以校園一卡通系統(tǒng)為平臺，實(shí)現(xiàn)以人為本，從校園環(huán)境、資源到活動的全部數(shù)字化管理。所以建設(shè)校園一卡通系統(tǒng)，實(shí)現(xiàn)“一卡在手，走遍校園”必將滿足學(xué)校數(shù)字化校園建設(shè)的需求及目的。 

一、項目內(nèi)容： 

    大義中學(xué)數(shù)字化校園一卡通分為一卡通平臺與各個子系統(tǒng)： 

    一卡通平臺：統(tǒng)一身份認(rèn)證平臺、校園卡的初始化、發(fā)放、掛失、解掛、補(bǔ)卡、注銷，完成各商戶銷售、結(jié)算和轉(zhuǎn)帳對帳等。商務(wù)消費(fèi)系統(tǒng)、進(jìn)出管理系統(tǒng)、上機(jī)管理系統(tǒng)、控水管理系統(tǒng)。

二、數(shù)據(jù)庫與軟件平臺 

    該系統(tǒng)采用總線型+星型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，客戶端采用windows9x/xp/2000.服務(wù)器端采用Windows2000Server、SQL_SERVER7.0/2000中央數(shù)據(jù)庫集成方式與通用的互聯(lián)軟件技術(shù)。 

三、網(wǎng)絡(luò)架構(gòu) 

    校園一卡通系統(tǒng)各類終端設(shè)備通過網(wǎng)絡(luò)服務(wù)器直接接入TCP/IP主干網(wǎng)，校園卡管理中心以校園網(wǎng)為通道直接管理各類終端設(shè)備，全局配置參數(shù)的設(shè)定、更改，負(fù)責(zé)黑(白)名單等實(shí)時信息的實(shí)時同步管理，對接入的各種子系統(tǒng)設(shè)備進(jìn)行狀態(tài)監(jiān)控。系統(tǒng)具備高可管理、高安全性、易維護(hù)等優(yōu)勢。

    此外，在網(wǎng)絡(luò)安全性方面完成以下內(nèi)容： 

    1.體系結(jié)構(gòu)和應(yīng)用：根據(jù)需求制定安全體系結(jié)構(gòu)以及設(shè)計特殊應(yīng)用等。
    2.身份識別：該機(jī)制保證所有系統(tǒng)實(shí)體(進(jìn)程、系統(tǒng)、成員、用戶等)都是唯一可驗證的；身份識別粒度必須足以區(qū)分對系統(tǒng)各實(shí)體資源訪問的權(quán)限。
    3.訪問控制：該機(jī)制確保對系統(tǒng)重要資源的授權(quán)訪問和合法使用，包括用戶劃分權(quán)限、資源操作授權(quán)粒度應(yīng)滿足安全需求等。
    4.完整性：它是通過開放式系統(tǒng)完整性、網(wǎng)絡(luò)完整性以及數(shù)據(jù)完整性來確保整個的數(shù)據(jù)不被非法更改或毀壞。這些數(shù)據(jù)包括永久保存的數(shù)據(jù)和網(wǎng)絡(luò)消息數(shù)據(jù)。
    5.保密性：該機(jī)制是通過數(shù)據(jù)加密、安全聯(lián)系以及密鑰管理確保重要數(shù)據(jù)不被泄漏給未授權(quán)的人或計算機(jī)進(jìn)程。
    6.非否認(rèn)：非否認(rèn)機(jī)制包括開放系統(tǒng)非否認(rèn)、電子簽名和電子亂序。該服務(wù)確保信息的發(fā)送和接收者無法否認(rèn)其發(fā)出過或接受到某些信息。它還可以驗證軟件包的合法性，或檢驗硬件設(shè)備自出廠后是否被改動。
    7.有效性：該服務(wù)是保證提供滿足響應(yīng)時間的、不間斷的通信以及系統(tǒng)硬件設(shè)備的正常工作。
    8.系統(tǒng)管理：它使得系統(tǒng)操作上安全性，其中包括許可證和委托證的驗證、風(fēng)險管理、報警、審計、密鑰管理等等。
    9.安全標(biāo)簽：安全標(biāo)簽是一些與資源聯(lián)系在一起的、標(biāo)志其安全屬性的數(shù)據(jù)。以下個服務(wù)領(lǐng)域都可以用安全標(biāo)簽法控制其安全性：人機(jī)接口、數(shù)據(jù)管理、數(shù)據(jù)交換、圖形、網(wǎng)絡(luò)、系統(tǒng)以及分布式計算等。
    10.信息系統(tǒng)安全管理：安全管理包括制定安全計劃、安全和維護(hù)安全機(jī)制、將信息領(lǐng)域和信息系統(tǒng)安全政策條令強(qiáng)化在信息系統(tǒng)中以提供安全的信息服務(wù)。此外，除了系統(tǒng)核心服務(wù)以外安全管理還應(yīng)包括事件處理、系統(tǒng)審計和自動恢復(fù)等。 

1、網(wǎng)絡(luò)總體設(shè)計 

    網(wǎng)絡(luò)平臺的建設(shè)總體上采用的是兩層星型拓?fù)浣Y(jié)構(gòu)，按照功能要求劃分為主干網(wǎng)(以快速太交換網(wǎng)絡(luò)為核心)部分，按照功能要求劃分為主干網(wǎng)(以快速太交換網(wǎng)絡(luò)為核心)部分和與銀行網(wǎng)絡(luò)對接部分。其中主干網(wǎng)部分是整個校園一卡通系統(tǒng)的核心，各終端設(shè)備通過邊緣接入交換機(jī)接入主干網(wǎng)，并可以與位于主干網(wǎng)上的數(shù)據(jù)服務(wù)器實(shí)時通信。 

    1）.終端設(shè)備子網(wǎng) 

    包括支付交易POS機(jī)、身份識別POS機(jī)等校園一卡通系統(tǒng)各類終端設(shè)備按星型結(jié)構(gòu)方式分別聯(lián)接網(wǎng)絡(luò)服務(wù)器。分別接入校園網(wǎng)交換設(shè)備，數(shù)據(jù)自動上傳至校園IC卡管理結(jié)算中心數(shù)據(jù)服務(wù)器。 

    RS485子網(wǎng)采用標(biāo)準(zhǔn)的結(jié)構(gòu)化布線技術(shù)，構(gòu)造星型拓?fù)浣Y(jié)構(gòu)。與RS485子網(wǎng)星型拓?fù)浣Y(jié)構(gòu)相適應(yīng)，本方案RS485子網(wǎng)布線采用國際標(biāo)準(zhǔn)的結(jié)構(gòu)化布線技術(shù)。星型結(jié)構(gòu)方式具有總線結(jié)構(gòu)無可比擬的優(yōu)點(diǎn)，設(shè)備增減方便，單點(diǎn)故障不影響其它設(shè)備傳輸，擴(kuò)展性和靈活性好。 

    2）.方案特點(diǎn) 

    管理方式靈活：工作站可由各部門根據(jù)需要設(shè)置，也可由校方集中統(tǒng)一管理，為各部門提供運(yùn)營報表。
    數(shù)據(jù)實(shí)時性和完整性：用串口聯(lián)網(wǎng)設(shè)備取代PC管理機(jī)，所有的校園卡數(shù)據(jù)實(shí)時上傳至校園卡中心服務(wù)器。
    提高傳輸效率。與通過上位機(jī)上傳數(shù)據(jù)的常規(guī)應(yīng)用方式相比，提高了數(shù)據(jù)傳輸效率，更重要的是，本方案構(gòu)建的將是一個完全實(shí)時性的校園卡系統(tǒng)，極大地增強(qiáng)了系統(tǒng)的實(shí)用性。
    數(shù)據(jù)集中式處理。
    安全性高。系統(tǒng)操作權(quán)限分級管理、數(shù)據(jù)進(jìn)行部門隔離。 

2、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 

    1）目標(biāo)：將一卡通系統(tǒng)建設(shè)成為一個獨(dú)立的VLAN，物理上與校園網(wǎng)在一起，從邏輯上與校園網(wǎng)其它系統(tǒng)一如教學(xué)、科研等進(jìn)行隔離，保證一卡通形成一個跨校區(qū)，縱橫校園網(wǎng)之上的VLAN。
    2）手段：通過定義全校VLAN，與管理、科研LAN分開，因為VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)，這樣在“一卡通”的VLAN里禁止使用路由功能，保證與其它VLAN不能通訊，將非法用戶與敏感的網(wǎng)絡(luò)資源隔離，從而防止可能的非法偵聽，保證VLAN的獨(dú)立性，在入口出屏蔽的其它VLAN的IP地址和所有的服務(wù)。
    3）方法：采用Cisco VTP協(xié)議，基于交換機(jī)端口的劃分VLAN。這個協(xié)議可以大大節(jié)約在工程實(shí)施中的時間和強(qiáng)度，并且有利于對將來網(wǎng)絡(luò)的修改和維護(hù)。每個園區(qū)的中心交換機(jī)作為該園區(qū)的VTP Server，負(fù)責(zé)本園區(qū)的VLAN管理。同時全局的VLAN也必須在本地作配置。

案例圖：