车兆东
摘 要 校园智能卡系统是数字化校园的基础工程, 数字化校园是以校园网为依托。通过对校园智能卡系统在数字化校园中部署方式的分析可知,网络虚拟化技术进行隔离的手段以及层次化的服务器安全部署方案,可以全方位的确保证校园智能卡系统的安全、可靠运行。
关键词 校园网;智能卡;虚拟化;安全性;MPLS VPN
一、引言
校园智能卡系统是数字化校园的基础工程,已经逐渐成为数字化校园建设的基础性标志,更是整个数字化校园的核心应用项目。该系统代替了传统的校园管理模式,给校园的日常管理、生活带来了极大的方便。该系统不仅仅是单一的消费系统,它还具备管理功能,与学校管理信息系统无缝链接,并且具备身份识别功能,该系统既要为数字化校园提供数据平台,又要为校内消费提供安全可靠的金融平台,必须确保系统在各方面的安全性能,防止和避免系统在任何可能遭受的攻击和破坏下使用户蒙受损失。数字化校园是以校园网为依托,因此,校园智能卡系统在校园网系统的安全问题也就变的至关重要。
二、智能卡系统的几种部署方式
校园智能卡系统是一个必须具有银行级别安全保障的重要的信息系统。目前,该系统在数字化校园中一般有三种部署方式:(2)与现有校园网混合;(2)使用与校园网物理隔离的专用网络;(3)通过网络虚拟化技术进行隔离。
第一种方式,与现有校园网混合。通过在网络设备上设置VLAN、ACL(Access Control List,访问控制列表,是路由器和交换机接口的指令列表,用来控制端口进出的数据包)进行简单的访问控制,存在一定的安全风险。
第二种方式,使用与校园网物理隔离的专用网络。通过专网把校园智能卡系统与校园网络物理分开,安全性非常高,但是,需要另外购置专用的网络设备,并且需要在校园内另外铺设光纤、双绞线等综合布线系统,建设一套独立于校园网的校园智能卡系统专用网络,花费比较大。
第三种方式,通过网络虚拟化技术进行隔离的手段。虽然物理上,校园智能卡业务与其他校园网业务共用一套网络设备,共用一套布线系统;但是逻辑上,通过各种虚拟化技术,校园智能卡业务和校园网中其他业务是完全隔离的,客户端到服务器从混合网络中隔离出来,路由表及转发表与其他网络完全隔离,还可以单独对校园智能卡流量进行QOS(Quality of Service,服务质量保障,是网络的一种安全机制,用来解决网络延迟和阻塞等问题的一种技术)控制。
三、智能卡系统的安全性分析
目前的校园智能卡系统大多采取第一种方式部署,有专门的校园智能卡网段,通过ACL与其他业务隔离。前置服务器负责发布信息到校园网,该服务器有两个网卡,一个网卡与校园智能卡网段内的客户端互通,另一个网卡连接到校园网上,允许校园网用户直接访问这台服务器,查询校园智能卡的交易数据、个人信息。但是这种方式校园网用户可以直接访问到校园智能卡系统的核心服务器,存在一定的安全风险。
随着网络技术以及虚拟化技术的不断发展,为确保校园智能卡系统的安全性建议采用第三种方式,通过网络虚拟化技术进行隔离的手段,即通过网络设备的虚拟化MPLS VPN(一种利用多协议标签交换技术来产生虚拟专网的方法)技术来实现业务的安全隔离。这样既可以保证安全,又可以节约资金。具体方式是将校园智能卡系统的服务器部署在校园网的中心机房,终端设备分散在校园内的多个位置。
1.部署MPLS L3VPN
通过在中心机房核心设备上针对校园智能卡系统的网络接口部署MPLS L3VPN,完成校园智能卡系统的网络隔离。为了增加高可靠性,可在中心机房核心设备上开启双PE Multihoming(多宿主技术),当其中一台设备出现问题时,MPLS VPN不受影响,校园智能卡业务不受影响。
MPLS L3VPN是服务提供商VPN解决方案中一种基于PE的L3VPN技术,它使用BGP(Border Gateway Protocol,边界网关协议)在服务提供商骨干网上发布VPN路由,使用MPLS在服务提供商骨干网上转发VPN报文。
●CE(Customer Edge)设备:用户网络边缘设备,有接口直接与SP(Service Provider,服务提供商)相连。CE可以是路由器或交换机,也可以是一台主机。CE“感知”不到VPN的存在,也不需要必须支持MPLS。
●PE(Provider Edge)路由器:服务提供商边缘路由器,是服务提供商网络的边缘设备,与用户的CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上。
●P(Provider)路由器:服务提供商网络中的骨干路由器,不与CE直接相连。P设备只需要具备基本MPLS转发能力。
2.服务器的部署
校园智能卡系统服务器本身的安全防护,可以参照金融行业网上银行的部署方式:用户在通过互联网访问到网上银行业务的时候,银行只开放WEB服务器的80或者443端口,而WEB服务器只提供HTTP或者HTTPS的服务。所有网上银行的应用都由WEB服务器直接调用APP(应用)服务器,而数据是由APP服务器调用DB(数据库)服务器,整个业务系统在服务器层面分为三层,每个层次之间都有安全设备进行防护。
四、结论
通过以上分析可知,网络虚拟化技术进行隔离的手段以及层次化的服务器安全部署方案,可以全方位的确保证校园智能卡系统在数字化校园中安全、可靠的运行。
参考文献:
[1]杭州华三通信技术有限公司.MPLS L3VPN技术介绍. [DB/OL],2011(11).
[2]李雷.基于MPLS VPN的校园网多业务系统运用[J].中国教育信息化,2011,(2):19-21.