謝清斌

?

VPN技術(shù)及其在校園網(wǎng)中的應(yīng)用

謝清斌

中共三明市委黨校

校園網(wǎng)建設(shè)是黨校信息化建設(shè)的重要組成部分。建設(shè)高質(zhì)量的校園網(wǎng)，可以充分發(fā)揮網(wǎng)絡(luò)資源管理和應(yīng)用的優(yōu)勢，進行信息交流、資源共享、教學(xué)科研。虛擬專用網(wǎng)(VPN) 技術(shù)利用開放型網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過Internet、隧道加密以及用戶認證等技術(shù)實現(xiàn)用戶信息穿越公網(wǎng)而且相對安全地傳輸，可以有效解決校園網(wǎng)建設(shè)中的安全性和經(jīng)濟性問題。

VPN 校園網(wǎng) 安全技術(shù) 隧道技術(shù)

0 引言

近年來，黨校系統(tǒng)以遠程教育網(wǎng)、校園信息網(wǎng)和數(shù)字圖書館為主的信息化建設(shè)取得了重大進展。適應(yīng)大規(guī)模教育培訓(xùn)干部的要求，建設(shè)一個高速、實用、安全的校園網(wǎng)，實現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)的互連互通，可以極大地豐富和完善干部培訓(xùn)教育資源，拓寬黨校教師和學(xué)員獲取信息的渠道，從而進一步提高黨校教育培訓(xùn)手段的現(xiàn)代化和管理的科學(xué)化水平。

1 黨校校園網(wǎng)需求分析

隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，各級黨校越來越重視信息化建設(shè)。黨校在享有互聯(lián)網(wǎng)帶來巨大便利的同時，也在為這種公開使用的網(wǎng)絡(luò)安全甚至危害而困擾。如，網(wǎng)上傳輸?shù)臄?shù)據(jù)容易遭到惡意攻擊或竊取，安全性得不到保障影響資源的充分共享。而建立校園網(wǎng)，可以使校園網(wǎng)絡(luò)與公共的Internet分開。一方面，校園網(wǎng)的資源是開放的，每位教師和學(xué)員都可以訪問校園網(wǎng)資源；另一方面校園網(wǎng)資源又是獨有的，在校園網(wǎng)覆蓋范圍之外，比如校外備課、學(xué)術(shù)交流或異地培訓(xùn)時，教師和學(xué)員需要接入學(xué)?；蛘咴L問校內(nèi)資源，這時用傳統(tǒng)方法則進入不了校園內(nèi)部網(wǎng)，無法隨時共享黨校信息及其他網(wǎng)上資源。針對這些問題，關(guān)鍵要解決內(nèi)外網(wǎng)之間如何順利跨越以及如何保證其訪問的安全性。通過應(yīng)用VPN技術(shù)，可以利用最有限的資金投入組建安全、便于管理和安全性高的校園網(wǎng)，從而解決學(xué)校移動辦公、遠程辦公、校區(qū)間通信、資源共享等問題。一般說來，利用VPN技術(shù)可以實現(xiàn)以下需求：

1.1 遠程辦公或移動辦公的需求

一個校園網(wǎng)遠程用戶或者移動辦公用戶需要同學(xué)校內(nèi)部網(wǎng)絡(luò)進行安全通信時，傳統(tǒng)的方案是使用專線連接內(nèi)部局域網(wǎng)，可是專線會帶來昂貴的費用，但如果利用互聯(lián)網(wǎng)和VPN技術(shù)進行連接，將會大大減少通信費用。移動用戶或者校園網(wǎng)遠程用戶在本地通過撥號連接到一個ISP獲得服務(wù)從而連接到互聯(lián)網(wǎng)，校園網(wǎng)也從一個或多個ISP處獲取服務(wù)將Intranet連接到互聯(lián)網(wǎng)上，并利用VPN網(wǎng)關(guān)來阻止從外部來的攻擊和入侵，以保證內(nèi)部網(wǎng)絡(luò)的安全性和保密性。

1.2 重要數(shù)據(jù)的安全保密需求

在學(xué)校的內(nèi)部網(wǎng)絡(luò)中，一些特殊部門存儲有重要的數(shù)據(jù)，需要建立獨立的網(wǎng)絡(luò)以保證數(shù)據(jù)的安全性。由于物理上的隔離，雖能保護這些部門的重要數(shù)據(jù)，但也造成與其他部門的用戶無法互聯(lián)，從而給信息交換帶來不必要的麻煩。如果采用VPN技術(shù)，只需要部署一臺VPN服務(wù)器，就能實現(xiàn)與整個校園網(wǎng)絡(luò)的安全連接，又可以確保重要數(shù)據(jù)的安全傳輸。以往普通路由器雖也能實現(xiàn)不同網(wǎng)絡(luò)之間的互聯(lián)，但是不能對流向特殊網(wǎng)絡(luò)的重要數(shù)據(jù)進行精確的監(jiān)控，而且隨著對外流量的增大，路由器也逐漸成為技術(shù)瓶頸。校園網(wǎng)絡(luò)的管理人員通過使用VPN服務(wù)器，可以按需指定授權(quán)以及限定條件的用戶才能連接VPN服務(wù)器，從而訪問校園網(wǎng)內(nèi)部的局域網(wǎng)獲取重要信息或數(shù)據(jù)。

1.3 跨校區(qū)互連互通的需求

近年來，為了適應(yīng)大規(guī)模培訓(xùn)干部的需要，許多黨校進行了校區(qū)的改擴建。通常情況下，新老校區(qū)間都是采用租用專線來進行通信，但這需要花費較大的費用，同時若出現(xiàn)故障則只能由運營商負責(zé)解決。此時使用VPN技術(shù)，可以在費用低廉的情況下實現(xiàn)校園網(wǎng)的專用、安全的互連互通。

2 組建校園信息網(wǎng)的原則

黨校校園網(wǎng)建設(shè)，一般都要經(jīng)過需求分析、設(shè)計分析、部署實施和系統(tǒng)應(yīng)用等四個過程。這四個過程緊密相聯(lián)，只有按照步驟具體實施才能建設(shè)一個質(zhì)量高、實用性強的校園網(wǎng)，因此在校園網(wǎng)建設(shè)中要堅持以下原則：

2.1 先進性原則

在校園網(wǎng)建設(shè)中要采用最新技術(shù)，規(guī)劃中要著眼未來發(fā)展，適應(yīng)時代要求，堅持適度超前，站在高起點上規(guī)劃校園網(wǎng)的建設(shè)。

2.2 可行性原則

校園網(wǎng)是近年來許多黨校希望建設(shè)的一套系統(tǒng)，是教學(xué)管理的基礎(chǔ)和常用工具。由于校園網(wǎng)應(yīng)用系統(tǒng)是一個涉及面廣、數(shù)據(jù)量大、數(shù)據(jù)類型多的一套系統(tǒng)，如何將這些信息非常好地組織起來有一定難度。在校園網(wǎng)規(guī)劃中，需要充分考慮其現(xiàn)實可行性，防止校園網(wǎng)的建設(shè)成為可望不可及的“空中樓閣”。

2.3 安全性原則

在校園網(wǎng)建設(shè)中，安全是系統(tǒng)的關(guān)鍵。在信息技術(shù)快速發(fā)展的今天，黨校校園網(wǎng)的建設(shè)不僅要采用先進的安全技術(shù)，而且要有完整的安全策略來保證硬件及應(yīng)用系統(tǒng)的安全，同時還必須建立完善的安全管理制度規(guī)范，從根本上杜絕校園網(wǎng)的安全隱患。

2.4 適應(yīng)性原則

校園網(wǎng)的適應(yīng)性不僅表現(xiàn)在系統(tǒng)的適應(yīng)性，還表現(xiàn)在系統(tǒng)應(yīng)能支持多種網(wǎng)絡(luò)環(huán)境，可在局域網(wǎng)、廣域網(wǎng)中使用，并支持撥號網(wǎng)絡(luò)，實現(xiàn)異地辦公。目前校園網(wǎng)應(yīng)用的數(shù)據(jù)、水平和習(xí)慣方面差別很大，不單是簡單的局域網(wǎng)中計算機的對等連接，它涉及到多種網(wǎng)絡(luò)環(huán)境、各種連接方式和接入方式。因此，在整個校園網(wǎng)建設(shè)中一定要考慮多種情況，堅持適應(yīng)性的原則。

2.5 經(jīng)濟性原則

在規(guī)劃設(shè)計校園網(wǎng)時要全面調(diào)研分析，既要遵循經(jīng)濟性和實用性原則，確保校園網(wǎng)建設(shè)的性能要求，又要為系統(tǒng)的發(fā)展留有余地，盡量以最少的投入達到最佳的性能。

2.6 可擴充性原則

校園網(wǎng)建設(shè)必須遵循可擴充性原則。首先，校園網(wǎng)應(yīng)用系統(tǒng)的各個子系統(tǒng)不是一個孤立的方案，需要其它的外部系統(tǒng)的支持和數(shù)據(jù)的共享，這就要求各系統(tǒng)的后臺數(shù)據(jù)庫支持標準的數(shù)據(jù)輸入、輸出接口。其次，在校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部各個子系統(tǒng)間也有數(shù)據(jù)的交換和網(wǎng)管要求，因此必須支持標準的網(wǎng)管協(xié)議并采用標準的網(wǎng)絡(luò)架構(gòu)。最后，隨著技術(shù)的發(fā)展，應(yīng)用軟件的豐富，應(yīng)用軟件和硬件性能都在不斷提高，必須保證軟硬件平臺的可擴充性。

3 VPN在校園網(wǎng)中的關(guān)鍵技術(shù)分析

3.1 VPN技術(shù)

VPN是虛擬專用網(wǎng) (Virtual Private Network)的縮寫，它是利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過隧道封裝、信息加密以及用戶認證等技術(shù)在其上復(fù)用邏輯的隧道連接實現(xiàn)用戶信息通過公用網(wǎng)絡(luò)環(huán)境的安全傳輸[1]。虛擬專用網(wǎng)不是物理上的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)功能。在虛擬專用網(wǎng)中，任意二個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。IETF草案理解基于IP的VPN為：“使用IP機制仿真出一條私有的廣域網(wǎng)”，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。VPN技術(shù)是解決跨區(qū)域網(wǎng)絡(luò)安全互聯(lián)和數(shù)據(jù)安全加密傳輸問題的廉價便捷方法，在不同領(lǐng)域得到了廣泛的應(yīng)用。

通常 VPN 的應(yīng)用分為三類：（1）Access VPN（遠程接入VPN）：客戶端到網(wǎng)關(guān)，使用公網(wǎng)作為骨干網(wǎng)在設(shè)備之間傳輸VPN的數(shù)據(jù)流量；（2）Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公司的網(wǎng)絡(luò)架構(gòu)連接來自同公司的資源；（3）Extranet VPN（外聯(lián)網(wǎng)VPN）：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個公司與另一個公司的資源進行連接。

3.2 VPN的特點

3.2.1安全性

隨著信息技術(shù)的發(fā)展，實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN都是通過加密技術(shù)來進行隧道加密和用戶認證等技術(shù)，確保數(shù)據(jù)的了解對象僅限于發(fā)送者和接收者，以提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3.2.2服務(wù)質(zhì)量保證(QoS)

不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，在VPN的服務(wù)保證中，可以提供最為廣泛的覆蓋性連接，VPN可以為不同要求用戶提供不同等級的服務(wù)質(zhì)量保證。

3.2.3可擴充性

VPN能夠支持通過Intranet和Extranet任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

3.2.4可管理性

VPN可以從用戶和運營商角度方便地進行管理、維護。在VPN業(yè)務(wù)運營中，必須建立一個完善的VPN管理系統(tǒng)。其管理目標具有高擴展性、可靠性、經(jīng)濟性，還能夠極大程度上減小網(wǎng)絡(luò)風(fēng)險，管理內(nèi)容涉及配置管理、設(shè)備管理、訪問控制、安全管理、QoS管理、列表管理等。

3.2.5費用低

采用VPN技術(shù)可以不用租用專線，費用大大降低，所以VPN能夠通過因特網(wǎng)安全而又不增加任何費用地傳輸重要信息。

3.3 VPN主要安全性技術(shù)

3.3.1隧道技術(shù)

隧道技術(shù)是VPN實現(xiàn)的關(guān)鍵技術(shù)之一，是通過某種協(xié)議進行另一種協(xié)議傳輸?shù)募夹g(shù)，主要是所傳遞的數(shù)據(jù)在傳送之前被封裝在相應(yīng)的隧道協(xié)議中，到達另一端后進行解包。通過隧道傳遞的數(shù)據(jù)通常為不同協(xié)議的數(shù)據(jù)包或數(shù)據(jù)幀，通過隧道協(xié)議將其重新封裝并發(fā)送。只有通信的源地址用戶和目的地址的用戶對隧道中的封裝好的信息才可以進行解包和處理，從而保證了信息傳輸?shù)陌踩?/p>

3.3.2加密技術(shù)

加密技術(shù)現(xiàn)在是數(shù)據(jù)通信領(lǐng)域中一項比較成熟的技術(shù)，但是用于虛擬專用網(wǎng)上的加密方法與用于普通情況下的加密方法并沒有本質(zhì)上的區(qū)別，它主要在數(shù)據(jù)包的傳輸過程中，事先用數(shù)據(jù)加密技術(shù)對數(shù)據(jù)包進行加密，然后再進行數(shù)據(jù)傳送。數(shù)據(jù)到達接收者后，首先接收者要對接收到的加密數(shù)據(jù)進行解密，只有經(jīng)過解密后才能看得到所傳輸?shù)臄?shù)據(jù)。

3.3.3用戶認證技術(shù)

用戶認證技術(shù)是在隧道正式連接準備開始前，通常使用用戶認證技術(shù)對用戶的身份進行認證，只有實現(xiàn)系統(tǒng)的授權(quán)用戶才能進一步資源訪問。

3.4 遂道協(xié)議

近年來，不斷出現(xiàn)一些新的隧道技術(shù)，主要有以下幾種協(xié)議。

3.4.1點對點隧道協(xié)議（PPTP協(xié)議）。PPTP協(xié)議增強了PPP的認證、壓縮和加密功能。在PPTP協(xié)議中，數(shù)據(jù)包和控制包是分開的，先將數(shù)據(jù)包封裝到PPP協(xié)議中，然后再封裝到GRE（通用路由封裝協(xié)議）中，用于封裝到任何形式的IP數(shù)據(jù)包，所以PPTP支持大多數(shù)的主流協(xié)議。PPTP比PPP的安全等級高，它在基于TCP/IP協(xié)議的網(wǎng)絡(luò)上創(chuàng)建VPN連接，所以數(shù)據(jù)傳輸更加安全，在VPN服務(wù)器上執(zhí)行驗證和安全檢查，并對數(shù)據(jù)進行加密。

3.4.2第二層隧道協(xié)議（L2TP 協(xié)議）。L2TP也是PPP協(xié)議的擴展，它綜合了PPTP的優(yōu)點。所以既支持Client-to-LAN類型的VPN連接，也支持LAN-to-LAN類型的VPN連接。L2TP可以被多種協(xié)議所支持，用戶可以在原有的協(xié)議或公司原有的IP地址的基礎(chǔ)上應(yīng)用。在L2TP方式中用戶不需要在計算機上安裝專門的客戶端軟件，可以使用未注冊的IP地址，數(shù)據(jù)庫的管理認證在本地進行，從而降低了應(yīng)用成本和培訓(xùn)維護費用，給服務(wù)提供商和用戶帶來了許多方便。L2TP相對PPTP而言，它提供了差錯和流量的控制。雙方用序列號來判斷數(shù)據(jù)包的順序和緩沖區(qū)是否正確，如果數(shù)據(jù)丟失，可以根據(jù)序列號重新發(fā)送。

L2TP是PPP的擴展協(xié)議，它可以進行用戶身份的認證，在建立隧道時用控制包進行數(shù)據(jù)的加密，然后進行傳輸，密鑰是隨機產(chǎn)生的，但是在數(shù)據(jù)傳輸?shù)倪^程中是不加密的。PPTP只支持Client-LAN的連接，它是在客戶端與網(wǎng)絡(luò)服務(wù)器間建立連接，所以只能建立單一的隧道。而L2TP即支持Client-to-LAN的連接，也支持LAN-to-LAN的連接，兩端點間可以是多隧道。用戶可以根據(jù)需要選擇不同的隧道。L2TP的主要缺點只是在隧道發(fā)生端及終止端進行認證及加密，而隧道一旦建立，源與目的用戶的身份不需要再次進行驗證，這樣數(shù)據(jù)傳輸過程中存在安全隱患。

3.4.3 IPSec VPN模式。IPSec(IPsecurity)產(chǎn)生于IPv6的制定中，主要用于為IP層提供安全性能。在所有主機(支持TCP/IP協(xié)議)進行通信的過程中，必須經(jīng)過IP層的處理，因此提高IP層的安全性能也是奠定整個網(wǎng)絡(luò)通信的安全基礎(chǔ)。由于IPv4的應(yīng)用仍較為廣泛，因此在后來的IPSec制定中還添加了對IPv4的支持[2]。IPSec是一種開放的框架結(jié)構(gòu)，通過使用加密的服務(wù)以確保在網(wǎng)絡(luò)上進行保密而安全的通訊[3]。

IPSec是安全聯(lián)網(wǎng)的長期方向。它通過端對端的安全性來提供主動的保護，以防止專用網(wǎng)絡(luò)與Internet的攻擊[4]。在通信中，只有發(fā)送方和接收方才是唯一必須了解 IPSec保護的計算機。在Windows XP和 Windows Server2003家族中，IPSec提供了一種能力，以保護工作組、局域網(wǎng)計算機、Client端和Server端、分支機構(gòu)以及 Routerclient端之間的通信[5]。

4 VPN技術(shù)在黨校系統(tǒng)中的應(yīng)用

近年來，黨校系統(tǒng)信息化建設(shè)快速發(fā)展，省委黨校的各類數(shù)字化資源具備了一定的規(guī)模。但是基于網(wǎng)絡(luò)安全和知識產(chǎn)權(quán)等因素，這些數(shù)字化資源一般都限制在校園網(wǎng)內(nèi)訪問，離開了校園網(wǎng)，教師或?qū)W員都無法訪問；同時市及縣級黨校因經(jīng)費、人力資源的限制，數(shù)字化資源十分有限，都希望能夠共享省一級黨校的數(shù)字化資源。如何促進資源的共享，避免信息孤島，福建省委黨校著手建設(shè)三級VPN專網(wǎng)，其網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如下：

在該方案中，市級黨校接入省委黨校，使用深信服科技公司的基于IPSec和 SSL的二合一VPN網(wǎng)關(guān)設(shè)備來構(gòu)建 VPN專網(wǎng)，如我校采用VPN-2050網(wǎng)關(guān)作為接入設(shè)備。該網(wǎng)關(guān)同時支持IPSec協(xié)議和 SSL協(xié)議，支持終端使用包括Win7、Linux等操作系統(tǒng)來登錄SSL VPN系統(tǒng)，支持IPhone OS、Android等操作系統(tǒng)的智能手機、PDA等移動終端的SSL VPN接入，支持AES、DES、3DES等主流的商業(yè)加密算法，具備基于狀態(tài)監(jiān)測技術(shù)的防火墻功能，能夠抵抗常見的網(wǎng)絡(luò)攻擊。

IPSec VPN 是基于 IPSec（IP Security）協(xié)議的VPN技術(shù)，多應(yīng)用于兩個局域網(wǎng)之間的安全連接，保護點對點之間的通信，工作于網(wǎng)絡(luò)層。與其他VPN技術(shù)相比，其優(yōu)勢在于可以采用動態(tài)的密鑰，保證數(shù)據(jù)的安全，實現(xiàn)高度的安全性。同時確保運行在TCP/IP協(xié)議上的VPN之間互操作性。IPSec VPN用于解決省委黨校和市委黨校局域網(wǎng)的互連，通過在兩站點間創(chuàng)建安全隧道提供直接接入，實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問。IPSec VPN亦可以進行遠程接入，但它要求每個遠程接入的終端都要安裝配置客戶端軟件，維護管理工作量大，因此不適合大量分散移動用戶的接入。

SSL VPN是基于SSL（Security Socket Layer）協(xié)議的VPN 技術(shù)。可以提供基于應(yīng)用層的訪問控制，具有數(shù)據(jù)加密、完整性檢測和認證機制。SSL VPN 的優(yōu)勢在于 Web 安全和移動接入，具有部署簡單，不需進行配置，不需安裝客戶端，維護成本低，可以適用于任何的終端及操作系統(tǒng)，網(wǎng)絡(luò)適應(yīng)性強等特點。因而適合于縣區(qū)黨校和移動用戶的安全遠程接入，接入后的用戶受控于更細致的訪問控制粒度。

我校原有校園結(jié)構(gòu)較為簡單，我們直接通過網(wǎng)關(guān)模式連接VPN-2050設(shè)備替代原路由器。在系統(tǒng)網(wǎng)絡(luò)配置上，分別配置內(nèi)網(wǎng)接口及外網(wǎng)接口IP地址。需要注意的是，專網(wǎng)內(nèi)IP地址不能沖突，必須對設(shè)區(qū)市市級黨校校園網(wǎng)的內(nèi)網(wǎng)IP地址進行統(tǒng)一分配和管理。在IPSec配置上，需要配置主WEBAGENT及端口，為移動用戶分配虛擬IP地址，同時要進行用戶配置、連接配置、隧道間路由配置等參數(shù)的配置。在SSL VPN配置上，需進行用戶管理、資源管理、資源授權(quán)等參數(shù)的配置。

5 結(jié)束語

總之，VPN技術(shù)通過在公用網(wǎng)中建立內(nèi)部網(wǎng)絡(luò)間的專用數(shù)據(jù)隧道，具有安全性高、成本低、易管理、擴展性強等優(yōu)點，隨著信息資源化程度的深入，遠程安全訪問需求的加大，VPN技術(shù)將是遠程解決校園外用戶訪問校園內(nèi)部數(shù)據(jù)庫資源的首選方案。

[1] 翁亮，陳依群，諸鴻文. VPN 用戶認證技術(shù)[J].通信技術(shù)，1999(4):47-51.

[2] 劉昊.一種面向IPSec VPN教學(xué)的實驗系統(tǒng)的設(shè)計與實現(xiàn)[D].上海：上海交通大學(xué)，2005.

[3] 潘衛(wèi)明，游慧.雙向NAT環(huán)境下的IPSec隧道通信研究[J].計算機仿真，2004, 21(6): 85-87, 94-95.

[4] 王鐵英, 王尚平, 孫瑾, 等. 終端用戶VPN的研究[J].計算機應(yīng)用研究，2005 (7): 57-59.

[5] 楊凱，李方敏.基于IXP425的寬帶VPN網(wǎng)關(guān)設(shè)計與實現(xiàn)[J].武漢理工大學(xué)學(xué)報: 信息與管理工程版，2005(5) .