随着教育信息化在高校应用深入，校园一卡通应用包括金融消费、身份认证和校园财政服务等多方面，很大程度上方便了学院师生在校园内的生活消费。然而，众所周知的网络安全威胁也波及到了校园一卡通：用户信息被窃取或篡改，一卡通终端被攻击导致不可用等问题让用户在体验校园网一卡通便捷的同时反而望而却步。

　　校园一卡通涉及用户金融服务与在校园内消费活动，一旦受到安全威胁将会影响用户的利益。高校通常采用以下三种模式架构保障一卡通网络：

　　1.借助校园网。由于校园网本身已经存在并且几乎遍布校园，一卡通业务应用到之处也是校园网延伸之处，直接在校园网上部署一卡通业务成为部分高校的选择，节约资金的同时也方便了一卡通网络布置。但是，校园网用户以及终端复杂，并且校园网直接接入互联网，导致一卡通系统从服务器到终端都面临校园网其他用户以及互联网安全威胁的严峻考验。

　　2.建设一卡通专网。此模式直接采用物理上与校园网隔绝的模式保障一通网络不受复杂的校园网安全威胁，提供纯粹的一卡通网络环境，在很大程度上做到了不受外界干扰的网络安全，很多高校采用此方法。但是采用此方法由于单独布置网络造价成本较高；由于不可能像校园网布置到校园每个角落，业务拓展性不高；同时，由于采用专网导致维护与财务人员认为网络“绝对”安全，但忽略了人为侵入专网攻击，即攻击者直接将电脑接入专网或者向一卡通终端注入恶意代码进行攻击，由于采用专网而松懈了专网内部安全措施，一旦专网遭受攻击，后果不堪设想。

　　3.采用 VPN 技术构造一卡通“专网”。此方法仍然是在校园网上部署一卡通业务，但是采用 VPN 技术实现系统内部形成虚拟专网，并且由于 VPN 具有认证功能，虚拟专网内部各设备之间需要认证才能通信，既不需要布置专网，又防止黑客接入专网物理链路进行攻击，但是采用此方法需要采购 VPN 网关设备，并且一卡通系统客户端需要进行 VPN 客户端配置才能与系统服务器进行通信，增加投入的同时也给维护人员带来不便，此方法在少部分高校投入使用。

　　南京信息职业技术学院属国有院校，是国家示范性（骨干）高职院校建设单位，学院地处仙林大学城，在校生12000余人。学院仙林校区2004年建设完成校园网一期工程，后期陆续完成了校园网其他工程，包括新建楼宇网络通信，校园无线网络覆盖和学生宿舍有线网络建设。2004年学院建设完成一卡通并投入使用，但是设计业务仅限于餐饮与热水供应方面，2010年学院对一卡通系统进行升级改造并进行业务拓展，业务包括校园餐饮、生活用品消费、浴室与开水供应、上网消费、图书借阅以及考试报名等多方面。由于建设与改造时期资金欠缺，没有建设一卡通专网线路，而借用校园网搭载一卡通业务系统，随着系统应用不断丰富，一卡通系统安全也受到安全威胁与攻击，导致系统出现暂时不可用的情况，严重影响了师生对校园一卡通系统的满意度。需要设计一套解决方案，在节约资金，顺应学院发展的同时，也能够给一卡通系统提供强有力的保障。

图1 学院校园一卡通系统构造

图2 一卡通服务器安全部署