VPN技術(shù)在財(cái)務(wù)信息化中的應(yīng)用

楊功銘

（天津電子信息職業(yè)技術(shù)學(xué)院，天津 300350）

當(dāng)前我國(guó)高等教育體制水平正在快速發(fā)展，辦學(xué)規(guī)模逐漸擴(kuò)大，很多地區(qū)出現(xiàn)了多校區(qū)辦學(xué)模式。但受地域等因素的影響，各高校在設(shè)置學(xué)生收費(fèi)管理與財(cái)務(wù)管理系統(tǒng)時(shí)，沒有統(tǒng)一標(biāo)準(zhǔn)，也沒有設(shè)置規(guī)?；臄?shù)據(jù)服務(wù)器，財(cái)務(wù)數(shù)據(jù)無法實(shí)現(xiàn)實(shí)時(shí)同步，增大了日常財(cái)務(wù)管理工作難度。對(duì)此，高校應(yīng)在財(cái)務(wù)信息化建設(shè)進(jìn)程中有效引入VPN技術(shù)，通過技術(shù)手段統(tǒng)一系統(tǒng)數(shù)據(jù)，保證異地財(cái)務(wù)管理的安全運(yùn)行。

1.VPN技術(shù)

VPN技術(shù)屬于遠(yuǎn)程訪問技術(shù)，是利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)，簡(jiǎn)單來說就是在公用網(wǎng)絡(luò)中建立安全鏈接，屬于一條穿過非安全網(wǎng)絡(luò)的安全穩(wěn)定的隧道。VPN的目標(biāo)是建立一個(gè)獨(dú)立于網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)的邏輯網(wǎng)絡(luò)，它允許在不同地理位置上分布的主機(jī)之間交互訪問，并且可以作為一個(gè)單獨(dú)的網(wǎng)絡(luò)進(jìn)行管理。通過VPN技術(shù)，可以利用公用網(wǎng)絡(luò)傳輸數(shù)據(jù)信息，幫助遠(yuǎn)程用戶、分支機(jī)構(gòu)等建立安全的連接，準(zhǔn)確高效傳輸網(wǎng)絡(luò)數(shù)據(jù)。VPN技術(shù)有3個(gè)重要的組成技術(shù)，分別是數(shù)據(jù)加密技術(shù)、用戶認(rèn)證技術(shù)和隧道技術(shù)。

1.1 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)在保護(hù)敏感數(shù)據(jù)時(shí)應(yīng)以變換數(shù)據(jù)的形式進(jìn)行，實(shí)現(xiàn)偽裝。若訪問者沒有使用權(quán)限，則無法正常訪問數(shù)據(jù)系統(tǒng)，不能了解數(shù)據(jù)信息內(nèi)容。網(wǎng)絡(luò)需要傳輸全部的數(shù)據(jù)信息，為了保證整個(gè)過程的安全性與完整性，應(yīng)做好數(shù)據(jù)的加密工作。VPN加密技術(shù)一般應(yīng)設(shè)定專門的加密措施，技術(shù)一般在128位以上，屬于對(duì)稱的加密措施。對(duì)于非對(duì)稱的密碼算法應(yīng)一次一密，使用1024位，應(yīng)用網(wǎng)絡(luò)協(xié)議對(duì)線上的應(yīng)用層VPN技術(shù)，充分保證了數(shù)據(jù)運(yùn)行的安全性。為了實(shí)現(xiàn)數(shù)據(jù)的完整運(yùn)輸，應(yīng)用VPN技術(shù)時(shí)還應(yīng)引入MD5數(shù)據(jù)加密算法，充分保護(hù)數(shù)據(jù)信息。

1.2 用戶認(rèn)證技術(shù)

傳輸數(shù)據(jù)期間應(yīng)用VPN技術(shù)時(shí)，為了保證數(shù)據(jù)來源的真實(shí)性，客戶端應(yīng)完成用戶身份的驗(yàn)證工作，明確數(shù)據(jù)發(fā)送身份，避免非授權(quán)用戶惡意篡改與竊取信息數(shù)據(jù)。認(rèn)證過程便是核實(shí)對(duì)方身份的過程，期間可以引入口令與用戶名方式，也可以利用具備驗(yàn)證密碼的電子證書或數(shù)字證書進(jìn)行驗(yàn)證。這些認(rèn)證后的數(shù)據(jù)可以嚴(yán)格核實(shí)對(duì)方身份，包含加密參數(shù)，準(zhǔn)確識(shí)別訪問用戶，保證安全傳輸網(wǎng)絡(luò)信息數(shù)據(jù)。同時(shí)，技術(shù)人員可以通過用戶認(rèn)證技術(shù)設(shè)置訪問控制，最大程度地保護(hù)數(shù)據(jù)資源。

1.3 隧道技術(shù)

隧道技術(shù)是一種在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式，它定義了傳輸數(shù)據(jù)的封裝形式，并利用IP協(xié)議將數(shù)據(jù)以安全方式在網(wǎng)絡(luò)上傳送，使用隧道技術(shù)傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)楨或包。隧道技術(shù)可以存在于幾個(gè)不同的協(xié)議層。

一是點(diǎn)對(duì)點(diǎn)隧道協(xié)議，通過公用網(wǎng)絡(luò)建設(shè)多協(xié)議虛擬專用網(wǎng)絡(luò)，設(shè)置安全級(jí)別。二是安全套接字層協(xié)議，可以在HTTP與TCP/IP之間建立安全協(xié)議，提供數(shù)據(jù)加密、服務(wù)認(rèn)證、消息驗(yàn)證等功能，屬于服務(wù)器運(yùn)行的安全標(biāo)準(zhǔn)。三是互聯(lián)網(wǎng)安全協(xié)議，可以提供密鑰交換、加密等算法，規(guī)定如何在對(duì)等層之間選擇安全協(xié)議，確定交換密鑰與算法，驗(yàn)證數(shù)據(jù)來源，并實(shí)現(xiàn)數(shù)據(jù)加密。

1.4 VPN通信與連接方式

路由器到路由器以及遠(yuǎn)程訪問均屬于VPN通訊方式，它包括兩種連接方式，一是撥號(hào)VPN，屬于內(nèi)部遠(yuǎn)程訪問技術(shù)，主要服務(wù)于遠(yuǎn)程與移動(dòng)辦公用戶，在公共網(wǎng)絡(luò)與普通撥號(hào)之間提供連接，在建立VPN專用網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)上，實(shí)時(shí)輸入地域名。二是專線VPN，與公網(wǎng)建立鏈接，獲得靜態(tài)IP地址。

2.VPN在財(cái)務(wù)信息化中的應(yīng)用優(yōu)勢(shì)

2.1 安全性高

財(cái)務(wù)數(shù)據(jù)要求較高的安全性，而VPN系統(tǒng)可以實(shí)現(xiàn)安全運(yùn)行。首先，IPSec協(xié)議可以提供數(shù)據(jù)加密、數(shù)據(jù)分流以及數(shù)據(jù)來源驗(yàn)證等服務(wù)，通過調(diào)用策略設(shè)置IPSec協(xié)議引擎，確定數(shù)據(jù)使用安全策略。其次，用戶認(rèn)證技術(shù)可以合法鑒別用戶身份，對(duì)授權(quán)與資源進(jìn)行訪問控制，保證了VPN系統(tǒng)整體安全性。摘要技術(shù)還可以進(jìn)行用戶認(rèn)證，明確對(duì)方是否具備驗(yàn)證信息。VPN技術(shù)也并非完全安全，需要傳輸數(shù)據(jù)包時(shí)也應(yīng)進(jìn)行加密，使用專門加密技術(shù)隱藏，經(jīng)過隧道發(fā)送端認(rèn)證，再進(jìn)行發(fā)送。認(rèn)證用戶在接收端解密數(shù)據(jù)后，根據(jù)密鑰類型進(jìn)行分類，包括對(duì)稱加密與非對(duì)稱加密，處理核心關(guān)鍵數(shù)據(jù)。在利用引入VPN技術(shù)后的Internet傳輸數(shù)據(jù)時(shí)，可以充分保證財(cái)務(wù)數(shù)據(jù)的完整性與安全性。

2.2 可靠性與穩(wěn)定性強(qiáng)

VPN技術(shù)支持多種聯(lián)網(wǎng)方式，各校區(qū)財(cái)務(wù)部門可以通過VPN技術(shù)利用公共網(wǎng)絡(luò)連接到校園網(wǎng)，有效保證了各個(gè)校區(qū)的財(cái)務(wù)管理系統(tǒng)客戶端訪問財(cái)務(wù)系統(tǒng)服務(wù)器的可靠性與穩(wěn)定性。同時(shí)，還可以保證多線路的穩(wěn)定性，多條Internet線路可以使用于一個(gè)VPN節(jié)點(diǎn)處，其中一條保持正常的運(yùn)行模式，便可以確保整個(gè)VPN系統(tǒng)的正常運(yùn)行。

2.3成本較低

VPN主要通過隧道協(xié)議發(fā)揮功能，各校區(qū)財(cái)務(wù)部門聯(lián)入本校區(qū)校園網(wǎng)便可以構(gòu)建傳輸隧道。因此，財(cái)務(wù)部門在購(gòu)買一個(gè)VPN總部或多個(gè)VPN分支費(fèi)用時(shí)，應(yīng)實(shí)行一次購(gòu)買模式，減少設(shè)備采購(gòu)與租賃費(fèi)用。除此之外，VPN技術(shù)可以簡(jiǎn)化財(cái)務(wù)信息系統(tǒng)管理流程，確定不同資源的訪問權(quán)限，進(jìn)一步保證系統(tǒng)的安全性。

3.院校財(cái)務(wù)信息化建設(shè)中VPN網(wǎng)絡(luò)構(gòu)建分析

3.1 構(gòu)建需求

目前國(guó)內(nèi)很多高校存在兩個(gè)甚至多個(gè)校區(qū)，各校區(qū)之間的距離較遠(yuǎn)，甚至達(dá)幾十公里，在收取學(xué)生費(fèi)用時(shí)，多個(gè)校區(qū)之間應(yīng)連接專門服務(wù)器，在主校區(qū)設(shè)置賬務(wù)機(jī)房，且多個(gè)校區(qū)均需要對(duì)外報(bào)賬。因此，需要在同一數(shù)據(jù)庫(kù)中寫入多個(gè)校區(qū)所有的賬務(wù)憑證與收費(fèi)單據(jù)，保證財(cái)務(wù)中心機(jī)房的服務(wù)器可以實(shí)時(shí)連接多個(gè)小區(qū)的客戶端電腦。同時(shí)，發(fā)布服務(wù)器應(yīng)完整將院校財(cái)務(wù)信息發(fā)送，為了保證財(cái)務(wù)數(shù)據(jù)的穩(wěn)定傳送，還應(yīng)同步教務(wù)管理、網(wǎng)絡(luò)計(jì)費(fèi)認(rèn)證以及學(xué)生收費(fèi)等模式，保證與其他業(yè)務(wù)工作共享數(shù)據(jù)，最大限度地提高財(cái)務(wù)數(shù)據(jù)的完整性與安全性。除此之外，還應(yīng)設(shè)立備份方案，充分保證數(shù)據(jù)安全穩(wěn)定。

3.2 構(gòu)建方案

3.2.1 網(wǎng)絡(luò)架構(gòu)

絕大多數(shù)高校已經(jīng)基本建設(shè)校園網(wǎng)絡(luò)，因此應(yīng)基于校園網(wǎng)絡(luò)系統(tǒng)為多個(gè)校區(qū)內(nèi)建立VPN模式，確保整個(gè)財(cái)務(wù)VPN網(wǎng)絡(luò)均受到防火墻保護(hù)，確保系統(tǒng)運(yùn)行的安全性與穩(wěn)定性，節(jié)省專線成本。

多個(gè)校區(qū)在建設(shè)財(cái)務(wù)VPN時(shí)，客戶端計(jì)算機(jī)在訪問財(cái)務(wù)服務(wù)器時(shí)，服務(wù)端應(yīng)保證計(jì)算機(jī)訪問權(quán)限的開放性，連接收費(fèi)處理與財(cái)務(wù)數(shù)據(jù)賬務(wù)處理的端口，保證系統(tǒng)管理人員可以遠(yuǎn)程及時(shí)訪問客戶端，避免客戶端與服務(wù)器之間出現(xiàn)故障問題。相較PPTP，IPSec與L2TP的安全性更高，對(duì)財(cái)務(wù)信息也具備更多的安全要求，尤其收費(fèi)系統(tǒng)數(shù)據(jù)要求更為嚴(yán)格。因此多個(gè)校區(qū)在建立VPN時(shí)應(yīng)引入IPSec協(xié)議，引入天融信Topsec企業(yè)級(jí)網(wǎng)絡(luò)防火墻系統(tǒng)，發(fā)揮VPN模塊功能[2]。

作為網(wǎng)絡(luò)安全防護(hù)設(shè)置，天融信NGFW4000系列防火墻的配置流程更為簡(jiǎn)單，可以在高級(jí)網(wǎng)絡(luò)對(duì)象中實(shí)現(xiàn)用戶管理，并通過訪問策略限制非法用戶訪問網(wǎng)絡(luò)與系統(tǒng)資源。對(duì)于移動(dòng)客戶端，可以安裝天融信VPN遠(yuǎn)程客戶VPN Remote Client，在連接學(xué)校遠(yuǎn)程接入端口時(shí)無需長(zhǎng)途撥號(hào)，并在防火墻中可以實(shí)現(xiàn)證書交換，以有效驗(yàn)證ARC客戶身份的合法性，保證安全使用財(cái)務(wù)信息。為了保證IP及上層協(xié)議的安全運(yùn)行，確?？蛻舳丝焖僭L問財(cái)務(wù)網(wǎng)絡(luò)資源，還應(yīng)基于IPsec安全鏈接建立VPN加密隧道。

同時(shí)，多個(gè)校區(qū)均需要安裝NGFW4000系列防火墻，建立通信策略VPN互連，并定義校區(qū)網(wǎng)絡(luò)用戶，綁定IP地址與MAC Address。當(dāng)訪問策略為默認(rèn)時(shí)，禁止訪問防火墻保護(hù)區(qū)域，之后根據(jù)相關(guān)區(qū)域財(cái)務(wù)資源情況設(shè)置訪問端口、訪問服務(wù)以及訪問權(quán)限，合理設(shè)置各區(qū)域帶寬，避免不穩(wěn)定運(yùn)行。為了便于ARC用戶訪問校區(qū)財(cái)務(wù)資源，還應(yīng)在VPN管理中建立防火墻證書，啟動(dòng)VPN隧道連接。

3.2.2 數(shù)據(jù)存儲(chǔ)與備份

計(jì)算機(jī)操作中若按錯(cuò)按鍵，很容易丟失數(shù)據(jù)，且此類錯(cuò)誤無可避免。不過隨著技術(shù)的發(fā)展，目前已經(jīng)存在多種可靠的數(shù)據(jù)備份軟硬件產(chǎn)品，保證了數(shù)據(jù)備份工作的可靠性與便捷性，減輕了系統(tǒng)管理人員的工作負(fù)擔(dān)。對(duì)于高校而言，網(wǎng)絡(luò)信息安全等級(jí)保護(hù)測(cè)評(píng)一般都要求二級(jí)以上，同時(shí)，財(cái)務(wù)信息化的數(shù)據(jù)對(duì)于學(xué)校來說具備十分重要的作用，一旦丟失將造成不可估量的損失，代價(jià)高昂。因此，高校財(cái)務(wù)管理人員應(yīng)優(yōu)化存儲(chǔ)系統(tǒng)，引入專業(yè)備份軟件與存儲(chǔ)設(shè)備，盡可能降低數(shù)據(jù)丟失風(fēng)險(xiǎn)，保證數(shù)據(jù)安全性，同時(shí)減輕用戶的信息安全風(fēng)險(xiǎn)。高校財(cái)務(wù)人員可以將財(cái)務(wù)數(shù)據(jù)存儲(chǔ)于磁盤陣列，定期將財(cái)務(wù)數(shù)據(jù)上傳至備份服務(wù)器，每月結(jié)賬后建立完善的備份數(shù)據(jù)計(jì)劃與災(zāi)難恢復(fù)計(jì)劃，保證財(cái)務(wù)數(shù)據(jù)的完整性，實(shí)現(xiàn)安全可靠運(yùn)行。

4.在財(cái)務(wù)信息化中應(yīng)用VPN技術(shù)的好處

當(dāng)前大多高校均將VPN技術(shù)引入至財(cái)務(wù)信息化工作中，采用VPN技術(shù)解決多校區(qū)網(wǎng)絡(luò)訪問、數(shù)據(jù)互聯(lián)的問題。通過VPN技術(shù)的實(shí)施，既可以使得學(xué)校財(cái)務(wù)管理系統(tǒng)都使用同一服務(wù)器，又可以確保網(wǎng)絡(luò)安全和財(cái)務(wù)數(shù)據(jù)的安全性，同時(shí)也大大降低了組建專用網(wǎng)絡(luò)所需的經(jīng)濟(jì)成本。有VPN技術(shù)作為財(cái)務(wù)信息化的網(wǎng)絡(luò)基礎(chǔ)，財(cái)務(wù)部門人員每日結(jié)賬后，在中間傳輸主機(jī)中備份財(cái)務(wù)服務(wù)器的數(shù)據(jù)，再由中間傳輸主機(jī)將數(shù)據(jù)定時(shí)傳輸至對(duì)外網(wǎng)發(fā)布信息的服務(wù)器上，及時(shí)更新財(cái)務(wù)信息查詢數(shù)據(jù)，確保了多校區(qū)財(cái)務(wù)數(shù)據(jù)的實(shí)時(shí)同步，增加了財(cái)務(wù)數(shù)據(jù)查詢的及時(shí)性和透明度，使得教職工和學(xué)生都能隨時(shí)了解需要的財(cái)務(wù)數(shù)據(jù)信息，這也是財(cái)務(wù)信息化能夠良好實(shí)施的重要一環(huán)。

5.結(jié)語

綜上所述，要實(shí)現(xiàn)財(cái)務(wù)信息化的管理，特別是適應(yīng)目前高校采用的多校區(qū)辦學(xué)模式，保證統(tǒng)一管理的財(cái)務(wù)信息數(shù)據(jù)，各種財(cái)務(wù)數(shù)據(jù)的實(shí)時(shí)共享，這是實(shí)現(xiàn)財(cái)務(wù)信息化建設(shè)的基礎(chǔ)和關(guān)鍵。所以高校在財(cái)務(wù)信息化建設(shè)中應(yīng)有效引入VPN技術(shù)，以解決多校區(qū)地域數(shù)據(jù)隔離問題，提供外部網(wǎng)、內(nèi)部網(wǎng)以及遠(yuǎn)程訪問的安全鏈接，尤其為計(jì)算機(jī)信息統(tǒng)一管理工作提供良好平臺(tái)，保證財(cái)務(wù)部門與學(xué)校其他部門信息系統(tǒng)的連接，并與銀行系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)搭建，提高財(cái)務(wù)整體的業(yè)務(wù)處理水平，為進(jìn)一步推進(jìn)財(cái)務(wù)信息化建設(shè)發(fā)展提供強(qiáng)有力的技術(shù)保障。