基于VPN技術的高校多校區財務系統專網

康玉虎

【摘要】在高校多校區環境中，財務管理系統往往建立在主校區，分校區的財務工作需要通過校園網與主校區財務管理系統服務器通信。然而，各校區財務數據在校園網中的傳輸未經加密等安全處理，存在較高的安全隱患。同時，財務人員在校園網外無法安全的訪問和操作財務系統。本文針對上述問題，介紹基于VPN技術的高校多校區財務系統專網解決方案，利用IPSec VPN與SSL VPN結合的方式保障高校財務系統的安全、穩定運行。

【關鍵詞】財務系統 IPSec VPN SSL VPN

一、引言

財務信息化是高校信息化工作中重要的一環，目前，各高校普遍建立并使用了自己的財務管理系統。然而，受管理理念、資金等因素的制約，高校在財務網絡安全方面的投入不足，安全問題突出。尤其是在多校區環境下，財務部門在各校區都有分支辦公點，各校區財務數據通過校園網相互傳輸，卻未經加密等安全處理，存在較高的安全隱患。此外，財務人員在處理一些緊急事務時，希望能從校園網外安全的訪問財務系統并進行相關操作。建設基于VPN技術的高校多校區財務專網，是解決上述問題的首選方法。

二、VPN技術簡介

1、VPN的概念及分類。VPN（Virtual Private Network）即虛擬專用網，是在公用網絡上建立私有專用網絡進行加密通信的技術。較常用的兩種VPN使用方式為Intranet VPN和Remote Access VPN。Intranet VPN用來實現總部與分支機構通過公用網絡建立專網。Remote Access VPN用來實現遠程用戶通過公用網絡訪問專網。按照協議所屬層次可以分為數據鏈路層的PPTP VPN、L2TP VPN，網絡層的IPSec VPN和位于傳輸層和應用層之間的SSL VPN。目前使用較為普遍的為IPSecVPN和SSLVPN。

2、IPSec VPN與SSL VPN的比較。由于IPSec VPN和SSL VPN所屬網絡層次不同，因此有各自的特點，適用的場景也不盡相同。IPSec協議是網絡層安全協議，優點在于其與應用無關，客戶端支持各類網絡層協議，適用于建立Intranet VPN。IPSec VPN的缺點在于配置復雜，需要專門的客戶端，兼容性不強，應用層訪問控制能力較差。SSL協議是介于傳輸層與應用層之間的安全協議，只對通信雙方的應用通道加密，主要通過瀏覽器訪問和應用資源，兼容性強。SSL VPN不需要復雜的客戶端，具有穿透防火墻的能力，部署簡單，可以在應用層進行詳細的訪問控制，因此，適合于Remote Access VPN。SSL VPN的缺點在于傳輸效率較低。

三、基于VPN的多校區財務專網的實現

1、財務專網需求分析。我校有校本部、培黎校區、東校區三個校區，財務處位于校本部，各分校區都有財務處設立的辦公點，承擔收費、報銷等工作。財務管理系統部署在校本部財務處，現需要各校區財務工作人員都能安全、穩定的訪問并操作財務系統。此外，財務系統管理人員還需要在校外通過互聯網安全的訪問并操作財務系統，處理一些緊急事務。針對以上需求，建立覆蓋三個校區的基于IPSec VPN的財務專網即Intranet VPN，實現各校區財務人員安全使用財務系統，并且提供基于SSL VPN的Remote Access VPN服務，以便財務系統管理員在校外通過互聯網安全訪問財務系統。

2、財務專網部署實施。具體部署方式為，在校本部財務處單臂部署一臺同時支持IPSec VPN和SSL VPN的高端VPN設備，并接入校園網。原先直接接入校園網的財務系統服務器接到VPN設備上，服務器地址采用財務專網私有地址。培黎校區和東校區各部署一臺中低端VPN設備，支持IPSecVPN功能，三臺VPN設備通過校園網實現互聯。各校區財務工作專用電腦通過交換機接入本地VPN設備，地址采用財務專網私有地址，可以通過VPN設備以IPSec VPN形式訪問財務系統。在校本部高端VPN設備上啟用SSLVPN功能，財務管理系統管理員可以通過SSL VPN功能在校外通過互聯網訪問并操作財務管理系統。未接入財務專網的財務處普通工作人員計算機，可以通過授權從校園網采用SSL VPN形式訪問財務系統，SSL VPN可以制定細致的訪問權限和規則，給不同的人員不同訪問和使用權限。多校區財務系統專網拓撲如圖1。

四、結語

開展財務信息化工作要兼顧財務工作的便利性和財務數據的安全性。財務數據在校園網上傳輸，必須要考慮到安全性。基于VPN技術的高校多校區財務系統專網建設方案在校園網的基礎上建立了財務專網，部署簡單，成本低，提高了財務系統的安全性，也為財務系統管理員遠程操作提供了便利性，是解決多校區間財務數據安全傳輸的合理方案。