用户的需求的时代即将终结，但基于网络安全和VPN技术运用，我们不得不了解什么是NAT。由于目前面临IPV4地址不够问题，很难为内网中每台电脑申请到上网的的合法IP，就不得不使用保留地址，由于保留地址不能直接访问互联网，保留地址与合法地址互相转换，就解决了内网与外网相互访问问题。NAT不仅解决了lP地址不足，而且隐藏内部网络拓扑及真实IP，能够有效地避免内网来自网络外部的攻击。
网络管理、资源管理、IP/MAC绑定、内容过滤、入侵防御等内容、方法和功能因涉及基础网络知识，在此不再赘述。
　　（五）VPN的两种应用连接模式
　　一是远程客户端到网管连接。远程用户（如单位流动远程办公人员、出差人员或二级核算单位财务报账点等）要访问位于单位总部内网中数据信息，先通过拨号接入本地的ISP后，就可以通过专用的VPN客户端拨号软件建立与单位总部VPN网关连接，它是一种安全的经济的连接模式。
二是VPN网管到网管连接。对于分支机构与分支机构之间，分支机构与单位总部之间，为实现局域网与局域网信息间访问，可分别安装VPN网关，建立VPN网管到网管的安全连接。
二 、我校财务信息化建设中VPN网络构建实例
下面以笔者所在高校构建财务VPN网络系统为例，说明VPN技术在多校区或分级核算模式下高校财务信息化建设中的应用，它是集高安全、便维护、经济性、适用性的财务VPN解决方案。
（一）学校财务信息处理及网络现状
　　我校目前由狮子山校区、成龙校区、东校区三个部分组成，三个校区相距数公里，因多模式办学财务管理体制原因，每个校区又存在多个二级核算单位，一级财务核算在狮子山校区完成，财务中心数据机房设置在狮子山校区。由于不可能将各校区及二级核算单位构建财务局域网，也没有用采用物理专线连接,实行VPN网络方案之前，各校区及二级核算单位自建局域网，分别安装核算系统、收费系统及其他财务辅助系统分条块核算，年末以报表合并方式完成财务工作。造成人员使用、账务处理、经费控制、统计分析、资金管理、财务预决算极大不便，资金使用效益不高，财务工作量较大。部分客户端因工作需要，通过校园网加入了不信任的互联网,没有通过地址转换及访问控制策略，财务数据存在极大的安全风险。
（二）构建高校财务VPN系统
　1. 总体方案
　　由于学校校园网络已覆盖每个校区的每个办公点，因此财务VPN网络可以依托校园网为基础平台，在三个校区（或二级单位）建立Intranet VPN，运用VPN的两种应用连接模式，建立覆盖各校区、各二级财务机构及远程、移动任何办公点的财务VPN网络方案，实现能访问设置在狮子山校区的财务数据库，达到建立统一实时的财务数据库目的，借助VPN技术特点，保证财务数据处理、传输的稳定性、安全性及经济性。
2．组网设备
目前，市场上大多数生产厂家把VPN网关集成到防火墙或路由器上，基于防火墙本身具有较强的网络安全功能，我校实现财务VPN方案时采用了带内置VPN模块的企业级防火墙。除狮子山校区外，考虑到成龙校区数据量、安全性及未来发展需求，特配置了一台带内置VPN模块的防火墙，建立网关到网关型VPN连接方式；其他校区（含二级单位核算点、远程用户、移动用户）采用厂商提供的专用拨入软件，与狮子山校区建立隧道，形成远程客户端到网管型连接方式。设备清单如下：
①天融信NGFW 4000 TG-4324-Y防火墙两台;
②IPSEC VPN模块IPSECVPN-MODULE两块;
③IPSECVPN-VRC-LICENSE IPSEC VPN隧道并发许可使用权50人;
④TopSEC-KEY用于管理器的USB KEY方式认证及VPN密钥存储;
⑤天融信入侵检测系统TopSentry 2000系列TS-2204-IDS-Y型号;
⑥安全审计服务器（我校未使用）;
⑦天融信入侵检测系统TopSentry 2000系列TS-2204-IDS-Y型号
⑧远程客户端拨入VPN软件；
⑨主财务服务器一台（可考虑一台备份服务器）、客户端主机及交换机（建议用带管理功能的三层交换机）一批，必要的连网线及UPS电源。
3.具体架构及设置
由高校财务VPN构架方案图所示，通过在狮子校区和成龙校区分别安装一台天融信NGFW4000型防火墙（带VPN模块），在两个校区之间就建立网关对网关型的财务VPN，在防火墙的通信策略中建立基于IPSec协议的通信策略、3DES数据加密的VPN互连。


高校财务VPN构架方案图
　建立VPN系统关键是系统配置及各种策略的制订。第一次配置VPN防火墙可以通过使用串口线将管理计算机与防火墙的CONSOLE口连接后，通过windows操作系统自带的“超级终端”程序登陆后以命令方式完成基本配置。在两台防火墙上先在系统管理中开放相关区域和控制地址的IPSECVPN、TELNET、PING及WEBUI服务；然后添加静态路由，指明VPN防火墙外网出口网关；接着定义内、外网接口及相应IP地址(两个校区内网不能在同一个网段,每一个内网为了便于管理控制，可以再划分为多个WLAN)，绑定内网IP地址和MAC ADDRESS；在资源管理中定义和设置地址、属性和区域；在传统防火墙设置中，设置阻断策略、地址转换（若允许内网能访问外网设置源转换，若内网计算机承担着WEB服务器功能，要设置目的转换）、访问策略当中设置为默认情况下禁止对防火墙保护区域的访问，在此基础上再配置允许对相关区域所属资源的访问服务、访问端口及访问权限；在宽带策略当中设置好各区域的带宽以充分满足业务处理的稳定性不因带宽问题而有所影响；在虚拟专网设置中，为建立静态隧道，首先进行建立隧道的默认参数设置：在狮子山校区及成龙校区协商模式均设置为主模式、认证方式可设置为共享密钥或数字证书方式、加密算法设置为3DES、校验算法设为MD5、IPSEC-Sa的安全政策属性设置为隧道模式及安全载荷封载ESP；在建立静态隧道设置中，分别在两个VPN防火墙中的本地客户端输入内网网段和掩码，远端主机输入对端公网IP，远端客户端输入对方内网网段及掩码，设置完毕后，若隧道建立成功，系统状态就显示为“第二阶段协商成功”信息。
对于我校东校区、其他二级财务机构、校内各部门、移动及远程用户，基于业务量小，使用时间短，考虑成本需要，通过安装天融信VPN远程客户端（VPN Remote Client），建立VRC与狮子山校区网关之间财务型VPN模式。利用虚拟专网的VRC管理功能，在VPN防火墙上建立远程客户端相应用户名、密钥及虚拟IP，在权限对象设置中，指定开放端口、虚拟IP网段、子网掩码。在客户端上,安装VRC软件后,设置相应虚拟IP，在拨号设置中输入狮子山校区VPN网关公网IP地址，利用分配的相应用户名和密码拨入VPN，便与位于狮子山校区财务网络建立一条VPN加密隧道连接，而且这条连接也是一条基于IPSec的安全连接。
在各客户机上设置内网IP及子网掩码，网关指向VPN防火墙内网端口IP,若要访问互联网，还要进行DNS设置。VPN隧道是否已经建通，可以通过利用前面介绍的先打开防火墙相关区域PING开放服务，然后利用PING命令从一端的电脑去访问另一端中的电脑。
天融信NGFW4000系列防火墙的系统配置及策略规则制订非常方便，除前面介绍的使用CONSOLE端口进行本地管理外，还可以通过WEBUI（在IE浏览器地址栏输入https://后跟VPN防火墙外网口IP地址）、SSH 及TELNET方式进行管理，特别是WEBUI方式，可支持网上远程管理，非常方便。 另外，VPN防火墙也支持强大的用户认证及PKI管理功能，以进一步加强系统安全。
　　三、应用系统移植及研发
财务VPN构建完毕后，为加强安全和管理控制需要，将位于狮子山校区的原财务数据服务器升级为主域控制器，加入置于VPN防火墙内网端口管理下内网中，狮子山校区客户端登陆财务主域访问。在各客户机上安装相应账务处理及学生收费等软件后，各连接客户端账务处理及学生收费系统参数配置的SERVER项均应设置为主域控制器的内网IP地址。因不在同一个网段，除狮子山校区财务内网客户机访问财务数据库服务器不安装数据库客户端外（我校使用的是MS -SQL2000），其他客户机均需安装数据库客户端软件才能连接财务服务器的数据库。经过一年多的试点、推广，现在我校成龙校区、东校区、二级财务的财务系统都与狮子山校区的财务系统共用一个数据库服务器，保证了财务信息实时、同步处理，学校教职工和学生不仅在每个校区均可办理核算业务和缴纳费用（特别说明的是，长期困扰高校的学生现场集中缴费网络布置，也因VPN系统及无线网络的运用，实现了直接访问位于狮子山校区学生收费系统，而不再构建现场收费服务器），每个单位和个人无论身处何处，只要能上互联网，就可以实时查询自身的账务信息。
财务VPN建成后，为加强运用，除将财务处最核心的账务处理系统、学生收费系统移植到VPN平台使用外，基于VPN安全性、可靠性、经济性，实时性、不同网络互通性，完全可以将财务VPN网络做为高校财务信息化建设的基础平台。为方便财务核算及财务管理需要，我校进一步将高校财务辅助管理系统，如校内预算编制系统、工资管理系统、非工资性收入发放系统、个税代扣代缴系统、教职工及学生转储系统、经费分成系统及政府采购信息录入系统等等，重新研发为C/S模式(若原为单机运行)，直接在财务中心服务器上建立统一数据库，达到相关单位或个人直接在平台上经身份认证、分级授权后共享使用，方便信息传输、处理、实时查询、管理目的。另外，财务部门WEB网站的主要功能是提供财务信息查询，基于信息实时性及安全性考虑，可以将财务WEB服务器加入到财务VPN网络中，利用数据库触发器完成业务系统信息批量或增量更新到财务WEB数据库中，实现财务信息网上实时查询，且保证了财务业务系统安全。
财务信息安全是高校财务信息化建设成败关键。VPN技术有较高安全性,但并意味一切高枕无忧。财务信息安全工作重点：一是树立系统管理员的安全意识，它比任何约束制度更重要；二是未雨绸缪，做好科学、有效的数据备份方案。VPN为高校财务形成实时数据提供了技术保证，但不能保证形成的财务信息对管理工作的有效性。基于VPN模式下，加强对各核算点业务处理远程指导，并形成业务处理标准化、统一化处理机制，不要多头为政，尤为关键。
高校财务信息化建设的前提是财务管理的软、硬件系统的信息化和计算机信息统一管理[2]。VPN技术有效、安全地解决了高校财务形成实时完整的数据链问题。若学校层面组建VPN系统,实现校内部门信息系统实时互访和与银行系统互联,为构建校园“一卡通”系统打下了坚实基础。由于VPN技术的复杂性,人们对其利用互联网传输数据安全性担心和对其技术了解不深，导致VPN技术在我国运用不够广泛和深入。但是，随着更多单位使用及宣传,以及VPN技术不断发展和硬件厂商系统设置不断简化，VPN技术的应用前景必将非常广阔。
作者简介：赵德平(1969-)，男，四川岳池人，四川师范大学计划财务处会计师、副处长。
参考文献：
[1]天融信《网络卫士防火墙系统V3.3用户手册》.
[2]钟建平.高校财务信息化建设中ＶＰＮ技术的应用.