以校園一卡通系統為平臺，實現以人為本，從校園環境、資源到活動的全部數字化管理。所以建設校園一卡通系統，實現“一卡在手，走遍校園”必將滿足學校數字化校園建設的需求及目的。 

一、項目內容： 

    大義中學數字化校園一卡通分為一卡通平臺與各個子系統： 

    一卡通平臺：統一身份認證平臺、校園卡的初始化、發放、掛失、解掛、補卡、注銷，完成各商戶銷售、結算和轉帳對帳等。商務消費系統、進出管理系統、上機管理系統、控水管理系統。

二、數據庫與軟件平臺 

    該系統采用總線型+星型的網絡拓撲結構，客戶端采用windows9x/xp/2000.服務器端采用Windows2000Server、SQL_SERVER7.0/2000中央數據庫集成方式與通用的互聯軟件技術。 

三、網絡架構 

    校園一卡通系統各類終端設備通過網絡服務器直接接入TCP/IP主干網，校園卡管理中心以校園網為通道直接管理各類終端設備，全局配置參數的設定、更改，負責黑(白)名單等實時信息的實時同步管理，對接入的各種子系統設備進行狀態監控。系統具備高可管理、高安全性、易維護等優勢。

    此外，在網絡安全性方面完成以下內容： 

    1.體系結構和應用：根據需求制定安全體系結構以及設計特殊應用等。
    2.身份識別：該機制保證所有系統實體(進程、系統、成員、用戶等)都是唯一可驗證的；身份識別粒度必須足以區分對系統各實體資源訪問的權限。
    3.訪問控制：該機制確保對系統重要資源的授權訪問和合法使用，包括用戶劃分權限、資源操作授權粒度應滿足安全需求等。
    4.完整性：它是通過開放式系統完整性、網絡完整性以及數據完整性來確保整個的數據不被非法更改或毀壞。這些數據包括永久保存的數據和網絡消息數據。
    5.保密性：該機制是通過數據加密、安全聯系以及密鑰管理確保重要數據不被泄漏給未授權的人或計算機進程。
    6.非否認：非否認機制包括開放系統非否認、電子簽名和電子亂序。該服務確保信息的發送和接收者無法否認其發出過或接受到某些信息。它還可以驗證軟件包的合法性，或檢驗硬件設備自出廠后是否被改動。
    7.有效性：該服務是保證提供滿足響應時間的、不間斷的通信以及系統硬件設備的正常工作。
    8.系統管理：它使得系統操作上安全性，其中包括許可證和委托證的驗證、風險管理、報警、審計、密鑰管理等等。
    9.安全標簽：安全標簽是一些與資源聯系在一起的、標志其安全屬性的數據。以下個服務領域都可以用安全標簽法控制其安全性：人機接口、數據管理、數據交換、圖形、網絡、系統以及分布式計算等。
    10.信息系統安全管理：安全管理包括制定安全計劃、安全和維護安全機制、將信息領域和信息系統安全政策條令強化在信息系統中以提供安全的信息服務。此外，除了系統核心服務以外安全管理還應包括事件處理、系統審計和自動恢復等。 

1、網絡總體設計 

    網絡平臺的建設總體上采用的是兩層星型拓撲結構，按照功能要求劃分為主干網(以快速太交換網絡為核心)部分，按照功能要求劃分為主干網(以快速太交換網絡為核心)部分和與銀行網絡對接部分。其中主干網部分是整個校園一卡通系統的核心，各終端設備通過邊緣接入交換機接入主干網，并可以與位于主干網上的數據服務器實時通信。 

    1）.終端設備子網 

    包括支付交易POS機、身份識別POS機等校園一卡通系統各類終端設備按星型結構方式分別聯接網絡服務器。分別接入校園網交換設備，數據自動上傳至校園IC卡管理結算中心數據服務器。 

    RS485子網采用標準的結構化布線技術，構造星型拓撲結構。與RS485子網星型拓撲結構相適應，本方案RS485子網布線采用國際標準的結構化布線技術。星型結構方式具有總線結構無可比擬的優點，設備增減方便，單點故障不影響其它設備傳輸，擴展性和靈活性好。 

    2）.方案特點 

    管理方式靈活：工作站可由各部門根據需要設置，也可由校方集中統一管理，為各部門提供運營報表。
    數據實時性和完整性：用串口聯網設備取代PC管理機，所有的校園卡數據實時上傳至校園卡中心服務器。
    提高傳輸效率。與通過上位機上傳數據的常規應用方式相比，提高了數據傳輸效率，更重要的是，本方案構建的將是一個完全實時性的校園卡系統，極大地增強了系統的實用性。
    數據集中式處理。
    安全性高。系統操作權限分級管理、數據進行部門隔離。 

2、網絡結構設計 

    1）目標：將一卡通系統建設成為一個獨立的VLAN，物理上與校園網在一起，從邏輯上與校園網其它系統一如教學、科研等進行隔離，保證一卡通形成一個跨校區，縱橫校園網之上的VLAN。
    2）手段：通過定義全校VLAN，與管理、科研LAN分開，因為VLAN內部的連接采用交換實現，而VLAN與VLAN之間的連接則采用路由實現，這樣在“一卡通”的VLAN里禁止使用路由功能，保證與其它VLAN不能通訊，將非法用戶與敏感的網絡資源隔離，從而防止可能的非法偵聽，保證VLAN的獨立性，在入口出屏蔽的其它VLAN的IP地址和所有的服務。
    3）方法：采用Cisco VTP協議，基于交換機端口的劃分VLAN。這個協議可以大大節約在工程實施中的時間和強度，并且有利于對將來網絡的修改和維護。每個園區的中心交換機作為該園區的VTP Server，負責本園區的VLAN管理。同時全局的VLAN也必須在本地作配置。

案例圖：