论文部分内容阅读
【摘要】随着现代高等教育和科学技术的发展,许多高校都在实施一校多区的办学实践。多校区办学模式进一步拓展了教育发展空间,弥补了教育资源的不足。在多校区办学模式当中传统的专线直连方式越来越不能满足财务信息化建设的发展需求,VPN(虚拟专用网络)技术提供了一种既安全可靠又节约成本的新型组网方式。本文主要介绍了VPN的技术核心及工作原理,提出高校财务信息化建设中如何具体解决VPN方案。
前言
随着我国高等教育体制改革的进一步深化,高校办学规模不断扩大,多校区办学已是普遍的发展状况。由于校区之间地域上的隔离,财务处的财务管理系统和学生收费管理系统等业务处理平台都没有统一的数据服务器,造成数据不能实时同步,教职工差旅费报销、学生缴费等都受校区的限制,给日常财务管理工作带来了极大的不便,亟需进一步加强财务信息化建设,通过技术手段解决多校区办学模式下的财务系统数据同步问题,实现统一、有效地进行异地财务的管理,保证异地财务数据的安全和可靠传输。
笔者通过对虚拟专用网(Virtual Private Network,VPN)相关技术的研究,结合多校区办学模式下大部分高校的实际情况,提出了将VPN技术应用于高校财务信息化建设的方案。
一、VPN技术
VPN(Virtual Private Network)即虚拟专用网,被定义为通过一个私有的通道在公用网络(通常是因特网)上建立一个安全的连接,是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它利用开放的公用网络进行信息传输,通过安全隧道、用户认证和访问控制等技术帮助远程用户、分支机构、商业伙伴及供应商同企业的内部网建立可信的安全连接,并保证数据的安全传输。
(一)安全隧道技术
由于Internet网络中IP地址资源的短缺,企业内部大多使用私有IP地址,从这些地址发出的数据包是不能直接通过Internet传输的,必须通过网络地址转换为合法IP地址。常见转换方法如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等,通常情况下VPN采用的是数据包封装(隧道)技术。使用隧道传递的数据可以是不同协议的数据包,隧道协议将这些数据包重新封装在新的包头中发送,新的数据包头提供了路由信息,从而使封装的数据能通过Internet网络进行传输。
(二)用户认证技术
如果数据包不经过加密就通过不安全的Internet,即使已经建立了用户认证,VPN也不完全是安全的。为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法中强度比较高,可用于保护敏感的财务信息的是IPSec的DES和3DES。
除加密和解密外,VPN需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成,即证书和密钥。它包含加密参数,可唯一地用作验证用户或系统身份的工具,提供高级别的网络信息安全传输。
(三)访问控制技术
访问控制技术即传统的防火墙功能,一个完善的VPN应同时提供完善的网络访问控制功能,由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限,通过对访问策略的控制实现用户的细粒度访问控制,以最大限度地保护信息资源。
财务信息的安全历来备受人们重视,安全就是受到控制的访问。因此,实施安全就是访问控制的过程,密码和防火墙可帮助我们实现对信息读取、写入权限的访问控制。
(四)隧道协议
1. PPTP(PointtoPoint Tunneling
Protocol,点对点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,是PPP的扩展,它增加了一个新的安全级别,支持通过公用网络建立按需的、多协议的虚拟专用网络。通过启用PPTP的VPN传输数据如同在企业的一个局域网内那样安全。此外还可以使用PPTP建立专用LAN到LAN的网络。
2. SSL(Secure Sockets Layer,安全套接字层协议)是Netscape公司提出的基于Web应用的安全协议,SSL是一种在Web服务协议(HTTP)和TCP/IP之间提供数据连接安全性的协议,为TCP/IP连接提供数据加密、服务器认证、可选的客户机认证和消息完整性验证,SSL被视为Internet上Web浏览器和服务器的安全标准。
3. IPSec(IP Security,IP安全协议)是一组应用广泛、开放的协议总称,它对应用于IP层的网络数据,提供一套安全的体系结构,包括网络安全协议AH和ESP、密匙交换协议IKE和用于网络验证及加密的算法等,其中两个使用最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位的密钥,而SHA-1通过最高达160位密钥提供更强的保护,ESP标准是数据加密标准(DES),DES最高支持56位密钥,IPSec同时还支持3DES,因此其密码算法具有很高的安全性。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和交换密钥,向上提供访问控制、数据源验证、数据加密等网络安全服务。
(五)VPN通信方式和连接方式
在VPN通信中,主要有两种VPN通信方式:远程访问VPN(Access VPN )和路由器到路由器VPN,后者又包括企业内联VPN(Intranet VPN)和企业外联VPN(Extranet VPN)。
VPN连接方式一般可分为两类:
1. 拨号VPN:为移动用户和远程办公用户提供的对单位内部网的远程访问,通过普通的拨号与公用网络进行链接;然后再通过建立VPN专用网络链接,输入目标网络IP地址或域名进行链接。
2.专线VPN:此种方式一般情况下企业已通过专线方式与公网建立了链接并有静态IP地址。
无论何种连接方式都要通过硬件VPN或者软件VPN来实现。基于财务系统的安全性考虑一般选用硬件VPN。硬件VPN可以是带VPN模块的防火墙、路由器或者专用VPN交换机,如Cisco的VPN Concentrator 3000,天融信的网络卫士防火墙4000系列等。在多种硬件VPN当中适用于高校财务信息化建设需求的性价比高的首选带VPN模块的企业级防火墙。
二、高校财务信息化建设中VPN网络构建实例
下面以笔者所在院校构建财务VPN网络系统为例,说明VPN技术在多校区办学模式下高校财务信息化建设中的应用。
(一)需求分析
我校目前由三个校区组成,分别是汇东校区、邓关校区和营盘校区,汇东校区为主校区,邓关校区距离主校区三十几公里,三个校区均要链接财务服务器收取学生学费,其中汇东主校区和邓关校区要对外报账,财务机房设置在汇东主校区。要实现通过邓关校区和营盘校区的客户机都能实时地连接财务中心机房的服务器,达到所有的账务凭证和收费单据均写入同一数据库当中。与此同时,发布服务器要对外发布财务信息,学生收费信息要与教务管理系统、学校校园网络计费认证系统实现数据同步,以达到财务数据安全稳定可靠地传输,财务信息在保证安全的前提下在一定程度上与学校其他业务处理系统资源共享。同时,为最大限度地保障财务数据的安全与完整,需建立健全完善的数据备份机制。
(二)解决方案
1. 网络架构解决方案
由于学校校园网络已建成规模,因此财务VPN网络可以通过搭建在校园网络平台基础上在三个校区建立Intranet VPN,这样既可以提高数据传输的稳定性,也可以使整个财务VPN网络受到学校主防火墙的保护,进一步提升系统的安全性,而且还不用租用昂贵的专线以节约开支。具体方案如图1所示:
如图1基于校园网平台的财务VPN应用方案所示,在三个校区之间建立财务VPN,策略上允许客户端计算机在一定程度上访问财务服务器,只开放为客户端软件连接财务数据进行财务处理和收费业务处理所必需的服务和端口,服务器端则可以相对透明地开放访问客户端计算机的权限,以便于系统管理员从服务器端远程控制客户端,解决客户端与服务器的访问故障。由于IPSec和L2TP的安全性比PPTP的安全性要高,基于财务信息的安全性要求极高,特别是收费系统的数据往往成为计算机专业学生攻击的目标,所以在三个校区之间的VPN链接采用使用IPSec协议VPN。尽管财务管理系统和收费管理系统及财务数据服务器都采用的是WINDOWS平台,可以利用WINDOWS系统分别建立VPN路由,但考虑到财务VPN网络方案的另一个重要因素——稳定性,因此我们选用了带VPN模块具强大VPN功能的天融信Topsec企业级网络卫士防火墙NGFW4000系列。
也许您目前还没有发生过大量的灾难性数据丢失事故,但这并不意味着灾难永远不会光临您的网络系统。而我国网络环境和各种防范设施的不健全,也使得病毒的滋生与传播极为容易,对数据安全造成了极大的威胁。
财务数据的重要性对任何单位来说都是非常重要的,一旦数据丢失将会对单位的整个业务系统带来不可估量的损失,恢复数据的难度大且代价高昂。因此,我们通过优化存储系统结构以保障财务数据的安全,将数据丢失的风险降到尽可能最低。具体方案如图2所示:
笔者通过如图2所示的数据存储与备份系统解决方案,将财务数据存储在磁盘阵列上;然后通过数据备份系统软件定期定时地将财务数据上传到备份服务器上,每个月结账后将财务数据备份到光盘等介质上并建立了完善的数据备份计划和灾难恢复计划,以确保财务数据的安全完整,保障财务系统的稳定可靠运行。
据考察和了解,目前全国已有个别高校财务信息化建设采用VPN技术,其实施方案与我校财务VPN应用方案有相似之处,这些高校大多有2~3个以上的校区,区别在于他们大多采用的是软件VPN技术解决方案,并未采用我校实施的以三台硬件防火墙组建的财务VPN。同时,为进一步保障财务系统的高可用性,我们选用了两台企业级的对等服务器组建双机热备份系统,利用双机高可用软件通过心跳线对双机服务器的实时动态侦测使财务系统在主服务器出现故障时能迅速从热备份服务器接管整个系统服务,确保了财务系统的稳定、高效和安全运行。现在我校邓关校区和营盘校区的财务系统都与主校区的财务系统共用一个财务服务器,保证了数据的同步,财务数据的安全性也得到了极大的保障。每日结账后,先把财务服务器的数据备份到中间传输主机,再由中间传输主机定时传送到财务发布服务器,即可实现财务信息查询数据的及时更新。现在我校的教职工和学生不仅在每个校区均可办理财务业务和缴纳费用,而且可以非常方便地通过Internet及时查询自身的财务报账情况及费用缴纳情况,同时通过计财处主页可以及时发布财务新闻及财务信息等,大大提高了学校计财处的工作效率。
硬件VPN技术的应用很好地解决了多校区办学模式下由于地域隔离所导致的财务数据同步问题,并且基于硬件VPN技术建立的财务专网为下一步与学校其他部门的信息系统数据同步奠定了良好的基础,也为与银行系统联网搭建网上银行业务处理平台提供了条件。
三、结语
高校财务信息化建设的前提是财务管理的软、硬件系统的信息化和计算机信息统一管理,由于多校区办学模式下的地域隔离导致财务信息不能数据同步、统一管理,而VPN技术能提供远程访问、外部网和内部网的安全链接,非常适用于对数据可靠性和安全性要求高的财务专网建设,特别是以硬件VPN技术组建的财务专网为财务管理工作实现计算机信息统一管理和维护提供了很好的网络基础平台,为财务信息化建设的进一步发展提供了强有力的技术保障。因此,基于硬件VPN技术搭建的财务专网方案不仅适用于多校区办学模式下的现代高等学校,也适用于跨地域的公司、企业组建虚拟专用网络。笔者相信,随着VPN技术的不断发展和软硬件技术的进一步革新,VPN技术的应用前景将更加广阔。
前言
随着我国高等教育体制改革的进一步深化,高校办学规模不断扩大,多校区办学已是普遍的发展状况。由于校区之间地域上的隔离,财务处的财务管理系统和学生收费管理系统等业务处理平台都没有统一的数据服务器,造成数据不能实时同步,教职工差旅费报销、学生缴费等都受校区的限制,给日常财务管理工作带来了极大的不便,亟需进一步加强财务信息化建设,通过技术手段解决多校区办学模式下的财务系统数据同步问题,实现统一、有效地进行异地财务的管理,保证异地财务数据的安全和可靠传输。
笔者通过对虚拟专用网(Virtual Private Network,VPN)相关技术的研究,结合多校区办学模式下大部分高校的实际情况,提出了将VPN技术应用于高校财务信息化建设的方案。
一、VPN技术
VPN(Virtual Private Network)即虚拟专用网,被定义为通过一个私有的通道在公用网络(通常是因特网)上建立一个安全的连接,是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它利用开放的公用网络进行信息传输,通过安全隧道、用户认证和访问控制等技术帮助远程用户、分支机构、商业伙伴及供应商同企业的内部网建立可信的安全连接,并保证数据的安全传输。
(一)安全隧道技术
由于Internet网络中IP地址资源的短缺,企业内部大多使用私有IP地址,从这些地址发出的数据包是不能直接通过Internet传输的,必须通过网络地址转换为合法IP地址。常见转换方法如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等,通常情况下VPN采用的是数据包封装(隧道)技术。使用隧道传递的数据可以是不同协议的数据包,隧道协议将这些数据包重新封装在新的包头中发送,新的数据包头提供了路由信息,从而使封装的数据能通过Internet网络进行传输。
(二)用户认证技术
如果数据包不经过加密就通过不安全的Internet,即使已经建立了用户认证,VPN也不完全是安全的。为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法中强度比较高,可用于保护敏感的财务信息的是IPSec的DES和3DES。
除加密和解密外,VPN需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成,即证书和密钥。它包含加密参数,可唯一地用作验证用户或系统身份的工具,提供高级别的网络信息安全传输。
(三)访问控制技术
访问控制技术即传统的防火墙功能,一个完善的VPN应同时提供完善的网络访问控制功能,由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限,通过对访问策略的控制实现用户的细粒度访问控制,以最大限度地保护信息资源。
财务信息的安全历来备受人们重视,安全就是受到控制的访问。因此,实施安全就是访问控制的过程,密码和防火墙可帮助我们实现对信息读取、写入权限的访问控制。
(四)隧道协议
1. PPTP(PointtoPoint Tunneling
Protocol,点对点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议,是PPP的扩展,它增加了一个新的安全级别,支持通过公用网络建立按需的、多协议的虚拟专用网络。通过启用PPTP的VPN传输数据如同在企业的一个局域网内那样安全。此外还可以使用PPTP建立专用LAN到LAN的网络。
2. SSL(Secure Sockets Layer,安全套接字层协议)是Netscape公司提出的基于Web应用的安全协议,SSL是一种在Web服务协议(HTTP)和TCP/IP之间提供数据连接安全性的协议,为TCP/IP连接提供数据加密、服务器认证、可选的客户机认证和消息完整性验证,SSL被视为Internet上Web浏览器和服务器的安全标准。
3. IPSec(IP Security,IP安全协议)是一组应用广泛、开放的协议总称,它对应用于IP层的网络数据,提供一套安全的体系结构,包括网络安全协议AH和ESP、密匙交换协议IKE和用于网络验证及加密的算法等,其中两个使用最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位的密钥,而SHA-1通过最高达160位密钥提供更强的保护,ESP标准是数据加密标准(DES),DES最高支持56位密钥,IPSec同时还支持3DES,因此其密码算法具有很高的安全性。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和交换密钥,向上提供访问控制、数据源验证、数据加密等网络安全服务。
(五)VPN通信方式和连接方式
在VPN通信中,主要有两种VPN通信方式:远程访问VPN(Access VPN )和路由器到路由器VPN,后者又包括企业内联VPN(Intranet VPN)和企业外联VPN(Extranet VPN)。
VPN连接方式一般可分为两类:
1. 拨号VPN:为移动用户和远程办公用户提供的对单位内部网的远程访问,通过普通的拨号与公用网络进行链接;然后再通过建立VPN专用网络链接,输入目标网络IP地址或域名进行链接。
2.专线VPN:此种方式一般情况下企业已通过专线方式与公网建立了链接并有静态IP地址。
无论何种连接方式都要通过硬件VPN或者软件VPN来实现。基于财务系统的安全性考虑一般选用硬件VPN。硬件VPN可以是带VPN模块的防火墙、路由器或者专用VPN交换机,如Cisco的VPN Concentrator 3000,天融信的网络卫士防火墙4000系列等。在多种硬件VPN当中适用于高校财务信息化建设需求的性价比高的首选带VPN模块的企业级防火墙。
二、高校财务信息化建设中VPN网络构建实例
下面以笔者所在院校构建财务VPN网络系统为例,说明VPN技术在多校区办学模式下高校财务信息化建设中的应用。
(一)需求分析
我校目前由三个校区组成,分别是汇东校区、邓关校区和营盘校区,汇东校区为主校区,邓关校区距离主校区三十几公里,三个校区均要链接财务服务器收取学生学费,其中汇东主校区和邓关校区要对外报账,财务机房设置在汇东主校区。要实现通过邓关校区和营盘校区的客户机都能实时地连接财务中心机房的服务器,达到所有的账务凭证和收费单据均写入同一数据库当中。与此同时,发布服务器要对外发布财务信息,学生收费信息要与教务管理系统、学校校园网络计费认证系统实现数据同步,以达到财务数据安全稳定可靠地传输,财务信息在保证安全的前提下在一定程度上与学校其他业务处理系统资源共享。同时,为最大限度地保障财务数据的安全与完整,需建立健全完善的数据备份机制。
(二)解决方案
1. 网络架构解决方案
由于学校校园网络已建成规模,因此财务VPN网络可以通过搭建在校园网络平台基础上在三个校区建立Intranet VPN,这样既可以提高数据传输的稳定性,也可以使整个财务VPN网络受到学校主防火墙的保护,进一步提升系统的安全性,而且还不用租用昂贵的专线以节约开支。具体方案如图1所示:
如图1基于校园网平台的财务VPN应用方案所示,在三个校区之间建立财务VPN,策略上允许客户端计算机在一定程度上访问财务服务器,只开放为客户端软件连接财务数据进行财务处理和收费业务处理所必需的服务和端口,服务器端则可以相对透明地开放访问客户端计算机的权限,以便于系统管理员从服务器端远程控制客户端,解决客户端与服务器的访问故障。由于IPSec和L2TP的安全性比PPTP的安全性要高,基于财务信息的安全性要求极高,特别是收费系统的数据往往成为计算机专业学生攻击的目标,所以在三个校区之间的VPN链接采用使用IPSec协议VPN。尽管财务管理系统和收费管理系统及财务数据服务器都采用的是WINDOWS平台,可以利用WINDOWS系统分别建立VPN路由,但考虑到财务VPN网络方案的另一个重要因素——稳定性,因此我们选用了带VPN模块具强大VPN功能的天融信Topsec企业级网络卫士防火墙NGFW4000系列。
也许您目前还没有发生过大量的灾难性数据丢失事故,但这并不意味着灾难永远不会光临您的网络系统。而我国网络环境和各种防范设施的不健全,也使得病毒的滋生与传播极为容易,对数据安全造成了极大的威胁。
财务数据的重要性对任何单位来说都是非常重要的,一旦数据丢失将会对单位的整个业务系统带来不可估量的损失,恢复数据的难度大且代价高昂。因此,我们通过优化存储系统结构以保障财务数据的安全,将数据丢失的风险降到尽可能最低。具体方案如图2所示:
笔者通过如图2所示的数据存储与备份系统解决方案,将财务数据存储在磁盘阵列上;然后通过数据备份系统软件定期定时地将财务数据上传到备份服务器上,每个月结账后将财务数据备份到光盘等介质上并建立了完善的数据备份计划和灾难恢复计划,以确保财务数据的安全完整,保障财务系统的稳定可靠运行。
据考察和了解,目前全国已有个别高校财务信息化建设采用VPN技术,其实施方案与我校财务VPN应用方案有相似之处,这些高校大多有2~3个以上的校区,区别在于他们大多采用的是软件VPN技术解决方案,并未采用我校实施的以三台硬件防火墙组建的财务VPN。同时,为进一步保障财务系统的高可用性,我们选用了两台企业级的对等服务器组建双机热备份系统,利用双机高可用软件通过心跳线对双机服务器的实时动态侦测使财务系统在主服务器出现故障时能迅速从热备份服务器接管整个系统服务,确保了财务系统的稳定、高效和安全运行。现在我校邓关校区和营盘校区的财务系统都与主校区的财务系统共用一个财务服务器,保证了数据的同步,财务数据的安全性也得到了极大的保障。每日结账后,先把财务服务器的数据备份到中间传输主机,再由中间传输主机定时传送到财务发布服务器,即可实现财务信息查询数据的及时更新。现在我校的教职工和学生不仅在每个校区均可办理财务业务和缴纳费用,而且可以非常方便地通过Internet及时查询自身的财务报账情况及费用缴纳情况,同时通过计财处主页可以及时发布财务新闻及财务信息等,大大提高了学校计财处的工作效率。
硬件VPN技术的应用很好地解决了多校区办学模式下由于地域隔离所导致的财务数据同步问题,并且基于硬件VPN技术建立的财务专网为下一步与学校其他部门的信息系统数据同步奠定了良好的基础,也为与银行系统联网搭建网上银行业务处理平台提供了条件。
三、结语
高校财务信息化建设的前提是财务管理的软、硬件系统的信息化和计算机信息统一管理,由于多校区办学模式下的地域隔离导致财务信息不能数据同步、统一管理,而VPN技术能提供远程访问、外部网和内部网的安全链接,非常适用于对数据可靠性和安全性要求高的财务专网建设,特别是以硬件VPN技术组建的财务专网为财务管理工作实现计算机信息统一管理和维护提供了很好的网络基础平台,为财务信息化建设的进一步发展提供了强有力的技术保障。因此,基于硬件VPN技术搭建的财务专网方案不仅适用于多校区办学模式下的现代高等学校,也适用于跨地域的公司、企业组建虚拟专用网络。笔者相信,随着VPN技术的不断发展和软硬件技术的进一步革新,VPN技术的应用前景将更加广阔。