康玉虎

【摘要】在高校多校區(qū)環(huán)境中，財務管理系統(tǒng)往往建立在主校區(qū)，分校區(qū)的財務工作需要通過校園網(wǎng)與主校區(qū)財務管理系統(tǒng)服務器通信。然而，各校區(qū)財務數(shù)據(jù)在校園網(wǎng)中的傳輸未經(jīng)加密等安全處理，存在較高的安全隱患。同時，財務人員在校園網(wǎng)外無法安全的訪問和操作財務系統(tǒng)。本文針對上述問題，介紹基于VPN技術(shù)的高校多校區(qū)財務系統(tǒng)專網(wǎng)解決方案，利用IPSec VPN與SSL VPN結(jié)合的方式保障高校財務系統(tǒng)的安全、穩(wěn)定運行。

【關(guān)鍵詞】財務系統(tǒng) IPSec VPN SSL VPN

一、引言

財務信息化是高校信息化工作中重要的一環(huán)，目前，各高校普遍建立并使用了自己的財務管理系統(tǒng)。然而，受管理理念、資金等因素的制約，高校在財務網(wǎng)絡(luò)安全方面的投入不足，安全問題突出。尤其是在多校區(qū)環(huán)境下，財務部門在各校區(qū)都有分支辦公點，各校區(qū)財務數(shù)據(jù)通過校園網(wǎng)相互傳輸，卻未經(jīng)加密等安全處理，存在較高的安全隱患。此外，財務人員在處理一些緊急事務時，希望能從校園網(wǎng)外安全的訪問財務系統(tǒng)并進行相關(guān)操作。建設(shè)基于VPN技術(shù)的高校多校區(qū)財務專網(wǎng)，是解決上述問題的首選方法。

二、VPN技術(shù)簡介

1、VPN的概念及分類。VPN（Virtual Private Network）即虛擬專用網(wǎng)，是在公用網(wǎng)絡(luò)上建立私有專用網(wǎng)絡(luò)進行加密通信的技術(shù)。較常用的兩種VPN使用方式為Intranet VPN和Remote Access VPN。Intranet VPN用來實現(xiàn)總部與分支機構(gòu)通過公用網(wǎng)絡(luò)建立專網(wǎng)。Remote Access VPN用來實現(xiàn)遠程用戶通過公用網(wǎng)絡(luò)訪問專網(wǎng)。按照協(xié)議所屬層次可以分為數(shù)據(jù)鏈路層的PPTP VPN、L2TP VPN，網(wǎng)絡(luò)層的IPSec VPN和位于傳輸層和應用層之間的SSL VPN。目前使用較為普遍的為IPSecVPN和SSLVPN。

2、IPSec VPN與SSL VPN的比較。由于IPSec VPN和SSL VPN所屬網(wǎng)絡(luò)層次不同，因此有各自的特點，適用的場景也不盡相同。IPSec協(xié)議是網(wǎng)絡(luò)層安全協(xié)議，優(yōu)點在于其與應用無關(guān)，客戶端支持各類網(wǎng)絡(luò)層協(xié)議，適用于建立Intranet VPN。IPSec VPN的缺點在于配置復雜，需要專門的客戶端，兼容性不強，應用層訪問控制能力較差。SSL協(xié)議是介于傳輸層與應用層之間的安全協(xié)議，只對通信雙方的應用通道加密，主要通過瀏覽器訪問和應用資源，兼容性強。SSL VPN不需要復雜的客戶端，具有穿透防火墻的能力，部署簡單，可以在應用層進行詳細的訪問控制，因此，適合于Remote Access VPN。SSL VPN的缺點在于傳輸效率較低。

三、基于VPN的多校區(qū)財務專網(wǎng)的實現(xiàn)

1、財務專網(wǎng)需求分析。我校有校本部、培黎校區(qū)、東校區(qū)三個校區(qū)，財務處位于校本部，各分校區(qū)都有財務處設(shè)立的辦公點，承擔收費、報銷等工作。財務管理系統(tǒng)部署在校本部財務處，現(xiàn)需要各校區(qū)財務工作人員都能安全、穩(wěn)定的訪問并操作財務系統(tǒng)。此外，財務系統(tǒng)管理人員還需要在校外通過互聯(lián)網(wǎng)安全的訪問并操作財務系統(tǒng)，處理一些緊急事務。針對以上需求，建立覆蓋三個校區(qū)的基于IPSec VPN的財務專網(wǎng)即Intranet VPN，實現(xiàn)各校區(qū)財務人員安全使用財務系統(tǒng)，并且提供基于SSL VPN的Remote Access VPN服務，以便財務系統(tǒng)管理員在校外通過互聯(lián)網(wǎng)安全訪問財務系統(tǒng)。

2、財務專網(wǎng)部署實施。具體部署方式為，在校本部財務處單臂部署一臺同時支持IPSec VPN和SSL VPN的高端VPN設(shè)備，并接入校園網(wǎng)。原先直接接入校園網(wǎng)的財務系統(tǒng)服務器接到VPN設(shè)備上，服務器地址采用財務專網(wǎng)私有地址。培黎校區(qū)和東校區(qū)各部署一臺中低端VPN設(shè)備，支持IPSecVPN功能，三臺VPN設(shè)備通過校園網(wǎng)實現(xiàn)互聯(lián)。各校區(qū)財務工作專用電腦通過交換機接入本地VPN設(shè)備，地址采用財務專網(wǎng)私有地址，可以通過VPN設(shè)備以IPSec VPN形式訪問財務系統(tǒng)。在校本部高端VPN設(shè)備上啟用SSLVPN功能，財務管理系統(tǒng)管理員可以通過SSL VPN功能在校外通過互聯(lián)網(wǎng)訪問并操作財務管理系統(tǒng)。未接入財務專網(wǎng)的財務處普通工作人員計算機，可以通過授權(quán)從校園網(wǎng)采用SSL VPN形式訪問財務系統(tǒng)，SSL VPN可以制定細致的訪問權(quán)限和規(guī)則，給不同的人員不同訪問和使用權(quán)限。多校區(qū)財務系統(tǒng)專網(wǎng)拓撲如圖1。

四、結(jié)語

開展財務信息化工作要兼顧財務工作的便利性和財務數(shù)據(jù)的安全性。財務數(shù)據(jù)在校園網(wǎng)上傳輸，必須要考慮到安全性?；赩PN技術(shù)的高校多校區(qū)財務系統(tǒng)專網(wǎng)建設(shè)方案在校園網(wǎng)的基礎(chǔ)上建立了財務專網(wǎng)，部署簡單，成本低，提高了財務系統(tǒng)的安全性，也為財務系統(tǒng)管理員遠程操作提供了便利性，是解決多校區(qū)間財務數(shù)據(jù)安全傳輸?shù)暮侠矸桨浮?/p>