数字化校园一卡通系统解决方案

    此外，在网络安全性方面完成以下内容： 

    1.体系结构和应用：根据需求制定安全体系结构以及设计特殊应用等。
    2.身份识别：该机制保证所有系统实体(进程、系统、成员、用户等)都是唯一可验证的；身份识别粒度必须足以区分对系统各实体资源访问的权限。
    3.访问控制：该机制确保对系统重要资源的授权访问和合法使用，包括用户划分权限、资源操作授权粒度应满足安全需求等。
    4.完整性：它是通过开放式系统完整性、网络完整性以及数据完整性来确保整个的数据不被非法更改或毁坏。这些数据包括永久保存的数据和网络消息数据。
    5.保密性：该机制是通过数据加密、安全联系以及密钥管理确保重要数据不被泄漏给未授权的人或计算机进程。
    6.非否认：非否认机制包括开放系统非否认、电子签名和电子乱序。该服务确保信息的发送和接收者无法否认其发出过或接受到某些信息。它还可以验证软件包的合法性，或检验硬件设备自出厂后是否被改动。
    7.有效性：该服务是保证提供满足响应时间的、不间断的通信以及系统硬件设备的正常工作。
    8.系统管理：它使得系统操作上安全性，其中包括许可证和委托证的验证、风险管理、报警、审计、密钥管理等等。
    9.安全标签：安全标签是一些与资源联系在一起的、标志其安全属性的数据。以下个服务领域都可以用安全标签法控制其安全  性：人机接口、数据管理、数据交换、图形、网络、系统以及分布式计算等。
    10.信息系统安全管理：安全管理包括制定安全计划、安全和维护安全机制、将信息领域和信息系统安全政策条令强化在信息系统中以提供安全的信息服务。此外，除了系统核心服务以外安全管理还应包括事件处理、系统审计和自动恢复等。 

1、网络总体设计 

    网络平台的建设总体上采用的是两层星型拓扑结构，按照功能要求划分为主干网(以快速太交换网络为核心)部分，按照功能要求划分为主干网(以快速太交换网络为核心)部分和与银行网络对接部分。其中主干网部分是整个校园一卡通系统的核心，各终端设备通过边缘接入交换机接入主干网，并可以与位于主干网上的数据服务器实时通信。 

    1）.终端设备子网 

    包括支付交易POS机、身份识别POS机等校园一卡通系统各类终端设备按星型结构方式分别联接网络服务器。分别接入校园网交换设备，数据自动上传至校园IC卡管理结算中心数据服务器。
    RS485子网采用标准的结构化布线技术，构造星型拓扑结构。
    与RS485子网星型拓扑结构相适应，本方案RS485子网布线采用国际标准的结构化布线技术。星型结构方式具有总线结构无可比拟的优点，设备增减方便，单点故障不影响其它设备传输，扩展性和灵活性好。 

    2）.方案特点 

    管理方式灵活：工作站可由各部门根据需要设置，也可由校方集中统一管理，为各部门提供运营报表。
    数据实时性和完整性：用串口联网设备取代PC管理机，所有的校园卡数据实时上传至校园卡中心服务器。
    提高传输效率。与通过上位机上传数据的常规应用方式相比，提高了数据传输效率，更重要的是，本方案构建的将是一个完全实时性的校园卡系统，极大地增强了系统的实用性。 
    数据集中式处理。
    安全性高。系统操作权限分级管理、数据进行部门隔离。
 
2、网络结构设计 

    1）目标：将一卡通系统建设成为一个独立的VLAN，物理上与校园网在一起，从逻辑上与校园网其它系统一一如教学、科研等进行隔离，保证一卡通形成一个跨校区，纵横校园网之上的VLAN。
    2）手段：通过定义全校VLAN，与管理、科研LAN分开，因为VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现，这样在“一卡通”的VLAN里禁止使用路由功能，保证与其它VLAN不能通讯，将非法用户与敏感的网络资源隔离，从而防止可能的非法侦听，保证VLAN的独立性，在入口出屏蔽的其它VLAN的IP地址和所有的服务。
    3）方法：采用Cisco VTP协议，基于交换机端口的划分VLAN。这个协议可以大大节约在工程实施中的时间和强度，并且有利于对将来网络的修改和维护。每个园区的中心交换机作为该园区的VTP Server，负责本园区的VLAN管理。同时全局的VLAN也必须在本地作配置。