文/王偉林

校園一卡通系統(tǒng)在為師生提供校園便捷金融服務(wù)與消費的同時，網(wǎng)絡(luò)安全問題也日益凸顯，由于一卡通系統(tǒng)涉及用戶資金及個人資料等重要信息，安全保障至關(guān)重要。本文通過分析常用一卡通網(wǎng)絡(luò)系統(tǒng)架構(gòu)，以南京信息職業(yè)技術(shù)學(xué)院一卡通系統(tǒng)為例，介紹學(xué)校的一卡通系統(tǒng)網(wǎng)絡(luò)安全保障策略，并且根據(jù)學(xué)院未來發(fā)展提出一卡通系統(tǒng)進一步完善的思路。

隨著教育信息化在高校應(yīng)用深入，校園一卡通應(yīng)用包括金融消費、身份認(rèn)證和校園財政服務(wù)等多方面，很大程度上方便了學(xué)院師生在校園內(nèi)的生活消費。然而，眾所周知的網(wǎng)絡(luò)安全威脅也波及到了校園一卡通：用戶信息被竊取或篡改，一卡通終端被攻擊導(dǎo)致不可用等問題讓用戶在體驗校園網(wǎng)一卡通便捷的同時反而望而卻步。

校園一卡通涉及用戶金融服務(wù)與在校園內(nèi)消費活動，一旦受到安全威脅將會影響用戶的利益。高校通常采用以下三種模式架構(gòu)保障一卡通網(wǎng)絡(luò)：

1.借助校園網(wǎng)。由于校園網(wǎng)本身已經(jīng)存在并且?guī)缀醣椴夹@，一卡通業(yè)務(wù)應(yīng)用到之處也是校園網(wǎng)延伸之處，直接在校園網(wǎng)上部署一卡通業(yè)務(wù)成為部分高校的選擇，節(jié)約資金的同時也方便了一卡通網(wǎng)絡(luò)布置。但是，校園網(wǎng)用戶以及終端復(fù)雜，并且校園網(wǎng)直接接入互聯(lián)網(wǎng)，導(dǎo)致一卡通系統(tǒng)從服務(wù)器到終端都面臨校園網(wǎng)其他用戶以及互聯(lián)網(wǎng)安全威脅的嚴(yán)峻考驗。

2.建設(shè)一卡通專網(wǎng)。此模式直接采用物理上與校園網(wǎng)隔絕的模式保障一卡通網(wǎng)絡(luò)不受復(fù)雜的校園網(wǎng)安全威脅，提供純粹的一卡通網(wǎng)絡(luò)環(huán)境，在很大程度上做到了不受外界干擾的網(wǎng)絡(luò)安全，很多高校采用此方法。但是采用此方法由于單獨布置網(wǎng)絡(luò)造價成本較高；由于不可能像校園網(wǎng)布置到校園每個角落，業(yè)務(wù)拓展性不高；同時，由于采用專網(wǎng)導(dǎo)致維護與財務(wù)人員認(rèn)為網(wǎng)絡(luò)“絕對”安全，但忽略了人為侵入專網(wǎng)攻擊，即攻擊者直接將電腦接入專網(wǎng)或者向一卡通終端注入惡意代碼進行攻擊，由于采用專網(wǎng)而松懈了專網(wǎng)內(nèi)部安全措施，一旦專網(wǎng)遭受攻擊，后果不堪設(shè)想。

3.采用VPN技術(shù)構(gòu)造一卡通“專網(wǎng)”。此方法仍然是在校園網(wǎng)上部署一卡通業(yè)務(wù)，但是采用VPN技術(shù)實現(xiàn)系統(tǒng)內(nèi)部形成虛擬專網(wǎng)，并且由于VPN具有認(rèn)證功能，虛擬專網(wǎng)內(nèi)部各設(shè)備之間需要認(rèn)證才能通信，既不需要布置專網(wǎng)，又防止黑客接入專網(wǎng)物理鏈路進行攻擊，但是采用此方法需要采購VPN網(wǎng)關(guān)設(shè)備，并且一卡通系統(tǒng)客戶端需要進行VPN客戶端配置才能與系統(tǒng)服務(wù)器進行通信，增加投入的同時也給維護人員帶來不便，此方法在少部分高校投入使用。

南京信息職業(yè)技術(shù)學(xué)院屬國有院校，是國家示范性（骨干）高職院校建設(shè)單位，學(xué)院地處仙林大學(xué)城，在校生12000余人。學(xué)院仙林校區(qū)2004年建設(shè)完成校園網(wǎng)一期工程，后期陸續(xù)完成了校園網(wǎng)其他工程，包括新建樓宇網(wǎng)絡(luò)通信，校園無線網(wǎng)絡(luò)覆蓋和學(xué)生宿舍有線網(wǎng)絡(luò)建設(shè)。2004年學(xué)院建設(shè)完成一卡通并投入使用，但是設(shè)計業(yè)務(wù)僅限于餐飲與熱水供應(yīng)方面，2010年學(xué)院對一卡通系統(tǒng)進行升級改造并進行業(yè)務(wù)拓展，業(yè)務(wù)包括校園餐飲、生活用品消費、浴室與開水供應(yīng)、上網(wǎng)消費、圖書借閱以及考試報名等多方面。由于建設(shè)與改造時期資金欠缺，沒有建設(shè)一卡通專網(wǎng)線路，而借用校園網(wǎng)搭載一卡通業(yè)務(wù)系統(tǒng)，隨著系統(tǒng)應(yīng)用不斷豐富，一卡通系統(tǒng)安全也受到安全威脅與攻擊，導(dǎo)致系統(tǒng)出現(xiàn)暫時不可用的情況，嚴(yán)重影響了師生對校園一卡通系統(tǒng)的滿意度。需要設(shè)計一套解決方案，在節(jié)約資金，順應(yīng)學(xué)院發(fā)展的同時，也能夠給一卡通系統(tǒng)提供強有力的保障。

圖1 學(xué)院校園一卡通系統(tǒng)構(gòu)造

圖2 一卡通服務(wù)器安全部署

設(shè)計方案

學(xué)院校園一卡通系統(tǒng)主要包括三個方面：用戶數(shù)據(jù)庫，應(yīng)用服務(wù)器與終端。如圖1所示，其中一卡通數(shù)據(jù)庫是整個一卡通業(yè)務(wù)的核心，一卡通其他業(yè)務(wù)系統(tǒng)需要與之交換數(shù)據(jù)信息；銀行Server（服務(wù)器）、學(xué)費Server和一卡通Webserver（網(wǎng)頁服務(wù)器）屬于應(yīng)用服務(wù)器，是一卡通終端與數(shù)據(jù)庫之間的橋梁，承擔(dān)一卡通數(shù)據(jù)庫的讀取服務(wù)；一卡通終端包括多種類型，其中最主要的是多媒體終端，用戶在此終端上不僅可以實現(xiàn)信息查詢，由于多媒體終端連接一卡通數(shù)據(jù)庫與銀行Server，可以實現(xiàn)將與學(xué)院合作的銀行賬戶資金圈存至用戶的一卡通賬戶中。

根據(jù)學(xué)院一卡通構(gòu)造與安全威脅，設(shè)計如下安全策略：

1.將一卡通系統(tǒng)數(shù)據(jù)庫以及業(yè)務(wù)服務(wù)器集中接入學(xué)院防火墻DMZ（非軍事區(qū)）接口并設(shè)計部署安全策略。在DMZ接口上部署安全策略既可以防御互聯(lián)網(wǎng)又可以防御校園網(wǎng)對其進行攻擊，如圖2所示。

由于一卡通業(yè)務(wù)僅限于校園內(nèi)部，不對校外開放業(yè)務(wù)，在防火墻DMZ接口上做IP訪問控制策略，禁止互聯(lián)網(wǎng)用戶訪問，并且只允許校內(nèi)與一卡通相關(guān)的終端和系統(tǒng)訪問一卡通數(shù)據(jù)庫與服務(wù)器，禁止校園網(wǎng)其他用戶訪問。防止互聯(lián)網(wǎng)或校內(nèi)其他用戶發(fā)起的攻擊。

在DMZ接口上制定傳輸層端口訪問限制，首先將服務(wù)器發(fā)布的熟知端口服務(wù)（例如SQL數(shù)據(jù)庫1433端口，遠(yuǎn)程桌面3389端口）改用自定義端口發(fā)布服務(wù)，然后在防火墻做端口控制策略，限制每臺服務(wù)器對校內(nèi)終端開放的端口服務(wù)。防止黑客在校內(nèi)偽造終端IP地址對一卡通系統(tǒng)進行網(wǎng)絡(luò)安全漏洞掃描或利用傳輸層熟知端口對一卡通數(shù)據(jù)庫與服務(wù)器發(fā)起攻擊。

2.對網(wǎng)絡(luò)中一卡通終端單獨劃分VLAN（虛擬局域網(wǎng)）。由于借用校園網(wǎng)來承載一卡通業(yè)務(wù)，一卡通終端與其他終端在網(wǎng)絡(luò)中安全級別處于相等狀態(tài)，設(shè)計將一卡通終端單獨劃分VLAN進行管理。防止校園網(wǎng)其他終端ARP（地址解析協(xié)議）攻擊或廣播風(fēng)暴導(dǎo)致一卡通終端不能正常通信。

3.在一卡通終端上做IP訪問控制。根據(jù)每個終端需要進行數(shù)據(jù)通信的情況，在各個終端的IP高級配置中制定訪問控制，只允許與相關(guān)一卡通服務(wù)器或其他特定終端之間進行通信。防止黑客接入一卡通VLAN對終端發(fā)起攻擊，保障一卡通終端正常運行。

未來規(guī)劃

目前設(shè)計與部署的一卡通網(wǎng)絡(luò)安全策略在不需要增加硬件投入的情況下強有力地保障了一卡通整個業(yè)務(wù)系統(tǒng)安全可靠運行。未來學(xué)院將單獨部署基于IP的安防監(jiān)控網(wǎng)絡(luò)系統(tǒng)，由于安防網(wǎng)絡(luò)幾乎遍布校園每個角落并且與校園網(wǎng)物理隔離，可以利用單獨布置的安防專網(wǎng)中若干纖芯構(gòu)造學(xué)院一卡通專網(wǎng)，但目前所設(shè)計的一卡通網(wǎng)絡(luò)安全策略仍然保持不變，以保證未來在有一卡通專網(wǎng)的同時黑客即使接入物理專網(wǎng)也無法輕易對系統(tǒng)發(fā)起攻擊。