隨著教育信息化的推進，信息技術在高校管理的各個方面廣泛應用，數字化校園建設對提高學校教學、管理和科研水平起到了積極的推動作用。“校園一卡通”系統是數字化校園建設的重要組成部分，對學校的管理和決策支持具有重大意義。
　　
　　所謂“校園一卡通”，就是在學校范圍內，凡有現金、票證或需要識別身份的場合均采用一張卡來完成。這種管理模式代替了傳統的做法，集學生證、工作證、*、借書證、醫療證、會員證、餐卡、錢包、存折等于一卡，實現“一卡在手，走遍校園”、“一卡通用、一卡多用”的目的。它為學校師生的工作、學習、生活帶來方便，為學校的管理帶來、方便與安全，它既實現了對師生員工日常活動的管理，又為教學、科研和后勤服務提供了重要信息。
　　
　　1青海大學“校園一卡通”現狀及問題
　　
　　為加強數字化校園建設，加強統一管理，實現數據共享，提高管理工作質量，在學校校園網建設和信息化水平具有較好基礎的情況下，青海大學于2009年開始建設“校園一卡通”系統。青海大學具備良好的校園網絡基礎，校園信息化程度較高，許多單位都擁有各自的信息管理系統。在卡業務方面也有不少應用，例如食堂售餐系統、圖書館管理系統、教務管理系統等。
　　
　　但青海大學“校園一卡通”系統起步較晚，也存在著一些問題，主要有：
　　
　　1．1基礎網絡起步晚、建設慢青海大學“校園一卡通”規劃實際是從2007年開始，但由于當時校園各園區正在合并建設，學生食堂及分院教學辦公樓在建中，校園網建設也在分期實施中，因此，至2009年基于校園網絡基礎，“校園一卡通”系統才開始部署建設。
　　
　　1．2網絡規劃滯后2009年以來青海大學“校園一卡通”在不斷推進與建設中，但由于“校園一卡通”技術發展迅速、技術及設備更新快等特點，因此2007年的規劃方案在網絡部署、運行模式上存在著滯后和缺失。
　　
　　1．3應用分散青海大學各部門使用管理信息系統，如科技處科研管理系統，教務處教務管理系統，圖書館圖書管理系統等，雖說各子系統功能較完善，但都由各單位自行建設和運行，并沒有實現網絡數據共享平臺。
　　
　　1．4網絡接點分布廣而散學校有成教院、醫學院、昆侖學院、校本部等四個園區，本部園區又下設財經學院、機械工程學院、化工學院等獨立教學大樓，校園網絡雖已建設完成，但信息點多、分布廣、應用設備接八分散。
　　
　　由此可見，青海大學“校園一卡通”系統規模較大，分布式應用和廣泛的網絡接點，對“一卡通”系統的安全性、穩定性提出很高的要求，僅僅從軟件設計方面完善“校園一卡通”系統是不夠的，網絡環境的安全性應是*。
　　
　　2青海大學“校園一卡通”網絡安全策略
　　
　　“校園一卡通”系統是一個全校范圍內較大規模的信息化工程，針對網絡的安全性，我們從以下幾個方面多層次、多角度地進行了安全策略分析與設計。
　　
　　2．1網絡安全規劃
　　
　　2．1．1建立建全和完善網絡安全制度合理完善的規章制度和規范的手續，嚴格的網絡使用操作規程，注重對網絡賬號、密碼的保護，確定網絡安全等級和網絡管理職責，控制內部使用人員對網絡共享資源的使用，日志的實時監控等，這些都是保障系統運行過程中網絡運行穩定、安全的重要手段。
　　
　　2．1．2硬件設備的安全性級別在網絡設備選型、網絡線路布設等方面保證硬件的可靠性，及時更換、更新設備，從基礎設施提高網絡安全性。
　　
　　2．1．3網絡安全的統一規劃和部署“校園一卡通”建設是一項十分復雜的系統工程，充分考慮到青海大學現有網絡的特點以及分布規則，我們按照統一規劃、分步實施的原則，站在學校數字校園的高度進行了一卡通信息系統的規劃和設計。青海大學“校園一卡通”系統基于校園網設計實施，網絡拓撲結構如圖1。
　　
　　2．2網絡安全策略
　　
　　2．2．1網絡安全層次設計我們將數據服務器網絡分成三個網絡安全層次：①*層：核心數據庫服務器，是一卡通系統的核心，此層設備的網絡與第二層的數據服務器網絡進行物理隔離，與核心進行數據交換的服務器必須通過雙網卡的模式直接與核心網絡進行連接。②第二層：一卡通服務器、Web管理服務器，還包括銀行的接入網絡、各種金融交易的卡具。這層網絡的安全要求達到銀行金融網絡的標準，所以要求一卡通中心的物理網絡和一卡通系統分布在校園內的各種設備和應用系統的VLAN組成一個全新的與校園網關聯的邏輯專網。③第三層：一卡通的門戶服務器、各個應用系統與一卡通系統進行數據交換的服務器。這層的數據服務器不建立在專網上，但這些服務器也通過雙網卡的模式建立各個應用系統與此層網絡的通訊鏈路。
　　
　　2．2．2網絡安全組網方式青海大學校園網工程光纖已經遍布全校各個角落，通過利用校園網原有光纖的冗余光纖架設一卡通網絡主干，使一卡通網絡通信與校園網絡通信物理上隔開。一卡通網絡獨立運行，受外部用戶干擾的可行性小，具有較高的安全性，且不易受到黑客和病毒的攻擊，網絡穩定性較好。
　　
　　2．2．3網絡安全策略
　　
　　①虛擬網絡（VPN）技術。VPN網絡技術是在兩臺計算機或局域網之間建立一個安全的連接，通過Intemet或其它開放的校園網的數據中心、終端、遠程辦公室、商戶等對象之間進行信息傳輸。無須另外專門布線，充分利用現有的校園網，通過VPN技術設備接入服務、應用接入服務和系統對接服務配置雙網卡，隔離原有校園網（一卡通外網）和一卡通網絡（一卡通內網）。
　　
　　②虛擬局域網（VLAN）技術。如圖1所示，“校園一卡通”系統全部使用支持3層交換、VLAN的交換機。由于交換機的支持，進行了基于IP的VLAN劃分，使得“校園一卡通”系統的網絡被隔離為一個VLAN（VirtualLAN），在硬件層面上加強了網絡安全性。同時，在IP地址管理方面，“校園一卡通”系統中的所有聯網終端、工作站的IP地址全部設置在同一子網內，進而在設置管理上加強了網絡及其安全性。
　　
　　③IP綁定技術。將MAC端口地址與IP地址綁定，一種是在交換機上把MAC地址和交換機端口綁定，只允許合法MAC地址的數據通過交換機，不合法的其他MAC地址一概不能連入網絡；另一種是把主機的MAC地址和IP地址進行綁定，建立起MAC和IP的一一對應關系。
　　
　　④訪問控制列表（ACL）技術。利用訪問控制列表對屬于“校園一卡通”系統中的計算機進行訪問控制，現在所有的路由器和三層交換機上都會支持ACL。使用ACL只允許一卡通系統內的IP和MAC訪問數據庫：屏蔽所有不屬于一卡通系統內的IP和MAC：對IP地址、端口、MAC地址、協議進行過濾，把病毒攻擊和人為惡意攻擊阻擋在一卡通系統網絡之外。
　　
　　⑤銀行專線。是與銀行通訊的通訊線路專線，用于傳輸金融交易數據。此通道選用聯通DDN專線，在銀行和學校端分別安裝路由器、數據終端單元（DTU），在兩端安裝防火墻。
　　
　　通過以上網絡安全技術和策略設計，確保網絡連接和信息傳輸的安全性，使“校園一卡通”系統有一個安全、穩定的運行環境。
　　
　　3結語
　　
　　“校園一卡通”系統既是學校的消費系統，還是管理系統，學校通過“校園一卡通”建設，不僅提高了學校管理水平，也大大提升了校園網應用的層次。一卡通網絡也成為校園網絡的一個重要組成部分，是實施數字校園的起點和核心內容。