设计方案

　　学院校园一卡通系统主要包括三个方面：用户数据库，应用服务器与终端。如图1所示，其中一卡通数据库是整个一卡通业务的核心，一卡通其他业务系统需要与之交换数据信息；银行 Server（服务器）、学费 Server 和一卡通 Web server（网页服务器）属于应用服务器，是一卡通终端与数据库之间的桥梁，承担一卡通数据库的读取服务；一卡通终端包括多种类型，其中最主要的是多媒体终端，用户在此终端上不仅可以实现信息查询，由于多媒体终端连接一卡通数据库与银行 Server，可以实现将与学院合作的银行账户资金圈存至用户的一卡通账户中。

　　根据学院一卡通构造与安全威胁，设计如下安全策略：

　　1.将一卡通系统数据库以及业务服务器集中接入学院防火墙 DMZ（非军事区）接口并设计部署安全策略。在 DMZ 接口上部署安全策略既可以防御互联网又可以防御校园网对其进行攻击，如图2所示。

　　由于一卡通业务仅限于校园内部，不对校外开放业务，在防火墙 DMZ 接口上做 IP 访问控制策略，禁止互联网用户访问，并且只允许校内与一卡通相关的终端和系统访问一卡通数据库与服务器，禁止校园网其他用户访问。防止互联网或校内其他用户发起的攻击。

　　在 DMZ 接口上制定传输层端口访问限制，首先将服务器发布的熟知端口服务（例如SQL数据库1433端口，远程桌面3389端口）改用自定义端口发布服务，然后在防火墙做端口控制策略，限制每台服务器对校内终端开放的端口服务。防止黑客在校内伪造终端 IP 地址对一卡通系统进行网络安全漏洞扫描或利用传输层熟知端口对一卡通数据库与服务器发起攻击。

　　2.对网络中一卡通终端单独划分 VLAN（虚拟局域网）。由于借用校园网来承载一卡通业务，一卡通终端与其他终端在网络中安全级别处于相等状态，设计将一卡通终端单独划分 VLAN 进行管理。防止校园网其他终端 ARP（地址解析协议）攻击或广播风暴导致一卡通终端不能正常通信。

　　3.在一卡通终端上做IP访问控制。根据每个终端需要进行数据通信的情况，在各个终端的IP高级配置中制定访问控制，只允许与相关一卡通服务器或其他特定终端之间进行通信。防止黑客接入一卡通 VLAN 对终端发起攻击，保障一卡通终端正常运行。

　　未来规划

　　目前设计与部署的一卡通网络安全策略在不需要增加硬件投入的情况下强有力地保障了一卡通整个业务系统安全可靠运行。未来学院将单独部署基于 IP 的安防监控网络系统，由于安防网络几乎遍布校园每个角落并且与校园网物理隔离，可以利用单独布置的安防专网中若干纤芯构造学院一卡通专网，但目前所设计的一卡通网络安全策略仍然保持不变，以保证未来在有一卡通专网的同时黑客即使接入物理专网也无法轻易对系统发起攻击。

　　（作者单位南京信息职业技术学院图文信息中心）