基于VPN技術(shù)的高校多校區(qū)財務(wù)系統(tǒng)專網(wǎng)

康玉虎

【摘要】在高校多校區(qū)環(huán)境中，財務(wù)管理系統(tǒng)往往建立在主校區(qū)，分校區(qū)的財務(wù)工作需要通過校園網(wǎng)與主校區(qū)財務(wù)管理系統(tǒng)服務(wù)器通信。然而，各校區(qū)財務(wù)數(shù)據(jù)在校園網(wǎng)中的傳輸未經(jīng)加密等安全處理，存在較高的安全隱患。同時，財務(wù)人員在校園網(wǎng)外無法安全的訪問和操作財務(wù)系統(tǒng)。本文針對上述問題，介紹基于VPN技術(shù)的高校多校區(qū)財務(wù)系統(tǒng)專網(wǎng)解決方案，利用IPSec VPN與SSL VPN結(jié)合的方式保障高校財務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行。

【關(guān)鍵詞】財務(wù)系統(tǒng) IPSec VPN SSL VPN

一、引言

財務(wù)信息化是高校信息化工作中重要的一環(huán)，目前，各高校普遍建立并使用了自己的財務(wù)管理系統(tǒng)。然而，受管理理念、資金等因素的制約，高校在財務(wù)網(wǎng)絡(luò)安全方面的投入不足，安全問題突出。尤其是在多校區(qū)環(huán)境下，財務(wù)部門在各校區(qū)都有分支辦公點(diǎn)，各校區(qū)財務(wù)數(shù)據(jù)通過校園網(wǎng)相互傳輸，卻未經(jīng)加密等安全處理，存在較高的安全隱患。此外，財務(wù)人員在處理一些緊急事務(wù)時，希望能從校園網(wǎng)外安全的訪問財務(wù)系統(tǒng)并進(jìn)行相關(guān)操作。建設(shè)基于VPN技術(shù)的高校多校區(qū)財務(wù)專網(wǎng)，是解決上述問題的首選方法。

二、VPN技術(shù)簡介

1、VPN的概念及分類。VPN（Virtual Private Network）即虛擬專用網(wǎng)，是在公用網(wǎng)絡(luò)上建立私有專用網(wǎng)絡(luò)進(jìn)行加密通信的技術(shù)。較常用的兩種VPN使用方式為Intranet VPN和Remote Access VPN。Intranet VPN用來實現(xiàn)總部與分支機(jī)構(gòu)通過公用網(wǎng)絡(luò)建立專網(wǎng)。Remote Access VPN用來實現(xiàn)遠(yuǎn)程用戶通過公用網(wǎng)絡(luò)訪問專網(wǎng)。按照協(xié)議所屬層次可以分為數(shù)據(jù)鏈路層的PPTP VPN、L2TP VPN，網(wǎng)絡(luò)層的IPSec VPN和位于傳輸層和應(yīng)用層之間的SSL VPN。目前使用較為普遍的為IPSecVPN和SSLVPN。

2、IPSec VPN與SSL VPN的比較。由于IPSec VPN和SSL VPN所屬網(wǎng)絡(luò)層次不同，因此有各自的特點(diǎn)，適用的場景也不盡相同。IPSec協(xié)議是網(wǎng)絡(luò)層安全協(xié)議，優(yōu)點(diǎn)在于其與應(yīng)用無關(guān)，客戶端支持各類網(wǎng)絡(luò)層協(xié)議，適用于建立Intranet VPN。IPSec VPN的缺點(diǎn)在于配置復(fù)雜，需要專門的客戶端，兼容性不強(qiáng)，應(yīng)用層訪問控制能力較差。SSL協(xié)議是介于傳輸層與應(yīng)用層之間的安全協(xié)議，只對通信雙方的應(yīng)用通道加密，主要通過瀏覽器訪問和應(yīng)用資源，兼容性強(qiáng)。SSL VPN不需要復(fù)雜的客戶端，具有穿透防火墻的能力，部署簡單，可以在應(yīng)用層進(jìn)行詳細(xì)的訪問控制，因此，適合于Remote Access VPN。SSL VPN的缺點(diǎn)在于傳輸效率較低。

三、基于VPN的多校區(qū)財務(wù)專網(wǎng)的實現(xiàn)

1、財務(wù)專網(wǎng)需求分析。我校有校本部、培黎校區(qū)、東校區(qū)三個校區(qū)，財務(wù)處位于校本部，各分校區(qū)都有財務(wù)處設(shè)立的辦公點(diǎn)，承擔(dān)收費(fèi)、報銷等工作。財務(wù)管理系統(tǒng)部署在校本部財務(wù)處，現(xiàn)需要各校區(qū)財務(wù)工作人員都能安全、穩(wěn)定的訪問并操作財務(wù)系統(tǒng)。此外，財務(wù)系統(tǒng)管理人員還需要在校外通過互聯(lián)網(wǎng)安全的訪問并操作財務(wù)系統(tǒng)，處理一些緊急事務(wù)。針對以上需求，建立覆蓋三個校區(qū)的基于IPSec VPN的財務(wù)專網(wǎng)即Intranet VPN，實現(xiàn)各校區(qū)財務(wù)人員安全使用財務(wù)系統(tǒng)，并且提供基于SSL VPN的Remote Access VPN服務(wù)，以便財務(wù)系統(tǒng)管理員在校外通過互聯(lián)網(wǎng)安全訪問財務(wù)系統(tǒng)。

2、財務(wù)專網(wǎng)部署實施。具體部署方式為，在校本部財務(wù)處單臂部署一臺同時支持IPSec VPN和SSL VPN的高端VPN設(shè)備，并接入校園網(wǎng)。原先直接接入校園網(wǎng)的財務(wù)系統(tǒng)服務(wù)器接到VPN設(shè)備上，服務(wù)器地址采用財務(wù)專網(wǎng)私有地址。培黎校區(qū)和東校區(qū)各部署一臺中低端VPN設(shè)備，支持IPSecVPN功能，三臺VPN設(shè)備通過校園網(wǎng)實現(xiàn)互聯(lián)。各校區(qū)財務(wù)工作專用電腦通過交換機(jī)接入本地VPN設(shè)備，地址采用財務(wù)專網(wǎng)私有地址，可以通過VPN設(shè)備以IPSec VPN形式訪問財務(wù)系統(tǒng)。在校本部高端VPN設(shè)備上啟用SSLVPN功能，財務(wù)管理系統(tǒng)管理員可以通過SSL VPN功能在校外通過互聯(lián)網(wǎng)訪問并操作財務(wù)管理系統(tǒng)。未接入財務(wù)專網(wǎng)的財務(wù)處普通工作人員計算機(jī)，可以通過授權(quán)從校園網(wǎng)采用SSL VPN形式訪問財務(wù)系統(tǒng)，SSL VPN可以制定細(xì)致的訪問權(quán)限和規(guī)則，給不同的人員不同訪問和使用權(quán)限。多校區(qū)財務(wù)系統(tǒng)專網(wǎng)拓?fù)淙鐖D1。

四、結(jié)語

開展財務(wù)信息化工作要兼顧財務(wù)工作的便利性和財務(wù)數(shù)據(jù)的安全性。財務(wù)數(shù)據(jù)在校園網(wǎng)上傳輸，必須要考慮到安全性。基于VPN技術(shù)的高校多校區(qū)財務(wù)系統(tǒng)專網(wǎng)建設(shè)方案在校園網(wǎng)的基礎(chǔ)上建立了財務(wù)專網(wǎng)，部署簡單，成本低，提高了財務(wù)系統(tǒng)的安全性，也為財務(wù)系統(tǒng)管理員遠(yuǎn)程操作提供了便利性，是解決多校區(qū)間財務(wù)數(shù)據(jù)安全傳輸?shù)暮侠矸桨浮?/p>