青海大学校园一卡通建设案例分析

　　随着教育信息化的推进，信息技术在高校管理的各个方面广泛应用，数字化校园建设对提高学校教学、管理和科研水平起到了积极的推动作用。“校园一卡通”系统是数字化校园建设的重要组成部分，对学校的管理和决策支持具有重大意义。
　　
　　所谓“校园一卡通”，就是在学校范围内，凡有现金、票证或需要识别身份的场合均采用一张卡来完成。这种管理模式代替了传统的做法，集学生证、工作证、身份证、借书证、医疗证、会员证、餐卡、钱包、存折等于一卡，实现“一卡在手，走遍校园”、“一卡通用、一卡多用”的目的。它为学校师生的工作、学习、生活带来方便，为学校的管理带来高效、方便与安全，它既实现了对师生员工日常活动的管理，又为教学、科研和后勤服务提供了重要信息。
　　
　　1青海大学“校园一卡通”现状及问题
　　
　　为加强数字化校园建设，加强统一管理，实现数据共享，提高管理工作质量，在学校校园网建设和信息化水平具有较好基础的情况下，青海大学于2009年开始建设“校园一卡通”系统。青海大学具备良好的校园网络基础，校园信息化程度较高，许多单位都拥有各自的信息管理系统。在卡业务方面也有不少应用，例如食堂售餐系统、图书馆管理系统、教务管理系统等。
　　
　　但青海大学“校园一卡通”系统起步较晚，也存在着一些问题，主要有：
　　
　　1．1基础网络起步晚、建设慢青海大学“校园一卡通”规划实际是从2007年开始，但由于当时校园各园区正在合并建设，学生食堂及分院教学办公楼在建中，校园网建设也在分期实施中，因此，至2009年基于校园网络基础，“校园一卡通”系统才开始部署建设。
　　
　　1．2网络规划滞后2009年以来青海大学“校园一卡通”在不断推进与建设中，但由于“校园一卡通”技术发展迅速、技术及设备更新快等特点，因此2007年的规划方案在网络部署、运行模式上存在着滞后和缺失。
　　
　　1．3应用分散青海大学各部门使用管理信息系统，如科技处科研管理系统，教务处教务管理系统，图书馆图书管理系统等，虽说各子系统功能较完善，但都由各单位自行建设和运行，并没有实现网络数据共享平台。
　　
　　1．4网络接点分布广而散学校有成教院、医学院、昆仑学院、校本部等四个园区，本部园区又下设财经学院、机械工程学院、化工学院等独立教学大楼，校园网络虽已建设完成，但信息点多、分布广、应用设备接八分散。
　　
　　由此可见，青海大学“校园一卡通”系统规模较大，分布式应用和广泛的网络接点，对“一卡通”系统的安全性、稳定性提出很高的要求，仅仅从软件设计方面完善“校园一卡通”系统是不够的，网络环境的安全性应是首当其冲。
　　
　　2青海大学“校园一卡通”网络安全策略
　　
　　“校园一卡通”系统是一个全校范围内较大规模的信息化工程，针对网络的安全性，我们从以下几个方面多层次、多角度地进行了安全策略分析与设计。
　　
　　2．1网络安全规划
　　
　　2．1．1建立建全和完善网络安全制度合理完善的规章制度和规范的手续，严格的网络使用操作规程，注重对网络账号、密码的保护，确定网络安全等级和网络管理职责，控制内部使用人员对网络共享资源的使用，日志的实时监控等，这些都是保障系统运行过程中网络运行稳定、安全的重要手段。
　　
　　2．1．2硬件设备的安全性级别在网络设备选型、网络线路布设等方面保证硬件的可靠性，及时更换、更新设备，从基础设施提高网络安全性。
　　
　　2．1．3网络安全的统一规划和部署“校园一卡通”建设是一项十分复杂的系统工程，充分考虑到青海大学现有网络的特点以及分布规则，我们按照统一规划、分步实施的原则，站在学校数字校园的高度进行了一卡通信息系统的规划和设计。青海大学“校园一卡通”系统基于校园网设计实施，网络拓扑结构如图1。
　　
　　2．2网络安全策略
　　
　　2．2．1网络安全层次设计我们将数据服务器网络分成三个网络安全层次：①第一层：核心数据库服务器，是一卡通系统的核心，此层设备的网络与第二层的数据服务器网络进行物理隔离，与核心进行数据交换的服务器必须通过双网卡的模式直接与核心网络进行连接。②第二层：一卡通服务器、Web管理服务器，还包括银行的接入网络、各种金融交易的卡具。这层网络的安全要求达到银行金融网络的标准，所以要求一卡通中心的物理专用网络和一卡通系统分布在校园内的各种设备和应用系统的VLAN组成一个全新的与校园网关联的逻辑专网。③第三层：一卡通的门户服务器、各个应用系统与一卡通系统进行数据交换的服务器。这层的数据服务器不建立在专网上，但这些服务器也通过双网卡的模式建立各个应用系统与此层网络的通讯链路。
　　
　　2．2．2网络安全组网方式青海大学校园网工程光纤已经遍布全校各个角落，通过利用校园网原有光纤的冗余光纤架设一卡通网络主干，使一卡通网络通信与校园网络通信物理上隔开。一卡通网络独立运行，受外部用户干扰的可行性小，具有较高的安全性，且不易受到黑客和病毒的攻击，网络稳定性较好。
　　
　　2．2．3网络安全策略
　　
　　①虚拟专用网络(VPN)技术。VPN网络技术是在两台计算机或局域网之间建立一个安全的连接，通过Intemet或其它开放的校园网的数据中心、终端、远程办公室、商户等对象之间进行信息传输。无须另外专门布线，充分利用现有的校园网，通过VPN技术设备接入服务、应用接入服务和系统对接服务配置双网卡，隔离原有校园网(一卡通外网)和一卡通网络(一卡通内网)。
　　
　　②虚拟局域网(VLAN)技术。如图1所示，“校园一卡通”系统全部使用支持3层交换、VLAN的交换机。由于交换机的支持，进行了基于IP的VLAN划分，使得“校园一卡通”系统的网络被隔离为一个VLAN(VirtualLAN)，在硬件层面上加强了网络安全性。同时，在IP地址管理方面，“校园一卡通”系统中的所有联网终端、工作站的IP地址全部设置在同一子网内，进而在设置管理上加强了网络及其安全性。
　　
　　③IP绑定技术。将MAC端口地址与IP地址绑定，一种是在交换机上把MAC地址和交换机端口绑定，只允许合法MAC地址的数据通过交换机，不合法的其他MAC地址一概不能连入网络；另一种是把主机的MAC地址和IP地址进行绑定，建立起MAC和IP的一一对应关系。
　　
　　④访问控制列表(ACL)技术。利用访问控制列表对属于“校园一卡通”系统中的计算机进行访问控制，现在所有的路由器和三层交换机上都会支持ACL。使用ACL只允许一卡通系统内的IP和MAC访问数据库：屏蔽所有不属于一卡通系统内的IP和MAC：对IP地址、端口、MAC地址、协议进行过滤，把病毒攻击和人为恶意攻击阻挡在一卡通系统网络之外。
　　
　　⑤银行专线。是与银行通讯的通讯线路专线，用于传输金融交易数据。此通道选用联通DDN专线，在银行和学校端分别安装路由器、数据终端单元(DTU)，在两端安装防火墙。
　　
　　通过以上网络安全技术和策略设计，确保网络连接和信息传输的安全性，使“校园一卡通”系统有一个安全、稳定的运行环境。
　　
　　3结语
　　
　　“校园一卡通”系统既是学校的消费系统，还是管理系统，学校通过“校园一卡通”建设，不仅提高了学校管理水平，也大大提升了校园网应用的层次。一卡通网络也成为校园网络的一个重要组成部分，是实施数字校园的起点和核心内容。