亿龙卡-大义中学校园一卡通项目案例
以校园一卡通系统为平台,实现以人为本,从校园环境、资源到活动的全部数字化管理。所以建设校园一卡通系统,实现“一卡在手,走遍校园”必将满足学校数字化校园建设的需求及目的。
一、项目内容:
大义中学数字化校园一卡通分为一卡通平台与各个子系统:
一卡通平台:统一身份认证平台、校园卡的初始化、发放、挂失、解挂、补卡、注销,完成各商户销售、结算和转帐对帐等。商务消费系统、进出管理系统、上机管理系统、控水管理系统。
二、数据库与软件平台
该系统采用总线型+星型的网络拓扑结构,客户端采用windows9x/xp/2000.服务器端采用Windows2000Server、SQL_SERVER7.0/2000中央数据库集成方式与通用的互联软件技术。
三、网络架构
校园一卡通系统各类终端设备通过网络服务器直接接入TCP/IP主干网,校园卡管理中心以校园网为通道直接管理各类终端设备,全局配置参数的设定、更改,负责黑(白)名单等实时信息的实时同步管理,对接入的各种子系统设备进行状态监控。系统具备高可管理、高安全性、易维护等优势。
此外,在网络安全性方面完成以下内容:
1.体系结构和应用:根据需求制定安全体系结构以及设计特殊应用等。
2.身份识别:该机制保证所有系统实体(进程、系统、成员、用户等)都是唯一可验证的;身份识别粒度必须足以区分对系统各实体资源访问的权限。
3.访问控制:该机制确保对系统重要资源的授权访问和合法使用,包括用户划分权限、资源操作授权粒度应满足安全需求等。
4.完整性:它是通过开放式系统完整性、网络完整性以及数据完整性来确保整个的数据不被非法更改或毁坏。这些数据包括永久保存的数据和网络消息数据。
5.保密性:该机制是通过数据加密、安全联系以及密钥管理确保重要数据不被泄漏给未授权的人或计算机进程。
6.非否认:非否认机制包括开放系统非否认、电子签名和电子乱序。该服务确保信息的发送和接收者无法否认其发出过或接受到某些信息。它还可以验证软件包的合法性,或检验硬件设备自出厂后是否被改动。
7.有效性:该服务是保证提供满足响应时间的、不间断的通信以及系统硬件设备的正常工作。
8.系统管理:它使得系统操作上安全性,其中包括许可证和委托证的验证、风险管理、报警、审计、密钥管理等等。
9.安全标签:安全标签是一些与资源联系在一起的、标志其安全属性的数据。以下个服务领域都可以用安全标签法控制其安全性:人机接口、数据管理、数据交换、图形、网络、系统以及分布式计算等。
10.信息系统安全管理:安全管理包括制定安全计划、安全和维护安全机制、将信息领域和信息系统安全政策条令强化在信息系统中以提供安全的信息服务。此外,除了系统核心服务以外安全管理还应包括事件处理、系统审计和自动恢复等。
1、网络总体设计
网络平台的建设总体上采用的是两层星型拓扑结构,按照功能要求划分为主干网(以快速太交换网络为核心)部分,按照功能要求划分为主干网(以快速太交换网络为核心)部分和与银行网络对接部分。其中主干网部分是整个校园一卡通系统的核心,各终端设备通过边缘接入交换机接入主干网,并可以与位于主干网上的数据服务器实时通信。
1).终端设备子网
包括支付交易POS机、身份识别POS机等校园一卡通系统各类终端设备按星型结构方式分别联接网络服务器。分别接入校园网交换设备,数据自动上传至校园IC卡管理结算中心数据服务器。
RS485子网采用标准的结构化布线技术,构造星型拓扑结构。与RS485子网星型拓扑结构相适应,本方案RS485子网布线采用国际标准的结构化布线技术。星型结构方式具有总线结构无可比拟的优点,设备增减方便,单点故障不影响其它设备传输,扩展性和灵活性好。
2).方案特点
管理方式灵活:工作站可由各部门根据需要设置,也可由校方集中统一管理,为各部门提供运营报表。
数据实时性和完整性:用串口联网设备取代PC管理机,所有的校园卡数据实时上传至校园卡中心服务器。
提高传输效率。与通过上位机上传数据的常规应用方式相比,提高了数据传输效率,更重要的是,本方案构建的将是一个完全实时性的校园卡系统,极大地增强了系统的实用性。
数据集中式处理。
安全性高。系统操作权限分级管理、数据进行部门隔离。
2、网络结构设计
1)目标:将一卡通系统建设成为一个独立的VLAN,物理上与校园网在一起,从逻辑上与校园网其它系统一如教学、科研等进行隔离,保证一卡通形成一个跨校区,纵横校园网之上的VLAN。
2)手段:通过定义全校VLAN,与管理、科研LAN分开,因为VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现,这样在“一卡通”的VLAN里禁止使用路由功能,保证与其它VLAN不能通讯,将非法用户与敏感的网络资源隔离,从而防止可能的非法侦听,保证VLAN的独立性,在入口出屏蔽的其它VLAN的IP地址和所有的服务。
3)方法:采用Cisco VTP协议,基于交换机端口的划分VLAN。这个协议可以大大节约在工程实施中的时间和强度,并且有利于对将来网络的修改和维护。每个园区的中心交换机作为该园区的VTP Server,负责本园区的VLAN管理。同时全局的VLAN也必须在本地作配置。
案例图: