毛乾任，王朝斌，鄧 超，胡章榮

(西華師范大學(xué) 計算機學(xué)院，四川 南充 637009)

0 引 言

校園一卡通系統(tǒng)安全性要求主要涉及到三個部分:系統(tǒng)數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全和系統(tǒng)終端設(shè)備及卡片的安全．目前為止，一卡通系統(tǒng)大多是架設(shè)在校園網(wǎng)的基礎(chǔ)上，安全性不能保證，某些子系統(tǒng)也沒有做到真正意義上的整合．本文在探究校園一卡通系統(tǒng)的網(wǎng)絡(luò)安全的同時，提出一種校園一卡通專網(wǎng)的安全體系架構(gòu)，實現(xiàn)一卡通系統(tǒng)在子系統(tǒng)的分散使用以及管理的安全整合．在一定程度上，基于專網(wǎng)的校園網(wǎng)一卡通系統(tǒng)，可以有效地防范校園一卡通系統(tǒng)的不安全隱患，有利于建設(shè)一個管理手段先進和服務(wù)質(zhì)量優(yōu)良的校園一卡通系統(tǒng)．

1 一卡通專用網(wǎng)絡(luò)架構(gòu)

1．1 專網(wǎng)概述

校園一卡通系統(tǒng)可以分為獨立組網(wǎng)(“專網(wǎng)”)或基于校園局域網(wǎng)兩種方式．為實現(xiàn)更高的一卡通系統(tǒng)安全性，采用在校園網(wǎng)原有冗余光纖的基礎(chǔ)上建立一卡通系統(tǒng)專網(wǎng)［1］的建設(shè)方案．專網(wǎng)構(gòu)建的一卡通系統(tǒng)由兩部分組成:一卡通數(shù)據(jù)中心、校區(qū)的業(yè)務(wù)管理系統(tǒng)．一卡通數(shù)據(jù)中心位于學(xué)校網(wǎng)絡(luò)中心，通過骨干節(jié)點的三層交換機接入．業(yè)務(wù)管理設(shè)施接入校園業(yè)務(wù)節(jié)點，提供一卡通應(yīng)用服務(wù)．

1．2 專網(wǎng)的結(jié)構(gòu)設(shè)計

專網(wǎng)系統(tǒng)采用基于三層交換技術(shù)的千兆以太網(wǎng)作為網(wǎng)絡(luò)主干，骨干節(jié)點通過多鏈路鏈接到一卡通數(shù)據(jù)中心服務(wù)區(qū)，根據(jù)具體的條件選擇光接入到校園每一個接入層交換機，一卡通專用網(wǎng)絡(luò)通過校園網(wǎng)絡(luò)中心外連互聯(lián)網(wǎng)［2］．核心層設(shè)備采用鏈路聚合+OSPF 路由結(jié)構(gòu)，實現(xiàn)高帶寬，高轉(zhuǎn)發(fā)性和冗余特性． 接入層設(shè)備，需保證數(shù)據(jù)交換安全、QoS 策略等安全特性［3］．可采用華為S5700 -LI 作為接入層交換機．終端設(shè)備通過網(wǎng)絡(luò)服務(wù)器或三層交換機直接連接到主干網(wǎng)，各個終端與一卡通網(wǎng)絡(luò)服務(wù)器構(gòu)成RS -485 網(wǎng)絡(luò)．商務(wù)網(wǎng)關(guān)將RS-485 通信協(xié)議轉(zhuǎn)換為TCP/IP 以太網(wǎng)協(xié)議接入一卡通專網(wǎng)，并將數(shù)據(jù)自動實時傳輸?shù)揭豢ㄍ〝?shù)據(jù)中心．

一卡通數(shù)據(jù)中心出口可以采用下一代防火墻設(shè)備與通用安全平臺軟件來防護一卡通專網(wǎng)的安全［4］．采用磁盤陣列構(gòu)成雙機熱備系統(tǒng)，保護核心網(wǎng)絡(luò)系統(tǒng)的服務(wù)器，并提供數(shù)據(jù)存儲的安全［5］．

在終端圈存等設(shè)備的網(wǎng)絡(luò)接口上采用獨特的網(wǎng)關(guān)技術(shù)，使得應(yīng)用子系統(tǒng)可以帶載POS 終端設(shè)備整體脫網(wǎng)運行、POS 終端設(shè)備可脫離網(wǎng)關(guān)的脫網(wǎng)運行的雙重脫機模式．如采用支持主從模式的WG-515 網(wǎng)關(guān)，這種技術(shù)可以在后臺運用雙機熱備份的安全方案，前端的網(wǎng)關(guān)可主從模式部署，有效降低單點故障．

銀行圈存系統(tǒng)通過DNN 專線與一卡通專網(wǎng)的銀行前置機連接．外網(wǎng)查詢節(jié)點訪問專網(wǎng)，需使用X．509數(shù)字證書來實現(xiàn)開放式網(wǎng)絡(luò)環(huán)境下的身份認證，并且只開放Web 應(yīng)用實現(xiàn)查詢功能．專用網(wǎng)絡(luò)拓撲如下圖:

圖1 一卡通專網(wǎng)拓撲結(jié)構(gòu)Fig.1 Campus E-card System network topology diagram

2 網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計

校園一卡通系統(tǒng)安全保障體系建設(shè)的安全要求主要是三個方面［6，7］:敏感信息在傳輸過程中的安全性和完整性;一卡通系統(tǒng)專網(wǎng)與校園網(wǎng)的邊界訪問控制和Internet 安全隔離;有效的網(wǎng)絡(luò)檢測和監(jiān)控管理機制．以下通過三個方面對一卡通系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和實際網(wǎng)絡(luò)安全環(huán)境進行安全性優(yōu)化．

2．1 DMZ 應(yīng)用

為保證服務(wù)器區(qū)出口安全，對數(shù)據(jù)中心內(nèi)的服務(wù)器進行保護，在一卡通專網(wǎng)的數(shù)據(jù)中心出口布置出口防火墻［8］．一卡通專網(wǎng)對外服務(wù)采用DMZ 方式．DMZ 有效解決安裝防火墻后，外網(wǎng)訪問內(nèi)網(wǎng)的問題，同時對內(nèi)網(wǎng)進行保護．DMZ 區(qū)配置架構(gòu)如圖2．

配置一卡通專網(wǎng)的防火墻時，從三個方面進行配置:安全規(guī)則、地址映射、策略控制． 這里舉例說明:假設(shè)內(nèi)網(wǎng)有一臺主機HostA 的私網(wǎng)地址10．0．0．1，由端口8080 提供Web 服務(wù)．讓服務(wù)器ServerA 通過198．76．28．11:80 訪問HostA 的Web 服務(wù)，則需要在防火墻上啟用SAT(靜態(tài)地址轉(zhuǎn)換，并伴隨Allow 規(guī)則)，并創(chuàng)建私網(wǎng)IP 和端口的10．0．0．1:8080 與端口198．76．28．11:80 的映射關(guān)系．

配置成功的安全規(guī)則測試舉例:

圖2 DMZ 區(qū)配置結(jié)構(gòu)Fig.2 Configuration of the DMZ zone structure

2．2 VLAN 隔離

實現(xiàn)一卡通專網(wǎng)系統(tǒng)中的子系統(tǒng)的相互隔離，采用基于端口的VALN 劃分方式，保證不同VLAN 內(nèi)的報文在傳輸時是相互隔離的．同時在數(shù)據(jù)中心的數(shù)據(jù)庫服務(wù)器、圈存機、銀行轉(zhuǎn)賬前置機等專用設(shè)備必須鋪設(shè)有專用線路，實現(xiàn)物理基礎(chǔ)設(shè)施和邏輯基礎(chǔ)設(shè)施的安全隔離．對于無法實現(xiàn)專網(wǎng)線路的場所，通過VLAN 和ACL 相結(jié)合來實現(xiàn)一卡通系統(tǒng)中的數(shù)據(jù)訪問控制．

2．3 交換機端口安全

對于二層報文的安全性控制主要體現(xiàn)在二層接入交換機上．可以限制端口或VLAN 下的MAC 地址的最大學(xué)習(xí)個數(shù)，來防止MAC 掃描．此外，在交換機上配置黑洞MAC 功能，收到的報文與黑洞MAC 表項進行匹配，屏蔽病毒源數(shù)據(jù)包．

對一些安全性要求比較高的設(shè)備可以配置“MAC+IP+端口”的綁定功能，實現(xiàn)設(shè)備對轉(zhuǎn)發(fā)報文的過濾控制，提高安全性．綁定成功后，只有指定的MAC 和IP 的主機才能在指定端口上收發(fā)報文，訪問網(wǎng)絡(luò)資源，利于網(wǎng)絡(luò)管理和監(jiān)控．

3 服務(wù)器分級分類管理方案

為實現(xiàn)主動防御攻擊并隔離網(wǎng)絡(luò)中存在的攻擊終端，以及提供一個有效的一卡通專網(wǎng)安全管理環(huán)境，本文將一種服務(wù)器分級分類管理方案應(yīng)用于校園一卡通系統(tǒng)建設(shè)中，提高整個一卡通系統(tǒng)的安全性和管理的有效性． 服務(wù)器區(qū)采用H3C網(wǎng)絡(luò)管理產(chǎn)品，支持如用戶認證、準(zhǔn)入控制、權(quán)限下發(fā)、計費管理、行為審計、桌面、資產(chǎn)管理等6 個主要功能［7，8］，以及防病毒、補丁、AD/LDAP(活動目錄/輕型目錄訪問協(xié)議)等輔助功能．管理方案如圖3．

安全管理系統(tǒng)區(qū)［9］主要是由進行網(wǎng)絡(luò)管理的相關(guān)服務(wù)器及安全管理設(shè)備組成，這些設(shè)備與核心交換機通過千兆鏈路直接相連．

圖3 服務(wù)器安全管理方案Fig.3 Server security management solution

管理服務(wù)器A 為主管理服務(wù)器，對整個專網(wǎng)設(shè)備包括網(wǎng)絡(luò)出口區(qū)、服務(wù)器區(qū)及核心骨網(wǎng)區(qū)域所有的設(shè)備進行統(tǒng)一管理．在用戶終端通過病毒、補丁等安全信息檢查后，EAD 可基于用戶的角色，通過下發(fā)接入控制策略，并按照用戶角色權(quán)限去規(guī)范用戶的網(wǎng)絡(luò)使用行為．終端用戶的所屬VLAN 、ACL 訪問策略等安全措施均可由管理服務(wù)器A 統(tǒng)一配置實施．

管理服務(wù)器B 架設(shè)有iMC 智能管理平臺，QoS、ACL、VPN 管理平臺．主要提供所有終端用戶的身份認證和安全訪問的審核，并對專網(wǎng)用戶的訪問行為統(tǒng)一管理，同時提供防病毒、軟件應(yīng)用管理．實現(xiàn)對網(wǎng)絡(luò)的基礎(chǔ)管理如:拓撲管理、告警管理、性能管理等，提供對網(wǎng)絡(luò)的集中監(jiān)視、智能的告警顯示、過濾和關(guān)聯(lián)，以及性能監(jiān)視等功能［10］．

管理服務(wù)器C 安裝網(wǎng)絡(luò)流量分析管理組件，收集專網(wǎng)上數(shù)據(jù)流，生成相關(guān)的分析結(jié)果，以報表或圖形顯示．

安全管理中心收集來自網(wǎng)絡(luò)出口區(qū)和服務(wù)器區(qū)以及核心骨干區(qū)域各個網(wǎng)絡(luò)設(shè)備和安全設(shè)備發(fā)送過來的安全日志，進行安全攻擊分析以及攻擊的關(guān)聯(lián)性分析．一旦發(fā)現(xiàn)有不安全事件的出現(xiàn)，系統(tǒng)通過管理服務(wù)器A 的EAD 組件以及管理服務(wù)器的B 的iMC 網(wǎng)管平臺來實現(xiàn)讓不安全的用戶下線，或者關(guān)閉相關(guān)設(shè)備的接口，從而實現(xiàn)隔斷存在攻擊的終端設(shè)備，也就隔斷了不安全終端設(shè)備與整個一卡通專網(wǎng)的聯(lián)系．這種服務(wù)器安全管理的方案的實施，能夠最大程度上增強一卡通系統(tǒng)的安全管控，并且增強了管理的有效性．

4 結(jié) 語

本文主要對校園一卡通系統(tǒng)的安全性結(jié)構(gòu)進行探究．從VLAN、防火墻、交換設(shè)備端口安全三個方面出發(fā)，對校園一卡通網(wǎng)絡(luò)的網(wǎng)絡(luò)安全結(jié)構(gòu)進行設(shè)計．結(jié)合校園一卡通專網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)特點，文章最后把一種服務(wù)器安全管理方案應(yīng)用在校園網(wǎng)一卡通系統(tǒng)建設(shè)中，優(yōu)化了網(wǎng)絡(luò)安全性能，并提高了校園一卡通系統(tǒng)管控的有效性．

［1］ 楊 明，郭樹旭，王 雋． 基于虛擬專用網(wǎng)技術(shù)的一卡通網(wǎng)絡(luò)安全設(shè)計與實現(xiàn)［J］．電子技術(shù)應(yīng)用，2010，36(1):136 -138．

［2］ 楊延朋． 校園一卡通系統(tǒng)的安全性分析與設(shè)計［J］． 通信技術(shù)，2009，42(2):328 -329．

［3］ 杭州華三通信技術(shù)有限公司．路由交換技術(shù)第1 卷(下冊)［M］．北京:清華大學(xué)出版社，2014．7．

［4］ 戴 瑩，李坤倫． 基于數(shù)字化校園平臺的一卡通系統(tǒng)的設(shè)計與實現(xiàn)［J］． 陜西科技大學(xué)學(xué)報(自然科學(xué)版)，2011，29(2):113 -117．

［5］ 羅 郁，李坤倫，孫 勇． 校園一卡通系統(tǒng)安全性分析與研究［J］． 計算機安全，2011，20(6):87 -91．

［6］ 杭州華三通信技術(shù)有限公司．路由交換技術(shù)第3 卷［M］．北京:清華大學(xué)出版社，2014．7．

［7］ 段智敏，王如龍，孫美青，佘 維． 基于一卡通的數(shù)字化校園資源整合研究與實現(xiàn)［J］． 計算機工程與科學(xué)，2008，30(1):8 -11．

［8］ 杭州華三通信技術(shù)有限公司．新一代網(wǎng)絡(luò)建設(shè)理論與實踐［M］．北京:電子工業(yè)出版社，2011．10．

［9］ DUAN，Z M，WANG R L，SUN M Q，et al． Research and Implementation of the Digital Campus Resource Integration Based on Packaged Campus Cards． Computer Engineering ＆ Science．2008，30(1):8 –11．

［10］ 汪成亮，陳娟娟，周亞鑫． 重慶城市一卡通系統(tǒng)設(shè)計及實現(xiàn)［J］． 計算機應(yīng)用與軟件，2008，25(9):127 -129．