以校園一卡通系統(tǒng)為平臺，實現(xiàn)以人為本，從校園環(huán)境、資源到活動的全部數(shù)字化管理。所以建設(shè)校園一卡通系統(tǒng)，實現(xiàn)“一卡在手，走遍校園”必將滿足學校數(shù)字化校園建設(shè)的需求及目的。 

一、項目內(nèi)容： 

    大義中學數(shù)字化校園一卡通分為一卡通平臺與各個子系統(tǒng)： 

    一卡通平臺：統(tǒng)一身份認證平臺、校園卡的初始化、發(fā)放、掛失、解掛、補卡、注銷，完成各商戶銷售、結(jié)算和轉(zhuǎn)帳對帳等。商務消費系統(tǒng)、進出管理系統(tǒng)、上機管理系統(tǒng)、控水管理系統(tǒng)。

二、數(shù)據(jù)庫與軟件平臺 

    該系統(tǒng)采用總線型+星型的網(wǎng)絡拓撲結(jié)構(gòu)，客戶端采用windows9x/xp/2000.服務器端采用Windows2000Server、SQL_SERVER7.0/2000中央數(shù)據(jù)庫集成方式與通用的互聯(lián)軟件技術(shù)。 

三、網(wǎng)絡架構(gòu) 

    校園一卡通系統(tǒng)各類終端設(shè)備通過網(wǎng)絡服務器直接接入TCP/IP主干網(wǎng)，校園卡管理中心以校園網(wǎng)為通道直接管理各類終端設(shè)備，全局配置參數(shù)的設(shè)定、更改，負責黑(白)名單等實時信息的實時同步管理，對接入的各種子系統(tǒng)設(shè)備進行狀態(tài)監(jiān)控。系統(tǒng)具備高可管理、高安全性、易維護等優(yōu)勢。

    此外，在網(wǎng)絡安全性方面完成以下內(nèi)容： 

    1.體系結(jié)構(gòu)和應用：根據(jù)需求制定安全體系結(jié)構(gòu)以及設(shè)計特殊應用等。
    2.身份識別：該機制保證所有系統(tǒng)實體(進程、系統(tǒng)、成員、用戶等)都是唯一可驗證的；身份識別粒度必須足以區(qū)分對系統(tǒng)各實體資源訪問的權(quán)限。
    3.訪問控制：該機制確保對系統(tǒng)重要資源的授權(quán)訪問和合法使用，包括用戶劃分權(quán)限、資源操作授權(quán)粒度應滿足安全需求等。
    4.完整性：它是通過開放式系統(tǒng)完整性、網(wǎng)絡完整性以及數(shù)據(jù)完整性來確保整個的數(shù)據(jù)不被非法更改或毀壞。這些數(shù)據(jù)包括永久保存的數(shù)據(jù)和網(wǎng)絡消息數(shù)據(jù)。
    5.保密性：該機制是通過數(shù)據(jù)加密、安全聯(lián)系以及密鑰管理確保重要數(shù)據(jù)不被泄漏給未授權(quán)的人或計算機進程。
    6.非否認：非否認機制包括開放系統(tǒng)非否認、電子簽名和電子亂序。該服務確保信息的發(fā)送和接收者無法否認其發(fā)出過或接受到某些信息。它還可以驗證軟件包的合法性，或檢驗硬件設(shè)備自出廠后是否被改動。
    7.有效性：該服務是保證提供滿足響應時間的、不間斷的通信以及系統(tǒng)硬件設(shè)備的正常工作。
    8.系統(tǒng)管理：它使得系統(tǒng)操作上安全性，其中包括許可證和委托證的驗證、風險管理、報警、審計、密鑰管理等等。
    9.安全標簽：安全標簽是一些與資源聯(lián)系在一起的、標志其安全屬性的數(shù)據(jù)。以下個服務領(lǐng)域都可以用安全標簽法控制其安全性：人機接口、數(shù)據(jù)管理、數(shù)據(jù)交換、圖形、網(wǎng)絡、系統(tǒng)以及分布式計算等。
    10.信息系統(tǒng)安全管理：安全管理包括制定安全計劃、安全和維護安全機制、將信息領(lǐng)域和信息系統(tǒng)安全政策條令強化在信息系統(tǒng)中以提供安全的信息服務。此外，除了系統(tǒng)核心服務以外安全管理還應包括事件處理、系統(tǒng)審計和自動恢復等。 

1、網(wǎng)絡總體設(shè)計 

    網(wǎng)絡平臺的建設(shè)總體上采用的是兩層星型拓撲結(jié)構(gòu)，按照功能要求劃分為主干網(wǎng)(以快速太交換網(wǎng)絡為核心)部分，按照功能要求劃分為主干網(wǎng)(以快速太交換網(wǎng)絡為核心)部分和與銀行網(wǎng)絡對接部分。其中主干網(wǎng)部分是整個校園一卡通系統(tǒng)的核心，各終端設(shè)備通過邊緣接入交換機接入主干網(wǎng)，并可以與位于主干網(wǎng)上的數(shù)據(jù)服務器實時通信。 

    1）.終端設(shè)備子網(wǎng) 

    包括支付交易POS機、身份識別POS機等校園一卡通系統(tǒng)各類終端設(shè)備按星型結(jié)構(gòu)方式分別聯(lián)接網(wǎng)絡服務器。分別接入校園網(wǎng)交換設(shè)備，數(shù)據(jù)自動上傳至校園IC卡管理結(jié)算中心數(shù)據(jù)服務器。 

    RS485子網(wǎng)采用標準的結(jié)構(gòu)化布線技術(shù)，構(gòu)造星型拓撲結(jié)構(gòu)。與RS485子網(wǎng)星型拓撲結(jié)構(gòu)相適應，本方案RS485子網(wǎng)布線采用國際標準的結(jié)構(gòu)化布線技術(shù)。星型結(jié)構(gòu)方式具有總線結(jié)構(gòu)無可比擬的優(yōu)點，設(shè)備增減方便，單點故障不影響其它設(shè)備傳輸，擴展性和靈活性好。 

    2）.方案特點 

    管理方式靈活：工作站可由各部門根據(jù)需要設(shè)置，也可由校方集中統(tǒng)一管理，為各部門提供運營報表。
    數(shù)據(jù)實時性和完整性：用串口聯(lián)網(wǎng)設(shè)備取代PC管理機，所有的校園卡數(shù)據(jù)實時上傳至校園卡中心服務器。
    提高傳輸效率。與通過上位機上傳數(shù)據(jù)的常規(guī)應用方式相比，提高了數(shù)據(jù)傳輸效率，更重要的是，本方案構(gòu)建的將是一個完全實時性的校園卡系統(tǒng)，極大地增強了系統(tǒng)的實用性。
    數(shù)據(jù)集中式處理。
    安全性高。系統(tǒng)操作權(quán)限分級管理、數(shù)據(jù)進行部門隔離。 

2、網(wǎng)絡結(jié)構(gòu)設(shè)計 

    1）目標：將一卡通系統(tǒng)建設(shè)成為一個獨立的VLAN，物理上與校園網(wǎng)在一起，從邏輯上與校園網(wǎng)其它系統(tǒng)一如教學、科研等進行隔離，保證一卡通形成一個跨校區(qū)，縱橫校園網(wǎng)之上的VLAN。
    2）手段：通過定義全校VLAN，與管理、科研LAN分開，因為VLAN內(nèi)部的連接采用交換實現(xiàn)，而VLAN與VLAN之間的連接則采用路由實現(xiàn)，這樣在“一卡通”的VLAN里禁止使用路由功能，保證與其它VLAN不能通訊，將非法用戶與敏感的網(wǎng)絡資源隔離，從而防止可能的非法偵聽，保證VLAN的獨立性，在入口出屏蔽的其它VLAN的IP地址和所有的服務。
    3）方法：采用Cisco VTP協(xié)議，基于交換機端口的劃分VLAN。這個協(xié)議可以大大節(jié)約在工程實施中的時間和強度，并且有利于對將來網(wǎng)絡的修改和維護。每個園區(qū)的中心交換機作為該園區(qū)的VTP Server，負責本園區(qū)的VLAN管理。同時全局的VLAN也必須在本地作配置。

案例圖：