校園一卡通網(wǎng)絡安全策略設計與實施

文/王偉林

校園一卡通系統(tǒng)在為師生提供校園便捷金融服務與消費的同時，網(wǎng)絡安全問題也日益凸顯，由于一卡通系統(tǒng)涉及用戶資金及個人資料等重要信息，安全保障至關重要。本文通過分析常用一卡通網(wǎng)絡系統(tǒng)架構，以南京信息職業(yè)技術學院一卡通系統(tǒng)為例，介紹學校的一卡通系統(tǒng)網(wǎng)絡安全保障策略，并且根據(jù)學院未來發(fā)展提出一卡通系統(tǒng)進一步完善的思路。

隨著教育信息化在高校應用深入，校園一卡通應用包括金融消費、身份認證和校園財政服務等多方面，很大程度上方便了學院師生在校園內的生活消費。然而，眾所周知的網(wǎng)絡安全威脅也波及到了校園一卡通：用戶信息被竊取或篡改，一卡通終端被攻擊導致不可用等問題讓用戶在體驗校園網(wǎng)一卡通便捷的同時反而望而卻步。

校園一卡通涉及用戶金融服務與在校園內消費活動，一旦受到安全威脅將會影響用戶的利益。高校通常采用以下三種模式架構保障一卡通網(wǎng)絡：

1.借助校園網(wǎng)。由于校園網(wǎng)本身已經(jīng)存在并且?guī)缀醣椴夹@，一卡通業(yè)務應用到之處也是校園網(wǎng)延伸之處，直接在校園網(wǎng)上部署一卡通業(yè)務成為部分高校的選擇，節(jié)約資金的同時也方便了一卡通網(wǎng)絡布置。但是，校園網(wǎng)用戶以及終端復雜，并且校園網(wǎng)直接接入互聯(lián)網(wǎng)，導致一卡通系統(tǒng)從服務器到終端都面臨校園網(wǎng)其他用戶以及互聯(lián)網(wǎng)安全威脅的嚴峻考驗。

2.建設一卡通專網(wǎng)。此模式直接采用物理上與校園網(wǎng)隔絕的模式保障一卡通網(wǎng)絡不受復雜的校園網(wǎng)安全威脅，提供純粹的一卡通網(wǎng)絡環(huán)境，在很大程度上做到了不受外界干擾的網(wǎng)絡安全，很多高校采用此方法。但是采用此方法由于單獨布置網(wǎng)絡造價成本較高；由于不可能像校園網(wǎng)布置到校園每個角落，業(yè)務拓展性不高；同時，由于采用專網(wǎng)導致維護與財務人員認為網(wǎng)絡“絕對”安全，但忽略了人為侵入專網(wǎng)攻擊，即攻擊者直接將電腦接入專網(wǎng)或者向一卡通終端注入惡意代碼進行攻擊，由于采用專網(wǎng)而松懈了專網(wǎng)內部安全措施，一旦專網(wǎng)遭受攻擊，后果不堪設想。

3.采用VPN技術構造一卡通“專網(wǎng)”。此方法仍然是在校園網(wǎng)上部署一卡通業(yè)務，但是采用VPN技術實現(xiàn)系統(tǒng)內部形成虛擬專網(wǎng)，并且由于VPN具有認證功能，虛擬專網(wǎng)內部各設備之間需要認證才能通信，既不需要布置專網(wǎng)，又防止黑客接入專網(wǎng)物理鏈路進行攻擊，但是采用此方法需要采購VPN網(wǎng)關設備，并且一卡通系統(tǒng)客戶端需要進行VPN客戶端配置才能與系統(tǒng)服務器進行通信，增加投入的同時也給維護人員帶來不便，此方法在少部分高校投入使用。

南京信息職業(yè)技術學院屬國有院校，是國家示范性（骨干）高職院校建設單位，學院地處仙林大學城，在校生12000余人。學院仙林校區(qū)2004年建設完成校園網(wǎng)一期工程，后期陸續(xù)完成了校園網(wǎng)其他工程，包括新建樓宇網(wǎng)絡通信，校園無線網(wǎng)絡覆蓋和學生宿舍有線網(wǎng)絡建設。2004年學院建設完成一卡通并投入使用，但是設計業(yè)務僅限于餐飲與熱水供應方面，2010年學院對一卡通系統(tǒng)進行升級改造并進行業(yè)務拓展，業(yè)務包括校園餐飲、生活用品消費、浴室與開水供應、上網(wǎng)消費、圖書借閱以及考試報名等多方面。由于建設與改造時期資金欠缺，沒有建設一卡通專網(wǎng)線路，而借用校園網(wǎng)搭載一卡通業(yè)務系統(tǒng)，隨著系統(tǒng)應用不斷豐富，一卡通系統(tǒng)安全也受到安全威脅與攻擊，導致系統(tǒng)出現(xiàn)暫時不可用的情況，嚴重影響了師生對校園一卡通系統(tǒng)的滿意度。需要設計一套解決方案，在節(jié)約資金，順應學院發(fā)展的同時，也能夠給一卡通系統(tǒng)提供強有力的保障。

圖1 學院校園一卡通系統(tǒng)構造

圖2 一卡通服務器安全部署

設計方案

學院校園一卡通系統(tǒng)主要包括三個方面：用戶數(shù)據(jù)庫，應用服務器與終端。如圖1所示，其中一卡通數(shù)據(jù)庫是整個一卡通業(yè)務的核心，一卡通其他業(yè)務系統(tǒng)需要與之交換數(shù)據(jù)信息；銀行Server（服務器）、學費Server和一卡通Webserver（網(wǎng)頁服務器）屬于應用服務器，是一卡通終端與數(shù)據(jù)庫之間的橋梁，承擔一卡通數(shù)據(jù)庫的讀取服務；一卡通終端包括多種類型，其中最主要的是多媒體終端，用戶在此終端上不僅可以實現(xiàn)信息查詢，由于多媒體終端連接一卡通數(shù)據(jù)庫與銀行Server，可以實現(xiàn)將與學院合作的銀行賬戶資金圈存至用戶的一卡通賬戶中。

根據(jù)學院一卡通構造與安全威脅，設計如下安全策略：

1.將一卡通系統(tǒng)數(shù)據(jù)庫以及業(yè)務服務器集中接入學院防火墻DMZ（非軍事區(qū)）接口并設計部署安全策略。在DMZ接口上部署安全策略既可以防御互聯(lián)網(wǎng)又可以防御校園網(wǎng)對其進行攻擊，如圖2所示。

由于一卡通業(yè)務僅限于校園內部，不對校外開放業(yè)務，在防火墻DMZ接口上做IP訪問控制策略，禁止互聯(lián)網(wǎng)用戶訪問，并且只允許校內與一卡通相關的終端和系統(tǒng)訪問一卡通數(shù)據(jù)庫與服務器，禁止校園網(wǎng)其他用戶訪問。防止互聯(lián)網(wǎng)或校內其他用戶發(fā)起的攻擊。

在DMZ接口上制定傳輸層端口訪問限制，首先將服務器發(fā)布的熟知端口服務（例如SQL數(shù)據(jù)庫1433端口，遠程桌面3389端口）改用自定義端口發(fā)布服務，然后在防火墻做端口控制策略，限制每臺服務器對校內終端開放的端口服務。防止黑客在校內偽造終端IP地址對一卡通系統(tǒng)進行網(wǎng)絡安全漏洞掃描或利用傳輸層熟知端口對一卡通數(shù)據(jù)庫與服務器發(fā)起攻擊。

2.對網(wǎng)絡中一卡通終端單獨劃分VLAN（虛擬局域網(wǎng)）。由于借用校園網(wǎng)來承載一卡通業(yè)務，一卡通終端與其他終端在網(wǎng)絡中安全級別處于相等狀態(tài)，設計將一卡通終端單獨劃分VLAN進行管理。防止校園網(wǎng)其他終端ARP（地址解析協(xié)議）攻擊或廣播風暴導致一卡通終端不能正常通信。

3.在一卡通終端上做IP訪問控制。根據(jù)每個終端需要進行數(shù)據(jù)通信的情況，在各個終端的IP高級配置中制定訪問控制，只允許與相關一卡通服務器或其他特定終端之間進行通信。防止黑客接入一卡通VLAN對終端發(fā)起攻擊，保障一卡通終端正常運行。

未來規(guī)劃

目前設計與部署的一卡通網(wǎng)絡安全策略在不需要增加硬件投入的情況下強有力地保障了一卡通整個業(yè)務系統(tǒng)安全可靠運行。未來學院將單獨部署基于IP的安防監(jiān)控網(wǎng)絡系統(tǒng)，由于安防網(wǎng)絡幾乎遍布校園每個角落并且與校園網(wǎng)物理隔離，可以利用單獨布置的安防專網(wǎng)中若干纖芯構造學院一卡通專網(wǎng)，但目前所設計的一卡通網(wǎng)絡安全策略仍然保持不變，以保證未來在有一卡通專網(wǎng)的同時黑客即使接入物理專網(wǎng)也無法輕易對系統(tǒng)發(fā)起攻擊。