摘? 要：互聯(lián)網技術發(fā)展與創(chuàng)新使得信息技術對人們生產活動產生較大影響，當前一卡通系統(tǒng)在校園普及和應用范圍擴大，但其安全性有待提升。若想降低網絡安全危害，建議維護校園網絡安全，在校園一卡通建設階段引入網絡安全裝備技術，化解師生財產安全和信息泄密危機。基于此，本文通過概述校園一卡通系統(tǒng)，分析其安全隱患，圍繞加密技術、殺毒技術、防火墻技術等探究校園一卡通網絡安全裝備技術內容。經研究發(fā)現(xiàn)，應用先進的一卡通網絡安全裝備技術可以實現(xiàn)多種安全策略的配合，突出一卡通系統(tǒng)可操作性特點。借助VLAN、VPN為學校教師和學生提供便利服務。過濾網絡通信階段涉及到的MAC地址協(xié)議、IP地址等內容，可抵擋病毒攻擊和惡意攻擊。屏蔽病毒經常出入端口，為網絡用戶拓展數據交流的合法渠道，減少系統(tǒng)運行成本，發(fā)揮其預見性與時代性。通過留置拓展接口實現(xiàn)一卡通系統(tǒng)的數字化發(fā)展，使其達到終端數字化、管理結算智能化目標，保護和隔離校園一卡通系統(tǒng)，為教育改革提供技術服務。

關鍵詞：校園一卡通;網絡安全;安全裝備

中圖分類號：TP393.08??? 文獻標識碼：A??? 文章編號：2096-6903（2020）06-0000-00

0 引言

校園一卡通包含校園局域網和獨立組網兩種模式，借助校園網冗余光纖創(chuàng)建系統(tǒng)專網可以提升網絡安全性。一卡通系統(tǒng)建設與運營階段容易受到多種病毒攻擊，進而導致網絡癱瘓，使得學生和教師的信息及財產安全受到威脅。因此，有必要深入分析校園一卡通存在的安全隱患，選擇科學的技術予以解決。

1 校園一卡通系統(tǒng)概述

1.1 系統(tǒng)結構及業(yè)務角色

當前校園一卡通主要組成結構包含信息查詢系統(tǒng)、金融消費系統(tǒng)，前者將校園網作為主要架構形式，后者需要構建校園一卡通專用網，借助網絡設備、互聯(lián)網和終端充分利用校園網絡提升信息管理系統(tǒng)的先進性。同時，應用系統(tǒng)內包含的綜合業(yè)務、交易模塊、身份認證、自助服務模塊，在結構設計時需充分考慮聯(lián)網兼容性與兩用性。通常一卡通系統(tǒng)運行模式包含非實時與實時通訊形式，確保其在聯(lián)網條件下的可操作性。當聯(lián)機通訊后可以實現(xiàn)數據轉接和交換，保證系統(tǒng)支付識別功能的持續(xù)運行。此外，校園一卡通的業(yè)務角色是信息查詢、代收代付，幫助銀行對資金流程進行管理。

1.2 系統(tǒng)網絡結構

校園一卡通中以太網屬于網絡主干，其節(jié)點需要借助多鏈路形式向數據管理中心輸送信息，實現(xiàn)條件與校園網交換機相對應。內部信息中心可以將校園一卡通專網和互聯(lián)網相連接，其中核心層應借助OSPF+鏈路聚合路由形式發(fā)揮冗余優(yōu)勢。同時，接入層需保障Qos策略和數據交換的安全性。終端設備借助三層交換機、網絡服務器與主干網相連接，創(chuàng)建RS-485網絡結構，實現(xiàn)終端結構的融合。例如，將華為S5700-L1當作接入層的交換機，使商務網關將RS-485轉換為TCP/IP以太網協(xié)議，與一卡通專網連接，確保數據實時傳輸至一卡通數據中心內。

2 校園一卡通系統(tǒng)應用安全隱患分析

2.1 病毒入侵

隨著社會的快速發(fā)展使得計算機技術，計算機網絡和人們的工作、學習息息相關。當前黑客借助病毒入侵系統(tǒng)盜取用戶信息，威脅其財產安全，產生較大的安全隱患。同時，病毒入侵會導致計算機程序混亂。計算機病毒是威脅計算機網絡安全的主要隱患，其會伴隨著計算機網絡的傳播，感染服務器和電腦，其破壞力較強、傳播范圍較廣，會威脅校園一卡通網絡數據的正常傳播和應用。

2.2 偽造虛擬信息

當前校園一卡通系統(tǒng)存在惡意攻擊情況，不法分子會借助計算機網絡攻擊一卡通系統(tǒng)鏈路網絡數據，威脅計算機系統(tǒng)安全性。非法入侵人員會進入一卡通系統(tǒng)竊取、篡改、破壞數據，或者安裝竊聽系統(tǒng)及竊聽設備竊取計算機系統(tǒng)內網絡傳輸線路的關鍵信息，對數據完整性造成破壞。此外，不法分子通過制造虛擬信息竊取用戶財產和信息，對系統(tǒng)用戶的信息及財產安全造成危害。當前借助校園局域網絡和一卡通終端的連接可使內部管理部門與外部網絡相關聯(lián)，完成數據交換。系統(tǒng)內數據傳輸過程存在較多隱秘數據和信息，部分黑客會攻擊和竊取內網數據，威脅網路安全。因此，有必要加強對數據鏈路傳輸的保護，借助數字簽名或認證技術突出一卡通系統(tǒng)數據傳輸的真實性和安全性。

2.3 網絡結構安全風險

第一，互聯(lián)網影響。新時期智慧校園建設步伐加快，校園的內網和公網已經實現(xiàn)互聯(lián)，后者具有自由度和開放性，但會對內部網絡產生影響，威脅一卡通系統(tǒng)及部門辦公系統(tǒng)隱私性。當前部分校園尚未創(chuàng)建完善的網絡安全防范機制，無法及時應對突發(fā)問題，威脅系統(tǒng)用戶信息安全。第二，局域網影響。網絡安全攻擊事件中，由內部網絡遭受破壞的占比是70%，威脅網絡系統(tǒng)安全性。第三，外部網絡和內部網路互聯(lián)會出現(xiàn)安全隱患，威脅校園內師生正常工作學習操作。第四，系統(tǒng)安全。維護系統(tǒng)安全需要優(yōu)化設置，提升應用系統(tǒng)和操作系統(tǒng)安全性，若不及時處理系統(tǒng)漏洞會增加安全風險，引發(fā)網絡安全事故。

3 校園一卡通網絡安全裝備技術分析

3.1 常規(guī)安全裝備技術分析

3.1.1 設置加密技術

通過在計算機內使用加密技術，對用戶信息及系統(tǒng)關鍵數據完成加密，降低數據被竊取和流失的概率。通過設置密碼防止不法分子對系統(tǒng)數據進行篡改和偽造，提升網絡安全性。此外，建議及時排查和維護校園一卡通系統(tǒng)安全隱患及漏洞，使用系統(tǒng)輔助修復軟件，為用戶的使用提供良好服務。例如，對于一卡通中收費模塊，需要創(chuàng)建獨立的通訊密鑰對，將其放置在系統(tǒng)安全位置。借助交易的方式將公鑰發(fā)送至認證中心。密鑰具備固定有效日期，當超過有效期則系統(tǒng)會生成新密鑰覆蓋初始密鑰。其中，校園轉賬系統(tǒng)所生成的密文請求可以借助加密技術變?yōu)?583碼，并完成動態(tài)加密，保障用戶金額數據在系統(tǒng)內的安全性。

3.1.2 利用防火墻技術

通過加密技術可以降低侵權的可能性，還能夠借助防火墻判斷計算機病毒及侵權問題。防火墻技術能對系統(tǒng)硬件與軟件進行防護，規(guī)避安全隱患。常見的防火墻技術包含包過濾技術、代理技術、狀態(tài)檢查和內容檢查技術。其中，包過濾技術可以對網絡中特定位置數據包完成選擇性過濾，內部具備包檢查模塊，建議安設在路由器和網關中，提前對IP包進行處理。代理技術具備狀態(tài)性優(yōu)勢，可以起到中轉作用，使得校園一卡通接受代理服務請求，拒絕外部節(jié)點的直接請求，借助雙宿網管提供代理服務。狀態(tài)監(jiān)測技術通過運行安全引擎抽取網絡通信數據進行動態(tài)監(jiān)測，監(jiān)控高層服務協(xié)議和數據，保障數據流安全性。此外，實名認證也可以為校園一卡通增加安全保障，通過認證管理人員、學生、教師身份，實現(xiàn)個人身份合法化，加強校園網絡安全規(guī)范化管理。實名認證還可以幫助用戶樹立防范意識，實現(xiàn)一卡通網絡系統(tǒng)的安全運營。

3.1.3 安裝殺毒軟件

建議在校園計算機中實現(xiàn)殺毒軟件的全覆蓋，及時對電腦完成殺毒和清理，排查電腦病毒情況。新時期殺毒軟件較為發(fā)達，用戶在操作計算機時可及時對病毒進行處理，防止數據被盜取和流失。因此，建議將校園一卡通和殺毒軟件相結合，對異常問題完成處理。定期升級數據庫和殺毒軟件，防止數據被不法分子破壞。例如，某學校選擇了瑞星殺毒軟件，滿足大型跨區(qū)域時網絡病毒防護系統(tǒng)的需求。由上級中心統(tǒng)一發(fā)布病毒查殺命令，提示版本升級情況，主動向上級中心發(fā)送匯報信息和請求。通過實時監(jiān)控工作站和服務器上的病毒，向系統(tǒng)匯報升級及病毒檢測實際情況。

3.1.4 實現(xiàn)網絡監(jiān)控

建議擴大對校園一卡通系統(tǒng)的網絡監(jiān)控范圍，確保其覆蓋全校各個角落，借助網絡監(jiān)控模式約束不法分子竊取和泄漏信息等行為。因此，可以加強安全隔離操作，確保用戶在使用一卡通的基礎上規(guī)避非法入侵問題。同時，對一卡通數據進行備份，防止不法分子入侵破壞系統(tǒng)。通過創(chuàng)建科學的系統(tǒng)網絡管理體系，維護用戶合法權益。樹立師生網絡安全防范意識，借助法制化和規(guī)范化手段提升網絡安全性。此外，建議在終端安設網絡監(jiān)控軟件及設備，對協(xié)議流速、機器流速、網絡信息完成監(jiān)管，實現(xiàn)網絡安全審計。

3.2 虛擬網絡技術分析

3.2.1 VPN（虛擬專用網）技術

由于校園一卡通是創(chuàng)建智慧校園的關鍵環(huán)節(jié)，其屬于小型專用校園局域網，在內部可以實現(xiàn)認證技術、訪問控制、VPN軌道技術、加密技術，維護系統(tǒng)的網絡安全。其中，VPN技術包含兩種模式，具體內容如下：第一，在校園一卡通系統(tǒng)內增加VPN模塊，將局域網當作網絡平臺實現(xiàn)信息化管理。借助VPN技術可以顯著減少學校網絡安全維護成本費用。第二，依托網絡運營商在校園內計算機網絡系統(tǒng)設置VPN，突出系統(tǒng)自主性。同時，VPN技術具備IP選擇、防火墻、系統(tǒng)認證、網絡加密、遠程數據存儲等功能，提高校園一卡通網絡系統(tǒng)的靈活性、可靠性和安全性。

3.2.2 VLAN（虛擬局域網技術）

第一，MAC劃分。該技術收集了一卡通系統(tǒng)內全部的MAC地址，形成協(xié)同邏輯組，創(chuàng)建校園局域網。該工作模式運行成本不高，但在劃分MAC地址時需要先完成統(tǒng)計操作。第二，IP劃分。此模式借助多種交換機劃分一卡通系統(tǒng)，將不同端口設置為統(tǒng)一邏輯端口，創(chuàng)建VLAN劃分形式。該技術不會受到地點和時間的約束，可以將辦公樓、宿舍區(qū)、校區(qū)的計算機劃分至相同虛擬網絡內，具有智能化和高效性優(yōu)勢。第三，端口劃分。此形式是將校園一卡通的全部網絡端組建為邏輯組，加強校園局域網通信，該模式簡單便捷，管理員需要對系統(tǒng)分配對應設備端口，進而實現(xiàn)對一卡通系統(tǒng)的安全防護。

3.2.3 ACL（訪問控制列表）技術

ACL技術是指過濾模式，可以對校園一卡通系統(tǒng)內網絡MAC地址、協(xié)議、IP地址、端口完成有效過濾，克服病毒攻擊與不法分子惡意攻擊。ACL技術能夠借助訪問控制形式拓展標準列表和控制列表，設置網絡通訊規(guī)則。例如，允許一卡通系統(tǒng)功能借助MAC訪問、IP訪問的形式獲取數據庫信息。同時，系統(tǒng)數據庫只提供開放端口，屏蔽不常用端口及病毒經常進出的端口，限制合法用戶完成數據交流，將非法主機抵御在一卡通系統(tǒng)外。

3.3 網絡安全優(yōu)化技術

3.3.1 端口鏡像技術

端口鏡像實際上是交換機一至多個VLAN端口滿足數據報文轉發(fā)與復制規(guī)則，使數據發(fā)送至目的的端口，為網絡安全監(jiān)控與分析提供數據流。鏡像功能需要和網絡分析設備協(xié)同使用，針對校園一卡通系統(tǒng)內網絡數據包完成監(jiān)聽，利用網絡分析儀實現(xiàn)判斷。向工作人員提供故障排除和監(jiān)控數據，為網絡數據提供相關安全保障。配置系統(tǒng)端口鏡像時需注意以下要點：第一，確保源端口與目的端口一同配置，突出鏡像配置的科學性和有效性。第二，當端口加入生成樹或匯聚組后無法設置為目的端口。第三，若選擇銳捷交換機，其源端口最多1個，目的端口≥1個。如在校園一卡通網路配置階段，將端口鏡像應用于VLAN 19，將其設置在核心交換機中。

3.3.2 防止ARP攻擊技術

ARP設置將IP地址轉變?yōu)镸AC地址的網絡協(xié)議，其屬于OSI模型內第三層協(xié)議，在ARP表內存儲MAC地址和IP地址的對應關系。同時，校園一卡通網絡有時會受到ARP攻擊，位置集中在接入層，屬于常規(guī)網絡攻擊模式，甚至會導致系統(tǒng)出現(xiàn)網絡癱瘓問題。而ARP防攻擊功能包含MAC地址、IP地址綁定，防止非法用戶盜用他人IP地址。例如，部分學校在構建校園一卡通網絡系統(tǒng)時，財務管理等安全系數較高的部門會綁定MAC地址和IP地址，在匯聚層的交換機中執(zhí)行命令。注意該技術需要應用于三層交換機內。此外，對于不法分子虛擬IP地址發(fā)出請求的問題，可以借助交換機中防欺騙功能保障校園一卡通系統(tǒng)網絡安全運行。

3.3.3 防止DoS/DDoS及IP掃描攻擊技術

DoS是拒絕用戶訪問，會對用戶信息訪問造成攻擊。DDoS模式是基于DoS的攻擊形式，其破壞影響較大。在校園一卡通網絡系統(tǒng)內防止DoS/DDoS攻擊技術主要借助入口過濾方式完成。該功能大多集中在交換機端口上，通過配置命令設置三層網絡接口地址。該功能只能設置在直連接口位置，無法和ACL模塊處于相同接口。同時，校園一卡通局域網IP掃描攻擊模式包含兩種：其一，向虛擬IP地址發(fā)送大量報文。其二，借助變化IP地址進行掃描攻擊。二者會對校園網產生較大危害，浪費網絡帶寬及CPU資源。因此，若想提升系統(tǒng)安全性，需要限制掃描攻擊次數，隔離非法用戶。由于校園一卡通系統(tǒng)涉及到的計算機數量較多，應在匯聚層配置防攻擊數據。

3.4 服務器分級管理技術

若想提升終端防御攻擊和隔離網絡水平，需要創(chuàng)建校園一卡通專用網絡安全環(huán)境。例如，可以設置服務器分類、分級管理模式，提高系統(tǒng)安全性。選擇H3C服務器網絡管理產品，其能夠實現(xiàn)準入監(jiān)控、用戶認證、計費管理、權限發(fā)布、桌面、行為審計、資產管理等功能，包含防病毒等輔助能力。系統(tǒng)相關設備借助千兆鏈路與核心交換機完成互聯(lián)，主服務器A負責一卡通專用網絡中服務器、網絡出口、核心骨網設備管理。當對補丁和病毒進行分析掃描后，借助EAD技術發(fā)布控制策略。管理服務器B可以審核用戶身份信息，在登錄一卡通系統(tǒng)時能夠完成安全訪問，統(tǒng)一管理專網用戶。

4 結語

綜上所述，校園一卡通屬于全方位綜合系統(tǒng)工程，需要良好的安全策略進行配合。通過網絡模塊協(xié)調突出保護優(yōu)勢，最大程度地為校園學習生活提供服務。因此，建議科學選擇網絡安全裝備技術，規(guī)避計算機病毒對于系統(tǒng)信息的攻擊和竊取，加強網絡監(jiān)控約束非法入侵行為，維護網絡用戶信息和財產安全。

參考文獻

[1] 董成武.基于智慧校園一卡通系統(tǒng)的安全體系研究[J].信息與電腦（理論版），2020，32（1）：220-222.

[2] 馬建英，肖蕊.淺談校園一卡通的網絡安全裝備技術[J].今日財富，2019（27）：108.

[3] 楊翠翠.校園一卡通系統(tǒng)安全建設方案的研究與設計[J].網絡空間安全，2018，9（8）：75-80.

收稿日期：2020-04-15

作者簡介：周國棟（1977—），男，山東淄博人，本科，工程師，研究方向：智能化系統(tǒng)集成。

Technical Analysis of Network Security Equipment for Campus All-in-One Card

ZHOU Guodong

（Beijing Tellhow Intelligent Engineering Co.， Ltd.，? Beijing? 100176）

Abstract： The development and innovation of Internet technology have made information technology have a greater impact on people's production activities. At present， the popularization and application of all-in-one card systems in campuses are expanding， but its security needs to be improved. If you want to reduce network security hazards， it is recommended to maintain campus network security and introduce network security equipment technology during the construction of the campus all-in-one card to resolve the crisis of teacher and student property safety and information leakage. Based on this， this article outlines the campus all-in-one card system， analyzes its security risks， and explores the technical content of campus all-in-one card network security equipment around encryption technology， anti-virus technology， and firewall technology. Research has found that the application of advanced all-in-one card network security equipment technology can achieve the coordination of multiple security strategies， highlighting the operability of the all-in-one card system. Provide convenient services for school teachers and students with the help of VLAN and VPN. Filtering the MAC address protocol， IP address and other content involved in the network communication stage can resist virus attacks and malicious attacks. Shield the frequent access ports of viruses， expand legal channels for data exchanges for network users， reduce system operating costs， and give play to its predictability and timeliness. Realize the digital development of the all-in-one card system by retaining the expansion interface， so that it can achieve the goal of terminal digitization and intelligent management and settlement， protect and isolate the campus all-in-one card system， and provide technical services for education reform.

Keywords： campus card; network security; safety equipment