基于VPN技术的军队财务网络建设初探

来源:用户上传      作者: 詹银珍 刘楚兵 孟宝红

　　摘要：文章分析了军队财务网络建设现状，提出了基于VPN技术的军队财务网络建设方案，尝试利用VPN技术依托全军综合信息网将不同位置的财务部门连接起来，从而有效地解决军队财务网络的安全性、经济性、灵活性等问题。
　　关键词：军队财务；财务网络；VPN
　　
　　一、军队财务网络建设现状
　　信息技术和电子商务的迅猛发展大大地推动了军队信息化建设步伐，作为军队后勤重要部门的军队财务部门也在不断加强自身的信息化建设，实现信息化首先应进行基础设施网络建设。近年来，军队财务在网络建设方面投入了大量人力、财力和物力，并取得了一定的成果，主要表现在：一是建立了军队财务数据网。军队财务数据网是在军队公用数据网基础上发展起来的。按照总后财务部的规划，从1996年开始抓网络建设和网络安全保密系统开发，1998年，依托军队公用数据网，用于信息传递的密码保密系统投入运行，实现了全军100多个单位间点对点数据的安全保密传递。由于公用数据网传输速度较慢，无法满足日益膨胀的信息传输需求，因此，从1999年起，开始依托310网，对军队财务公用数据网进行改造。在总后财务部和各军区、各军兵种、新疆军区、西藏军区财务部门设置网络数据服务器，入网单位财务部门通过310网或电话拨号上网。上网时使用安全保密数据传递系统进行信息交换，通过邮件的方式，以网络数据服务器为中转站，实现全军各单位财务部门间的数据传递；二是完成了“军财工程”一期建设。“军财工程”一期建设以SQLServer数据库为基础，建立了包括单位、人员、地域等属性的数据字典，并将每一个部门、每一个单位经费运动过程及状态，每一个时点资金运行的实际情况进行详细地记录。具有网络功能的软件是网络建设中的重要组成部分，离开网络软件网络就无法运行，“军财工程”一期的推广使用解决了网络建设的软件问题，为“军财工程”二期建设打下了良好的基础。
　　二、目前军队财务网络建设存在的主要问题
　　随着财务业务的不断发展、信息交换量的不断加大，军队财务数据网已远远不能满足当前的需要，存在的主要问题有：一是未接入310网的单位无法连通财务数据网。在财务数据网首批入网单位中，有部分单位没有接入310网，这些单位无法通过310网连通财务数据网。二是310网络干线速度较低，影响总部与各军区之间数据传递质量。310网北京节点的网络带宽较低，由于驻京单位多，导致网络平均速度降低。因此，驻京单位与京外单位之间数据传递速度较慢，尤其是大量数据传输时，容易引起数据传递中断。三是网络维护管理复杂，且缺乏专业的网络管理人才。从用户自身网络的维护管理来看，传统专用网要求用户维护一个广域网，较高档次的设备和复杂的线路也增加了维护管理的复杂性和难度，而且工作量大，对技术人员的要求也非常高。目前军队财务网络管理方面人才相当少，财务网络管理人才既要会网络管理又要对财务业务熟悉，人才培养的难度较大。
　　三、基于VPN技术的军队财务网络建设方案
　　（一）军队财务局域网建设方案
　　本级财务部门必须建立局域网，局域网中主干网的选型，不仅要考虑网络的性能，还要考虑网络建立的经济性。目前局域网中应用比较广泛的技术有以太局域网、ATM局域网、无线局域网等等。根据军队财务部门的业务量大小及网络设备的价格，军及军以下单位的终端设备可采用10M-100M自适应网卡，服务器采用64位100M以太网卡及交换机组建局域网；军区和总部级终端设备采用10M-100M自适应网卡，服务器采用64位千兆以太网卡，采用交换机组建局域网。依托全军综合信息网，建立连接总部、军区（大单位）、联勤分部、预算单位的财务数据网，实现各单位之间财务数据的传输和交换。财务数据网采用TCP/IP网络协议体系结构，并采用Internet运行模式。单位内网结构通过交换机连接用户与服务器，建立单位内部局域网，经过数据加密、隔离区、防火墙与财务数据网连接。利用专用线路建立财务专用网虽然安全，但专线方式需要铺设专门的物理线路，不但成本高，有些地方条件也不允许，并且扩展性和灵活性很差，远程维护也不方便。因此本文建议运用VPN技术建立财务广域网，利用VPN技术在综合信息网上通过隧道加密技术建立虚拟的专用网，不需要铺设专门的物理线路。
　　（二）基于VPN技术的军队财务广域网络建设方案
　　1、网络部署。总后财务部及各军区财务部主要配置两种网络设备：VPN网关和交换机。VPN网关处于局域网边界，负责接入综合信息网；交换机位于局域网中心，负责接入终端和VPN网关。总后财务部网络部署：总后财务部设为中心节点，由于该中心节点网络边界设备VPN防火墙的重要性，我们可采用双防火墙模式，两台VPN防火墙工作在一主一备的模式下，正常情况下只有一台VPN防火墙工作，另一台未激活；在设备运行过程中，两台防火墙自动同步配置信息和当前网络连接信息。军级单位网络部署：军区联勤部设为二级节点，在该节点的综合信息网网络边界配置一台中端的VPN网关设备，通过各联勤部财务部的VPN网关建立IPSecVPN隧道，进行数据封装、加密和传输，从而进行各大单位之间的财务业务交流。军以下单位财务部门的网络部署基本与军区级单位相同，不同点在于将军以下单位财务部门作为三级节点。总后财务部、军区联勤部以及军以下财务部门通过VPN链路进行连接。出差人员子系统部署：为出差用户配备VPN客户端软件和USBKey硬件认证密钥，接入网络后进行相关的身份认证、密钥协商以及隧道建立，用户可以以透明的方式，直接访问单位内部的财务网。
　　2、VPN安全技术的选择运用。应用类型选择。按应用类型划分，VPN有3种隧道形式：一是LAN到LAN：基于VPN的网络互联，网关（路由器）到网关（路由器）或网络到网络。二是客户到LAN：基于VPN的远程访问，即单机连接到网络。三是客户到客户：即单机到单机，用于内部网的两台主机之间的安全通信。从使用的方便性和配置维护的容易性考虑，总后财务部-军区联勤部-军以下财务部门的VPN网络应该采用LAN到LAN隧道的形式。从使用的角度看，在这种隧道形式下，各局域网之间的通信连接是通过VPN网关服务器代理完成，用户主机不需要做专门的配置，也不用安装VPN软件，对用户来说，VPN网关是透明的，与具体应用无关，可以通过同一VPN服务器实现多种应用；从管理的角度，只需维护好两端的VPN服务器，大大减少了维护的难度；对于外出出差财务人员来讲，只要在移动电脑上配置专门的VPN软件就可以实现客户到LAN的接入，从而访问财务内部资源。目前，许多VPN产品都能提供多种隧道接入形式，只是根据不同的需要各有侧重，要选择在LAN到LAN隧道功能强大的产品，在满足大众需要的同时，可以兼顾个别需要。如CiscoASA5500系列还可以在单一平台上提供IPSec和基于SSL的VPN服务，无需部署两个并行解决方案，避免了为SSL和IPSecVPN部署分立的平台而导致低效和成本增加。支持协议的选择。目前主流的VPN协议是IPSec与SSL协议，两种VPN协议各具特色，互有长短。但考虑军队财务网络建设的实际情况，笔者认为应该采用IPSec协议作为该VPN网络的支持协议，因为IPSecVPN组建的财务网络较SSLVPN拥有更高的安全性。VPN的设备选择。基于IPSec的VPN，可以通过在主机上运行专门的VPN软件把该主机作为VPN服务器来实现，也可以通过专门的VPN设备来实现。从性能上来说，硬件实现的效率比软件高，可以支持更多的用户。由于军队财务信息量的不断扩大和业务交换量较频繁，笔者建议在总部、各军区联勤部和军师级单位使用硬件设备，这样可以大大提高信息传输的速度，提高财务人员的工作效率。对于出差频繁的人员可以在移动设备上配置VPN软件。

　　（三）军队财务网络建设的配套措施
　　1、不断完善“军财工程”，提供强大的软件支持。由于目前的军队财务管理信息系统处于单机结构，基于网络化的一些功能无法实现，如果军队建立网络化的军队财务管理信息系统，现有的子系统必然出现功能不足的问题。因此，为了满足未来财务网络化建设的需要，“军财工程”应加以完善，可以从以下三个方面予以改进：一是对现有业务子系统进行改造。可以将现有的业务子系统改造为Web业务系统，并和新加入的子系统进行整合，建立适应军队财务管理从宏观决策管理到基本业务处理、从总部到基层预算单位的多级管理模式。根据各业务子系统的特点，可将会计账务管理系统、公务事业费管理系统、预算编制管理系统、基本建设费管理系统、科研费管理系统改造为Web业务系统，而生活费管理系统、保险基金管理系统、军人保险管理系统、资产管理系统及住房资金管理系统，由于日常业务较多，对服务器要求较高，并且不会和事业部门发生过多的业务往来，应保持现有的C/S结构模式。二是推行资金电子划拨，提高资金划拨效率和保障时效。三是增加军队财务网络办公子系统。军队财务网络办公系统建立的目的是为了利用计算机和网络技术构建一个智能化的办公系统，为财务部门的日常工作提供信息支持，节约办公经费。实现军队财务系统公文及电子信息系统的上传下达、互联互通，使后勤机关逐步走向网上综合办公，将是彻底改变工作模式、大大提高机关办公效率的关键。
　　2、提高既懂网络又懂财务的复合型人才的培养。军队财务网络建设是一项技术含量极高的工作，它需要既精通军队财务业务，又较好掌握网络技术的复合型人才。而目前我军的财务干部整体的计算机网络技术素质较低，不能适应网络化的需求。因此，部队要结合实际加速网络财务人才的培养。一是军队和地方共同培养网络人才。军队各级单位应充分重视本单位网络人才，从各方面给予大力支持，挖掘网络人才的潜力，搞好本单位网络化建设，在此基础上，军队应制定相关政策措施吸收地方优秀的网络人才入伍或为军队服务，为军队财务网络化的建设和发展作好人才保障。二是搞好在职继续教育，多渠道培养业务人才。有计划地选送部分在职财务人员到高校或国外进修深造，利用单位所在地教育资源，开展联合培训，提高函授教育质量，提高财务人员信息化教育的含金量。三是发挥院校教育优势，走院校培养与部队培训相结合的道路。各级军队院校在人才的培养上比较系统，具有较大的优势，应充分发挥好这一优势，与部队一起为军队财务系统培养出更多的高素质财务干部。同时要改革教育培养模式，拓宽专业口径，努力培养既懂管理、又懂专业的复合型人才。
　　参考文献：
　　1、张保民,张保真.虚拟专用网络(VPN)技术[J].山西电子技术,2009(2).
　　2、陈懋.浅谈VPN技术[J].天津市财贸管理干部学院学报,2010(2).
　　3、王晓燕.浅谈VPN技术应用[J].网络与信息,2010(7).
　　（作者单位：詹银珍，军事经济学院军队财务系；刘楚兵，军事经济学院军队财务系；孟宝红，解放军75105部队）

转载注明来源:https://www.xzbu.com/2/view-433248.htm