智能卡系統在數字化校園中的安全性分析

2014-04-10 04:07:21車兆東

讀寫算·素質教育論壇 2014年25期

車兆東

摘要校園智能卡系統是數字化校園的基礎工程，數字化校園是以校園網為依托。通過對校園智能卡系統在數字化校園中部署方式的分析可知，網絡虛擬化技術進行隔離的手段以及層次化的服務器安全部署方案，可以全方位的確保證校園智能卡系統的安全、可靠運行。

關鍵詞校園網；智能卡；虛擬化；安全性；MPLS VPN

一、引言

校園智能卡系統是數字化校園的基礎工程，已經逐漸成為數字化校園建設的基礎性標志，更是整個數字化校園的核心應用項目。該系統代替了傳統的校園管理模式，給校園的日常管理、生活帶來了極大的方便。該系統不僅僅是單一的消費系統，它還具備管理功能，與學校管理信息系統無縫鏈接，并且具備身份識別功能，該系統既要為數字化校園提供數據平臺，又要為校內消費提供安全可靠的金融平臺，必須確保系統在各方面的安全性能，防止和避免系統在任何可能遭受的攻擊和破壞下使用戶蒙受損失。數字化校園是以校園網為依托，因此，校園智能卡系統在校園網系統的安全問題也就變的至關重要。

二、智能卡系統的幾種部署方式

校園智能卡系統是一個必須具有銀行級別安全保障的重要的信息系統。目前，該系統在數字化校園中一般有三種部署方式：（2）與現有校園網混合；（2）使用與校園網物理隔離的專用網絡；（3）通過網絡虛擬化技術進行隔離。

第一種方式，與現有校園網混合。通過在網絡設備上設置VLAN、ACL（Access Control List，訪問控制列表，是路由器和交換機接口的指令列表，用來控制端口進出的數據包）進行簡單的訪問控制，存在一定的安全風險。

第二種方式，使用與校園網物理隔離的專用網絡。通過專網把校園智能卡系統與校園網絡物理分開，安全性非常高，但是，需要另外購置專用的網絡設備，并且需要在校園內另外鋪設光纖、雙絞線等綜合布線系統，建設一套獨立于校園網的校園智能卡系統專用網絡，花費比較大。

第三種方式，通過網絡虛擬化技術進行隔離的手段。雖然物理上，校園智能卡業務與其他校園網業務共用一套網絡設備，共用一套布線系統；但是邏輯上，通過各種虛擬化技術，校園智能卡業務和校園網中其他業務是完全隔離的，客戶端到服務器從混合網絡中隔離出來，路由表及轉發表與其他網絡完全隔離，還可以單獨對校園智能卡流量進行QOS（Quality of Service，服務質量保障，是網絡的一種安全機制，用來解決網絡延遲和阻塞等問題的一種技術）控制。

三、智能卡系統的安全性分析

目前的校園智能卡系統大多采取第一種方式部署，有專門的校園智能卡網段，通過ACL與其他業務隔離。前置服務器負責發布信息到校園網，該服務器有兩個網卡，一個網卡與校園智能卡網段內的客戶端互通，另一個網卡連接到校園網上，允許校園網用戶直接訪問這臺服務器，查詢校園智能卡的交易數據、個人信息。但是這種方式校園網用戶可以直接訪問到校園智能卡系統的核心服務器，存在一定的安全風險。

隨著網絡技術以及虛擬化技術的不斷發展，為確保校園智能卡系統的安全性建議采用第三種方式，通過網絡虛擬化技術進行隔離的手段，即通過網絡設備的虛擬化MPLS VPN（一種利用多協議標簽交換技術來產生虛擬專網的方法）技術來實現業務的安全隔離。這樣既可以保證安全，又可以節約資金。具體方式是將校園智能卡系統的服務器部署在校園網的中心機房，終端設備分散在校園內的多個位置。

1.部署MPLS L3VPN

通過在中心機房核心設備上針對校園智能卡系統的網絡接口部署MPLS L3VPN，完成校園智能卡系統的網絡隔離。為了增加高可靠性，可在中心機房核心設備上開啟雙PE Multihoming（多宿主技術），當其中一臺設備出現問題時，MPLS VPN不受影響，校園智能卡業務不受影響。

MPLS L3VPN是服務提供商VPN解決方案中一種基于PE的L3VPN技術，它使用BGP（Border Gateway Protocol，邊界網關協議）在服務提供商骨干網上發布VPN路由，使用MPLS在服務提供商骨干網上轉發VPN報文。

●CE（Customer Edge）設備：用戶網絡邊緣設備，有接口直接與SP（Service Provider，服務提供商）相連。CE可以是路由器或交換機，也可以是一臺主機。CE“感知”不到VPN的存在，也不需要必須支持MPLS。

●PE（Provider Edge）路由器：服務提供商邊緣路由器，是服務提供商網絡的邊緣設備，與用戶的CE直接相連。在MPLS網絡中，對VPN的所有處理都發生在PE上。

●P（Provider）路由器：服務提供商網絡中的骨干路由器，不與CE直接相連。P設備只需要具備基本MPLS轉發能力。

2.服務器的部署

校園智能卡系統服務器本身的安全防護，可以參照金融行業網上銀行的部署方式：用戶在通過互聯網訪問到網上銀行業務的時候，銀行只開放WEB服務器的80或者443端口，而WEB服務器只提供HTTP或者HTTPS的服務。所有網上銀行的應用都由WEB服務器直接調用APP（應用）服務器，而數據是由APP服務器調用DB（數據庫）服務器，整個業務系統在服務器層面分為三層，每個層次之間都有安全設備進行防護。

四、結論

通過以上分析可知，網絡虛擬化技術進行隔離的手段以及層次化的服務器安全部署方案，可以全方位的確保證校園智能卡系統在數字化校園中安全、可靠的運行。

參考文獻：

[1]杭州華三通信技術有限公司.MPLS L3VPN技術介紹. [DB/OL]，2011（11）.

[2]李雷.基于MPLS VPN的校園網多業務系統運用[J].中國教育信息化，2011，（2）：19-21.