摘  要：互联网技术发展与创新使得信息技术对人们生产活动产生较大影响，当前一卡通系统在校园普及和应用范围扩大，但其安全性有待提升。若想降低网络安全危害，建议维护校园网络安全，在校园一卡通建设阶段引入网络安全装备技术，化解师生财产安全和信息泄密危机。基于此，本文通过概述校园一卡通系统，分析其安全隐患，围绕加密技术、杀毒技术、防火墙技术等探究校园一卡通网络安全装备技术内容。经研究发现，应用先进的一卡通网络安全装备技术可以实现多种安全策略的配合，突出一卡通系统可操作性特点。借助VLAN、VPN为学校教师和学生提供便利服务。过滤网络通信阶段涉及到的MAC地址协议、IP地址等内容，可抵挡病毒攻击和恶意攻击。屏蔽病毒经常出入端口，为网络用户拓展数据交流的合法渠道，减少系统运行成本，发挥其预见性与时代性。通过留置拓展接口实现一卡通系统的数字化发展，使其达到终端数字化、管理结算智能化目标，保护和隔离校园一卡通系统，为教育改革提供技术服务。

关键词：校园一卡通;网络安全;安全装备

中图分类号：TP393.08    文献标识码：A    文章编号：2096-6903（2020）06-0000-00

0 引言

校园一卡通包含校园局域网和独立组网两种模式，借助校园网冗余光纤创建系统专网可以提升网络安全性。一卡通系统建设与运营阶段容易受到多种病毒攻击，进而导致网络瘫痪，使得学生和教师的信息及财产安全受到威胁。因此，有必要深入分析校園一卡通存在的安全隐患，选择科学的技术予以解决。

1 校园一卡通系统概述

1.1 系统结构及业务角色

当前校园一卡通主要组成结构包含信息查询系统、金融消费系统，前者将校园网作为主要架构形式，后者需要构建校园一卡通专用网，借助网络设备、互联网和终端充分利用校园网络提升信息管理系统的先进性。同时，应用系统内包含的综合业务、交易模块、身份认证、自助服务模块，在结构设计时需充分考虑联网兼容性与两用性。通常一卡通系统运行模式包含非实时与实时通讯形式，确保其在联网条件下的可操作性。当联机通讯后可以实现数据转接和交换，保证系统支付识别功能的持续运行。此外，校园一卡通的业务角色是信息查询、代收代付，帮助银行对资金流程进行管理。

1.2 系统网络结构

校园一卡通中以太网属于网络主干，其节点需要借助多链路形式向数据管理中心输送信息，实现条件与校园网交换机相对应。内部信息中心可以将校园一卡通专网和互联网相连接，其中核心层应借助OSPF+链路聚合路由形式发挥冗余优势。同时，接入层需保障Qos策略和数据交换的安全性。终端设备借助三层交换机、网络服务器与主干网相连接，创建RS-485网络结构，实现终端结构的融合。例如，将华为S5700-L1当作接入层的交换机，使商务网关将RS-485转换为TCP/IP以太网协议，与一卡通专网连接，确保数据实时传输至一卡通数据中心内。

2 校园一卡通系统应用安全隐患分析

2.1 病毒入侵

随着社会的快速发展使得计算机技术，计算机网络和人们的工作、学习息息相关。当前黑客借助病毒入侵系统盗取用户信息，威胁其财产安全，产生较大的安全隐患。同时，病毒入侵会导致计算机程序混乱。计算机病毒是威胁计算机网络安全的主要隐患，其会伴随着计算机网络的传播，感染服务器和电脑，其破坏力较强、传播范围较广，会威胁校园一卡通网络数据的正常传播和应用。

2.2 伪造虚拟信息

当前校园一卡通系统存在恶意攻击情况，不法分子会借助计算机网络攻击一卡通系统链路网络数据，威胁计算机系统安全性。非法入侵人员会进入一卡通系统窃取、篡改、破坏数据，或者安装窃听系统及窃听设备窃取计算机系统内网络传输线路的关键信息，对数据完整性造成破坏。此外，不法分子通过制造虚拟信息窃取用户财产和信息，对系统用户的信息及财产安全造成危害。当前借助校园局域网络和一卡通终端的连接可使内部管理部门与外部网络相关联，完成数据交换。系统内数据传输过程存在较多隐秘数据和信息，部分黑客会攻击和窃取内网数据，威胁网路安全。因此，有必要加强对数据链路传输的保护，借助数字签名或认证技术突出一卡通系统数据传输的真实性和安全性。

2.3 网络结构安全风险

第一，互联网影响。新时期智慧校园建设步伐加快，校园的内网和公网已经实现互联，后者具有自由度和开放性，但会对内部网络产生影响，威胁一卡通系统及部门办公系统隐私性。当前部分校园尚未创建完善的网络安全防范机制，无法及时应对突发问题，威胁系统用户信息安全。第二，局域网影响。网络安全攻击事件中，由内部网络遭受破坏的占比是70%，威胁网络系统安全性。第三，外部网络和内部网路互联会出现安全隐患，威胁校园内师生正常工作学习操作。第四，系统安全。维护系统安全需要优化设置，提升应用系统和操作系统安全性，若不及时处理系统漏洞会增加安全风险，引发网络安全事故。

3 校园一卡通网络安全装备技术分析

3.1 常规安全装备技术分析

3.1.1 设置加密技术

通过在计算机内使用加密技术，对用户信息及系统关键数据完成加密，降低数据被窃取和流失的概率。通过设置密码防止不法分子对系统数据进行篡改和伪造，提升网络安全性。此外，建议及时排查和维护校园一卡通系统安全隐患及漏洞，使用系统辅助修复软件，为用户的使用提供良好服务。例如，对于一卡通中收费模块，需要创建独立的通讯密钥对，将其放置在系统安全位置。借助交易的方式将公钥发送至认证中心。密钥具备固定有效日期，当超过有效期则系统会生成新密钥覆盖初始密钥。其中，校园转账系统所生成的密文请求可以借助加密技术变为8583码，并完成动态加密，保障用户金额数据在系统内的安全性。

3.1.2 利用防火墙技术

通过加密技术可以降低侵权的可能性，还能够借助防火墙判断计算机病毒及侵权问题。防火墙技术能对系统硬件与软件进行防护，规避安全隐患。常见的防火墙技术包含包过滤技术、代理技术、状态检查和内容检查技术。其中，包过滤技术可以对网络中特定位置数据包完成选择性过滤，内部具备包检查模块，建议安设在路由器和网关中，提前对IP包进行处理。代理技术具备状态性优势，可以起到中转作用，使得校园一卡通接受代理服务请求，拒绝外部节点的直接请求，借助双宿网管提供代理服务。状态监测技术通过运行安全引擎抽取网络通信数据进行动态监测，监控高层服务协议和数据，保障数据流安全性。此外，实名认证也可以为校园一卡通增加安全保障，通过认证管理人员、学生、教师身份，实现个人身份合法化，加强校园网络安全规范化管理。实名认证还可以帮助用户树立防范意识，实现一卡通网络系统的安全运营。

3.1.3 安装杀毒软件

建议在校园计算机中实现杀毒软件的全覆盖，及时对电脑完成杀毒和清理，排查电脑病毒情况。新时期杀毒软件较为发达，用户在操作计算机时可及时对病毒进行处理，防止数据被盗取和流失。因此，建议将校园一卡通和杀毒软件相结合，对异常问题完成处理。定期升级数据库和杀毒软件，防止数据被不法分子破坏。例如，某学校选择了瑞星杀毒软件，满足大型跨区域时网络病毒防护系统的需求。由上级中心统一发布病毒查杀命令，提示版本升级情况，主动向上级中心发送汇报信息和请求。通过实时监控工作站和服务器上的病毒，向系统汇报升级及病毒检测实际情况。

3.1.4 实现网络监控

建议扩大对校园一卡通系统的网络监控范围，确保其覆盖全校各个角落，借助网络监控模式约束不法分子窃取和泄漏信息等行为。因此，可以加强安全隔离操作，确保用户在使用一卡通的基础上规避非法入侵问题。同时，对一卡通数据进行备份，防止不法分子入侵破坏系统。通过创建科学的系统网络管理体系，维护用户合法权益。树立师生网络安全防范意识，借助法制化和规范化手段提升网络安全性。此外，建议在终端安设网络监控软件及设备，对协议流速、机器流速、网络信息完成监管，实现网络安全审计。

3.2 虚拟网络技术分析

3.2.1 VPN（虚拟专用网）技术

由于校园一卡通是创建智慧校园的关键环节，其属于小型专用校园局域网，在内部可以实现认证技术、访问控制、VPN轨道技术、加密技术，维护系统的网络安全。其中，VPN技術包含两种模式，具体内容如下：第一，在校园一卡通系统内增加VPN模块，将局域网当作网络平台实现信息化管理。借助VPN技术可以显著减少学校网络安全维护成本费用。第二，依托网络运营商在校园内计算机网络系统设置VPN，突出系统自主性。同时，VPN技术具备IP选择、防火墙、系统认证、网络加密、远程数据存储等功能，提高校园一卡通网络系统的灵活性、可靠性和安全性。

3.2.2 VLAN（虚拟局域网技术）

第一，MAC划分。该技术收集了一卡通系统内全部的MAC地址，形成协同逻辑组，创建校园局域网。该工作模式运行成本不高，但在划分MAC地址时需要先完成统计操作。第二，IP划分。此模式借助多种交换机划分一卡通系统，将不同端口设置为统一逻辑端口，创建VLAN划分形式。该技术不会受到地点和时间的约束，可以将办公楼、宿舍区、校区的计算机划分至相同虚拟网络内，具有智能化和高效性优势。第三，端口划分。此形式是将校园一卡通的全部网络端组建为逻辑组，加强校园局域网通信，该模式简单便捷，管理员需要对系统分配对应设备端口，进而实现对一卡通系统的安全防护。

3.2.3 ACL（访问控制列表）技术

ACL技术是指过滤模式，可以对校园一卡通系统内网络MAC地址、协议、IP地址、端口完成有效过滤，克服病毒攻击与不法分子恶意攻击。ACL技术能够借助访问控制形式拓展标准列表和控制列表，设置网络通讯规则。例如，允许一卡通系统功能借助MAC访问、IP访问的形式获取数据库信息。同时，系统数据库只提供开放端口，屏蔽不常用端口及病毒经常进出的端口，限制合法用户完成数据交流，将非法主机抵御在一卡通系统外。

3.3 网络安全优化技术

3.3.1 端口镜像技术

端口镜像实际上是交换机一至多个VLAN端口满足数据报文转发与复制规则，使数据发送至目的的端口，为网络安全监控与分析提供数据流。镜像功能需要和网络分析设备协同使用，针对校园一卡通系统内网络数据包完成监听，利用网络分析仪实现判断。向工作人员提供故障排除和监控数据，为网络数据提供相关安全保障。配置系统端口镜像时需注意以下要点：第一，确保源端口与目的端口一同配置，突出镜像配置的科学性和有效性。第二，当端口加入生成树或汇聚组后无法设置为目的端口。第三，若选择锐捷交换机，其源端口最多1个，目的端口≥1个。如在校园一卡通网路配置阶段，将端口镜像应用于VLAN 19，将其设置在核心交换机中。

3.3.2 防止ARP攻击技术

ARP设置将IP地址转变为MAC地址的网络协议，其属于OSI模型内第三层协议，在ARP表内存储MAC地址和IP地址的对应关系。同时，校园一卡通网络有时会受到ARP攻击，位置集中在接入层，属于常规网络攻击模式，甚至会导致系统出现网络瘫痪问题。而ARP防攻击功能包含MAC地址、IP地址绑定，防止非法用户盗用他人IP地址。例如，部分学校在构建校园一卡通网络系统时，财务管理等安全系数较高的部门会绑定MAC地址和IP地址，在汇聚层的交换机中执行命令。注意该技术需要应用于三层交换机内。此外，对于不法分子虚拟IP地址发出请求的问题，可以借助交换机中防欺骗功能保障校园一卡通系统网络安全运行。

3.3.3 防止DoS/DDoS及IP扫描攻击技术

DoS是拒絕用户访问，会对用户信息访问造成攻击。DDoS模式是基于DoS的攻击形式，其破坏影响较大。在校园一卡通网络系统内防止DoS/DDoS攻击技术主要借助入口过滤方式完成。该功能大多集中在交换机端口上，通过配置命令设置三层网络接口地址。该功能只能设置在直连接口位置，无法和ACL模块处于相同接口。同时，校园一卡通局域网IP扫描攻击模式包含两种：其一，向虚拟IP地址发送大量报文。其二，借助变化IP地址进行扫描攻击。二者会对校园网产生较大危害，浪费网络带宽及CPU资源。因此，若想提升系统安全性，需要限制扫描攻击次数，隔离非法用户。由于校园一卡通系统涉及到的计算机数量较多，应在汇聚层配置防攻击数据。

3.4 服务器分级管理技术

若想提升终端防御攻击和隔离网络水平，需要创建校园一卡通专用网络安全环境。例如，可以设置服务器分类、分级管理模式，提高系统安全性。选择H3C服务器网络管理产品，其能够实现准入监控、用户认证、计费管理、权限发布、桌面、行为审计、资产管理等功能，包含防病毒等辅助能力。系统相关设备借助千兆链路与核心交换机完成互联，主服务器A负责一卡通专用网络中服务器、网络出口、核心骨网设备管理。当对补丁和病毒进行分析扫描后，借助EAD技术发布控制策略。管理服务器B可以审核用户身份信息，在登录一卡通系统时能够完成安全访问，统一管理专网用户。

4 结语

综上所述，校园一卡通属于全方位综合系统工程，需要良好的安全策略进行配合。通过网络模块协调突出保护优势，最大程度地为校园学习生活提供服务。因此，建议科学选择网络安全装备技术，规避计算机病毒对于系统信息的攻击和窃取，加强网络监控约束非法入侵行为，维护网络用户信息和财产安全。

参考文献

[1] 董成武.基于智慧校园一卡通系统的安全体系研究[J].信息与电脑（理论版），2020，32（1）：220-222.

[2] 马建英，肖蕊.浅谈校园一卡通的网络安全装备技术[J].今日财富，2019（27）：108.

[3] 杨翠翠.校园一卡通系统安全建设方案的研究与设计[J].网络空间安全，2018，9（8）：75-80.

收稿日期：2020-04-15

作者简介：周国栋（1977—），男，山东淄博人，本科，工程师，研究方向：智能化系统集成。

Technical Analysis of Network Security Equipment for Campus All-in-One Card

ZHOU Guodong

（Beijing Tellhow Intelligent Engineering Co.， Ltd.，  Beijing  100176）

Abstract： The development and innovation of Internet technology have made information technology have a greater impact on people's production activities. At present， the popularization and application of all-in-one card systems in campuses are expanding， but its security needs to be improved. If you want to reduce network security hazards， it is recommended to maintain campus network security and introduce network security equipment technology during the construction of the campus all-in-one card to resolve the crisis of teacher and student property safety and information leakage. Based on this， this article outlines the campus all-in-one card system， analyzes its security risks， and explores the technical content of campus all-in-one card network security equipment around encryption technology， anti-virus technology， and firewall technology. Research has found that the application of advanced all-in-one card network security equipment technology can achieve the coordination of multiple security strategies， highlighting the operability of the all-in-one card system. Provide convenient services for school teachers and students with the help of VLAN and VPN. Filtering the MAC address protocol， IP address and other content involved in the network communication stage can resist virus attacks and malicious attacks. Shield the frequent access ports of viruses， expand legal channels for data exchanges for network users， reduce system operating costs， and give play to its predictability and timeliness. Realize the digital development of the all-in-one card system by retaining the expansion interface， so that it can achieve the goal of terminal digitization and intelligent management and settlement， protect and isolate the campus all-in-one card system， and provide technical services for education reform.

Keywords： campus card; network security; safety equipment