【正文】 監(jiān)控維護(hù)設(shè)備的問題， 可以 極大提高了系統(tǒng)的 可 管理 性、 安全性、 降低了系統(tǒng)維護(hù)成本，區(qū)別于傳統(tǒng)一卡通的設(shè)計(jì)理念。 面向各級(jí)領(lǐng)導(dǎo)，提供圖形化的統(tǒng)計(jì)分析功能展示各種分析圖、趨勢(shì)圖、分布圖等， 以及提供包括資源利用率、師生用卡習(xí)慣、貧困生生活習(xí)慣等眾多實(shí)用的分析主題，輔助領(lǐng)導(dǎo)決策。 采用中國(guó)人民銀行的財(cái)務(wù)對(duì) 帳、 平帳、標(biāo)準(zhǔn)科目 核算機(jī)制 ，解決了傳統(tǒng)一卡通廠商的可手動(dòng)改帳、余額以卡或以庫(kù)為準(zhǔn) 的弊端 。 要求采用 獨(dú)創(chuàng)的扇區(qū)轉(zhuǎn)移 技術(shù)， 極大的降低了師生的用卡成本 。 要求 設(shè)計(jì)了包括 黑卡標(biāo)志、授權(quán)卡 、 搭伙費(fèi) 、 卡片折舊 、 編號(hào)收費(fèi) 、通用對(duì)接等獨(dú)具特色的業(yè)務(wù)功能，以及一體化的拍照打卡，方便實(shí)用，解決了傳統(tǒng)一卡通廠商 依靠 掃描或者手動(dòng)拍照、 導(dǎo) 數(shù)據(jù)的問題。 5 卡務(wù)管理 批量制卡和空白卡管理，；補(bǔ)助、扣款；帳戶掛失解掛；凍結(jié)解凍；轉(zhuǎn)帳 6 管理中心 系統(tǒng)總控、權(quán)限管理、身份認(rèn)證、數(shù)據(jù)管理、日志管理、參數(shù)管理、終端管理等 7 結(jié)算報(bào)表 電子對(duì)帳、日志審計(jì)、明細(xì)核算和綜合核算（獨(dú)立和非獨(dú)立核算）、日?qǐng)?bào)、月報(bào)、年報(bào)等 8 拍照打卡 電腦拍照并保存數(shù) 碼照片在數(shù)據(jù)庫(kù)，按需導(dǎo)出、共享照片，按需打印個(gè)性化校園卡（含照片） 9 分析中心 為各級(jí)領(lǐng)導(dǎo)提供多角度、多層次的分析圖表，可分析統(tǒng)計(jì)金融服務(wù)金額、分布、趨勢(shì)，身份認(rèn)證分布、趨勢(shì)等。 結(jié)合我院 本次項(xiàng)目的特點(diǎn)―――人員變動(dòng)頻繁、在校時(shí)間不長(zhǎng)、銀行參與程度不確定等，采用校園卡和銀行卡物理分離的方案。本系統(tǒng)將通過標(biāo)準(zhǔn)的設(shè)備驅(qū)動(dòng)程序（讀寫卡模塊）、開放的應(yīng)用系統(tǒng)架構(gòu)（比如卡的唯一物理標(biāo)識(shí)等），完全能夠滿足多卡并行使用。 校園卡中進(jìn)行應(yīng)用規(guī)劃，通過卡應(yīng)用目錄管理，即使卡片部分散區(qū)損壞后也不必完全廢棄卡片只需要根據(jù)損壞區(qū)域重新生產(chǎn)卡目錄并寫卡即可，這可以節(jié)省卡替換成本、自由設(shè)計(jì)卡應(yīng)用等。 具體還可以根據(jù)需要 再細(xì)分教工卡，比如專指教工、兼職教工 等，用于特別應(yīng)用場(chǎng)合，比如兼職教工享受服務(wù)外借資產(chǎn)、圖書等收嚴(yán)格限制等，就需要該類型的卡 3. 臨時(shí)卡 短期在校人員使用 ,可根據(jù)授權(quán)使用一卡通的部分功能。 4. 消費(fèi)卡 只適用于在校園的消費(fèi)點(diǎn)進(jìn)行消費(fèi)結(jié)算。 2) 卡片應(yīng)用目錄管理 目前很多一卡通系統(tǒng)都采用固定區(qū)域存放應(yīng)用的模式，這樣設(shè)計(jì)有起歷史原因 —— 空間少、系統(tǒng)處理能力有限等，但現(xiàn)在卡的存儲(chǔ) 能力、機(jī)器處理能力已經(jīng)極大的提高，其不足之處非常明顯。 為此本方案 建議 借鑒金融領(lǐng)域廣泛使用的 PSAM 和 EVA 等卡片設(shè)計(jì)思路，在卡上設(shè)置一個(gè)的目錄區(qū)，保存卡上的應(yīng)用目錄（即索引），這樣一來卡應(yīng)用可以無限擴(kuò)展，部分散區(qū)損壞后，也不必整體換卡，只需把該區(qū)應(yīng)用遷移到另外的區(qū)域，重建卡目錄即可。 兩種模式對(duì)比如下： 應(yīng)用固定區(qū)域 卡目錄（索引） 靈活性 低 高 學(xué)校主動(dòng)性 被動(dòng) 主動(dòng) 成本 高 低 可維護(hù)性 差 高 性能（響應(yīng)速度） 高 較高（但是不影響使用） 其它 基于上述分析，我們建議采用先進(jìn)的卡應(yīng)用目錄管理模式。 (4) 卡內(nèi)記錄 校園卡內(nèi)設(shè)有多個(gè)區(qū)域，其基本區(qū)域和功能有： ? 持卡人特征信息區(qū)。 ? 持卡人電子錢包區(qū)。存放持卡人的專用信息，以方便持卡人在“一卡通”的專用地點(diǎn)和特殊場(chǎng)合使用。 校園卡具有多個(gè)獨(dú)立應(yīng)用區(qū)，各區(qū)又有獨(dú)立的密碼體系和訪問條件，可擴(kuò)展成學(xué)校的身份識(shí)別卡、專項(xiàng)資金卡、消費(fèi)卡、借書卡、醫(yī)療卡、資料卡、保安巡更卡等多種應(yīng)用項(xiàng)目使用。除銀行信息、電子錢 包、一卡通共用信息等專用扇區(qū)外，校園卡其它扇區(qū)將全部開放，方便學(xué)校利用該卡自行擴(kuò)展使用。 (6) 授權(quán)使用 校園卡可根據(jù)身份分類，根據(jù)權(quán)限分時(shí)段、分區(qū)域、作消費(fèi)額、使用次數(shù)限制，滿足特定場(chǎng)所、特定人員的管理需要。 (8) 卡片授權(quán)管理 授權(quán)流程 在管理中心集中開戶，統(tǒng)一制作校園卡后，形成校園卡的公用信息數(shù)據(jù)庫(kù)。 各服務(wù)分中心及專業(yè)授權(quán)點(diǎn)（包括今后擴(kuò)展的各專業(yè)處、室 MIS 系統(tǒng)對(duì)接），通過授權(quán)調(diào)用一卡通數(shù)據(jù)，對(duì)校園卡進(jìn)行不同身份或不同人員的個(gè)別授權(quán)。 以控制對(duì)象數(shù)量和操作簡(jiǎn)易原則確定黑名單或白名單方式，對(duì)數(shù)據(jù)庫(kù)的個(gè)人唯一識(shí)別號(hào)授權(quán)，形成使用的白／黑名單，下傳各相關(guān)終端設(shè)備。 ? 白名單準(zhǔn)入：適用局 部范圍流通使用部門與人員。 2)對(duì)校園卡操作。應(yīng)用點(diǎn)識(shí)別設(shè)備直接校驗(yàn)卡密碼和使用期限有效性。 適用范圍：長(zhǎng)效應(yīng)用點(diǎn)。對(duì)需要同時(shí)進(jìn)行圖像對(duì)比應(yīng)用的位置（如校本部正門），可設(shè)工作站與服務(wù)器連接，通過校園網(wǎng)調(diào)用數(shù)據(jù)庫(kù)圖片信息，實(shí)行人工對(duì)比；有時(shí)效限制的應(yīng)用點(diǎn)，必須繳費(fèi)后根 據(jù)繳費(fèi)情況直接對(duì)卡授予使用期，憑卡通行。 校園卡開戶后，消費(fèi)功能由個(gè)人充值后實(shí)現(xiàn)。 終端方案 “一卡通”終端設(shè)備主要包括（包括目前需要及未來可能需要的）： 應(yīng)用分類 終端類別 支付 交易 服務(wù) 普通 POS 機(jī) 以太網(wǎng) POS 機(jī) 手持機(jī)計(jì)費(fèi) 移動(dòng) POS 機(jī) 水控 POS 機(jī) 電控 POS 機(jī) 充值機(jī) 圈存機(jī) 通用 IC 卡讀寫器 身份 識(shí)別 門禁機(jī) 通道機(jī) 考勤 機(jī) 簽到機(jī) 查 詢、掛失機(jī) 專用識(shí)別機(jī)（指紋）等 對(duì)接 專用 多端口硬件對(duì)接機(jī)（在 1 臺(tái) POS 終端上，同時(shí)提供以太、48 RS232 等多端口，分別連接多應(yīng)用環(huán)境） 信息服務(wù) 觸摸屏 電話服務(wù) WEB 其它 根據(jù)設(shè)計(jì)目標(biāo)和設(shè)計(jì)原則，本方案中要求應(yīng)用和終端設(shè)備松偶合、分離，所以系統(tǒng)從技術(shù)上做到終端無關(guān)性，在這個(gè)前提下，進(jìn)行終端方案設(shè)計(jì)。 終端可同時(shí)支持 PHILIPS、微電子、華虹等多廠商的卡型，同時(shí)支持同一廠商不同的卡系列，如所有讀卡、寫卡設(shè)備支持 Mifare 卡片系列中的 ID 卡、 S50、 S70、 CPU 卡等。 目前市場(chǎng)上最大的幾家 POS 硬件廠商為：哈爾濱新中新公司、廣東三九智慧電子公司、沈陽(yáng)寶石公司、河南新開普公司、廣東匯多公司等，各有優(yōu)缺點(diǎn)，其中前兩家市場(chǎng)占有率最高、影響最大、產(chǎn)品最成熟。 本方案 采用 星型 RS485 網(wǎng)絡(luò)結(jié)構(gòu)，克服了總線式 485 網(wǎng)絡(luò)的缺點(diǎn) ，示意圖如下： 終端設(shè)備通過 485 集線器 直接連接 TCP/IP 骨干網(wǎng)，各終端與數(shù)據(jù)通信服務(wù)器為星型 485 網(wǎng)絡(luò)結(jié)構(gòu)，既有 RS485 傳輸距離遠(yuǎn)、成本低的優(yōu)點(diǎn)，也有 TCP/IP網(wǎng)實(shí)時(shí)性的優(yōu)點(diǎn)，解決了各終端連網(wǎng)的實(shí)時(shí)性、遠(yuǎn)距離等問題。 具體布線采用標(biāo)準(zhǔn) 5 類線即可。 目前很多 網(wǎng)管軟件，可以切實(shí)地解決以上問題，為 “一卡通” 網(wǎng)絡(luò)的正常、穩(wěn)定運(yùn)行提供有力地保障。 SOLAWIN 網(wǎng)絡(luò)管理軟件是一款第三方推出的針對(duì)數(shù)據(jù)通信設(shè)備如路由器、交TCP/IP 骨干網(wǎng)絡(luò) LINE PORT （ LP 子終端 子終端 ?? 換機(jī)、視訊等進(jìn)行統(tǒng)一管理和維護(hù)的網(wǎng)管產(chǎn)品，在業(yè)界廣泛使用，其特點(diǎn)時(shí)可管理任意廠商的數(shù)據(jù)通訊設(shè)備，包括 CISCO、華為等，位于網(wǎng)絡(luò)解決方案的管理層次，能夠?qū)崿F(xiàn)網(wǎng)元管理和網(wǎng)絡(luò)管理的功能。 作為數(shù)據(jù)通信網(wǎng)管整體解決方案之一， SOLAWIN 網(wǎng)絡(luò)管理軟件為用戶提供了靈活的組件化結(jié)構(gòu)，包括網(wǎng)元管理平臺(tái)、廣域網(wǎng)管理系統(tǒng)、局域網(wǎng)管理系統(tǒng)、網(wǎng)絡(luò)管理工具、多媒體管理系統(tǒng)等，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。 因此，我們建議使用 SALAWIN 作為一卡通專用網(wǎng)的網(wǎng)管軟件，該軟件可以管理各種主流的交換機(jī)和路由器。力求幫助用戶在降低產(chǎn)品成本的同時(shí)滿足更豐富的功能需求。系統(tǒng)級(jí)的網(wǎng)絡(luò)安全，主要考慮防火墻、防病毒，一般都是納入用戶全網(wǎng)的整體網(wǎng)絡(luò)安全規(guī)劃和使范疇，本方案將采用用戶現(xiàn)有安全產(chǎn)品和安全策略，保護(hù)投資、方便維護(hù)，有關(guān)現(xiàn)有安全產(chǎn)品和策略本文不詳述。 第一：安全威脅 一卡通對(duì)網(wǎng)絡(luò)安全的要求較高，可能存在的安全威脅來自以下方面： ? 操作系統(tǒng)的安全性，目前流行的許 多操作系統(tǒng)系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如 UNIX 服務(wù)器、 NT 服務(wù)器及 Windows 桌面 PC； ? 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性； ? 來自內(nèi)部網(wǎng)用戶的安全威脅； ? 應(yīng)用系統(tǒng)的安全性，許多應(yīng)用系統(tǒng)在訪問控制及安全通信方面考慮較少，很容易造成損失； ? 缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性。 由于局域網(wǎng)上有業(yè)務(wù)系統(tǒng)、信息管理系統(tǒng)、辦公系統(tǒng)等各種系統(tǒng)，連接了眾多的設(shè)備，利用 tel、 ftp、 rcp 等 TCP/IP 應(yīng)用 可能登錄主機(jī)或是進(jìn)行數(shù)據(jù)、文件的非法訪問。 中心交換機(jī)支持第三層交換，不同 VLAN 可通過第三層交換實(shí)現(xiàn)互相訪問。 一般來說，針對(duì)主機(jī)只能開放業(yè)務(wù)應(yīng)用系統(tǒng)的 PORT，而 Tel、 ftp、 rcp 這些應(yīng)用 PORT 是被嚴(yán)格禁止的。由于每個(gè)工作站的網(wǎng)卡有唯一的、固定不變的 MAC 地址，所以對(duì) MAC 地址的訪問控制實(shí)際上就是對(duì)指定工作站的訪問控制，與對(duì) IP 地址的過濾相比，具有更高的安全性。 ? 使用入侵檢測(cè)工具 使用入侵檢測(cè)工具，在網(wǎng)絡(luò)上實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)入侵狀況。 通訊平臺(tái)方案 考慮到 我院 有 兩 校區(qū)的現(xiàn)實(shí)，本方案 要求廠商利用 通訊平臺(tái) ， 實(shí)現(xiàn) 學(xué)校跨校區(qū) 多網(wǎng) 互連、集中數(shù)據(jù)管理、軟硬分離等特殊需求 。下圖是一個(gè)典型的企業(yè)級(jí)的網(wǎng)絡(luò)系統(tǒng)： AB CDGF 在上圖中，叁個(gè)獨(dú)立的子網(wǎng)中，除了節(jié)點(diǎn) A,B 和節(jié)點(diǎn) A,C 可以互相訪問，網(wǎng)絡(luò)中的每個(gè)子網(wǎng)的節(jié)點(diǎn)，是不能訪問其他子網(wǎng)的節(jié)點(diǎn)的?，F(xiàn)在，通過在節(jié)點(diǎn) A,B,C 上部署通訊平臺(tái)的節(jié)點(diǎn)，這樣，在這三個(gè)獨(dú)立的子網(wǎng)上，通訊平臺(tái)就提供了一個(gè)透明的應(yīng)用數(shù)據(jù)總線，通過這一數(shù)據(jù)總線，節(jié)點(diǎn) D,F,G 就成為可以透明的進(jìn)行數(shù)據(jù)的 交換了。這些測(cè)率包括復(fù)用的連接，節(jié)點(diǎn)間的數(shù)據(jù)加密，節(jié)點(diǎn)成組，動(dòng)態(tài)的鏈路選擇等。 復(fù)用連接 在 C/S 結(jié)構(gòu)的系統(tǒng)中，是有限的，少量的 SERVER 為大量的 CLIENT 提供服務(wù)，這樣讓 SERVER 管理大量的與 CLIENT 的會(huì)話連接是低效，代價(jià)昂貴和困難的，通訊平臺(tái)通過提供連接復(fù)用的策略，來簡(jiǎn)化 SERVER 的會(huì)話管理的復(fù)雜性。在通訊平臺(tái)的構(gòu)造過程中，通訊平臺(tái)的各個(gè)同構(gòu)節(jié)點(diǎn)間的數(shù)據(jù)交換，也遵循著復(fù)用連接的策略。而加密過程的建立，采用公鑰，私鑰密碼對(duì)的方式完成密碼交換的過程，在一定程度上，保證了數(shù)據(jù)傳輸?shù)陌踩?。?jié)點(diǎn)成組在邏輯上，將壹組節(jié)點(diǎn)等同為一個(gè)獨(dú)立的對(duì)外節(jié)點(diǎn)，當(dāng)節(jié)點(diǎn)組中的不分節(jié)點(diǎn)發(fā)生故障時(shí)，保證了做為數(shù)據(jù)總線的完整性。 通訊平臺(tái)集群 通訊平臺(tái)對(duì)每一個(gè)數(shù)據(jù)交換，都采用動(dòng)態(tài)的路徑選擇策略，形成通訊平臺(tái)集群。下圖是一個(gè)路徑選擇的示意圖 ： BA D1 23 C 456 在上圖中，當(dāng)所有鏈路都是完好的時(shí)候， A， D 節(jié)點(diǎn)間的數(shù)據(jù)交換會(huì)使用鏈路 6 來進(jìn)行。 通訊平臺(tái)通過上面說說的節(jié)點(diǎn)的冗余和鏈路的冗余來保證作為數(shù)據(jù)總線的可靠。 通訊服務(wù)器 由于 通訊平臺(tái) 的精內(nèi)核、占用資源很小，所以一般選擇中檔 PC 服務(wù)器標(biāo) 配即可滿足需要，具體部署可按區(qū)域、數(shù)據(jù)并發(fā)程度進(jìn)行劃分。 應(yīng)用服務(wù)器方案 應(yīng)用服務(wù)器集群架構(gòu) 架構(gòu)在通訊平臺(tái)集群上的應(yīng)用服務(wù)器， 本身就 具備了應(yīng)用服務(wù)器集群特點(diǎn)，配合定制開發(fā)的應(yīng)用級(jí)熱備方案 ，可確保整個(gè)系統(tǒng)獲得足夠高的性能和可靠性。 應(yīng)用服務(wù)器設(shè)備 考慮到系統(tǒng)可擴(kuò)展性、高可靠性和高性能需要，應(yīng)用服務(wù)器一般選擇中高檔PC SERVER 加 LINUX 或者中低檔 UNIX 小型機(jī)作為服務(wù)器，且集中部署在數(shù)據(jù)中心。 數(shù)據(jù)庫(kù)服務(wù)器方案 數(shù)據(jù)庫(kù)服務(wù)器空間規(guī) 劃 數(shù)據(jù)的存儲(chǔ)容量將對(duì) 數(shù)據(jù)庫(kù)物理設(shè)計(jì)有很大影響，故有必要對(duì)目前系統(tǒng)的數(shù)據(jù)存儲(chǔ)容量進(jìn)行分析。 數(shù)據(jù)庫(kù)集群高可用性設(shè)計(jì) 由于一卡通系統(tǒng)屬于 OLTP 類型的關(guān)鍵應(yīng)用系統(tǒng)，需要 選擇 大型數(shù)據(jù)庫(kù)（ ORACLE、 DB2）的企業(yè)版。 2. 當(dāng)主服務(wù)器損壞時(shí)，可以直接將磁盤整理 mount 到備服務(wù)器上，由備服務(wù)器控制 yktinst1 實(shí)例，處理業(yè)務(wù)邏輯。此時(shí)備服務(wù)器 數(shù)據(jù)庫(kù)接管業(yè)務(wù)。 4. 當(dāng)磁盤陣列損壞時(shí)，備服務(wù)器 運(yùn)行一段時(shí)間損壞時(shí)，可以將主服務(wù)器上 數(shù)據(jù)庫(kù)前滾至日志末尾并結(jié)束前滾暫掛狀態(tài)。 數(shù)據(jù)庫(kù)服務(wù)器 數(shù)據(jù)安全可靠是系統(tǒng)的核心，因此數(shù)據(jù)庫(kù)服務(wù)器一般選擇中高檔 PC SERVER 加 LINUX 或者中檔 UNIX 小型機(jī)作為數(shù)據(jù)庫(kù)服務(wù)器，且集中部署在數(shù)據(jù)中心。 5 實(shí)施 方案 我們要求廠家應(yīng)具備 通過 CMM3 資質(zhì)認(rèn)證、國(guó)家集成資質(zhì)二級(jí)、 ISO9001等認(rèn)證 條件 ， 并具有在一所萬人以上公立本科院校實(shí)施經(jīng)驗(yàn)，已經(jīng)形成了以整套相對(duì)完備的實(shí)施方案。 實(shí)施 方法 前述系統(tǒng)整體架構(gòu)圖 、網(wǎng)絡(luò)結(jié)構(gòu)圖 清洗 地 劃分出了組成系統(tǒng)的各部分之間的邊界， 以次為據(jù)進(jìn)行項(xiàng)目實(shí)施：根據(jù)技術(shù)方案中的設(shè)備選型要求采購(gòu)設(shè)備、系統(tǒng)集成，根據(jù)功能方案中的業(yè)務(wù)功能部署應(yīng)用軟件、應(yīng)用系統(tǒng)初始化 和數(shù)據(jù)準(zhǔn)備等應(yīng)用集成工作，其中應(yīng)用集成是項(xiàng)目實(shí)施的關(guān)鍵。 ? 卡片實(shí)施。 ? 終端實(shí)施。 ? 網(wǎng)絡(luò) 實(shí)施 。 ? 工作站 實(shí)施。 ? 通 訊平臺(tái) 。 ? 應(yīng)用服務(wù)器 實(shí)施。 ? 數(shù)據(jù)庫(kù)服務(wù)器 實(shí)施。 ? 運(yùn)