柴文磊　劉勁松

摘 要：本文討論了校園一卡通系統(tǒng)所面臨的網絡安全方面的主要問題，針對這些問題，提出了一些網絡安全控制的策略，以保障校園一卡通系統(tǒng)能夠正常穩(wěn)定的運行。

關鍵詞：校園一卡通網絡安全安全策略

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1673-8454（2009）09-0031-03

近幾年，隨著計算機技術和網絡技術的不斷發(fā)展，我們的日常生活越來越離不開網絡了。教育行業(yè)也不例外，比如教育部“教育信息化發(fā)展戰(zhàn)略與政策研究”的正式啟動，數(shù)字化校園2.0概念的提出,都標志著教育行業(yè)在進行著信息化的變革。數(shù)字化校園是以數(shù)字化信息和網絡為基礎，在計算機和網絡技術上建立起來的對教學、科研、管理、技術服務、生活服務等校園信息的收集、處理、整合、存儲、傳輸和應用，使數(shù)字資源得到充分優(yōu)化利用的一種虛擬環(huán)境。通過實現(xiàn)從環(huán)境（包括設備、教室等）、資源（如圖書、講義、課件等）到應用（包括教、學、管理、服務、辦公等）的全部數(shù)字化，在傳統(tǒng)校園基礎上構建一個數(shù)字空間，以拓展現(xiàn)實校園的時間和空間維度，提升傳統(tǒng)校園的運行效率，擴展傳統(tǒng)校園的業(yè)務功能，最終實現(xiàn)教育過程的全面信息化，從而達到提高管理水平和效率的目的。

校園一卡通系統(tǒng)是數(shù)字化校園建設的重要組成部分，它結合了學校統(tǒng)一的身份認證、人事、學工等MIS（Management Information System，管理信息系統(tǒng)）和應用等系統(tǒng)建設，通過共同的身份認證機制，實現(xiàn)數(shù)據(jù)管理的集成與共享。校園一卡通系統(tǒng)不僅是消費系統(tǒng)，還是管理系統(tǒng)，所以如何保證校園網絡正常運行不受各種網絡黑客的侵害就成為一個不可避免的問題。

一、校園一卡通功能概述

校園一卡通目的是實現(xiàn)“一卡在手，走遍校園，一卡通用，一卡多用”。校園一卡通的功能和用途主要體現(xiàn)在校園消費、管理和金融應用（銀行）三方面。電子錢包一卡通：在各校區(qū)內，所有消費網點都可以使用校園卡作為電子錢包進行交易，所有校內商戶或收款單位均可以實現(xiàn)授權代理收款、結算，實時轉賬。應用范圍：水控(浴室、宿舍、開水房、洗衣房)、電控、繳費（學費、上機收費、醫(yī)療收費、停車收費）、代收費（固定電話費、移動電話費）、發(fā)放補助、發(fā)放獎學金、食堂餐飲、超市購物、校內賓館等；身份識別一卡通：校內使用的各種證卡（包括工作證、學生證、借書證、醫(yī)療證、上機卡、會員證），均可由校園卡代替，實現(xiàn)圖書館、電子閱覽室、宿舍樓、學生公寓、會議考勤的身份識別一卡通，實現(xiàn)校內所有重要場所的出入門禁管理；銀校一卡通：家長可以使用銀行系統(tǒng)的全國異地通存通兌業(yè)務，給學生卡中匯款；在校外，師生可以使用與校園卡關聯(lián)的銀行卡進行消費、存取款、轉賬結算等金融業(yè)務。在校園內，師生通過圈存機，可以實現(xiàn)銀行卡到校園卡的電子錢包圈存并可自助查詢銀行賬戶余額。

二、校園一卡通存在的網絡安全隱患

1.人為惡意攻擊

人為惡意攻擊是網絡所面臨的最大的威脅。對于在校園一卡通鏈路中傳輸數(shù)據(jù)的入侵方式存在兩種情況：一種情況是入侵者直接到內部網絡上進行攻擊、竊取或做其他破壞；另一種情況是入侵者在傳輸線路上安裝竊聽裝置，竊取網上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性。

2.計算機病毒攻擊

計算機病毒有著巨大的破壞性，已經被人們所認識，成為了信息時代的公害。特別是通過網絡傳播的病毒，無論是傳播速度、破壞性和傳播范圍都是單機病毒無法比擬的。常見的有：（1）蠕蟲病毒：這種病毒的共有特性是通過網絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網絡的特性；（2）木馬病毒：這一病毒的共有特性是通過網絡或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制；（3）后門病毒：該類病毒的共有特性是通過網絡傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患；（4）ARP病毒：該病毒通過偽造的ARP數(shù)據(jù)包可以干擾網絡的正常通信，影響或破壞網絡的正常使用。

三、校園一卡通的網絡安全策略

由此可見，僅僅從軟件設計方面完善校園一卡通系統(tǒng)是不夠的，還需要有一個安全穩(wěn)定的網絡環(huán)境，要把安全性放在首位。安全性是校園一卡通系統(tǒng)的生命線。針對網絡的安全性，本文從以下幾個方面多層次、多角度地進行安全策略分析。

1.虛擬局域網技術（VLAN）

現(xiàn)在的校園一卡通系統(tǒng)大部分是建立在校園網的基礎上，依托的是校園網的網絡架構，這種方式能充分利用現(xiàn)有的資源，減少設備的投入。但這種方式也給校園一卡通系統(tǒng)的網絡安全帶來了隱患，所以必須利用虛擬局域網技術對一卡通系統(tǒng)進行隔離保護。VLAN的劃分根據(jù)不同的原則，一般有以下三種劃分方法：

（１）基于端口的VLAN劃分：把所有屬于一卡通系統(tǒng)的端口劃分成一個邏輯組，形成一個虛擬網，這是最簡單也是最有效的方法。該方法只需要網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。

（２）基于ＭAC的VLAN劃分：把所有屬于校園一卡通系統(tǒng)的計算機的MAC地址劃分為一個邏輯組，形成一個虛擬網。該方法需要統(tǒng)計所有系統(tǒng)中的計算機的MAC地址，工作量比較大。而且當系統(tǒng)中添加新機器時，更新維護的工作量也比較繁瑣。

（３）基于ＩＰ的VLAN劃分：利用三層交換機將校園一卡通系統(tǒng)中屬于不同交換機下的不同端口劃分為一個邏輯組，形成一個虛擬網。該方法不受地域的限制，可以把不同校區(qū)、不同辦公樓的計算機劃分到一個虛擬網絡中，是非常有效和快捷的方法。

VLAN在校園一卡通系統(tǒng)中的優(yōu)點是顯而易見的：１）通過ＶＬＡＮ把系統(tǒng)中的計算機劃分到一個虛擬網絡中，信息只能到達應該到達的主機，防止了大部分基于網絡監(jiān)聽的入侵手段。２）在ＶＬＡＮ中可以設置訪問控制，使在虛擬網外的非法網絡主機不能直接訪問虛擬網內主機。３）獨立劃分出來的虛擬網內不會受其他網絡的廣播風暴的影響，提高了傳輸性能。

2.虛擬專用網技術（VPN）

校園一卡通系統(tǒng)從某種意義上說是校園網建設的一部分，但是由于它的應用特殊性，實質上它是一個專用網絡，一個小型局域網。在校園網中通過VPN的隧道技術、加密技術、認證技術和訪問控制等手段對校園一卡通系統(tǒng)的網絡進行保護。建立VPN的方式可以有兩種：一種是通過網絡運營商建立VPN，這樣可以完全不依賴于學校網絡進行自身建設，還可以有更大的自主性；另一種是通過校園網建立VPN，這樣就得依靠學校的網絡建設，如果學校網絡覆蓋面積比較廣的話可以采取這種辦法，這樣可以節(jié)省大筆經費。一般來說，VPN從技術上可分為以下三種：

（１）軟件ＶＰＮ：利用軟件公司提供的ＶＰＮ軟件產品來實現(xiàn)簡單的ＶＰＮ功能。最簡單的是依靠Ｍｉｃｒｏｓｏｆｔ的Ｗｉｎｄｏｗｓ操作系統(tǒng)就可以實現(xiàn)純軟件平臺的ＶＰＮ。

（２）硬件ＶＰＮ：使用專業(yè)硬件平臺的ＶＰＮ設備實現(xiàn)復雜的ＶＰＮ功能。這樣可以對數(shù)據(jù)安全和通信性能有更高的安全保障，但投資成本比較高。

（３）輔助硬件ＶＰＮ：這類ＶＰＮ的平臺介于軟件平臺和硬件平臺之間，主要是以現(xiàn)有網絡設備為基礎，再增添適當?shù)模郑校诬浖崿F(xiàn)ＶＰＮ的功能。這是最為常見也是最合理的ＶＰＮ平臺。

VPN作為一種解決網絡互聯(lián)問題的技術，用在解決校園一卡通系統(tǒng)中不但保證了數(shù)據(jù)網絡的安全和服務質量，同時實現(xiàn)了系統(tǒng)結構的簡單和低成本。實踐證明，VPN技術具有強勁的認證功能、有效的加密保障、安全的遠端存取、IP路徑選擇、防火墻等功能，提高了校園一卡通系統(tǒng)的可管理性、靈活性和安全性。

3.訪問控制列表技術（ACL）

利用訪問控制列表對屬于校園一卡通系統(tǒng)中的計算機進行訪問控制，現(xiàn)在所有的路由器和三層交換機上都會支持ACL，部分二層交換機也開始提供ACL支持。

ACL可以對IP地址、端口、MAC地址、協(xié)議進行過濾，把病毒攻擊和人為惡意攻擊阻擋在一卡通系統(tǒng)網絡之外?？梢允褂肁CL中的標準訪問控制列表和擴展訪問控制列表進行規(guī)則定義：只允許一卡通系統(tǒng)內的IP和MAC訪問數(shù)據(jù)庫；數(shù)據(jù)庫主機只開放部分端口提供給用戶使用；屏蔽病毒經常入侵的端口和系統(tǒng)中不經常使用的端口；屏蔽所有不屬于一卡通系統(tǒng)內的IP和MAC，保障只能讓合法的主機進行內部數(shù)據(jù)交流，非法的主機拒絕在校園一卡通系統(tǒng)網絡之外。

充分有效地利用好ACL能夠實現(xiàn)在物理網絡中構建一個邏輯獨立的一卡通系統(tǒng)平臺，從而保護一卡通系統(tǒng)的獨立性，提高一卡通系統(tǒng)的網絡安全性能。

4.地址綁定技術

地址綁定技術包括兩種，一種是在交換機上把MAC地址和交換機端口綁定，一種就是把主機的MAC地址和IP地址進行綁定，建立起MAC和端口、MAC和IP的一一對應關系。

MAC和端口的綁定：交換機上可以在端口下配置MAC綁定，只允許合法MAC地址的數(shù)據(jù)通過交換機，不合法MAC地址的數(shù)據(jù)丟棄。進行過MAC綁定的端口只承認綁定過的MAC地址，其他地址一概不能連入網絡，即使是使用相同的IP地址也是不行的，這樣可以保證網絡的完整性和獨立性。

MAC和IP的綁定：可以通過軟件和硬件的方法進行綁定——軟件方法是通過運行在主機上的第三方軟件實現(xiàn)的，硬件方法是通過三層交換機實現(xiàn)的，這兩種方法都可以實現(xiàn)IP于MAC的綁定，而且可以同時使用。

地址綁定在實施的過程中比較繁瑣，工作量比較大，以后的日常維護工作也比較困難，但是優(yōu)點也是更加突出的，能夠有效防止一卡通系統(tǒng)外的主機接入網絡中，防止ARP病毒傳播。

四、結束語

網絡技術的飛速發(fā)展，數(shù)字化校園對廣大師生的學習和生活都產生了深遠影響，但在享受網絡帶給我們方便快捷的同時，我們也要清醒地認識到網絡安全對數(shù)字化校園帶來的威脅。目前各大高校都在討論和實施校園一卡通系統(tǒng)，網絡安全問題更是重中之重。上面四種安全策略并不是相互獨立的，而是相互關聯(lián)的，可以結合幾種策略一起使用，這能起到更好的防范作用。比如說VLAN和ACL結合使用是最為常見的方法，加入VPN的方式，效果會更好一些。但這些策略都是基于網絡設備而定的，所以學校應該加強校園網的投入，建設一個安全、可信的數(shù)字化校園環(huán)境。

參考文獻：

[1]曾瓊芳,胡孝昌,李桂蓮.校園一卡通的規(guī)劃與實施研究[J].文化建設,2006(12).

[2]康娥,朱玉爽.VPN技術的特點及應用[J].廣播電視信息，2008（8）.

[3]馮萍,孫偉. VLAN技術在校園網中的應用[J].長春大學學報,2006(2).