隨著教育信息化的推進(jìn)，信息技術(shù)在高校管理的各個(gè)方面廣泛應(yīng)用，數(shù)字化校園建設(shè)對(duì)提高學(xué)校教學(xué)、管理和科研水平起到了積極的推動(dòng)作用。“校園一卡通”系統(tǒng)是數(shù)字化校園建設(shè)的重要組成部分，對(duì)學(xué)校的管理和決策支持具有重大意義。
　　
　　所謂“校園一卡通”，就是在學(xué)校范圍內(nèi)，凡有現(xiàn)金、票證或需要識(shí)別身份的場(chǎng)合均采用一張卡來(lái)完成。這種管理模式代替了傳統(tǒng)的做法，集學(xué)生證、工作證、*、借書(shū)證、醫(yī)療證、會(huì)員證、餐卡、錢(qián)包、存折等于一卡，實(shí)現(xiàn)“一卡在手，走遍校園”、“一卡通用、一卡多用”的目的。它為學(xué)校師生的工作、學(xué)習(xí)、生活帶來(lái)方便，為學(xué)校的管理帶來(lái)、方便與安全，它既實(shí)現(xiàn)了對(duì)師生員工日常活動(dòng)的管理，又為教學(xué)、科研和后勤服務(wù)提供了重要信息。
　　
　　1青海大學(xué)“校園一卡通”現(xiàn)狀及問(wèn)題
　　
　　為加強(qiáng)數(shù)字化校園建設(shè)，加強(qiáng)統(tǒng)一管理，實(shí)現(xiàn)數(shù)據(jù)共享，提高管理工作質(zhì)量，在學(xué)校校園網(wǎng)建設(shè)和信息化水平具有較好基礎(chǔ)的情況下，青海大學(xué)于2009年開(kāi)始建設(shè)“校園一卡通”系統(tǒng)。青海大學(xué)具備良好的校園網(wǎng)絡(luò)基礎(chǔ)，校園信息化程度較高，許多單位都擁有各自的信息管理系統(tǒng)。在卡業(yè)務(wù)方面也有不少應(yīng)用，例如食堂售餐系統(tǒng)、圖書(shū)館管理系統(tǒng)、教務(wù)管理系統(tǒng)等。
　　
　　但青海大學(xué)“校園一卡通”系統(tǒng)起步較晚，也存在著一些問(wèn)題，主要有：
　　
　　1．1基礎(chǔ)網(wǎng)絡(luò)起步晚、建設(shè)慢青海大學(xué)“校園一卡通”規(guī)劃實(shí)際是從2007年開(kāi)始，但由于當(dāng)時(shí)校園各園區(qū)正在合并建設(shè)，學(xué)生食堂及分院教學(xué)辦公樓在建中，校園網(wǎng)建設(shè)也在分期實(shí)施中，因此，至2009年基于校園網(wǎng)絡(luò)基礎(chǔ)，“校園一卡通”系統(tǒng)才開(kāi)始部署建設(shè)。
　　
　　1．2網(wǎng)絡(luò)規(guī)劃滯后2009年以來(lái)青海大學(xué)“校園一卡通”在不斷推進(jìn)與建設(shè)中，但由于“校園一卡通”技術(shù)發(fā)展迅速、技術(shù)及設(shè)備更新快等特點(diǎn)，因此2007年的規(guī)劃方案在網(wǎng)絡(luò)部署、運(yùn)行模式上存在著滯后和缺失。
　　
　　1．3應(yīng)用分散青海大學(xué)各部門(mén)使用管理信息系統(tǒng)，如科技處科研管理系統(tǒng)，教務(wù)處教務(wù)管理系統(tǒng)，圖書(shū)館圖書(shū)管理系統(tǒng)等，雖說(shuō)各子系統(tǒng)功能較完善，但都由各單位自行建設(shè)和運(yùn)行，并沒(méi)有實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)共享平臺(tái)。
　　
　　1．4網(wǎng)絡(luò)接點(diǎn)分布廣而散學(xué)校有成教院、醫(yī)學(xué)院、昆侖學(xué)院、校本部等四個(gè)園區(qū)，本部園區(qū)又下設(shè)財(cái)經(jīng)學(xué)院、機(jī)械工程學(xué)院、化工學(xué)院等獨(dú)立教學(xué)大樓，校園網(wǎng)絡(luò)雖已建設(shè)完成，但信息點(diǎn)多、分布廣、應(yīng)用設(shè)備接八分散。
　　
　　由此可見(jiàn)，青海大學(xué)“校園一卡通”系統(tǒng)規(guī)模較大，分布式應(yīng)用和廣泛的網(wǎng)絡(luò)接點(diǎn)，對(duì)“一卡通”系統(tǒng)的安全性、穩(wěn)定性提出很高的要求，僅僅從軟件設(shè)計(jì)方面完善“校園一卡通”系統(tǒng)是不夠的，網(wǎng)絡(luò)環(huán)境的安全性應(yīng)是*。
　　
　　2青海大學(xué)“校園一卡通”網(wǎng)絡(luò)安全策略
　　
　　“校園一卡通”系統(tǒng)是一個(gè)全校范圍內(nèi)較大規(guī)模的信息化工程，針對(duì)網(wǎng)絡(luò)的安全性，我們從以下幾個(gè)方面多層次、多角度地進(jìn)行了安全策略分析與設(shè)計(jì)。
　　
　　2．1網(wǎng)絡(luò)安全規(guī)劃
　　
　　2．1．1建立建全和完善網(wǎng)絡(luò)安全制度合理完善的規(guī)章制度和規(guī)范的手續(xù)，嚴(yán)格的網(wǎng)絡(luò)使用操作規(guī)程，注重對(duì)網(wǎng)絡(luò)賬號(hào)、密碼的保護(hù)，確定網(wǎng)絡(luò)安全等級(jí)和網(wǎng)絡(luò)管理職責(zé)，控制內(nèi)部使用人員對(duì)網(wǎng)絡(luò)共享資源的使用，日志的實(shí)時(shí)監(jiān)控等，這些都是保障系統(tǒng)運(yùn)行過(guò)程中網(wǎng)絡(luò)運(yùn)行穩(wěn)定、安全的重要手段。
　　
　　2．1．2硬件設(shè)備的安全性級(jí)別在網(wǎng)絡(luò)設(shè)備選型、網(wǎng)絡(luò)線(xiàn)路布設(shè)等方面保證硬件的可靠性，及時(shí)更換、更新設(shè)備，從基礎(chǔ)設(shè)施提高網(wǎng)絡(luò)安全性。
　　
　　2．1．3網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃和部署“校園一卡通”建設(shè)是一項(xiàng)十分復(fù)雜的系統(tǒng)工程，充分考慮到青海大學(xué)現(xiàn)有網(wǎng)絡(luò)的特點(diǎn)以及分布規(guī)則，我們按照統(tǒng)一規(guī)劃、分步實(shí)施的原則，站在學(xué)校數(shù)字校園的高度進(jìn)行了一卡通信息系統(tǒng)的規(guī)劃和設(shè)計(jì)。青海大學(xué)“校園一卡通”系統(tǒng)基于校園網(wǎng)設(shè)計(jì)實(shí)施，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1。
　　
　　2．2網(wǎng)絡(luò)安全策略
　　
　　2．2．1網(wǎng)絡(luò)安全層次設(shè)計(jì)我們將數(shù)據(jù)服務(wù)器網(wǎng)絡(luò)分成三個(gè)網(wǎng)絡(luò)安全層次：①*層：核心數(shù)據(jù)庫(kù)服務(wù)器，是一卡通系統(tǒng)的核心，此層設(shè)備的網(wǎng)絡(luò)與第二層的數(shù)據(jù)服務(wù)器網(wǎng)絡(luò)進(jìn)行物理隔離，與核心進(jìn)行數(shù)據(jù)交換的服務(wù)器必須通過(guò)雙網(wǎng)卡的模式直接與核心網(wǎng)絡(luò)進(jìn)行連接。②第二層：一卡通服務(wù)器、Web管理服務(wù)器，還包括銀行的接入網(wǎng)絡(luò)、各種金融交易的卡具。這層網(wǎng)絡(luò)的安全要求達(dá)到銀行金融網(wǎng)絡(luò)的標(biāo)準(zhǔn)，所以要求一卡通中心的物理網(wǎng)絡(luò)和一卡通系統(tǒng)分布在校園內(nèi)的各種設(shè)備和應(yīng)用系統(tǒng)的VLAN組成一個(gè)全新的與校園網(wǎng)關(guān)聯(lián)的邏輯專(zhuān)網(wǎng)。③第三層：一卡通的門(mén)戶(hù)服務(wù)器、各個(gè)應(yīng)用系統(tǒng)與一卡通系統(tǒng)進(jìn)行數(shù)據(jù)交換的服務(wù)器。這層的數(shù)據(jù)服務(wù)器不建立在專(zhuān)網(wǎng)上，但這些服務(wù)器也通過(guò)雙網(wǎng)卡的模式建立各個(gè)應(yīng)用系統(tǒng)與此層網(wǎng)絡(luò)的通訊鏈路。
　　
　　2．2．2網(wǎng)絡(luò)安全組網(wǎng)方式青海大學(xué)校園網(wǎng)工程光纖已經(jīng)遍布全校各個(gè)角落，通過(guò)利用校園網(wǎng)原有光纖的冗余光纖架設(shè)一卡通網(wǎng)絡(luò)主干，使一卡通網(wǎng)絡(luò)通信與校園網(wǎng)絡(luò)通信物理上隔開(kāi)。一卡通網(wǎng)絡(luò)獨(dú)立運(yùn)行，受外部用戶(hù)干擾的可行性小，具有較高的安全性，且不易受到黑客和病毒的攻擊，網(wǎng)絡(luò)穩(wěn)定性較好。
　　
　　2．2．3網(wǎng)絡(luò)安全策略
　　
　　①虛擬網(wǎng)絡(luò)（VPN）技術(shù)。VPN網(wǎng)絡(luò)技術(shù)是在兩臺(tái)計(jì)算機(jī)或局域網(wǎng)之間建立一個(gè)安全的連接，通過(guò)Intemet或其它開(kāi)放的校園網(wǎng)的數(shù)據(jù)中心、終端、遠(yuǎn)程辦公室、商戶(hù)等對(duì)象之間進(jìn)行信息傳輸。無(wú)須另外專(zhuān)門(mén)布線(xiàn)，充分利用現(xiàn)有的校園網(wǎng)，通過(guò)VPN技術(shù)設(shè)備接入服務(wù)、應(yīng)用接入服務(wù)和系統(tǒng)對(duì)接服務(wù)配置雙網(wǎng)卡，隔離原有校園網(wǎng)（一卡通外網(wǎng)）和一卡通網(wǎng)絡(luò)（一卡通內(nèi)網(wǎng)）。
　　
　　②虛擬局域網(wǎng)（VLAN）技術(shù)。如圖1所示，“校園一卡通”系統(tǒng)全部使用支持3層交換、VLAN的交換機(jī)。由于交換機(jī)的支持，進(jìn)行了基于IP的VLAN劃分，使得“校園一卡通”系統(tǒng)的網(wǎng)絡(luò)被隔離為一個(gè)VLAN（VirtualLAN），在硬件層面上加強(qiáng)了網(wǎng)絡(luò)安全性。同時(shí)，在IP地址管理方面，“校園一卡通”系統(tǒng)中的所有聯(lián)網(wǎng)終端、工作站的IP地址全部設(shè)置在同一子網(wǎng)內(nèi)，進(jìn)而在設(shè)置管理上加強(qiáng)了網(wǎng)絡(luò)及其安全性。
　　
　?、跧P綁定技術(shù)。將MAC端口地址與IP地址綁定，一種是在交換機(jī)上把MAC地址和交換機(jī)端口綁定，只允許合法MAC地址的數(shù)據(jù)通過(guò)交換機(jī)，不合法的其他MAC地址一概不能連入網(wǎng)絡(luò)；另一種是把主機(jī)的MAC地址和IP地址進(jìn)行綁定，建立起MAC和IP的一一對(duì)應(yīng)關(guān)系。
　　
　?、茉L(fǎng)問(wèn)控制列表（ACL）技術(shù)。利用訪(fǎng)問(wèn)控制列表對(duì)屬于“校園一卡通”系統(tǒng)中的計(jì)算機(jī)進(jìn)行訪(fǎng)問(wèn)控制，現(xiàn)在所有的路由器和三層交換機(jī)上都會(huì)支持ACL。使用ACL只允許一卡通系統(tǒng)內(nèi)的IP和MAC訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)：屏蔽所有不屬于一卡通系統(tǒng)內(nèi)的IP和MAC：對(duì)IP地址、端口、MAC地址、協(xié)議進(jìn)行過(guò)濾，把病毒攻擊和人為惡意攻擊阻擋在一卡通系統(tǒng)網(wǎng)絡(luò)之外。
　　
　　⑤銀行專(zhuān)線(xiàn)。是與銀行通訊的通訊線(xiàn)路專(zhuān)線(xiàn)，用于傳輸金融交易數(shù)據(jù)。此通道選用聯(lián)通DDN專(zhuān)線(xiàn)，在銀行和學(xué)校端分別安裝路由器、數(shù)據(jù)終端單元（DTU），在兩端安裝防火墻。
　　
　　通過(guò)以上網(wǎng)絡(luò)安全技術(shù)和策略設(shè)計(jì)，確保網(wǎng)絡(luò)連接和信息傳輸?shù)陌踩裕?ldquo;校園一卡通”系統(tǒng)有一個(gè)安全、穩(wěn)定的運(yùn)行環(huán)境。
　　
　　3結(jié)語(yǔ)
　　
　　“校園一卡通”系統(tǒng)既是學(xué)校的消費(fèi)系統(tǒng)，還是管理系統(tǒng)，學(xué)校通過(guò)“校園一卡通”建設(shè)，不僅提高了學(xué)校管理水平，也大大提升了校園網(wǎng)應(yīng)用的層次。一卡通網(wǎng)絡(luò)也成為校園網(wǎng)絡(luò)的一個(gè)重要組成部分，是實(shí)施數(shù)字校園的起點(diǎn)和核心內(nèi)容。