校園一卡通系統網絡安全研究

毛乾任，王朝斌，鄧 超，胡章榮

(西華師范大學 計算機學院，四川 南充 637009)

0 引 言

校園一卡通系統安全性要求主要涉及到三個部分:系統數據庫安全、網絡安全和系統終端設備及卡片的安全．目前為止，一卡通系統大多是架設在校園網的基礎上，安全性不能保證，某些子系統也沒有做到真正意義上的整合．本文在探究校園一卡通系統的網絡安全的同時，提出一種校園一卡通專網的安全體系架構，實現一卡通系統在子系統的分散使用以及管理的安全整合．在一定程度上，基于專網的校園網一卡通系統，可以有效地防范校園一卡通系統的不安全隱患，有利于建設一個管理手段先進和服務質量優良的校園一卡通系統．

1 一卡通專用網絡架構

1．1 專網概述

校園一卡通系統可以分為獨立組網(“專網”)或基于校園局域網兩種方式．為實現更高的一卡通系統安全性，采用在校園網原有冗余光纖的基礎上建立一卡通系統專網［1］的建設方案．專網構建的一卡通系統由兩部分組成:一卡通數據中心、校區的業務管理系統．一卡通數據中心位于學校網絡中心，通過骨干節點的三層交換機接入．業務管理設施接入校園業務節點，提供一卡通應用服務．

1．2 專網的結構設計

專網系統采用基于三層交換技術的千兆以太網作為網絡主干，骨干節點通過多鏈路鏈接到一卡通數據中心服務區，根據具體的條件選擇光接入到校園每一個接入層交換機，一卡通專用網絡通過校園網絡中心外連互聯網［2］．核心層設備采用鏈路聚合+OSPF 路由結構，實現高帶寬，高轉發性和冗余特性． 接入層設備，需保證數據交換安全、QoS 策略等安全特性［3］．可采用華為S5700 -LI 作為接入層交換機．終端設備通過網絡服務器或三層交換機直接連接到主干網，各個終端與一卡通網絡服務器構成RS -485 網絡．商務網關將RS-485 通信協議轉換為TCP/IP 以太網協議接入一卡通專網，并將數據自動實時傳輸到一卡通數據中心．

一卡通數據中心出口可以采用下一代防火墻設備與通用安全平臺軟件來防護一卡通專網的安全［4］．采用磁盤陣列構成雙機熱備系統，保護核心網絡系統的服務器，并提供數據存儲的安全［5］．

在終端圈存等設備的網絡接口上采用獨特的網關技術，使得應用子系統可以帶載POS 終端設備整體脫網運行、POS 終端設備可脫離網關的脫網運行的雙重脫機模式．如采用支持主從模式的WG-515 網關，這種技術可以在后臺運用雙機熱備份的安全方案，前端的網關可主從模式部署，有效降低單點故障．

銀行圈存系統通過DNN 專線與一卡通專網的銀行前置機連接．外網查詢節點訪問專網，需使用X．509數字證書來實現開放式網絡環境下的身份認證，并且只開放Web 應用實現查詢功能．專用網絡拓撲如下圖:

圖1 一卡通專網拓撲結構Fig.1 Campus E-card System network topology diagram

2 網絡結構安全設計

校園一卡通系統安全保障體系建設的安全要求主要是三個方面［6，7］:敏感信息在傳輸過程中的安全性和完整性;一卡通系統專網與校園網的邊界訪問控制和Internet 安全隔離;有效的網絡檢測和監控管理機制．以下通過三個方面對一卡通系統的網絡結構和實際網絡安全環境進行安全性優化．

2．1 DMZ 應用

為保證服務器區出口安全，對數據中心內的服務器進行保護，在一卡通專網的數據中心出口布置出口防火墻［8］．一卡通專網對外服務采用DMZ 方式．DMZ 有效解決安裝防火墻后，外網訪問內網的問題，同時對內網進行保護．DMZ 區配置架構如圖2．

配置一卡通專網的防火墻時，從三個方面進行配置:安全規則、地址映射、策略控制． 這里舉例說明:假設內網有一臺主機HostA 的私網地址10．0．0．1，由端口8080 提供Web 服務．讓服務器ServerA 通過198．76．28．11:80 訪問HostA 的Web 服務，則需要在防火墻上啟用SAT(靜態地址轉換，并伴隨Allow 規則)，并創建私網IP 和端口的10．0．0．1:8080 與端口198．76．28．11:80 的映射關系．

配置成功的安全規則測試舉例:

圖2 DMZ 區配置結構Fig.2 Configuration of the DMZ zone structure

2．2 VLAN 隔離

實現一卡通專網系統中的子系統的相互隔離，采用基于端口的VALN 劃分方式，保證不同VLAN 內的報文在傳輸時是相互隔離的．同時在數據中心的數據庫服務器、圈存機、銀行轉賬前置機等專用設備必須鋪設有專用線路，實現物理基礎設施和邏輯基礎設施的安全隔離．對于無法實現專網線路的場所，通過VLAN 和ACL 相結合來實現一卡通系統中的數據訪問控制．

2．3 交換機端口安全

對于二層報文的安全性控制主要體現在二層接入交換機上．可以限制端口或VLAN 下的MAC 地址的最大學習個數，來防止MAC 掃描．此外，在交換機上配置黑洞MAC 功能，收到的報文與黑洞MAC 表項進行匹配，屏蔽病毒源數據包．

對一些安全性要求比較高的設備可以配置“MAC+IP+端口”的綁定功能，實現設備對轉發報文的過濾控制，提高安全性．綁定成功后，只有指定的MAC 和IP 的主機才能在指定端口上收發報文，訪問網絡資源，利于網絡管理和監控．

3 服務器分級分類管理方案

為實現主動防御攻擊并隔離網絡中存在的攻擊終端，以及提供一個有效的一卡通專網安全管理環境，本文將一種服務器分級分類管理方案應用于校園一卡通系統建設中，提高整個一卡通系統的安全性和管理的有效性． 服務器區采用H3C網絡管理產品，支持如用戶認證、準入控制、權限下發、計費管理、行為審計、桌面、資產管理等6 個主要功能［7，8］，以及防病毒、補丁、AD/LDAP(活動目錄/輕型目錄訪問協議)等輔助功能．管理方案如圖3．

安全管理系統區［9］主要是由進行網絡管理的相關服務器及安全管理設備組成，這些設備與核心交換機通過千兆鏈路直接相連．

圖3 服務器安全管理方案Fig.3 Server security management solution

管理服務器A 為主管理服務器，對整個專網設備包括網絡出口區、服務器區及核心骨網區域所有的設備進行統一管理．在用戶終端通過病毒、補丁等安全信息檢查后，EAD 可基于用戶的角色，通過下發接入控制策略，并按照用戶角色權限去規范用戶的網絡使用行為．終端用戶的所屬VLAN 、ACL 訪問策略等安全措施均可由管理服務器A 統一配置實施．

管理服務器B 架設有iMC 智能管理平臺，QoS、ACL、VPN 管理平臺．主要提供所有終端用戶的身份認證和安全訪問的審核，并對專網用戶的訪問行為統一管理，同時提供防病毒、軟件應用管理．實現對網絡的基礎管理如:拓撲管理、告警管理、性能管理等，提供對網絡的集中監視、智能的告警顯示、過濾和關聯，以及性能監視等功能［10］．

管理服務器C 安裝網絡流量分析管理組件，收集專網上數據流，生成相關的分析結果，以報表或圖形顯示．

安全管理中心收集來自網絡出口區和服務器區以及核心骨干區域各個網絡設備和安全設備發送過來的安全日志，進行安全攻擊分析以及攻擊的關聯性分析．一旦發現有不安全事件的出現，系統通過管理服務器A 的EAD 組件以及管理服務器的B 的iMC 網管平臺來實現讓不安全的用戶下線，或者關閉相關設備的接口，從而實現隔斷存在攻擊的終端設備，也就隔斷了不安全終端設備與整個一卡通專網的聯系．這種服務器安全管理的方案的實施，能夠最大程度上增強一卡通系統的安全管控，并且增強了管理的有效性．

4 結 語

本文主要對校園一卡通系統的安全性結構進行探究．從VLAN、防火墻、交換設備端口安全三個方面出發，對校園一卡通網絡的網絡安全結構進行設計．結合校園一卡通專網的網絡結構特點，文章最后把一種服務器安全管理方案應用在校園網一卡通系統建設中，優化了網絡安全性能，并提高了校園一卡通系統管控的有效性．

［1］ 楊 明，郭樹旭，王 雋． 基于虛擬專用網技術的一卡通網絡安全設計與實現［J］．電子技術應用，2010，36(1):136 -138．

［2］ 楊延朋． 校園一卡通系統的安全性分析與設計［J］． 通信技術，2009，42(2):328 -329．

［3］ 杭州華三通信技術有限公司．路由交換技術第1 卷(下冊)［M］．北京:清華大學出版社，2014．7．

［4］ 戴 瑩，李坤倫． 基于數字化校園平臺的一卡通系統的設計與實現［J］． 陜西科技大學學報(自然科學版)，2011，29(2):113 -117．

［5］ 羅 郁，李坤倫，孫 勇． 校園一卡通系統安全性分析與研究［J］． 計算機安全，2011，20(6):87 -91．

［6］ 杭州華三通信技術有限公司．路由交換技術第3 卷［M］．北京:清華大學出版社，2014．7．

［7］ 段智敏，王如龍，孫美青，佘 維． 基于一卡通的數字化校園資源整合研究與實現［J］． 計算機工程與科學，2008，30(1):8 -11．

［8］ 杭州華三通信技術有限公司．新一代網絡建設理論與實踐［M］．北京:電子工業出版社，2011．10．

［9］ DUAN，Z M，WANG R L，SUN M Q，et al． Research and Implementation of the Digital Campus Resource Integration Based on Packaged Campus Cards． Computer Engineering ＆ Science．2008，30(1):8 –11．

［10］ 汪成亮，陳娟娟，周亞鑫． 重慶城市一卡通系統設計及實現［J］． 計算機應用與軟件，2008，25(9):127 -129．