校园一卡通设计解决方案

1、校园一卡通设计解决方案校园一卡通设计解决方案（此文档为word格式,下载后您可任意修改编辑！）校园一卡通设计解决方案 目录 TOC o 1-5 h z HYPERLINK l bookmark18 o Current Document 第一章需求分析4 HYPERLINK l bookmark21 o Current Document 1.1系统概述及项目目标 4 HYPERLINK l bookmark27 o Current Document 1.2学校一卡通现状 4 HYPERLINK l bookmark30 o Current Document 1.3功能需求4 HYPERLINK

2、l bookmark42 o Current Document 1.4非功能性需求 51.4.1技术指标 51.4.2进度需求81.4.3质量需求 9 HYPERLINK l bookmark45 o Current Document 1.5兼容某某市中等职业教育信息化建设行动计划要求 91.5.1职业教育开放实训中心一-通功能应用 91.5.2职业教育开放实训中心一卡通终端要求 91.5.3职业教育开放实训中心一卡通卡片要求 10 HYPERLINK l bookmark60 o Current Document 第二章系统总体框架10 HYPERLINK l bookmark63 o Cu

3、rrent Document 2.1总体目标10 HYPERLINK l bookmark83 o Current Document 2.2项目目标11 HYPERLINK l bookmark104 o Current Document 2.3设计原则13 HYPERLINK l bookmark165 o Current Document 2.4网络拓扑图18 HYPERLINK l bookmark168 o Current Document 2.5系统结构图19 HYPERLINK l bookmark171 o Current Document 2.6技术性论证19 HYPERLIN

4、K l bookmark180 o Current Document 2.7系统安全性的论证 21 HYPERLINK l bookmark213 o Current Document 2.8系统可靠性的论证 252.9系统扩展性的论证 26第三章应用系统设计方案 273.1 一卡通管理平台简介 273.2消费系统 343.3门禁系统413.4考勤系统483.5实训室签到系统 523.1车辆出入管理系统 54访客系统573.7.1系统架构573.7.2系统功能 573.7.3设备技术参数 59水控系统60电控系统643.9.1系统功能643.9.2系统结构 663.9.3软件主要功能683.9

5、.4设备技术参数 69自助洗衣管理系统 70图书馆管理系统 703.11.1系统概述703.11.2设备技术参数 71电子巡更系统72教务管理连接73上网机房管理系统 73系统接口 78银行转帐系统78机房建设82第四章质量保证方案82第五章工程实施及售后服务 87第一章需求分析1.1系统概述及项目目标根据校园信息化建设整体规划，校园一卡通是“数字化校园”的基础工程之一，其实质是以校园一卡通系统建设为契机， 学校的管理部门和后勤服务部门通 过信息化手段，整合资源，实现信息共享和资源的优化配置， 提高管理和服务效 率，为领导决策提供支持等。因此，校园一卡通的目标：1）统一证件管理：校园卡全面上线

6、后，全校所有师生每人持校园卡一张，取代以前的各种证件（包括学生证、工作证、借书证、饭卡饭票、上机证、水票、电卡等）的全部或绝大部分功能2）统一服务模式：凭校园卡享受校内各类设施的服务（金融服务、身份识别服务）、查询用户的多种信息、校内经费管理结算等功能。使用户能随时了解自己的情况和周 围的各种信息，积极主动地安排自己的学习、科研和生活，实现“一卡走遍 校园”。3）提升竞争能力：同时与校园信息化建设项目中各子系统实现统一身份认证、资源共享，从而 带动学校各单位、各部门信息化、规范化管理的进程，提升教学、科研和行 政管理与服务水平，为学校管理提供决策支持，实现教学、学习、生活过程 的优化，从而提高

7、各种管理和服务工作的效率、效果和效益，是实现教育现 代化、国际化、信息化提升学校核心竞争力的必经之路。1.2学校一卡通现状1.3功能需求根据上述系统目标，可以将校园一卡通系统的总体需求概括为：身份识别：实现各种场合的身份识别。如：门禁、通道、出入身份识别、 考勤、签到、巡更、各种查询身份认证、物品领用等。统一证件：学生证、工作证、借书证、物品租借证、存折、出入证全部或部分功能。充值业务：目前阶段首先实现现金充值，未来可以实现银行向校园卡进 行定向圈存。自助业务：借助自助终端设备，持卡人可实现校园卡的自助业务，在各 校区建立统一的校园自助查询系统，包括电话查询、网上查询、触摸屏 查询，为持卡人提

8、供24小时全天候服务。收费/消费：在校园内，凡涉及到现金使用的任何一个消费网点，校园 一卡通的电子钱包都能通用，所有商户单位不论其性质与规模都可以授 权代理收款、结算，商户资金可以实时到账。如：缴费、食堂、超市、 小卖部、用电、用水、淋浴、租赁体育场地/体育器材、上机收费管理、 自主复印等进行各种付费。集中监控：可通过图形化界面、集中监控各种 POS机、各种业务运行状 况、及时报警等。教学管理：选课、图书借阅、教学安排、学生未到校通知、旷课通知等。综合查询：个人综合信息、课程/教材信息、学习成绩、个人健康信息、 个人消费信息、学校各类活动信息、考勤等。服务功能：与新生报道、学期注册、离校等业务

9、流程集合起来实现校园 卡办理业务。1.4非功能性需求1.4.1技术指标校园一卡通系统建成后可以达到指标如下:需求指标项目参数备注处理能力和系 统系统帐户容量200万可进一步扩充日交易量200万笔可扩至1000万并发处理能力100笔/秒这里指完整的典型交易如1000人在问一时刻刷卡就餐，在应用系统的设 计上，具体依赖网络吞吐能力、服务 器处理能力、数据库处理能力联机交易响应1秒跨系统交易时间受对万响应速度影 响，正常情况下3秒后台批量清算10分钟不包括数据备份时间网络综合查询 4级可以扩充无限级拌卡人身份种类256种可以扩充至65536拌卡人权限类别256种可进一步扩充商户帐户容量10万可为充至

10、100万结算单位层次无限制子系统接入数量1024每个际管理 POS512流水保留大数无限制用户口设定实时性消费立即结算1秒在学校内任何一处消费网点都能做到 卡片及时结算。更改帐户信息立即生效5秒对卡片的存款、开户/撤户、更改密码1秒生效，挂失、解挂等需要全网广播信息在10内生效个人帐户数据实时性3秒其中需要广播的数据时间 10秒挂失生效时间 通讯 服务器- 应用服务器- 数据库服务 器）数据库服务器数据库管理工具应用服务器组件化应用业务逻辑和数据库操作、通讯服务分 离通讯服务器通讯平台通讯平台成为总线应用终端通用终端成为简单的终端显不工具可扩展性接入请求紧耦合、松耦合、不 耦合确保安全前提下，

11、可：数据库层、URL 控件、API等多种形式接口接入信息提供XML还可提供数据层接口、 URL控件、API 等中心设备采用集群技术在不修改应用的情况下，通过增加设 备直接提升系统处理能力卡片卡片目录管理应用目录规划可确保应用无限可扩展系统主干网网络形式校园专网网络结构星型拓扑通讯协议TCP/IP通讯距离不限终端POS网络网络形式现有网络或者专用网络均可网络结构星型拓扑通讯协议TCP/IP, RS485转帐充值系统银行转帐方式自助和自动两种充值机联网方式TCP/IP 或者 RS485卡片充值方式圈存转帐、现金、经 费本、支票等补助领取自助领取，手动/自动 发放补助充值时间小于2秒终端POSW嵌入

12、PSA傩方式完全支持兼容的卡型飞利浦，微电子/1k ,4k 兼容，UPU#根据某某中职校园一卡通建设 标准规范的要求，方案采用 13.56MHZ的 M1 卡联机/脱机模式完全兼容签到/签退完全支持黑白名单容量100万条/每台终端交易流水存储1万条/每台终端轧账流水存储256条/每台终端应用程序升级远程在线下载后备电源可配备卡片钱包钱包特点真正的电子钱包钱包数量6个钱包限额取大6万兀1.4.2进度需求所有设备的供货时间为1个月；系统建设时间为3个月；调试期为1个月。1.4.3 质虽需求项目应该严格按照CMM至少达到ISO9001: 2000版）规范，进行项目质量 管理，包括完备的过程控制、严格的

13、系统测试等。1.5兼容某某市中等职业教育信息化建设行动计划要求按照某某市中等职业教育信息化建设行动计划（20112015）要求，全市中 职学校将建成校园一卡通信息平台。在中职校园一卡通基础之上，本市将建立某某市职业教育开放实训中心统一 管理平台（以下简称实训管理平台），使各中职学校能够进行跨校实训，并在条件 成熟后向社会开放，供劳动保障部门、社区居民、外来务工者等不同人员刷卡使 用。本方案满足以下需求：1.5.1职业教育开放实训中心一通功能应用1）使用开放实训中心的人员须实行刷卡进出。2）刷卡信息可实时上传至全市实训平台。3）非本校中职学生或其他经过实训平台授权的人员也可刷卡进出开放实训中心。

14、4）持卡人员进出开放实训中心采用时效制，超过有效期的卡片将被拒绝进入， 需要延期使用的进入实训平台重新授权；1.5.2职业教育开放实训中心一通终端要求1）全市中职校园一卡通综合管理平台统一向本市未使用一卡通系统的中职学 校学生和社会人员发放工作频率为 13.56MHE勺M1卡，学校在开放实训中心 安装一卡通读写终端。2）该一卡通读写终端通讯方式采用以太网 TCP讯。3）该一通读写终端既能读取射频 CPl，也可读取M1卡。4）所有开放实训中心终端刷卡信息通过网络即时上传至全市中职校园一卡通 综合管理平台。1.5.3职业教育开放实训中心一通卡片要求1）校园一卡通系统待建学校，采用 M1卡系统，在正

15、常实现校园一卡通功能的 同时，开放卡片第15扇区供开放实训中心使用；也可以使用射频 CPU#, 需要在卡片中开辟200个字节的独立空间。2）校园一卡通系统已建学校使用M1卡系统的学校，开辟第15扇区供开放实训中心使用。使用射频CPl系统的学校，重新在卡片空间内开辟一个200个字节的独立 空间供开放实训中心使用。未使用M1卡或射频CPl系统的学校，需全部更换为M1卡或射频CPU#系 统，采用待建系统模式开放空间。3）M1卡的第15扇区的密钥和射频CPU#的独立空间的主控密钥开放给实训平 台，供实训平台读写相关信息；第二章系统总体框架2.1总体目标职专一卡通的总体建设目标是：新一代学校一卡通项目建

16、设为契机，制定校园一卡通标准。在一卡通基础平台上， 结合考勤管理系统、签到系统、图书馆管理系统、各类消费系统、宿舍水电系统的建设, 带动并支撑后续应用系统的开发运行。一卡通建设将分两个方面：第一个方面：一卡通应用建设，统一全集团师生各种“证、卡” 、统一收费模式和 经费结算，实现一卡通。第二个方面：一卡通信息平台建设。建设共享资源库、统一身份认证等学校基础平 台，整合校园各种现有信息系统的业务流程，完成应用系统信息资源共享，为今后校园 信息化建设的进一步建设奠定通用的可扩展的平台，极大的提升学院的信息化水平。长通系统包括以下功能模块:1）一卡通管理平台2）考勤管理3）消费管理4）自助查询管理5

17、）实训室签到管理6）门禁管理7）车辆出入控制管理8）访客管理9）电子巡更10）机房上网管理11）图书馆管理12）宿舍水电管理13）物品租借管理14）洗衣管理15）数据接口16）银行转帐管理17）机房建设2.2项目目标项目本次项目的建设目标包括：建立以卡为媒介的、面向校园师生的综合性服务平台，覆盖身份识别、金融服务、 信息服务、流程整合等领域，形成高效稳定、功能全面、扩展灵活、管理方便的新一代 校园一卡通平台，实现“一卡在手，走遍校园” ，成为数字化校园的核心内容之一。1）实现证卡统一，为师生师生提供全面的、一体化的服务。本系统的主要服务对象是全校师生师生。新一代校园一卡通以实现“一卡在手，走

18、遍校园”为目标，向学校师生师生提供全方位的服务，主要包括：身份识别一卡通。 校园卡可以代替目前所使用的学生证、工作证、借书证、食堂就餐卡、上机证、医疗证等各种证件，起到以卡代证的作用。应用于需要身 份验证的场所，如：宾馆、办公楼、图书馆、实验室、校门等。消费服务一卡通。校园卡可作为电子钱包使用，持卡人可以在各个校区的任意 消费网点以卡代币进行消费结算。应用于校园的各个消费场所，如：食堂、餐 厅、澡堂、洗衣房、超市、小卖部、机房、收费服务点等。金融服务一通。与财务、银行对接，实现自动结算、转帐、校内代缴代扣、 消费查询等金融服务功能。信息服务一卡通。与学校的教学、科研、学籍、人事、财务等各部门的

19、信息系统对接，实现各类信息的查询、统计、分析，为广大师生师生的教学、学习、 生活提供信息支持。2）建立完善的运营管理体系，支持日常管某某作。本系统将形成完善的、多层次的运营管理体系，为一卡通运营管理人员的日常运营 管理和决策分析提供支持。具体包括：统一帐户管理。对系统所有客户及其帐户进行集中管理，建立客户档案，管理 其帐户信息及交易记录，实现客户和帐户基本信息的全局共享。集中资金结算。集中的资金结算和财务管理模式，实现每日结算。多级管理模式。支持一通管理中心、分中心、网点等多层次的运营管理模式, 根据学校的地理分布进行灵活部署。自动数据分析。每日产生一卡通运营的统计报表和分析数据，使学校管理人

20、员 对一卡通的运营情况一目了然。3）为技术人员提供集中、便捷的系统管理和维护。系统采用大集中模式的技术架构，并且建立了集中管理监控体系，大大降低了技术人员系统管理、维护和新业务扩张的难度和成本。高效的交易处理平台。大集中模式的一通交易处理平台，在处理性能和稳定 性上具有金融系统的表现，大大降低技术人员的日常维护成本。集中的管理监控体系。 通过图形化的系统监控台，使技术人员能方便地监控整 个系统所有硬件设备的运行情况，及时发现和解决故障。快速的新业务扩张。当学校增加新的服务项目时，能非常方便地加入到校园一 卡通平台中，实现新业务的快速部署。4）为学校领导和管理人员提供决策支持本系统充分利用一卡通

21、核心数据库中积累的大量历史数据，进行科学的分析和挖掘，形成图形化的分析结果，为学校领导和各级管理人员的决策提供信息支持。本期一卡通系统实现以下功能模块：1）一卡通管理平台2）考勤管理3）消费管理4）自助查询管理5）签到管理6）门禁管理7）车辆出入控制管理8）访客管理9）电子巡更10）机房上网管理11）图书馆管理12）宿舍水电管理13）物品租借管理14）洗衣管理15）数据接口2.3设计原则一卡通建设是一个长期的过程，为此必须进行整体规划、分步实施，整个建设过程 必须符合如下原则。2.3.1主动性原则一卡通系统作为信息化的基础，将支撑整个学校的卡应用系统。基于需求多样性和 个性化决定了应用系统的复

22、杂性原因，厂商的产品不可能直接搬到学校安装使用，而必须按学校的要求进行定制开发和实施，包括：项目总体规划，架构和多样化工具的选择，标准的制定与控制，密码、参数以及文档和源代码等的开放。同时，基于服务和性价比 的考虑，学校有权选择多品牌的硬件产品。2.3.2实时性原则系统应适应网络状况不稳定情况下，信息变化也能够及时地在应用系统内部以及其 与数字基础平台之间自动交换。 系统提供学校一卡通的监控功能，及时发现系统运行隐 患。学校一卡通系统应充分体现学校内部管理的模式和特点，各应用系统的开发，应做到功能完善、使用方便、切合实际、运作高效；2.3.3集中原则学校一卡通系统应尽量只部署一套数据库，各种学

23、校一卡通架构下的应用子系统原则上只使用该集中式数据库，避免传统意义上敏感数据信息分布在多处的数据安全隐 患。本方案采用集中式的一卡通核心数据库方案。2.3.4先进性原则选用先进的技术架构、运用先进的建设理念。人性化的设计方案，包括必须考虑脱 机情况下如何最大限度减小师生的损失。一卡通系统的建设要立足于当今世界先进且有发展前途的技术，由此实现的系统能随着未来信息技术的发展而不断平滑升级。2.3.5标准化原则数字基础平台采用国标、 学校标准相集合的原则，解决信息交换、集成和共享的 问题。卡片结构需严格遵从有关行业标准前提下的独特设计。终端结构尽量兼容总线型和星型布线方案，可脱机移动使用，可远程升级

24、维护，支持标准的终端驱动模式，做到真正的开放性。财务结算必须符合国家有关标准。安全体系达到(准)金融安全标准。2.3.6开放性和可扩展性原则应用系统完全开放。结构化设计，适应5-10年的系统业务发展。架构开放，软硬件平台开放且可扩展。数据库、应用、通讯、卡片结构等开放和可扩展，方便业务系统接入，充分保护 软硬件投资。一卡通系统将随着学校业务发展而不断更新，基于性价比、厂商风险等因素考虑，系统必需采用开放的架构、 开放的平台、开放的产品，提供完备的文档资料和接口程序，开放数据结构、学校掌握密钥和算法、选择国标和开放的行业标准、支持多种硬件，系统建成后学校可自行扩展升级、自主决定采购多种品牌的终端

25、设备等；系统在容量和功能上不仅能满足目前用户的需求，而且也易于扩展以保障用户今后的扩容和升级，如：卡片结构扩展、新增收费模式、增加信息点等，利用 Web查询支 持模块和Internet网，实现远程快速查询。2.3.7可靠性和安全性原则网络完全性设计。系统应充分考虑网络隔离、防病毒和断电、断网的安全性。在外界环境或内部条件发生突变时，能保障系统正常工作。主机系统的安全性设计。数据安全性设计。各子系统之间的连接在保证规范、独立的前提下，应该保证系统的数据传输的可靠性与安全性。卡片安全性设计。师生卡的金融功能能严格按照金融安全方面的要求来设计，保证用户使用上的安 全。设备的安全性设计和合法性校验。接

26、口安全性设计。交易安全性设计。具备身份认证、节点认证、交易数据认证、加密传输、数据鉴别等一系列安全保障 措施。应用软件的安全性设计。事后监督系统设计。考虑到用卡场所情况复杂，系统必须针对交易的每个环节提供增强可靠性的措施， 包括卡片可靠性设计、终端可靠性设计、布线和网络通讯可靠性设计、应用和数据库可 靠性设计等全系列设计，确保系统在脱机状态下的可靠性高及在联机状态下的实时性强 的要求，以及大规模并发交易情况下系统的稳定、高效和可靠性要求，不能出现单点故 障。系统涉及资金，身份等重要的信息，应采用严格的分级管理技术，管理人员、查询 人员分级按权限操作；采用多层体系架构，单层次出现故障，系统可继续

27、运行较长时间; 系统运行中间层次、中间环节不能保留敏感数据，以避免财务风险；一旦系统恢复正常 运行，系统能够自动切换，无需人工干预；对于脱机运行(手持设备等)的设备，系统 需要提供有效措施保障师生利益；提供审计功能，对于操作人员的各项操作进行审计。2.3.8可行性原则对于分校区的特殊情况需要提出可行的解决方案。对于学校网的升级改造需要提出切实可行的解决方案及相应的造价。实施方案可行。(4)运营方案和维护方案完整可行。2.3.9可管理性原则一卡通系统通过上千个终端机具来实现管理和服务功能，其管理难度大、维护成本高，系统必需从整体架构上、从具体功能上保证降低管理难度、降低维护成本、降低人 员依赖，

28、采用集中管理模式、图形化管理和监控工具，方便管理维护、出现故障能快速 准确的定位问题；2.3.10保护原有投资尽可能的利用校方原有的软、硬件设备，或在其基础上进行升级，而对校方 已有的投资项目，尽可能的以接口方式实现一卡通的管理，避免重复投资造成的浪费，而像校方标书中提到的财务管理、迎新系统、网络计费、图书馆管理等系 统，我方会根据校方的要求以接口的方式实现其一卡通的综合管理和应用。2.3.11其他原则数据流在多个环节内传输安全。IC卡数据结构变化对终端透明，即终端能够自适应IC卡的数据结构变化。由于实际应用存在离线式脱机运行的需要，一卡通终端设备必须满足系统联网、 脱机二种工作状态，并具有大

29、容量存贮能力和脱网状态下终端设备的上传数据(独立结 算)功能。所有终端产品具有足够大的容量保证脱机运行，包括流水、黑白名单容量等。2.4网络拓扑图中津惧务停“校园一卡通系统”届丁应用层的程序，网络层采用TCP/IP协议，对网络层以下透明。支持光纤、双绞线、无线等各类线缆，支持 10M 100M 1000M等 各种以太网技术，支持路由器、交换机、集线器、防火墙、入侵检测设备、加密 机等各种网络设备。“校园一卡通系统”的网络环境可以采用2种方式，一种是在原有的校园网基础 上划分逻辑网段，采用 VLANft术隔离一卡通网和校园网；另一种是搭建专网， 通过应用网关与校园网联接。相对而言，专网的方案提高

30、了安全性，缺点是造价 高。考虑到贵校校园网能为“校园一卡通系统”提供足够的带宽，推荐采用第1种方式。在下面的章节里会详细介绍网络的安全性。2.5系统结构图时间管埋系统Time Monggenem扩展平台Extension出入控制系妹系藐Accbss CdhItManagement 51enn门票事统 Aecds Maragennnt Sys-tem耕费系统ConsirmptionSystem会议将到系统IT1Cnnrerence I Sigrvin 对 eni淋浴节水控制系境Shaw Waler SavingCohitqi System安童电控羸统 Sale Electronic Canfro

31、l Syitem管理核心平台Core Management巡更系嫉PaltDl Sylem卡努申心墙鼻中心J15控中心Card Service 1JeHtement1 Supfirvill Cenler数据交换中心Da?ta Exchange Center中间件控制台Middleware Server Plalfofrm中I间件平台骥动层Middleware Driver应用服务层数据携存Application Server Dale Cache终端设备服务屋Device Station Server洗衣曹理系嫌Laundry ManagemenlSystem机腐自动收费篱哩系统 Automo

32、lic Tolling System For Compiler Cenier会所管理系雄Ckjb HouseManagement Sylem耳他智能卡系统 OilwsSys-temi2.6技术性论证2.6.1系统业务量的计算全校持卡人按照1万人，考虑进一步的发展，人数应该预留到 10万人，预 计平均每人持卡消费6次，每天有80%勺人数参与消费，则目前每天要发生：10000X 6X 80% = 4.8万笔交易流水，每笔流水系统存储在中心数据库平均为 100字节：4.8万X 100字节/条流水=4.8MB（每日）周期流水数量（万笔）流水存储容量（MB）每日4.84.8每月144144每年17521

33、752以Oracle或者SQL Server2005数据库的存储能力，完全能够满足当系统账户数量达到10万时：周期流水数量(万笔)流水存储容量(MB)每日4848每月14401440每年29202920仍能满足数据存储要求。由丁高峰期突出，这些交易大约集中在三个小时内完成，则要求系统每小时 处理12.8万笔，相当丁每分处理2133笔，当为10万人时，要求每分钟2667 笔处理能力，中心服务器处理能力完全满足实际需要。2.6.2系统实时性的计算网络带宽：按每分钟2667笔流水计算，每秒44.45笔，流水每100字节， 则网络传输速率应不低丁 44.45x100 x8=35.56kbps ,考虑到

34、系统数据传输峰值和 有效数据在传输中所占的比率，支线带宽不能低丁 10Mbps干线带宽不能低丁 100Mbps系统才能正常工作。白名单同步：全部白名单10万条记录，每条记录16字节，共计1.6Mbyte, 在10Mbps网络环境中，全部更新所需时间为1.6x8/10=2秒。考虑到网络的复杂 情况，全部子系统重建白名单大约在 3分钟内完成。2.7系统安全性的论证2.7.1系统安全策略系统性：一卡通系统的安全需要按系统工程来建设、保障。完整性：系统涉及到的每一个环节都要考虑安全特性。针对性：在系统薄弱环节作特殊处理，以提高整个系统的安全系数。2.7.2硬件实体的安全性传输的数据采用加密形式，保护敏

35、感信息。防止非法截取，破译。采用金融安全处理器为核心器件的加密卡，存储密钥等信息。数据中心的建设：数据中心机房应设立在防水、防火、防盗的场所，环境温 度湿度稳定，清洁。系统运行与管理需要建立严格的规章制度，机房的管理人员必须严格按照操 作手册和运行规范来进行日常的操作，数据备份，系统检测。2.7.3数据中心的安全性操作系统安全性能：数据库系统安全性：消费数据通路加密，存储加密2.7.4网络环境的安全性“校园一卡通系统”的网络环境可以采用在校园网的基础上划分虚拟局域网 （VLAN的方式，也可以单独构建专网，与原有校园网分离。两种方式各有利弊, 专网方案的安全性高一些，但造价也很高。学校可以根据自

36、己的实际情况进行取 舍。1）通过划分VLAN保证一卡通系统逻辑隔离由丁交换技术的出现，才使VLANK术得以实现，而VLANK术对网络的发展 乂起着举足轻重的作用。VLAN勺优势在丁既可以减少广播风暴提高网络带宽， 乂可以提高网络的安全性。VLAN勺划分原则，一是网络节点之间的访问量，二是网络节点的安全性等 级。通过VLANK术，将访问量、安全等级近似的节点划分成同一个 VLAN（通常 是一个部门）。再通过VLAN问路由表、访问控制列表（ACL的设置，就可以 有效隔离不同访问级别的节点。VALNJ分方式包括：基丁端口的划分按MAC!址定义基丁网络层的虚拟网络通过IP广播组划分通常使用基丁端口的划

37、分，VLANB具体划分方式需要与学校网络中心协商 决定。2）重要数据加密传输，保证不被篡改对丁在网络上的TCP/IP通讯，系统直接采用Socket底层编程，MD琰名信 道，在数据发送和接收时都采用数字签名，保证不被更改。更为关键的是，系统对数据传输与存储环节中所使用的密钥和关键的加密算 法采用了更严格的硬件安全措施。这些密钥和关键加密算法全部存放在ISA/PCI 总线的硬件加密卡中。加密卡中采用 DS5002FPS全加密处理器作为核心器件， 其上的数据是随机打乱存放的，具有防破译自毁开关，是中国人民银行认可的安 全处理器，从而保证了金额数据在网上的安全性， 也能保证与银行信用卡业务系 统的紧密

38、联接。密钥采用动态形式。2.7.5银行转账的安全性采用设立转账前置机的方式，通过双网卡隔离2个逻辑网段，杜绝校园网内 部对银行网络的访问，仅银行转账前置机可以访问银行网络。1）数据传输的安全措施学校转账前置机与银行前置机之间数据采用金融业标准的MACK验运算。MAE算的DES钥采用动态密钥，在每天建立连接签到时，由银行动态生成分 配。密钥采用加密传输，敏感数据加密处理。校园内部自助转账终端与学校转账 前置机之间采用DE动口密，MD微字签名，动态密钥。持卡人的银行卡密码由位 丁专用加密卡上的DS5002安全处理器进行金融标准的PIN加密处理，有效防止 密码外泻，保护持卡人和银行利益。DS5002安全处理器具有防侦测、数据加密存储、数据自毁性等特点，可以有效防止不法分子对敏感数据的获取。2）屏蔽校园网内的对银行攻击学校转账前置机采用双网卡，通过双网段的 IP地址进行逻辑网段隔离。关 闭转账前置机的IP转发路由功能，校园网内部的数据只能到达转账前置机的A网卡，而无法通过前置机的B网卡到达银行前置机。这样就屏蔽了校园网内部的 攻击。学校转账前置机关闭远程管理维护功能，避免对其攻击，必要时可以采用 软件防火墙。3）屏蔽校园前置机对银行内部的攻击银行的前置机同样采用双网卡，关闭IP转发路由功能，这样就阻止了攻击 数据到达银行网