基于VPN技术的高校多校区财务系统专网

康玉虎

【摘要】在高校多校区环境中，财务管理系统往往建立在主校区，分校区的财务工作需要通过校园网与主校区财务管理系统服务器通信。然而，各校区财务数据在校园网中的传输未经加密等安全处理，存在较高的安全隐患。同时，财务人员在校园网外无法安全的访问和操作财务系统。本文针对上述问题，介绍基于VPN技术的高校多校区财务系统专网解决方案，利用IPSec VPN与SSL VPN结合的方式保障高校财务系统的安全、稳定运行。

【关键词】财务系统 IPSec VPN SSL VPN

一、引言

财务信息化是高校信息化工作中重要的一环，目前，各高校普遍建立并使用了自己的财务管理系统。然而，受管理理念、资金等因素的制约，高校在财务网络安全方面的投入不足，安全问题突出。尤其是在多校区环境下，财务部门在各校区都有分支办公点，各校区财务数据通过校园网相互传输，却未经加密等安全处理，存在较高的安全隐患。此外，财务人员在处理一些紧急事务时，希望能从校园网外安全的访问财务系统并进行相关操作。建设基于VPN技术的高校多校区财务专网，是解决上述问题的首选方法。

二、VPN技术简介

1、VPN的概念及分类。VPN（Virtual Private Network）即虚拟专用网，是在公用网络上建立私有专用网络进行加密通信的技术。较常用的两种VPN使用方式为Intranet VPN和Remote Access VPN。Intranet VPN用来实现总部与分支机构通过公用网络建立专网。Remote Access VPN用来实现远程用户通过公用网络访问专网。按照协议所属层次可以分为数据链路层的PPTP VPN、L2TP VPN，网络层的IPSec VPN和位于传输层和应用层之间的SSL VPN。目前使用较为普遍的为IPSecVPN和SSLVPN。

2、IPSec VPN与SSL VPN的比较。由于IPSec VPN和SSL VPN所属网络层次不同，因此有各自的特点，适用的场景也不尽相同。IPSec协议是网络层安全协议，优点在于其与应用无关，客户端支持各类网络层协议，适用于建立Intranet VPN。IPSec VPN的缺点在于配置复杂，需要专门的客户端，兼容性不强，应用层访问控制能力较差。SSL协议是介于传输层与应用层之间的安全协议，只对通信双方的应用通道加密，主要通过浏览器访问和应用资源，兼容性强。SSL VPN不需要复杂的客户端，具有穿透防火墙的能力，部署简单，可以在应用层进行详细的访问控制，因此，适合于Remote Access VPN。SSL VPN的缺点在于传输效率较低。

三、基于VPN的多校区财务专网的实现

1、财务专网需求分析。我校有校本部、培黎校区、东校区三个校区，财务处位于校本部，各分校区都有财务处设立的办公点，承担收费、报销等工作。财务管理系统部署在校本部财务处，现需要各校区财务工作人员都能安全、稳定的访问并操作财务系统。此外，财务系统管理人员还需要在校外通过互联网安全的访问并操作财务系统，处理一些紧急事务。针对以上需求，建立覆盖三个校区的基于IPSec VPN的财务专网即Intranet VPN，实现各校区财务人员安全使用财务系统，并且提供基于SSL VPN的Remote Access VPN服务，以便财务系统管理员在校外通过互联网安全访问财务系统。

2、财务专网部署实施。具体部署方式为，在校本部财务处单臂部署一台同时支持IPSec VPN和SSL VPN的高端VPN设备，并接入校园网。原先直接接入校园网的财务系统服务器接到VPN设备上，服务器地址采用财务专网私有地址。培黎校区和东校区各部署一台中低端VPN设备，支持IPSecVPN功能，三台VPN设备通过校园网实现互联。各校区财务工作专用电脑通过交换机接入本地VPN设备，地址采用财务专网私有地址，可以通过VPN设备以IPSec VPN形式访问财务系统。在校本部高端VPN设备上启用SSLVPN功能，财务管理系统管理员可以通过SSL VPN功能在校外通过互联网访问并操作财务管理系统。未接入财务专网的财务处普通工作人员计算机，可以通过授权从校园网采用SSL VPN形式访问财务系统，SSL VPN可以制定细致的访问权限和规则，给不同的人员不同访问和使用权限。多校区财务系统专网拓扑如图1。

四、结语

开展财务信息化工作要兼顾财务工作的便利性和财务数据的安全性。财务数据在校园网上传输，必须要考虑到安全性。基于VPN技术的高校多校区财务系统专网建设方案在校园网的基础上建立了财务专网，部署简单，成本低，提高了财务系统的安全性，也为财务系统管理员远程操作提供了便利性，是解决多校区间财务数据安全传输的合理方案。